Традиционная защита периметра предприятия не так сильна, как вы уже знаете. Безопасность, основанная только на защите периметра, полагает, что все системы во внутренней сети являются доверенными. Однако, есть несколько факторов, которые эту парадигму разрушают: миграция в облачные сервисы, мобильный стиль работы, использование личных устройств пользователей для доступа к корпоративным ресурсам. Если даже одно из таких “доверенных” устройств будет скомпрометировано, злоумышленник сможет захватить контроль над всей сетью. Архитектура Zero Trust разрушает традиционный подход к безопасности, основанный на защите периметра и доверию внутри периметра. Вместо этого архитектура Zero Trust использует утверждения безопасности (claims) пользователей и устройств для доступа к корпоративным ресурсам и данным.

Модель Zero Trust networks или Zero Trust architecture была предложена в 2010 году Джоном Киндервагом (John Kindervag). Он в это время занимал должность главного аналитика в Forrester Research Inc.

Zero Trust – это концепция безопасности, которая говорит о том, что организации не должны доверять устройствам и пользователям как внешним, так и внутренним.

Типовая модель Zero Trust состоит из нескольких компонентов:

  • Поставщик удостоверений (Identity provider) для отслеживания пользователей и их метаданных
  • Каталога устройств (Device directory) для обслуживания списка устройств и их метаданных, имеющих доступ к корпоративным ресурсам
  • Служба оценки политики (Policy evaluation service) для определения соответствия устройств или пользователей требованиям, установленным офицером безопасности
  • Прокси доступа (Access proxy), который использует сигналы от вышеперечисленных компонентов для предоставления или отказа в доступе к корпоративным ресурсам.

Использование динамического принятия решений позволяет разрешить доступ к ресурсам только для устройств и пользователей, удовлетворяющим всем назначенным условиям. В случае таргетированной атаки, злоумышленники обычно используют учетные данные скомпрометированного пользователя для горизонтального перемещения внутри сети. Правильно сконфигурированные политики Zero Trust позволяют предотвратить использование скомпрометированных учетных данных для доступа к сети.

Zero Trust – это следующий шаг эволюции решений безопасности.

Давайте рассмотрим, на чём основана модель Zero Trust, построенная на технологиях Microsoft.

Главный компонент – условный доступ Azure AD

В настоящее время сотрудники компаний получают доступ к корпоративным ресурсам с разных устройств, используя различные приложения. Устройство может быть похищено, доступ может происходить из недоверенных сетей, поэтому использование политик, которые проверяют только то, кто может получить доступ к ресурсам, недостаточно.

Microsoft имеет свои решения для реализации подхода Zero Trust. Основным модулем, вокруг которого будет строиться всё остальное, является Условный доступ в Azure Active Directory. Условный доступ и Защита идентификации Azure Active Directory реализуют динамическое принятие решения, основываясь на пользователе, устройстве, расположении и рисках для каждого запроса доступа к ресурсам. Они комбинируют различные сигналы состояния безопасности устройств Windows и надежности учетных данных и пользовательской сессии для значительного повышения уровня безопасности.

Условный доступ предоставляет набор политик, которые могут быть сконфигурированы для управления доступом. Они включают в себя членство пользователя в группе безопасности, роли пользователя, проверки соответствия устройства, мобильных приложений и оценки риска. В зависимости от этого принимается решение о разрешении доступа, запрете или запроса дополнительного фактора защиты, например, многофакторной аутентификации, принятия Условий использования или ограниченного доступа. Условный доступ надёжно работает со всеми приложениями, зарегистрированными в Azure Active Directory.

 

Настройки условного доступа в Azure Active Directory.

Для реализации модели Zero Trust Microsoft интегрировала компоненты и возможности Microsoft 365: Windows Defender Advanced Threat Protection, Azure Active Directory, Windows Defender System Guard и Microsoft Intune.

Windows Defender Advanced Threat Protection

Windows Defender ATP – это платформа защиты устройств (EPP) и технологии обнаружения инцидентов и реагирования (EDR), которая предоставляет интеллектуальную защиту, анализ инцидентов и автоматическое реагирование. В ATP используются поведенческий анализ, машинное обучение и анализ событий безопасности для постоянного мониторинга состояния устройств и применения автоматических действий при необходимости. В случае компрометации устройства ATP может автоматически изолировать компьютеры и пользователей и заблокировать им дальнейший доступ к ресурсам.

Злоумышленники могут использовать техники Pass-the-Hash или Pass-the-Ticket для извлечения хэшей учетных данных пользователей с скомпрометированного устройства. Windows Defender Credential Guard позволяет защитить доменные учетные записи пользователей от кражи NTLM хэшей. А для того, чтобы своевременно узнать об инцидентах и расследовать их, поможет ATP.

Windows Defender ATP вычисляет уровень риска устройства, которое в дальнейшем используется для условного доступа. Windows Defender ATP использует большое количество встроенных в Windows 10 технологий безопасности и сигналов:

  • Машинное обучение и поведенческий анализ
  • Защиту от эксплоитов
  • Защиту учетных данных пользователей
  • Изоляцию приложений
  • Антивирус
  • Защиту сетей
  • Защиту веб-доступа

Аттестация времени выполнения в Windows Defender System Guard

Windows Defender System Guard обеспечивает целостность операционной системы от момента загрузки и во время работы. Начиная с Windows 10 April 2018 Update используется аттестация времени выполнения для контроля состояния “здоровья” устройств. Работа Windows Defender System Guard основана на технологиях виртуализации. Критичные для безопасности механизмы вынесены за пределы адресного пространства операционной системы и выполняются в защищенных виртуальных контейнерах. Windows Defender ATP использует сигналы от Windows Defender System Guard для вычисления риска устройства.

 

Azure Active Directory

Azure Active Directory – это облачный каталог учетных записей и решения для управления доступом к ресурсам. Помимо каталога и управления доступом Azure AD обеспечивает единый вход в корпоративные и облачные приложения, дополнительную защиту с помощью многофакторной аутентификации.

Azure AD как решение для управления доступом использует информацию о членстве пользователя в группах, используемом приложении, устройстве, времени и месте входа, рисках и другие параметры. Когда обнаруживается подозрительная активность, Azure AD может заблокировать пользователя, потребовать сбросить пароль или применить другие средства ограничения доступа.

Microsoft Intune

Microsoft Intune используется для управления мобильными устройствами, компьютерами и приложениями в организации. Intune использует вычисленный Windows Defender ATP уровень риска устройства, а также другие сигналы для определения статуса устройства, удовлетворяет оно политикам безопасности или нет.

Политики условного доступа в Intune делятся на:

  • Политики приложений, когда только управляемые организацией приложения могут получить доступ к корпоративным ресурсам
  • Политики устройств, когда только управляемые и соответствующие политикам устройства могут получить доступ.

Примеры условного доступа

Условный доступ и Windows Defender ATP работают вместе для предотвращения развития атак злоумышленников, изоляции атаки и защиты корпоративных ресурсов.

Приложения Azure AD: Office 365, Exchange Online, SharePoint Online и другие

В случае запроса доступа с скромпрометированного устройства, условный доступ оценивает все риски и блокирует доступ.

Бизнес-приложения (LOB)

В каждой организации есть критичные для бизнеса приложения, такие как CRM, учетные программы, системы управления знаниями, управления документооборотом. Зачастую эти приложения создавались под организацию по их требованиям. Разработчики могут зарегистрировать такие приложения в Azure AD и воспользоваться возможностями условного доступа для защиты корпоративных ресурсов.

Внутренние веб-приложения

Зачастую возникает необходимость предоставления доступа ко внутренним веб-приложениям. Данный сценарий реализуется с помощью Azure AD Application Proxy – коннектора, который устанавливается внутри периметра и обеспечивает обратный прокси для доступа к веб-приложениям. Облачная часть сервиса обеспечивает точку входа, защиту от атак DDoS, условный доступ.

Заключительная часть

Условный доступ обеспечивает реализацию идею Zero Trust для облачных и гибридных сценариев. Он бесшовно работает с веб-приложениями, RDP и не усложняет чрезмерно работу пользователей.

Мы уже реализовали несколько проектов с применением технологии условного доступа, используем её сами в своей работе и рекомендуем её к применению в современных ИТ-системах.

Для полноценной реализации всех сценариев Zero Trust будут необходимы технологии, которые описаны выше. Microsoft 365 объединяет все эти технологии в одном бандле: Windows 10 Enterprise, Office 365 и Enterprise Mobility and Security. Microsoft 365 обеспечивает наивысшую степень безопасности и продуктивности организации.

В статье использованы материалы блогов https://cloudblogs.microsoft.com, статей нашего блога.

Никому не верю! Варианты построения Zero Trust networks
Поделись с друзьями:
Дмитрий Узлов on EmailДмитрий Узлов on FacebookДмитрий Узлов on Linkedin
Руководитель направления проектов компании "Технополис".
MCSE - Cloud Platform and Infrastructure [Charter Member]
MCSE - Productivity

Помогаю компаниям создавать безопасную и надёжную среду для коллективной работы сотрудников, используя облачные технологии.
Метки:                    

Отправить ответ

Please Login to comment

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

  Subscribe  
Уведомлять
Перейти к верхней панели