אלי שלמה

הגדרה ראשונית Conditional Access

by · 30/07/2018

סדרת מאמרים של מעבר לענן ויישום Cloud Security.

תשתית Azure AD כוללת בין היתר את המנגנון של Azure AD Conditional Access המספק מענה והגנה על זהויות וגישה, ובנוסף לכלל האפשרויות וההגדרות של Azure AD Conditional Access  ניתן לבצע אינטגרציה מול תשתיות נוספות, כגון: Windows Defender ATP, Intune, Cloud App Security ונוספים כדוגמת SAML VPN.

איך מתחילים והגדרות ראשוניות של Azure AD Conditional Access 

אז מהיכן מתחילים ומהם ההגדרות הראשוניות שצריך עם Azure AD Conditional Access? בכדי לעבוד עם התנאים והאפשרויות השונות מומלץ לעבוד לפי השלבים הבאים:

  • תכנון – בשלב הראשון חייבים להבין את הקונספט (שאומנם פשוט) והוא למעשה תנאי שמורכב מדרישה של משתמש לגישה מתוך מיקום, למשאב מסוים וכן שייכות לקבוצה. לאחר מכן יש את האכיפה והשליטה של מה יקרה כאשר התנאי יתרחש או לא יתרחש. למשל התרחיש הנפוץ ביותר גישה לפורטל הניהול ע”י אדמין תהיה חייבת בהזדהות נוספת מבוססת MFA.
    תכנון היישום בעולם הענן עדיין קיים רק במתכונת מצומצמת יותר ולכן עדיין כדאי להכין מראש ועפ”י הקונספט איך ייראו התנאים והאכיפה ואיך תהיה האינטגרציה מול מערכות נוספות.
  • רישוי – שלב פחות טכני אבל עדיין מצריך את הבחירה המתאימה. רגע לפני שבוחרים את הרישוי הנכון צריך לדעת את ההבדלים הטכניים בין Azure AD Premium P1 לבין Azure AD Premium P2. למשל ממשק המעקב והדוחות Sign-in Risk זמין רק ברישוי Azure AD Premium P2.
  • יישום ברמת אדמין – בשלב היישום הראשוני והחשוב ברמת אדמינים צריך לוודא שכל משתמש אדמין עם הרשאה כלשהיא (וגם הקטנה ביותר) חייב להיות עם פוליסי ואכיפה החל מהזדהות מבוססת MFA ועד Compliant ברמת התקן קצה. למשל, לאחרונה התווספו לכלל הטננטים של Azure AD פוליסי מובנה (Baseline policy: Require MFA for admins) שמחייב חשבונות בעלי הרשאות לבצע הזדהות מבוססת MFA. (הפוליסי חל על כל גרסאות Azure AD)2018-07-30_23h23_32
  • אינטגרציה וממשקים נוספים – המנגנון של Azure AD Conditional Access מסוגל באופן Native להתחבר לתשתיות Microsoft ובנוסף לכך להתחבר לתשתיות צד שלישי, כגון:
    • Cloud App Security – לאכיפה של אפליקציות מסוימות (Reverse Proxy – CASB)
    • Intune – לאכיפה של גישה מורשית לתחנות במצב Compliant
    • VPN – אינטגרציה עם VPN צד שלישי באמצעות SAML
  • יישום חוקים למשתמשי קצה – יישום ברמת משתמשי קצה לכלל המשאבים אשר דורשים תמאים וגישה, כגון: אפליקציות ענן, אפליקציות מקומיות, שייכות לקבוצה, על גבי מיקום וכן הלאה. למשל אחד התנאים הנדרשים הוא סגירת אפליקציות ישנות מבוססות Basic Authentication.

2018-07-30_23h38_06

הגדרת תנאי לקבוצת בעלי הרשאות

מכיוון שניתן לעשות כמעט הכל עם Azure AD Conditional Access אז התנאי הבא בא להמחיש את יצירת התנאי לפי קבוצה מסוימת, מתוך מיקום מסוים, מתוך מערכות מסוימות, ולפיהם תבוצע אכיפה.

מצגת זאת דורשת JavaScript.

 

Tags:

You may also like...

השאר תגובה