ניהול זהויות ומנגנון Azure AD Conditional Access
ניהול זהויות וגישה היא אחת השכבות הקריטיות והמרכזיות של אבטחת מידע בענן ובכלל, כיום ניהול זהויות הוא אינו רק הגנה באמצעות זהות אחידה, ניהול מאובטח של זהויות וכן הלאה.
כיום ניהול זהויות היא פלטפורמה רחבה יותר של הגנה מתקדמת על זהויות ובין היתר מאפשרת את היכולות הבאות:
- מנגנון תנאי ושליטה מול אפליקציות ומשתמשים
- אינטגרציה מול מערכות אבטחת מידע נוספות
- ניהול מחזור החיים של משתמשים וחשבונות בעלי הרשאות
- יכולות ניהול אוטומטי של משתמשים באמצעות Provisioning וכן De-provisioning
- ניהול הרשאות ודלגציה אוטומטי לפי פרופיל משתמש
כיום ישנם בסביבות 15 וונדורים המספקים תשתית זהויות וכל אחד מתוך אותם וונדורים מביא עימו יתרון כזה או אחר, אך עדיין הדבר אשר חסר לכולם הוא התאמה מהירה (Day-One) לאפליקציות מקומיות כדוגמת חילן או חשבשבת מקומית.
הערה: ישנם וונדורים שאינם מסוגלים כלל לתת את האפשרות של גישה מול אפליקציות מקומיות למרות שהם מצהירים כך.
תשתית Azure Active Directory
תשתית Azure AD היא אחת התשתיות המוכרות שמביאה עמה כמה יתרונות ברורים שבהם נתמקד במאמר זה, כידוע במעבר אל הענן התשתית הראשונה שאנו מקימים היא Azure AD ולכן גם אם המטרה של ארגון היא רק לעבור אל Exchange Online מאחורי הקלעים נוצרת תשתית Azure AD.
לכן אחד הדברים החשובים במעבר אל הענן היא הקמת תשתית היברידית של Active Directory שיתן מענה לזהויות ולאובייקטים נוספים כדוגמת התקני קצה, אפליקציות וכן הלאה.
תשתית Azure AD בהשוואה אל תשתית Active Directory מקומית לא כוללת טיקטים מבוססים Kerberos, אין היררכיה של OU, אין כמובן Group Policy וכן האלה.
בתשתית Azure AD ישנם מרכיבים אחרים חלקם עדיפים בהרבה על המרכיבים המקומיים, שימוש עם טוקנים לצורכי הזדהות, תשתית נגישה בין ארגון לארגון ובין ארגון למשתמש, חיבור אפליקציות ענן ומקומיות וכן הלאה.
ניתן לעבוד עם תרחישי זהויות שונים:
- הזדהות מבוססת על תצורה היברידית באמצעות Hash Sync
- הזדהות מבוססת Azure PTA מול תשתית AD מקומית
- הזדהות מבוססת על תשתית ADFS מקומית או בענן
- הזדהות מבוססת תשתית זהויות צד שלישי
- הזדהות מבוססת על משתמשי ענן בלבד
ברוב המקרים ניתן למצוא תשתית היברידית מבוססת Hash Sync שהיא למעשה מהירה ליישום, קלה לתפעול ומאפשרת חיבור מהיר בין הסביבה המקומית לבין סביבת הענן.
ישנם ארגונים בעלי רגולציה או תקינה מחמירה שאינם מאפשרים לסנכרן Hash of the Hash Password ולכן נאלצים לעבור לתשתית Azure PTA או תשתית מקומית עם ADFS.
באופן אישי המהות של מעבר לענן היא להיות בענן וללא תלות, ולכן אני פחות מעדיף תשתית המשלבת רכיבים מקומיים בגלל התלות באותה תשתית מקומית כדוגמת ADFS, אך לעיתים המציאות שונה.
ברוב המקרים ניתן לעבוד עם זהויות מבוססות ענן מול תשתית Azure AD, ולכן כך עובדים רוב הארגונים. ארגונים המבוססים על תשתיות Azure AD וגם כאלה שעובדים על גבי תשתית זהויות אחרת יכולים לקבל את אחד היתרונות הברורים והמוכרים של Azure AD והוא מנגנון Azure AD Conditional Access.
מנגנון Azure AD Conditional Access
מגנון Azure AD Conditional Access הינו חלק מתשתית Azure AD ומספק ערך רב באכיפת זהויות ע"י תנאים וחוקים המבוססים על פרמטרים, ערכים, בין היתר: משתמשים, התקני קצה, אפליקציות, תנאים, קבוצות, סיכון, שליטה, תקינות, אינטגרציה עם אפליקציות צד שלישי וכן הלאה.
בכדי לנצל את היתרון של מנגנון Azure AD Conditional Access ישנם מספר דרישות מומלצות שמומלץ לעבוד עמם:
- אפליקציות מבוססות SaaS כולל צד שלישי
- פלטפורמות נוספות הניתנות להנגשה באמצעות Azure AD App Proxy
- אינטגרציה עם פלטפורמת Cloud App Security
- פלטפורמות לניהול התקני קצה כדוגמת MobileIron
- תצורת AD מקומית המוגדרת באמצעות Hybrid Identity
מה הסיבה לדרישות הנ"ל? מאוד פשוט בכדי לנצל את תשתית הזהויות של Azure AD ובפרט את היכולות של מגנון Azure AD Conditional Access מומלץ לבצע הכנה של כלל הפלטפורמות הנוספות המוזכרות ובכדי לעבוד עם זהות אחת, One Identity!
ברגע שאנו עובדים עם זהות אחת בשביל כלל הפלטפורמות, אפליקציות והכלים הקיימים בענן אנו למעשה מאמצים את הטרנספורמציה הדיגיטלית והמעבר לענן ומקבלים מספר יתרונות, בינהם:
- חווית משתמש אחידה
- אפשרויות הגנה נוספות, כגון Adaptive MFA
- ניהול זהויות מתוך מקום אחד ומרכזי
- ניהול SOC ומעקב אחר אירועי זהויות וכן ביצוע Incident מתוך ממשק אחד
- אינטגרציה מול ארגונים ומשתמשים נוספים (B2B\B2C)
אם נביט על מגנון Azure AD Conditional Access ניתן להבין שתצורת האינטגרציה ועבודה מול משתמשים ואובייקטים נוספים נעשית באמצעות התהליך והאופן הבא.
כאשר מנגנון Azure AD Conditional Access קיים בתשתית Azure AD באופן דיפולטי הוא מאפשר גישה של כל המשתמשים לכלל משאבי הענן הקיימים כולל אפליקציות צד שלישי, מובן מאליו כאשר אין שום פוליסי ותנאי קיים.
כאשר משתמש ניגש למשאב בענן באמצעות טוקן על גבי Azure AD Conditional Access עם תנאי קיים הוא צריך לבצע אישור ואימות של המשתמש ולכן מתרחשים פעולות המבוססות על פוליסי במנגנון Azure AD Conditional Access אשר נחלק לשניים:
- תנאים Conditions – על בסיס תנאי מסוים המשתמש מבקש אישור גישה למשאב מסוים, במידה וישנו אישור ומבוצע אימות הוא ממשיך לאכיפה הנוספת הקיימת בתנאי, במידה ואין אימות המשתמש נחסם.
- שליטה Access Control – חלק נוסף שמתרחש בעקבות התנאי הוא איך ומה ניתן לעשות בגישה אל המשאבים, כלומר לאחר שהתנאי מאפשר למשתמש להמשיך עקבות התנאי מתבצעת השליטה על גישת המשתמש.
התנאי מחליט האם האוטנטיקציה תפעיל טריגר מסוים ויפעיל את הפוליסי עם שליטה לגישה אל משאבי ענן.
אם נקח את הדוגמה הפשוטה של הגבלת גישה אל שירות Exchange Online על סמך קבוצה והזדהות נוספת מבוססת MFA, בכדי שמשתמש יבצע גישה ויקבל טוקן אל Exchange Online התנאי יצריך שהמשתמש יהיה חבר בקבוצה מסוימת שתכלל בתנאי וכן יהיה חייב להיות רשום עם MFA. לאחר שהמשתמש יענה על שני התנאים הנ"ל הוא יהיה ראשי לגשת לשירות Exchange Online.
כל פוליסי מחייב לעבוד עם תנאים מנדטורים ותנאים אופציונליים, כאשר תנאים מנדטורים יכולים להיות מבוססים על משתמשים וקבוצות והשני מבוסס על אפליקציות. לאחר שישנם תנאים מנדטורים ניתן להמשיך בהגדרה מול תנאים אופציונליים שיכולים לכלול את אחד או כמה מתוך התנאים הקיימים של מיקום, התקני קצה, מבוססי סיכון, סוגי Client, תקינות התקן קצה.
בנוסף לגרנלוריות של הגדרת התנאי ניתן להחיל אפשרויות נוספות המבוססות על אי הכללה (Exclude) של כל אחד מהתנאים המנדטורים או התנאים האופציונליים.
כל אחד מהתנאים מכיל פרמטרים נוספים ומכיל מגבלות ואופן התנהגות שונה, למשל גישה מול אפליקציות מבוססות Basic Authentication או אפליקציות מבוססות Modern Authentication.
בהתאם לכך כל פרמטר בתנאי עלול להתנהג באופן שונה ולא מוכר ולכן מומלץ לדעת את אופן התנהגות האפליקציה לפי התנאים:
- אפליקציות SaaS
- התקני קצה
- סוגי Client
לסיכום, מנגנון Azure AD Conditional Access מביא עימו בשורה וגרנוךלריות נדרשת באינטגרציה עם משתמשים, אפליקציות ופלטפורמות צד שלישי.
1 Response
[…] ניהול זהויות ומנגנון Azure AD Conditional Access […]