איך ליישם Microsoft EMS (תשתית Intune – הקדמה)
סדרת מאמרים ליישום Microsoft EMS וחלק מתוך סדרת מאמרים ליישום Microsoft 365 Enterprise Security. מאמר זה מתמקד בהקדמה ליכולות הקיימות של Microsoft EMS.
כיום המידע שלנו זמין מכל מקום ומכל התקן ולכן הדרישה אשר קיימת בארגונים כבר זמן רב נעה בין מספר נקודות עיקריות להקשחה של הסביבה הארגונית בתצורה היברידית או תצורת ענן.
חבילת האבטחה של Microsoft EMS מכילה פתרון משולב של אבטחת מידע מול שירות Office 365 ומול תצורה היברידית ושירותי ענן נוספים במטרה לאפשר הקשחת זהויות, ניהול התקני קצה, מניעת זליגת מידע, ניהול Shadow IT ומניעת מתקפות שונות מול זהויות. דרישות אבטחה בענן
דרישות האבטחה בענן נחלקות למודל אבטחה, ניהול תהליכים ורובדים שונים, ישנם רובדי אבטחה אשר נדרשים בשלב ראשוני כדוגמת זהויות + ניידות + ניהול והגנה על המידע וישנם כאלה שמיישמים בלשבים מאוחרים יותר כדוגמת הצפנת המידע, הגנה מפני התקפות מתקדמות וכן הלאה.
כאשר אנו מתכננים אבטחת מידע ארגונית ומתסכלים על התמונה המלאה של התשתית הארגונית ובמקביל מתכננים לפי פתרון הגנת הסייבר של Microsoft אנו יכולים לקבל פתרון בהתאם לארגון.
אבטחת המידע של Microsoft מחולקת למספר פתרונות המרכזים בתוכן פתרונות אבטחה וכלים שונים:
- Office 365 Security
- Enterprise Mobility & Security
- Windows 10 Enterprise
- Azure Security
- OnPrem Security (הסביבה המקומית עדיין צריכה הגנה)
אז מאיפה להתחיל כאשר ישנם כל כך הרבה מערכות להגן עליהן וישנם כל כך הרבה מערכות לבצע עמם הגנה? למרות שבכל ארגון ישנם דרישות שונות, עדיין ישנו שלב בסיסי שמומלץ לביצוע לפי הסדר הבא:
- הקשחת שירותי הענן – סוגרים את מה שאינו בשימוש או כזה שאינו מוכן ועלול לגרום לסיכונים
- הגנה על תעבורת הדואר – פישינג הוא בעיה בהולכת וגדלה מיום ליום ולכן מצריך הגנה
- זהויות – המידע של הארגון זמין מכל מקום ולכן צריך הזדהות חזקה
- ניהול גישה אל המידע – פעולות האדמינים והמשתמשים חייבים להיות מתועדות ומוגנות בכל שלב
בכדי לקבל תמונה מפורטת יותר ניתן להיעזר בחלק הראשון של תורת הגנת הסייבר בענן
כאשר אנו מתמקדים בתשתית האבטחה של Microsoft EMS אנו צריכים להתמקד באפשרויות השונות לפי הסדר הבא:
זהויות – הקשחת זהויות לכלל המשאבים בענן, ניהול הגישה של כל זהות למשאבים שונים בענן, בסביבה המקומית, אפליקציות צד שלישי בענן וכן בגישה מול שירותי ענן נוספים תוך כדי ביצוע הזדהות חזקה עם שילוב אפשרויות שונות כגון: הזדהות מבוססת MFA, קיום תנאי סף, שילוב התקנים ביומטרים, אינטגרציה עם כרטיסים חכמים. ניתן לנהל את כלל הזהויות באמצעות Azure AD Premium.
ניידות – חיבור התקני קצה מבוססים Windows 10 או התקני קצה צד שלישי כדוגמת מכשירים חכמים מבוססים Android, iOS, או גרסאות Linux שונות מול משאבי הארגון עלולה לגרום לסיכונים שונים כגון זליגת מידע ולכן מצריכה חיבור המבוסס על סמך מדיניות שיכולה לכלול Device Compliant או גישה לפי Risk Based. ניתן ליישם ולנהל באמצעות Intune על כלל התקני הקצה באינטגרציה עם ונדורים צד שלישי וכן אינטגרציה עם Azure AD.
למשל אם נקח Compliance של Intune נוכל לקבל מענה לרוב הדרישות הקיימות כיום.
ניהול גישה והגנה על המידע – ברגע שעובדים עם שירותי הענן השונים אין ברשותינו מידע מדויק לגבי הפעולות, הגישה והמידע שאליו ניגשים אדמינים ומשתמשי קצה, כלומר התנהגויות חשודות או ביצוע פעולות שאינן מותרות בארגון עלולות לגרום לסיכונים שונים כדוגמת זליגת מידע, שינויים קריטיים שאינם נדרשים, חיבור וצריכה של תוכן זדוני ונוספים.
במצבים כאלה אנו נדרשים להגן על המידע, לדעת איך ומי ניגש אל המידע ובמידת הצורך לבצע אכיפה כלשהיא על גישה לא מורשית (מיטיגציה אוטומטית). ניתן ליישם באמצעות Microsoft Cloud App Security באינטגרציה עם Azure AD ועם Intune.
הצפנה של המידע – תכנים שונים (כדוגמת קבצים או דואר) אשר נמצא בענן או מקומית משותפים ע”י המשתמשים בדרכים שונות בין אם מתוך המייל או באמצעות SharePoint עלולים לגרום לסיכונים שונים, כגון זליגת מידע של מידע רגיש.
בתשתית Azure Information Protection ניתן להצפין, לסווג ולתייג את כלל המידע ולמנוע מצבים שבונים שבהם מידע ארגוני משותף ללא ידיעה או ללא אכיפת מדיניות כלשהיא. התשתית של AIP משולבת עם MCAS בכדי מענה ומיטיגציה בתרחישים שונים.
הגנה על זהויות – תהליך זהויות בתצורה היברידית מתחיל משלב הזדהות מול Active Directory מקומי ועד שירותי הענן השונים, כאשר ישנו מצב שבו ישנו תנועה רוחבית מהענן למקומי ולהיפך אנו צריכים לדעת מה המשתמש מבצע ולאיזה משאבים הוא ניגש והאם ישנה התנהגות חשודה. במקרים כאלה אנו עובדים על גבי תשתית Azure ATP שמבצעת זיהוי של פעולות חריגות גם בסביבה המקומית ויודעת לתת מענה גם לתרחישים שונים בסביבת הענן. אינטגרציה עם Azure AD ועם Intune ומספק Kill Chain מול מערכות ATP נוספות שאינן חלק מתשתית EMS.
יישום EMS
יישום Microsoft EMS נעשה לפי הסדר שהוזכר קודם לכן וצריך להיעשות לפי מספר דגשים שונים בין היתר (דגשים כללים בלבד):
- חווית משתמש – למרות האבטחה שאנו צריכים ליישם אנו צריכים לזכור כי חווית המשתמש הינה חשובה מאוד וצריכה להיעשות לפי “המנטליות” הארגונית. כלומר במידה ונטמיע MFA על גבי Azure AD לארגון שנמצא עם מכשירים דיי ישנים מומלץ לאפשר שימוש עם SMS.
- ניידות – לא בכל ארגון ניתן ליישם MDM באופן מלא עם אפשרויות של Company Portal ולכן אנו צריכים לתכנו נכון את סוגי המשירים הנמצאים בארגון ולוודא מהי פרטיות נדרשת אל המשתמשים בארגון.
- אכיפה – בהתאם למדיניות אבטחה ארגונית שהוגדרה מראש אנו צריכים לוודא מה קורה כאשר משתמש חורג מאותה מדיניות, למשך, האם מבצעים Suspend על המשתמש? האם בגישה למשאבים מסוימים אנו מצבעים Block Access למשתמש? ישנם שאלות רבות שצריך לתכנן ולכן בכל ארגון ישנה מדיניות שונה.
ישנם דגשים רבים ונוספים שמתכננים לפני היישום.
איך מיישמים Microsoft EMS?
סדרת מאמרים של יישום EMS עם המלצות, טיפים מהשטח ומידע מעניין.
- מאמר ליישום זהויות Azure AD
- מאמר ליישום ניידות באמצעות Intune
- מאמר יישום תשתית MCAS
- מאמר יישום הקשחות והצפנות עם AIP
- מאמר יישום Azure ATP
מידע נוסף וטיפים https://twitter.com/EliShlomo
