הזדהות מול מכונות מבוססת Azure AD

בעית אבטחת נפוצה אצל ספקי הענן היא משתמשים מקומיים במכונות VM.

בכל סביבה שיש בה מכונות כלשהן בין אם פיסיות או וירטואליות ניתן למצוא משתמשים מקומיים שאינם מנוהלים ועלולים להיות עם סיסמאות ישנות או סיסמאות חלשות ובעיות נוספות, וגם במצבים שבהם ישנם סביבות Active Directory ניתן עדיין למצוא המון מצבים כאלה של משתמשים מקומיים לא מנוהלים.

בשירותי הענן הבעיה הנ"ל היא חמורה יותר כי אין מערכת שתנהל את המשתמשים ולכן כל סביבה שמכילה מכונות וירטואליות ניתן למצוא משתמשים מקומיים אשינם מקבלים מדיניות אבטחה כלשהיא, והתצואה חשיפה לפעולות תקיפה מבוססות זהויות כדוגמת Brute Force או Password Spray ונוספות.

פעולה נפוצה בקרב אדמינים ומשתמשים אשר יוצרים מכונות וירטואליות היא לשתף את הסיסמאות או גרוע מכך ליצור סיסמאות קלות.

הזדהות על גבי Azure AD

כיום לכל מי שמקים מכונות לינוקס על גבי Azure יכול לבחור שצורת הזדהות מול המכונה תהיה על גבי זהויות מבוססות Azure AD ומניעת יצירת משתמשים מקומיים.

לאחרונה נכנסה אפשרות חדשה של הזדהות על גבי Azure AD מול מכונות מבוססות Windows בגרסאות WIndows 10 בילד 1809 או גרסת Windows Server 2019 Datacenter.

היתרונות של הזדהות מול מכונות על גבי Azure AD היא:

  • אכיפת מדיניות להזדהות מול מהמכונה באמצעות MFA
  • ביצוע לוגין לפי תנאים מבוססים Conditional Access
  • ללא צורת במשתמשים מקומיים
  • אכיפת מודל הרשאות מבוסס RBAC
  • ניטור אירועים לפי Sign-In Risk

2019-12-13_22h03_23.png

הגדרת Azure Active Directory נעשית מתוך טאב Management בתהליך יצירת מכונה וירטואלית.

דגשים ביישום

בכדי לעבוד עם הזדהות מול מכונות על גבי Azure AD צריך לפעול לפי מספר דגשים:

לסיכום

הזדהות מבוססת Azure AD מול מכונות וירטואליות היא בשורה, בגלל שאנו מורידים בעית אבטחה מהותית של עבודה עם משתמשים מקומיים שאינם מנוהלים ועוברים למצב של הזדהות מול Azure AD, ומנצלים את הכלים השונים כדוגמת Conditional Access ויכולים לאכוף מדיניות אבטחה.



:קטגוריותSecurity

תגים: , ,

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.