סגרגציה מבוססת Privileged Access Groups
רוב הארגונים מותחים את הסביבה המקומית אל ענן אחד או יותר, ובמצב כזה קשה מאוד עד בלתי אפשרי לנהל את כלל החשבונות הפריבילגים ולנטר את הגישה בין הסביבה המקומית לסביבת הענן. במאמר העבור על אפשרויות של סגרגציה מבוססת Privileged Access Groups.
בסביבות רוחביות ישנם יותר חשבונות חזקים, יותר אדמינים המוגדרים במערכת ויותר משתמשים בעלי הרשאות גבוהות הניגשים ביומיום אל משאבים ונכסים של הארגון, ולכן במצבים כאלה ניהול הגישה והגנה על חשבונות פריבילגים הוא חשוב מאוד.
המושגים וראשי התיבות של PIM או PAM ושאר ראשי התיבות של סגרגציה ברמת זהויות וגישה משרתים את אותה מטרה: לתת פתרון הגנה לחשבונות פריבילגים.
מידע נוסף לגבי חשבונות פריבילגיים בענן ניתן למצוא במאמר הגנה על זהויות וגישה Azure AD PIM
ניהול חשבונות פריביליגים בענן יכול להיעשות ע”י מספר אפשרויות, למשל, כמו האפשרות של Roles and administrators או לפי המתודולוגיה של Azure AD Privileged Identity Management עם חלוקה של Azure AD Roles או של Azure Resources. בנוסף סגרגציה יכולה להיעשות גם ע”י RBAC ספציפי של Exchange Online וכן מנגנון ההרשאות של Endpoint Manager.
ניהול חשבונות פריביליגים בענן וביצוע סגרגציה לחשבונות בעלי הרשאות הוא חלק שלישי בהגנה על הענן, ומגיע לאחר שמקשיחים גישה ברמת תקשורת וברמת ארכיטקטורה. הקשחה של חשבונות פריבליגים היא חלק מהקשחת זהויות.
דלגציות והרשאות בענן
ביצוע סגרגציה בין הסביבה המוקמית לבין סביבת הענן הוא חשוב, אך חשוב מאוד לבצע סגרגציה לחשבונות גם בין רכיבי הענן השונים, למשל בין Exchange Online לבין SharePoint Online, או, בין Microsoft Defender for Endpoint לבין Microsoft Defender for Identity.
תפקידים, הרשאות, דלגציות ובקרת גישה מבוססת הרשאות היא חלק קריטי בניהול זהויות בענן, ובמקרים רבים יכול למנוע גישה לא מורשית בין משתמש רגיל לבין חשבון עם הרשאות גבוהות.
Microsoft Endpoint Manager מגיע עם סט תפקידים שמטרתו לנהל בקרת גישה מבוססת תפקידים או בשמו המוכר RBAC. התפקידים הם ברמת Endpoint Manager בלבד ומאפשר להאציל הרשאות בתוך Endpoint Manager, וכיום ישנם מספר תפקידי RBAC עם הרשאות שונות ברמת אפליקציות, מכונות, ואנשי תמיכה.
לצד תפקידים מבוססים RBAC ברמת Endpoint Manager ישנם תפקידים נוספים, כמו התפקידים של Office 365 המובנים או התפקידים הקיימים ברמת Azure AD Roles and Administrator עם תפקיד Intune administrator או Device administrator.
ישנם הבדלים בין תפקידים המבוססים על RBAC של רכיב ענן מסוים, כמו זה של Endpoint Manager לבין התפקידים המבוססים על Azure AD או Azure Resource, ולכל אחד מהם מטרה מסוימת. במידה ונכניס למשוואה פתרון נוסף ומובנה של Azure AD Privileged Identity Management (בקצרה Azure AD PIM) נוכל להרחיב את האפשרויות בין תפקידים מבוססים RBAC לבין תפקידים מבוססים Azure AD Roles.
אחת היכולות החדשות בשילוב בין תפקידים מבוססים RBAC לרכיב מסוים לבין תפקידים מבוססים Azure AD Roles הוא Privileged Access Groups (בקצרה PAG) המאפשר לקחת תפקיד ספציפי של RBAC ולשייך אותו אל Role ברמת Azure ומול קבוצה ספציפית שתקבל הגדרות מסוימות ברמת Azure AD PIM. נראה מסובך? ממש לא וזה פשוט מאוד.
מהו Privileged Access Groups
Privileged Access Groups מאפשר שיוך של Azure AD Roles אל קבוצה ספציפית ולנהל את את הרשאות ואפשרויות מבוססות Privileged Identity Management. כלומר לקחת קבוצה ספצפית, לשייך אליה Azure AD Role ומשם לשייך אותה אל Azure AD PIM ולאפשר על אוצה קבוצה הגדרות גישה וזכאות של Azure AD PIM.
הסגרגציה של Azure AD Privileged Identity Management מספקת יכולות מגוונות להפרדה בין משתמשים וחשבונות, בין היתר להקצות זכאות לחברות במסגרת Privileged Access Groups.
הרשאות וקבוצות על סמך האפשרויות של Role-assignable Groups ושל Privileged Access Groups יצאו ממש לאחרונה (דצמבר 2020) ומספקות חלוקה ושיוך קבוצות מול הרשאות ותפקידים ספציפיים.
במבט ראשון נראה כי כל אותן תכונות רלוונטיות הן בעיקר להקצאת קבוצות מובנות, אך ישנה אפשרות לנהל הקצאת חברות וזכאות במסגרת הדלגציה של Privileged Identity Management, כלומר ניתן להרחיב את האפשרויות של Azure AD PIM אל קבוצות ספציפיות, או ניתן לעבוד עם קבוצות של אפליקציות צד שלישי (כל עוד הם במצב מומלץ של Security) וכמובן שניתן להרחיב את השילוב של RBAC לשירות ספציפי מול Privileged Identity Management.
ישנם מודלים שונים של RBAC ולכל שירות או רכיב המודל עלול להיות שונה, ואם נקח את הרכיבים המרכזיים נוכל לראות כי ישנם הבדלים בינהם:
- Microsoft Cloud App Security
- Microsoft Endpoint Manager
- Exchange Online
- Microsoft Compliance Manager
- Microsoft Teams
וישנם עוד מודלים נוספים לרכיבים נוספים שזמינה ברשימה הבאה Microsoft 365 related administrator roles and content
כחלק מהאפשרויות של Azure AD Admin Roles בכדי לתת דלגציה למספר שירותי ורכיבי ענן ישנה אפשרות לתת דלגציה לרכיב ענן אחד או יותר, ולחלופין, אפשר בתרחישים שבהם יש סוגי הרשאות שונים ליצור Custom Roles בכדי להתאים הרשאות לקבוצה וגישה.
בהנגשה ודלגציה של חשבונות מול קבוצות והרשאות ישנה מגבלה והיא, מהם הרכיבים שניתן לתת להם דלגציה ומהם הרכיבים שניתן לשייך לאותה קבוצה, כלומר, אם נקח מודל RBAC של Exchange Online הוא לא יהיה זהה למודל RBAC של Microsoft Teams.
מכיוון שאנו יכולים לקחת את המימוש Privileged Access Groups על גבי Azure AD PIM יש גרנולריות ליצירת תפקידים וסקופ מותאם אישית, ומכן למעשה אנו מקבלים יתרון עצום בהגדרה נכונה של מודל RBAC בין רכיבים שונים מול תפקידים מנוהלים על גבי Azure AD PIM.
הגדרת קבוצה פריבילגית
מה צריך בכדי להגדיר את כל אותן הרשאות ודלגציה? בכדי להגדיר קבוצה ולשייך את הקבוצה אל תפקיד מסוים ולשייך אותה אל Role ברמת Azure AD צריך רישוי מתאים וביצוע הגדרות שנחלק לשלושה פעולות מרכזיות.
רישוי נדרש לטובת PAG עם Azure A PIM הוא רישוי Azure AD Premium P2, ולאחר שמגדירים ומוודאים שיש רישוי, יש לפעול לפי הפעולות הבאות.
יצירת קבוצה
יצירת קבוצה יכולה להיעשות מתוך ממשק Azure AD באפשרויות Groups ועם המאפיינים הבאים:
- סוג הקבוצה: Security
- לאפשר לקבוצה להיות חלק מתוך Azure AD Role – לסמן Yes
- אין צורך להוסיף חברים לקבוצה
- אין להוסיף בשום אופן Roles לקבוצה
לאחר מכן נאשר את האפשרות של הקבוצה להיות חלק מתוך Azure AD Role Assignment.
טיפ: ביצירת קבוצות עם מאפיין Azure AD Roles אין אפשרות לשנות את הפרמטר, ולכן ברגע שבוחרים את האפשרות אין דרך לשנות לאחר מכן.
הגדרת דלגציה לקבוצה בממשק Azure AD
לאחר יצירת הקבוצה נוכל לראות את כל המאפיינים של הקבוצה, במאפיינים של הקבוצה ניגש אל אפשרות Privileged access, ולאחר מכן נפעיל את הגישה לדלגציה של הקבוצה מתוך Enable Privileged Access.
טיפ: בכל יצירה מחדש של קבוצה מסוג Security Assigned יש להפעיל את האפשרות של Enable Privileged Access
לאחר שהגדרות Privileged זמינות ברמת הקבוצה נוכל להמשיך בשיוך הקבוצה, ובשלב זה נעצור בממשק Azure AD וניגש לממשק Endpoint Manager.
הגדרת Role לקבוצה
הגדרת Role ושיוך לקבוצה חייב להיעשות מתוך ממשק Endpoint Manager ולכן ניגש לבלייד של https://endpoint.microsoft.com.
בממשק Endpoint Manager ניגש לאפשרות Role ולאחר מכן נבחר באפשרות All Roles.
בתפקידים הקיימים של Endpoint Manager ישנם תפקידים ספציפיים ולכן נבחר את האפשרות של תפקיד Read Only Operator.
לאחר בחירה באפשרות של Read Only Operator נשייך את הקבוצה מתוך Assignment
שיוך הקבוצה ייעשה ע”י הגדרה נוספת שבה נבחר Role Assignment, את הסקופ של הקבוצה ונתייג את הקבוצה.
בחירה של הקבוצה מתוך Azure AD Directory (אותה קבוצה שיצרנו לפני כן)
בסיום נוכל לבדוק ולוודא שוב את המאפיינים שהוגדרו עד כה לאותו Role Assignment
הוספת חברים לקבוצה והגדרת זכאות – בכדי לאפשר למשתמשים מסוימים להיות חלק מהקבוצה ולקבל הרשאות על סמך הרשאות שהוגדרו נבצע את הפעולות הבאות.
בממשק Endpoint Manager נבחר באפשרות Tenant Admin ולאחר מכן באפשרות Azure AD PIM
בממשק Azure AD PIM נבצע שיוך של התפקיד אל המשתמשים הרלוונטיים ע”י Add Assignment
בשיוך נוכל לראות את הקבוצות שקבילו הרשאה כחלק מאותה הגדרת Privileged Access Group ונבחר את הקבוצה הרלוונטית
בהגדרת שיוך הרשאות לתפקיד נבחר את סוג התפקיד ונוסיף את המשתמשים הרלוונטיים
בסיום נגדיר את סוג הגישה של המשתמשים והאם זכאים לגישה או יהיו אקטיביים.
לאחר שהוגדרה קבוצה ובוצע שיוך את RBAC ואל Role, המשתמש יכול לבצע לוגין ומשם לנהל על סמך הרשאות שניתנו. בדוגמה שלפנינו שייכנו Role ספציפי אך ניתן לעבוד עם תפקידים שונים שקיימים בכל רכיב.
