תחילת עבודה עם Entra Internet Access
ניהול זהויות וגישה נותר אחד האתגרים הגדולים ביותר בנוף הדיגיטלי מרובה הפלטפורמות של ימינו, ולצד זה, אתגר אבטחה עצום בעל סיכונים ואיומים רבים.
הנוף המחובר של ימינו מציב אתגרים חדשים בכל הנוגע לניהול זהויות וגישה, בין היתר:
- משטחי תקיפה מתרחבים במהירות הודות למספר גדל והולך של נקודות גישה מגוונות.
- הנפח הגובר והתחכום הגובר של תקיפות והפרות.
- חפיפה בין כלים/טכנולוגיה של זהויות וגישה.
- הרשאות יתר של אובייקטים בענן.
- חוסר (תהומי) בנראות והבנה של הפערים בשטח.
- שטח תקיפה פופולרי שמועדף ע״י קבוצות תקיפה ומנוצל ביומיום!
בתגובה לאתגרים אלה, מיקרוסופט הרחיבה את היצע טכנולוגיות הזהויות והגישה והציבה אותן תחת מעטפת אחת ומרכזית – Microsoft Entra.
המאמר הינו חלק מסדרת מאמרים בנושא Microsoft Entra ומתמקד ביכולת של Entra Internet Access.
גישת גלובאלית מאובטחת – GSA
הפתרון של Security Service Edge בנוי מהטכנולוגיות של Entra Internet Access וכן Entra Private Access ויחד עם Global Secure Access מציעים פתרון אחיד. הפתרון של גישה מאובטחת גלובאלית הוא המקום שמאחד בממשק הניהול של Microsoft Entra והוא מבוסס על עקרונות הליבה של ‘אפס אמון’ כדי להשתמש בהרשאות מינימליות, לאמת במפורש כל כניסה ולהניח שחיבור באשר הוא עלול להיות הפרת אבטחה.
Global Secure Access הינו חלק מתוך פתרון Security Service Edge של מיקרוסופט.
שילוב הטכנולוגיות והכלים של Entra Internet Access יחד עם Entra Private Access וכן Defender for Cloud Apps (שמבצע את הברוקר בענן ומתמקד באבטחת אפליקציות SaaS) בנויים באופן אינטגרלי ייחודי ומספקים פתרון המאחד פעולות מולטי ענניות, היברידיות ובקרות רשת, זהויות וגישה לנקודות קצה, וזאת בכדי שנוכל לאבטח את הגישה לכל אפליקציה או משאב, מכל מקום.
יחד עם התוספת של טכנולוגיות גישה מאובטחת גלובלית אלה, Microsoft Entra מפשט את ניהול מדיניות הגישה ומאפשר תיאום גישה עבור משתמשים, ספקים, אורחים בענן (Guest) ועומסי עבודה דיגיטליים (Workload) – כל אלה מאפשרים לנטר ולהתאים באופן רציף את גישת המשתמשים בזמן אמת ולהבין האם ההרשאות או רמת הסיכון משתנות וישנם סיכונים.
תכונות Global Secure Access מייעלות את הפריסה והניהול של יכולות בקרת הגישה באמצעות ממשק אחיד. תכונות אלה מסופקות מרשת התקשורת המרחבית של Microsoft, המתפרשת על פני מעל 140 מדינות ומעל 190 מיקומי קצה רשת. רשת פרטית זאת, שהיא אחת הגדולות בעולם, מאפשרת לארגונים לחבר משתמשים ומכשירים למשאבים ציבוריים ופרטיים בצורה חלקה ומאובטחת יותר מאשר מבעבר.
גישה ציבורית Entra Internet Access
Entra Internet Access מאבטח את הגישה לתשתית Microsoft 365, יישומי SaaS ואפליקציות אינטרנט ציבוריות תוך הגנה על משתמשים, התקנים ונתונים מפני סיכוני ואיומי רשת, פנימי וחיצוני. גישה מאובטחת לאפליקציות אינטרנט ציבוריות משלבת גם מנגנון Secure Web Gateway הממוקד בזהויות, מודע להתקני הקצה, מיקומי קצה ומקבל את הסיגנלים מתוך Entra Internet Access.
תכונות עיקריות
- מניעת שימוש חוזר של טוקנים גנובים באמצעות בדיקת הרשת התואמת בגישה מותנית.
- מניעת לוגין מתוך תחנת קצה נוספת ע״י התאמות רשת ברמת מכונה.
- הורדת סיכונים של לוגין מתוך תחנות קצה המכילים מלווירים.
- החלת מגבלות על טננטים אוניברסלים כדי למנוע חילוץ נתונים מתוך טננטים אחרים או חשבונות אישיים, כולל גישה אנונימית.
- שיפור הדיוק של הערכות סיכונים במשתמשים, במיקומי קצה ובמכשירים.
- פרופיל ייעודי להעברת תעבורת אינטרנט ציבורית.
- הגנה על גישת המשתמשים לאינטרנט הציבורי תוך מינוף פתרון SWG המסופק בענן ומודע לזהות.
- סינון תוכן אינטרנט לוויסות גישה בהתבסס על קטגוריות התוכן שלהם באמצעות SWG.
- אכיפת מדיניות גישה מותנית אוניברסלית עבור יעדי האינטרנט, גם אם אינם חלק מתוך Entra ID.
- לוגים נוספים ועשירים בסינגלים מול תעבורת Microsoft 365.
- פריסה אינטגרלית מול פתרונות SSE צד שלישי.
גישה פרטית Entra Private Access
Entra Private Access מספק למשתמשים – בין אם במשרד או בעבודה מרחוק – גישה מאובטחת למשאבים הפרטיים והארגוניים. Entra Private Access מתבסס ומרחיב את היכולות של Entra ID App Proxy, ובנוסף מרחיב את הגישה לכל משאב, יציאה ופרוטוקול פרטי.
בתצורת Private Access משתמשים מרוחקים יכולים להתחבר לאפליקציות פרטיות בסביבות היברידיות ומרובות עננים, רשתות פרטיות ומרכזי נתונים מכל תחנת קצה ורשת ללא צורך בתשתית VPN. היכולות מאפשרות גישה אדפטיבית לכל אפליקציה המבוססת על מדיניות גישה מותנית, לאבטחה פרטנית יותר מאשר VPN.
תכונות עיקריות
- גישה מהירה – גישה מבוססת אפס אמון למגוון כתובות IP או FQDN ללא צורך בתשתית VPN.
- גישה לכל אפליקציה עבור אפליקציות TCP (תמיכה בפרוטקולים נוספים תגיע בקרוב).
- תמיכה באימות של יישומים מדור קודם למודרני באמצעות שילוב רחב ועמוק של גישה מותנית.
- חוויית משתמש משופרת וחלקה ע״י תעבורת רשת ופריסה לצד פתרונות SSE צד שלישי.
בעוד שרוב היכולות עדיין נמצאות בתצוגה מקדימה מוקדמת, יש מספר מגבלות. (בשלב זה)
- סוכן Global Secure Access תומך רק בתעבורת TCP ואין תמיכה בתעבורת UDP או QUIC.
- כדי לנהל תעבורת רשת בהתבסס על כללים של FQDNs היכולת של DNS over HTTPS צריכה להיות מושבתת.
- תעבורת IPv6 וביצוע Tunnel אינה נתמכת בשלב זה.
- תעבורה ליעדי גישה פרטית לפי כתובת IP נתמכת רק עבור טווחי IP מחוץ לרשת המשנה של תחנת קצה.
תחילת עבודה עם Entra Internet Access
כאמור Entra Internet Access הינו פתרון חדש וחבר בקבוצת הטכנולוגיות והכלים של Microsoft Entra המאפשר לנהל וליצור שלבים מתקדמים לבניית סביבות מבוססות אפס אמון עם אבטחה גלובאלית ומקיפה.
התשתית של Entra Internet Access מאבטחת את גישת המשתמש לשירותי Microsoft 365 וליישומים ארגוניים בסביבה תוך הגנה על נתוני המשתמש מפני איומים מקוונים נפוצים.
הפתרון משתלב בתשתית Microsoft Entra המורחבת ובזהות המשתמש בכללותה ברחבי פלטפורמת Microsoft כדי לספק גישה חלקה ומאובטחת דרך האינטרנט. בנוסף ,מסייע בבלימה של איומים נפוצים, כגון ניצול טוקן, בשילוב עם תנאי בדיקת מיקום הרשת בגישה מותנית.
כיצד פועל Entra Internet Access
Entra Internet Access פועל ע״י פריסת סוכן בתחנה של משתמש הקצה כדי לנהל את התעבורה לשירות Global Secure Access, התעבורה מתבצעת למשאבי היעד ללא כל השפעה על הביצועים. במקרים מסויימים יכול להועיל לגישה ואף לשפר ביצועים בגישה.
בנוסף ליישום בצד המשתמש, ניתן לחבר את Internet Access גם לרשתות מרוחקות ע״י שילוב ישיר עם ניתוב רשת מקומי. הדבר מאפשר ניתוב חיבורים ישירות לשירות Internet Access ללא צורך ביישום ברמת תחנה.
אחד הסייגים העיקריים לכך היא שניתן להחיל מדיניות גישה מותנית רק בעת שימוש בסוכן GSA ולא ברשתות מרוחקות, כך אנו מקבלים דינמיות ושומרים על דרישות אבטחה.
הפעלת פרופיל Microsoft 365
פרופילי התעבורה השונים של Internet Access ושל Private Access דורשים שכלל התעבורה הקשורה לפרופיל זה תעבור דרך שירות פרוקסי ובמיקומי קצה מרושתים (חלק מהפריסה הגלובאלית של מיקרוסופט). במקרה זה, נבחר את פרופיל Microsoft 365.
בכדי להפעיל את פרופיל Microsoft 365 ב Global Secure Access יש לבצע את השלבים הבאים:
- בממשק https://entra.microsoft.com נכנסים אל Global Secure Access
- בוחרים ב Traffic forwarding
- משם מפעילים פרופיל Microsoft 365 profile
הערה: יש להמתין 15 דקות לעדכון הפרופיל.
המדיניות והכללים של Microsoft 365 Profile
החלק של מדיניות וכללים בפרופיל Microsoft 365 מאפשרת להגדיר איזו תעבורה תתבצע באמצעות שירות Entra Internet Access ותהיה מוגנת. כללי התעבורה מוגדרים בבירור ע״י סוג התנועה, היעד, הפרוטוקול והשירות אליו הם מתייחסים. זה מאפשר בתורו לקבל החלטה מושכלת אם צריך שתעבורה זו תהיה מאובטחת.
כדי להציג את המדיניות והכללים, יש לבחור ב Traffic forwarding ולאחר מכן לבחור ב Microsoft 365 traffic policies. מכאן אפשר להפוך את קבוצות הכללים לזמינות או ללא זמינות ולשנות את הפעולה ל Forward או Bypass עבור כללים בודדים.
סוכן Global Secure Access
סוכן Global Secure Access בתחנת קצה מאפשר ל Entra לשלוט על תעבורת הרשת בתחנת הקצה של המשתמש, ומעניק את היכולת לנתב פרופילי תעבורה ספציפיים דרך Entra Internet Access או Entra Private Access.
ניתוב תעבורה בשיטה זו מאפשר צורך בפקדי/בקרות אבטחה נוספות כגון הערכת גישה רציפה (CAE), תאימות של תחנות קצה (Complaince Device), שימוש באימות חזק (למשל, MFA) – כל אלה לצורך גישה למשאבים וכן הלאה.
הסוכן Global Secure Access מנהל את התעבורה באמצעות התקן ייחודי מסוג LWF, בעוד שפתרונות רבים אחרים של Security Service Edge משתלבים כחיבור שונים, בין היתר מתבססים על VPN. הבחנה זו מאפשרת לתחנה קצה להתקיים מול רכיבי גישה מאובטחת גלובלית (GSA).
תחנת קצה עם גישה מאובטחת מתבססת על פרופילי Traffic forwarding קיימים ומוגדרים ואכיפתם מול משתמשי קצה.
הערה: סוכן Global Secure Access פועל כ VPN, ללא צורך בפריסת מתאם או התקן רשת נוסף.
איך ניתן להתקין סוכן Global Secure Access? בכל דרך שהיא, החל מהתקנה ידנית, דרך Intune ועד כלים צד שלישי.
לאחר התקנה המשתמש צריך לאמת את הגישה עם קרדס ותנאי אחד או יותר נוספים.
לאחר מכן אפשר לבדוק האם הגישה מורשית ותקינה באמצעות כלי מובנה
גישה אדפטיבית
גישה אדפטיבית מאפשרת הפעלת תכונות המשמשות את Entra Conditional Access ואת Entra Identity Protection על גבי הסיגנלים השונים.
הסיגנל של Global Secure Access היא יכולת חשובה מכיוון שבלעדיה, פרטי IP לא יהיו מדויקים בתיעוד ורישום של מזהה Microsoft Entra. לכך עשויות להיות השפעות שליליות על דיוק הדיווח, וחשוב מכך, על כל מדיניות גישה מותנית האוכפת גישה בהתבסס על מיקומים מהימנים.
הסיגנלים של Global Secure Access מספקים מידע על מיקום רשת לגישה מותנית, ומאפשרים יצירת מדיניות המגבילה את גישת המשתמש לאפליקציות ספציפיות על סמך השימוש שלהם בסוכן Global Secure Access או ברשת מרוחקת.
כדי לאפשר גישה אדפטיבית ושימוש של סיגנלים, יש לאפשר את Enable Global Secure Access signaling in Conditional Access.
אז מה יקרה בפועל? מתוך הרישום של Azure AD Sign ניתן יהיה לראות שינוי בכתובת IP מקור עבור תחנת קצה, סטטוס של הסיגנל ופרטים נוספים. הסיגנל יספק הבחנה מהירה גבי התחנה.
תצורה של מדיניות גישה מותנית
ניתן להשתמש בגישה מותנית לצד סוכן Global Secure Access כדי להבטיח שרק תחנות קצה מאומתות יוכלו להתחבר. יצירת פריטי מדיניות מרובים המיועדים הן לתחנת קצה (משתמש) והן למיקום תאפשר גישה מאובטחת עבור היישומים של Microsoft 365.
עבור תרחישים אלה ניתן ליצור אינספור סוגי מדיניות, למשל:
מדיניות מול Exchange Online וכן SharePoint Online וכלל יישומי הענן כנדרש. בשלב זה, רק סרוויסים אלה נתמכים ע״י פרופיל Microsoft 365, כך שבסופו של דבר ניתן להרחיב מדיניות זו כך שתכסה את כל יישומי הענן. המדיניות תתמקד בכל המיקומים עם החרגה של ‘כל מיקומי הרשת התואמים’. המדיניות תוגדר לחסימה.
מדיניות לדוגמה הכולל חסימה תחנות שאינן Network Compliant וכן התניית אימות חזק.
- שם: Bloack Non-GSA
- אפליקציות יעד: Exchange Online ו SharePoint Online
- תנאים: מבוסס מיקום – כולל: כל המיקומים, לא כולל: All Compliant Network locations
- פקדי בקרה: חסימת גישה
מדיניות נוספת תתמקד במשאב גישה מאובטחת גלובלית עם מדיניות התעבורה של Microsoft 365 שהוחלה והיא תכלול בקרה עבור דרישת MFA ותאימות של תחנת קצה.
- שם: GSA
- משתמשים: כל המשתמשים
- משאבי יעד: תעבורת Microsoft 365
- גרנט: דרוש אימות מבוסס MFA Numbering + Compliant
לאחר הפעלת המדיניות, המשתמש אינו יכול לגשת לתשתיות Microsoft 365 מתוך תחנות קצה ללא סוכן GSA וללא עמידה בתנאים.
1 Response
[…] תחילת עבודה עם Entra Internet Access […]