אלי שלמה

מבט כללי Microsoft Entra

by · 19/08/2023

ניהול זהויות וגישה נותר אחד האתגרים הגדולים ביותר בנוף הדיגיטלי מרובה הפלטפורמות של ימינו, ולצד זה, אתגר אבטחה עצום בעל סיכונים ואיומים רבים.

בחזרה אל שנת 2016, שמאז ציינתי במאמרים, וובינרים ודיונים רבים על השלכות ומשמעויות של זהויות בענן ותצורות היברידיות, בפרט איומי וסיכוני אבטחה. ובחזרה אל ימינו, 2023: נוף הזהויות היה ונשאר אחד הווקטורים הקריטיים והינו מרחב תקיפה נפוץ ונציל בשטח. כאמור, טרנספורמציה דיגיטלית ואימוץ מהיר של ענן שינו ועדיין משנים את האופן שבו אנו צורכים זהויות, גישה ומשאבים וכן האופן שבו אנו מתנהלים ביומיום.

הנוף המחובר של ימינו מציב אתגרים חדשים בכל הנוגע לניהול זהויות וגישה, בין היתר:

  • משטחי תקיפה מתרחבים במהירות הודות למספר גדל והולך של נקודות גישה מגוונות.
  • הנפח הגובר והתחכום הגובר של תקיפות והפרות.
  • חפיפה בין כלים/טכנולוגיה של זהויות וגישה.
  • הרשאות יתר של אובייקטים בענן.
  • חוסר (תהומי) בנראות והבנה של הפערים בשטח.
  • שטח תקיפה פופולרי שמועדף ע״י קבוצות תקיפה ומנוצל ביומיום!

בתגובה לאתגרים אלה, מיקרוסופט הרחיבה את היצע טכנולוגיות הזהויות והגישה והציבה אותן תחת מעטפת אחת ומרכזית –  Microsoft Entra.

מהו Microsoft Entra

Microsoft Entra הוא השם החדש למשפחה של טכנולוגיות לזהויות וגישה שהובאו למקום אחד, וגם לממשק אחד. Entra חורג ממה שאנו מכירים בניהול זהויות וגישה (בין אם מסורתי או חדשני), ולמעשה זהו החזון של Microsoft לעתיד הזהות והגישה בשנים הקרובות. כלומר, לא רק Azure AD המוכר עם יכולות אבטחה מורחבות, אלא הרבה מעבר לכך.

אז מה יש בקופסה של Microsoft Entra? הרבה, ואלה הם הרכיבים המרכזיים שבהם:

  • Azure AD
  • Verified ID
  • Permissions Management
  • Workflow Identities
  • Identity Governance
  • Global Secure Access (או בפרט SSE)
  • יכולות ורכיבי משנה נוספים

היצע הטכנולוגיות הביא עימו טכנולוגיות חדשות כמו Global Secure Access מתוך SSE ואחרים, ולצד זה, הביא עימו שינוי שם לפלטפורמת זהויות קיימות. למשל, מעתה Azure AD הינו Entra ID.

microsoft entra naming 1

ואיך נראה שינוי שמות רכיבים ויכולות? כמו Entra Conditional Access, או, Entra Joined.

microsoft entra naming 2

לצד היכולות הקיימות שקיבלו שיפורים טכנולוגיים וכן שמות חדשים, ישנן טכנולוגיות חדשות שנמצאות במעטפת של Entra וכאלה שמוזכרות במאמר, כמו, Permissions Management, או Global Secure Access ואחרים.

microsoft entra naming 3

לצד טכנולוגיות, יכולות ואפשרויות חדשות ישנו גם ממשק ניהול חדש עם כתובת חדשה העונה לשם Microsoft Entra Admin Center. מתוך ממשק Entra מנהלים רכיבים קיימים וגם חדשים.

microsoft entra admin center

הממשק מחולק לפי ניהול זהויות וגישה, הגנה על זהויות וכן האפשרויות הנוספות והחדשות של Entra.

microsoft entra admin center 2

הבנת המוטיבציה מאחורי שינוי השם – Microsoft שינתה את שם טכנולוגיות ה IAM כדי להנגיש טכנולוגיות חדשות ובכדי לשקף את כניסתה לקטגוריות חדשות. לכן ניתן לראות שם המקשר גישה מודרנית מאובטחת לטכנולוגיות שונות בתקופה שבה הכל מחובר יותר ויותר. מטרת Entra לאבטח זהויות וגישה בכל מצב (למשל, למנוע מאנשים בלתי מורשים לקבל גישה), ולצד זה לאפשר גישה אחידה מכל נקודה (למשל, להקל על תהליך פשוט וחלק עבור משתמשים מורשים לקבל כניסה).

הכוונה בהצגת Microsoft Entra אינה להחליף או לשנות את השם של Azure AD, אחרת. בעוד Azure AD ממשיך להיות פתרון הזהויות העיקרי של Microsoft, הוא עדיין יהיה רכיב אינטגרלי של Microsoft Entra.

טכנולוגיות מרכזיות

מגוון הטכנולוגיות והיכולות של Entra מכילות טכנולוגיות ויכולות שעברו שיפור ואחרים שקיבלו אפשרויות חדשות של Entra הם:

Azure AD

Azure AD הוא פתרון מבוסס ענן שרץ על גבי טננט (או מולטי-טננט), והינו רכיב ליבה לניהול זהויות וגישה. ככזה, הוא מספק את התשתית הדיגיטלית הדרושה לגישה וצריכת משאבים, הן בתשתית Microsoft 365, תשתית מקומית והן לתשתית צד שלישי. לכן, הוא מאפשר גישה למספר מרשים של יישומי ענן (SaaS), בנוסף לאלה המוחזקים ברשת הארגונית והמקומית.

כטכנולוגיית ראשית ומרכזית של ניהול זהויות וגישה, היכולות של Azure AD מתועדות היטב. בין היתר אפשר למנות את הכיולות הבאות.

  • גישה מאובטחת ומסתגלת עם אוטנטיקציות חזקות ואפשרויות התחברות ללא סיסמה אשר משפרים את חוויית המשתמש, ולצד זה, מדיניות גישה מותנית וניתוח התנהגות של משתמשים המגבירים את האבטחה ומגנים מפני חשיפות וסיכונים.
  • חוויות משתמש משופרת וחלקה עם כניסה מבוססת SSO ואינטגרציה עם יישומי SaaS משולבים או אפליקציות מקומיות המאפשרות לנהגיש חווית משתמש על גבי זהות אחת.
  • ניהול זהויות מאוחד שמאפשר ניהול כלל הזהויות והגישה לכל היישומים, וכל אלה נמצאות במיקום מרכזי, בין אם מדובר בענן, מספר ספקי ענן או בסביבה המקומית. אלה גורמים לשיפור דרמטי בניראות ובשליטה, וכן, לניהול זהויות מורחב המאפשר למשתמשים להביא זהות חיצונית מחוץ לארגון, ומאפשר אימות לפי סטנדרטים מוגדרים מראש של הארגון.

Verified ID

פתרון זהויות מבוזרות (Verified ID) פועל על פי העיקרון שמשתמשים יכול (או צריכים) לשלוט בזהות הדיגיטלית שלהם. למשל, תעודת זהות מאומתת עובדת כמו דרכון דיגיטלי אשר מאוחסן ומנוהל ע״י המשתמש – לא ברמת הארגון או ברמת הטכנולוגית. למשתמשים יש את החופש לאשר או לדחות בקשות לשיתוף אישורי הזהות שלהם, ולקבל אסמכתאות על המשתמשים/זהויות שעמם שותפו אישורים אלה. פעולה זו מאפשרת למשתמש לבטל את הגישה בכל עת.

בכל פעם שנעשה שימוש באישור, הוא מאומת ע״י הארגון שהנפיק אותו.

verified id

תעודה מזהה’ מאומתת היא טכנולוגיה שמכה גלים ומשנה את האופן שבו אנו מבצעים אימות. זו הסיבה לכך שעליך להשתמש בתעודה מזהה מאומתת.

  • קליטה מהירה תאפשר אימות מבוסס הנפקה, קליטה ואימות מרחוק של זהות עבור משתמשים. בדרך כלל, תהליך זה לוקח זמן קצר (ממש ברמת דקות בודדות). למשתמשים תהיה גישה מאובטחת ונוחה ליישומים, לנתונים ולנכסים של הארגון, ועל סמך תעודות זהות שנשארות בשליטתם בלבד.
  • גישה מאובטחת תספק במהירות את האישורים והסטטוס של משתמש. זה, בתורו, יאפשר להעניק גישה לנתונים, נכסים או יישומים בהתבסס על עקרונות גישה מורשית.
  • שחזור חשבון יאפשר זיהוי מאומת שמייעל את אימות הזהות ומאפשר למשתמשים לאפס את הסיסמאות שלהם או לבצע פעולות אישיות (מבלי הצורך בתמיכה).
  • פתרונות מותאמים אישית תאפשר לבנות פתרונות מותאמים אישית עבור מגוון רחב של תרחישי שימוש באמצעות ערכות מפתחים, ממשקי API, תיעוד ועוד.

Permissions Management

ניהול הרשאות (Entra Permissions Management) הוא שירות ניהול זכאויות לתשתית ענן (CIEM). תפקידו של CIEM הוא להפוך את תהליך ניהול הזכאויות וההרשאות של משתמשים בסביבות ענן לאוטומטי ככל האפשר ולהפחית הרשאות בכל מצב.

ניהול הרשאות מנטר באופן רציף הרשאות משתמשים ברחבי הענן ומספק נראות מפורט בכל תשתיות הענן. בנוסף, טכנולוגיה זו אינה מוגבלת רק לענן של Azure ואפשר לקבל תובנות ותגובות מפורטות מספקי ענן כמו AWS, או GCP.

permissions management report

חלק מהבעיה בסביבות שבהן מפעילים פלטפורמות מרובות עננים היא שזה גורם להרשאות יתר שאינן מנוהלות וגורמות לחשיפת יתר. איך מתחילים להתמודד עם הבעיה המאוד גדולה הזאת יחד עם ניהול זכאויות והרשאות?

  • גילוי – הממשקים של ניהול הרשאות מספק נראות מפורטת ותצוגה מקיפה של כלל פעולה המבוצעת ע״י זהות כלשהי במשאב כלשהו. כל תנועה, אובייקט והגדרה מדווח לממשקים שמאפשרים לקבל מדדים המעריכים את הפער בין הרשאות שניתנו לבין הרשאות שנעשה בהן שימוש.
  • הפחתת הרשאות – ניהול הרשאות מאפשר הגדרת הרשאות נכונות בהתבסס על שימוש ופעילות וכן אכיפת הרשאות לפי דרישה. לאחר שנעשה זיהוי של סיכוני ההרשאות הקריטיים ביותר בתשתית, ניתן להפוך את אכיפת מדיניות ההרשאות הפחותה לאוטומטית. עבור תרחישים חד-פעמיים, אפשר לאכוף הרשאות באופן ספציפי (למשל, JIT) לתקופה מוגבלת, באמצעות תהליך אוטומטי.
  • נראות – מעקב אחר דפוסי שימוש בהרשאות והגדרת התראות הניתנות להתאמה אישית כדי לזהות שימוש חריג. באמצעות זיהוי אנומליה מבוסס למידת מכונה, אפשר לשפר את נוף האבטחה. בנוסף, תומך בחקירה ובתיקון מהיר ע״י הפקת דוחות פורנזיים עתירי הקשר הניתנים להתאמה אישית מלאה סביב זהויות, פעולות ומשאבים.

Workload Identities

עומסי עבודה (workload identities) הינו חלק קריטי בהנגשת אפליקציות ויישומים בענן, ולכן, סביבות ענניות שמכילות עומסי עבודה מוגדרים עם זהויות אנושיות. אלה מביאים בעיות ספציפיות. לדוגמה, ברגע שנוצרת זהות של עומס עבודה, יש ניראות מוגבלת לפעילות של זהות זו.

במצב כזה, זה יכול להקשות על מדידת ההשפעה של הסרת זהות, ועלול להוביל לכך שהארגון עלול (בפועל זה קורה) ישמור על זהויות מיותרות רבות. Workload Identities פותרים את הבעיות הללו והרבה אחרים, כולל זהויות לא אנושיות, ומעניקים נראות של ההרשאות, תנועות, פעילות וחשיפות אבטחה של עומסי העבודה בענן.

Entra Workload Identities נותנת את אותה רמת אבטחה עבור זהויות עומס עבודה כפי שניתן לקבל עבור משתמשים אנושיים.

overviewprivuseridentityworkflow
התרשים מתוך האתר של Thomas Naunheim.

Entra Workload Identities מאפשר:

  • זיהוי – Entra Workload Identities מאפשר זיהוי והכלה של איומים המכוונים מראש לעומסי עבודה שנפגעו וכאלה שאינן נפגעו.
  • נראות – ניתן לקבל תצוגה מפורטת של ההרשאות המוקצות לכל עומס עבודה, מה שמאפשר הערכה וכוונון של נוף הזהויות והאבטחה.
  • מדיניות גישה מותנית – יצירת כללי גישה מותנית המגדירים את הנסיבות שבהן עומס עבודה יכול לגשת למשאבים או לבצע פעולות ספציפיות.

Entra ID Governance

פיקוח על זהויות (Entra ID Governance) הוא חלק חשוב בזהויות ולעיתים רבות עלול לעשות את ההבדל בין ניהול נכון לבין ניהול שגורם לחשיפות קריטיות. לכן, אנו חייבים להיות מסוגלים לעקוב אחר זהות וגישה ולהיות מסוגלים לבטל גישה זו באופן מיידי כאשר אין בה עוד צורך. זה אמור לחול על משתמשים פנימיים וחיצוניים כאחד.

האפשרותך של Identity Governance מנגיש נראות וכלים על מנת שלמשתמשים המורשים, תהיה הגישה הנכונה למשאבים הנדרשים.

פיקוח על זהויות מעניק את היכולת לפקח על מחזור החיים של הזהויות, לפקח על מחזור החיים של הגישה ולאבטח גישה מורשית לניהול. כמו גם, מסוגל לבצע משימות אלה בין משתמשים, ספקים, שותפים עסקיים, ובין שירותים ויישומים, הן בסביבה המקומית והן בענן, או בסביבות מולטי ענניות.

כאמור, כל התכונות של פיקוח על זהויות שהקיימות ב Azure AD נמצאות ועדיין קיימות ועם זאת, כעת, כאשר פיקוח על זהויות הוא פונקציה בפני עצמה בתשתית Microsoft Entra, כעת, כלולים בה אפשרויות וכלים מתקדמים יותר המפשטים את ניהול הזהויות והפיקוח.

entra identity governance

היכולות של Entra Identity Governance מאפשרות בן היתר:

  • תהליכי עבודה במחזור חיים שמאפשרות להתאים תהליכי עבודה ומשימות שחוזרות על עצמן לאוטומטיות, כגון הכנסת משתמשים חדשים או הסרת אובייקטים לא רצויים וכיו״ב.
  • הפרדת תפקידים תאפשר אוטומציה של בקרות כך שזהויות לא יקבלו גישה מוגזמת, למשל, דרישה של יותר מאשר משתמש אחד המעורב בתהליך עסקי וזאת, בכדי להפחית את הסיכון להונאה.
  • חיבור והקצאת משאבים בחזרה ליישומים בסביבה המקומית.

Global Secure Access

כאשר יישומים ונתונים נמצאים בסביבות מולטי ענניות והיברידיות, יש צורך לאמת גישה בכל דרך ואחת מהן היא ברמת רשת המסופקת ונדרשת לענן. הנגשה זאת היא חלק מתוך Security Service Edge.

Microsoft Entra Internet Access וכן Microsoft Entra Private Access מהווים את פתרון Security Service Edge של Microsoft ו Global Secure Access הוא המאחד המשמש, הן, עבור Microsoft Entra Internet Access, והן, עבור Microsoft Entra Private Access.

גישה מאובטחת גלובלית היא המיקום המאוחד בממשק הניהול של Microsoft Entra והיא מבוססת על עקרונות הליבה של הנגשת ״אפס אמון״ כדי להשתמש בהרשאות מינימליות, לאמת במפורש ולהניח שלכל גישה עלולים להיות הפרות.

global secure access diagram

איך לנצל את טכנולוגיית Entra

ריבוי טכנולוגיות וכלי אבטחה במרחב האבטחה ארגוני עלולים ליצור פערים וחיכוכים מיותרים, ומשם לניצול לא נכון ומיטבי.

המימוש של הטכנולוגיות Entra המוזכרות כאן וכן שילובם יחד עם אינטגרציה טבעית מספקת תמונת אבטחה טובה יותר, ובגלל שהוא מאחד פתרונות לממשק ורפוסיטורי אחד (Directory), ומאפשר לנצל תשתית מורכבת מדור קודם המשתמשת בפתרונות טכנולוגיים מרובים – זה משפר את האבטחה, תוך הפחתת המורכבות והעלויות.

על-פי מחקר שנערך על-ידי Forrester Consulting, אימוץ Microsoft Entra מניב יתרונות אבטחה לצד יתרונות פיננסיים משמעותיים עבור ארגונים המאמצים אותה.

עיקרי הנקודות במחקר:

  • מודרניזציה של זהויות ואיחוד ממשקים הביאו לחיסכון בעלויות.
  • יישום מדיניות מבוססת סיכון מצמצם את ההפרות באחוזים רבים.
  • זמני ההמתנה לפיתוח פחתו בעשרות אחוזים.

איך Microsoft Entra נראה ממבט על? אין כמו מפה להראות את האפשרויות, יכולות ומרכיבים חשובים בניהול זהויות וגישה.

monosnap entra v1.pdf 2023 08 19 12 19 58

 

מפת הרכיבים המלאה של Microsoft Entra

איך לבסס אחיזה עם Service Principle ב Entra

דיונים, עדכונים והרבה מידע על Entra, הטכנולוגיות החדשות וזהויות בקבוצת Entra

Tags:

You may also like...

2 Responses

  1. הגדרת Entra Internet Access לתעבורת Microsoft 365 – אלי שלמה
    21/10/2023

    […] מבט כללי Microsoft Entra […]

  2. הגדרת Entra Internet Access לתעבורת Microsoft 365 - אלי שלמה
    24/10/2023

    […] מבט כללי Microsoft Entra […]

השאר תגובה

%d בלוגרים אהבו את זה: