אלי שלמה

הגדרת Entra Internet Access לתעבורת Microsoft 365

by · 21/10/2023

הנגשת משאבים, מערכות ואפליקציות בענן או בסביבות היברידיות הינם פעולות פשוטות למדיי, וככל שהיישום פשוט יותר, כך פערי האבטחה והסיכונים גדולים הרבה יותר. לראייה המיסקונפיגורציה שגורמת לגניבת זהויות רבות, כולל גניבת זהויות שבהם יש טוקן אימות חזק, קרי, MFA.

המאמר הנוכחי מתמקד בהגדרת Entra Internet Access לתעבורת Microsoft 365.

ארגונים רבים מנגישים משאבים ומערכות באמצעות תשתית הזהויות של Entra ID ובפרט אוכפים את הסיגנלים הנדרשים באמצעות Entra Conditional Access, אלה מאפשרים לעבוד עם תנאים וחוקים במטרה למנוע, לסגור ולאמת כל דרישה, עם זאת, בשטח הדבר אינו כך וישנם פערים ומיסקונפיגורציות רבות הגורמות לגניבת זהויות.

רכיב אבטחה נוסף שבא לסייע להנגשת אפליקציות ולתשתית הזהויות הוא התשתית של Entra Internet Access והיכולות הרבות סביבו, וגם כאן, הגדרות שאינן נכונות עלולות לגרום לפערי אבטחה שאינם נראים. המאמר הנוכחי מתמקד בהגדרת Entra Internet Access לתעבורת Microsoft 365 ללא Tenant Resrictions.

מאמרים נוספים בעברית שנוגעים וצוללים לאפשרויות של Entra ID עם היכולות Access השונות.

מבט כללי Microsoft Entra

תחילת עבודה עם Entra Internet Access

יכולות מרכזיות של Internet Access

Microsoft Entra Internet Access מתפקד בתור Secure Web Gateway ממוקד זהויות עבור אפליקציות SaaS ותעבורת אינטרנט, בין היתר, מגן מפני תעבורת אינטרנט נגועה, תוכן לא בטוח, נתונים שאינם תואמים וכן סיכוני ואיומי אבטחה מגוונים. לצד Entra Private Access ושאר יכולות במערך הזהויות של Microsoft Entra, הוא מאחד את מדיניות הגישה לכל משאבי האינטרנט ואפליקציות SaaS, כולל Microsoft 365 והשילוב עם Microsoft Entra Conditional Access.

בנוסף, ניתן להשתמש ב Internet Access כדי להרחיב בקרות גישה פרטניות ומסתגלות עבור כל משתמש, נקודת קצה (כל מכשיר נתמך) או אתר מרוחק, ואלה יכולים להתחבר לכל יעד ברשת האינטרנט ואפליקציות SaaS – כל זאת, מבלי שיעדים אלה ידרשו איחוד מקומי עם תשתיות וספקי זהויות.

Internet Access מפשט והופך את אבטחת הרשת המודרנית למתקדמת יותר, וזאת בכדי להגן על משתמשים, אפליקציות ומשאבים באמצעות יכולות מתקדמות בסינון אינטרנט, הגנה על טננטים, מניעת אובדן נתונים ובדיקת מעמיקה ברמת הרשת. בנוסף, מציע אבטחה טובה יותר מסוגה וגישה ממוטבת עבור אפליקציות Microsoft 365.

אז, איך נראה Security Service Edge של מיקרוסופט? נחלק לשניים: Internet + Private כאשר כל אחד מהם עובד עם פרופיל רשת מותאם להנגשת אפליקציות ענן ויישומים במרחב האינטרנט. אלה יכולים להיעשות בשילוב יכולות אבטחה אחרות ואל מול כלים צד שלישי.

microsoft gsa high

היכולות של Entra Internet Access

היכולות של Entra Internet Access באות לידי ביטוי בהיבטים ומימדים רבים, בין היתר אפשר למנות את היכולות הבאות:

גישה מותנית אוניברסלית – ניהול ושליטה בגישה לכל יעדי האינטרנט תוך מינוף מדיניות גישה מותנית של Microsoft Entra. השילוב בין מדיניות מבוססת זהות לבין מדיניות גישה לרשת מסייעת לצמצם פערים וסיכונים (בעיקר הגנות) ולחזק את מצב האבטחה. ע״י ניהול מדיניות הגישה במקום אחד, ניתן להרחיב את בקרות הגישה המסתגלות באופן רוחבי כדי להסתמך על גישה מותנית, וגם על הערכת גישה רציפה (CAE) לכל יעד רשת כגון, יישומי SaaS שאינם מאוחדים – ללא צורך לשנות יישומים אלה.

הגנה מפני דליפת נתונים – הגרסה השניה של הגבלת טננים (Tenant Restriction v2) היא מנגנון חזק למניעת זליגת נתונים מתוך טננט וחילוץ נתונים, אלה מאפשרים ניהול סיכוני גישה חיצוניים של מכונות ורשתות המנוהלות ע״י יצירת רשימה פרטנית של התרה או דחייה של זהויות ויישומים לא מאומתים שניתן או לא לגשת אליהם. Internet Access מאפשר לאכוף הגבלת טננטים באופן רוחבי בפלטפורמות שונות וזאת ללא צורך בפרוקסי, ובכך להפחית את התקורה ולספק בקרות גמישות ופרטניות יותר.

הקטנת הסיכונים בגניבת טוקנים – Internet Access מציג את אפשרויות של תאימות רשת (Compliant Network) כמבנה משולב ופחות מורכב לניהול בתוך גישה מותנית. באמצעות שילוב אמצעי בקרה זה, ניתן להגן על יישומי ענן משולבים של Microsoft Entra מפני גניבת טוקנים ולהוריד את מספר האיומים והפערים על מנת שמשתמשים לא יעקפו מדיניות אבטחת רשת ברמת טננט בעת גישה לשירותי ענן קריטיים.

יכולת זאת נאכפת גם באמצעות הערכת גישה רציפה כדי למנוע באופן מיידי גישה לאפליקציות ולמשאבים של Microsoft 365 במקרה של גניבת טוקנים. במודל SSE, פרודוקטיביות המשתמש משופרת בהשוואה לגישות אבטחת רשת מסורתיות, מכיוון שבדיקת הרשת התואמת מאפשרת לאמת משתמשים מרוחקים מבלי הצורך להצמיד מיקומים.

נקודות מיקום אמינות (הקשרי IP לתעבורת רשת) – Entra Internet Access מאפשר לבצע התאמות לאחור של בדיקות מיקום מהימנות בגישה מותנית והערכת גישה מתמשכת, זיהוי סיכוני זהות ורישום, וזאת, ע״י הבטחת IP המקורי של המשתמשים שנשמר במערכת. הסיבה לכך היא שפרוקסי טיפוסי מערפל את הכתובת IP המקורי של המשתמש, ומפר את מדיניות המיקום בגישה מותנית, וכן משפיע על הדיוק של זיהוי סיכונים ותיעוד.

בקרות גישה לרשת עם גישה מותנית  – בכדי להרחיב את מדיניות הגישה המותנית הפרטנית למדיניות SWG ניתן להחיל מדיניות אבטחת רשת על כל יעד אינטרנט בהתבסס על התנאים הזמינים בגישה מותנית, כולל משתמש, נקודת קצה, מיקום וסיכונים.

תיעוד ותובנות עשירות – התנועה של משתמשים מוצגת באופן חזותי יחד עם כל הטרנזקציית, כגון, בקשה ותגובה המתרחשת באמצעות פתרון SSE. בתיעוד, ניתן להציג מידע חשוב שנאסף מהמכשיר, כגון מזהה המכשיר ושם מערכת הפעלה וגרסה. כמו גם, ניתן לראות מידע רלוונטי על תעבורה כגון כתובת IP, מקור, כתובת IP ויציאה של היעד ועוד.

הגדרת Entra Internet Access

גישה מאובטחת כללית (Global Secure Access או GSA) הוא החלק המרכזי במרכז הניהול של Microsoft Entra שבו ניתן להגדיר ולנהל את Microsoft Entra Internet Access.

הגדרת האפשרויות של Internet Access כחלק מגישה מאובטחת כללית מאפשרת לבודד את התעבורה עבור יישומים ומשאבים של Microsoft 365, כגון Exchange Online ו- SharePoint Online. במצב כזה, משתמשים יכולים לגשת למשאבים אלה ע״י התחברות לגישה מאובטחת גלובלית באמצעות מכונה מותאמת, דרך רשת מרוחקת וכן הלאה.

טיפ: הגדרות גישה מאובטחת כללית (GSA) הינם הגדרות פשוטות לכאורה, אך במידה ולא מיישמים אותן נכון אנו עלולים לגרום לפערים וסיכוני אבטחה.

בכדי לעבוד עם האפשרויות של Internet Access אנו ננדרשים לבצע מספר הגדרות. הגדרות אלה נחלקות להגדרות סביביות והגדרות מתקדמות. ההנחיות הבאות מאפשרות לבצע אכיפה בסיסית אך כזאת שהיא מספיק טובה בכדי לסגור פערים רבים.

  1. הפעלת פרופיל תעבורה של Microsoft 365.
  2. הגדרת Global Secure Access Client במכונות נתמכות.
  3. שילוב גישה מאובטחת גלובלית מול Conditional Access.

לאחר השלמת השלבים המוזכרים מעלה, אנו למעשה משפרים הגנות ויכולים למנוע מצבי תקיפה שונים, בעיקר כאלה שנוגעים לגניבת זהויות. במקרה כזה, משתמשים עם סוכן Global Secure Access המותקן במכונות Windows יכולים לגשת באופן מאובטח למשאבי Microsoft 365 מכל מקום. מדיניות גישה מותנית מחייבת משתמשים להשתמש בסוכן Global Secure Access או ברשת מרוחקת שתצורתה נקבעה, כאשר הם ניגשים ליישומים כמו Exchange Online או SharePoint Online.

טיפ: תנאים מבוססי CAP מחייבים בתוקף שלכל תנאי גישה יהיה תנאי חסימה, אחרת, אנו יוצרים מיסקונפיגורציה.בהפעלת פרופיל תעבורה של Microsoft 365

בממשק Entra צריך להפעיל את פרופיל התעבורה של Microsoft 365. פרופיל תעבורה ניתן להפעלה מתוך Traffic forwarding.

פרופיל תעבורה מסוג Microsoft 365 access profile מאפשרת להגדיר את סוג תעבורת הרשת. כאשר תעבורה מגיעה דרך גישה מאובטחת גלובלית (GSA), השירות עצמו (GSA) מבצע הערכה של סוג התעבורה, תחילה דרך פרופיל Microsoft 365 ורק לאחר מכן דרך פרופיל הגישה הפרטית. בכל תעבורה שאינה תואמת את שני הפרופילים הראשונים לא מועברת תעבורה לגישה מאובטחת גלובלית.

עבור כל פרופיל תעבורה, ניתן להגדיר שלושה אפשרויות עיקריות:

  • סוג תנועה שניתן להעביר
  • מדיניות גישה מותנית ליישום
  • כיצד משתמשי קצה מתחברים לשירות

טיפ: בממשק גישה מאובטחת כללית (GSA) ישנם פרופילי תעבורה קיימים שמצריכים הפעלה והגדרה, חלק מאותם הגדרות נעשות מול רכיבים נוספים שהם חלק מתוך גישה מאובטחת כללית (GSA) וחלק מרכיבי זהות אחרים, למשל, CAP. 

בממשק מסמנים את האפשרות של Microsoft 365 access profile ומוודאים הגדרות קיימות, כגון, המדיניות של Microsoft 365 traffic policies. המדיניות מציגה כתובות IP וכן FQDN הכלולים בקבוצה מול יישומים מוגדרים מראש של Microsoft 365.

traffic forwarding entra
טיפ: ניתן לבצע Bypass ליישומים מסויימים, כלומר, משתמשים עדיין יכולים לגשת ליישום, עם זאת, השירות אינו מעבד את התעבורה. ניתן לעקוף תעבורה לכתובת FQDN או IP ספציפית, או קבוצת מדיניות שלמה בתוך הפרופיל ובמצבי קצה גם לעקוף פרופיל Microsoft 365. לא מומלץ לבצע עקיפה (Bypass).
policies rules microsoft 365 profile microsoft entra

Linked Conditional Access policies – החלק האחרון בפרופיל הוא Linked Conditional Access policies. מדיניות גישה מותנית שאוכפת באמצעות פרופיל תעבורה יחד עם הגדרות של גישה מותנית. לדוגמה, ניתן ליצור מדיניות המחייבת שימוש במכונות מותאמות בעת גישה לשירותי Microsoft 365. התנאים והחוקים של Conditional Access policies מאפשרים שילוב של תעבורת רשת יחד עם סיגנלים נוספים בכדי לקבל כיסוי מקסימלי ותנאי גישה.

טיפ: בכדי לקבל הגנה מינימלית ויתרון של תנאים מבוססים Conditional Access policies המבנה של התנאים חייב לכלול לפחות ארבעה סיגנלים ואלה יכולים להיות תנאים מבוססים על גבי זהות, מיקום, מכונה, אפליקציה ותאימות רשת.

התקנת סוכן GSA

התקנת סוכן Global Secure Access הינה התקנה פשוטה שיכולה להיעשות בכל דרך או עם כל מערכת לניהול מכונות, למשל, Microsoft Intune.

Global Secure Access Client מאפשר שליטה על תעבורת הרשת מול מכונות שמבצעות חיבור ויש להן קישוריות, זה בתורו, מעניק את היכולת לנתב פרופילי תעבורה ספציפיים דרך Entra Internet Access או Entra Private Access. ניתוב תעבורה בשיטה זו מאפשר לשלב תנאים נוספים כמו הערכת גישה רציפה (CAE), תאימות למכשיר או אימות חזק (MFA) לצורך גישה ליישומים והנגשת אפליקציות.

הסוכן Global Secure Access מבצע תעבורה באמצעות התקן מקומי שמבצע סינון והוא מבוסס על LWF, בעוד שפתרונות רבים אחרים של SSE משתלבים כחיבור VPN. הבחנה זו מאפשרת לסוכן Global Secure Access להתקיים יחד עם פתרונות צד שלישי. סוכן Global Secure Access מבצע את התעבורה על סמך פרופילי רשת מוגדרים לפני פתרונות אחרים.

ישנם מספר דרישות סף של GSA

  • מכונה שמוגדרת לפי Microsoft Entra joined / Entra hybrid joined
  • רישוי Entra ID P1
  • מכונה מבוססת Windows 10 ומעלה

הורדת סוכן GSA נעשית מתוך ממשק Entra בחלק של Devices.

clients microsoft entra admin center

טיפ: במידה והגדרות Entra Internet Access קיימות במלואן כולל תנאים מבוססי CAP ולאחר התקנה של הסוכן, המכונה תדרוש הזדהות.

לאחר התקנת הסוכן צריך לוודא שהסרוויסים נמצאים במוד של Running והאבחון של המכונה מול Entra Internet Access נמצא במצב Acquisition.

monosnap gsaclient 2023 10 21 17 27 23

טיפ: התקנת הסוכן והחיבור יכולה להיעשות לאחר כלל ההגדרות של Entra Internet Access והדרישות הנוספות.

החיבור מול CAP

החיבור של פרופיל תעבורת רשת Microsoft 365 (גישה מאובטחת גלובלית – GSA) מצריך הגדרות מול Conditional Access Policies (בקצרה CAP) בכדי לבצע התניות ולאפשר גישה מורשית.

כאשר משלבים הגדרות גישה מותנית יחד עם גישה מאובטחת גלובלית, יכולים למנוע גישה לא תקינה/אמינה ליישומים, אפליקציות SaaS של צד שלישי ואפליקציות LOB תוך שימוש במספר תנאים כדי לספק הגנה מעמיקה. תנאים אלה עשויים לכלול תאימות למכשיר, מיקום ועוד כדי לספק הגנה מפני זהות המשתמש או גניבת טוקן. גישה מאובטחת גלובלית מציגה את הרעיון של תאימות רשת בתוך גישה מותנית והערכת גישה רציפה.

בדיקת רשת תואמת מבטיחה שמשתמשים מתחברים ממודל קישוריות רשת מאומת מול טננט ספציפי ותואמים למדיניות האבטחה שנאכפת ע״י המדיניות והגדרותיה.

סוכן Global Secure Access שנמצא במכונות מאפשר לאבטח משאבים מאחורי רשת תואמת עם בקרות גישה מותנית מתקדמים. רשת תואמת מקלה על תחזוקה וניהול, ללא צורך בניהול רשימה של כתובות IP, וכן, הצורך בסגירה של תעבורה דרך VPN כדי לספק אבטחה אמינה ככל האפשר.

בדיקת הרשת היא ברמת טטנט ואינה מאפשרת לטננט מסוים שאינו הוגדר לעבוד מול הטננט הארגוני, במצב כזה, לא תהיה גישה למשאבים והמכונה לא תוכל לבצע חיבור לאפליצקיות של הארגון.

monosnap session management microsoft entra admin center 2023 10 21 14 28 18

הפוליסי עצמו יכול להיות מוגדר בכמה רמות של הנגשת אפליקציות או חסימה, וכמובן, השילוב מול תנאים נוספים שמאחדים ביחד את הסיגנלים הנדרשים.

monosnap cap600 network protection gsa grant access with tou for m365 traffic for demo users microsoft entra admin center 2023 10 21 14 31 46

monosnap grant microsoft entra admin center 2023 10 21 14 32 35

לאחר השלמת השלבים המוזכרים מעלה, משתמשים עם סוכן Global Secure Access יכולים לגשת בצורה מאובטחת למשאבי Microsoft 365 מכל מקום. מדיניות גישה מותנית מחייבת משתמשים להשתמש בסוכן Global Secure Access או ברשת מרוחקת מוגדרת, כאשר הם ניגשים ליישומים כמו Exchange Online או SharePoint Online.

מאמרים נוספים

Microsoft Entra Documentation

Microsoft Entra Internet Access: An Identity-Centric Secure Web Gateway Solution

Persistence via App Registration in Entra ID

Tags:

You may also like...

השאר תגובה