Azure AD

איך מיישמים Zero Trust

סוכר ומלח נראים אותו הדבר אז איך אפשר להבדיל בינהם? כך גם הגישה במודל Zero Trust, והאם אפשר לדעת ולבטוח במי שמתחבר לארגון וצורך מידע? במאמרים האחרונים של Zero Trust התמקדתי במודלים, ארכיטקטורה, איפיון ועקרונות של Zero Trust ועל רבדיו… להמשיך לקרוא ‹

הגנה על זהויות וגישה Azure AD PIM

"ימים בודדים זה הממוצע שלוקח לתוקף, מרגע החדירה, עד להשגת גישה פריבילגית בארגון, ובמקרים רבים מאפשרת להגיע לאחיזה ושליטה ברשת הארגונית." כיום, רוב הארגונים מתחו (אות מותחים) את הסביבה המקומית אל ענן אחד או יותר, ובמצב כזה קשה יותר עד… להמשיך לקרוא ‹

איפיון מודל Zero Trust

מודל Zero Trust בנוי על זהויות, התקנים, אפליקציות, נתונים ורשתות אנו צריכים להתחשב באיפיון ארכיטקטורה בצורה נכונה על מנת שנוכל לאמת כל משתמש בהזדהות הראשונית ולוודא תנאים שונים כולל אנומליות טרם גישה לנתונים.

חשוב להדגיש כי ישנו הבדל מהותי בין איפיון ויישום Zero Trust המבוסס

מודל ואסטרטגית Zero Trust בסביבת Microsoft

מודל Zero Trust הינו מודל אשר בנוי על מספר עקרונות ,בין היתר על DAAS שמסתמך על זהויות, אפליקציות, מידע, ותשתית ולכן מצריך להציב את כלי האבטחה מותאמים ככל האפשר לשטח ההגנה וליצור "סביבות של מיקרו-פרמימטר" אשר נעות עם המשתמש בכל רגע נתון.

הזדהות מול מכונות מבוססת Azure AD

הזדהות מבוססת Azure AD מול מכונות וירטואליות היא בשורה, בגלל שאנו מורידים בעית אבטחה מהותית של עבודה עם משתמשים מקומיים שאינם מנוהלים ועוברים למצב של הזדהות מול Azure AD, ומנצלים את הכלים השונים כדוגמת Conditional Access ויכולים לאכוף מדיניות אבטחה.

זהויות, תקנים ופרוטוקולים OIDC

כיום ישנם מימושים רבים יותר על גבי SSO, על גבי SAML ועל גבי OAuth וניתן לראות זאת באפליקציות שאיתם עובדים ביומיום, יחד עם זאת המגמה שאליה ארגונים הולכים היא עם OIDC במטרה לצמצם את בעיות האבטחה של הפרוטוקולים והתקנים הישנים.

הקשחת רישום וגישה Azure AD

תנאים, חוקים והרשאות בגישה חיצונית מאפשרים לנו לנהל טוב יותר את הגורמים אשר צריכים גישה למשאבים והנכסים  השונים של הארגון, והפלטפורמה שמסייעת לנו לאכוף את כולם אותם דרישות הוא Azure AD Conditional Access.

בקרות וחיווי Azure AD Monitoring

ממשק הדוחות של Usage & insights – Authentication methods activity מספק דיווח חיוני מול משתמשים שאינם רשומים עם רכיבי Azure MFA וכן SSPR. מעבר לעובדה שהדוח סוגר פינה של אבטחת מידע הוא מסייע בפריסה של הרכיבים מול המשתמשים בארגון.

ניהול Session Controls בתשתית Azure AD

לאחרונה הוציאה Microsoft מספר יכולות חדשות לניהול ושליטה של טוקנים בשירות Azure AD, האפשרויות החדשות מאפשרות לנו לאכוף שליטה על משך הזמן שבו משתמש יכול להיות מחובר לשירות ולהגביל את פרק הזמן שהוא נדרש לבצע הזדהות חוזרת.

עולם ללא סיסמאות Windows Hello

למעשה ישנה תמיכה החל מהעדכון הקרוב (May 2019) או לחלופין על גבי גרסת Windows 10 Build 1903 של Windows Hello עם תקן FIDO2, ולמעה תאפשר פתיוח של אפליקציותף דסקטופים ומובייל לעשות שימוש עם תקן FIDO2.

בנוסף לכך התמיכה של דפדפנים שונים על גבי תקן FIDO2 גם תקבל תמיכה באופן מלא ותאפשר שילוב של Windows Hello