Högre säkerhet för Microsoft Entra ID-appar (Secure Future Initiative)

Pelarnamn: Skydda klientorganisationer och isolera produktionssystem
Mönsternamn: Högre säkerhet för Microsoft Entra ID-appar

Genom att implementera mönstret Högre säkerhet för Microsoft Entra-ID-appar ser Microsoft till att alla appar följer en hög och konsekvent säkerhetsstandard. Den här metoden minskar avsevärt risken för att Microsoft Entra-ID-program komprometteras, vilket skyddar dem från potentiella mål för angripare.

Kontext och problem

Microsoft Entra ID tillhandahåller ett enda identitetssystem för molnbaserade och lokala appar i en organisation. I takt med att identitetssystem blir mer sammankopplade och integrerade för programåtkomst blir de också ett huvudmål för angripare.

Microsoft Entra-ID-program kan, om de är felaktigt skyddade,:

  • Aktivera sidledsförflyttning via pivotpunkter mellan hyresgäster
  • Utnyttjas genom svag autentisering eller för höga behörigheter
  • Lagra hemligheter osäkert eller tillåt inaktuella äldre protokoll
  • Det kan bli skugginfrastruktur om livscykeln inte styrs

Ett intrång i även icke-produktionsbaserade eller lättanvända program kan ge åtkomst till känsliga miljöer, särskilt när flera klientkonfigurationer eller gästanvändare är inblandade. Den senaste tidens uppmärksammade attacker har visat att angripare ofta komprometterar identitetssystem genom förbisedda program eller externa tjänsthuvudnamn. Utmaningen är att se till att varje app, oavsett klientorganisations- eller användningsnivå, styrs till en konsekvent och hög säkerhetsstandard.

Lösning

Microsoft implementerade målet Högre säkerhet för Microsoft Entra ID-appar under Secure Future Initiative (SFI) för att höja säkerhetsfältet för alla program med Microsoft Entra-ID. Målet: hantera 100% appar till en säker, konsekvent baslinje genom automatisering, härdning och livscykelstyrning.

Viktiga åtgärder som vidtas är:

  • Borttagning av 730 000 oanvända program i produktivitets- och produktionsmiljöer.
  • Distribution av Microsoft Entra-programlagerprinciper för att begränsa appbeteende för flera klientorganisationer.
  • Ge tillstånd till globalt administratörsmedgivande för alla externa organisationer som begär appåtkomst.
  • Programcertifikat och hemliga begränsningar, inklusive tillämpning av Azure Key Vault-ort och PKI-ursprung.
  • Blockerar gästanvändares åtkomst till alla appar som inte uttryckligen har granskats och godkänts.
  • Tillämpning av programspecifik villkorlig åtkomst, med principer som begränsar extern autentisering och framtvingar minsta behörighet.

Tillsammans minskade dessa åtgärder Microsofts attackyta på appnivå, tog bort ohanterade tjänstens huvudnamn och låste extern åtkomst – utan att äventyra driftflexibiliteten.

Vägledning

Organisationer kan använda ett liknande mönster med hjälp av följande användbara metoder:

Användningsfall Rekommenderad åtgärd Resource
Appregistreringssäkerhet
  • Begränsa vem som kan registrera program i Microsoft Entra-ID och tillämpa granskningsprocesser för nya appregistreringar.
  • Programmen bör ha explicit tilldelning eller specificerad tilldelning.
 Delegera administratörsbehörigheter för programhantering – Microsoft Entra-ID
Nätfiskebeständig lösenordsfri autentisering Framtvinga kontinuerlig åtkomst med minsta möjliga behörighet med hjälp av nätfiskeresistenta autentiseringsmetoder. Kom igång med en nätfiskebeständig implementering av autentisering utan lösenord i Microsoft Entra ID
Hantering av certifikat och hemlighet
  • Använd Privileged Identity Management (PIM) för just-in-time (JIT) och just-enough-access (JEA) för att minimera stående administratörsprivilegier.
  • Ersätt långvariga klienthemligheter med certifikat eller hanterade identiteter för att minska risken för autentiseringsuppgifter.
 Migrera program från hemlig autentisering – Microsoft Entra-ID
Styrning av medgivande och behörigheter Begränsa användar- och administratörsmedgivande till endast godkända program och övervaka begärda API-behörigheter Konfigurera arbetsflödet för administratörsmedgivande – Microsoft Entra-ID
Villkorlig åtkomst för appar Tillämpa principer för villkorsstyrd åtkomst på program som kräver kompatibla enheter, stark autentisering eller specifika nätverksvillkor. Principmallar för villkorsstyrd åtkomst: Förenkla säkerheten – Microsoft Entra-ID

Fördelar

  • Minskad lateral rörelserisk: Vändpunkter mellan hyresgäster elimineras eller begränsas.
  • Konsekvent apphärdning: Alla program uppfyller en känd, framtvingad säkerhetsstandard.
  • Livscykelkontroll: Skuggappar eller äldre appar tas bort eller åtgärdas.
  • Säkerhet för autentiseringsuppgifter: Hemligheter ersätts med hanterade identiteter och nyckelvalvsstyrning.
  • Extern användarkontroll: Gäståtkomst övervakas, begränsas och kan återkallas via granskningsarbetsflöden.

Kompromisser

  • Djupgående identifiering och klassificering av befintliga Microsoft Entra-appar i flera miljöer.
  • Automatisering av livscykelkontroller, inklusive förfallotid, medgivandehantering och mjuk borttagning.
  • Minskad användarautonomi kring appmedgivande, ersatt med administrativa arbetsflöden.
  • Ändringar i tjänstens huvudnamnshantering, certifikatutfärding och standardbeteenden för autentisering.

Viktiga framgångsfaktorer

  • Procentandel appar som styrs av säkerhetsbaslinjer och principer för villkorsstyrd åtkomst
  • Antal övergivna eller inaktuella appar som tagits bort kvartalsvis
  • Återanvändning av autentiseringsuppgifter eller överbehörighetsbaserade appmått
  • Minskningar av gästanvändares åtkomst som är knutna till åtkomstgranskningar

Sammanfattning

Microsoft Entra ID-program kan bli en strategisk säkerhetsfördel. Genom att tillämpa metoder som livscykelstyrning och kontroll av autentiseringsuppgifter kan appar som tidigare var potentiella riskpunkter bli betrodda, härdade åtkomstvägar som är viktiga för din Zero Trust-arkitektur.

Ytterligare förstärka dina Microsoft Entra-ID-appar idag och skydda alla identiteter, appar och åtkomstpunkter bättre i klientekosystemet.

  • Last updated on