Quick Wins om je Azure AD-beveiliging te versterken
Elke organisatie streeft ernaar om het aanvalsoppervlak van hun infrastructuur te verminderen om het veilig en betrouwbaar te maken. Als teamleden van de Microsoft Global Compromise Recovery Security Practice (CRSP) hebben we keer op keer gezien dat door de beveiligingshouding te verbeteren om het compromis moeilijker te maken dan gemiddeld, aanvallers met weinig vaardigheden meestal snel opgeven en naar het volgende doelwit gaan.
Met de veranderende cybersecurity landschappen is identiteit de nieuwe beveiligingsperimeter en horen we vaak dat een gecompromitteerde gebruiker de oorzaak was van een catastrofale cyberaanval.
Als we het hebben over identiteiten, is Azure Active Directory (Azure AD), onderdeel van de Microsoft Entra-productfamilie, een kritisch identiteitssysteem dat door de meeste organisaties wordt gebruikt en het dient als een enkel punt voor authenticatie en autorisatie van gebruikers tegen applicaties, resources en nog veel meer. Het is de kern van de zero trust-strategie van een organisatie.
In deze blog bespreken we elf Quick Wins om het aanvalsoppervlak van Azure AD te verminderen. Vanuit het oogpunt van een technicus zijn deze taken direct uitvoerbaar en vereisen ze minimale testen om ze in productie uit te rollen.
1. Segmenteer productiviteits- en cloudbeheeraccounts
Identiteit is de nieuwe beveiligingsperimeter. Als er één sleutel tot het koninkrijk is, zou het voor een aanvaller gemakkelijker zijn om de organisatie te domineren. Het gebruik van hetzelfde account voor productiviteitstaken en beheertaken brengt de beveiliging van de organisatie in gevaar. Met dit in gedachten moeten we de productiviteits- en beheeraccounts scheiden. Beperk de privileges van elke identiteit die wordt gebruikt voor productiviteit en cloudbeheer, en creëer aparte in-cloud beheeraccounts.
2. Beheer Emergency access-accounts veilig
Emergency access-accounts (Break-Glass-accounts) zijn zeer bevoorrechte accounts en hun gebruik is beperkt tot noodsituaties waarin andere beheeraccounts niet kunnen worden gebruikt. Organisaties moeten ervoor zorgen dat ze ten minste twee emergency access-accounts hebben aangemaakt volgens de best practices en dat ze niet zijn gekoppeld aan een individuele gebruiker.
De referenties van break-glass-accounts worden veilig opgeslagen, verlopen nooit en worden nooit gebruikt voor reguliere taken. Ten minste één emergency access-account moet worden uitgesloten van telefoon-gebaseerde multifactor-authenticatie (MFA) en van elke conditional access-policy die beheerders/gebruikers beperkt/toestaat om cloudapplicaties te openen. Aanmeldings- en auditactiviteiten moeten worden gecontroleerd met behulp van Azure AD-auditlogs.
3. Multifactor-authenticatie voor bevoorrechte accounts
Microsoft adviseert om MFA in te schakelen voor alle gebruikers. MFA kan meer dan 99,9% van de accountcompromissen blokkeren. Dit vereist uitgebreide tests en het blokkeren van verouderde authenticatieprotocollen. Vandaar dat deze kunnen worden beschouwd als middellange- en langetermijnverhardingsdoelen.
Als er op dit moment afzonderlijke in-cloud beheeraccounts zijn, adviseren wij om te beginnen met het afdwingen van MFA voor alle hoogst bevoorrechte gebruikers. We kunnen Conditional Access Policies gebruiken om MFA voor deze gebruikers uit te rollen. Zorg ervoor dat break-glass-beheerders zijn uitgesloten van het beleid voor noodgevallen in geval van een tenant-lockdown. Het gebruik van MFA en Conditional Access Policies zal de tijd en kosten voor hackers verhogen en uiteindelijk helpen om hun focus te verleggen.
4. Zero Trust-principe voor het beheren van SaaS-toepassingen via voorwaardelijke toegang
De Zero Trust-concept helpt bij het aanscherpen van de algehele beveiliging. Het beveiligen van de resources en het volgen van moderne authenticatieprincipes zal de organisatie helpen de beveiliging van de resources te behouden.
Altijd verifiëren, gebruik minimale privilege-toegang en ga ervan uit dat er sprake is van een inbreuk, dat is waar Zero Trust over gaat. Laten we een eenvoudig voorbeeld nemen van een bedrijfsnetwerk versus het openbare internet in een café. Een traditionele aanpak zegt dat het bedrijfsnetwerk beveiligd is door veel investeringen in termen van netwerkbeveiliging. Echter, volgens de nieuwe Zero Trust-benadering moeten we expliciet alle beschikbare gegevenspunten zoals identiteit, locatie en apparaat naleving verifiëren.
Als eerste stap kunnen organisaties een pilot starten met de apps die al zijn geïntegreerd met Azure AD. Bekijk implementatiehandleidingen en best practices om aan de slag te gaan met Conditional Access Policies en een veerkrachtig toegangsmodel op basis van Zero Trust-principes op te bouwen.
5. Evalueer Azure AD SSO voor applicaties
SSO (Single sign-on) biedt gemak en beveiliging voor gebruikers. Azure AD ondersteunt moderne authenticatieprotocollen en sterke authenticatiemechanismen. We kunnen zelfs apparaten zoals Cisco integreren met Azure AD voor authenticatie.
Azure AD-galerij bevat duizenden zakelijke productiviteitsapplicaties die vooraf zijn geïntegreerd. Overweeg als eerste stap nieuwe applicaties die in de organisatie worden geïntroduceerd voor integratie. Gebruik daarnaast Azure AD-gebruikersprovisionering voor een betere governance over de levenscyclus van identiteiten.
Een andere snelle taak is het evalueren van de applicaties die ‘claims aware’ zijn, en een bonus zou zijn om applicaties te identificeren die meerdere identiteitsproviders ondersteunen, omdat deze de eerste kandidaten kunnen zijn voor testen en uitrol.
6. Schakel Identity Governance in Azure AD in
Identity Governance is een gedefinieerde manier om de beveiliging van de organisatie in evenwicht te brengen door de levenscyclus van identiteiten te standaardiseren. Het helpt “wie toegang heeft tot wat” op een systematische manier te definiëren. Deze oplossing heeft geen nadelig effect op de productiviteit van de organisatie.
Met Entitlement Management kunnen toegangspakketten worden gecreëerd waarmee gebruikers toegang kunnen aanvragen tot groepen, apps, teams en SharePoint-sites die ze nodig hebben wanneer ze bij een nieuw project/team komen, in plaats van dit handmatig te verlenen. Entitlement ondersteunt ook samenwerkingsscenario’s.
Bovendien maken overmatige machtigingen de beveiligingshouding zwak en kwetsbaar. Toegangsbeoordelingen in Azure AD zijn een uitstekende functie om machtigingen voor organisatorische resources te beoordelen en te beheersen.
Organisaties kunnen deze functie gaan evalueren voor nieuwe toegang die moet worden verleend en geleidelijk overgaan naar het gebruik van toegangspakketten voor alle zakelijke productiviteitsapplicaties.
7. Detecteer gebruikers- en aanmeldingsrisico’s via Azure AD Identity Protection
Identity Protection is een krachtige functie in Azure AD die gebruik maakt van intelligentie die is verzameld uit Azure AD, Microsoft Accounts en XBOX. Zodra Identity Protection een aanmeldingsverzoek verwerkt, kunnen organisaties de signalen gebruiken om toegangsbeslissingen te nemen.
Identity Protection helpt bij het bepalen van het gebruikers-/aanmeldingsrisico en maakt vervolgens beslissingen mogelijk voor organisaties. Bijvoorbeeld om MFA te vereisen voor een medium of hoog aanmeldingsrisico wanneer een gebruiker wordt gevonden die verbinding maakt vanaf een anoniem IP of om een gebruiker te dwingen zijn wachtwoord te wijzigen wanneer Identity Protection bepaalt dat de inloggegevens van de gebruiker zijn gelekt op het dark web.
Organisaties kunnen starten met het evalueren van Identity Protection in de rapportagemodus door het simuleren van risicodetecties. Het Identity Protection Risk Analysis-werkboek zou een uitstekende manier zijn om de risico’s die door Identity Protection worden gegenereerd te monitoren en hun details te begrijpen.
8. Pas de minimale rechten toe via Azure RBAC
Rolbeveiligingsplanning is kritiek voor elke organisatie. Over-geprivilegieerde identiteiten die als vector voor aanvallen worden gebruikt, worden vaak gezien in compromisscenario’s.
Privileged Identity Management (PIM) helpt bij het verstrekken van tijdsgebonden toegang die verder kan worden bestuurd door goedkeuring toe te voegen voor het activeren van bevoorrechte rollen. Laten we het voorbeeld nemen van “DomainNameAdministrator”, een privilege dat vereist is bij het registreren van een domein in Azure AD – een zeer zeldzame activiteit. Een gebruiker hoeft dit privilege niet 24×7 te hebben, maar kan het activeren wanneer dat nodig is, wat hen in staat stelt de activiteit uit te voeren en de gebruiker na verloop van tijd te deprivilegeren op basis van het beleid.
PIM helpt extra controle en context toe te voegen bij het activeren van een rol, zoals MFA, rechtvaardiging voor rolactivering, meldingen naar beheerders sturen wanneer een rol is geactiveerd, toegangsbeoordelingen inschakelen en de activiteiten controleren. PIM kan ook worden gebruikt voor Azure-resources en Microsoft 365.
Het implementeren van PIM is een kritieke eerste stap waar organisaties actieve versus in aanmerking komende rollen kunnen evalueren. Een noodbeheerdersaccount moet bijvoorbeeld aanwezig zijn met een permanent het globale beheerdersrecht hebben, terwijl andere rollen minder urgent zijn.
9. Zwakke wachtwoorden elimineren met wachtwoordbeveiliging van Azure AD
“Summer2023!” lijkt een acceptabel wachtwoord met een hoofdletter, numerieke en speciale tekens, en voldoet waarschijnlijk aan de gebruikelijke minimale lengte-eisen. Dergelijke wachtwoorden zijn echter zwak tegen woordenboekaanvallen. Azure AD-wachtwoordbeveiliging is een geweldige functie waarmee een organisatie het gebruik van dergelijke wachtwoorden kan stoppen.
Wachtwoordbeveiliging biedt een wereldwijde en aangepaste lijst met verboden wachtwoorden. Deze functie kan worden gebruikt op domeincontrollers via lichte agenten. De installatie is snel en ondersteunt auditmodus, waarmee beheerders onveilig wachtwoordgebruik in de organisatie kunnen begrijpen om verbeteringen aan hun wachtwoordbeleid en gebruikersbegeleiding te plannen.
10. Beperken van gebruikersinstemming
Gebruikers kunnen toestemming verlenen aan applicaties om toegang te krijgen tot een beschermd bronbestand met behulp van toestemming. Laten we het voorbeeld nemen van een ticketsysteem dat incidenten genereert op basis van probleembeschrijvingen die door ondersteuningsgebruikers in e-mails worden ontvangen. Voor dit systeem is toestemming vereist om de mailbox van de gebruiker te lezen. Azure AD verleent standaard geen toestemming aan de applicatie tenzij de gebruiker toestemming geeft.
Als beheerder kunt u gebruikersinstemming uitschakelen, instemming toestaan voor geverifieerde applicaties of gebruikersinstemming toestaan voor alle applicaties. Microsoft raadt aan om gebruikersinstemming alleen te beperken tot geverifieerde applicaties en instemming te koppelen aan de machtigingen die zijn geselecteerd door de beheerders.
Quick win: een organisatie kan beginnen met het evalueren van toestemmingsaanvragen voor de beheerders om het toestemmingskader en de toestemmingservaring van de applicatie te begrijpen. Zodra de beheerders het belang begrijpen van het beveiligen van toestemming, zullen activiteiten zoals gebruikersbewustzijn en begrip van welke stromen administratieve toestemming vereisen en het evalueren van een verzoek om toestemming van de hele tenant worden gevolgd.
11. Continu monitoring van Azure AD en verbonden systemen
Monitoring is het meest kritieke en continu proces voor alle middelen, aangezien identiteitssystemen de ruggengraat zijn van de infrastructuur die Azure AD en de ondersteunende systemen zoals Azure AD Connect en AD Federation Services (ADFS) ondersteunt.
We bespraken het gebruik van Identity Protection voor het monitoren van gebruikersaanmeldingen. Als extra stap kunnen we Identity Protection integreren met Defender voor Cloud Apps. De integratie is snel en vereist alleen het inschakelen van een schakelknop. Dit stelt Azure AD Identity Protection in staat om signalen naar Defender for Cloud Apps te sturen, die de informatie kunnen verwerken en waarschuwingen kunnen genereren voor de Security Operations teams.
Azure AD Connect Health is een andere geweldige functie voor monitoring. Het helpt bij het waarborgen van de betrouwbaarheid van on-premises identiteitssystemen in een hybride identiteitsomgeving door kritieke gezondheidswaarschuwingen te geven, zoals kritieke ADFS-systeemproblemen, prestaties en connectiviteit. Daarnaast helpt het beveiligingsteams om mislukte aanmeldingen en trends in blokkades van ADFS-servers te identificeren. Implementatie is eenvoudig met behulp van lichtgewicht agents.
Extra quick wins: los de aanbevelingen op onder Identity Security Score. Identity Security Score weerspiegelt de algehele beveiligingshouding van Azure AD. Er zijn items met een lage impact en lage implementatiekosten die snel kunnen worden geëvalueerd en opgelost. Bekijk regelmatig de Identity Security Score om inzicht te krijgen in de huidige houding, bevindingen te evalueren en plannen te maken voor verbetering.
Beveiliging moet de hoogste prioriteit hebben voor een organisatie en Identiteit is het nieuwe slagveld. Om te beginnen moeten de beveiligingsteams de lacunes in de Azure AD-configuratie identificeren volgens de punten die in deze blogpost worden genoemd. De volgende stap zou zijn om de activiteiten te prioriteren. Terwijl de andere items misschien wat planning nodig hebben om uit te rollen, kunnen “Segregating productivity and cloud administration accounts”, “Securely managing Emergency access accounts” en “Enforcing least privilege via Azure RBAC” de Severity 1-items zijn om te worden opgelost, omdat ze snelle activiteiten zijn met een hoge impact op de beveiligingshouding.