Статья Йифтаха Кешета, директор по управлению продуктами, Silverfort
Сегодня корпоративные ИТ-среды крайне неоднородны и включают множество различных активов: от устаревших ИТ-инфраструктур до современных облачных нагрузок. По этой причине возникает потребность в различных IAM-решениях, каждое из которых отвечало бы за определенную среду: локальную, облачную, VPN-доступ и другие. Такие решения разрозненны, и их возможности защиты разных типов активов могут отличатся, — что создает проблемы управления и безопасности.
Что же касается защиты учетных записей, то здесь ситуация еще сложнее. Нативные облачные и веб-приложения можно защитить с помощью условного доступа (Azure AD Conditional Access), аутентификации на основе уровня риска и многофакторной аутентификации (MFA), что позволяет предотвратить 99% атак на учётные записи. Однако локальные корпоративные ресурсы, например, ИТ-инфраструктура, собственные приложения, инструменты командной строки, базы данных, файловые серверов и т. д. не поддерживаются ни функционалом SSO, ни Identity Protection в Azure AD. В итоге возникает серьезный пробел в безопасности ресурсов, который до сих пор не удавалось восполнить.
Благодаря новому функционалу, описанному в этой статье, клиенты Silverfort впервые получили возможность стандартизировать защиту свих локальных и мультиоблачных УЗ в рамках платформы Azure AD. Теперь возможности Azure AD Conditional Access, Risk Based Authentication и Microsoft Authenticator MFA полностью применимы к тем ключевым ресурсам организации, которые раньше этими инструментами не поддерживались. К таким ресурсам относятся, например, элементы ИТ-инфраструктуры, собственные приложения, CLI-приложения и многое другое. Таким образом, Silverfort позволяет применять лучший функционал защиты учетных записей ко всем ресурсам и запросам аутентификации в компании.
Три шага для консолидации управления доступом в Azure AD
Silverfort позволяет бесшовно подключить управляемые приложения и ресурсы организаций к Azure AD, как если бы они были SAML-приложениями. Подключенные ресурсы отображаются в консоли Azure AD так же, как любое другое приложение, которое нативно поддерживает платформу Azure AD и настройку ее политик доступа.
Переход к полной консолидации решений для защиты учетных записей в Azure AD включает три этапа:
1. Выявление всех приложений и ресурсов
На первом этапе необходимо выявить все приложения и ресурсы в локальной и мультиоблачной среде. Автоматизация этого процесса позволяет значительно сэкономить время крупным организациям, которые используют для работы сотни, если не тысячи приложений в своих локальных и мультиоблачных средах. Silverfort автоматически обнаруживает эти ресурсы и приложения и определяет, какие из них поддерживаются Azure AD SSO, а какие нет.
2. Миграция приложений, которые поддерживаются Azure AD
Для приложений на базе SAML, которые нативно поддерживаются Azure AD, Silverfort предоставляет полезную информацию об их использовании приложения и его зависимостях. Такая информация позволяет ускорить и оптимизировать процесс миграции, так как помогает организациям приоритизировать миграционные процессы с учетом операционных и бизнес-потребностей.
3. Подключение приложений, которые не поддерживают Azure AD
Silverfort позволяет подключить к Azure AD даже те приложения и ресурсы, которые нативно не поддерживаются этой платформой. Подключенные приложения отображаются на консоли Azure AD с иконкой Silverfort — теперь можно управлять политиками аутентификации и доступа для этих приложений через консоль Azure AD.
Как интеграция приложений в Azure AD выглядит для пользователей?
Когда подключение приложений к Azure AD и настройка политик аутентификации и доступа завершено, каждая попытка получить доступ к ресурсу отслеживается и проверяется на безопасность.
Например, можно применить политику МФА для удаленной сессии PowerShell.
Прежде всего необходимо настроить политику, которая запрашивает МФА при запросе доступа к удаленному контроллеру домена через PowerShell:
Для пользователя процедура получения доступа не изменится: как и прежде, нужно ввести команду PowerShell, имя контроллера домена и свои учётные данные.
Однако благодаря реализации политики Azure AD вместо того, чтобы мгновенно получить доступ к контроллеру домена, пользователь должен ввести учетные данные во всплывающем диалоговом окне.
После этого, в соответствии с политикой, пользователю приходит уведомление МФА на телефон.
И только после того, как аутентификация прошла успешно, пользователь получает доступ к контроллеру домена.
Демонстрация бриджа Silverfort к MS Azure AD
Вот как выглядит эта интеграция вживую (английский язык):
Заключение
Аутентификацией и доступом к ресурсам, которыми нельзя управлять в Azure AD, приходится управлять с помощью других IAM-решений : Active Directory, ZTNA, VPN, локальной базы данных и т. д. Из-за этого возникают трудности в управления и безопасности.
Решение Silverfort без агентов и прокси позволяет бесшовно подключать управляемые приложения и ресурсы к Azure AD так, как будто они поддерживают SAML. После объединения всех ресурсов и приложений в консоли Azure AD управление аутентификацией и доступом к любым активам становится таким же простым, как если бы они нативно поддерживались платформой Azure AD, и к ним можно было применить ее политики доступа.
Консолидация гибридных IAM-решений означает оптимизацию и упрощение процедуры защиты учетных записей путем объединения инструментов, предназначенных для этого, в единый интерфейс. Это — главный элемент для повышения уровня безопасности вашей организации и устойчивости к атакам с использованием скомпрометированных учетных данных для доступа к локальным и облачным ресурсам.
