Как консолидировать управление учетными записями в Microsoft Azure AD

Статья Йифтаха Кешета, директор по управлению продуктами, Silverfort

Сегодня корпоративные ИТ-среды крайне неоднородны и включают множество различных активов: от устаревших ИТ-инфраструктур до современных облачных нагрузок. По этой причине возникает потребность в различных IAM-решениях, каждое из которых отвечало бы за определенную среду: локальную, облачную, VPN-доступ и другие. Такие решения разрозненны, и их возможности защиты разных типов активов могут отличатся, — что создает проблемы управления и безопасности.

Что же касается защиты учетных записей, то здесь ситуация еще сложнее. Нативные облачные и веб-приложения можно защитить с помощью условного доступа (Azure AD Conditional Access), аутентификации на основе уровня риска и многофакторной аутентификации (MFA), что позволяет предотвратить 99% атак на учётные записи. Однако локальные корпоративные ресурсы, например, ИТ-инфраструктура, собственные приложения, инструменты командной строки, базы данных, файловые серверов и т. д. не поддерживаются ни функционалом SSO, ни Identity Protection в Azure AD. В итоге возникает серьезный пробел в безопасности ресурсов, который до сих пор не удавалось восполнить. 

Благодаря новому функционалу, описанному в этой статье, клиенты Silverfort впервые получили возможность стандартизировать защиту свих локальных и мультиоблачных УЗ в рамках платформы Azure AD. Теперь возможности Azure AD Conditional Access, Risk Based Authentication и Microsoft Authenticator MFA полностью применимы к тем ключевым ресурсам организации, которые раньше этими инструментами не поддерживались. К таким ресурсам относятся, например, элементы ИТ-инфраструктуры, собственные приложения, CLI-приложения и многое другое. Таким образом, Silverfort позволяет применять лучший функционал защиты учетных записей ко всем ресурсам и запросам аутентификации в компании.

Три шага для консолидации управления доступом в Azure AD

Silverfort позволяет бесшовно подключить управляемые приложения и ресурсы организаций к Azure AD, как если бы они были SAML-приложениями. Подключенные ресурсы отображаются в консоли Azure AD так же, как любое другое приложение, которое нативно поддерживает платформу Azure AD и настройку ее политик доступа.     

Переход к полной консолидации решений для защиты учетных записей в Azure AD включает три этапа:

1. Выявление всех приложений и ресурсов

На первом этапе необходимо выявить все приложения и ресурсы в локальной и мультиоблачной среде. Автоматизация этого процесса позволяет значительно сэкономить время крупным организациям, которые используют для работы сотни, если не тысячи приложений в своих локальных и мультиоблачных средах. Silverfort автоматически обнаруживает эти ресурсы и приложения и определяет, какие из них поддерживаются Azure AD SSO, а какие нет.

2. Миграция приложений, которые поддерживаются Azure AD

Для приложений на базе SAML, которые нативно поддерживаются Azure AD, Silverfort предоставляет  полезную информацию об их использовании приложения и его зависимостях. Такая информация позволяет ускорить и оптимизировать процесс миграции, так как помогает организациям приоритизировать миграционные процессы с учетом операционных и бизнес-потребностей. 

3. Подключение приложений, которые не поддерживают Azure AD

Silverfort позволяет подключить к Azure AD даже те приложения и ресурсы, которые нативно не поддерживаются этой платформой. Подключенные приложения отображаются на консоли Azure AD с иконкой Silverfort — теперь можно управлять политиками аутентификации и доступа для этих приложений через консоль Azure AD.

Как интеграция приложений в Azure AD выглядит для пользователей?

Когда подключение приложений к Azure AD и настройка политик аутентификации и доступа завершено, каждая попытка получить доступ к ресурсу отслеживается и проверяется на безопасность.      

Например, можно применить политику МФА для удаленной сессии PowerShell.

Прежде всего необходимо настроить политику, которая запрашивает МФА при запросе доступа к удаленному  контроллеру домена через PowerShell:

Для пользователя процедура получения доступа не изменится: как и прежде, нужно ввести команду PowerShell, имя контроллера домена и свои учётные данные. 

Однако благодаря реализации политики Azure AD вместо того, чтобы мгновенно получить доступ к контроллеру домена, пользователь должен ввести учетные данные во всплывающем диалоговом окне.  

После этого, в соответствии с политикой, пользователю приходит уведомление МФА на телефон.  

И только после того, как аутентификация прошла успешно, пользователь получает доступ к контроллеру домена.

Демонстрация бриджа Silverfort к MS Azure AD

Вот как выглядит эта интеграция вживую (английский язык):

Заключение

Аутентификацией и доступом к ресурсам, которыми нельзя управлять в Azure AD, приходится управлять с помощью других IAM-решений : Active Directory, ZTNA, VPN, локальной базы данных и т. д.  Из-за этого возникают трудности в управления и безопасности.   

Решение  Silverfort  без агентов и прокси позволяет бесшовно подключать управляемые приложения и ресурсы к Azure AD так, как будто они поддерживают SAML. После объединения всех ресурсов и приложений в консоли Azure AD управление аутентификацией и доступом к любым активам становится таким же простым, как если бы они нативно поддерживались платформой Azure AD, и к ним можно было применить ее политики доступа.

Консолидация гибридных IAM-решений означает оптимизацию и упрощение процедуры защиты учетных записей путем объединения инструментов, предназначенных для этого, в единый интерфейс.  Это — главный элемент для повышения уровня безопасности вашей организации и устойчивости к атакам с использованием скомпрометированных учетных данных для доступа к локальным и облачным ресурсам.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/