Azure 標(biāo)識管理和訪問控制安全最佳實踐,微軟azure云搭建服務(wù)器-ESG跨境

Azure 標(biāo)識管理和訪問控制安全最佳實踐,微軟azure云搭建服務(wù)器

Azure 標(biāo)識管理和訪問控制安全最佳實踐

本文介紹一系列Azure標(biāo)識管理和訪問控制安全最佳實踐。這些最佳做法衍生自我們的Azure AD經(jīng)驗和客戶經(jīng)驗。

對于每項最佳做法，本文將說明：

·最佳實踐是什么

·為何要啟用該最佳實踐

·如果無法啟用該最佳實踐，可能的結(jié)果是什么

·最佳實踐的可能替代方案

·如何學(xué)習(xí)啟用最佳實踐

這篇Azure標(biāo)識管理和訪問控制安全最佳實踐以共識以及Azure平臺功能和特性集（因為在編寫本文時已存在）為基礎(chǔ)。

撰寫本文的目的是，以引導(dǎo)你了解我們的一些核心功能和服務(wù)的“保護(hù)標(biāo)識基礎(chǔ)結(jié)構(gòu)的5個步驟”清單為指導(dǎo)，提供在部署后實現(xiàn)更可靠的安全狀況的總體路線圖。

看法和技術(shù)將隨著時間改變，本文會定期更新以反映這些更改。

本文中介紹的Azure標(biāo)識管理和訪問控制安全最佳實踐包括：

·將標(biāo)識視為主要安全邊界

·集中化標(biāo)識管理

·管理已連接的租戶

·啟用單一登錄

·啟用條件訪問

·計劃例程安全改進(jìn)

·啟用密碼管理

·對用戶強(qiáng)制執(zhí)行多重身份驗證

·使用基于角色的訪問控制

·降低特權(quán)帳戶的泄露風(fēng)險

·控制資源所在的位置

·使用Azure AD進(jìn)行存儲身份驗證

將標(biāo)識視為主要安全邊界

許多人認(rèn)為標(biāo)識是主要安全邊界。這與以網(wǎng)絡(luò)安全為重點(diǎn)的傳統(tǒng)做法不同。網(wǎng)絡(luò)邊界出現(xiàn)越來越多的漏洞，在BYOD設(shè)備和云應(yīng)用程序激增之前相比，邊界防御不再那樣有效。

Azure Active Directory(Azure AD)是用于標(biāo)識和訪問管理的Azure解決方案。Azure AD是Microsoft提供的多租戶、基于云的目錄和標(biāo)識管理服務(wù)。它將核心目錄服務(wù)、應(yīng)用程序訪問管理和標(biāo)識保護(hù)融入一個解決方案中。

以下部分列出了使用Azure AD實現(xiàn)標(biāo)識和訪問安全性的最佳做法。

最佳做法：圍繞用戶和服務(wù)標(biāo)識進(jìn)行安全控制和檢測。詳細(xì)信息：使用Azure AD并置控制和標(biāo)識。

集中化標(biāo)識管理

在混合標(biāo)識方案中，我們建議集成本地目錄和云目錄。通過集成，IT團(tuán)隊可以在一個位置集中管理帳戶，而不管帳戶是在哪里創(chuàng)建的。集成還通過提供用于訪問云和本地資源的通用標(biāo)識，從而幫助用戶提高工作效率。

最佳做法：建立一個Azure AD實例。一致性和一個權(quán)威源不僅會提高簡明性，還會減少人為錯誤和配置復(fù)雜性帶來的安全風(fēng)險。詳細(xì)信息：指定一個Azure AD目錄作為企業(yè)帳戶和組織帳戶的權(quán)威源。

最佳做法：將本地目錄與Azure AD進(jìn)行集成。

詳細(xì)信息：使用Azure AD Connect將本地目錄與云目錄同步。

備注

存在影響Azure AD Connect性能的因素。確保Azure AD Connect有足夠的容量來防止性能不佳的系統(tǒng)影響安全性和工作效率。大型或復(fù)雜的組織（預(yù)配超過100,000個對象的組織）應(yīng)遵循建議來優(yōu)化其Azure AD Connect實現(xiàn)。

最佳做法：不要將現(xiàn)有Active Directory實例中擁有高權(quán)限的帳戶同步到Azure AD。詳細(xì)信息：不要更改用于篩選掉這些帳戶的默認(rèn)Azure AD Connect配置。這種配置降低了對手從云轉(zhuǎn)向本地資產(chǎn)的風(fēng)險（這可能引發(fā)重大事件）。

最佳做法：啟用密碼哈希同步。

詳細(xì)信息：密碼哈希同步是用于將用戶密碼哈希從本地Active Directory實例同步到基于云的Azure AD實例的功能。此同步有助于防止重放先前攻擊中泄露的憑據(jù)。

即使決定使用Active Directory聯(lián)合身份驗證服務(wù)(AD FS)或其他標(biāo)識提供者進(jìn)行聯(lián)合身份驗證，也可以選擇性地設(shè)置密碼哈希同步作為備用機(jī)制，以應(yīng)對本地服務(wù)器發(fā)生故障或臨時不可用的情況。借助此同步，用戶可以使用與登錄本地Active Directory實例相同的密碼來登錄服務(wù)。如果用戶對其他未連接到Azure AD的服務(wù)使用過相同的電子郵件地址和密碼，此同步還可便于標(biāo)識保護(hù)將同步的密碼哈希與已知被盜用的密碼進(jìn)行比較，從而檢測被盜用的憑據(jù)。

有關(guān)詳細(xì)信息，請參閱使用Azure AD Connect同步實現(xiàn)密碼哈希同步。

最佳做法：對于新的應(yīng)用開發(fā)，使用Azure AD進(jìn)行身份驗證。詳細(xì)信息：使用正確的功能來支持身份驗證：

·面向員工的Azure AD

·面向來賓用戶和外部合作伙伴的Azure AD B2B

·用于控制客戶在使用應(yīng)用時如何注冊、登錄和管理配置文件的Azure AD B2C

未將其本地標(biāo)識與云標(biāo)識集成的組織在管理帳戶方面可能開銷更大。這種開銷增加了出錯和安全漏洞的可能性。

備注

你需要選擇關(guān)鍵帳戶將駐留在哪些目錄中，以及所使用的管理工作站是由新的云服務(wù)托管，還是由現(xiàn)有進(jìn)程托管。使用現(xiàn)有的管理和標(biāo)識預(yù)配流程可以降低一些風(fēng)險，但也可能會造成攻擊者入侵本地帳戶并轉(zhuǎn)向云的風(fēng)險。不妨對不同的角色（例如，IT管理員與業(yè)務(wù)部門管理員）使用不同的策略。您有兩種選擇：第一種選擇是，創(chuàng)建不與本地Active Directory實例同步的Azure AD帳戶。將管理工作站加入到Azure AD，這樣可以使用Microsoft Intune進(jìn)行管理和修補(bǔ)。第二種選擇是，通過同步到本地Active Directory實例來使用現(xiàn)有的管理員帳戶。使用Active Directory域中的現(xiàn)有工作站來實現(xiàn)管理和安全性。

管理已連接的租戶

你的安全組織需要能夠查看訂閱來評估風(fēng)險，并確定是否遵循了組織的策略和任何法規(guī)要求。你應(yīng)確保安全組織能夠查看所有（通過Azure ExpressRoute或站點(diǎn)到站點(diǎn)VPN）連接到生產(chǎn)環(huán)境和網(wǎng)絡(luò)的訂閱。Azure AD中的全局管理員/公司管理員可以將自己的訪問權(quán)限提升為用戶訪問管理員角色，并查看所有連接到環(huán)境的訂閱和管理組。

請參閱提升訪問權(quán)限以管理所有Azure訂閱和管理組，以確保你和你的安全組可以查看所有連接到環(huán)境的訂閱或管理組。你應(yīng)該在評估風(fēng)險后撤消此提升的訪問權(quán)限。

啟用單一登錄

在移動優(yōu)先、云優(yōu)先的世界中，你希望能夠從任意位置實現(xiàn)對設(shè)備、應(yīng)用和服務(wù)的單一登錄(SSO)，以便你的用戶隨時隨地都能高效工作。如果要管理多個標(biāo)識解決方案，則不僅會給IT人員造成管理問題，而且用戶還必須記住多個密碼。

通過對所有應(yīng)用和資源使用相同的標(biāo)識解決方案，可以實現(xiàn)SSO。并且不論資源是位于本地還是云中，用戶均可以使用相同憑據(jù)集登錄和訪問所需資源。

最佳做法：啟用SSO。

詳細(xì)信息：Azure AD將本地Active Directory擴(kuò)展到云。用戶可以將他們的主要工作或?qū)W校帳戶用于他們加入域的設(shè)備、公司資源以及完成工作所需的所有Web和SaaS應(yīng)用程序。用戶無需記住多組用戶名和密碼，系統(tǒng)會根據(jù)組織的組成員身份和員工身份的狀態(tài)，自動預(yù)配（或取消設(shè)置）應(yīng)用程序訪問權(quán)限?？梢葬槍鞈?yīng)用或者通過Azure AD應(yīng)用程序代理自行開發(fā)和發(fā)布的本地應(yīng)用控制訪問權(quán)限。

用戶可使用SSO基于Azure AD中的工作或?qū)W校帳戶訪問SaaS應(yīng)用程序。這不僅適用于Microsoft SaaS應(yīng)用，還適用于其他應(yīng)用，例如Google Apps和Salesforce。應(yīng)用程序可配置為使用Azure AD作為基于SAML的標(biāo)識提供者。作為安全控制機(jī)制，Azure AD不會發(fā)出允許用戶登錄應(yīng)用程序的令牌，除非用戶已通過Azure AD獲取了訪問權(quán)限。可以直接或者通過用戶所屬的組授予訪問權(quán)限。

如果組織沒有通過創(chuàng)建通用標(biāo)識來為用戶和應(yīng)用程序?qū)崿F(xiàn)SSO，那么用戶擁有多個密碼的情況就更容易出現(xiàn)。這種情況增加了用戶重復(fù)使用同一密碼或使用弱密碼的可能性。

啟用條件訪問

用戶可能會從任意位置使用各種設(shè)備和應(yīng)用訪問組織的資源。作為一名IT管理員，你需要確保這些設(shè)備符合安全性和符合性標(biāo)準(zhǔn)。僅關(guān)注誰可以訪問資源不再能滿足需求。

為了平衡安全性與工作效率，在做出訪問控制決策之前，需要考慮如何訪問資源。使用Azure AD條件訪問，可以滿足這一需求。使用條件訪問，可以根據(jù)訪問云應(yīng)用的條件做出自動訪問控制決策。

最佳做法：管理和控制對公司資源的訪問。

詳細(xì)信息：根據(jù)SaaS應(yīng)用和Azure AD連接的應(yīng)用的組、位置和應(yīng)用敏感度，配置通用Azure AD條件訪問策略。

最佳做法：阻止舊身份驗證協(xié)議。詳細(xì)信息：攻擊者每天都在利用舊協(xié)議中的弱點(diǎn)，尤其是密碼噴射攻擊。配置條件訪問來阻止舊協(xié)議。

計劃例程安全改進(jìn)

安全性一直在不斷發(fā)展，在云和標(biāo)識管理框架中構(gòu)建一種定期顯示安全性發(fā)展并發(fā)現(xiàn)保護(hù)環(huán)境的新方法是很重要的。

標(biāo)識安全分?jǐn)?shù)是Microsoft發(fā)布的一組建議的安全控制，旨在為你提供一個數(shù)字分?jǐn)?shù)，以便客觀地度量你的安全狀況，并幫助計劃未來的安全改進(jìn)。你還可以查看你的分?jǐn)?shù)與其他行業(yè)分?jǐn)?shù)的比較，以及你自己的分?jǐn)?shù)在一段時間內(nèi)的趨勢。

最佳做法：根據(jù)你所在行業(yè)的最佳做法來計劃例程安全評審和改進(jìn)。詳細(xì)信息：使用標(biāo)識安全分?jǐn)?shù)功能對你在一段時間內(nèi)的改進(jìn)進(jìn)行排名。

啟用密碼管理

如果有多個租戶或者你想要允許用戶重置自己的密碼，則必須使用適當(dāng)?shù)陌踩呗詠矸乐篂E用。

最佳做法：為用戶設(shè)置自助式密碼重置(SSPR)。

詳細(xì)信息：使用Azure AD自助式密碼重置功能。

最佳做法：監(jiān)視是否在使用SSPR及其使用情況。

詳細(xì)信息：通過使用Azure AD密碼重置注冊活動報表監(jiān)視正在注冊的用戶。Azure AD提供的報表功能可幫助使用預(yù)生成的報表來回答問題。如果有相應(yīng)的授權(quán)，還可以創(chuàng)建自定義查詢。

最佳做法：將基于云的密碼策略擴(kuò)展到本地基礎(chǔ)結(jié)構(gòu)。詳細(xì)信息：通過對本地密碼更改執(zhí)行與對基于云的密碼更改執(zhí)行的相同檢查，增強(qiáng)組織中的密碼策略。為本地Windows Server Active Directory代理安裝Azure AD密碼保護(hù)，以將禁止的密碼列表擴(kuò)展到現(xiàn)有基礎(chǔ)結(jié)構(gòu)。更改、設(shè)置或重置本地密碼的用戶或管理員必須與僅限云的用戶遵循相同的密碼策略。

對用戶強(qiáng)制執(zhí)行多重身份驗證

建議對所有用戶要求進(jìn)行雙重驗證。這包括組織中的管理員和其他人員，如果他們的帳戶泄露，可能會產(chǎn)生重大影響（例如，財務(wù)官員）。

要求雙重驗證有多種選項。最佳選項取決于你的目標(biāo)、正在運(yùn)行的Azure AD版本以及許可計劃。請參閱如何要求對用戶進(jìn)行雙重驗證了解最佳選項。有關(guān)許可證和定價的詳細(xì)信息，請參閱Azure AD和Azure AD多重身份驗證定價頁。

以下是啟用雙重驗證的選項和優(yōu)勢：

選項1：使用Azure AD安全默認(rèn)值為所有用戶和登錄方法啟用MFA優(yōu)勢：借助此選項，可以輕松、快速地為環(huán)境中的所有用戶強(qiáng)制執(zhí)行MFA，同時采用嚴(yán)格的策略來執(zhí)行以下操作：

·質(zhì)詢管理帳戶和管理登錄機(jī)制

·要求通過Microsoft Authenticator對所有用戶進(jìn)行MFA質(zhì)詢

·限制舊身份驗證協(xié)議。

此方法可用于所有許可層，但不能與現(xiàn)有的條件訪問策略混合使用。你可以在Azure AD安全默認(rèn)值中找到更多信息

選項2：通過更改用戶狀態(tài)啟用多重身份驗證。

優(yōu)勢：這是要求進(jìn)行雙重驗證的傳統(tǒng)方法。它適用于云中的Azure AD多重身份驗證和Azure多重身份驗證服務(wù)器。使用此方法要求用戶在每次登錄時都執(zhí)行雙重驗證，并且會替代條件訪問策略。

若要確定需要啟用多因素身份驗證的位置，請參閱哪個版本的AZURE AD MFA適用于組織？。

選項3：使用條件訪問策略啟用多重身份驗證。優(yōu)勢：借助此選項，可以使用條件訪問在特定條件下提示進(jìn)行雙重驗證。特定條件可以是用戶從不同位置、不受信任的設(shè)備或你認(rèn)為存在風(fēng)險的應(yīng)用程序登錄。定義要求雙重驗證的特定條件可以避免不斷提示用戶這種令人不快的用戶體驗。

這是為用戶啟用雙重驗證最靈活的方式。啟用條件性訪問策略僅適用于云中Azure AD多重身份驗證，并且是Azure AD的高級功能。可以在部署基于云的Azure AD多重身份驗證中找到有關(guān)此方法的詳細(xì)信息。

選項4：通過評估基于風(fēng)險的條件訪問策略，使用條件訪問策略啟用多重身份驗證。

優(yōu)勢：此選項使你能夠：

·檢測影響組織標(biāo)識的潛在漏洞。

·配置自動響應(yīng)與組織標(biāo)識相關(guān)的可疑操作。

·調(diào)查可疑事件，并采取適當(dāng)?shù)拇胧┻M(jìn)行解決。

此方法使用“Azure AD標(biāo)識保護(hù)”風(fēng)險評估來確定是否需要基于所有云應(yīng)用程序的用戶和登錄風(fēng)險進(jìn)行雙重驗證。此方法需要Azure Active Directory P2授權(quán)。有關(guān)此方法的詳細(xì)信息，請參閱Azure Active Directory標(biāo)識保護(hù)。

備注

選項2，通過更改用戶狀態(tài)啟用多重身份驗證會替代條件訪問策略。由于選項3和4使用條件性訪問策略，因此不能將選項2與它們一起使用。

未添加額外標(biāo)識保護(hù)層（如雙重驗證）的組織將更容易受到憑據(jù)竊取攻擊。憑據(jù)竊取攻擊可能導(dǎo)致數(shù)據(jù)泄漏。

使用基于角色的訪問控制

對于任何使用云的組織而言，云資源的訪問管理至關(guān)重要。Azure RBAC)的基于角色的訪問控制(可幫助你管理有權(quán)訪問Azure資源的人員、他們可以對這些資源執(zhí)行哪些操作以及他們有權(quán)訪問哪些區(qū)域。

在Azure中指定負(fù)責(zé)特定職能的組或各個角色有助于避免混亂，這些混亂可能會導(dǎo)致造成安全風(fēng)險的人為錯誤和自動化錯誤。對于想要實施數(shù)據(jù)訪問安全策略的組織而言，必須根據(jù)需要知道和最低權(quán)限安全策略限制訪問權(quán)限。

你的安全團(tuán)隊需要能夠查看Azure資源，以便評估和修正風(fēng)險。如果安全團(tuán)隊具有運(yùn)營職責(zé)，則需要額外的權(quán)限來完成他們的作業(yè)。

可以使用AZURE RBAC向特定范圍內(nèi)的用戶、組和應(yīng)用程序分配權(quán)限。角色分配的范圍可以是訂閱、資源組或單個資源。

最佳做法：在團(tuán)隊中分離職責(zé)，只向用戶授予執(zhí)行作業(yè)所需的訪問權(quán)限。只允許在特定范圍內(nèi)執(zhí)行特定操作，而不要在Azure訂閱或資源中向每個人都授予無限制權(quán)限。詳細(xì)信息：使用Azure中的Azure內(nèi)置角色向用戶分配權(quán)限。

備注

特定的權(quán)限會造成不必要的復(fù)雜性和混亂，進(jìn)而積累為很難在不擔(dān)心造成破壞的情況下進(jìn)行修復(fù)的“舊”配置。避免特定于資源的權(quán)限。而是將管理組用于企業(yè)范圍內(nèi)的權(quán)限，并將資源組用于訂閱中的權(quán)限。避免用戶特定的權(quán)限。而是向Azure AD中的組分配權(quán)限。

最佳做法：向具有Azure職責(zé)的安全團(tuán)隊授予對Azure資源的訪問權(quán)限，以便他們可以評估和修正風(fēng)險。詳細(xì)信息：授予安全團(tuán)隊Azure RBAC安全讀者角色?？梢允褂酶芾斫M或段管理組，具體視職責(zé)范圍而定：

根管理組：用于負(fù)責(zé)所有企業(yè)資源的團(tuán)隊

段管理組：用于范圍有限的團(tuán)隊（通常是由于法規(guī)或其他組織邊界所致）

最佳做法：向具有直接運(yùn)營職責(zé)的安全團(tuán)隊授予適當(dāng)?shù)臋?quán)限。詳細(xì)信息：查看適用于角色分配的Azure內(nèi)置角色。如果內(nèi)置角色不能滿足組織的具體需求，則可以創(chuàng)建Azure自定義角色。與內(nèi)置角色一樣，可以在訂閱、資源組和資源范圍內(nèi)向用戶、組和服務(wù)主體分配自定義角色。

最佳做法：向需要的安全角色授予Azure安全中心訪問權(quán)限。使用安全中心，安全團(tuán)隊可以快速發(fā)現(xiàn)和修正風(fēng)險。詳細(xì)信息：將這些安全團(tuán)隊添加到Azure RBAC安全管理員角色，以便他們可以查看安全策略、查看安全狀態(tài)、編輯安全策略、查看警報和建議，以及消除警報和建議。你可以使用根管理組或段管理組來執(zhí)行此操作，具體取決于職責(zé)范圍。

不通過使用Azure RBAC等功能實施數(shù)據(jù)訪問控制的組織可能會向其用戶提供比所需權(quán)限更多的特權(quán)。允許用戶訪問他們不應(yīng)該有權(quán)訪問的數(shù)據(jù)類型（例如，對業(yè)務(wù)有重大影響的數(shù)據(jù)）可能會導(dǎo)致數(shù)據(jù)泄露。

降低特權(quán)帳戶的泄露風(fēng)險

保護(hù)特權(quán)訪問是保護(hù)業(yè)務(wù)資產(chǎn)的首要步驟。減少擁有訪問權(quán)限的人員以保護(hù)信息或資源安全，這樣可以減小惡意用戶獲得訪問權(quán)限，或者已授權(quán)用戶無意中影響敏感資源的可能性。

特權(quán)帳戶是指掌控和管理IT系統(tǒng)的帳戶。網(wǎng)絡(luò)攻擊者會攻擊這些帳戶來獲取組織數(shù)據(jù)和系統(tǒng)的訪問權(quán)限。為了保護(hù)特權(quán)訪問，應(yīng)隔離此類帳戶和系統(tǒng)，使其免受惡意用戶的威脅。

建議制定并遵循一個路線圖，防止特權(quán)訪問受到網(wǎng)絡(luò)攻擊者的攻擊。若要詳細(xì)了解如何在Azure AD、Microsoft Azure、Microsoft 365和其他云服務(wù)中管理或報告的安全身份和訪問，請參閱Azure AD中的保護(hù)混合和云部署的特權(quán)訪問。

以下內(nèi)容總結(jié)了確保Azure AD中混合部署和云部署的特權(quán)訪問安全性中介紹的最佳做法：

最佳做法：管理、控制和監(jiān)視對特權(quán)帳戶的訪問。

詳細(xì)信息：啟用Azure AD Privileged Identity Management。啟用Privileged Identity Management以后，會收到有關(guān)特權(quán)訪問角色更改的通知電子郵件。向目錄中的高特權(quán)角色添加更多用戶時，這些通知相當(dāng)于早期警告。

最佳做法：確保所有關(guān)鍵管理員帳戶都是托管的Azure AD帳戶。詳細(xì)信息：從關(guān)鍵管理員角色中刪除所有使用者帳戶（例如，hotmail.com、live.com和outlook.com等Microsoft帳戶）。

最佳做法：確保所有關(guān)鍵管理員角色都有一個單獨(dú)的帳戶來執(zhí)行管理任務(wù)，以免發(fā)生網(wǎng)絡(luò)釣魚和其他入侵管理權(quán)限的攻擊。詳細(xì)信息：創(chuàng)建一個單獨(dú)的管理員帳戶，向其分配執(zhí)行管理任務(wù)所需的權(quán)限。阻止使用這些管理帳戶進(jìn)行Microsoft 365電子郵件或任意web瀏覽等日常生產(chǎn)力工具。

最佳做法：對特許權(quán)限高的角色中的帳戶進(jìn)行標(biāo)識和分類。

詳細(xì)信息：啟用Azure AD Privileged Identity Management后，請查看角色為全局管理員、特權(quán)角色管理員和其他高特權(quán)角色的用戶。請刪除在這些角色中不再需要的任何帳戶，并對剩余的分配給管理員角色的帳戶分類：

·單獨(dú)分配給管理用戶，可用于非管理性目的（例如，個人電子郵件）

·單獨(dú)分配給管理用戶，按規(guī)定只能用于管理目的

·跨多個用戶共享

·適用于緊急訪問情況

·適用于自動化腳本

·適用于外部用戶

最佳做法：實行“實時”(JIT)訪問可進(jìn)一步降低特權(quán)的曝光時間，并提高對特權(quán)帳戶使用情況的可見性。

詳細(xì)信息：利用Azure AD Privileged Identity Management，可以：

限制用戶只接受他們的權(quán)限JIT。

分配時限更短的角色，確信權(quán)限會自動撤消。

最佳做法：定義至少兩個緊急訪問帳戶。

詳細(xì)信息：可以使用緊急訪問帳戶來幫助組織限制現(xiàn)有Azure Active Directory環(huán)境中的特權(quán)訪問。這些帳戶擁有極高的特權(quán)，不要將其分配給特定的個人。緊急訪問帳戶只能用于不能使用正常管理帳戶的情況。組織必須將緊急賬戶的使用限制在必要時間范圍內(nèi)。

評估已經(jīng)獲得或有資格獲得全局管理員角色的帳戶。如果使用*.onmicrosoft.com域（用于緊急訪問）看不到任何僅限云的帳戶，請創(chuàng)建此類帳戶。有關(guān)詳細(xì)信息，請參閱在Azure AD中管理緊急訪問管理帳戶。

最佳做法：準(zhǔn)備“破窗”流程，以備緊急情況時使用。詳細(xì)信息：按照確保Azure AD中混合部署和云部署的特權(quán)訪問安全性中的步驟操作。

最佳做法：要求所有關(guān)鍵管理員帳戶都是無密碼的（首選），或要求進(jìn)行多重身份驗證。詳細(xì)信息：使用Microsoft Authenticator應(yīng)用登錄任何Azure AD帳戶，而不需要使用密碼。與Windows Hello for Business一樣，Microsoft Authenticator使用基于密鑰的身份驗證來啟用與設(shè)備綁定的用戶憑據(jù)，并使用生物識別身份驗證或PIN。

對于永久分配給一個或多個Azure AD管理員角色的單個用戶，要求在登錄時進(jìn)行Azure AD多重身份驗證：全局管理員、特權(quán)角色管理員、Exchange Online管理員和SharePoint Online管理員。為管理員帳戶啟用多重身份驗證，并確保管理員帳戶用戶已注冊。

最佳做法：對于關(guān)鍵管理員帳戶，需要有不允許執(zhí)行生產(chǎn)任務(wù)（例如，瀏覽和電子郵件）的管理工作站。這會保護(hù)你的管理員帳戶免受使用瀏覽和電子郵件的攻擊途徑的侵害，并大大降低發(fā)生重大事件的風(fēng)險。詳細(xì)信息：使用管理工作站。選擇工作站安全級別：

·高度安全的效率提升設(shè)備為瀏覽和其他效率提升任務(wù)提供高級安全性。

·特權(quán)訪問工作站(PAW)為敏感任務(wù)提供免受Internet攻擊和威脅攻擊途徑侵害的專用操作系統(tǒng)。

最佳做法：在員工離開組織時，取消設(shè)置管理員帳戶。詳細(xì)信息：準(zhǔn)備一個流程，在員工離開組織時禁用或刪除管理員帳戶。

最佳做法：使用最新的攻擊技術(shù)定期測試管理員帳戶。詳細(xì)信息：使用Microsoft 365攻擊模擬器或第三方產(chǎn)品/服務(wù)在你的組織中運(yùn)行現(xiàn)實的攻擊方案。這樣有助于在真正攻擊發(fā)生之前發(fā)現(xiàn)易受攻擊的用戶。

最佳做法：采取措施來緩解最常用的攻擊技術(shù)的沖擊。

詳細(xì)信息：確定管理角色中那些需要切換到工作或?qū)W校帳戶的Microsoft帳戶

對于全局管理員帳戶，請確保使用單獨(dú)的用戶帳戶和郵件轉(zhuǎn)發(fā)功能

確保最近更改過管理帳戶的密碼

啟用密碼哈希同步

要求對所有特權(quán)角色用戶和公開的用戶進(jìn)行多重身份驗證

獲取Microsoft 365安全分?jǐn)?shù)（如果使用Microsoft 365）

查看Microsoft 365安全指導(dǎo)(如果使用Microsoft 365)

配置Microsoft 365活動監(jiān)視（如果使用Microsoft 365）

確定事件/緊急情況響應(yīng)計劃所有者

保護(hù)本地特權(quán)管理帳戶

如果不保護(hù)特權(quán)訪問，你可能會擁有過多高特權(quán)角色用戶，并且更易受到攻擊。惡意操作者（包括網(wǎng)絡(luò)攻擊者）通常會以管理員帳戶和特權(quán)訪問的其他元素為目標(biāo)，通過憑據(jù)竊取獲得敏感數(shù)據(jù)和系統(tǒng)的訪問權(quán)限。

控制創(chuàng)建資源的位置

非常重要的一點(diǎn)是，既要允許云操作員執(zhí)行任務(wù)，同時又要防止他們違反管理組織資源所需的慣例。想要控制創(chuàng)建資源的位置的組織應(yīng)該對這些位置進(jìn)行硬編碼。

可以使用Azure資源管理器創(chuàng)建安全策略，其中的定義描述了會明確遭到拒絕的操作或資源?？梢栽谒璺秶ɡ缬嗛?、資源組或是單個資源）分配這些策略定義。

備注

安全策略不同于Azure RBAC。他們實際使用Azure RBAC來授權(quán)用戶創(chuàng)建這些資源。

無法控制資源創(chuàng)建方式的組織更容易因用戶創(chuàng)建的資源超過所需數(shù)目，而產(chǎn)生濫用服務(wù)的情況。強(qiáng)化資源創(chuàng)建過程是保護(hù)多租戶方案的重要步驟。

主動監(jiān)視可疑活動

主動身份監(jiān)視系統(tǒng)可以快速檢測可疑行為并觸發(fā)警報以進(jìn)行進(jìn)一步調(diào)查。下表列出了兩個可幫助組織監(jiān)視其標(biāo)識的Azure AD功能：

最佳做法：采用一種方法來確定：

·未受跟蹤的登錄嘗試。

·針對特定帳戶的暴力攻擊。

·從多個位置的登錄嘗試。

·從受感染的設(shè)備登錄。

·可疑IP地址。

詳細(xì)信息：使用Azure AD Premium異常報告。制定相應(yīng)的流程和過程，使IT管理員每天或按需（通常在事件響應(yīng)方案中）運(yùn)行這些報告。

最佳做法：安裝一個主動監(jiān)視系統(tǒng)，用于通知風(fēng)險，并且可以根據(jù)業(yè)務(wù)需求調(diào)整風(fēng)險等級（高、中或低）。

詳細(xì)信息：使用Azure AD標(biāo)識保護(hù)，它會在自己的儀表板上標(biāo)記當(dāng)前風(fēng)險并通過電子郵件發(fā)快遞每日摘要通知。要幫助保護(hù)組織的標(biāo)識，可以配置基于風(fēng)險的策略，該策略可在達(dá)到指定風(fēng)險級別時自動響應(yīng)檢測到的問題。

不主動監(jiān)視其標(biāo)識系統(tǒng)的組織將面臨用戶憑據(jù)泄露的風(fēng)險。如果不知道有人通過這些憑據(jù)實施可疑活動，組織就無法緩解這種類型的威脅。

使用Azure AD進(jìn)行存儲身份驗證

Azure存儲支持使用Azure AD對Blob存儲和隊列存儲進(jìn)行身份驗證和授權(quán)。借助Azure AD身份驗證，可以使用基于Azure角色的訪問控制向用戶、組和應(yīng)用（一直到各個Blob容器或隊列的范圍）授予特定權(quán)限。

建議使用Azure AD驗證對存儲的訪問。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。