M365 基礎知識 Part 4-零信任
安全邊界已從組織的網路邊界轉移到使用者、裝置。而且應用程式和資料正在遷移到雲端。這些轉變需要更安全、更精細的存取控制解決方案。
以下將介紹
- 條件式存取(Conditional Access),這是 Microsoft 的零信任策略引擎,在執行策略決策時會考慮來自各種來源的資料。
- Global Secure Access,這是Microsoft 的SASE方案,它將identity controls與Conditional Access結合,為基於Internet 的資源以及在私有雲或地端基礎設施中運行的資源提供保護。
- Microsoft Entra RBAC的存取控制,它們是實現最小權限存取(least privilege access)的關鍵,這是零信任策略安全的指導原則。
條件式存取(Conditional Access)
條件式存取是 Microsoft Entra ID 的功能,可讓使用者要存取資源之前做一些額外的狀況檢查。條件式存取是透過在 Microsoft Entra ID 中建立和管理的政策來實施的。條件式存取政策分析包括使用者、位置、裝置、應用程式和風險在內的訊號,以自動做出授權存取資源(應用程式和資料)的決策。
最簡單的條件存取策略是 if-then 判斷式。例如,條件存取政策可能規定,如果使用者屬於某個群組,則他們需要提供多重身份驗證才能登入應用程式。
條件式存取政策在第一因素驗證完成後強制執行。條件式存取不是用來對抗DoS這一類攻擊等場景的第一道防線,但它可以使用這些事件中的資訊來決定要不要給予存取。
條件式政策組件
Microsoft Entra ID 中的條件式存取原則由兩個組件組成:assignments與access controls。
建立條件式存取政策時,管理員可以透過assignments來決定要使用哪些資訊。政策控制的assignment是控制"who/what/when/where"。所有assigment都是一種"邏輯與運算"。如果我們配置了多個assignment,則必須滿足所有assignment才能觸發政策。一些assignment包括:
- Users
使用者指定政策將包括或排除的人員。這個assignment可以包括目錄中的所有使用者、特定使用者和群組、目錄角色、外部訪客和工作負載身分。 - Target resources
目標資源包括applications或services、user actions、Global Secure Access或authentication context。
— Applications or Services- 管理員可以從包含內建於Microsoft 應用程式或服務清單來選擇,其中包括Microsoft Cloud applications、Office 365、Windows Azure Management API、Microsoft 管理入口網站以及任何Microsoft Entra 註冊的應用程式.
— User actions— 管理員可以選擇不是基於應用程式而是基於使用者的操作(例如註冊安全資訊或加入設備)來定義政策,進而允許Conditional Access對這些操作實施控制。
— Global Secure Access- 管理員可以使用conditional Access policies來保護流過 Global Secure Access service的流量。這是透過在 Global Secure Access 中定義traffic profile來完成的。然後可以將Conditional Access policies指派給Global Secure Access traffic profile。 - Cloud apps or actions
雲端應用程式或操作可以包括或排除受Policy約束的loud applications、 user actions或authentication contexts。 Microsoft Defender for Cloud 與conditional access的整合可實現對雲端環境的存取和在雲端環境中執行的活動的即時可見性和控制。
— Sign-in risk與user risk。與 Microsoft Entra ID Protection的整合可讓Conditional Access policies識別與目錄中使用者帳號相關的可疑操作並觸發政策。Sign-in risk是指特定登入或身分驗證請求未經身分所有者授權的機率。user risk是特定身分或帳戶被洩露的機率。
— Devices platform。這個特點是在設備上運行的作業系統,可以在執行Conditional Access policies時使用。
— IP location information。組織可以定義政策決策時可以使用的可信任 IP 位址範圍。此外,管理員可以選擇封鎖或允許來自整個國家/地區的 IP 範圍的流量。
— Client apps。這是是使用者用來存取雲端應用程式的軟體,包括瀏覽器、行動應用程式、桌面用戶端,也可用於存取政策決策(access policy decision)。
— Filters for devices。透過這個選項,組織可以根據設備屬性實施政策。例如,此選項可用於將政策定位到特定設備,例如特權存取工作站。
實質上,assignments控制Conditional Access policy的who/what/where。
存取控制
通過Conditional Access policy後,系統會做出決定,決定是否 block access、 grant access、grant access with extra verification、,或套用session control。此決策稱為"access controls portion of the Conditional Access policy",並定義如何執行policy。常見的決策是:
- Block access
- Grant access
管理員可以在沒有任何附加控制的情況下授予存取權限,也可以選擇在授予存取權限時強制實施一項或多個控制項。用於授予存取權限的控制範例包括要求使用者執行MFA、要求特定的身份驗證方法來存取資源、要求裝置滿足特定的合規性原則要求、要求變更密碼等等。 - Session
在Conditional Access policy中,管理員可以利用session controls在特定雲端應用程式中啟用有限的行動。例如,Conditional Access App Control使用來自 Microsoft Defender for Cloud Apps 的訊號來阻止敏感文件的下載、剪下、複製和列印功能,或要求對敏感檔案進行標記。其他session controls包括登入頻率和應用程式強制限制,對於特定的應用程序,根據設備狀態,使用設備資訊為用戶提供有限或完整的行動。
Microsoft Entra的Global Secure Access
微軟的SASE
Global Secure Access 是用於 Microsoft Entra Internet Access 和 Microsoft Entra Private Access 的統一術語。Microsoft Entra Internet Access 可保護SaaS應用程式和其他雲端的存取(如上圖),同時保護使用者、裝置和資料免受網路威脅。
Microsoft Entra Internet Access 和 Microsoft Entra Private Access 作為一個解決方案結合在一起,融合了零信任網路、身分和端點存取控制,以便組織可以從任何"位置、裝置或身分"安全地存取任何應用程式或資源。此類解決方案代表了一種新的網路安全類別,稱為SSE(Security Service Edge)。另外比較一般的說法則是SASE(Security Access Service Edge)
SSE 有助於解決安全挑戰,例如:
- 降低因為被駭的帳號的VPN 進行橫向移動的風險
- 需要在基於網際網路的資產周圍設置安全邊界
- 需要改善遠距辦公地點(例如分公司)的服務
Microsoft 的SSE解決方案 Global Secure Access 為基於 Internet 的資源以及在私有雲或本地基礎架構中運行的資源提供進階保護,以協助應對安全挑戰。
此解決方案採用 Global Secure Access client,使組織能夠控制終端用戶設備上的網路流量。組織能夠透過 Microsoft Entra Internet Access 和 Microsoft Entra Private Access 路由特定網路流量設定檔。透過這種方法路由流量,可以透過與conditional access policies的深度整合以及跨身分、裝置、位置和應用程式即時評估的風險來實現更多控制,以保護任何應用程式或資源。
Microsoft Entra Private Access
VPN 解決方案長久以來控制企業網路存取的主要方法。一旦建立專用網路連接,網路的大門就會打開,最重要的是,在外部網路的用戶和設備跟在內部網路有一樣的網路權限的情況很常見。這顯著增加了組織的被攻擊面,因為VPN造成了網路中的橫向移動。
Microsoft Entra Private Access 來阻止橫向攻擊移動、減少外部網路的過度存取並取代傳統 VPN。該服務為組織的使用者(無論是在辦公室還是遠端工作)提供對企業資源的安全存取。
從概念上講,Private Access的作業方式是對於要保護的一組特定私有資源,組織可以設定一個新的企業應用程式作為這些私有資源的容器。新應用程式有一個網路連接器,可作為專用存取服務和使用者想要存取的資源之間的代理。但是,企業對存取不同的私有資源有不同的要求無法一視同仁,因此 Microsoft Entra Private Access 提供了兩種方式,可以透過該服務設定想要存取的私有資源。
Private Access的作業原理是建立一個新的企業應用程式,該應用程式充當組織想要保護的私有資源的容器。透過Quick Access,我們可以決定將哪些私有資源新增至「容器」或企業應用程式。組織新增至快速存取應用程式的私有資源由 FQDN、IP 位址、IP 位址範圍以及用於存取資源的連接埠(port)定義。此資訊稱為Quick Access application segment。組織可以將許多application segments新增至Quick Access application。然後,可以將conditional access policies連結到Quick Access application。
Global Secure Access app(也稱為 Per-app Access)提供了更細緻的方式。這個方式就是建立多個「容器」或企業應用程式。對於每個新的企業應用程序,可以定義私有資源的屬性,並指派使用者和群組並指派特定的 conditional access policies。例如,組織可能有一組需要保護的私有資源,但希望根據它們存取資源的方式或在特定時間範圍內設定不同的存取政策。
Microsoft Entra Internet Access
SWG(Secure Web Gateway)是一種網路安全解決方案(其實就是以前的porxy server),可透過過濾網際網路流量和執行安全策略來保護使用者免受基於 Web 的威脅。
Microsoft Entra Internet Access 為SaaS服務(包括 Microsoft 服務和其他 Internet 流量)提供以身分為中心的SWG解決方案。它透過流量日誌提供一流的安全控制和可見性,保護使用者、設備和資料免受網路威脅。
列舉一些主要功能包括:
- 透過使用Conditional Access policies對資源存取執行合規網路檢查,防止使用者的identity或token被偷。
— 合規網路檢查發生在authentication plane與data plane。authentication plane強制執行由 Microsoft Entra ID 在使用者驗證時執行。data plane實施與支援CAE(Continuous Access Evaluation)的服務配合使用(這是零信任組件的基本能力)
— CAE是一項安全功能,應用程式和 Microsoft Entra 不斷進行通訊,以確保使用者的存取是最新且安全的。如果發生變化,例如使用者位置或出現安全性問題,系統可以近乎即時地快速調整或阻止存取,確保安全政策始終得到執行。 - 租戶限制,以防止資料外洩到其他租戶或個人帳戶,包括匿名存取。
- Internet Access traffic forwarding profile policies,這用於控制可以存取哪些網際網路站點,以確保遠端工作的員工以受控且安全的方式連接到網際網路。
- Web content filtering,根據內容類別和網域來管理對網站的存取。
Global Secure Access Dashboard
Global Secure Access 包含一個儀表板,提供 Microsoft Entra Private 和 Microsoft Entra Internet Access 服務所取得的網路流量的視覺化。儀表板將網路配置中的資料(包括裝置、使用者和租戶)編譯到多個部件。這些部件反過來又為組織提供可用於監控和改進網路配置的資訊。一些可用的部件包括:
- Global Secure Access snapshot
- Alerts and notifications (preview)
- Usage profiling (preview)
- Cross-tenant access
- Web category filtering
- Device status
Global Secure Access snapshot提供了有關有多少使用者和裝置正在使用該服務以及有多少應用程式透過該服務受到保護的摘要。此部件預設顯示所有類型的流量,但也可以變更篩選器以顯示 Internet 存取、私人存取或 Microsoft 流量。
Usage profiling會依類別顯示選定時間內 Internet 存取、私人存取或 Microsoft 365 的使用模式。
"告警和通知"顯示網路中發生的情況,並幫助識別網路資料識別的可疑活動或趨勢。此工具提供以下告警:
- Unhealthy remote network:遠端網路不健康會導致一個或多個設備鏈路斷開
- Increased external tenants activity:外部租戶的使用者數量增加
- Token and device inconsistency:原Token在不同裝置上使用
- Web content blocked:對網站的存取已被封鎖
Cross-tenant access Global Secure Access可讓組織了解正在存取其他租戶的使用者和裝置的數量。該工具會顯示以下資訊:
- Sign-ins:過去 24 小時內透過 Microsoft Entra ID 登入 Microsoft 服務的次數。提供有關租戶中的活動的資訊。
- Total distinct tenants:過去 24 小時內看到的不同租戶 ID 的數量。
- Unseen tenants:過去 24 小時內但過去 7 天內未見過的不同租戶 ID 的數量。
- Users:過去 24 小時內登入其他租戶的不同使用者數量。
- Devices:過去 24 小時內登入其他租戶的不同設備的數量。
Web category filtering顯示服務封鎖或允許的 Web 內容的最上層類別。這些類別可用於確定組織可能想要封鎖哪些網站或網站類別。
Device status則顯示已部署的活動和非活動設備。
Microsoft Entra的Role與RBAC
Microsoft Entra roles控制與管理 Microsoft Entra 資源的權限。例如,允許建立使用者帳戶或查看帳單資訊。 Microsoft Entra ID 支援內建和自訂角色。
使用角色管理存取稱為RBAC(role-based access control)。 Microsoft Entra 內建角色和自訂角色是 RBAC 的一種形式,其中 Microsoft Entra 角色控制對 Microsoft Entra 資源的存取。這稱為 Microsoft Entra RBAC。
內建角色
Microsoft Entra ID 包括許多內建角色,這些角色具有一組固定的權限。一些最常見的內建角色是:
- Global administrator:具有此角色的使用者可以存取 Microsoft Entra 中的所有管理功能。註冊 Microsoft Entra 租戶的人會自動成為Global administrator。
- User administrator:具有此角色的使用者可以建立和管理使用者和群組的各個面向。此角色還包括管理support tickets和監控服務運作狀況的能力。
- Billing administrator:具有此角色的使用者進行購買、管理訂閱和support tickets以及監控服務運作狀況。
所有內建角色都是為特定任務設計的預先配置權限包。內建角色中包含的固定權限集無法修改。
自訂角色
儘管 Microsoft Entra 中有許多內建管理角色,但自訂角色在授予存取權限時提供了靈活性。自訂角色定義是您從預設清單中選擇的權限的集合。可供選擇的權限清單與內建角色使用的權限相同。不同之處在於您可以選擇要在自訂角色中包含哪些權限。
使用自訂 Microsoft Entra 角色授予權限是一個兩步驟過程。第一步涉及建立自訂角色定義,其中包含從預設清單新增的權限集合。建立自訂角色定義後,第二步是透過建立角色分配將該角色指派給使用者或群組。
角色指派向使用者授予角色定義中指定範圍的權限。範圍定義角色成員有權存取的 Microsoft Entra 資源集。可以在組織範圍內指派自訂角色,這表示角色成員擁有對所有資源的角色權限。也可以在物件範圍內指派自訂角色。物件範圍的一個範例是單一應用程式。可以將相同的角色指派給組織中所有應用程式中的一個用戶,然後指派給另一位僅具有 Contoso Expense Reports 應用程式範圍的使用者。
自訂角色需要 Microsoft Entra ID P1 或 P2 授權。
Microsoft Entra roles的類別
如果您訂閱任何 Microsoft Online business產品(例如 Microsoft 365 和 Azure),則 Microsoft Entra ID 就可以免費用。
隨著時間的推移,一些 Microsoft 365 服務(例如 Exchange 和 Intune)發展了自己的RBAC,就像 Microsoft Entra 服務具有 Microsoft Entra roles來控制對 Microsoft Entra 資源的存取權一樣。 Teams 和 SharePoint 等其他服務沒有單獨的角色為基礎的存取控制系統,它們使用 Microsoft Entra 角色進行管理存取。
為了方便管理跨 Microsoft 365 服務的身份,Microsoft Entra ID 增加了一些特定於服務的內建角色,每個角色都授予對 Microsoft 365 服務的管理存取權。這意味著 Microsoft Entra 內建角色的使用位置有所不同。共有三大類。
- Microsoft Entra specific roles:
這些角色只授予管理 Microsoft Entra 內的資源的權限。例如,User Administrator、Application Administrator、Groups Administrator都授予管理 Microsoft Entra ID 中資源的權限。 - Service-specific roles:
對於主要的 Microsoft 365 服務,Microsoft Entra ID 包含內建的服務特定角色,這些角色會授予管理服務內功能的權限。例如,Exchange Administrator、Intune Administrator、SharePoint Administrator與Teams Administrator roles的內建角色,這些角色可以使用各自的服務管理功能。 - Cross-service roles:
Microsoft Entra ID 中有一些跨服務的角色。例如,Microsoft Entra ID 具有與安全性相關的角色,例如Security Administrator,該角色授予對Microsoft 365 中多個安全服務的存取權限。 M365 中合規性相關設定的存取權限。
Microsoft Entra RBAC and Azure RBAC的不同
如上所述,Microsoft Entra 內建角色和自訂角色是 RBAC 的一種形式,它們控制對 Microsoft Entra 資源的存取。這稱為 Microsoft Entra RBAC。就像 Microsoft Entra roles可以控制對 Microsoft Entra 資源的存取權一樣,Azure roles也可以控制對 Azure 資源的存取。這稱為 Azure RBAC。儘管 RBAC 的概念適用於 Microsoft Entra RBAC 和 Azure RBAC,但它們控制的內容不同。
- Microsoft Entra RBAC — Microsoft Entra 角色控制對 Microsoft Entra 資源(例如使用者、群組和應用程式)的存取。
- Azure RBAC — Azure 角色使用 Azure 資源管理控制對 Azure 資源(例如虛擬機器或儲存)的存取。
有不同的資料儲存來儲存角色定義和角色分配。同樣,存在進行存取檢查的不同政策決策點。
