Tele exponencial aumento exponencial do trabalho remoto provocado pela crise da COVID-19 tem repercutiu em todo o paisagem informática. Numa questão de dias, ass TI das empresas enfrentou uma crise sem precedentes de 180-graus no seu modelo de rede de clientes. Organizações que tratavam o trabalho remoto como uma rara excepção, de repente viram-se quase totalmente remotas. SegundoSegundo a JPMorgan, Zoom aumentou mais de 300% desde antes da crise. A Microsoft regista a Teams registou um aumento de 200% desde 16 de Março dede Março.
Enquanto as empresas se esforçam para acomodar este trabalhadores subitamente remotos força de trabalho por apressadamente adoptaradotando ou aumentando o capacidades de acesso remoto capacidades, aplicações centradas na nuvem e estratégias de segurança, não se pode esquecer que estas estratégias dependem da da integridade do dos seus sistemas de identidade locais.
Diferentes arquitecturas, uma identidade origem
Muitas empresas dependem de uma estratégia de acesso VPN para o acesso remoto, em que os utilizadores são autenticados por a serviço de directório - normalmente, o Active Directory - e são autorizados a aceder à rede da empresa. Acomo solução com desafios de escalabilidade desafios e dependência no perímetro da rede segurançaVPNs por si só não são a resposta para o trabalhador remoto moderno.
Um segmento de empresas segmento de empresas faz com que os seus utilizadores assinem em num serviço de gestão de serviço de gestão de identidade e acesso baseado na Web (antigamente, chamávamos-lhes IDaaS - identidade como um serviço - pense no Azure AD ou no Okta) com as suas credenciais empresariais para aceder a aplicações SaaS, como o Zoom ou o Office 365, directamente através da Internet. Este método utiliza a confiança zero em que a identidade de um utilizador - e não a sua localização na rede - é a chave para obter acesso à aplicação.
Algumas destas empresas vão mais longe estendendo este modelo às suas redes locais. Elas implantam dispositivos que criam um perímetro definido por software definido por software entre aplicações e os utilizadores utilizadores que tentam aceder às mesmas. Estes dispositivos proxy (por exemplo, Azure AD Application Proxy ou Symantec Secure Access Cloud) concedem ao utilizador acesso apenas às aplicações publicado por proxy aplicação em vez de o acesso à rede alargado concedido por uma VPN. Como o tráfego é roteado através do serviço serviço IAM, a sessão pode ter sofisticados controlos de acesso tais como dispositivo integridade, sessão riscoou tipo de aplicação cliente utilizada.
Quandoquando está a iniciar sessão à rede corporativa com VPN ou a iniciar sessão em a portal Web para aceder a SaaS ou no local aplicações, a igarantia de identidade é cruciall. VPNs dependem em uma identidade corporativa identidade corporativaource. Moderno nuvem serviços IAM dependem de muitos factores tais como estado do dispositivo, localização, e padrões de comportamento para contribuir para o o nível de garantia de uma identidade. Mas o núcleos destes serviços massivos de nuvem são continuam a basear-se credenciais da credenciais da conta do utilizador. Como a maioria das organizações utilizam um modelo de identidade híbrido (projectoprojectando as suas no local para a internet serviços), a fonte de identidade para estas credenciais é a pedra angular de toda a arquitectura sofisticada. E para 90% das empresas, esta fonte de identidade é Directório Activo (AD).
Proteger a fonte
Já estabelecemos a importânciace do Active Directory para a sua arquitectura de segurança. Como é que assegura a sua integridade e a integridade dos seus dados?
Minimizar superfície de superfície de ataque do AD
- Implemum modelo administrativo de privilégios mínimosmodelo administrativo de privilégios mínimos e livrar-se de todos os seus administradores desnecessários. Este 20 anos conselho é ainda é relevante actualmente.
- Bloqueio administrativorativo acesso ao o serviço serviço AD através da implementando camadas administrativas e segurança estações de trabalho administrativas seguras.
- Proteger Controladores de domínio AD contra ataques através da aplicando políticas e definições recomendadas.
- Digitalização AD regularmente para detectar configurações incorrectas - acidentais ou maliciosas - que potencialmente expor a sua floresta a abusos ou ataques.
Monitorizar AD para detectar sinais de comprometimento e reverter nãotorizado alterações
- Activar ambos auditoria básica e avançada. Não é possível saber sobre alterações no seu AD se não tiver activado mecanismos para registar as alterações. Então, é necessário de facto olhar os eventos-chave através de uma consola centralizada.
- Monitorizar objecto e atributo alterações no nível do directório. O registo de eventos de segurança mostrará a maioria, mas não todas as alterações efectuadas no AD. Por exemplo, o ficheiro DCShadow contorna totalmente o registo de eventos. A única maneira de garantir que está ciente de toda a actividade no seu AD floresta é monitorizar as alterações de directório partilhadas entre os controladores de domínio.
Planear para quando o compromisso acontecer - porque isso acontecerá
- É importante monitorizar as alterações indesejadas do AD. Mas também deve ser capaz de reverter rapidamente essas alterações indesejadas, caso contrário, terá apenas uma solução parcial.
- Preparare para um-escala de compromissoe. Wencriptação generalizada encriptação da sua rede, incluindo AD, exige que tenha uma estratégia de recuperação sólida e altamente automatizada estratégia de recuperação que inclua backups offline para todos os seus componentes da infra-estrutura.
Embora seja possível implementar um sistema confiança zero numa variedade de formas, o seu princípio fundamentals baseiam-se no identidade identidade. Quer esteja a aceder à sua rede através de uma VPN ou assinando em an portal Web de um serviço de identidade, as probabilidades são boas de que a sua identidade depende do Active Directory. Portanto, garantir a integridade do Active Directory é fundamental para a segurança da sua empresa.
