Privilegerte identiteter er brukere med administrative rettigheter i organisasjonen. Det omfatter global administrator, mer spesialiserte administratorroller og eiere av et Azure-abonnement. I gale hender kan brukerkontoer med disse rollene påføre virksomheten din enorm skade. Av den grunn bør du beskytte dem godt. Med Azure AD Privileged Identity Management kan du sikre kritiske kontoer og gjøre dem betydelig mindre sårbare for angrep og misbruk.
Privileged Identity Management hjelper deg med å administrere, kontrollere og overvåke privilegerte tilganger på tvers av Microsofts skyplattformer. Tjenesten sørger for at administrative brukerkontoer bare får nødvendige og tidsbegrensede tilgangsrettigheter ved behov. Brukere kan enten aktivere rettighetene selv – helst med multifaktor-autentisering – eller så må de be om godkjennelse. Det reduserer sjansen for at en ondsinnet angriper får tilgang.
Faste og valgbare roller
Privileged Identity Management opphever den faste koblingen mellom privilegerte identiteter og tilordnede administratorroller. Rollene omgjøres i stedet til å bli valgbare. For det meste har identiteten ingen privilegier og fungerer som vanlig sluttbruker. Når det er nødvendig, kan en berettiget bruker velge en tildelt rolle og aktivere den. Aktivering og aktiviteter med utvidede rettigheter loggføres og overvåkes. Det gjør det lett å identifisere angrepsforsøk og være i samsvar med virksomhetens krav til sikkerhet.
Tilgangsstyring med Privileged Identity Management
En kvalifisert bruker kan aktivere rollen ved å logge på Azure-portalen. For viktige roller kreves det alltid MFA. Klokken antyder at tilgangen er begrenset i tid. Du kan konfigurere varslinger og foreta tilgangsvurderinger om brukere fortsatt trenger rollen. Det er rike rapporteringsmuligheter.
I større organisasjoner med solide rutiner for endringshåndtering kan det settes opp en arbeidsflyt for godkjennelse. Bruker ber om tilgang ved å fylle ut et elektronisk formular, gjerne sammen med et hendelses- og billettnummer. Forespørselen godtas eller avvises. En tredjepart kan varsles.
Egenaktivering av roller sammen med MFA er antakelig det som vil fungere best i de fleste små og mellomstore bedrifter. Det gir en fin balanse mellom sikkerhet og brukervennlighet. Men om prosedyrene er på plass, er det all grunn til å se nærmere på godkjenningsprosessen.
Angrepsflate for administrative kontoer
En alminnelig administratorkonto er i en utsatt posisjon og et ettertraktet bytte for cyberkriminelle. Med Privileged Identity Management er kontoen i fare bare når en rolle benyttes. For en angriper blir det vanskelig – om ikke umulig – å dra nytte av identiteten.
Hensikten med Privileged Identity Management
Målet er å sørge for en lavest mulig eksponering av kontoer med omfattende tillatelser og gi brukerne just-in-time (JIT) privilegerte tilganger i Microsoft-skyen. Kort fortalt hjelper Privileged Identity Management deg med å administrere hvem, hva, når, hvor og hvorfor. Noen av hovedtrekkene er:
- Gi tilgang til ressurser og tjenester akkurat i tide
- Tilordne tidsbegrenset tilgang til ressurser ved bruk av start- og sluttdatoer
- Kreve godkjenning for å aktivere privilegerte roller
- Sørge for multifaktor-autentisering for å aktivere en hvilken som helst rolle
- Angi en begrunnelse for å forstå hvorfor brukere aktiverer en rolle
- Bidra til å gjøre privilegerte rolleoppgaver mer synlige
- Motta varsler når privilegerte roller er aktivert
- Håndtere sikker og kontrollert tilgang for innleide konsulenter
- Foreta tilgangsvurderinger for å sikre at brukerne fortsatt trenger rettighetene
- Få en oversikt over inaktive privilegerte identiteter (forhåndsversjon)
- Laste ned historikk for intern eller ekstern revisjon
Identitet som sikkerhetsperimeter
Tradisjonelle sikringstiltak som perimeternettverk med brannmurer gir ikke lenger samme beskyttelse som før. Nettskyen og mobile arbeidsvaner har tvunget frem andre måter å tenke sikkerhet på. For Microsoft danner identiteten det nye kontrollplanet. Den står i sentrum for hvordan du beskytter miljøet ditt, og sørger for en forbindelse med mennesker, enheter og data. En enkel helhetlig identitetsløsning burde være alt du trenger for å øke sikkerheten, senke kostnader og forbedre produktiviteten.
Omfattende identitetsbeskyttelse
Azure AD Privileged Identity Management er ingen fullverdig sikkerhetsløsning for identiteter i seg selv. Den bør benyttes sammen med andre mekanismer i Azure Active Directory som bidrar til å skjerme brukeridentiteter:
Azure AD Password Protection hindrer brukere i å velge svake passord. Kontoer kan stenges automatisk etter mislykte påloggingsforsøk.
Selvbetjeningsfunksjon for å tilbakestille passord lar brukere endre passord ved mistanke om identitetslekkasje.
Godkjenning med flere faktorer i Office 365 og Azure MFA med betinget tilgang sørger for å beskytte pålogginger.
Azure AD Identity Protection oppdager og avverger forsøk på identitetstyveri.
Misbruk av privilegerte identiteter
Systemene i skyen er såpass sikre at det svakeste leddet i sikkerheten blir sluttbrukerne. Valg av passord kan være uheldig. Påloggingsopplysninger deles. Enkelte lar seg lure av phishing-angrep og sosial manipulering. Fortsatt er det mange som ikke bruker MFA. Det er ikke til å komme forbi at de fleste dokumenterte innbrudd foregår ved hjelp av identitetstyveri. Det gjør det nærliggende å ta i bruk alle tjenester som inngår i Microsofts funksjonsrike identitetsbeskyttelse.
Cyber-attakk i skyen
For kriminelle er det mest å hente ved å kompromittere privilegerte identiteter. Så kommer de seg inn på virtuelle maskiner i Azure eller sentrale tjenester i Office 365, går til angrep og forårsaker skade. De oppretter egne brukerkontoer og lager hull i infrastrukturen for å unngå mottiltak. De installerer skadelig programvare og oppretter bakdører. Deretter er det fritt frem for å nyttiggjøre seg data til egen vinning eller for å tilfredsstille en syklig ødeleggelsestrang. Privileged Identity Management vil gjøre det mye vanskeligere for angriperne å lykkes.
Anbefalt praksis for Privileged Identity Management
Det er kommet en rekke forslag til beste praksis – fra å bruke alle tjenester for å trygge identiteter til å benytte dedikerte maskiner til administrasjon. Her er to viktige råd:
- Sørg for at minst to globale administrator-kontoer ikke er beskyttet med Privileged Identity Management, så du i nødstilfelle kan komme deg inn i organisasjonen.
- Det er fortsatt viktig at du som administrator opererer med to atskilte kontoer.
Privileged Identity Management i aksjon
Tjenesten krever lisenser på Azure AD Premium P2, som kan tegnes frittstående. De inngår i Enterprise Mobility + Security E5 og Microsoft 365 E5. En gratis prøveversjon er gyldig i 90 dager. Ikke alle brukere trenger et abonnement, bare privilegerte identiteter med administrative rettigheter – eventuelt også de som er involvert i å godkjenne aktiveringsforespørsler ved en arbeidsflyt.
Privileged Identity Management må først aktiveres ved at du gir ditt samtykke og logger deg på tjenesten. Så kjører vi gjennom en veiviser som kartlegger alle privilegerte roller i organisasjonen. Her kan vi endre dem fra faste til valgbare tilordninger. Vi setter opp en Exchange-administrator som kan aktivere seg selv, og kaster til slutt et blikk på overvåkingshistorikken for Active Directory-roller.
Aktivere Privileged Identity Management
Du trenger rettigheter som Global Admin i Microsoft Azure. Første bruker som aktiverer og konfigurerer Privileged Identity Management, blir automatisk tildelt rollegruppene Privileged Role Administrators og Security Administrators.
Naviger til Privileged Identity Management – Consent to PIM. Klikk på Consent (gi samtykke). Inntil dette er fullført, vil alternativene i konsollen være grånet ut. Du vil ikke kunne se eller oppdatere noen innstillinger. Azure-portalen sjekker status for tenanten.
Klikk på Sign up for å logge deg på Privileged Identity Management. Da er tjenesten aktivert.
Oppdage brukere med privilegerte roller
Klikk på Azure AD roles og velg Wizard under Azure AD roles – Quick start. Klikk så på Discover privileged roles. Det starter en tretrinns prosess: oppdage privilegerte roller; konvertere medlemmer til valgbare; se over endringene.
Oppdagelsesprosessen gir en oversikt over tildelte privilegerte roller. Nå kan vi konvertere medlemmer av rollene fra å være faste til å bli valgbare. To globale administrator-roller opprettholdes som permanente, så vi i en nødssituasjon kan «knuse glass» for å komme oss inn i organisasjonen. Julies roller omgjøres til valgbare. Se til slutt over valgene.
Konfigurere rollen for Exchange-administrator
Her fokuserer vi på beskyttelsen av Exchange Online ved å begrense eller kontrollere tilgangen til administrative roller for Exchange. Privileged Identity Management byr imidlertid også på muligheten til å skjerme spesifikke ressurser innenfor Azure AD, sånn at du kan sikre dine individuelle Azure-abonnementer og administrasjonsgrupper i stedet for på administratorgruppenivå.
Naviger til Azure AD Privileged Access Management, Azure AD Roles, Settings. Velg Roles fra hovedvinduet og så rollen du er ute etter. Her har du disse alternativene
- Aktiveringsvarighet. Standard er én time, men kan økes til 72 timer (3 døgn).
- Varsler. Aktiver e-postvarsler for medlemmer av gruppene Privileged Role Administrator og Security Administrator når en bruker aktiverer rollen.
- Forespørsel / billett. Krev at brukere oppgir nummeret på billetten for hendelse / forespørsel i samsvar med virksomhetens krav til endringshåndtering.
- Multifaktor-autentisering. Krev at brukere logger på med MFA. Må oppgis bare én gang per sesjon. Om brukere har en totimers økt, men reaktiverer og opprettholder samme økt på én dag, blir de bare bedt en gang.
- Krev godkjenning. Angir om et medlem av gruppen Privileged Role Administrators eller Security Administrators er nødvendig for å godkjenne aktiveringen.
Aktivere rollen som Exchange-administrator
Julie logger på i Azure-portalen for å aktivere rollen som Exchange-administrator under My roles – Azure AD roles.
Hun må verifisere identiteten sin med MFA før hun kan fortsette, og klikker på Verify my identity.
Etter å ha logget på igjen med MFA, får hun aktivert forespørselen. Hun må angi en begrunnelse, noe som sørger for å dokumentere aktivitetene hun skal utføre. Denne type dokumentasjon kommer godt med til senere bruk.
Under My requests kan hun klikke på Azure AD roles for å sjekke status for forespørselen.
Nå går hun inn i administrasjonssentret for Exchange og oppretter transportregelen.
Hun ble ferdig før tiden og klikker på Deactivate i Azure-portalen. Nå er hun ikke Exchange-administrator lenger. For en angriper ute etter en privilegert identitet er den ubrukelig.
Overvåkingshistorikk for Active Directory-roller
En administrator for Privileged Identity Management kan raskt få en oversikt over aktivitetene for alle roller. Gå til Azure AD roles – Directory roles audit history. Overvåkingshistorikken viser når roller er aktivert sammen med utførte handlinger og privilegerte tilordninger.
Konklusjon
Prosedyrene kan til å begynne med virke noe tungrodde. Men man venner seg raskt til dem. Uansett er vi i dag opptatt av stabile og sikre systemer med loggføring av endringer. Trusselen i skyen mot privilegerte identiteter er høyst reell. Gartners råd er at enhver virksomhet bør ta i bruk verktøy for privilegert tilgangshåndtering (privileged access management – PAM). Ikke uten grunn topper anbefalingen for annet år på rad listen over de mest presserende sikkerhetstiltak. Bare i løpet av det siste året har identitetsangrep økt med 300 prosent.
Azure AD Privileged Identity Management er Microsofts svar på denne utfordringen, sammen med mekanismer som Azure AD Identity Protection og Azure MFA med betinget tilgang. Start i det små og konsentrer deg om de opplagte rollene. Det gjelder global administrator med tillatelser for alle produkter og tjenester, spesialistroller som Exchange- og Teams-administratorer, foruten eiere og medeiere av viktig ressurser i Azure. Så bør du foreta en risikobasert vurdering av andre tilgangskontoer (høy verdi, høy risiko). Minimer antall personer med privilegerte rettigheter. Det gir en lavere eksponering av kritiske kontoer og reduserer sjansen for at en ondsinnet angriper får tilgang, eller at en autorisert bruker utilsiktet påvirker en følsom ressurs.
Figuren som viser tilgangsstyring med Privileged Identity Management, er hentet fra Ammar Hasayens Pluralsight-kurs Implementing Microsoft Azure Privileged Identity Management.
Koblinger
Azure Active Directory – Identiteter og tilganger i skyen
Er passordet ditt lett å gjette?
Tilbakestill passord i Microsoft Azure og Office 365
Sett opp multifaktor-autentisering i Office 365