如何发展声音
访问管理策略
在Azure Active Directory

作者:亚当贝特兰特

亚当·贝德拉姆 是Microsoft Cloud和Datacenter Management MVP,Pluralsight课程作者和技术启动TechSnips的创始人。

如果您已使用Azure Active Directory(广告),赔率很好,您已经听到了“IAM”发出了超过几次。实际上,身份和访问管理在组织IT安全中发挥着核心作用。仔细控制谁可以访问未经授权的个人查看敏感数据的内容。管理员通过粒度管理组,用户,策略和角色来执行此操作。

根据特权创造和监督这些群体是至关重要的。然而,许多管理员有效地努力实现这些控制 - 特别是作为组织规模。 IT专业人士可以利用许多工具和实践。意识到,偶尔缺乏。

在这里,我们将为改进Azure AD访问管理协议提供一些基本提示和技巧。

确定访问权限

这是形成策略的明确迈出的第一步。您的组织容纳数据山,特别是如果您是企业实体。你不能给每个众所周知的大师钥匙 - 这将是过于鲁莽的,甚至是太鲁莽的 违反了许多合规指南 (HIPAA,SOX,GBLA,PCI等)。例如,您不希望开发团队访问财务记录,但管理层或人力资源将享受此类访问。

确定访问权限
将角色分配给云组在Azure广告中相当直接。图片礼貌 微软.

目标应该是将访问级别与角色匹配。这有助于防止敏感信息无意中落入错误的手中,即使意图不是恶意。 基于角色的访问控制(RBAC) 是在想到的。每个员工由各自的管理员授予唯一的权限。

您可以创建角色组 - 具有可比角色的员工填充 - 共享类似的访问权限。 RBAC的优势源于这种安排。当有人离开职位或改变工作时, 无需分配新策略。只需将该个人分配给另一个角色,或者将它们从当前组中删除。

实施ABAC战略

遗憾的是,RBAC无论是对某些用例都不安全或可配置。你可以通过 基于属性的访问控制(ABAC) - 与对象特征一起工作。通过考虑以下内容来确定ABAC:

  • 资源属性 - 适用于文件夹,文件,存储库,库和其他数据(根据创建日期,所有者和灵敏度)
  • 环境属性 - 根据访问时间和位置,设备,协议,风险信号,加密和用户行为模式,基于上下文基础
  • 用户属性 - 包含姓名,角色,安全许可等。

正如您可以想象的那样,这里播放有许多可能的属性组合。这些进入ABAC的整体可配置性水平。尽管RBAC不被视为毯子政策,但它与ABAC对需要后者的组织相比。

RBAC和ABAC可以在音乐会中使用,ABAC作为细粒度的补充剂。 ABAC更苛刻,需要更多的处理能力。但是,您的敏感资源将受到良好保护的使用此串联。

了解树结构

Active Directory域林
图片礼貌 varonis..

假设您想了解Azure广告环境中的一切是如何组织的。广告工具 一个“树”模型 - 其中域驻留在顶部,并且子域名在分层下方连接。这些域中的每一个都包含对象,特别是其中的对象是用户,组和联系人。

此外,多棵树在Azure广告中形成森林。这种类型的结构使得更容易维护广告中的各种元素。我们知道用户被分配给域,每个用户都有权限。通过学习如何导航此结构,您和其他管理员可以更好地了解如何确定用户访问。

考虑使用LDAP.

在使用目录服务时,团队可能会发现 轻量级目录访问协议(LDAP) 提供快速身份验证和精确定位重要内部信息。虽然团队传统地将LDAP与本地基础架构(仍然是)配对,而等效功能可用于基于云的部署。实际上, Azure广告的域服务 促进云转换。

Azure广告使用域服务 作为存储信息的手段,并使其可用。 LDAP在用户和这些网络数据存储之间提供一层访问管理。它也是远程员工的理想选择。

例如,虚拟用户可能会通过VPN连接到公司网络。 LDAP桥接该虚拟网络和Azure AD域服务之间的差距。同时,广告使用Azure AD Connect向Azure AD提供有关用户,密码和组的信息。融合的Rendezvous点是用户生产率发生的地方。

因此,LDAP是对验证用户的组成 - 当他们试图访问时 Web应用程序,NAS设备和Samba服务器。协议的版本3还在连接时利用TLS和SSL。这些措施有助于进一步保护您的用户数据,同时防止注入攻击。

维护访问控制列表

一种更简单的来控制Azure广告的访问方式是ACL,这是给用户和组给出的权限列表。这些权限会影响文件和目录的访问权限。访问控制列表很好,因为它们相对容易设置。他们还可以控制以下内容:

  • NFS权限
  • 读取,写和执行个人的权限
  • 读取,写和执行组的权限

您可以根据需要构建多个ACL。虽然这些列表可以委派访问权限,但它们也可以拒绝。

考虑使用第三方工具

Azure AD的管理工具功能强大,但由于管理员通常需要很多。有很多手动控制抓住,虽然这是吸引力的,但它可以使访问管理更繁琐。相反,外部工具通常会引入自动化以简化这些过程。

Solarwinds权限分析仪等流行选项是免费的,并为生态系统提供即时可见性。因为它与广告集成,所以软件可以扫描目录以获取权限和权限。这些以有组织的方式在视觉上显示。

Solarwinds权限分析仪Active Directory
图片礼貌 4SYSOPS..

虽然您无法通过像权限分析器(与许多其他人类似的只读)直接操作权限,但它提供了您可以采取行动的基础。权限是否与期望不保持一致,很容易在广告中进行调整。

同样,SolarWinds访问权限管理器或ManageEngine AD360等替代方案具有许多优势:

  • 文件分享审核
  • SharePoint访问管理
  • 用户帐户供应和解雇
  • Active Directory更改监控
  • 密码管理

基于Azure广告的工具生态系统很强劲。首选功能,GUI亲和力和成本将确定哪个适合您。

访问管理是多面的

正如您所看到的,可以从许多方向接近Azure广告访问管理。 这不是要考虑的详尽令人遗憾的清单;但是,我们希望它为您提供一个坚实的起点和其他广告管理员。作为最终提及,评估凭证检查系统也很聪明。

确定用户拥有多少电量时,请务必遵循最佳实践。该过程对任何管理员都是高优先级的。专有(受保护的)数据是非常有价值的,并且应保护遮蔽眼睛的账户信息。这些选择将影响整个系统长期的安全性和符合性。

管理现场广告为权威用户目录

UserLock.提供了另一个选项来帮助组织管理和安全访问云服务的用户。它允许用户只使用其现有的前提广告凭据登录一次,以便无缝访问网络资源和多个云服务。

支持SAML 2.0协议它继续在前提下使用作为权威用户目录,以启用Office 365和其他云应用程序的联合身份验证。

在标准Windows Server上安装成分,所有资源的单点登录(SSO)与Userlock的自己的多因素身份验证(MFA)组合,以提供有效,粒度和经济实惠的安全性。

了解有关Userlock SSO的更多信息

在PDF下载这篇白皮书

PDF版本 - 290 KB