iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 11
2
Security

麻瓜不敗!白魔法藍天煉金術系列 第 11

[Day 11] 技能解封初始篇章-內鬼授權加持(Azure Dynamic Groups)

前言回顧

技能解封初始篇章-非法隱身存取(O365 & Azure Application Proxy)
https://ithelp.ithome.com.tw/upload/images/20190908/20025481zr6afutGYz.jpg

已領取技能符石

https://ithelp.ithome.com.tw/upload/images/20190915/20025481080v6Pkcpm.png

解封技能樹(Start)

https://ithelp.ithome.com.tw/upload/images/20190915/20025481aXTqhuHzrq.png

適合的勇者?

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

https://ithelp.ithome.com.tw/upload/images/20190907/20025481886Opddny2.jpg

學完可以帶走甚麼?

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹,把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

https://ithelp.ithome.com.tw/upload/images/20190907/20025481k086P7e0kc.jpg

伊瑟瑞爾 VS 督瑞爾

https://ithelp.ithome.com.tw/upload/images/20190913/20025481dZMGLj9psi.jpg

試圖偷取權杖,叛變者的逆襲

天使城中幾個鎮守密道通路的侍衛,面對直通的密道,想著裡面重要的祕文寶典產物,突然心一橫...如果能用這跟魔神交換條件讓自己能取得一官半職有權有勢多好。
進入密道都會有特殊身份的印記來驗光比對,確定是有此權力者才能夠就此進入暢通無阻...想著想著直接動到掌管權力印記的首領的腦筋上。
在偷取最高身份的印記得逞後非常用力的往自己身上蓋下去,看似萬無一失,直衝光之密道試圖蒙騙身份發現不過,因為次數過多而觸發警戒而讓天使士兵出來逮人。這才知道身份的印記是有埋藏玄機秘密的,這才免去一場可能是極大災難的開端。

好了,回到人類聽得懂的代名詞關鍵秘密就是"動態群組"授權。簡單說傳統的常見方式都是根據人員判斷我今天要授權給他人甚麼樣的權限那就會直接被賦予,但假設這個人其實並非真正成員的帳戶但因為前期把關不周詳又或是組織過於複雜故根本淪為形式無法一個個清點管控那就會形成非常密顯的權力漏洞。

為了上述這樣的權力委派漏洞事件出現我們其實只要根據用戶或是裝置中的屬性來比對判斷真正能被分配的群組資格就能避免掉漏網之魚的產生。在 Azure AD 中,我們就可以使用規則根據帳戶或裝置屬性來判別能夠給予的群組成員資格。目前有兩種群組均支援動態成員資格。在比對規則時會評估帳戶和裝置屬性是否符合規則。群組類型如下:

  • 安全性群組 - 可支援裝置或帳戶
  • Office 365 群組 - 僅支援帳戶

成員資格處理過程顯示狀態有以下:

  • 評估中 - 已收到群組變更,正評估更新中。
  • 處理中 - 正在處理更新。
  • 更新完成 - 已處理完成,並建立所有適用更新。
  • 處理錯誤 - 因成員資格規則判斷時發生錯誤,故無法完成處理。
  • 已暫停更新 - 系統管理員已暫停動態成員資格規則更新。

https://ithelp.ithome.com.tw/upload/images/20190915/20025481aBHJDSaufA.png

簡易規則範例如下:
當帳戶中的屬性需要是在指定的公司自家部門外還需要在台北地區,所以如果不是在這兩個條件同時達到的話就不會自動指派群組授權來達到系統自動分派的目的,這只是很簡單的示範馾其實應用變化是非常多元的,下面就有實作工坊 Blog 幫助你可以一步步圖文說明實踐它
(user.city -eq "Taipei") and (user.department -contains "Technology Integration Service")
https://ithelp.ithome.com.tw/upload/images/20190915/20025481uGdai2STXW.png

動態群組規則和語法

變更群組成員資格
如果你覺得此群組你反悔想要改回靜態指定就好,怎麼做呢?
登入 Azure AD (需要同時擁有全域管理帳戶權限)-->選取群組-->從群組清單中開啟你想要變更的群組-->選擇屬性
最後在群組屬性頁面上,依你所需成員資格類型選取"已指派"。(這就是靜態了)
https://ithelp.ithome.com.tw/upload/images/20190915/20025481JiJ98MXSki.png

實作工坊

而光說不練怎麼行,實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下:

技能解封初始篇章-內鬼授權加持(Dynamic Groups)

  1. Cloud Dynamic Groups 成本計價。
  2. Cloud Dynamic Groups Q&A。
  3. 簡易實作體驗。

上屆鐵人主題

如果有興趣對您有幫助也請多多支持,歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲


上一篇
[Day 10] 技能解封初始篇章-攔截應用服務(Azure Application Proxy)
下一篇
[Day 12] 技能解封初始篇章-資源環境風險漏洞(Azure Conditional Access)
系列文
麻瓜不敗!白魔法藍天煉金術30

尚未有邦友留言

立即登入留言