iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 12
1
Security

麻瓜不敗!白魔法藍天煉金術系列 第 12

[Day 12] 技能解封初始篇章-資源環境風險漏洞(Azure Conditional Access)

前言回顧

技能解封初始篇章-內鬼授權加持(Azure Dynamic Groups)
https://ithelp.ithome.com.tw/upload/images/20190908/20025481zr6afutGYz.jpg

已領取技能符石

https://ithelp.ithome.com.tw/upload/images/20190916/20025481An2CpOAz9k.png

解封技能樹(Start)

https://ithelp.ithome.com.tw/upload/images/20190916/20025481LgDe6Mp42r.png

適合的勇者?

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

https://ithelp.ithome.com.tw/upload/images/20190907/20025481886Opddny2.jpg

學完可以帶走甚麼?

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹,把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

https://ithelp.ithome.com.tw/upload/images/20190907/20025481k086P7e0kc.jpg

伊瑟瑞爾 VS 督瑞爾

https://ithelp.ithome.com.tw/upload/images/20190913/20025481dZMGLj9psi.jpg

開啟信任結界粉碎叛者的心

繼上篇章天使城內原來守護密道的天使卻成了內鬼不斷試圖偷取印記,雖然沒有得逞但也是冒足了冷汗,然而場景中城外的紛紛繞繞,有不少駐守的將士有的已經等待時機倒戈,但知彼知己才能百戰百勝,就在這時正想透過腦內訊息快速傳遞與城

內中樞嘗試想交換軍情才赫然發現盡然傳遞失敗了!Why?
原來...還有所謂信任結界也就是城外如果想回報狀況或是對話都是需要在天使城中原生規範的人事時地環境條件成立後,才能讓信任結界中的光隧開啟,直接過濾掉心不乾淨的叛者,信任結界的解析回到人類聽得懂的代名詞"條件式存取"小弟先簡述一下此服務究竟為何?

雲端安全性關鍵在於人員,故身分識別和存取在現代化使用資訊行為都透過各種裝置和應用程式、從任何位置環境下都能存取企業組織的重要資源。所以只將重點放在誰能存取或誰不能存,已經無法在足夠掌握其安全。 為了掌控安全與商務生產力間的平衡,在進行存取控制決策時,也須考量資源存取因素。
https://ithelp.ithome.com.tw/upload/images/20190916/20025481Hz2TLpTOTP.png

導入條件式存取的考量評估:

  • 登入風險:識別保護能夠透過偵測登入風險。針對意圖不軌者要如何限制存取?當用戶看似都是合法用戶呢?而用戶存取應用程式服務時又該如何防範?
  • 網路位置:如果執行存取嘗試的來源網路位置不在客戶自身組織控制下又該如何?
  • 裝置管理 :Azure AD 帳戶可以從種類廣行動化手持裝置均可任意存取雲端應用程式?
  • 用戶端應用程式:可用各種不同的應用程式如:網站、行動應用存取嘗試而造成已知問題的用戶端應用類型來執行?

以下兩種最低授權門檻需求方能使用此功能:

條件式存取原則兩階段的運作機制:
當有用戶存取雲端應用程式時,透過條件式存取原則層層把關。必須滿足每個機制設定的原則條件都會被套用到。如一般除了第一層的帳密外還會套用需要同時透過 MFA 來雙因素驗證,而第一層考驗通過後才會到第二層的原則如:需要指定符合的裝置像是Windows,MacOS,而非指定的行動平台就無法正常登入封包會被 Drop 掉。
通過雙因素驗證並使用符合規範的裝置

原則流程的套用都會在兩個階段強制執行:

  • Step1 系統會評估所有原則,並收集不符合的所有存取控制。
  • Step2 系統會提示您滿足您還沒有符合的需求。如其中一個原則因為條件變更或是用戶為滿足到系統要求則系統就會封鎖存取進而把用戶封鎖掉。

重整一下思緒讓大家簡而易懂條件存取這存在的價值:
任何人(帳戶)任何事(動作)任何物(裝置)任何地點(同時也涵蓋風險環境)任何環節出問題都會導致蝴蝶效應的出現。
所以為了要解決上述任意環節條件下的潛在風險(資安沒有滴水不漏只有風險管理能盡量做到完善就會讓有心人士因為過多的防護需要一層層剝開才能直指核心風險過高而作罷)讓原生在 Azure 或非 Azure 上的雲端應用程式透過 Azure AD 條件式存取來控制用戶如何安全並能有效的存取雲端應用程式,在存取原則當中所回應的定義"Then do this" 來觸發其原則"When this happens"的原因。
內容中條件式存取當發生任意情況就視為條件。而要執行動作這行為就稱為存取控制。而這兩種條件與存取控制加總一起就視為條件式存取原則。而預設如果未特別設置存取原則條件而並不會套用出發任何動作。

使用者和群組

  • 所有來賓帳戶-以 B2B 使用者作為原則目標。
  • 目錄角色-根據使用者的角色指派來設定原則的目標。(如:安全管理員,全域管理員等...)
  • 使用者和群組-以特定的用戶群作目標。(如:當針對 ERP 應用程式作為應用程式時選取 ERP 部門所有成員群組)

雲端應用程式和動作

  • 所有雲端應用程式-當任何雲端應用程式偵測到登入風險需多重要素驗證。其存取原則會套用至所有雲端應用程式並支援涵蓋所有網站或服務。
  • 選取應用程式-依據原則將特定服務當作目標。如:可要求用戶須有合規的 OS 環境才能存取 OneDrive。

登入風險

  • 高風險群用戶-可防止非法使用者存取你的雲端應用程式。
  • 中風險群用戶-透過強制執行 MFA 來強化登入使用者帳戶為合法。
  • 低或無風險則就不在此原則限制中。

裝置平台-如下圖所示
https://ithelp.ithome.com.tw/upload/images/20190917/20025481j2O04gY17L.png

位置-
以下均涵蓋會有你想要的例外排除條件

  • 任何地區。
  • 任何所信任的地區,如:當自家員工離開公司網路需要存取則要配合多重要素驗證機制確認合法身份。
  • 指定的地區,如:僅開放台灣地區可以存取而台灣以外存取服務的帳戶均進行封鎖。

用戶端應用程式-

  • 瀏覽器應用程式-涵蓋用 SAML、Federation,OpenID Connect Web SSO 網站,註冊成 OAuth 機密用戶端任何Web 網站服務。
  • 新式驗證行動和傳統型應用程式。
  • Exchange ActiveSync 用戶端-當封鎖 Exchange ActiveSync 使用時用戶會收到一封隔離信件其內容會告知鎖定的相關資訊。視需求會向 Intune 做註冊列管裝置託管的動作。
  • 其他用戶端-包含用戶基本驗證和郵件通訊協定終端等..

實作工坊

而光說不練怎麼行,實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下:

技能解封初始篇章-資源環境風險漏洞(Conditional Access)

  1. Conditional Access 成本計價。
  2. Conditional Access Q&A。
  3. 簡易實作體驗。

上屆鐵人主題

如果有興趣對您有幫助也請多多支持,歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲


上一篇
[Day 11] 技能解封初始篇章-內鬼授權加持(Azure Dynamic Groups)
下一篇
[Day 13] 技能解封初始篇章-暴力黃袍加身(Azure Privileged Identity)
系列文
麻瓜不敗!白魔法藍天煉金術30

尚未有邦友留言

立即登入留言