iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 13
2
Security

麻瓜不敗!白魔法藍天煉金術系列 第 13

[Day 13] 技能解封初始篇章-暴力黃袍加身(Azure Privileged Identity)

前言回顧

技能解封初始篇章-資源環境風險漏洞(Azure Conditional Access)
https://ithelp.ithome.com.tw/upload/images/20190908/20025481zr6afutGYz.jpg

已領取技能符石

https://ithelp.ithome.com.tw/upload/images/20190917/20025481h8CLRIw9Sb.png

解封技能樹(Start)

https://ithelp.ithome.com.tw/upload/images/20190917/20025481Gj8npsNX9g.png

適合的勇者?

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

https://ithelp.ithome.com.tw/upload/images/20190907/20025481886Opddny2.jpg

學完可以帶走甚麼?

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹,把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

https://ithelp.ithome.com.tw/upload/images/20190907/20025481k086P7e0kc.jpg

伊瑟瑞爾 VS 督瑞爾

https://ithelp.ithome.com.tw/upload/images/20190913/20025481dZMGLj9psi.jpg

重拾天使眾將士的權力之鎖

面對裡裡外外的紛擾風波不斷讓劇情上演,天使城其中一術士精煉師獻策把畢身研究提煉的淨化之眼符石與能夠賦予權力的身份印記融合一體,接下來這樣的印記出現像是生命似的不但能追朔賦予權力的將士們的歷史時間軸外,也可以讓需要賦予權力的新天使能更真正的被識別不會有魚目混珠的狀況發生,而能有效保護城中的子民及世界之石。
重拾權力之鎖的解析回到人類聽得懂的代名詞"特權身分管理"小弟先簡述一下此服務究竟為何?

Azure 中非常重要的當屬資源無誤,但是要能操弄其資源的非人類莫屬(即使你要說的人工智慧還是需要人去做前導給予無論是監督或非監督式,這就不在此篇章做深入討論),只要是人就一定要有其身份,再數位的世界中代表人這個身份就屬帳號了,而每個帳號能有多大的能耐做甚麼樣的事情就回歸到所賦予的權力(存取權限)。所以回到正題上 Azure AD 就是一組組的帳號,而 Privileged Identity Management (PIM) 這項特權身份管理服務顧名思義就是,大幅強化管理、控制和監視組織內重要資源的身份識別存取。

而一個公司組織如想要保有一個安全無虞的環境,每種各項使用存取特定資源的人是越少越好,進而降低惡意行為取得存取權或授權用戶非故意的觸碰到敏感資料機率。雖然 市面上方法技術很多,也包含到望後篇章提到的資安中心的 Just-In-Time (JIT) 特殊存取權限藉由時效性來限制使用者。針對使用者根本的管理權限方式做監督管理。 PIM 可讓不必要或誤用的存取權限風險降低。

Privileged Identity Management 主要功用?
指派具有時效性的資源存取權進行管控。
需核准才能啟用特殊權限角色。
啟用角色可透過強制多重要素驗證(MFA)來強化帳戶安全。
特權角色啟用時獲取郵件通知。
存取權檢閱來檢視用戶仍使用之角色。
下載稽核歷程記錄供內外部來做稽核。

使用 PIM,帳戶目錄本身須具有以下其中一個付費/試用授權

  1. Azure AD Premium P2
  2. Enterprise Mobility + Security (EMS) E5
  3. Microsoft 365 M5

哪些用戶必須要有授權?
PS:只要是想從 PIM 獲得管理監視效益者的每個管理員/使用者都須具有效授權。

有使用 PIM 所管理 Azure AD 角色的管理員
有使用 PIM 所管理 Azure 資源角色的管理員
指派給「特殊權限角色管理員」角色的管理員
指派為符合使用 PIM 管理之 Azure AD 角色資格的使用者
能夠在 PIM 中核准/拒絕要求的使用者
指派給 Azure 資源角色 (透過及時或直接 (以時間為基礎) 的方式指派) 的使用者
指派給存取權檢閱的使用者
執行存取權檢閱的使用者

PIM 授權一旦過期對帳戶會有何影響?

  • 授權過期,目錄中就無法再繼續使用其功能。
  • Azure AD 角色的永久角色指派不會受到影響。
  • 用戶無法再利用 Azure Portal 中 PIM 的 Graph API Cmdlet 和 PowerShell 來啟動特權角色、管理等功能。
  • Azure AD 的合格角色指派將會被自動移除,因為使用者已無法再啟動特殊權限角色。
  • Azure AD 角色任何進行中的存取檢閱將會終止外 PIM 組態設定也會被移除。
  • PIM 不會傳送有關角色指派變更的郵件通知。

簡述 PIM 運作流程:

  1. 設置 PIM 讓使用者有資格先成為特權角色。
  2. 已符合資格的使用者當需使用其特權時,可在 PIM 介面直接啟動該角色。
  3. 本身角色設定過程中須完成如:是否多重要素驗證、需要獲得核准及獲准原因等條件。
  4. 當成功啟動角色後,就可在時效區間內享有該角色的權力。
  5. 最後管理員可在稽核記錄中檢視 PIM 活動歷史記錄。
  6. 最後在進一步保護用戶並透過存取權檢閱和警示功能讓整個流程合規。

有三種角色是無法被 PIM 來管理的:

  • 傳統帳戶管理員
  • 傳統服務管理員
  • 傳統共同管理員

前十大 AAD 具最多角色保護權限從大至小依序排列如下:

  1. 全域管理員
  2. 安全性系統管理員
  3. 使用者系統管理員
  4. Exchange 系統管理員
  5. SharePoint 管理員
  6. Intune 管理員
  7. 安全性讀取者
  8. 服務管理員
  9. 計費管理員
  10. 商務用 Skype 管理員

實作工坊

而光說不練怎麼行,實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下:

技能解封初始篇章-暴力黃袍加身(Privileged Identity)

  1. Privileged Identity 成本計價。
  2. 簡易實作體驗。

上屆鐵人主題

如果有興趣對您有幫助也請多多支持,歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲


上一篇
[Day 12] 技能解封初始篇章-資源環境風險漏洞(Azure Conditional Access)
下一篇
[Day 14] 技能解封中間章程-角色權力保衛戰(RBAC)
系列文
麻瓜不敗!白魔法藍天煉金術30

尚未有邦友留言

立即登入留言