Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Zasady dostępu

Data publikacji: 29-04-2021 Autor: Michał Gajda
Rys. 1. schemat kontroli...

Warunkowa osiągalność zasobów

W celu zachowania bezpieczeństwa informacji niezmiernie ważna jest kontrola dostępu do zasobów przedsiębiorstwa. Niemniej współcześnie nie możemy jedynie weryfikować, kto uzyskuje dostęp do danych. Równie ważną kwestią jest to, w jakich okolicznościach uzyskiwany jest dostęp.

 

Aby każda organizacja mogła działać sprawnie, jej pracownicy powinni móc w łatwy sposób uzyskiwać dostęp do swoich zasobów. Niestety nie zawsze łatwość w dostępie do systemów informatycznych idzie w parze z zachowaniem należytego poziomu bezpieczeństwa. Wówczas o tragedię nietrudno. Szczególnego znaczenia nabiera to, gdy dane coraz częściej przetwarzane są w chmurze, a dostęp do nich może być uzyskiwany z praktycznie dowolnego urządzenia. Dlatego, aby móc nadal należycie chronić swoje zasoby informatyczne, standardowe zabezpieczenia, jak na przykład login i hasło użytkownika, są zdecydowanie niewystarczające.

Współczesny model pracy bazujący na pracy z dowolnego urządzenia, zgodnie z zasadami Bring Your Own Device, czy nawet na pracy z dowolnego miejsca na świecie, wymusza na organizacjach stosowanie nowoczesnych mechanizmów kontroli dostępu do zasobów. Obecnie nie wystarczy już weryfikować, kto uzyskuje dostęp do zasobu, ale również z jakiego urządzenia i miejsca to następuje. Aby mogło to przebiegać skutecznie i łatwo, warto wykorzystać zasady dostępu warunkowego w usłudze Azure AD.

> DOSTĘP WARUNKOWY

 

Jak już wspomniano, funkcja dostępu warunkowego jest składową częścią usługi Azure Active Directory. Sposobem działania przypomina ona klasyczną instrukcję IF…THEN. Mianowicie uzależnia ona dostęp lub jego brak od spełnienia określonych warunków, po których musi być wykonana zdefiniowana akcja. Jest to swoista druga linia obrony, która następuje zaraz po zakończeniu procesu uwierzytelniania.

Dostęp warunkowy bazuje na dwóch składnikach definiowanych w ramach poszczególnych zasad. Pierwszym z nich są warunki, w jakich następuje inicjalizacja dostępu do zasobów, czyli nasz warunek (IF). Natomiast w drugim etapie (THEN) podejmowana jest decyzja, czy można zezwolić na dostęp. W przypadku zezwolenia na dostęp podejmowane są dodatkowe akcje, czyli wymuszenie co najmniej jednego dodatkowego mechanizmu ochrony. Koncepcja działania dostępu warunkowego została zobrazowana na rys. 1.

Ochronie dostępem warunkowym mogą podlegać klasyczne zasoby firmy Microsoft, jak na przykład dostęp do platformy obliczeniowej Azure czy usługi dostarczane w ramach Office 365. Nie są to oczywiście jedyne możliwości, gdyż ochronie może podlegać praktycznie dowolny system informatyczny bazujący na uwierzytelnianiu opartym na usłudze Azure AD, włączając w to również aplikacje zlokalizowane w obrębie lokalnej infrastruktury informatycznej przedsiębiorstwa.

Jak można zauważyć, omawiana funkcjonalność niesie za sobą wiele możliwości wzmocnienia ochrony zasobów informatycznych. Aby jednak móc z niej skorzystać, konieczne jest posiadanie odpowiednich licencji na usługę Azure AD. Do obsługi większości funkcji wymagane jest posiadanie licencji Azure AD w wersji Premium P1. Dostęp do pełnej funkcjonalności można uzyskać po zakupie licencji w wersji Premium P2. Składają się na nią m.in. analizy ryzyka związanego z logowaniem użytkowników bazujące na metodach, które wykorzystują chmurowe elementy uczenia maszynowego.

 

> WARUNKI DOSTĘPU

Podstawowym elementem zasad dostępu warunkowego jest określenie warunków, w jakich dana zasada ma mieć zastosowanie. Poszczególne informacje są przekazywane do usługi Azure AD podczas uwierzytelniania użytkownika. Na bazie tych informacji dopasowywane są zasady, które będą określać warunki dostępu do żądanej usługi. Aby dana zasada miała w ogóle zastosowanie, konieczne jest spełnienie wszystkich zdefiniowanych parametrów warunku, czyli zachowanie operatora logicznego AND. W ramach wspomnianych informacji przesyłanych do zasad dostępu warunkowego możemy następujące elementy.

Cechy użytkowników

Omawiany parametr warunku pozwala na określenie użytkowników, którzy mają podlegać dostępowi warunkowemu. Może być on określony na kilka sposobów. Mogą to być na przykład wszyscy użytkownicy dostępni w katalogu Azure Active Directory, łącznie z kontami gości. Ta opcja nie jest jednak rekomendowana na samym początku wprowadzania konfiguracji. Należy pamiętać, że zasady dostępu warunkowego mogą odmówić dostępu do zasobów, w tym również i dostępu administracyjnego do usługi Azure AD, co może skutkować odcięciem od możliwości wyłączenia wadliwej zasady.

Najprościej zacząć wdrażanie od bezpośredniego wskazania niewielkiej liczby użytkowników końcowych. Oczywiście możliwe jest również zastosowanie częściej spotykanego podejścia, czyli wskazywanie konkretnej grupy użytkowników usługi Azure AD, np. grupy pracowników działu finansowego. Drugim rodzajem wskazywania użytkowników obarczonych koniecznością stosowania dostępu warunkowego jest posiadanie przypisanej konkretnej roli w ramach usługi Azure AD. Trzeci rodzaj przeznaczony jest do wskazania tylko i wyłącznie użytkowników zewnętrznych oraz gości.

Oczywiście od każdej reguły są wyjątki, dlatego i tutaj, bazując na analogicznych kryteriach, możemy wskazać zestaw użytkowników, którzy będą wykluczeni z konkretnej zasady. Zalecanym rozwiązaniem jest posiadanie jednego konta administracyjnego wykluczonego ze stosowania zasad dostępu warunkowego na wypadek konieczności awaryjnego dostępu, np. w przypadku nieoczekiwanego odcięcia dostępu.

Aplikacje w chmurze lub akcje

Parametr warunku ma dwojakie zastosowanie. Podstawowym z nich jest wskazanie konkretnych aplikacji w chmurze, dla których będzie wymagane zastosowanie dostępu warunkowego. Mogą to być wszystkie aplikacje, jednakże, analogicznie jak w przypadku wszystkich użytkowników, na początek lepiej wybierać pojedyncze aplikacje chmurowe. Alternatywą jest również stosowanie odpowiednich wykluczeń, tak aby nie odciąć sobie dostępu administracyjnego w przypadku błędnie zdefiniowanej zasady.

Drugim sposobem wykorzystania tej grupy jest stosowanie dostępu warunkowego bazującego na akcji użytkownika. Obecnie jedyną obsługiwaną akcją jest rejestracja informacji o zabezpieczeniach, m.in. rejestrowanie przez użytkownika informacji w usłudze Azure MFA. Dzięki niej możliwe jest określenie dodatkowych informacji, na przykład lokalizacji, z której następuje rejestracja w usłudze Azure MFA zawężonej do sieci firmowej.

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"