Moderne nettverksperimetere med nestegenerasjons brannmurer har fortsatt livets rett. Men de gir ikke tilstrekkelig beskyttelse. Hybride arbeidsmønstre og dagens trusselbilde krever andre former for sikkerhet. Ansatte jobber på tvers av organisasjoner og utenfor huset. Stadig flere er sjelden eller aldri innom bedriftsnettverket. Lokale applikasjoner fases ut og erstattes med skytjenester. Angripere bryter seg i mindre grad inn i virksomheten, men logger på med stjålet legitimasjon.
Det gjør nettverksbeskyttelse av bedriftsressurser ikke fullt så effektivt. Den nye sikkerhetsperimeteren eller kontrollplanet er identiteten, det eneste konstante med ansatte som befinner seg hvor som helst og jobber på nær sagt hva som helst. Azure Active Directory (AD) kommer med en rekke mekanismer som beskytter brukerkontoer og ressurser maksimalt, som multifaktor-autentisering (MFA) og betinget tilgang. Modellen for sikkerhet er identitetsdreven, sentrert rundt ressurstilganger.
Brukere og tilganger
Miljøet behøver ikke omfatte mer enn en liten organisasjon som bare bruker skyappene som følger med Microsoft 365 Business Premium. Det kan være utvidet med tjenester i Azure eller tredjeparts skytjenester. Det kan være hybrid, kombinert med et lokalt perimeterbasert nettverk.
Brukere logger på med MFA eller passordløs godkjenning. De er satt opp for enkel engangspålogging med tilgang til alle apper og data de trenger, uansett om det er Microsoft 365, andre skytjenester eller lokalnettet. For å unngå en VPN-løsning kan lokale tjenester publiseres til Internett med teknologier som Azure AD Application Proxy eller Citrix (skrivebord som tjeneste). Det benyttes bare ett sett med legitimasjon. Det gjør det lett for brukere og forenkler administrasjon og overvåking.
Azure AD autentiserer pålogginger og autoriserer tilganger, dvs. bekrefter at bruker er den hun utgir seg for, og tildeler nødvendige rettigheter. Dette styres av en policymotor som kalles Betinget tilgang. Den fungerer som et sentraliserte beslutnings- og håndhevelsespunkt. Tilgang kan tillates, kreve MFA eller blokkeres, avhengig av om ulike forutsetninger oppfylles. Mekanismen har enkelte likhetstrekk med en dørvakt på et utested.
Vakten kontroller om du er gammel nok, ikke er overstadig beruset eller viser utagerende atferd, og at klærne svarer til kodeksen for etablissementet. Om t-skjorten er fillete, vil ha si: «Sorry, kompis. Kom deg hjem og få på deg finstasen.» For en bruker kan det bety at hun befinner seg på et ikke-godkjent nettverk, for en enhet at den ikke er i samsvar. Sånn kan du sikre at bare godkjente brukere på tiltrodde enheter med klarert programvare kommer inn i virksomheten.
Betinget tilgang
Betinget tilgang er hjørnesteinen i Microsofts sikkerhetsmodell og implementering av Zero Trust. Den består av enkle hvis–så-setninger som samlet bestemmer om det skal gis adgang og i så fall hvordan. Betingelsene kan være basert på brukere og sted, enheter og deres helsetilstand, applikasjoner som aksesserer data, og risikoer knyttet til bruker og sesjon.
- Bruker og stedsbasert. Hold følsomme data beskyttet ved å begrense brukertilgang basert på geolokasjon eller IP-adresse med stedsbaserte policyer for betinget tilgang.
- Enhetsbasert. Sørg for at bare registrerte og klarerte enheter får tilgang til bedriftsdata med enhetsbasert betinget tilgang.
- Applikasjonsbasert. Arbeidet behøver ikke stoppe opp når bruker ikke er på bedriftsnettverket. Sikre tilgang til bedriftsskyen og lokale apper og oppretthold kontroll med betinget tilgang.
- Risiko-basert. Beskytt dine data mot ondsinnete hackere med risikobaserte policyer som kan brukes på alle apper og alle brukere, enten lokalt eller i skyen (krever Azure AD Premium P2).
Azure AD autentiserer brukere. Betinget tilgang sørger for autorisering på bakgrunn av signalene fra alle datapunkter. Hvis brukere allerede har oppgitt MFA på samme enhet de logger på fra, vil det typisk huskes i 90 dager eller lenger, og tilgangen tillates uten ytterligere krav om sterk autentisering. Dersom brukere har en administrativ rolle, vil det alltid kreves MFA. Om det foretas en pålogging fra land eller lokasjoner du ikke godtar, vil du vanligvis blokkere tilgangen.
Enheter inngår også i evalueringen. Hvis enheten ikke er registrert i Microsoft Intune, selskapets mobile enhets- og applikasjonsbehandling, vil du typisk ikke gi tilgang. Andre medbestemmende faktorer er om enheten er i samsvar med virksomhetens policyer eller fri for skadevare. Du kan gi begrenset tilgang til ikke-forvaltede enheter. Mobilenheter med Android og iOS behøver ikke å være innrullert; her kan du forankre tilgangen i apper som er beskyttet med app-policyer.
Dette bør være de grunnleggende reglene for tilgangen til alle skyapper i organisasjonen. Du kan forfine policyene ved å begrense tilgangen til kritiske systemer med sensitive data. Det vil da bare inkludere bestemte brukere og enheter fra angitte steder. Risikosignaler kan utløse utbedringstiltak som å kreve at bruker oppgir MFA på nytt eller endrer passordet ved hjelp av selvbetjent tilbakestilling av passord. Tilgangen kan også blokkeres til en administrator tar affære.
Retningslinjer for påloggings- og brukerrisiko via identitetsbeskyttelsen eller betinget tilgang krever Azure AD Premium P2. Microsoft 365 Business Premium inneholder bare Azure AD Premium P1. Du får imidlertid begrenset informasjon i sikkerhetsrapportene om risikable brukere, risikofylte pålogginger og risiko-oppdagelse, men ingen varsler eller ukentlige sammendrag. Om det ikke er nok, må du tegne et tilleggsabonnement på Premium P2.
Autentiseringsmetoder
En godkjenningsmetode basert på bare brukernavn og passord gir for dårlig sikkerhet. Du bør legge til én faktor til. Tekstmelding og taleanrop som annen faktor i multifaktor-autentisering (MFA) anbefales ikke lenger. SMS kan fanges opp; å svindle til seg SIM-kort er ikke vanskelig. Anrop kan avlyttes. Bedre er det med engangspassord (one-time password – OTP) som er en automatisk generert numerisk eller alfanumerisk streng.
Den beste autentiseringsmetoden er passordløst. Bare to av alternativene i oversikten er phishing-resistente, dvs. fullstendig immune mot forsøk på å kompromittere eller undergrave autentiseringen. Det er Hello for Business og FIDO2-sikkerhetsnøkler. I en forhåndsversjon har Microsoft lansert en tredje måte, sertifikat-basert godkjenning, som oppfyller de samme strenge kravene som går ut på at hver part fremlegger bevis på sin identitet og kommuniserer sin intensjon.
De andre formene forautentisering er ikke fullt så motstandsdyktige mot angrep. Men det viktigste er at du aktiverer MFA eller passordløst, uavhengig av sikkerhetsnivået. Hello for Business på Windows 10/11 støtter pålogging med ansiktsgjenkjenning og fingeravtrykk og faller tilbake på en PIN-kode om de biometriske metodene svikter. Med Microsoft Authenticator på mobilen kan du logge på uten passord ved å velge riktig tall på mobilen som vises i påloggingsboksen på en enhet.
Aktivere MFA for alle brukere
Det er tre måter å sette opp MFA på i Microsoft 365: Eldre MFA per bruker, også omtalt som Office 365 MFA, bør unngås. Sikkerhetsstandarder egner seg for organisasjoner med bare Azure AD Gratis eller Microsoft 365 Apps. Funksjonen er aktivert for nye Microsoft 365-organisasjoner. MFA med Betinget tilgang er anbefalt for Microsoft 365 Business Premium. Sikkerhetsstandardene er ikke kompatible med policyer for betinget tilgang eller identitetsbeskyttelsen i Azure AD.
Eldre MFA per bruker (ikke anbefalt)
Eldre MFA per bruker bør helst ikke benyttes lenger. Den overstyrer de to andre metodene. Velg Godkjenning med flere faktorer i Microsoft 365-administrasjonssenter. Sørg for at alle brukere er deaktivert for MFA.
Sikkerhetsstandarder
Sikkerhetsstandarder gir en god idé om hva Microsoft anser for å være beste praksis. De sørger for enhetlig registrering av MFA og krever at administratorer alltid skal benytte MFA, brukere bare ved faresignaler. Det gjelder for tilgangen til alle skyapper. Eldre protokoller blokkeres, og det kan skape problemer for multifunksjonsskrivere og skannere. Som annen faktor støttes bare Microsoft Authenticator. Du bør deaktivere standardene og benytte betinget tilgang.
Betinget tilgang og MFA
En veiviser hjelper deg med å sette opp MFA med betinget tilgang. På kortet står det: «Reduser kompromitterte brukerkontoer med flerfaktorautentisering. Det er 99,99 % mindre sannsynlig at brukerkontoer blir kompromittert når du aktiverer godkjenning med flere faktorer (MFA). Vi veileder deg gjennom konfigureringen og hjelper deg med å bestemme de beste alternativene for din organisasjon.»
Det foretas en analyse av lisensene og miljøet ditt. På bakgrunn av dette setter veiviseren opp de fire øverste reglene for MFA med betinget tilgang i Business Premium: (1) Krev MFA for administratorer. (2) Krev MFA for alle eksterne brukere og gjester. (3) Blokker alle eldre pålogginger som ikke støtter MFA. (4) Krev MFA for alle brukere. Tilgangen med MFA gjelder for alle skyapper. Utrullingen og kravet om MFA angår styrket autentisering. Men med betinget tilgang kan vi også autorisere tilganger.
I skjermbildet ovenfor har vi lagt til et krav om at enheten bruker logger på fra, må være i samsvar eller et hybrid medlem i Azure AD. I rapporteringsmodus har vi satt opp regler for bare å autorisere tilgang fra godkjente land og for begrenset tilgang fra ikke-forvaltede enheter. Om du for eksempel skal sikre adgangen til HR-systemet, kan du kreve at enheten du logger på fra, må befinne seg på lokalnettet eller i Norge, at den kjører Windows 11 og er i samsvar. Tilgangen gjelder bare for et bestemt antall ansatte.
Et viktig moment med MFA er at brukere ikke må utsettes for altfor mange MFA-forespørsler. De går lei, og man risikerer at brukere godkjenner MFA for pålogginger de ikke selv har initiert. Dette utnyttes av hackere. Løsningen er å sørge for at MFA huskes på enheter, typisk i 90 dager. Tankegangen er at en angriper vil trenge enheten for å logge på, noe som naturligvis er mulig, men vanskelig.
Passord og passordløst
Azure AD klarer seg ikke uten passord ennå. Med passordløst slipper du oppgi det, annet enn i spesielle tilfeller. Microsofts generelle anbefaling er at du aldri lar passord utløpe under forutsetning av at du bruker sterk autentisering med MFA eller passordløst og et relativt langt passord. Med Azure AD Password Protection oppdager og blokkerer du kjente svake passord og deres varianter. Det kan også ytterligere sperre for passord som er spesifikke for virksomheten din.
Globale forbudte passordlister blir automatisk brukt på alle i en Microsoft 365-organisasjon. Her kan du også konfigurere smart utstenging etter et gitt antall mislykkede påloggingsforsøk og hvor lenge du må vente før du kan prøve på nytt. Du bør rulle ut tjenesten Selvbetjent tilbakestilling av passord. Det sparer IT for mye arbeid og gjør det lettere for brukere. Om du benytter Azure AD Premium P2 (som er en tilleggslisens) med Azure AD Identity Protection er dette et krav.
Fjerntilgang til lokale apper uten VPN
Tradisjonell VPN-tilgang inn i bedriften introduserer en sikkerhetsrisiko. Det benytter et annet inngangspunkt og har som oftest adgang til hele det interne nettet. Tilgangen blir for bred og er statisk, ikke begrenset til nødvendige tjenester og applikasjoner. Som regel benyttes MFA, men uten alle tilleggsfunksjoner i Azure AD. VPN krever økt administrativ innsats og er tungvint for brukere. Du må åpne porter mot Internett, som utgjør en risiko.
Som en overgangsløsning kan du konfigurer Azure AD for VPN-autentisering. Neste trinn er å publisere lokale apper til Internett med Azure AD App Proxy, så de kan nås direkte via URLer (offentlige adresser) eller i My Apps-portalen. Det er støtte for nettapper som bruker integrert Windows-autentisering, tapper med hode- eller skjema-basert godkjenning, applikasjoner som publiseres via Remote Desktop Gateway, og lokal SharePoint. Brukere benytter en HTML5-klient. VPN kan eksistere side om side med Azure AD App Proxy, så du kan få til en smidig, rullende forandring.
Sikkerhetsvurdering av identiteter
Angriperne starter i hovedsak med identitetsangrep med phishing og legitimasjonstyveri. De bryter seg ikke inn i virksomheten, men logger seg pent og pyntelig på med rappet legitimasjon. Dette kan du forsvare deg mot med en solid identitetshygiene. Sikkerhetsvurderingen for identitet i Azure AD analyserer hvor godt miljøet ditt følger Microsofts anbefalinger, og hjelper deg med å bedømme status for identitetssikkerhet. Tabellen viser skår- og brukerinnvirkning og implementeringskostnad.
For full uttelling må du kreve multifaktor-autentisering for administrative roller og utpeke mer enn én global administrator. Du må ikke la brukere gi samtykke til upålitelige applikasjoner og benytte minste privilegerte administrative roller. Ikke la passord utløpe. Aktiver policyer for å hindre eldre godkjenning. Beskytt alle brukere med en påloggings- og brukerrisikopolicy. Sørg for at alle kan fullføre multifaktor-autentisering. Aktiver selvbetjent tilbakestilling av passord.
Overvåking av pålogginger
Aktiviteter i Azure AD loggføres grundig for de fleste aktivitetene. Sign-in logs gir informasjon om pålogginger. Du får grunnleggende info om autentiseringskrav (som er MFA), hvor bruker har logget på fra, hva slags enhet, autentiseringsdetaljer, policyene i betinget tilgang som er brukt, med mer. Audit logs viser hvilke administrative handlinger som er utført.
Avsluttende ord
Sikkerhetsmekanismene i Azure AD sørger for at dine ansatte kan arbeide uforstyrret med en førsteklasses mobil opplevelse og være beskyttet mot phishing og identitetsangrep. For å si det med Microsofts Greg Taylor: «IT-sikkerhet skal ikke hindre meg i å gjøre jobben min, men gjøre meg i stand til å gjøre jobben på en sikker måte.» Det er kjennetegnet på de innebygde mekanismene. De er knapt – om overhodet – merkbare i ditt daglige arbeid, men er der når det er nødvendig.
Grafikken er fra Microsoft, fornorsket i Visio eller PowerPoint. Skjermbildene er fra eget testmiljø.
