Conditional Access pro vícefaktorové přihlašování k Office 365

Duben 2, 2019
David Kalenda

Autor

David Kalenda

Security Consultant společnosti SoftwareONE Czech Republic

Přesunutí systémů, aplikací a úloh do cloudu má nepočítaně výhod, ale také několik úskalí. Tím zásadním je zabezpečení přístupu ke službám a související ochrana identit oprávněných uživatelů.

Dokud bylo možné přihlásit se k podnikovým systémům jen v rámci podnikové sítě, byla ochrana před neoprávněným přístupem podstatně jednodušší – v zásadě stačilo zabezpečit přístup do sítě zvenčí a pak striktně kontrolovat aktivity uživatelů uvnitř sítě. Žijeme ale v době cloudové, kdy se podnikové systémy a aplikace stále častěji nenacházejí ve firemním datovém centru, ale na serverech poskytovatele cloudové služby – často v jiné zemi, třeba i na jiném kontinentu.

Jako jedna z hlavních výhod cloudu je přitom zmiňována mobilita, tedy možnost přihlásit se k systémům a aplikacím odkudkoli prostřednictvím internetu a pracovat s nimi z jakéhokoli zařízení. To ale podstatně komplikuje možnosti zajištění „ochrany u vstupních dveří“, která je bytostně závislá na zabezpečení identit oprávněných uživatelů – nejčastěji reprezentovaných uživatelským jménem a heslem. Ukazuje se přitom, že až dvě třetiny úniků firemních dat umožnilo právě odcizení přihlašovacích údajů nebo používání slabých (často dokonce výchozích) hesel k uživatelským účtům.

U cloudových služeb se identita uživatelů stává středobodem ochrany před neoprávněným přístupem, který je potřeba ochránit za každou cenu. Organizace se proto velmi často uchylují k řešením tohoto problému prostřednictvím plošného vynucení vícefaktorového ověřování identity uživatelů nebo rovnou zákazem přístupu k vybraným službám z jiné než kontrolované sítě. Jedná se sice o spolehlivé a efektivní řešení bezpečnosti, ale současně to znamená i zásadní omezování uživatelů. Výsledkem je buďto úplné, nebo podstatné omezení mobility – tedy jednoho z klíčových přínosů cloudových služeb. S využitím funkce Podmíněný přístup (Conditional Access) je ale možné zajistit požadovanou úroveň bezpečnosti i bez zásadního omezení uživatelů.

Co je podmíněný přístup?

Conditional Access, tedy podmíněný přístup, je funkce cloudové služby Azure Active Directory, umožňující definovat pravidla, která omezují nebo definují podmínky přístupu k podnikovým datům na základě typu uživatele, jeho aktuální polohy, použitého zařízení, stavu uživatele nebo citlivosti obsahu konkrétní aplikace. Na základě splnění či naopak nesplnění stanovených podmínek dochází k aktivaci bezpečnostních pravidel, jako je například vynucení vícefaktorové autentizace uživatele nebo omezení jeho přístupu pouze na čtení.

Podmíněný přístup ke cloudovým službám může být typicky aplikován například v podobných situacích:

  • Pokud se budou uživatelé připojovat k aplikacím a službám prostřednictvím internetu (tedy mimo firemní síť), bude po nich vyžadováno vícefaktorové ověření.
  • Vícefaktorové ověřování budou muset provádět všichni externí spolupracovníci a/nebo uživatelé s účtem pro hosty.
  • Zařízením, která nejsou ve správě organizace, bude blokován přístup. Zařízením v režimu BYOD bude umožněno přihlášení pouze po splnění bezpečnostních podmínek definovaných organizací.
  • Pravidla pro přístup ke službám budou rozšířena o zjišťování polohy uživatele. Přístupy z určitých zemí nebo oblastí budou automaticky blokovány jako potenciální pokusy o kybernetický útok.

Prostřednictvím nastavení pravidel podmíněného přístupu lze najít rovnováhu mezi dostatečnou mírou zabezpečení firemních dat a ostatních prostředků a zachováním vysoké produktivity uživatelů cloudových služeb včetně jejich mobility.

Když, pak… : Zásady podmíněného přístupu 

Funkce podmíněného přístupu neslouží sama o sobě k udělování přístupu uživatelů ke cloudovým službám a aplikacím. Jedná se způsob řízení přístupu uživatelů na základě pravidel podle jednoduchého principu „když se stane toto – udělejte tohle“. Aby uživatelé získali ke službám přístup, musí být splněny všechny stanovené podmínky, které mohou navíc tvořit celý řetězec. Na začátku je identifikace uživatele (kdo) a pokračovat můžeme přes typ cloudové aplikace (kam se přihlašuje), použité zařízení (z čeho se přihlašuje) a k jaké síti je připojeno (odkud se přihlašuje). Postupné řešení těchto podmínek „odemyká“ úrovně přístupu ke službám, aplikacím a datům, resp. klade podmínky (typicky vícefaktorové ověřování), které musí uživatel splnit.

Podmíněný přístup a Microsoft 365

Funkce podmíněného přístupu je součástí licenčních balíčků Enterprise Mobility + Security (EMS) nebo kompletního řešení Microsoft 365 Enterprise. Možnosti podmíněného přístupu jsou úzce propojeny se zabezpečením identit služby Azure Active Directory a tato funkce je zahrnuta v licenci  Azure Active Directory Premium.

Chcete používat cloudové aplikace a služby Office 365 opravdu bezpečně, bez rizika neoprávněného přístupu a ztráty dat kvůli napadení nedostatečně zabezpečených uživatelských účtů? Kontaktujte nás a naši specialisté s vámi proberou možnosti nasazení podmíněného přístupu ve vaší organizaci.

Přidat komentář