V digitální éře se data a cloudové služby staly životně důležitými pro organizace po celém světě. Nicméně, s velkou mocí přichází velká zodpovědnost, zejména pokud jde o zabezpečení privilegovaných účtů, jako jsou globální správcovské účty v Azure. Tyto účty disponují nejvyšší úrovní administrativního přístupu a jejich zabezpečení je nezbytné pro ochranu před potenciálními hrozbami.
Kolik je dobré mít Globálních administrátorů?
Doporučení Microsoftu dle dokumentace je 2-5, záleží na velikosti organizace a komplexitě využívaných služeb v Azure. Dle mého názoru je dobré mít 3 a ne více. Čím více, tím větší problémy s právy a možností kompromitace přihlašovacích údajů. A u méně účtů budeme narážet na zastupitelnost.
Jaké Globální Administrátorské účty máme?
První účet, kterým si zakládáme Azure pro celou firmu, je ten nejdůležitější s nejvyššími právy. Nesmí být přidělený konkrétní osobě a jeho přihlašovací jméno má být neutrální (admin@azurehelp.cz nebo globaladmin@azurehelp.cz, ne franta.vomacka…). Tento účet nepoužívat, jeho přihlašovací údaje zapečetit a dát do trezoru a používat jen ve výjimečných situacích. Poté, co je použit, změnit heslo a uložit ho do trezoru.
Další dva globální administrátoři jsou zde kvůli zastupitelnosti. Vyberete dva z Vašich nejlepších a nejzodpovědnějších lidí a ty ustanovte Azure Globálními Adminy, ideálně opět s neutrálním jménem (globaladmin1 nebo GA1 a GA2) a přiřadit je k jejich účtům. Tyto účty by se taky neměly používat k běžným činnostem.
Rozdělení správcovství v Azure
Příkladem bude Franta Vomáčka, který je Globálním Adminem, běžným adminem a zároveň potřebuje čtení a náhled na zdroje v celém tenantu.
GA1@azurehelp.cz - Globální Administrátorský účet, který je zamčený v trezoru a nepoužívá se běžně. Je zabezpečený pomocí Azure Privileged Identity Management (PIM), kdy dostaneme aktivaci na globální práva pouze v době, kdy je to třeba. Další zabezpečení je Azure AD Conditional Access, kdy globální účet můžeme použit jen a pouze z firemního notebooku a na firemní síti, samozřejmě následovaný MFA.
Franta.Vomacka.admin@azurehelp.cz - účet Franty, se kterým dělá běžné administrátorské činnosti, pokud potřebuje, tak si pomocí PIM zvýší práva na omezenou dobu a pomocí MFA se musí ověřit. Můžou být implementovány CA politiky pro některé operace a pro omezení dostupnosti pouze na firemní síť atd.
Franta.Vomacka.reader@azurehelp.cz - běžný účet pro čtení , náhled a komunikaci v rámci Azure. Nemusí být nijak speciálně zabezpečen, stačí MFA a CA politiky pro Azure AD náhledy na účty uživatelů.
Zabezpečení Globálních účtů
Základem zabezpečení každého účtu je silné heslo. Musí být komplexní a co nejdelší. Ideální je mít alespoň 14 znaků. Vyhněte se používání běžných hesel nebo vzorů a podpořte uživatele, aby používali správce hesel k generování a bezpečnému ukládání svých hesel.
Jedním z nejúčinnějších opatření proti neoprávněnému přístupu je povinná vícefaktorová autentizace (MFA) pro všechny globální správcovské účty. MFA přidává další úroveň zabezpečení tím, že vyžaduje od uživatelů poskytnutí více identifikačních faktorů, například heslo a ověřovací kód zaslaný na jejich mobilní zařízení.
Azure Privileged Identity Management (PIM) umožňuje organizacím implementovat "přístup právě včas" pro globální správcovské účty. To znamená, že administrativní oprávnění jsou aktivována pouze tehdy, když jsou skutečně potřeba po omezenou dobu, což snižuje možnost zneužití privilegovaných účtů a snižuje potenciální hrozby.
Azure AD Conditional Access umožňuje definovat specifické podmínky, za kterých mají globální správcovské účty přístup k zdrojům Azure. Například můžete omezit přístup na základě konkrétních IP rozsahů nebo vyžadovat, aby uživatelé přistupovali k účtům z konkrétních zařízení, což zvyšuje bezpečnost proti neoprávněným pokusům o přístup.
Pravidelně provádějte kontroly globálních správcovských účtů(stačí jednou za pul roku či ročně), aby se zajistilo, že oprávnění má pouze nezbytný personál. Bezodkladně odstraňte nevyužívané nebo nepotřebné účty, aby se snížila plocha útoku a potenciální bezpečnostní rizika.
Školte všechny uživatele, zejména globální správce, ve správných postupech týkajících se bezpečnosti a jak rozpoznat a vyhnout se běžným bezpečnostním hrozbám, jako jsou phishingové útoky. Dobře informovaný tým může být vaší první linií obrany proti potenciálním bezpečnostním útokům.
Závěr
Zabezpečení globálních správcovských účtů je nezbytné pro ochranu vašeho prostředí Azure před potenciálními bezpečnostními hrozbami a úniky dat. Implementací silných zásad pro hesla, vynucováním vícefaktorové autentizace, využitím řízení přístupu na základě rolí a zavedením Azure Privileged Identity Management mohou organizace výrazně zvýšit zabezpečení svých globálních správcovských účtů. Vzhledem k neustále se měnícímu kybernetickému prostředí je důležité držet krok s nejnovějšími bezpečnostními funkcemi, abyste ochránili citlivá data a prostředky vaší organizace.