オンプレミス感染からクラウド インフラストラクチャを守るための実践的な手順

オンプレミス感染からクラウド インフラストラクチャを守るための実践的な手順

クラウド移行時のセキュリティに焦点を当てる

私は最近、マイクロソフトのプラミラ・パドマナバンとマイケル・エッピングの講演に出席する喜びを持っていました オンプレミス攻撃からマイクロソフト 365 を保護する 専門家会議(TEC)2021で。その後、その後の質問と回答期間を共同モデレートしました。このセッションでは、ソフトウェア スタックの一部を Microsoft 365 に移行する組織が直面する重要な課題、つまり従来のオンプレミス インフラストラクチャの構成により Microsoft 365 のセキュリティが低下しないようにする方法について説明しました。私は強くお勧めします プレゼンテーションを見る: 彼らが与えるアドバイスは、明確で賢明です。

推奨事項は、5 つの主要なカテゴリに分類されます。2つの投稿の過程で、私は彼らのアドバイスの要約を提示し、これらの推奨事項がどのように実践に変換されるかについて私の視点を追加します。私の職業では、北米の大規模な組織と独占的に仕事をしているので、私の経歴と経験は私の視点を彩るかもしれません。

オンプレミスのインフラストラクチャが Microsoft 365 に与えるリスク

攻撃者は、Microsoft 365 クラウド サービスを攻撃し、侵害するために、オンプレミスの Microsoft インフラストラクチャを使用するようになっています。これらの最も有名な集大成は、 ノーベル賞キャンペーンは、一般的に「ソーラーウィンズ」ハックと呼ばれます。

Windows Server、Exchange サーバー、SharePoint サーバー、特に Active Directory などのオンプレミス製品は、マイクロソフトの重要なフットプリントを持つ組織にとってほぼユビキタスです。Microsoft 365 サービスの導入を促進するためにマイクロソフトが使用する重要なセールス ポイントは、組織が Microsoft オンプレミス プラットフォームをクラウドに拡張して “ハイブリッド" になるシームレスな方法です。

Microsoft 365 ハイブリッド機能を使用できるため、組織はクラウドへの移行をよりスムーズに管理できます。しかし、Microsoft 365 ハイブリッドを作成すると、クラウドとオンプレミスのプラットフォームを結ぶ依存関係や複雑さが増します。これは最終的に、プラドマナバーンが非常にカラフルに置くように、組織を「自分から守る」という立場に置きます。

Padmanabhan と Epping によると、Microsoft 365 に影響を与えるオンプレミスのセキュリティの脆弱性の 2 つの主要な手段は、フェデレーション認証とディレクトリ同期です。フェデレーション認証は、認証のために Active Directory フェデレーション サービスなどのオンプレミス コンポーネントを信頼するように Office 365 が構成されている場合です。これは、オンプレミスの優位性からクラウドアクセスに移行するためにNobeliumハックで使用されるベクトルです。

Active Directory と Azure Active Directory 間のディレクトリ同期は、オンプレミス アカウントが対応するハイブリッド クラウド アカウントで過剰アクセス許可 (または単にアカウントなし) のアクセス許可を持っている場合に脆弱性を作成します。攻撃者が オンプレミスのインフラストラクチャに侵入できる 過剰に許可されたハイブリッド アカウントのオンプレミス部分に妥協し、そのアカウントがクラウドにアクセスした場合は、そのアカウントがどのようなアクセス権を持つか、アクセス権を取得できます。

オンプレミスのインフラストラクチャが Microsoft 365 に与えるリスクを軽減する

これらの課題を考えると、Padmanabhan と Epping は、Microsoft 365 環境をオンプレミスの脅威から保護するために、5 つの重要な推奨事項を提供しました。私は彼らのそれぞれと少し時間を費やして、私が実装されている推奨事項を見て、「現実の世界で」テストに入れた方法について話すつもりです。

Microsoft 365 管理者を分離する

Microsoft のガイダンスでは、Microsoft 365 の管理に使用されるアカウントが、ユーザーの通常の Microsoft 365 アカウントとは異なり、別の “管理ワークステーション" とは異なるアカウントであることを確認します。この推奨事項は、私が協力している組織によって最善を尽くした、いくつかの注意点を示すものです。

“グローバル管理者" や “SharePoint 管理者" など、高度な特権を持つ Microsoft 365 の役割に割り当てられた “日単位のドライバー" ユーザー アカウントが表示されることはほとんどありません。比較的一般的ですが、私が話す多くの組織は、ユーザー アカウントを移行するプロセスを進めています。

さらに、Microsoft 365 の管理者アカウントをセキュリティで保護するために"ジャストインタイム"特権管理システムが使用されているのがますますわかります。これらのシステムには、マイクロソフト特権 ID 管理 (Azure AD Premium P2 が必要) と、CyberArk、BeyondTrust、および 1 つの ID などのベンダーからのサード パーティの特権アクセス管理システムが含まれます。

私は、組織が統合されたMicrosoft特権Identを使用していない理由を疑うがITYマネジメント(PIM)システムはさまざまで、私がそれについて尋ねるとき、私が与えられる理由は、通常、2つのカテゴリのいくつかの組み合わせに分類されます。PIM 内での承認オプションが基本的すぎるか、組織が、多くのクラウドおよびオンプレミス プラットフォームで特権をカバーできる単一の特権管理システムを用意したいと考えています。

特権アクセス ワークステーションに限定された特権アカウントの使用を見ることはあまり一般的ではありません。これは通常、管理者の責任ではなく、Microsoft 365 へのアクセスを必要とし、アプリケーション自体で同意ワークフローを開始するグローバル管理者アカウントを必要とするサードパーティのアプリケーションです。

たとえば、最近は Azure Active Directory インターフェイスを含むオンプレミス ID 管理システムを使用しました。統合に必要なサービス プリンシパルを事前に作成できませんでしたが、アプリ自体の構成ユーティリティによって定義および同意する必要がありました。さらに悪いことに、アプリケーションは単なる “アプリケーション管理者" ロールを持つアカウントを受け入れませんが、完全なグローバル管理者を要求しました。確かに、このアプリケーションは極端な例ですが、エンジニアによると、私はひどく珍しいことではありません。

Microsoft 365 からデバイス構成を管理する

この推奨事項は、エンド ポイント デバイスを管理する従来の方法では、今日のセキュリティの現実に対処できないという暗黙の了解が付属しています。Active Directory グループ ポリシーとシステム センター構成マネージャー (née システム管理サーバーまたは SMS) は強力ですが、今日 Microsoft 365 にアクセスしているエンドポイント デバイスをセキュリティで保護する際に問題となる、非常に異なる IT 環境で考案されました。

GPO (グループ ポリシー オブジェクト) と SCCM は、集中ネットワーク向けに設計されています。組織は急速に「どこからでも作業」モデルに移行しているため、デバイスに必要な設定を取得するための接続性を確保することは困難な場合があります。

GPO と SCCM は、基本的に Microsoft Windows ベースのテクノロジである同種のエンドポイント向けにも設計されています。どちらもGNU/LinuxやmacOSなどの他のPCプラットフォームをサポートするためにある程度拡張することができますが、どちらもiOSやAndroidのサポートを提供していません。

最後に、GPO の普遍性と Active Directory との密接な関係は、攻撃者にとって魅力的な標的となり、エンドポイントに対する攻撃ベクトルを使用できます。

パドマナバンとエッピングの ガイダンスは、Intune、マイクロソフトのクラウド ベースのモバイル デバイス管理 (MDM) 製品を活用することです。また、Intune を活用するには、エンド ポイントの Windows デバイスを “ハイブリッド AD 参加" (エンドポイントが Intune によって結合および管理される Active Directory ドメインの両方) に移行するか、Active Directory 全体をスキップして、Azure AD が参加し、Intune によって 100% 管理されるようにする必要があります。

現実的には、このモデルに移行しようとした組織は、Intune を使用してできることの限界に対して頻繁に実行するというレポートを報告しています。多くの人が、必要な機能を得るために、サードパーティ製のデバイス管理システムでIntuneの機能を強化する必要がありました。マイクロソフト以外のアプリケーション パッケージと更新プログラムは、Intune の特定の弱点として挙げられることがよくあります。もう 1 つの共通のテーマは、仮想の “肩越し" サポート シナリオに対するリモート接続の欠如です。

さらに、Intune のような MDM ソリューションを通じてデバイス のエンドポイントを管理することは、ワークステーション クラスのエンドポイントに適したものかもしれませんが、サーバー プラットフォームには対応していません。パドマナバンとエッピングは「ワークステーションにサーバーOSを使うな」と言いますが、多くの組織の現実はそれよりも微妙です。管理用のサーバ プラットフォームを「ツール サーバ」として活用したり、特権認証管理システムと統合して「セッション管理」ポータルとして統合したりすることは、まったく珍しいことではありません。私の経験では、Active Directoryを避けることによってSCCMとグループポリシーを回避するだけでは、多くの組織が望むよりもはるかに遠く離れています。

次のステップ

この記事では、最初の 2 つのポイントを見てみました。 オンプレミスからマイクロソフト 365 を保護する そして、時には厄介な経路組織がそれらを実装するために取っています。パドマナバンとエッピングの最後の3つの指導ポイントについて話し合う「自分から身を守る」の第2部に参加してください。




未分類

Posted by admin