TĂNG CƯỜNG KIỂM SOÁT VÀ BẢO MẬT CHO AZURE AD CONDITIONAL ACCESS VÀ IDENTITY PROTECTION

Việc áp dụng Azure Active Directory vào triển khai mô hình bảo mật Zero Trust để bảo vệ người dùng và ứng dụng của doanh nghiệp chống lại các mối đe dọa đang là xu thế hàng đầu hiện nay. Do đó, Microsoft đã nâng cấp và bổ sung thêm các tính năng về tăng cường kiểm soát và bảo mật cho Azure AD Conditional Access và Identity Protection. Qua đó giúp doanh nghiệp có nhiều thông tin về môi trường bảo mật danh tính và bảo vệ danh tính người dùng tốt hơn.

Các tính năng mới của Azure AD Conditional Access và Identity Protection

Mới đây, Microsoft đã giới thiệu một bộ tính năng mới cho Conditional Access. Qua đó giúp bạn dễ sử dụng hơn, tăng tốc triển khai mô hình Zero Trust và đưa ra các kịch bản bảo vệ toàn diện hơn. Với trang tổng quan Conditional Access, bạn sẽ nhanh chóng tìm ra các lỗ hổng trong chính sách bảo mật của doanh nghiệp và tận dụng các mô hình mẫu để hoàn thiện các chính sách của mình. Với bộ lọc thiết bị, ứng dụng bạn có thể cấu hình thêm nhiều kịch bản như hạn chế quản trị viên truy cập vào các máy trạm đặc quyền. Ngoài ra, bạn đã có thể dễ dàng xuất ra các bảng dữ liệu về các yếu tố rủi ro để có thêm các thông tin chi tiết hơn.

Trang tổng quan Conditional Access

Khi bạn triển khai ngày càng nhiều chính sách, quản trị viên của bạn cần hiểu liệu các chính sách có thực sự bảo vệ toàn bộ tổ chức hay không. Trang tổng quan về Quyền truy cập có điều kiện mới giúp việc triển khai các chính sách toàn diện trở nên dễ dàng hơn bao giờ hết bằng cách tóm tắt người dùng, ứng dụng và thiết bị trong phạm vi chính sách của bạn và làm nổi bật các lỗ hổng trong phạm vi chính sách của bạn.

Trong trang tổng quan sẽ có 4 tab chính bao gồm:

• Getting started: Đây là tab giới thiệu về các tính năng của Conditional Access, hướng dẫn bạn các thành phần chính sách và cách tạo chính sách mới.
• Overview: Cho bạn một bản tóm lược nhanh về người dùng, ứng dụng và thiết bị đã được bảo vệ bởi Conditional Access. Bạn cũng có thể xem các chính sách đề xuất dựa trên dữ liệu đăng nhập vào tenant của bạn và nhanh chóng triển khai các chính sách từ các mô hình mẫu.
• Coverage: Đảm bảo rằng các ứng dụng được truy cập nhiều nhất trong tenant của bạn đều được bảo vệ bởi Conditional Access.
• Monitoring: Thể hiện các tác động của mỗi chính sách trong tenant và thêm các bộ lọc để thấy các xu hướng như truy cập máy khách, lịch sử xác thực, các đăng nhập rủi ro và các thiết bị không được quản lý.
• Tutorials: Tìm hiểu về các chính sách được triển khai phổ biến và các mô hình áp dụng.

Mẫu chính sách Conditional Access

Để giúp bạn đơn giản hóa việc triển khai các chính sách mới. Microsoft đã đưa ra các đề xuất về các mô hình thường áp dụng và phương thức phản hồi chống lại các mối đe dọa biến đổi với Conditional Access Templates. Những mẫu chính sách này giúp bạn bảo vệ tối đa cho người dùng và thiết bị của mình, đồng thời phù hợp với các chính sách thường được sử dụng trên nhiều loại khách hàng và vị trí khác nhau.

Bạn có thể nhanh chóng tạo chính sách mới từ bất kỳ mẫu nào trong số 14 mẫu tích hợp sẵn (sẽ có thêm các chính sách dựa trên thông tin đầu vào của bạn, các khả năng mới và để phản ứng với các kiểu tấn công mới). Việc triển khai các chính sách của bạn từ các mẫu rất đơn giản. Đó có thể là tất cả những gì bạn cần làm, nhưng bạn cũng có thể bắt đầu từ một mẫu và điều chỉnh tùy chỉnh để đáp ứng nhu cầu kinh doanh của mình.

Bộ lọc truy cập có điều kiện dựa theo thiết bị

Với bộ lọc theo thiết bị, bạn có thể nhắm mục tiêu các chính sách Truy cập có điều kiện đến một nhóm thiết bị dựa trên các thuộc tính của thiết bị. Khả năng này mở khóa nhiều tình huống mới mà bạn đã yêu cầu, chẳng hạn như yêu cầu các máy trạm truy cập đặc quyền để truy cập các tài nguyên chính. Bạn cũng có thể sử dụng điều kiện bộ lọc thiết bị để đảm bảo việc sử dụng các thiết bị IoT (bao gồm cả phòng họp Teams). Surface Hubs, Teams phones, phòng họp Teams và tất cả các loại thiết bị IoT. Chúng tôi đã thiết kế bộ lọc cho thiết bị để phù hợp với trải nghiệm tạo quy tắc hiện có trong nhóm động Azure AD và Microsoft Endpoint Manager.

Ngoài các thuộc tính thiết bị được tích hợp sẵn như ID thiết bị, tên hiển thị, kiểu máy, ID ứng dụng Quản lý thiết bị di động (MDM). Hỗ trợ cho tối đa 15 thuộc tính tiện ích bổ sung . Sử dụng trình tạo quy tắc, bạn có thể dễ dàng xây dựng các quy tắc đối sánh thiết bị bằng cách sử dụng logic Boolean hoặc bạn có thể chỉnh sửa trực tiếp cú pháp quy tắc để mở khóa các quy tắc đối sánh phức tạp hơn.

Bộ lọc dựa theo ứng dụng

Ngoài bộ lọc theo thiết bị, bạn cũng có thể dùng bộ lọc dựa theo ứng dụng trong Conditional Access. Với sự phát triển mạnh các ứng dụng trên tenant của bạn, bạn cần một cách dễ dàng hơn để áp dụng các chính sách cho các ứng dụng trên quy mô lớn. Bộ lọc cho ứng dụng sẽ cho phép nhắm mục tiêu ứng dụng Quyền truy cập có điều kiện được cải thiện dựa trên các thuộc tính bảo mật tùy chỉnh. Chỉ cần gắn thẻ các nhóm ứng dụng có thuộc tính bảo mật tùy chỉnh, sau đó áp dụng chính sách trực tiếp cho các ứng dụng có thuộc tính đó, thay vì chọn riêng lẻ tất cả các ứng dụng. Khi các ứng dụng mới được giới thiệu, bạn chỉ cần thêm thuộc tính vào ứng dụng thay vì cập nhật chính sách của mình.

Bộ lọc cho ứng dụng sử dụng các thuộc tính bảo mật tùy chỉnh Azure AD mới. Các thuộc tính này do mỗi tổ chức tạo và quản lý, vì vậy bạn có thể xác định các thuộc tính phù hợp với mình và sử dụng chúng trong chính sách Truy cập có Điều kiện. Các thuộc tính bảo mật tùy chỉnh cũng hỗ trợ mô hình ủy quyền phong phú, cho phép bạn chọn người dùng nào có quyền thêm các thuộc tính cụ thể vào ứng dụng và ngăn chủ sở hữu ứng dụng thực hiện các thay đổi đối với các thuộc tính này. Điều này giúp dễ dàng nhờ một nhóm quản trị viên quản lý việc đưa ứng dụng vào chính sách Truy cập có điều kiện mà không yêu cầu họ sửa đổi chính sách và có nguy cơ thay đổi ngẫu nhiên. Các bộ lọc Quyền truy cập có điều kiện cho ứng dụng sẽ sớm có trong bản xem trước công khai.

Thêm các tùy chọn xuất dữ liệu mới trong Diagnostic Settings

Với các phát hiện và tín hiệu phong phú trong trang bảo vệ danh tính, bạn hiện đã có thể dễ dàng tận dụng dữ liệu rủi ro này để hiểu các xu hướng trong môi trường của bạn với hai cải tiến chính.

Cải tiến đầu tiên là Cài đặt chẩn đoán được mở rộng , nơi chúng tôi đã thêm các cách mới để bạn xuất dữ liệu rủi ro của mình. Giờ đây, chỉ với một cú nhấp chuột, bạn có thể gửi dữ liệu phát hiện rủi ro và người dùng rủi ro của mình tới Log Analytics hoặc SIEM của bên thứ ba mà bạn lựa chọn. Để giải quyết nhu cầu của bạn về việc lưu giữ dữ liệu này ngoài khoảng thời gian lưu giữ tích hợp của chúng tôi, chúng tôi đã kích hoạt một cú nhấp chuột đơn giản khác để bạn gửi dữ liệu hàng tháng tới tài khoản lưu trữ.

Bảng phân tích rủi ro

Để giúp bạn có những thông tin chi tiết hơn, có thể định cấu hình dễ dàng về các xu hướng rủi ro trong tổ chức của bạn. Được xây dựng dựa trên Log Analytics và Diagnostic Settings mở rộng, Risk Analysis Workbook for Identity Protection đã được cho ra mắt. Workbook này chỉ ra các loại rủi ro phổ biến nhất và nơi bạn đang nhìn thấy chúng trên thế giới. Ngoài ra, giờ đây bạn có khả năng hiển thị về mức độ hiệu quả của bạn đối với rủi ro được phát hiện trong môi trường của bạn và sổ làm việc nêu bật các cơ hội để cải thiện cấu hình chính sách.