砍伐AD红森林

Microsoft 最近更新了有关组织应如何处理 Active Directory (AD) 中的特权访问的指南。一个关键组件正在从分层访问模型 (TAM) 和增强安全管理环境 (ESAE)（也称为 Active Directory 红森林）转向企业访问模型 (EAM)。本文解释了旧模型的缺点以及 EAM 的关键原理。

红森林模型的局限性

组织可以并且确实使用 AD 红森林来保护其最特权的凭据。然而，他们经常遇到两个严重的问题：

• 成本高。使用 Red Forest Microsoft 模型在资源和时间方面都非常昂贵。你需要：

  • 建设行政林。

• 使用正确的帐户填充它。

• 安排对正确系统的访问。

• 密切管理森林，并随着员工的进出和 IT 基础设施的发展而更新它。

• 在单独的基础设施上对其进行修补、备份和监控。

但是，请记住，微软并不完全排除使用红森林。在某些情况下，它可能是一个有效的模型，例如当组织有严格的要求、可以分配足够的预算并且只需要在 Active Directory 边界内进行访问控制时。

分层访问模型的局限性

TAM 与 ESAE 一样，都是基于 70 年代的 Bell LaPadula 模型。 TAM 仍然存在，尽管它已被重构。通过将分层访问功能映射到 Azure AD，可以将 TAM 应用到 Azure AD。特别是，Azure AD 中有几个需要更强控制的高特权角色，例如启用了 PIM 的纯云帐户、FIDO2 身份验证令牌和 Azure 托管工作站。

不幸的是，在确定 Azure AD 中的第 0 层等效项后，条件访问策略的应用使安全性变得混乱。另外，在 AD 中获得的分离不会转化为 Azure AD，从而导致过渡不顺畅。

企业访问模型

企业访问模型的一大优点是控制并不完全植根于 Active Directory，也不是完全由 Active Directory 控制。相反，访问取决于三个关键层：

• 控制平面 - 您的身份系统（Active Directory 和 Azure AD）、网络和其他管理访问的位置都有一个控制平面。控制平面的管理严格限于高度可信的设备和凭证。

• 管理平面——这就是我们管理数据、应用程序和服务的方式（相当于之前的第一层）。我们尽可能地将访问权限划分为任何合适的向量，例如：

  • 本地、托管或基于云的系统

• 基础设施即服务、平台即服务、软件即服务

• 其他应用程序和平台

• 组织层级

企业管理模型的核心原则

企业访问模型代表了一种接受：世界并不存在于 Active Directory 中。相反，它使用现代原则和控制来关注真正重要的事情 - 为人们提供他们需要的访问权限，在上下文中有意义的情况下限制或阻止访问，并非常谨慎地提供特权访问权限，特别是在涉及管理控制平面。以下是 EAM 的一些关键原则和优势。

执行最小特权原则

使用人工智能 (AI) 和机器学习 (ML) 来检测和响应攻击的高级云控制固然很棒，但最小特权仍然是安全的基础。毕竟，如果我们习惯性地让门开着，那么即使拥有最先进的网络摄像头门铃也是毫无意义的。

因此，我们需要确保使用最小权限模型严格控制访问。 IT 专业人员通常专注于管理用户访问，因为这是与我们管理的系统最常见的日常交互。但商业用户并不是我们唯一关心的问题。我们还必须密切管理管理帐户、服务帐户和应用程序帐户，并监控它们的行为，特别是在访问关键资源方面，尤其是控制平面的管理界面。

假设突破心态

企业访问模型与假设违规心态密切相关。多年前，组织大多拥有隔离的 IT 环境，因此对设备、用户、应用程序和其他实体进行一次身份验证然后隐式信任它们既方便又相当安全。然而，如今，员工队伍具有流动性，系统高度互联，因此转向零信任架构非常重要。这种方法涉及使用各种信号来做出基于策略的访问决策，包括用户和实体行为分析 (UEBA) 等技术的结果。这种方法可以增强安全性，同时满足用户对无缝体验和随时随地工作能力的期望。

例如，假设您请求访问我们的后端支付系统。您的帐户具有适当的访问权限，并且您使用的是公司拥有和管理的设备，但您在过去一个月中跳过了更新并禁用了屏幕锁定。因此，我们可能会完全阻止您的访问，或要求额外的验证，例如多重身份验证 (MFA)。或者，我们可能只允许访问非敏感材料并记录您的会话。

一致执行

无论用户或资源位于何处，都需要一致地应用策略。在实践中，这需要尽可能通过 Azure AD 控制对资源的访问； AD 成为遗留后端基础设施，用户与其进行的交互很少。特别是，如上所述，设备需要通过 Intune 进行管理。

您可以看到该轨迹与无密码访问等现代访问控制结合在一起，这有助于提供更无缝的用户体验。

降低权限升级的风险

为了防止攻击者获得未经授权的访问，我们必须确保对以下方面进行严格控制：

• 我们为其提供权限的帐户
• 这些帐户可以访问我们的控制界面的设备

确保使用网络隔离，例如本地网络规则或管理组、网络安全组和 Azure 策略等功能。不要将服务帐户重复用于多个服务，并控制谁可以管理 Azure AD 中的服务主体和企业应用程序以及该控制的范围。

特别是，供应商经常请求比其应用程序实际需要的更高级别的权限。不要害怕对诸如域管理员成员资格之类的请求提出强有力的挑战，因为授予该权限将使破坏应用程序的对手获得更高的权限。

纵深防御

强大的安全策略涉及从保护控制到监控和响应主动威胁的一切。 NIST 网络安全框架列出了以下五个关键要素：

• 识别 — 识别公司中的所有设备、数据和软件，包括智能手机、笔记本电脑和销售点设备，以及所有敏感和受监管的数据。然后创建并共享公司网络安全政策，其中涵盖供应商、员工和有权访问敏感信息的任何人的责任和角色。

• 保护 — 为了防止网络攻击得逞，请务必：

  • 加密敏感数据。

• 控制谁登录您的网络并使用您的设备。

• 仅将敏感和受监管的数据存储在安全位置。

• 定期进行备份并安全存储。

• 定期更新安全软件。

• 制定安全处置旧设备和电子文件的正式政策。

• 为可能使数据面临风险的意外事件做好准备，例如天气紧急情况。

• 对使用您的网络和设备的每个人进行网络安全培训。

• 向有关当局报告袭击事件

• 调查并遏制攻击

• 保持业务运营正常运转

• 根据经验教训更新您的网络安全政策和计划

Netwrix 如何提供帮助

企业访问模型并不是管理特权访问的唯一方法。如果您没有资源、时间或精力来实施 EAM，请考虑使用 Netwrix 的特权访问管理 (PAM) 软件。可靠、直观且快速，它使您能够：

• 发现常设特权帐户并将其替换为临时的按需访问权限。
• 通过在一个集中中心管理和跟踪所有特权活动，降低审计结果和业务中断的风险。
• 通过会话监控增强管理问责制。

立即申请一对一演示，体验 Netwrix 的差异。

Netwrix 还提供可帮助您更广泛地提高网络安全性的产品，包括：

• Netwrix StealthAUDIT — 识别错误配置和威胁。
• Netwrix StealthDEFEND — 响应攻击。
• Netwrix StealthINTERCEPT — 主动阻止攻击。

常问问题

什么是 Active Directory 红森林？

红森林是增强安全管理环境 (ESAE) 架构的通用名称。实施涉及建立 3 层模型并将管理帐户置于第 0 层。

为什么不再推荐红森林？

Microsoft 取代了 Red Forest，因为它对于大多数组织而言过于昂贵，并且仅限于本地 Active Directory，并提供云服务。

什么是企业访问模型 (EAM)？

企业访问模型用控制现代混合环境访问的策略取代了红森林。