Azure и MFA.
Обявеното наскоро от Microsoft задължително прилагане на многофакторно удостоверяване (MFA) за влизане чрез Microsoft Entra ID подчертава значението на акаунтите за извънредни ситуации и усъвършенстваните подходи към сигурността: “Ние се вслушахме във вашите въпроси относно акаунтите за извънредни ситуации или за “извънреден достъп”. Ние препоръчваме актуализирането на тези акаунти, така че те да могат да използват удостоверяване чрез FIDO2 или цифрови сертификати (когато са конфигурирани като многофакторно удостоверяване (MFA)), вместо те да разчитат единствено на по-дълга парола. И двата метода ще удовлетворят изискванията за многофакторно удостоверяване (MFA).”
В качеството на резервен механизъм по време на всякакви извънредни обстоятелства, акаунтите за извънредни ситуации са важни при сценарии, включващи:
Прекъсване в мрежовата свързаност или услугата: Случаите, когато мрежовата свързаност или достъпът до интернет бъдат нарушени, което не позволява удостоверяването по телефонна връзка или безжични мрежи.
Прекъсване в Услугите за обединено удостоверяване: Когато доставчикът на услуги за удостоверяване на самоличността, предлагащ обединено удостоверяване (federated authentication) има прекъсване в предоставянето на услугата.
Недостъпност на участник с привилегировани права: Когато участници с привилегировани права, като например Глобалния администратор, са напуснали организацията или са недостъпни.
Недостъпност на Инструмента за управление на привилегирования достъп (PAM): Когато PAM-инструментите, използвани за сигурно съхраняване на идентификационните данни за достъп на потребители с високи привилегии, са недостъпни поради прекъсване на свързаността/услугата или дейности по поддръжката.
Въпреки това, сигурността на този тип акаунти често се пренебрегва. Този пропуск може да бъде коригиран чрез използване на обвързани с устройството ключове за достъп, внедрени в специално проектирани за целта устройства за сигурност като например YubiKeys, за да се постигне удостоверяване с високо ниво на качество и сигурност. Докато разглеждаме конкретните въпроси, свързани с използването на устройствата YubiKeys при акаунтите за извънредни ситуации, от изключителна важност е да бъдат разбрани убедителните предимства, които тези устройства предлагат за повишаване на сигурността на акаунтите.
Защо YubiKeys е инструмент от критично значение за сигурността на акаунтите за извънредни ситуации?
Едно от най-големите предимства на устройствата YubiKeys е тяхната възможност да поддържат удостоверяване без парола чрез използване на хардуерни ключове за достъп. Хардуерните ключове за достъп елиминират необходимостта от редовно управление на паролите и намаляват риска от нарушения на сигурността, свързан с използването на пароли. Удостоверяване без парола е не само по-сигурно, но и много по-удобно, като то гарантира, че достъпът е лесен и сигурен по време на извънредна ситуация. Допълнителните предимства включват:
Многофакторно удостоверяване (MFA), защитено от фишинг атаки, и подкрепено от хардуер
Ключовете за достъп, съхранявани в устройствата YubiKeys, предлагат надеждна сигурност чрез използване на протокола FIDO2, осигуряващ многофакторно удостоверяване (MFA), защитено от фишинг атаки. За разлика от паролите, които могат да бъдат подложени на фишинг атака или да бъдат откраднати, обвързаните с устройството ключове за достъп в YubiKeys използват криптография с обществени ключове, която обвързва домейна с идентификационните данни. Ключовете за достъп се съхраняват във форм-фактора на хардуерните устройства YubiKeys и не могат да бъдат извлечени или компрометирани по отдалечен начин, тъй като частният ключ никога не напуска удостоверяващото се лице, като по този начин се осигурява най-високото ниво на сигурност за организациите.
Намаляване на зависимостта от външни услуги
Ключовете за достъп в YubiKeys функционират независимо от традиционните методи за многофакторно удостоверяване (MFA), които разчитат на външни системи, като например услуга за кратки съобщения (SMS) или пуш-нотификации (насочени известия), които зависят от мрежовата свързаност и телекомуникационните услуги. В случаите, когато такива услуги бъдат прекъснати, обвързаните с устройството ключове за достъп в YubiKeys гарантират надежден метод за удостоверяване, който остава незасегнат от такива зависимости.
Идеални за съхранение в извънобектови локации
YubiKeys не съдържат движещи се части и са проектирани да бъдат прости и издръжливи, с твърдотелна конструкция, която допринася за тяхната надеждност. Те не изискват батерии или външен енергиен източник, като получават енергия директно от USB- или NFC-връзката, когато се използват, което ги прави идеални за офлайн съхранение в извънобектови локации.
След като получихме ясна представа защо YubiKeys са критичен инструмент при акаунтите за извънредни ситуации, нека сега да разгледаме практическите стъпки за правилното им и ефективно конфигуриране и настройка. Изпълнението на тези стъпки ще гарантира, че вашите акаунти за извънредни ситуации са едновременно сигурно защитени и свободно достъпни, когато са необходими.
Конфигуриране и настройка на YubiKeys при акаунти за извънредни ситуации.
- Създайте група за сигурност: Започнете чрез създаване на група за сигурност, специално за вашите акаунти за извънредни ситуации. Възложете ролята на Глобален администратор на тази група.
- Използвайте само облачни акаунти: Създайте акаунти, които принадлежат към платформите на доставчиците на услугите за удостоверяване и други услуги, като се уверите, че те не са обединени или синхронизирани.
- Регистрирайте две устройства YubiKeys: Всеки акаунт за извънредни ситуации трябва да има регистрирани две YubiKeys устройства, за да се гарантира повишаването на надеждността му (осигурява се резервиране).
Някои допълнителни най-добри практики за осигуряване на сигурността на акаунтите включват:
Изключения от политиките: Уверете се, че вашите политики не блокират достъпа до акаунтите за извънредни ситуации, които ще изискват безпрепятствен достъп в случай на извънредни обстоятелства.
Сигурно съхранение: Съхранявайте устройствата YubiKeys в сигурни, отделни локации, за да предотвратите неупълномощения достъп до тях.
Документални процедури: Документирайте в ясен и недвусмислен вид как се получава достъп до и как се използват акаунтите за извънредни ситуации и обучете вашия екип как да изпълнява тези процедури.
Редовно тестване: Тествайте редовно процесите, за да се гарантира, че те функционират по очаквания начин по време на извънредна ситуация.
Също така, постоянно наблюдавайте дейностите, свързани с акаунтите за извънредни ситуации, и внедрете предупредителни сигнали, уведомяващи за всякакви промени или използване. Периодично преглеждайте кои лица имат достъп, за да се уверите, че единствено упълномощени лица могат да използват тези акаунти. Това допринася за поддържане на сигурността и надеждността на вашите процедури за достъп в извънредни ситуации.
Устройствата YubiKeys осигуряват отлично решение за обезопасяване на сигурността на акаунтите за извънредни ситуации, чрез поддържаното от тях удостоверяване без използване на парола, сигурно многофакторно удостоверяване (MFA), защитено от фишинг атаки, намалена зависимост от външни услуги и твърдотелен дизайн, който ги прави идеални за съхранение в извънобектови локации. Чрез внедряването на YubiKeys и следване на препоръчаните практики, вие може да гарантирате, че вашите акаунти за извънредни ситуации са винаги сигурно защитени и готови за ползване. Редовните обучения, строгите тестове и постоянният мониторинг гарантират, че всичко е в изправно състояние, което ви дава увереност, че ще имате достъп до вашите системи от критично значение по време на кризисно събитие.
Източник: Yubico / Shakeel Aziz