Conditional Access pro vícefaktorové přihlašování k Office 365

Conditional Access pro vícefaktorové přihlašování k Office 365

Conditional Access pro vícefaktorové přihlašování k Office 365

Přesunutí systémů, aplikací a úloh do cloudu má nepočítaně výhod, ale také několik úskalí. Tím zásadním je zabezpečení přístupu ke službám a související ochrana identit oprávněných uživatelů.

Dokud bylo možné přihlásit se k podnikovým systémům jen v rámci podnikové sítě, byla ochrana před neoprávněným přístupem podstatně jednodušší – v zásadě stačilo zabezpečit přístup do sítě zvenčí a pak striktně kontrolovat aktivity uživatelů uvnitř sítě. Žijeme ale v době cloudové, kdy se podnikové systémy a aplikace stále častěji nenacházejí ve firemním datovém centru, ale na serverech poskytovatele cloudové služby – často v jiné zemi, třeba i na jiném kontinentu.

Jako jedna z hlavních výhod cloudu je přitom zmiňována mobilita, tedy možnost přihlásit se k systémům a aplikacím odkudkoli prostřednictvím internetu a pracovat s nimi z jakéhokoli zařízení. To ale podstatně komplikuje možnosti zajištění „ochrany u vstupních dveří“, která je bytostně závislá na zabezpečení identit oprávněných uživatelů – nejčastěji reprezentovaných uživatelským jménem a heslem. Ukazuje se přitom, že až dvě třetiny úniků firemních dat umožnilo právě odcizení přihlašovacích údajů nebo používání slabých (často dokonce výchozích) hesel k uživatelským účtům.

U cloudových služeb se identita uživatelů stává středobodem ochrany před neoprávněným přístupem, který je potřeba ochránit za každou cenu. Organizace se proto velmi často uchylují k řešením tohoto problému prostřednictvím plošného vynucení vícefaktorového ověřování identity uživatelů nebo rovnou zákazem přístupu k vybraným službám z jiné než kontrolované sítě. Jedná se sice o spolehlivé a efektivní řešení bezpečnosti, ale současně to znamená i zásadní omezování uživatelů. Výsledkem je buďto úplné, nebo podstatné omezení mobility – tedy jednoho z klíčových přínosů cloudových služeb. S využitím funkce Podmíněný přístup (Conditional Access) je ale možné zajistit požadovanou úroveň bezpečnosti i bez zásadního omezení uživatelů.

OCHRAŇTE SVÁ DATA PŘED ÚTOKEM

Strategie odolnosti podnikání a kybernetického obnovení se SoftwareONE

Chci vědět vice

Co je podmíněný přístup?

Conditional Access, tedy podmíněný přístup, je funkce cloudové služby Azure Active Directory, umožňující definovat pravidla, která omezují nebo definují podmínky přístupu k podnikovým datům na základě typu uživatele, jeho aktuální polohy, použitého zařízení, stavu uživatele nebo citlivosti obsahu konkrétní aplikace. Na základě splnění či naopak nesplnění stanovených podmínek dochází k aktivaci bezpečnostních pravidel, jako je například vynucení vícefaktorové autentizace uživatele nebo omezení jeho přístupu pouze na čtení.

Podmíněný přístup ke cloudovým službám může být typicky aplikován například v podobných situacích:

  • Pokud se budou uživatelé připojovat k aplikacím a službám prostřednictvím internetu (tedy mimo firemní síť), bude po nich vyžadováno vícefaktorové ověření.
  • Vícefaktorové ověřování budou muset provádět všichni externí spolupracovníci a/nebo uživatelé s účtem pro hosty.
  • Zařízením, která nejsou ve správě organizace, bude blokován přístup. Zařízením v režimu BYOD bude umožněno přihlášení pouze po splnění bezpečnostních podmínek definovaných organizací.
  • Pravidla pro přístup ke službám budou rozšířena o zjišťování polohy uživatele. Přístupy z určitých zemí nebo oblastí budou automaticky blokovány jako potenciální pokusy o kybernetický útok.

Prostřednictvím nastavení pravidel podmíněného přístupu lze najít rovnováhu mezi dostatečnou mírou zabezpečení firemních dat a ostatních prostředků a zachováním vysoké produktivity uživatelů cloudových služeb včetně jejich mobility.

Zásady podmíněného přístupu 

Funkce podmíněného přístupu neslouží sama o sobě k udělování přístupu uživatelů ke cloudovým službám a aplikacím. Jedná se způsob řízení přístupu uživatelů na základě pravidel podle jednoduchého principu „když se stane toto – udělejte tohle“. Aby uživatelé získali ke službám přístup, musí být splněny všechny stanovené podmínky, které mohou navíc tvořit celý řetězec. Na začátku je identifikace uživatele (kdo) a pokračovat můžeme přes typ cloudové aplikace (kam se přihlašuje), použité zařízení (z čeho se přihlašuje) a k jaké síti je připojeno (odkud se přihlašuje). Postupné řešení těchto podmínek „odemyká“ úrovně přístupu ke službám, aplikacím a datům, resp. klade podmínky (typicky vícefaktorové ověřování), které musí uživatel splnit.

Podmíněný přístup a Microsoft 365

Funkce podmíněného přístupu je součástí licenčních balíčků Enterprise Mobility + Security (EMS) nebo kompletního řešení Microsoft 365 Enterprise. Možnosti podmíněného přístupu jsou úzce propojeny se zabezpečením identit služby Azure Active Directory a tato funkce je zahrnuta v licenci  Azure Active Directory Premium.

Shrnutí

Chcete používat cloudové aplikace a služby Office 365 opravdu bezpečně, bez rizika neoprávněného přístupu a ztráty dat kvůli napadení nedostatečně zabezpečených uživatelských účtů? Kontaktujte nás a naši specialisté s vámi proberou možnosti nasazení podmíněného přístupu ve vaší organizaci.

SECURITY

Zvyšte bezpečnost vašeho IT a vyhněte se kybernetickým hrozbám

Prozkoumejte naše portfolio služeb
  • Security
  • Security, Microsoft 365, Microsoft, Modern Work, Conditional Access

Vložit komentář k článku

Přidejte komentář, abychom věděli, co si o tomto tématu myslíte.

Přidat komentář

Autor

David Pilar

David Pilař

Chief Technology Officer, SoftwareONE Czech Republic

Související články

Jak probudit v zaměstnancích zájem o ISMS?
  • 03 června 2021
  • Kateřina Hůtová
  • Security

Jak probudit v zaměstnancích zájem o ISMS?

Zaměstnanci jsou nejdůležitějším aktivem společnosti.
Z pohledu bezpečnosti pro vás ale zároveň mohou představovat velké riziko.

ZÁZNAM WEBINÁŘE: Information Security & NIS 2
  • 25 května 2021
  • Security

ZÁZNAM WEBINÁŘE: Information Security & NIS 2

Poslechněte si záznam našeho webináře SoftwareONE Academy věnovaného oblasti informační bezpečnosti!

ZÁZNAM WEBINÁŘE: M365: Bezpečnostní služby na míru vašim potřebám | SoftwareONE Blog
  • 20 května 2021
  • Security

ZÁZNAM WEBINÁŘE: M365: Bezpečnostní služby na míru vašim potřebám

Poslechněte si záznam našeho webináře SoftwareONE Academy věnovaného technologiím Microsoft 365 a jejich zabezpečení!