Conditional Access pro vícefaktorové přihlašování k Office 365

Unknown

Přesunutí systémů, aplikací a úloh do cloudu má nepočítaně výhod, ale také několik úskalí. Tím zásadním je zabezpečení přístupu ke službám a související ochrana identit oprávněných uživatelů.

Dokud bylo možné přihlásit se k podnikovým systémům jen v rámci podnikové sítě, byla ochrana před neoprávněným přístupem podstatně jednodušší – v zásadě stačilo zabezpečit přístup do sítě zvenčí a pak striktně kontrolovat aktivity uživatelů uvnitř sítě. Žijeme ale v době cloudové, kdy se podnikové systémy a aplikace stále častěji nenacházejí ve firemním datovém centru, ale na serverech poskytovatele cloudové služby – často v jiné zemi, třeba i na jiném kontinentu.

Jako jedna z hlavních výhod cloudu je přitom zmiňována mobilita, tedy možnost přihlásit se k systémům a aplikacím odkudkoli prostřednictvím internetu a pracovat s nimi z jakéhokoli zařízení. To ale podstatně komplikuje možnosti zajištění „ochrany u vstupních dveří“, která je bytostně závislá na zabezpečení identit oprávněných uživatelů – nejčastěji reprezentovaných uživatelským jménem a heslem. Ukazuje se přitom, že až dvě třetiny úniků firemních dat umožnilo právě odcizení přihlašovacích údajů nebo používání slabých (často dokonce výchozích) hesel k uživatelským účtům.

U cloudových služeb se identita uživatelů stává středobodem ochrany před neoprávněným přístupem, který je potřeba ochránit za každou cenu. Organizace se proto velmi často uchylují k řešením tohoto problému prostřednictvím plošného vynucení vícefaktorového ověřování identity uživatelů nebo rovnou zákazem přístupu k vybraným službám z jiné než kontrolované sítě. Jedná se sice o spolehlivé a efektivní řešení bezpečnosti, ale současně to znamená i zásadní omezování uživatelů. Výsledkem je buďto úplné, nebo podstatné omezení mobility – tedy jednoho z klíčových přínosů cloudových služeb. S využitím funkce Podmíněný přístup (Conditional Access) je ale možné zajistit požadovanou úroveň bezpečnosti i bez zásadního omezení uživatelů.

OCHRAŇTE SVÁ DATA PŘED ÚTOKEM

Strategie odolnosti podnikání a kybernetického obnovení se Softwareone

Chci vědět vice

Co je podmíněný přístup?

Conditional Access, tedy podmíněný přístup, je funkce cloudové služby Azure Active Directory, umožňující definovat pravidla, která omezují nebo definují podmínky přístupu k podnikovým datům na základě typu uživatele, jeho aktuální polohy, použitého zařízení, stavu uživatele nebo citlivosti obsahu konkrétní aplikace. Na základě splnění či naopak nesplnění stanovených podmínek dochází k aktivaci bezpečnostních pravidel, jako je například vynucení vícefaktorové autentizace uživatele nebo omezení jeho přístupu pouze na čtení.

Podmíněný přístup ke cloudovým službám může být typicky aplikován například v podobných situacích:

  • Pokud se budou uživatelé připojovat k aplikacím a službám prostřednictvím internetu (tedy mimo firemní síť), bude po nich vyžadováno vícefaktorové ověření.
  • Vícefaktorové ověřování budou muset provádět všichni externí spolupracovníci a/nebo uživatelé s účtem pro hosty.
  • Zařízením, která nejsou ve správě organizace, bude blokován přístup. Zařízením v režimu BYOD bude umožněno přihlášení pouze po splnění bezpečnostních podmínek definovaných organizací.
  • Pravidla pro přístup ke službám budou rozšířena o zjišťování polohy uživatele. Přístupy z určitých zemí nebo oblastí budou automaticky blokovány jako potenciální pokusy o kybernetický útok.

Prostřednictvím nastavení pravidel podmíněného přístupu lze najít rovnováhu mezi dostatečnou mírou zabezpečení firemních dat a ostatních prostředků a zachováním vysoké produktivity uživatelů cloudových služeb včetně jejich mobility.

Zásady podmíněného přístupu 

Funkce podmíněného přístupu neslouží sama o sobě k udělování přístupu uživatelů ke cloudovým službám a aplikacím. Jedná se způsob řízení přístupu uživatelů na základě pravidel podle jednoduchého principu „když se stane toto – udělejte tohle“. Aby uživatelé získali ke službám přístup, musí být splněny všechny stanovené podmínky, které mohou navíc tvořit celý řetězec. Na začátku je identifikace uživatele (kdo) a pokračovat můžeme přes typ cloudové aplikace (kam se přihlašuje), použité zařízení (z čeho se přihlašuje) a k jaké síti je připojeno (odkud se přihlašuje). Postupné řešení těchto podmínek „odemyká“ úrovně přístupu ke službám, aplikacím a datům, resp. klade podmínky (typicky vícefaktorové ověřování), které musí uživatel splnit.

Podmíněný přístup a Microsoft 365

Funkce podmíněného přístupu je součástí licenčních balíčků Enterprise Mobility + Security (EMS) nebo kompletního řešení Microsoft 365 Enterprise. Možnosti podmíněného přístupu jsou úzce propojeny se zabezpečením identit služby Azure Active Directory a tato funkce je zahrnuta v licenci  Azure Active Directory Premium.

Shrnutí

Chcete používat cloudové aplikace a služby Office 365 opravdu bezpečně, bez rizika neoprávněného přístupu a ztráty dat kvůli napadení nedostatečně zabezpečených uživatelských účtů? Kontaktujte nás a naši specialisté s vámi proberou možnosti nasazení podmíněného přístupu ve vaší organizaci.

A blurry image of a city at night.

SECURITY

Zvyšte bezpečnost vašeho IT a vyhněte se kybernetickým hrozbám

SECURITY

Zvyšte bezpečnost vašeho IT a vyhněte se kybernetickým hrozbám

Autor

Unknown