積極實施零信任原則保護本機及混合環境的 Active Directory
微軟 Active Directory(AD)是大多數大型組織的核心身份識別系統,控制著整個組織的資源和運作存取權限。由於其龐大的存取權能,AD常成為駭客主要攻擊目標。根據微軟2022年數位防禦報告,88%遭到勒索病毒攻擊的客戶,未能遵循AD最佳安全實踐。
傳統的安全觀念是以邊界為基礎,將內外區隔。但在混合環境下,邊界的概念已不復存在,駭客可輕易找到薄弱環節並橫向蔓延。採用零信任(Zero Trust)方法,可大幅降低這些風險,不再對內部人員隱含信任。由於AD決定組織內的"誰是誰",是大規模攻擊的主要目標,因此必須將其列為零信任策略中的核心部分。
實施以AD為基礎的零信任方法,需分為六個階段:
第一階段是評估,了解組織內有哪些系統依賴AD,包括內外部、雲端與本機系統,以及相關帳號、群組、授權方式等,掌握身份和權限的分布。
第二階段是管理,制定、建立、監控和執行政策,包括自動化帳號和權限的配置和註銷,以建立可重複和持續監控的流程。在零信任下,身份治理使信任由隱含轉為顯式,依職務角色明確授予員工存取權限。
第三階段是落實細緻的委派管理,取代AD原有的永久管理員權限模式,改為針對特定人員、特定任務和特定範圍,配置最小化的臨時權限。
第四階段是自動化,消除人工錯誤並降低人員被賦予過度權限的風險。自動化流程也有助於明確治理政策,便於評估、監控及展示合規性。
第五階段是監控與威脅偵測,檢視零信任政策的實際運作並及時發現任何異常行為,包括常見的身份攻擊手法。偵測可應用機器學習模型逐步優化。
第六階段是復原機制,即便做足防護,仍須因應駭客入侵或系統故障的狀況。AD是整個IT環境的根基,一旦癱瘓將影響全面營運,必須能迅速將AD復原以維持業務連續性。
除了上述六個階段,其他重要注意事項包括:多重驗證機制、針對AD特定的事件回應計劃、端點裝置的保護與管理等。
AD作為大多數企業的核心身份識別管理系統,是駭客主要攻擊目標,必須優先在零信任架構下全面加強其安全性,方能充分保護核心IT基礎設施和確保營運持續運作。落實零信任原則於AD的防護,應為所有組織的網路防禦策略中不可或缺的基石。
詳情請看:
