Azure Active Directory буюу үүлнээс аюулгүй байдлаа удирдах шийдэл

Azure Active Directory буюу үүлнээс аюулгүй байдлаа удирдах шийдэл

Azure Active Directory бол Microsoft-ын үүлэн технологид суурилсан төвлөрсөн нэг цэгээс хэрэглэгчийн хандалт, нэвтрэх эрхийн менежмент хийдэг үйлчилгээ юм.  Энэхүү шийдлийг хэрэглэгч ямар эх сурвалж руу нэвтэрч  байгаагаас  хамааран 2 хувааж авч үздэг:  

  • Гаднын эх сурвалжууд руу хандах буюу Microsoft o365, Azure portal-уудыг ашиглан мянга мянган SaaS application -руу хандах;
  • Дотоод эх сурвалжууд руу хандах буюу байгууллагын дотоод сүлжээ, Intranet сүлжээ болон өөрсдийн дотоод private клауд application -руу хандах гэж 2 хувааж авч үздэг.  

Azure identity management security

Azure Active Directory Identity management-ийн систем нь дотроо аюулгүй байдлыг хангах олон боломжийг агуулсан байдаг ба service, application, user, group дээр ажилладаг. Microsoft identity and access management (Azure Active Directory )шийдэл нь application болон resource, corporate datacenter -ийг cloud орчинд хамгаалах хамгийн төгс шийдэл юм.  Мөн MFA(Multi Factor Authentication), conditional access гэх мэт  нэмэлт хамгаалалт хийх боломжтой бөгөөд сэжигтэй үйлдлүүдийг advenced security reporting сервисээр урьдчилан сэргийлэх бүрэн боломжтой.Мөн SSO ашиглан мянга мянган SaaS application болон on-premise web application -руу хэрэглэгчийн эрхээрээ Azure AD-гээс зөвшөөрөл авч орох боломжтой. 

Azure Identity managmenet-н аюулгүй байдлын голлох боломжуудаас дурдвал:   

  • Single sign-on 
  • Reverse proxy 
  • Multi-Factor Authentication 
  • Role based access control (RBAC) 
  • Security monitoring, alerts, and machine learning-based reports 
  • Identity protection 
  • Hybrid identity management/Azure AD connect 

Single sign-on 

SSO гэдэг нь нэг  хэрэглэгчийн мэдээллийг ашиглан ганц удаа нэвтрэн орсноор шаардлагатай бүх програм болон нөөцөд хандах боломжтой болно гэсэн үг юм. Дижитал шилжилтийн цахим эринд байгууллагуудын холбогдсон cloud болон бусад нөөц тус бүр дээр хэрэглэгчдэд бүртгэл үүсгэх нь зөв сонголт биш юм. Энэхүү хүндрэлийг Single sign-on сервис шийдэж өгдөг. Azure AD нь дотоод дахь Active Directory системийг үүлэн сүлжээнд hybrid хувилбараар ашиглах боломжтой бөгөөд хэрэглэгчид байгууллагынхаа үндсэн бүртгэлийг ашиглан зөвхөн домэйнд холбогдсон төхөөрөмжөөс компанийн нөөцөд  хандах төдийгүй өөрсдийн ажилд шаардлагатай бүх веб болон SaaS програмд ​​нэвтрэх боломжийг олгодог. SSO (Single sign-on) нь SAML хэл дээр бичигдсэн Kerberos authentication ашигладаг тул аюулаас урьдчилан сэргийлэх боломжтой төдийгүй байгууллагын tenant дээр MFA буюу(Multifactor Authentication) xийж өөрийн бүртгэлийг хамгаалах боломжтой. Үндсэн энэ нь аюулгүй байдлын prevent төрлийн хамгаалалтын нэг юм. 

 

Reverse proxy 

Azure AD Application Proxy сервис нь on-premise application, Sharepoint сайтууд, Outlook, Веб аpplication -руу гаднын сүлжээнээс аюулгүй хандах боломжийг олгодог. Azure AD Application Proxy үйлчилгээ нь remote хандалт болон SSO ашиглан Azure AD  дэмжих бүх  Saas аpplication-руу өөрийн бүртгэлтэй төхөөрөмжөөс аюулгүй хандах боломжтой. Уг сервис нь хэрэглэгчийн төхөөрөмжийг Azure AD application proxy дээр бүртгэж өгөх бөгөөд бүртгэгдсэн төхөөрөмжөөс хандах эрх тавих, MFA,Traffic Termination, All traffic is outbound ,DDos зэрэг хавсарсан хамгаалалт хийж өгдөг. Azure AD Application Proxy дээрх security боломжууд маань цэвэр IPS технологи дээр суурилан явагддаг.  

 

Multi-Factor Authentication 

Azure Multi-Factor Authentication гэдэг нь олон давхар баталгаажуулалт ашиглан хэрэглэгч нэвтрэх эсвэл дамжуулга хийхэд аюулгүй байдлын хоёрдогч төхөөрөмж ашиглах шаардлага тавигддаг. MFA идэвхжүүлсэн бол хэрэглэгчийн бүртгэлээр хандах үед хоёрдогч баталгаажуулах төхөөрөмж асуудаг ба утасны дуудлага, текст мессеж, authenticator application, biometric мэдээлэл ашиглаж холбогдох ба гаднын халдлагаас урьдчилан сэргийлэх боломжийг олгодог. 

 

RBAC 

RBAC (Role Baes Access Control) бол Azure -ийн нөөцийн удирдлага дээр суурилсан authorization систем бөгөөд Azure дахь нөөцийн нарийн удирдлагыг хийдэг. Жишээлбэл: Тухайлан авсан хэрэглэгчээ зөвхөн Azure дээр байршиж буй виртуал сүлжээг удирдах болон бусад нөөц рүү хандахгүй гэж зааж өгч болох ба оноож өгсөн нөөцүүдэд owner, reader, contributor гэх мэт эрхийн тохиргоо хийх боломжтой .Уг сервисийг байгууллагын дотоод бүтэц зохион байгуулалтдаа тааруулан зохион байгуулж мэдээлэл болон нөөцийг хамгаалах зорилготой юм. 

 

Security monitoring, alerts, and machine learning-based reports 

Security monitoring, alerts, болон machine learning дээр суурилсан тайлангууд нь таны бизнесийн зөрчилттэй хандалтуудыг илрүүлж таны бизнесийг хамгаална. Azure AD -ын хандалт болон хэрэглээний тайлангаас байгууллагынхаа тенантын аюулгүй байдлыг бүрэн хянах боломжтой. Энэхүү тайлангаас администраторууд аюулгүй байдалд тулгарч байгаа болон үүсэж болох эрсдэлүүдийг урьдчилан мэдэх боломжтой. Azure AD тайлан нь Anomaly report, Intergrated Application reports, Error Report, User-Specific reports,Activity logs гэсэн төрлүүдээр таны харахыг хүссэн мэдээллийг user friendly загвараар харуулах болно. 

Identity protection 

Azure AD idendtity protection нь аюулыг илрүүлэх, байж болох аюулгүй байдлын сул тал болон аюулгүй байдлын эмзэг талууд зэргийг нарийн харж болох хамгаалалт юм. Azure AD identity protection нь Azure AD -ын алдаа илрүүлэх чадварыг ашигладаг. Identity Protection нь мөн real time detection хийх боломжтой болсноороо давуу талтай.  

Hybrid identity management/Azure AD connect

Хэрэв та Azure AD hybrid орчин үүсгэж байгаа бол өөрийн байгууллагын on-premise Active Directory-г Аzure AD-ын connect үйлчилгээг ашигласнаар өөрийн байгууллагын on-premise Active Directory-ын мэдээллийг аюулгүй үүлэн дэд бүтэц дээр шилжүүлэн, хосолмол хэлбэрээр ашиглах боломжийг уг сервис танд олгодог. Azure AD connect сервис нь доорх 4 үндсэн үйл ажиллагааг зохицуулдаг. 

  • Synchronization 
  • AD FS and federation integration 
  • Pass through authentication 
  • Health Monitoring  

Azure Active Directory/Active Directory 

Хэрэв та уламжлалт Active Directory ашигладаг бол уламжлалт Active Directory болон Azure Active Directory –г хослуулан ажиллах боломжийг танд олгож байна. Мэдээж өөрийн хэрэгцээ шаардлага дээр тулгуурлан сонголтоо хийх хэрэгтэй. Бидний мэдэх уламжлалт Active Directory нь байгууллагынхаа нэгдсэн удирдлагын системийг бий болгох зарчмаар хэрэглэгч, групп, компьютер, сервер байгууллагын дотоод сүлжээнд домэйнд байгаа бүх нөөцийг удирдахад хэрэглэдэг бол Azure AD нь байгууллагын үүлэн дэд бүтэц дээр байгаа нөөцүүдийг төвлөрсөн нэг цэгээс удирдах хянах боломжийг танд олгож байгаа. Энэхүү хоёр системийг хослуулан ажиллах боломжийг Hybrid Azure AD гэж нэрлэж байгаа билээ.  

Azure Active Directory is not Active Directory 

Хэрвээ Azure Active Directory-г хэрэглэх гэж байгаа бол энэ нь таны мэддэг уламжлалт Active Directory-оос ангид ойлголт гэдгийг дээрх дурдсан хэсгүүдээс харах боломжтой. Azure Active Directory нь үйлчилж байгаа нөөцүүд, ашиглагдаж байгаа технологиуд, хамрах цар хүрээ нь уламжлалт Active Directory-оос ялгарч байгаа юм. Хэрэв та 100% байгууллагынхаа дэд бүтцийг үүлэн дээр шийдэх гэж байгаа бол Azure Active Directory-оор нэгдсэн удирдлагын төвөөс нөөцүүдээ удирдаж, байгууллагын компьютерүүд, хөдөлгөөнд төхөөрөмжүүдийн аюулгүй байдал эрхийн нарийн зохицуулалтыг Microsoft Intune ашиглан шийдэхийг зөвлөж байна.