Azure και MFA.
Η πρόσφατη ανακοίνωση της Microsoft σχετικά με την επιβολή του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για τις συνδέσεις Microsoft Entra ID υπογραμμίζει τον αντίκτυπο στους λογαριασμούς break glass και τις βελτιωμένες στάσεις ασφαλείας: « Ακούσαμε τις ερωτήσεις σας σχετικά με το break glass ή τους λογαριασμούς “πρόσβαση έκτακτης ανάγκης”. Συνιστούμε την ενημέρωση αυτών των λογαριασμών για τη χρήση ελέγχου ταυτότητας FIDO2 ή πιστοποιητικού (όταν έχει ρυθμιστεί ως MFA) αντί να βασίζεστε μόνο σε μεγάλο κωδικό πρόσβασης. Και οι δύο μέθοδοι θα ικανοποιούν τις απαιτήσεις του MFA.»
Ως δίχτυ ασφαλείας κατά τη διάρκεια διαφόρων καταστάσεων έκτακτης ανάγκης, οι λογαριασμοί break glass είναι σημαντικοί για σενάρια όπως:
Διακοπή δικτύου ή υπηρεσίας: Όταν διακόπτεται η σύνδεση δικτύου ή η πρόσβαση στο Διαδίκτυο, αποτρέποντας τον έλεγχο ταυτότητας μέσω τηλεφωνικών μεταφορών και ασύρματων δικτύων.
Αποτυχία υπηρεσιών πιστοποίησης: Όταν ο πάροχος ταυτότητας που προσφέρει έλεγχο ταυτότητας αντιμετωπίζει διακοπή της υπηρεσίας.
Μη διαθεσιμότητα μέλους προνομιακού ρόλου: Όταν μέλη προνομιούχων ρόλων, όπως ο Γενικός Διαχειριστής, έχουν εγκαταλείψει την επιχείριση ή δεν είναι διαθέσιμος.
Μη διαθεσιμότητα εργαλείου διαχείρισης προνομιακής πρόσβασης (PAM): Όταν τα εργαλεία PAM που χρησιμοποιούνται για την ασφαλή αποθήκευση διαπιστευτηρίων πρόσβασης για χρήστες υψηλού προνομίου δεν είναι διαθέσιμα λόγω διακοπής ή συντήρησης.
Ωστόσο, η ασφάλεια αυτών των λογαριασμών συχνά παραβλέπεται. Αυτή η παράβλεψη μπορεί να αντιμετωπιστεί με τη μόχλευση κλειδιών πρόσβασης που συνδέονται με συσκευές και βρίσκονται σε συσκευές που έχουν κατασκευαστεί ειδικά για ασφάλεια, όπως το YubiKeys , για την επίτευξη ελέγχου ταυτότητας υψηλής διασφάλισης. Καθώς εμβαθύνουμε στις ιδιαιτερότητες της χρήσης των YubiKeys για λογαριασμούς break glass, είναι σημαντικό να κατανοήσουμε τα συναρπαστικά οφέλη που προσφέρουν στη βελτίωση της ασφάλειας του λογαριασμού.
Γιατί τα YubiKeys είναι ένα κρίσιμο εργαλείο ασφαλείας για τους break glass λογαριασμούς.
Ένα από τα μεγαλύτερα πλεονεκτήματα των YubiKeys είναι η ικανότητά τους να υποστηρίζουν έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης χρησιμοποιώντας passkeys . Τα κλειδιά πρόσβασης εξαλείφουν τα λειτουργικά έξοδα διαχείρισης κωδικών πρόσβασης και μειώνουν τον κίνδυνο παραβιάσεων ασφαλείας που σχετίζονται με τον κωδικό πρόσβασης. Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης δεν είναι μόνο πιο ασφαλής, αλλά και πιο βολικός – διασφαλίζοντας ότι η πρόσβαση είναι εύκολη και ασφαλής σε περίπτωση έκτακτης ανάγκης. Τα πρόσθετα οφέλη περιλαμβάνουν:
MFA ανθεκτικό στο phishing που υποστηρίζεται από υλικό
Οι κωδικοί πρόσβασης που είναι αποθηκευμένοι στα YubiKeys προσφέρουν ισχυρή ασφάλεια μέσω του πρωτοκόλλου FIDO2, παρέχοντας MFA ανθεκτικό στο phishing. Σε αντίθεση με τους κωδικούς πρόσβασης που μπορούν να υποστούν ηλεκτρονικό ψάρεμα ή να κλαπούν, οι κωδικοί πρόσβασης που συνδέονται με τη συσκευή στα YubiKeys χρησιμοποιούν κρυπτογράφηση του δημόσιου κλειδιού δεσμεύοντας τον τομέα με τα διαπιστευτήρια. Οι κωδικοί πρόσβασης βρίσκονται στον παράγοντα μορφής υλικού YubiKey και δεν μπορούν να εξαχθούν ή να παραβιαστούν από απόσταση, καθώς το ιδιωτικό κλειδί δεν φεύγει ποτέ από τον έλεγχο ταυτότητας – διασφαλίζοντας το υψηλότερο επίπεδο ασφάλειας για τους οργανισμούς.
Μειωμένο αποτύπωμα εξάρτησης από την υπηρεσία
Οι κωδικοί πρόσβασης στα YubiKeys λειτουργούν ανεξάρτητα από τις παραδοσιακές μεθόδους MFA που βασίζονται σε εξωτερικά συστήματα, όπως ειδοποιήσεις SMS ή push, που εξαρτώνται από τη συνδεσιμότητα δικτύου και τις τηλεπικοινωνιακές υπηρεσίες. Σε περιπτώσεις όπου διακόπτονται αυτές οι υπηρεσίες, τα κλειδιά πρόσβασης που συνδέονται με τη συσκευή στα YubiKeys διασφαλίζουν μια αξιόπιστη μέθοδο ελέγχου ταυτότητας που παραμένει ανεπηρέαστη από τέτοιες εξαρτήσεις.
Ιδανικό για αποθήκευση εκτός τοποθεσίας
Τα YubiKeys δεν περιέχουν κινούμενα μέρη και είναι σχεδιασμένα να είναι απλά και στιβαρά, με κατασκευή στερεάς κατάστασης που συμβάλλει στην αξιοπιστία τους. Δεν απαιτούν μπαταρίες ή εξωτερική πηγή τροφοδοσίας, καθώς αντλούν ρεύμα απευθείας από τη σύνδεση USB ή NFC όταν χρησιμοποιούνται, καθιστώντας τα ιδανικά για αποθήκευση εκτός σύνδεσης και τοποθεσίες εκτός τοποθεσίας.
Έχοντας μια σαφή κατανόηση του γιατί τα YubiKeys είναι ένα κρίσιμο εργαλείο ασφαλείας για τους λογαριασμούς break glass, ας εξερευνήσουμε τώρα τα πρακτικά βήματα για την αποτελεσματική τους ρύθμιση. Η εφαρμογή αυτών των βημάτων θα διασφαλίσει ότι οι λογαριασμοί σας πρόσβασης έκτακτης ανάγκης είναι ασφαλείς και εύκολα προσβάσιμοι όταν χρειάζεται.
Ρύθμιση YubiKeys για λογαριασμούς break glass.
- Δημιουργία ομάδας ασφαλείας: Ξεκινήστε δημιουργώντας μια ομάδα ασφαλείας ειδικά για τους λογαριασμούς σας. Εκχωρήστε τον ρόλο του Γενικού Διαχειριστή σε αυτήν την ομάδα.
- Χρήση λογαριασμών μόνο στο Cloud: Δημιουργήστε λογαριασμούς εγγενείς σε πλατφόρμες ταυτότητας και παρόχων υπηρεσιών, διασφαλίζοντας ότι δεν είναι ενοποιημένοι ή συγχρονισμένοι.
- Καταχωρίστε δύο YubiKeys: Κάθε λογαριασμός break-glass θα πρέπει να έχει καταχωρημένα δύο YubiKey για να διασφαλιστεί η ασφαλής πρόσβαση σε περίπτωση απώλειας του πρώτου κλειδιού.
Ορισμένες πρόσθετες βέλτιστες πρακτικές για την ασφάλεια των λογαριασμών περιλαμβάνουν:
Εξαιρέσεις πολιτικής: Βεβαιωθείτε ότι οι πολιτικές σας δεν αποκλείουν την πρόσβαση σε λογαριασμούς σπασίματος που απαιτούν απρόσκοπτη πρόσβαση σε περίπτωση έκτακτης ανάγκης.
Ασφαλής αποθήκευση: Αποθηκεύστε τα YubiKeys σε ασφαλείς, ξεχωριστές τοποθεσίες για να αποτρέψετε τη μη εξουσιοδοτημένη πρόσβαση.
Διαδικασίες εγγράφων: Τεκμηριώστε με σαφήνεια τον τρόπο πρόσβασης και χρήσης λογαριασμών break glass και εκπαιδεύστε την ομάδα σας σε αυτές τις διαδικασίες.
Τακτικές δοκιμές: Ελέγχετε τακτικά τις διαδικασίες για να βεβαιωθείτε ότι λειτουργούν όπως αναμένεται σε περίπτωση έκτακτης ανάγκης.
Επιπλέον, παρακολουθείτε τις δραστηριότητες που σχετίζονται με τη χρήση των λογαριασμών break glass και ρυθμίστε ειδοποιήσεις για τυχόν αλλαγές. Ελέγχετε περιοδικά ποιος έχει πρόσβαση για να βεβαιωθείτε ότι μόνο εξουσιοδοτημένο προσωπικό μπορεί να χρησιμοποιήσει αυτούς τους λογαριασμούς. Αυτό βοηθά στη διατήρηση της ασφάλειας και της ακεραιότητας των διαδικασιών πρόσβασης έκτακτης ανάγκης.
Τα YubiKeys παρέχουν μια εξαιρετική λύση για την εξασφάλιση λογαριασμών break glass, με την υποστήριξή τους για έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης, ισχυρό MFA ανθεκτικό στο phishing, μειωμένο αποτύπωμα εξάρτησης υπηρεσιών και σχεδιασμό στερεάς κατάστασης ιδανικό για αποθήκευση εκτός τοποθεσίας. Με την ανάπτυξη των YubiKeys και ακολουθώντας τις συνιστώμενες πρακτικές, μπορείτε να διασφαλίσετε ότι οι λογαριασμοί έκτακτης ανάγκης σας είναι πάντα ασφαλείς και έτοιμοι για χρήση. Η τακτική εκπαίδευση, οι αυστηρές δοκιμές και η συνεχής παρακολούθηση διασφαλίζουν ότι όλα παραμένουν εντάξει, δίνοντάς σας σιγουριά ότι τα κρίσιμα συστήματά σας είναι προσβάσιμα κατά τη διάρκεια ενός συμβάντος κρίσης.
Πηγή: Yubico / Shakeel Aziz