Microsoft ažurira svoje opcije provjere autentičnosti u Azure IDaaS
Microsoft je nedavno najavio dva poboljšanja koja obično ne dopiru do šire publike, ali koja imaju važne implikacije za organizacije koje usvajaju Azure Active Directory IDaaS (koji je,doduše, spor u regionu jugoistočne Evrope). Nakon ovogodišnjih napada visokog profila, postalo je očigledno da će zlonamjerni akteri sada rutinski zaobići postojeće šeme višestruke (MFA) autentifikacije. Ovo se dešava kroz phishing komplete koji koriste attacker-in-the-middle ili jednostavno iscrpljuju korisnike s MFA prompt bombardovanjem.
Jačina autentifikacije s podrškom za FIDO2 i CBA
Stoga je dobro vidjeti da Azure AD sustiže i sada nudi izbor jačine autentifikacije unutar pravila uvjetnog pristupa, omogućavajući administratorima da navedu koja se kombinacija metoda autentifikacije može koristiti za pristup resursu. Na primjer, mogu učiniti dostupnim samo metode provjere autentičnosti otporne na krađu identiteta (Windows Hello for Business, sigurnosni ključ FIDO2 ili provjera autentičnosti temeljena na certifikatu) za pristup osjetljivom resursu. Ali za pristup onom neosjetljivom mogu dozvoliti manje sigurne kombinacije višefaktorske autentifikacije (MFA), kao što su lozinka + SMS. Detaljnije informacije o ovoj funkciji potražite ovdje.
CBA podrška za autentifikaciju bez on-premise ADFS-a
Drugo ažuriranje olakšava usvajanje provjere autentičnosti zasnovane na certifikatu (CBA) kako bi se omogućilo ili zahtijevalo od korisnika da se direktno autentificiraju s X.509 certifikatima protiv aplikacija koje štiti Azure AD. Nova funkcija provjere autentičnosti temeljene na certifikatu Azure AD omogućuje klijentima da usvoje autentifikaciju otpornu na krađu identiteta i autentifikaciju pomoću certifikata proizvedenog s PKI infrastrukturom organizacije.
Prije podrške kojom se upravlja u oblaku za CBA u Azure AD, korisnici su morali implementirati autentifikaciju temeljenu na federalnom certifikatu, koja zahtijeva implementaciju Active Directory Federation Services (AD FS). ADFS je vrlo kompleksno rješenje koje zahtijeva više servera, uglavnom lokalnu implementaciju ili rekonfiguraciju mreže, što u konačnici podrazumijeva dodatno održavanje i rizik (s obzirom da proširuje područje za potencijalne napade).
Prednosti su ovdje jasne: smanjena površina napada, pojednostavljena arhitektura i smanjeni troškovi, jer više nema potrebe za ulaganjem u objedinjeni AD FS. Ova funkcija dobro funkcionira s novim opcijama jačine provjere autentičnosti opisanim ranije, pružajući lakši način zaštite aplikacija koristeći CBA provjere autentičnosti otporne na krađu identiteta. Takođe, Azure AD CBA je besplatna funkcija i nisu vam potrebna plaćena izdanja Azure AD da biste je koristili. Vrijedi napomenuti da ova funkcija ne zamjenjuje PKI i svakako i dalje zahtijeva od korisnika da posjeduju infrastrukturu javnog ključa (PKI) i izdaju certifikate svojim korisnicima i uređajima. Više detalja ovdje.
