Microsoft ažurira svoje opcije provjere autentičnosti u Azure IDaaS-u
Microsoft je nedavno najavio dva poboljšanja koja inače ne dolaze do šire publike, ali koja imaju važne implikacije za organizacije koje usvajaju Azure Active Directory IDaaS (koji je,doduše, spor u regiji SEE). Nakon ovogodišnjih napada visokog profila, postalo je očito da će zlonamjerni akteri sada rutinski zaobilaziti postojeće sheme višestruke (MFA) provjere autentičnosti. To se događa putem kompleta za krađu identiteta koji koriste attacker-in-the-middle ili jednostavno iscrpljuju korisnike s MFA prompt bombardiranjem.
Jačina autentifikacije s podrškom za FIDO2 i CBA
Stoga je dobro vidjeti da Azure AD hvata korak i sada nudi izbor snage autentifikacije unutar pravila uvjetnog pristupa, dopuštajući administratorima da navedu koja se kombinacija metoda autentifikacije može koristiti za pristup izvoru. Na primjer, mogu učiniti dostupnima samo metode provjere autentičnosti otporne na krađu identiteta (Windows Hello for Business, sigurnosni ključ FIDO2 ili provjera autentičnosti temeljena na certifikatu) za pristup osjetljivom izvoru. Ali za pristup onom neosjetljivom mogu dopustiti manje sigurne kombinacije višestruke provjere autentičnosti (MFA), kao što je lozinka + SMS. Detaljnije informacije o ovoj funkcionalnosti pronađite ovdje.
CBA podrška za autentifikaciju bez on-premise ADFS-a
Drugo ažuriranje olakšava usvajanje provjere autentičnosti temeljene na certifikatu (CBA) kako bi se omogućilo ili zahtijevalo od korisnika da se izravno autentificiraju s X.509 certifikatima protiv aplikacija koje štiti Azure AD. Nova značajka provjere autentičnosti temeljene na certifikatu Azure AD omogućuje klijentima da usvoje autentifikaciju otpornu na krađu identiteta i autentifikaciju pomoću certifikata proizvedenog s PKI infrastrukturom organizacije.
Prije podrške upravljane oblakom za CBA u Azure AD, korisnici su morali implementirati autentifikaciju temeljenu na federalnom certifikatu, što zahtijeva implementaciju Active Directory Federation Services (AD FS). ADFS je vrlo složeno rješenje koje zahtijeva više poslužitelja, uglavnom lokalnu implementaciju ili rekonfiguraciju mreže, što u konačnici podrazumijeva dodatno održavanje i rizik (budući da se radi o proširenju područja za potencijalne napade). Prednosti su ovdje jasne: smanjena površina napada, pojednostavljena arhitektura i smanjenje troškova, budući da više nema potrebe za ulaganjem u objedinjeni AD FS. Značajka dobro funkcionira s novim opcijama jačine provjere autentičnosti koje su ranije opisane, omogućujući lakši način zaštite aplikacija pomoću CBA provjere autentičnosti otporne na krađu identiteta. Također, Azure AD CBA besplatna je značajka i ne trebaju vam plaćena izdanja Azure AD da biste je koristili. Vrijedno je napomenuti kako ova značajka ne zamjenjuje PKI i sigurno i dalje zahtijeva od korisnika da posjeduju infrastrukturu javnih ključeva (PKI) i daju certifikate svojim korisnicima i uređajima. Više detalja ovdje.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
