Nov 27, 2022

Microsoft ažurira svoje opcije autentifikacije u Azure IDaaS-u

Microsoft je nedavno najavio dva poboljšanja koja obično ne dopiru do šire publike, ali koja imaju važne implikacije za organizacije koje usvajaju Azure Active Directory IDaaS (koji je, doduše, spor u regionu jugoistočne Evrope). Nakon ovogodišnjih napada visokog profila, postalo je očigledno da će zlonamerni akteri sada rutinski zaobilazit postojeće šeme višestruke (MFA) autentifikacije. Ovo se dešava kroz phishing komplete koji koriste attacker-in-the-middle ili jednostavno iscrpljuju korisnike s MFA prompt bombardovanjem.

Jačina autentifikacije s podrškom za FIDO2 i CBA

Zato je dobro videti da Azure AD sustiže i sada nudi izbor jačine autentifikacije u okviru pravila uslovnog pristupa, omogućavajući administratorima da navedu koja kombinacija metoda autentifikacije može da se koristi za pristup resursu. Na primer, oni mogu da učine dostupnim samo metode autentifikacije otporne na phishing (Windows Hello for Business, FIDO2 bezbednosni ključ ili autentifikaciju zasnovanu na sertifikatu) za pristup osetljivom resursu. Ali za pristup onom neosetljivom mogu dozvoliti manje bezbedne kombinacije višefaktorske autentifikacije (MFA), kao što su lozinka + SMS. Detaljnije informacije o ovoj funkciji potražite ovde.

CBA podrška za autentifikaciju bez on-premise ADFS-a

Drugo ažuriranje olakšava usvajanje autentifikacije zasnovane na sertifikatu (CBA) kako bi se omogućilo ili zahtevalo od korisnika da se direktno autentifikuju s X.509 sertifikatima protiv aplikacija koje štiti Azure AD. Nova funkcija autentifikacije zasnovana na sertifikatu Azure AD omogućuje klijentima da usvoje autentifikaciju otpornu phishing i autentifikaciju pomoću sertifikata proizvedenog s PKI infrastrukturom organizacije.

Pre podrške kojom se upravlja u oblaku za CBA u Azure AD, korisnici su morali da implementiraju autentifikaciju zasnovanu na federalnom sertifikatu, koja zahteva implementaciju Active Directory Federation Services (AD FS). ADFS je veoma kompleksno rešenje koje zahteva više servera, uglavnom lokalnu implementaciju ili rekonfiguraciju mreže, što na kraju podrazumeva dodatno održavanje i rizik (pošto proširuje oblast za potencijalne napade).

Prednosti su ovde jasne: smanjena površina napada, pojednostavljena arhitektura i smanjeni troškovi, jer više nema potrebe za ulaganjem u objedinjeni AD FS. Ova funkcija dobro funkcioniše sa novim opcijama jačine autentifikacije opisanim ranije, pružajući lakši način za zaštitu aplikacija koristeći CBA autentifikaciju otpornu na phishing.

Takođe, Azure AD CBA je besplatna funkcija i nisu vam potrebna plaćena izdanja Azure AD da biste je koristili.

Vredi napomenuti da ova funkcija ne zamenjuje PKI i svakako i dalje zahteva od korisnika da poseduju infrastrukturu javnog ključa (PKI) i izdaju sertifikate svojim korisnicima i uređajima. Više detalja ovde.