你的管理員可信嗎?五條構(gòu)建管理員信任的建議
信任管理員和外部顧問(wèn)是安全過(guò)程的關(guān)鍵部分。但是管理員值得信任嗎?這是一個(gè)問(wèn)題。最近,一個(gè)托管服務(wù)提供商(MSP)的員工出售了對(duì)客戶群的訪問(wèn)權(quán)限。幾年前,微軟安全策略師Steve Riley在公司安全會(huì)議上詢問(wèn)與會(huì)人員是否信任管理員。令人驚訝的是,會(huì)議室中的大多數(shù)人表示他們并不信任管理員。
正如Riley當(dāng)時(shí)所說(shuō):“如果我們不能信任我們雇用的人員來(lái)建立和管理關(guān)鍵任務(wù)網(wǎng)絡(luò),因?yàn)檫@是成功業(yè)務(wù)的基礎(chǔ),那么我們不妨推翻一切重頭再來(lái)。”
以下是個(gè)人對(duì)建立內(nèi)部和外部管理員信任的一些建議。
一、利用端到端的流程來(lái)管理和監(jiān)視
信任管理員就需要承擔(dān)風(fēng)險(xiǎn),但是經(jīng)歷面試、調(diào)查、雇用、監(jiān)控和終止具有管理員角色的員工或顧問(wèn)的流程,可以將這種風(fēng)險(xiǎn)降到最低。
查看企業(yè)管理員的教育程度和經(jīng)驗(yàn)。對(duì)每位雇員或顧問(wèn)進(jìn)行背景調(diào)查,并讓他們簽署保密協(xié)議。確保都遵守并了解行業(yè)制定的所以相關(guān)的法規(guī)。
二、不要忘記具有管理員權(quán)限的第三方軟件
此外,還需要監(jiān)視另一個(gè)管理角色:具有服務(wù)賬號(hào)權(quán)限的第三方軟件。在Office 365部署中設(shè)置第三方軟件時(shí),應(yīng)查看該軟件請(qǐng)求哪些權(quán)限,并確保該軟件將信息存儲(chǔ)在與任務(wù)授權(quán)相符的位置。
例如,云備份過(guò)程可能需要具有特定權(quán)限的服務(wù)賬號(hào)才能備份或監(jiān)視企業(yè)的云資產(chǎn)。那么這時(shí)則需要為條件訪問(wèn)規(guī)則設(shè)置排除項(xiàng),以正確設(shè)置賬號(hào)。
三、部署、管理和監(jiān)視多因素身份驗(yàn)證
對(duì)于所有這些角色,管理和審核訪問(wèn)權(quán)限的能力是關(guān)鍵,確保網(wǎng)絡(luò)只允許合適的用戶和管理員訪問(wèn)并遵守相關(guān)策略。當(dāng)在企業(yè)中應(yīng)用多因素身份驗(yàn)證(MFA)時(shí),管理和監(jiān)視MFA使用的情況也很關(guān)鍵。
在外包網(wǎng)絡(luò)管理的小型企業(yè)中,一個(gè)管理顧問(wèn)通常有多個(gè)員工來(lái)處理多個(gè)客戶的訪問(wèn)。Office 365的管理員賬號(hào)不需要額外的許可。在小型企業(yè)網(wǎng)絡(luò)中,通常無(wú)需分開(kāi)管理職責(zé),并且可以將全局管理員權(quán)限分配給多個(gè)員工。此外,帶有Microsoft Authenticator或Google Authenticator的MFA可以安裝在多個(gè)電話設(shè)備上。因此,如果客戶希望只有一個(gè)全局管理員,且可以使用MFA在多個(gè)設(shè)備上保護(hù)訪問(wèn)權(quán)限。
一些顧問(wèn)可能會(huì)說(shuō)他們無(wú)法實(shí)施MFA,因?yàn)樗麄儾荒茉趩T工之間共享憑據(jù)。他們無(wú)法提出可行的職責(zé)分配解決方案,這意味著他們的客戶將面臨不必要的風(fēng)險(xiǎn)。雖然共享憑據(jù)不是理想的情況,但這不應(yīng)該是不采用MFA的理由。
實(shí)際上,Microsoft要求所有合作伙伴賬號(hào)都必須使用MFA。此外,Microsoft更改了安全默認(rèn)設(shè)置,在以下角色中授權(quán)MFA:全局管理員、SharePoint管理員、Exchange管理員、條件訪問(wèn)管理員、安全管理員、運(yùn)維管理員或密碼管理員、計(jì)費(fèi)管理員、用戶管理員和身份驗(yàn)證管理員。
四、共享訪問(wèn)風(fēng)險(xiǎn)最小化
雖然共享訪問(wèn)權(quán)限對(duì)于小型企業(yè)而言風(fēng)險(xiǎn)較小,但對(duì)于大型企業(yè)而言并不是一個(gè)好的解決方案。應(yīng)密切監(jiān)視管理權(quán)限,尤其是全局管理權(quán)限,并限制其范圍。然而,這種訪問(wèn)不應(yīng)僅限于業(yè)務(wù)流程。要求管理員提交訪問(wèn)文件,這不意味著是對(duì)訪問(wèn)的適當(dāng)限制,而且通常會(huì)導(dǎo)致更多問(wèn)題。相反,要設(shè)置管理員流程。首先,確保它們只能從適當(dāng)?shù)奈恢貌⑹褂眠m當(dāng)?shù)奶貦?quán)進(jìn)行工作網(wǎng)站登錄。
然后,謹(jǐn)慎使用全局管理員賬號(hào)。如Microsoft所述,在租戶中最多設(shè)置五個(gè)全局管理員賬號(hào)。再確定是否可以設(shè)定訪問(wèn)特定區(qū)域的子管理員賬號(hào)。這類用戶可以設(shè)置或重置非密碼憑據(jù),并可以更新所有用戶的密碼。
五、建立緊急賬戶
當(dāng)然,請(qǐng)?jiān)O(shè)置緊急賬號(hào),用來(lái)訪問(wèn)未啟用MFA的Azure或Office 365。確保在遇到Microsoft的兩因素流程中的一些意外情況之后可以重置。設(shè)置一個(gè)沒(méi)有MFA、不包含在策略中且密碼非常長(zhǎng)的管理賬號(hào)。完成后,設(shè)置監(jiān)視功能,跟蹤該賬號(hào)的使用情況,一旦有任何情況就能夠得到提醒。
最重要的是,企業(yè)負(fù)責(zé)人不僅應(yīng)該信任管理員,還應(yīng)該相信他們的登錄入口的安全性,相信他們只能在啟用MFA的情況下登錄。
