Active Directory прошла длинный путь развития. В 2000 году, когда служба каталогов только появилась, самая идея безопасности определялась простым, но в то время эффективным принципом AGLP (Accounts, Global groups, Local groups, Permissions). Учетные записи помещались в глобальные группы, глобальные группы — в локальные, а локальным группам назначались разрешения.

Однако с появлением соединений через Интернет Active Directory (AD) и средства безопасности, необходимые для ее защиты, перестали быть исключительно локальными, вышли за рамки организации и сформировали среду AD, существующую как локально, так и в «облаке».

Это означает, что вам придется скорректировать подходы и методы, используемые для защиты гибридного экземпляра AD, одновременно осознавая, что в подлунном мире нет ничего по-настоящему нового.

Зачем беспокоиться о безопасности гибридной AD

Если в последнее время вы не скрывались в глухих лесах, то вас не удивит, что внедрение Office 365 происходит стремительными темпами. Благодаря преимуществам в первую очередь таких продуктов, как Exchange Online, OneDrive для бизнеса и Skype для бизнеса, у Office 365 появляется в среднем 1 млн новых подписчиков в месяц. Какое отношение это имеет к безопасности гибридной AD? Самое прямое.

Все эти превосходные продукты работают на базе столь же впечатляющей службы каталогов — Azure AD. Служба Azure AD (AAD) используется всеми приложениями Office 365 для проверки подлинности пользователей и играет роль центральной нервной системы Office 365.

Однако каждому экземпляру Office 365 требуется отдельный клиент AAD, и это порождает необходимость управлять еще одной средой, за которую отвечает ИТ-подразделение. Поэтому свыше 75% клиентов с более чем 500 сотрудниками, использующими Office 365, синхронизируют локальную службу каталога AD с Azure AD, чтобы обеспечить единую процедуру проверки подлинности, и таким образом создают среду гибридной службы каталога AD.

С помощью соединения Azure AD Connect компании интегрируют два каталога, обеспечивая синхронизацию двух сред и удобную возможность авторизовываться в Office 365 с использованием локальных учетных данных. Поскольку это односторонняя синхронизация с AAD, важно помнить, что содержимое AAD определяет локальная среда AD.

В результате локальная служба каталога AD становится центром для управления доступом, создания компенсационных элементов управления безопасностью и определения способов предоставления доступа в AAD и связанных приложениях.

И все же возникает вопрос, почему нам следует беспокоиться об AAD. На сегодня существует свыше 500 млн локальных учетных записей AD, охватывающих 90% работающих с AD компаний во всем мире.

По данным отчета 2016 Verizon Data Breach Investigations Report, почти две трети подтвержденных краж информации совершены с использованием учетных данных. Из этого следует, что AD — основная цель злоумышленников.

Но показатели AAD дают еще более веский повод для беспокойства:

  • существует 750 млн учетных записей AAD;
  • 110 000 приложений ежемесячно используют AAD;
  • ежегодно совершается 10 млрд проверок подлинности.

«Облачная» инфраструктура Micro­soft в целом (в том числе Office 365, Xbox, MS Live и другие) подвергается более чем 10 млн кибератак. Вывод очевиден: любой доступ, полученный через локальную AD, может не только иметь последствия внутри AAD, но и затрагивать любые веб-приложения, использующие AAD. Поэтому локальная служба каталога AD должна быть наделена элементами управления безопасностью, соответствующими имеющимся в экземпляре AAD, чтобы обеспечить защиту всей гибридной AD. Сделать это нелегко. Для надежной защиты гибридной AD необходимо ответить на несколько вопросов:

  • Что они могут сделать? В идеале нужно иметь возможность...
Это не вся статья. Полная версия доступна только подписчикам журнала. Пожалуйста, авторизуйтесь либо оформите подписку.
Купить номер с этой статьей в PDF