备受瞩目、影响广泛的网络安全漏洞——SolarWinds 供应链攻击、Colonial Pipeline 勒索软件事件、俄罗斯对微软的黑客攻击——都暴露了身份安全控制不足的后果。窃取或不当处理的凭证、黑客在受感染的网络中横向移动以寻找敏感数据以及特权升级(黑客获得未经授权的访问权限)仍然是当今网络犯罪分子的惯用伎俩。尽管投入大量资金使用新的安全工具和技术来对抗这些威胁,但身份和访问管理 (IAM) 的根本弱点仍然困扰着各种规模的企业。
尽管 IAM 表面上确保只有授权用户才能访问网络和应用程序,但实际情况是,薄弱的 IAM 方法意味着组织很容易且频繁地受到攻击。薄弱的 IAM 方法可能包括:
- 缺乏多因素身份验证 (MFA),导致网络钓鱼或暴力攻击的可能性更大,
- 授予公司敏感数据的过多访问权限,
- 忽视员工密码管理不善,面临凭证被盗的风险,
- 未能全面监控访问活动或对访问的控制不足,
- 拼凑单点解决方案造成的安全漏洞,以及
- 使受感染的账户更容易在系统内横向移动。
随着威胁形势的加剧,企业再也不能将身份管理视为事后考虑。各行各业的安全和 IT 领导者都在努力应对严酷的现实,即他们组织的致命弱点(威胁组织失败的弱点)可能就在于他们所依赖的用于验证和授权访问的系统:Microsoft Active Directory (AD)。
AD 的历史
如果您是 IT 管理员,那么您一定遇到过 Active Directory。二十多年来,无论好坏,AD 一直是身份管理的支柱。AD 由 Microsoft 为 Microsoft 主导的 IT 基础设施开发,已成为许多组织身份验证和访问控制的事实标准。它的广泛采用归功于 AD 与 Windows 操作系统的深度集成以及它提供的强大管理工具和功能。
尽管 AD 非常流行,但要保证其安全绝非易事。随着安全要求越来越严格、云计算加速发展以及组织采用更多异构设备环境(即在 macOS、Windows、Linux、Android 等上运行的托管设备和 BYOD 设备混合),AD 的 IAM 方法存在太多风险。由于 AD 专为本地使用而设计,因此没有将代理连接到云的本机方法。这使得确保远程工作人员和云资源的访问安全变得异常困难,更不用说 Windows 环境之外的人员了。
由于 AD 仅支持本地环境,许多用户希望 Microsoft 的 Entra ID(以前称为 Azure ID)能够成为具有相同功能的基于云的替代方案。但 Entra ID 并不是 Microsoft AD 的直接替代品;它是一个独立的平台,将客户锁定在新的 Microsoft 生态系统中。它不管理本地系统或非 Windows 端点,需要与域控制器或附加服务集成才能访问网络资源。较旧的本地操作和管理应用程序无法支持 Entra ID 确认身份所需的多因素身份验证方法,即 FIDO2 安全密钥、OAuth 令牌或 Microsoft Authenticator 应用程序。Entra ID 可能是一个云目录,但您不能仅通过采用它来替换 Microsoft AD,或摆脱其相关的挑战。
保护 Microsoft AD 的问题
尽管 AD 被广泛使用,但它仍存在一些重大的安全挑战:
- 过时且易受攻击的服务帐户:许多组织都拥有具有过多权限和安全策略松懈的旧服务帐户,因此很容易受到攻击。随着 AD 环境的不断发展,旧服务帐户会不断积累,即使不再使用,它们仍会保持启用状态并具有过多权限。
- 缺乏一致的安全策略执行:AD 实施通常遵循“互不干涉”的方法来执行安全策略。如果不执行,这可能会导致密码要求薄弱、密码过期以及 AD 内服务帐户活动的审计不足。
- 复杂性和成本:AD 配置通常需要多个复杂的林配置来建立管理员的逻辑分离,这对于组织而言可能难以有效管理和保护。当您增加许可、硬件、实施和迁移、培训和人员配备以及基础设施和运营需求的预算时,许多使用 AD 的组织会发现自己被束缚在老化的遗留系统中,该系统缺乏更现代解决方案的灵活性、可扩展性和成本节约潜力。
AD 现代化
尽管存在这些问题,许多组织仍将继续使用 AD。在我们最近的网络研讨会上对管理员进行调查时,50% 的 IT 团队表示他们计划完全迁移出 AD,而 34% 的人表示他们只是将 AD 占用的空间降到最低,并将其保留用于关键应用程序。16% 的人表示他们将保持 AD 原样并将其扩展到云。一些业务关键型或遗留应用程序只能将 AD 作为后端使用,而一些团队可能无法消除 Windows 文件服务器或打印服务器等资源。这些资源是为 AD 最佳设计的,或者它们可能在严格监管的环境中工作,这些环境要求身份验证存储必须保留在本地。其他人可能正处于向云过渡的中间状态。对于许多希望在不引入安全漏洞的情况下桥接 AD 部分功能的组织来说,现代化 AD 至关重要。
无论您在 AD 现代化旅程中处于何处,以下是一些入门提示。
将 AD 扩展到云端:
- 将 AD 与基于云的身份和访问管理 (IAM) 解决方案相集成,以扩展用户对云资源的访问,例如 SaaS 应用程序、VPN、Wi-Fi 和非 Windows 设备。
- 将 AD 用户、组和凭据同步到云 IAM 解决方案,实现集中管理和身份验证。
最小化 AD 占用空间:
- 仅为无法迁移或退役的关键任务 Windows 服务器或应用程序维护 AD。
- 减少域控制器的数量及其位置,因为依赖 AD 身份验证的用户和设备更少。
- 将最终用户的 Windows 计算机从 AD 迁移到云 IAM 解决方案,从而无需这些设备直接连接 AD。
从云端管理 AD:
- 利用云 IAM 解决方案创建、暂停和管理用户帐户和安全组成员资格,并将更改实时传播到 AD。
- 尽量减少直接登录 AD 服务器进行用户和组管理的需要。
脱离 AD:
- 为云 IAM 解决方案中管理的用户提供对云资源(SaaS 应用程序、LDAP、RADIUS)的访问权限并迁移 Windows 设备。
- 用支持 LDAP 身份验证的云存储解决方案或网络附加存储 (NAS) 系统替换 Windows 文件服务器。
- 将旧版应用程序迁移到支持现代身份验证协议的基于云的替代方案或解决方案。
- 迁移网络硬件和服务以支持来自云 IAM 解决方案的 LDAP 和 RADIUS 身份验证。
- 所有依赖项都迁移或替换完毕后,退役并淘汰剩余的 AD 基础设施。
现代化,而不是凑合
无论您是想完全抛弃 AD 还是想找到一种共存方式,在当今充满敌意的网络安全环境中,仅仅保留过时的 AD 实施都会带来不可接受的风险态势。选择保留 AD(即使是暂时保留)的组织必须优先通过强大的访问控制、一致的安全策略实施以及与云 IAM 解决方案的集成来保护和现代化其 AD 环境。AD 现代化是通往更安全未来的重要桥梁,它可以降低风险,同时使企业最终全面过渡到现代云原生身份管理。
强大的身份管理从未如此重要。云迁移方法的灵活性和敏捷性与复杂、昂贵且过时的内部部署方法之间的差距只会越来越大。采用围绕不断发展的身份需求开发的 AD 现代化战略,使各种规模的组织都能保护身份、保护关键资产并加强组织的薄弱环节。
