Компания Microsoft обновила свои облачные сервисы для защиты корпоративных инфраструктур: инструмент для формирования политики доступа Azure Active Directory и облачную систему управления событиями безопасности (SIEM) Azure Sentinel. Естественно, что новые облачные функции потребовали изменения и в клиентской части, таких как поддержка условных фильтров для устройств, привязка политики доступа к местоположению пользователя, перенос Defender на Linux, реализация ролевой модели восстановления паролей и другие.
В Azure все спокойно
В Azure Sentinel появилось упрощенное средство развертывания коннекторов, методов обнаружения, сценариев реагирования и рабочих нагрузок как для собственных решений Microsoft, так и для сторонних продуктов, в виде единого пакета. Обновились также средства обнаружения аномалий в Azure Sentinel, включая User and Entity Behavioral Analytics (UEBA), которые теперь работают на основе настраиваемого машинного обучения. Выявленные инструментом аномалии можно использовать для получения дополнительной информации во время проведения расследований или в связи с инцидентами. Azure Sentinel получил возможность мониторинга угроз SAP, Office 365 и любых других облачных приложений с помощью сервиса Microsoft Cloud App Security, а также интеграцию с Microsoft Teams для взаимодействия в рамках SOC для ускорения расследования инцидентов.
Основным нововведением в Azure Active Directory стала реализация механизма условного доступа Azure AD Conditional Access, который позволяет создавать более точные политики контроля доступа. В частности, теперь сервис поддерживает именованные локации на основе GPS и фильтры для устройств, которые обеспечивают новый набор сценариев, таких как ограничение доступа из определенных стран или регионов по координатам GPS и обеспечение безопасности использования устройств на основе атрибутов устройств – например, ограничение использования приложений привилегированного доступа только для функционально замкнутых сред привилегированного доступа — privileged access workstations. Появились также политики условного запуска приложений на устройствах, управляемых через Application Protection Policies. В новой версии сервиса можно будет блокировать доступ в приложение или удалять его данные на основе таких условий, как максимальная разрешенная версия ОС, джейлбрейк устройства или наличие root-прав.
Движение в сторону ZTNA
Сервисы безопасности по контролю за доступом с нулевым доверием (Zero Trust Network Access — ZTNA) сейчас становятся очень популярными, поскольку они объединяют контроль за пользователями как в корпоративных средах, так и в облачных. Концепция реализует не только динамическую систему контроля доступа, который как раз может предоставить Azure Active Directory, но и облачную оценку уровня защищенности гибридной облачной инфраструктуры. Эту часть обеспечивает облачное SIEM-решение Azure Sentinel. Хотя в пресс-релизе Microsoft не говориться ни слова о ZTNA, тем не менее стратегически компания движется в направлении создания единого облачного сервиса защиты клиентских ресурсов как облачных, так и внутрикорпоративных.
