CAP a inovace pro odolnost identit v Azure AD

Jedním z velkých témat letošní konference Microsoft Ignite byla samozřejmě také bezpečnost a představení inovací vedoucí k zajištění lepší odolnosti (resilience) identit v Azure AD.

Z pohledu zajištění vysoké dostupnosti (SLA 99,99%) služby Azure AD je nadále rozšiřována takzvaná „cell-based“ architektura, kdy výpadek jedné části ovlivní ne více než 1,7% uživatelů, přičemž se následně automaticky aktivuje záložní autentizační služba.

Z pohledu ochrany před útoky a krádežemi identit byly rozšířeny především pravidla podmíněného přístupu (Conditional Access Policies).

• K dispozici bude zcela nový dashobard pro získání přehledu o aktuálním stavu a dopadu pravidel. Skvělý je například výpis přístupů, které nespadají do žádných pravidel.

• Pravidla bude možné aplikovat nejen na skupiny uživatelů, ale také na skupiny aplikací nebo zařízení. Související informace popisujeme shodou okolností v článku "Device State" v politikách podmíněného přístupu nahradí "Filter for devices"
• K dispozici by měly již brzy být také pravidla pro neuživatelské identity (Conditional Access for workload identities)
• Continous Access Evaluation (viz článek https://www.kpcs.cz/cs/novinky/blog/continuous-access-evaluation-cae) bude také již veřejně dostupný
• K dispozici budou přednastavené šablony pro vytváření doporučených pravidel.

Základní sadu 14 pravidel jsem díky přednastavené šabloně byl schopen vytvořit doslova během pěti minut. Samozřejmě výsledek nelze ani zdaleka považovat za finální stav, ale je to skvělý začátek.

Dále bude dostupná nová proaktivní detekce anomálií a šablon chování (Detection for anomalous tokens and unfamiliar sign-in properties for session cookies), která pomůže odhalit krádeže session cookies a označit session uživatele jako rizikovou.

Tu dále doplňuje nový workbook (Identity Protection risk analysis workbook), který bude schopen zobrazit přesně ta data, která jsou nutná pro analýzy – rozdělení podle typu události, podle rizik, IP adres a mnoho dalšího.