保障云端安全的重要性

关键要点

近年来，SolarWinds、Colonial Pipeline 和 Hafnium Exchange 的攻击事件引起了广泛关注。这些攻击不仅是网络安全领域的高调事件，还标志着攻击者的攻击路径发生了变化。网络威胁越来越多地针对云环境，特别是 Microsoft Entra ID之前的 Azure AD，然后转向本地的 Active DirectoryAD，反之亦然。

作为云和混合环境的主要身份存储，Entra ID 成为了攻击者的重点目标。攻击者通常会使用非特权或低特权账户在网络中横向移动，寻找能够获得更高权限的漏洞。更高的权限提供了更多的滥用和利用的潜力。这一路径在勒索软件运营商中十分常见，在云身份中同样适用。针对高度特权用户如全局管理员的有针对性钓鱼活动也是一个持续的担忧。

SC Media Perspectives 栏目由值得信赖的网络安全专家集中撰写，致力于关注重要的网络安全话题。在这里阅读更多观点

遗憾的是，许多组织实施的身份控制措施往往较弱。根据 Microsoft 的报告，在 93 的勒索软件事件响应中，特权访问和横向移动的控制不足起到了关键作用。

增强安全控制首先需要识别组织常犯的错误。以下是导致 Entra ID 易受攻击的三大常见问题：

全局管理员过多

全局管理员能够完全访问与 Entra ID 相关的资源，包括 Microsoft 365 和 Azure，并管理其所有管理功能的访问。但由于这些管理员在 90 的时间内并不需要这样的访问权限，因此他们的账户成为了攻击者的不必要目标。

高管或 CTO 可能因为职务原因获得全局访问权限，但实际上并不使用这些权利。需要更高权限的员工在某个项目或流程中被赋予管理权，但没有人再去收回这些权限。组织中拥有无限访问权限的人越多，攻击面就越大。

Microsoft 建议公司应该拥有 少于五个 全局管理员。这一点对于不同规模的公司皆然。在某些情况下，企业可能需要为更多用户授予管理员访问权限，但团队应限制此权限的使用时间，例如通过时间基于的访问控制，在一个小时、一天或一周后自动收回这些权限。

除了保持特权用户的数量最小化，还应定期审查权限，并从没有使用需求的用户那里撤回高权限的访问，以减少攻击者在环境中获得更大立足点的机会。尽管管理特权用户耗时且可能面临抵制，但这对于降低组织风险至关重要。

权限分离不足

权限分离是缩小攻击面的一种有效方式，它向用户的每个账户分配不同的权限集，并要求他们在进行不同工作的情况下登录不同的账户。

例如，一名安全团队成员可能在 Entra ID 中拥有管理账户，但在 Office 365 中并不需要管理权限。或者他们可能在其他系统上工作时拥有全局管理员账户，但在日常工作中其实根本不需要。从而，组织往往没有根据不同账户将权限进行分离。

通过进行权限分离，从那些在一个环境中拥有全局管理员权限的用户开始，组织可以有效减少管理权滥用的风险，为深度防御战略提供重要一层保护。如果用户的非特权账户被攻击者入侵，那么攻击者在横向移动并获得关键系统或数据的能力就会下降，甚至被完全阻止。如果一名以管理员身份登录的用户打开了一封包含网络钓鱼内容的邮件，攻击者就可以获取这些管理权限。如果该用户在非特权账户下打开相同的邮件，攻击者在云