Blog

Microsoft Azure MFA – többfaktoros azonosítás nem csak a felhőben

A digitális korszak egyik leggyakrabban hallható szólásmondása, hogy az „adat az új olaj.” Ez egyszerre utal arra, hogy az adat értékes, és arra is, hogy emiatt körültekintően kell kezelni és tárolni. Korábban elegendő volt megfelelő határvédelmet, és kellően erős jelszóházirendet kialakítani az adataink megvédéséhez. Manapság az egyén, különösen az emelt jogosultsági szintekkel rendelkező rendszeradminisztrátor, és az ő digitális identitása(i) és eszköze(i) az elsődleges védendő belépési pontok a rendszereinkbe.

Korábban is voltak törekvések arra, hogy egy felhasználó által birtokolt további eszközzel kérjenek megerősítést a belépéskor, gondoljunk csak a különféle smartcardok vagy hardveres tokenek használatára. Ezek viszont olyan céleszközök, melyek bevezetése és karbantartása (elvesztés, megrongálódás) költséges és adott esetben nehézkes is. A mobiltelefonok, majd ezek ún. okos változatainak elterjedésével kezdett elterjedni a hanghívással, rövid szöveges üzenettel (SMS), illetve mobilalkalmazással, mint második azonosítási faktorral történő beléptetés. Itt legtöbbször a felhasználók számára előzetesen meg lett szabva, hogy melyik módszert használják, és itt is szükség volt saját gateway, vagy kiszolgáló szerver üzemeltetésére, valamint a meglevő címtár infrastruktúrához illesztésre, így ez sem volt feltétlenül olcsó és egyszerű megoldás.

A Microsoft már évekkel ezelőtt felismerte, hogy az identitás-alapú hozzáférés-szabályozás, és a többfaktoros hitelesítés kikényszerítése kulcsfontosságú az internetre publikált szolgáltatásai védelmére. Ma már szinte az összes portálján elérhető a fejlett identitáskezelés (előfizetés adminisztrátorok számára akár ingyenes második faktoros azonosítással), és az itt elérhető jelszavakra vonatkozó ajánlások közt is előkelő helyen szerepel a többfaktoros azonosítás.

Az Azure Multi-Factor Authentication (továbbiakban: MFA) egy olyan skálázható felhő-alapú többfaktoros hitelesítési szolgáltatás, mely számottevő kezdeti beruházás nélkül lehetővé teszi a felhasználók és alkalmazások védelmét (akár a földi rendszerekre is).

A szolgáltatás elszámolása felhasználó, vagy azonosítás alapon is történhet, így amellett, hogy jelentős költséget takaríthatunk meg, pontosan le tudjuk követni a szolgáltatás iránti igényt is. A bevezetés is gyorsan és könnyen elvégezhető, különösen, ha már esetleg jogosult a szervezet a szolgáltatás használatára a korábban megvásárolt vállalati csomagokon, vagy megállapodáson keresztül.

Az MFA további előnye, hogy megadhatjuk a lehetőséget a felhasználóinknak, hogy önkiszolgáló módon egy portálon keresztül regisztrálhassák eszközeiket a szolgáltatásban, és megválaszthassák a számukra szimpatikus azonosítási módot, mely lehet:

Egy elkülönített portálon a helpdesk munkatársak felügyelhetik a felhasználókat és eszközeiket, és láthatják a bejelentett gyanús eseteket (ún. fraud alert funkció).

A földi rendszereink védelméhez telepíteni kell egy MFA szerver komponenst, mely natívan integrálódni tud a meglevő címtárunkkal, és „bele tud ülni” az autentikációs folyamatokba. A működés ebben a modellben olyan módon történik, hogy az MFA szerver csak és kizárólag a második faktoros hitelesítést végzi el a felhőn keresztül, és annak eredményétől függően terminálja vagy engedi tovább az azonosítási folyamatot a földi rendszer és címtár között. Fontos kiemelni, hogy ebben az esetben semmilyen felhasználónév, vagy jelszó hash nem hagyja el a földi környezetet, és a felhős logokban sem jelenik meg olyan információ, ami alapján azonosítható lenne a felhasználó.

Néhány támogatott földi használati eset:

  • VPN bejelentkezés védelme
  • LDAP azonosítást használó alkalmazások védelme
  • RDP farm védelme

Összefoglalásképp:

  1. Amennyiben már használatban van Office 365 és/vagy Azure szolgáltatás a cégnél, erősen ajánlott legalább az előfizetések adminisztrátorai számára beállítani a többfaktoros hitelesítést.
  2. Járjunk utána, hogy jogosultak vagyunk-e az Azure MFA használatára a Microsofttal kötött szerződésünk keretében.
  3. Vizsgáljuk felül a jelenleg használt többfaktoros hitelesítési szolgáltatásunk költségvonzatát az Azure MFA-val szemben.
  4. Fontoljuk meg az Azure MFA bevezetését minél több már meglevő szolgáltatásunk esetén a többfaktoros hitelesítés nyújtotta biztonság érdekében.

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Kuthi Andras Kuthi András • Microsoft konzulens

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük