Přednáška: Microsoft Entra ID – Attack surface

Začátkem roku 2023 jsme přešli z on-prem Active Directory do cloudové Azure Active Directory (nově Microsoft Entra ID). PROČ a JAK jsem psal v článku „Přecházíme do Azure Active Directory„.

Současný stav je takový, že z on-prem AD nám zbývá už jen jeden DC server a dva terminálové servery. Ty mám v plánu nahradit do konce roku s Windows 365 Enterprise (Cloud PC) – které máme v rámci partnerství s Microsoftem k dispozici.

Avšak, aby nedošlo k nedorozumění, cílem není kompletně se zbavit celého on-premu, ale jen Active Directory (tu nahradit za Entra ID, Intune a Defender). On-prem jsme naopak rozšířili o další tři nové fyzické servery. Stále si totiž budeme provozovat řadu služeb: Veeam Cloud Connect infrastrukturu (immutable backups), ESET infrastrukturu, FortiAnalyzer, FortiEMS, log management a další. Stále je pro nás výhodnější, když si to provozujeme sami.

Proč se věnovat Microsoft Entra ID

Z Entra ID se podle mne stane další technologie, kde budou útočníci zatápět obráncům (stejně jako u Active Directory s lateral movement), protože Entra ID je:

• KRITICKÁ: Kompromitace Entra ID bude mít za následek ovládnutí firemních zařízení a dat.
• ROZŠÍŘENÁ: Každý, kdo má nějakou Office/Microsoft 365 službu, má zároveň i svou Entra ID. Bez přehánění se dá říci, že (až na pár výjimek) je to každá firma.
• KOMPLEXNÍ (SLOŽITÁ): Jedná se o stejně rozsáhlou technologii jako je původní Active Directory.
• PODCENĚNÁ (OBRÁNCI): Není dost lidí, co by jí technicky hluboce rozuměli.

Celé prázdniny jsem proto strávil studiem a přípravou interního školení. Z mého studia vznikla tři školení:

• Entra ID: Attack Surface (tento článek)
• Entra ID: Lateral movement and persistence
• Entra ID: Obrana

O ně bych se s vámi rád postupně podělil. Dnes sdílím první z nich zabývající se fází „initial access“ – neboli vektory (cestami) prvotního průniku. Snad se vám bude líbit. 😊

Nechť jsou vaše sítě bezpečné.

Martin