De 7 𝙙𝙤’𝙨 voor Conditional Access

Een raamwerk voor IT-beveiliging biedt het nodige houvast voor organisaties die een proactieve houding in beveiliging willen aannemen. Het beveiligen van identiteiten is één van de zes lagen die deel uitmaken van het Zero Trust Framework van Microsoft. Om identiteiten en gegevens in de cloud te beschermen heeft Azure ‘Conditional Access’. Vincent Villerius, Managing Consultant bij Motion10, legt uit hoe je Conditional Access zo effectief mogelijk gebruikt.

Conditional Access is een Azure AD dienst die op basis van verschillende sensoren beslist of en hoe iemand toegang kan krijgen. Met Conditional Access policies kan men bijvoorbeeld afdwingen dat beheerders altijd met Multi-Factor Authenticatie (MFA) in moeten loggen, of dat HR-medewerkers alleen met een beheerde laptop toegang hebben tot personeelsdossiers. Conditional Access is onderdeel van het Azure AD Premium P1 abonnement. De kans is dus groot dat je er al gebruik van kunt maken binnen jouw huidige werkomgeving.

7 do’s bij het in gebruik nemen van Conditional Access: 

1. Zet Conditional Access in
Het lijkt een open deur, maar we zien nog steeds organisaties die wel Microsoft 365 en/of Azure gebruiken, maar nog geen gebruik maken van Conditional Access. Door MFA te configureren met Conditional Access kan volgens Microsoft maar liefst 99,9% van de aanvallen op Azure AD accounts afgeweerd worden. 

2. Configureer Break-the-Glass accounts 
Break-the-Glass accounts kunnen ingezet worden op het moment dat je buitengesloten bent door een storing of configuratiefout met MFA. Het is zaak om Break-the-Glass accounts te voorzien van een sterk wachtwoord – deze op een veilige plaats te bewaren – en om het gebruik van deze accounts te monitoren. 

3. Vereis MFA voor alle beheerders
Beheerders hebben meer rechten op de IT-omgeving dan andere medewerkers. Dat maakt beheerders een aantrekkelijk doel voor hackers. Om hier rekening mee te houden begin je juist met de accounts van beheerders zodra Conditional Access wordt ingeregeld. 

4. Zet MFA in voor alle gebruikers
We zien nog vaak dat er gebruikersgroepen worden uitgesloten van MFA, bijvoorbeeld omdat er verwacht wordt dat mensen het lastig vinden om met MFA in te loggen. We zien ook dat groepen onbewust worden uitgesloten omdat organisaties het overzicht over groepen en policies verliezen. Zet daarom MFA in voor álle gebruikers zodat ook deze accounts minder snel een doelwit zijn van hackers.  

5. Dwing af dat alleen compliant devices toegang verkrijgen
Als data op een onbeveiligde computer terechtkomen is op dat device een nieuw risico voor het lekken van data. Richt Conditional Access daarom in om alleen toegang vanaf beheerde, beveiligde apparaten toe te staan. 

6. Vereis MFA voor alle applicaties
Het gebeurt vaak dat Conditional Access per applicatie wordt ingericht. Dat maakt het mogelijk om voor elke applicatie apart beleid te configureren. Meestal is dit niet nodig en loop je het risico dat nieuwe applicaties worden vergeten. Configureer daarom Conditional Access voor alle applicaties en maak uitzonderingen waar nodig. 

7. Gebruik ‘Locaties’ in Conditional Access Policies
Met Conditional Access kunnen maatregelen geïmplementeerd worden op basis van locatie. In de praktijk zien wij dat dit nog weinig gebruikt wordt, terwijl hiermee voorkomen kan worden dat er vanuit onwaarschijnlijke plekken wordt ingelogd (heb jij collega’s in Azerbaijan?). Anderzijds kan er juist geconfigureerd worden dat op vertrouwde locaties niet of minder vaak om MFA wordt gevraagd.