Azure AD-s on võimalik mitmetasandilist kontrolli sisselogimisel juurutada kolmel viisil.
Esiteks valid välja kasutajad ja ütled, et mitmetasandiline autentimine on nende puhul nõutud. Järgmine kord nõutakse kasutajalt infoturbe kinnitamiseks, et vaja on ka teist tasandit identiteedi kontrolliks. Kasutaja valib siis ise, millist teist tasandit kasutada: kas telefonikõne, SMS-i või turvarakendust (äppi). Mobiiliäpi Microsoft Authenticator saab alla laadida siit.
SMS-i ma ei soovitaks, kuna on olemas erinevaid turvanõrkusi, seda võimalust saab kaaperdada. Telefonikõnedega on samamoodi: saab simuleerida, millise numbri pealt tuleb kõne (selle kohta saab lähemalt lugeda siit).
Teine viis on teha mitmetasandiline kontroll tingimusliku ligipääsu reeglistiku kaudu – sellest oli blogis juba eraldi pikemalt juttu. Näiteks määrata tingimused, milliste teenuste jaoks on mitmetasandiline autentimine kohustuslik. Eelistatum viis mitmetasandiliseks kontrolliks ongi tingimuslik ligipääs.
Kolmandaks saab aga kasutada Azure AD Identity Protection´it. Kuidas alustada, selle kohta leiab põhjaliku juhendi siit.
Tehniliselt on see väga lihtne. Saab määrata, et infoturbe registreerimist võib teha ainult kontoris ja ettevõtte hallatavas seadmes. Sellega on võimalik veenduda, et kui kasutajakonto on kompromiteeritud, siis pahalane kuskil teises riigis ei saaks seadistada oma MFA-d ehk mitmefaktorilist autentimist, seda saab teha vaid kontrollitud tingimustes. Seadistusvariante tänu tingimuslikule ligipääsule on aga mitmeid.
Kommunikatsioon ja koolitus on siingi väga oluline
Kuna MFA-d ei kasuta väga paljud Facebookis ega mujal teenustes, siis on inimesed segaduses, kui ainult parooliga sisse logida enam ei lasta. Ka mobiilirakendusi ei pruugi kõik nii hästi teada, mida saab mitmefaktoriliseks autentimiseks telefoni installida. Nii võib oma turvalisuse projektiga joosta vastu betoonseina, kui kasutajad ei tea, mida neilt tahetakse.
Selleks, et asja selgitada, tuleb tuua analooge ja näiteid, miks MFA-d on vaja ning kasutajaid sel teemal koolitada. Kõiki ei jõua administraatorid niikuinii ise ära seadistada, MFA registreerimise peaksid kasutajad siiski ise ette võtma ning aru saama, mida see tähendab, et kui näiteks õhtul kell 6 tuleb mobiilile teavitus, et keegi tahab sinu töökontoga sisse logida. Kui ütled pikemalt mõtlemata “jah”, siis pole ka mitmefaktorilisest autentimisest kasu, sest kasutaja ise lasi kellegi teise sisse, kui tema parool on lekkinud. Kommunikatsioon on seega ülioluline, kasutajad peavad teadma, mida nad teevad ja miks neilt mitmefaktorilist autentimist nõutakse.
Kui on aga tuhat kasutajat, siis peab julgustama ja meelitama töötajaid ise MFA-d ära seadistama. Kommunikatsiooni- ja personaliosakond peab siin kaasa aitama, et kõik kasutajad oleks vajadusega kursis ja vajadusel infomaterjale jagama. Selgitustöö võib raske olla, kui infoturbest pole kontoris varem väga palju räägitud.
Mitmetasandilise kontrolli olulisus peaks aga igas ettevõttes juba ammu läbi räägitud teema olema, seda peaks juba ammu ka kasutama.
Kommunikatsiooni ja kasutusjuhendeid võiks enne testida mingi kitsama sihtrühma peal. Suurfirmades on tehtud eraldi kasutajajuhendid, bännerid, isegi eraldi infopaneelid ja plakatid kontoritesse, et kommunikatsiooni ja teavitust nii olulises infoturbeküsimuses oleks võimalikult palju. Kui üleöö MFA kasutajatele sisse lülitada, siis nad ei ei tea, mida edasi teha.
Kui asjad ei liigu ja kasutajad ei tule kaasa, siis tuleb midagi muuta. Siis on kommunikatsioonis midagi valesti. Sel juhul tuleb kasvõi kogu kontor plakateid täis kleepida, mida paljudes suurfirmades ongi tehtud.
Mõtteid ja materjale mitmefaktorilise autentimise kasutusele võtmise kohta leiab siit.
Kui Sul on mitmefaktorilise autentimise ja mitmetasandilise kontrolli juurutamise kohta küsimusi, võta Lakeforest Consult`iga julgesti ühendust.