Conditional Access


Blokowanie dostępu do usług spoza Unii Europejskiej

Data: 03.03.2023

Problem:

Firma „XYZ” oferuje swoje usługi na terenie krajów Unii Europejskiej. W związku z tym pracownicy tej firmy bardzo często podróżują w jej zakresie. Firma nie prowadzi działalności poza UE. Dział bezpieczeństwa zlecił przygotowanie rozwiązania, które w celu spłaszczenia wektora możliwego cyberataku ma za zadanie zablokować możliwość logowania się do zasobów i usług firmy „XYZ” spoza UE. Rozwiązanie ma jednak być na tyle elastyczne, aby w drodze wyjątku po akceptacji działu bezpieczeństwa można było pojedynczemu użytkownikowi lub grupie użytkowników zezwolić na takie logowanie (Prezes wylatuje na wakacje do Kamerunu).


Schemat rozwiązania:

Taki scenariusz możemy zrealizować za pomocą Conditional Access konfigurując odpowiednią politykę. Dostęp warunkowy (CA) to mechanizm umożliwiający tworzenie reguł określających sposób uwierzytelniania użytkownika oraz uzyskiwanie dostępu do zasobów i usług w usłudze Microsoft 365. W środowisku Microsoft dostęp warunkowy współpracuje z aplikacjami SaaS (w tym Office 365) , które są konfigurowane w Azure Active Directory. Dostęp warunkowy opiera się na sygnałach z firmowej domeny AD lub usługi Microsoft Intune w celu poinformowania systemu o stanie i wiarygodności urządzenia, zanim urządzenie uzyska dostęp do danych. Poniżej przedstawiono schemat działania mechanizmu Conditional Access. Na czerwono oznaczono elementy, przez które kolejno będziemy przechodzić realizując rozwiązanie naszego problemu.

Konfiguracja:

  • Zanim zaczniemy konfigurować zasadę dostępu do naszej organizacji opartą na lokalizacji z której loguje się użytkownik, zdefiniujemy zakres lokalizacji, z których logowanie do naszej organizacji będziemy blokować. W tym celu musimy przejść do odpowiedniego miejsca w portalu usługi Azure AD związanego z Conditional Access. Następnie wybieramy kartę ‘Named locations’.
  • Następnie wybieramy opcję ‘Countries location’ – po prawej stronie pojawi się zakładka na której będziemy konfigurować naszą lokalizację.
  • Podajemy kolejno:

- W sekcji ‘Name’ nazwę naszej lokalizacji – Black list Countries;

- Pozostawiamy opcję ‘Determine location by IP address (IPv4 only);

- Opcjonalnie możemy oznaczyć opcję ‘Include unknown countries/regions’ – Niektóre adresy IP nie są mapowane na określony kraj lub region, w tym

wszystkie adresy IPv6. Ta opcja pozwala wybrać, czy te adresy IP mają być uwzględnione w nazwanej lokalizacji;

- Wybieramy listę krajów z których będziemy blokować dostęp do naszej organizacji (wybieramy wszystko poza krajami należącymi do UE;

Po zakończeniu konfiguracji klikamy ‘Create’.

  • Na tym etapie mamy już zdefiniowaną listę lokalizacji, które będziemy blokować za pomocą naszej reguły. Zanim przejdziemy do przygotowania polityki załóżmy jeszcze grupę dzięki której będziemy mogli dodawać organizować użytkowników dla których polityka nie będzie obowiązywać. Reasumując zasada będzie mówić, że nikt nie może zalogować się spoza UE chyba, że należy do wskazanej grupy (prezes jedzie na wakacje do Kamerunu ). Zarządzanie członkami takiej grupy zawsze możemy oddelegować do działu Helpdesk lub bezpośrednio do kogoś kto będzie odpowiedzialny za decyzje na tym poziomie.


  • W moim przypadku grupa zabezpieczeń zostanie założona bezpośrednio z poziomu portalu Azure. Jeśli mamy lokalne Active Directory oczywiście taką grupę zakładamy z tego poziomu – po synchronizacji grupa pojawi się nam w Azure AD.

Aby założyć grupę bezpośrednio z Azure AD przechodzimy kolejno:

  • Na tym etapie nie potrzebujemy dodawać członków do grupy – zrobimy to wtedy kiedy zajdzie taka potrzeba.

  • Możemy teraz zająć się tworzeniem polityki w ramach CA. W tym celu wybieramy opcję ‘Create New Policy’ i przechodzimy do jej konfiguracji. Na tym etapie warto zastanowić się ustalić standardy nazewnictwa dla polis. Dzięki temu łatwiej będzie nimi zarządzać i wyszukiwać. W naszym przypadku użyliśmy schematu CA00X – ‘Nazwa Polisy’ (CA001 – Block Access To Company Outside EU). Następnie konfigurujemy polisę zgodnie z poniższym:
  • Polityka gotowa. Teraz możemy zweryfikować poprawność działania korzystając z narzędzia ‘What If’. Podajemy jakiego użytkownika będzie dotyczyła próba logowania, wybieramy wszystkie aplikacje oraz podajemy lokalizację z której będziemy wykonywać symulację logowania. Tutaj będziemy logować się z UE z Polski.
  • Jak widać logując się z Polski nie „łapiemy się w politykę” – czyli zalogujemy się bez problemu. Przeprowadzamy ten sam test logując z Kamerunu.
  • Tym razem „złapaliśmy się” w polisę blokującą dostęp do naszej organizacji. Czyli z Kamerunu nie zalogujemy się.
  • Ostatni test naszej konfiguracji będzie polegał na dodaniu naszego testowego użytkownika do grupy ‘Exclude Block Access Outside EU’ – efekt użytkownik powinien móc się zalogować nawet jeśli jest w kraju nienależącym do UE:

Efekt – testowy użytkownik dodany do grupy wykluczeń nie łapie się w polisę blokującą dostęp, czyli może się zalogować w przypadku wyjazdu wakacyjnego lub

służbowego poza granice UE.

Fakty

Zrealizowane projekty

0

Sprzedane licencje 

0

Oddziały w Polsce

0

Certyfikaty MS

0