Het wordt steeds belangrijker voor organisaties om het juiste beleid door te voeren dat technologieën omarmt en implementeert die helpen bij het afdwingen van zero trust-beveiliging.
Een van de principes van zero trust-beveiliging is het concept van continue authenticatie, waarbij de sessie-connectiviteit van een eindgebruiker of apparaat continu wordt gecontroleerd op veranderingen.
Als een account is uitgeschakeld of als de status van het apparaat, locatie van het apparaat veranderd, bestaat de kans dat een account gehackt wordt. Dit kan een interne (bijvoorbeeld een ontevreden ontslagen werknemer) of een externe dreiging zijn.
Continuous access evaluation
Met Continuous access evaluation (CEA) vindt er communicatie plaats waarbij belangrijke informatie bijna real-time geëvalueerd worden in plaats van tokens met een bepaalde geldigheidsduur.
Op de volgende gebeurtenissen kunnen dus gelijk geëvalueerd worden;
- een gebruikersaccount is verwijderd of uitgeschakeld
- een wachtwoord voor een gebruiker is gewijzigd of gereset
- MFA is ingeschakeld voor de gebruiker
- de beheerder trekt expliciet alle vernieuwingstokens voor een gebruiker in
- verhoogd gebruikersrisico gedetecteerd door Azure AD Identity Protection
Hoe ziet dit in de praktijk eruit?
Wanneer een gebruiker toegang krijgt tot een online service (bijvoorbeeld Exchange Online), worden verzoeken geautoriseerd via tokens. Deze worden verstrekt op het moment dat een succesvolle authenticatie plaatsvindt, met een standaard geldigheidsduur van één uur.
Gedurende deze tijd zijn alle verzoeken dus geautoriseerd. Hoewel we dit kunnen manipuleren met behulp van sessiecontroles via conditional access zijn we afhankelijk van een tijdsperiode voordat een verzoek wordt geweigerd. Dit is niet altijd ideaal.
Voorbeeld 1
Een beheerder moet de toegang tot een service onmiddellijk blokkeren door een account uit te schakelen. Onder het “normale” model wordt dus gewacht tot het token-vernieuwingsinterval is bereikt. Alleen dan wordt de toegang geweigerd, wat misschien niet wenselijk is (een ontevreden ontslagen werknemer).
Voorbeeld 2
Een gebruiker kan voldoen aan een beleid voor conditional access op basis van locatie (zoals het hoofdkantoor) en vervolgens binnen die sessie opnieuw verschijnen op een untrusted locatie.
In deze voorbeelden geven we de voorkeur aan dat de sessie ongeldig wordt gemaakt via het account dat wordt uitgeschakeld, of door het verzoek opnieuw te evalueren door conditional access.
Op dit moment is CAE alleen gericht op Exchange, Teams en SharePoint Online. Om te kunnen werken met CAE moeten wel de laatste clientversies van de applicaties geïnstalleerd zijn.
- Outlook for Windows
- Outlook iOS
- Outlook Android
- Outlook Mac
- Teams for Windows
- Teams iOS
- Teams Android
- Teams Mac
Continuous access evaluation in- of uitschakelen
- Meld je aan bij de Azure-portal als beheerder
- Ga naar Azure Active Directory > Security > Continuous access evaluation.
- Kies voor Enable of Disable