Διακυβέρνηση του Microsoft Entra Conditional Access το 2026

Είναι 09:12 μια Τρίτη όταν η Μαρία, η Επικεφαλής Ασφάλειας Πληροφοριών μιας ταχέως αναπτυσσόμενης ευρωπαϊκής fintech, ανοίγει μια αναφορά ετοιμότητας για DORA που θα έπρεπε να είναι τυπική. Ο πίνακας ελέγχου του Microsoft Entra Conditional Access δείχνει ισχυρός. Το MFA επιβάλλεται για τους διαχειριστές. Η αυθεντικοποίηση παλαιού τύπου έχει αποκλειστεί. Οι συνδέσεις υψηλού κινδύνου υπόκεινται σε πρόσθετη επαλήθευση ή απορρίπτονται. Οι ευαίσθητες χρηματοοικονομικές εφαρμογές απαιτούν συμμορφούμενες συσκευές. Η πρόσβαση μέσω προγράμματος περιήγησης από μη διαχειριζόμενα τερματικά σημεία περιορίζεται.

Στη συνέχεια διαβάζει το εύρημα του ελεγκτή.

«Οι κανόνες Conditional Access είναι τεχνικά ορθοί, αλλά λειτουργούν αποκομμένοι από το πλαίσιο διακυβέρνησης. Δείξτε μας την πολιτική, εγκεκριμένη από το Διοικητικό Συμβούλιο, που επιβάλλει αυτές τις ρυθμίσεις. Δείξτε μας το αρχείο αλλαγής για τον κανόνα που τροποποιήθηκε τον προηγούμενο μήνα. Δείξτε μας πώς η πολιτική για συνδέσεις υψηλού κινδύνου ήταν ενεργή κατά την ύποπτη επίθεση credential stuffing. Δείξτε μας πώς αυτά τα τεκμήρια υποστηρίζουν τα ISO 27001, DORA, NIS2 και GDPR.»

Η ομάδα διαχείρισης ταυτοτήτων μπορεί να εξαγάγει τη διαμόρφωση. Το SOC μπορεί να παρουσιάσει αρχεία καταγραφής συνδέσεων. Ο Διευθυντής Συμμόρφωσης μπορεί να παραπέμψει σε έναν φάκελο πολιτικών. Κανείς όμως δεν μπορεί να παρουσιάσει μια ενιαία, διακυβερνημένη αλυσίδα τεκμηρίων που συνδέει κίνδυνο, πολιτική, έγκριση, διαμόρφωση, εξαιρέσεις, παρακολούθηση, απόκριση σε περιστατικά, υποχρεώσεις ιδιωτικότητας και ανασκόπηση από τη Διοίκηση.

Αυτό είναι το πρόβλημα διακυβέρνησης του Conditional Access το 2026.

Το Microsoft Entra Conditional Access δεν είναι πλέον απλώς μια ρύθμιση διαχείρισης ταυτοτήτων. Είναι σύστημα ελέγχων σε επίπεδο Διοικητικού Συμβουλίου, το οποίο αποφασίζει ποιος μπορεί να έχει πρόσβαση σε υπηρεσίες νέφους, υπό ποιες προϋποθέσεις, από ποιες συσκευές, με ποια ισχύ αυθεντικοποίησης και με ποιους περιορισμούς συνεδρίας. Για ρυθμιζόμενους οργανισμούς, οι αποφάσεις αυτές πρέπει να είναι εξηγήσιμες, τεκμηριώσιμες και χαρτογραφημένες στις υποχρεώσεις των ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST και COBIT 2019.

Το Conditional Access είναι πλέον ελεγκτέο σύστημα ελέγχων

Το Conditional Access βρίσκεται στη διασταύρωση διαχείρισης ταυτοτήτων, κατάστασης ασφαλείας συσκευών, ευαισθησίας εφαρμογών, τοποθεσίας, κινδύνου σύνδεσης, κινδύνου χρήστη, συμπεριφοράς συνεδρίας και καταγραφής. Μια μεμονωμένη πολιτική μπορεί να απαιτεί MFA, να απαιτεί συμμορφούμενη συσκευή, να αποκλείει την πρόσβαση από επικίνδυνη τοποθεσία, να περιορίζει λήψεις από μη διαχειριζόμενα προγράμματα περιήγησης ή να επιβάλλει εκ νέου αυθεντικοποίηση όταν μεταβάλλεται ο κίνδυνος.

Αυτό το καθιστά ένα από τα ισχυρότερα σημεία επιβολής Zero Trust σε περιβάλλοντα Microsoft cloud. Το καθιστά επίσης εξαιρετικά ελεγκτέο.

Σύμφωνα με το ISO/IEC 27001:2022, ένας έλεγχος δεν θεωρείται ώριμος απλώς επειδή υπάρχει σε μια πύλη. Ο οργανισμός πρέπει να κατανοεί το πλαίσιό του, να αξιολογεί τους κινδύνους ασφάλειας πληροφοριών, να επιλέγει μέτρα αντιμετώπισης κινδύνων, να τεκμηριώνει τη Δήλωση Εφαρμοσιμότητας, να λειτουργεί τους ελέγχους, να παρακολουθεί την αποτελεσματικότητα και να βελτιώνεται διαχρονικά. Συναφείς ρήτρες περιλαμβάνουν τη ρήτρα 6.1.2 για την αξιολόγηση κινδύνων, τη ρήτρα 6.1.3 για την αντιμετώπιση κινδύνων, τη ρήτρα 7.5 για τεκμηριωμένες πληροφορίες, τη ρήτρα 8.1 για επιχειρησιακό σχεδιασμό και έλεγχο, τη ρήτρα 9.1 για παρακολούθηση και τη ρήτρα 9.3 για ανασκόπηση από τη Διοίκηση.

Το Παράρτημα A, ευθυγραμμισμένο με το ISO/IEC 27002:2022, παρέχει την πρακτική γλώσσα ελέγχων που αναγνωρίζουν οι ελεγκτές. Το Conditional Access συνήθως υποστηρίζει:

• 5.15 έλεγχος πρόσβασης
• 5.16 διαχείριση ταυτοτήτων
• 5.17 πληροφορίες αυθεντικοποίησης
• 5.18 δικαιώματα πρόσβασης
• 8.1 συσκευές τερματικών σημείων χρηστών
• 8.2 δικαιώματα προνομιακής πρόσβασης
• 8.3 περιορισμός πρόσβασης σε πληροφορίες
• 8.5 ασφαλής αυθεντικοποίηση
• 8.15 καταγραφή
• 8.16 δραστηριότητες παρακολούθησης

Για οργανισμούς που ρυθμίζονται στην ΕΕ, το βάρος της διακυβέρνησης είναι ακόμη σαφέστερο. Το NIS2 Article 20 αναθέτει στα διοικητικά όργανα την ευθύνη έγκρισης και εποπτείας των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας. Το NIS2 Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων του ελέγχου πρόσβασης, της διαχείρισης περιουσιακών στοιχείων, της κυβερνοϋγιεινής, του χειρισμού περιστατικών, της ασφάλειας εφοδιαστικής αλυσίδας, της αξιολόγησης αποτελεσματικότητας και της πολυπαραγοντικής ή συνεχούς αυθεντικοποίησης, όπου ενδείκνυται. Το NIS2 Article 23 εισάγει κλιμακωτή αναφορά σημαντικών περιστατικών, συμπεριλαμβανομένης έγκαιρης προειδοποίησης εντός 24 ωρών, κοινοποίησης περιστατικού εντός 72 ωρών και τελικής αναφοράς εντός ενός μήνα.

Το DORA θέτει αντίστοιχες προσδοκίες για χρηματοπιστωτικές οντότητες. Το Article 5 απαιτεί εσωτερικό πλαίσιο διακυβέρνησης και ελέγχου. Το Article 6 απαιτεί πλαίσιο διαχείρισης κινδύνων ΤΠΕ. Το Article 9 καλύπτει την προστασία και την πρόληψη, συμπεριλαμβανομένων περιορισμών πρόσβασης και πρακτικών διαχείρισης ταυτοτήτων. Τα Articles 10, 11, 17, 18 και 19 συνδέουν την ανίχνευση, την απόκριση, την ανάκαμψη, τη διαχείριση περιστατικών ΤΠΕ, την ταξινόμηση και την αναφορά. Δεδομένου ότι το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025, οι χρηματοπιστωτικές οντότητες πρέπει να αντιμετωπίζουν το Conditional Access ως μέρος των τεκμηρίων λειτουργικής ανθεκτικότητας και όχι απλώς ως σκλήρυνση της διαχείρισης ταυτοτήτων.

Το GDPR προσθέτει την οπτική της ιδιωτικότητας. Εάν το Conditional Access προστατεύει συστήματα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, υποστηρίζει τις αρχές λογοδοσίας του Article 5, την ευθύνη του υπευθύνου επεξεργασίας του Article 24, την προστασία δεδομένων ήδη από τον σχεδιασμό του Article 25 και την ασφάλεια της επεξεργασίας του Article 32. Εάν υπάρχει υποψία μη εξουσιοδοτημένης πρόσβασης, τα αρχεία καταγραφής Conditional Access μπορεί να αποτελέσουν μέρος των τεκμηρίων αξιολόγησης και κοινοποίησης παραβίασης.

Το σφάλμα είναι να αντιμετωπίζονται όλα αυτά ως ξεχωριστά αιτήματα ελέγχου. Η ώριμη προσέγγιση είναι ένα ενιαίο μοντέλο διακυβέρνησης Conditional Access, το οποίο μπορεί να παρουσιαστεί ανά πλαίσιο, ρυθμιστική αρχή, πελάτη ή κοινό σε επίπεδο Διοικητικού Συμβουλίου.

Η διαμόρφωση δεν είναι διακυβέρνηση

Οι περισσότεροι οργανισμοί μπορούν να απαντήσουν στο ερώτημα: «Τι έχει διαμορφωθεί;» Λιγότεροι μπορούν να απαντήσουν στα δυσκολότερα ερωτήματα:

• Γιατί έχει διαμορφωθεί έτσι αυτή η πολιτική Conditional Access;
• Ποιο σενάριο κινδύνου αντιμετωπίζει;
• Ποια ρήτρα πολιτικής το απαιτεί;
• Ποιος ενέκρινε την αλλαγή;
• Ποιοι χρήστες, εφαρμογές και συσκευές εξαιρούνται;
• Πώς δοκιμάζεται;
• Ποια αρχεία καταγραφής αποδεικνύουν ότι λειτούργησε;
• Πόσο συχνά ανασκοπείται;
• Τι συμβαίνει όταν αποτυγχάνει;

Εδώ εμφανίζονται συνήθως τα ευρήματα ελέγχου. Υπάρχουν πολιτικές, αλλά δεν συνδέονται με τις ρυθμίσεις Microsoft Entra. Η συμμόρφωση συσκευών ανήκει στις λειτουργίες Πληροφορικής, αλλά δεν χαρτογραφείται στον κίνδυνο ελέγχου πρόσβασης. Οι πολιτικές κινδύνου σύνδεσης είναι ενεργοποιημένες χωρίς τεκμηριωμένα κατώφλια ή κανόνες κλιμάκωσης. Οι περιορισμοί συνεδρίας έχουν διαμορφωθεί, αλλά δεν έχουν δοκιμαστεί ποτέ από μη διαχειριζόμενες συσκευές. Τα αρχεία καταγραφής διατηρούνται, αλλά δεν οργανώνονται ως ελεγκτικά τεκμήρια.

Η Clarysec το αντιμετωπίζει ως πρόβλημα ιχνηλασιμότητας. Κάθε απόφαση Conditional Access πρέπει να συνδέει πολιτική, κίνδυνο, έλεγχο, διαμόρφωση, τεκμήρια και ανασκόπηση.

Η Πολιτική Χρήσης Υπηρεσιών Νέφους για ΜΜΕ Πολιτική Χρήσης Υπηρεσιών Νέφους για ΜΜΕ αναφέρει:

Πολυπαραγοντική αυθεντικοποίηση (MFA) για διαχειριστικούς λογαριασμούς και λογαριασμούς χρηστών

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.2.2.

Η ρήτρα αυτή αποτελεί την εντολή. Ο κανόνας Conditional Access είναι η εφαρμογή. Το αρχείο καταγραφής σύνδεσης είναι το τεκμήριο. Το αρχείο ανασκόπησης αποδεικνύει την εποπτεία.

Η Πολιτική Ασφάλειας Δικτύου για ΜΜΕ Πολιτική Ασφάλειας Δικτύου για ΜΜΕ προσθέτει την απαίτηση κατάστασης ασφαλείας τερματικών σημείων:

Συστήματα χωρίς ενημερωμένο αντιιικό λογισμικό, διορθώσεις ασφαλείας ή αποδεκτή κατάσταση ασφαλείας συσκευής πρέπει να αποκλείονται ή να τίθενται σε καραντίνα

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.4.3.

Με όρους Microsoft Entra, αυτό μπορεί να μετατραπεί σε «απαίτηση συμμορφούμενης συσκευής», «αποκλεισμό μη υποστηριζόμενων πλατφορμών», «περιορισμό συνεδριών προγράμματος περιήγησης από μη διαχειριζόμενες συσκευές» ή «άρνηση πρόσβασης σε εφαρμογές υψηλού κινδύνου από άγνωστες συσκευές». Όμως ο έλεγχος δεν είναι πλήρης έως ότου ο οργανισμός μπορεί να αποδείξει πεδίο εφαρμογής, έγκριση, δοκιμές, εξαιρέσεις και παρακολούθηση.

Δημιουργήστε τη βάση διακυβέρνησης πριν από το σύνολο κανόνων

Ένα ισχυρό πρόγραμμα Conditional Access ξεκινά έξω από την πύλη Entra. Ξεκινά από το ISMS, το μητρώο κινδύνων, την πολιτική ελέγχου πρόσβασης, την πολιτική χρήσης υπηρεσιών νέφους, τη SoA και το μοντέλο τεκμηρίων.

Το Clarysec Zenith Blueprint: ο οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint παρέχει μια πρακτική ακολουθία. Στη φάση Διαχείρισης Κινδύνων, στο Βήμα 13, Σχεδιασμός Αντιμετώπισης Κινδύνων και Δήλωση Εφαρμοσιμότητας, καθοδηγεί τους οργανισμούς να συνδέουν ελέγχους με κινδύνους και κανονιστικούς οδηγούς:

Διασταυρώστε τις κανονιστικές απαιτήσεις: Εάν ορισμένοι έλεγχοι υλοποιούνται ειδικά για συμμόρφωση με GDPR, NIS2 ή DORA, μπορείτε να το σημειώσετε είτε στο Μητρώο Κινδύνων (ως μέρος της αιτιολόγησης του αντικτύπου κινδύνου) είτε στις σημειώσεις της SoA.

Για το Conditional Access, αυτό αλλάζει την αφήγηση τεκμηρίων. Αντί να πει «Ενεργοποιήσαμε το MFA», ο οργανισμός μπορεί να πει:

• Σενάριο κινδύνου: Παραβιασμένα διαπιστευτήρια χρήστη επιτρέπουν μη εξουσιοδοτημένη πρόσβαση σε δεδομένα πελατών στο Microsoft 365 και σε χρηματοοικονομικό SaaS.
• Ιδιοκτήτης κινδύνου: Επικεφαλής Ασφάλειας Πληροφορικής.
• Αντιμετώπιση: Το Entra Conditional Access απαιτεί ισχυρό MFA για προνομιακούς ρόλους, MFA για χρήστες, αποκλεισμό βάσει κινδύνου σύνδεσης, συμμορφούμενες συσκευές για ευαίσθητες εφαρμογές και περιορισμούς συνεδρίας για μη διαχειριζόμενα τερματικά σημεία.
• Χαρτογράφηση ISO/IEC 27002:2022: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 και 8.16.
• Κανονιστική χαρτογράφηση: NIS2 Articles 20, 21 και 23, DORA Articles 5, 6, 9, 10, 17 και 18, GDPR Articles 24, 25, 32 και 33.
• Τεκμήρια: Έγκριση πολιτικής, εξαγωγή Conditional Access, δελτίο αλλαγής, αποτελέσματα δοκιμών, αρχεία καταγραφής συνδέσεων, αναφορές συμμόρφωσης συσκευών, μητρώο εξαιρέσεων, δελτία SOC και πρακτικά ανασκόπησης από τη Διοίκηση.

Το Zenith Blueprint εξηγεί επίσης στη φάση «Έλεγχοι σε λειτουργία», στο Βήμα 19, γιατί η κατάσταση ασφαλείας τερματικών σημείων πρέπει να αποτελεί μέρος της απόφασης πρόσβασης:

Η πρόσβαση σε πληροφορίες μέσω τερματικών σημείων πρέπει να λαμβάνει υπόψη το πλαίσιο. Για παράδειγμα, πληροί η συσκευή τα ελάχιστα πρότυπα ασφάλειας πριν αποκτήσει πρόσβαση σε εταιρικούς πόρους; Έχει περάσει πρόσφατα σάρωση για κακόβουλο λογισμικό; Συνδέεται από ασυνήθιστη τοποθεσία ή δίκτυο; Με την ενσωμάτωση αρχών μηδενικής εμπιστοσύνης, η κατάσταση ασφαλείας τερματικών σημείων μπορεί να τροφοδοτεί το conditional access, αρνούμενη την είσοδο έως ότου η συσκευή αποδείξει ότι είναι ασφαλής.

Αυτή είναι η βασική αρχή διακυβέρνησης. Το Conditional Access πρέπει να βασίζεται στον κίνδυνο, να λαμβάνει υπόψη το πλαίσιο και να παράγει τεκμήρια.

Χαρτογραφήστε τις αποφάσεις Conditional Access σε στόχους ελέγχου

Ένα ώριμο πρόγραμμα ορίζει τυποποιημένες αποφάσεις πρόσβασης και στη συνέχεια χαρτογραφεί καθεμία στην πρόθεση διακυβέρνησης και στα τεκμήρια. Αυτό αποτρέπει την ανεξέλεγκτη διόγκωση πολιτικών και διευκολύνει τις συζητήσεις με τους ελεγκτές.

Η εταιρική Πολιτική Χρήσης Υπηρεσιών Νέφους Πολιτική Χρήσης Υπηρεσιών Νέφους υποστηρίζει την κεντρική ενσωμάτωση ταυτοτήτων:

Απαιτείται ενσωμάτωση Single Sign-On (SSO) με τον IdP του οργανισμού, ώστε να διασφαλίζεται συνέπεια στην αυθεντικοποίηση.

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.2.4.

Η εταιρική Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων καθιστά την παρακολούθηση ρητή:

Η χρήση συστημάτων Single Sign-On (SSO) πρέπει να ενσωματώνεται με κεντρικούς παρόχους ταυτότητας (π.χ. Active Directory (AD), Azure AD) και να παρακολουθείται για ανώμαλη δραστηριότητα σύνδεσης.

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.3.4.

Μαζί, αυτές οι ρήτρες απαιτούν περισσότερα από SSO. Απαιτούν κεντρική αρχιτεκτονική ταυτοτήτων, συνεπή αυθεντικοποίηση, παρακολούθηση ανώμαλων συνδέσεων και τεκμήρια ότι οι αποφάσεις πρόσβασης ανασκοπούνται.

Συμμόρφωση συσκευών: ο έλεγχος που μπορούν να δοκιμάσουν οι ελεγκτές

Η συμμόρφωση συσκευών είναι ένας από τους ευκολότερους τομείς για υπερβολικούς ισχυρισμούς. Ένας πίνακας ελέγχου μπορεί να εμφανίζει 92 τοις εκατό συμμορφούμενες συσκευές, αλλά ο ελεγκτής θα ρωτήσει αν ο κανόνας εφαρμόζεται στις εφαρμογές που έχουν σημασία, αν επιτρέπονται προσωπικές συσκευές, αν αποκλείονται μη υποστηριζόμενες πλατφόρμες και αν οι εξαιρέσεις έχουν εγκριθεί.

Η εταιρική Πολιτική Τηλεργασίας Πολιτική Τηλεργασίας θέτει τη βασική γραμμή έγκρισης:

Οι συσκευές BYOD πρέπει να εγκρίνονται ρητά και:

Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.2.2.

Αυτή η σύντομη πρόταση έχει σημασία. Το BYOD δεν είναι απλώς τεχνική κατάσταση. Είναι απόφαση διακυβέρνησης. Στο Conditional Access, πρέπει να μεταφράζεται σε κανόνες ιδιοκτησίας συσκευών, ελάχιστες βασικές γραμμές συμμόρφωσης, απαιτήσεις κρυπτογράφησης, ελέγχους διορθώσεων και προστασίας από κακόβουλο λογισμικό, προστασία εφαρμογών κινητών, χειρισμό αναδόχων και ανασκόπηση εξαιρέσεων.

Το Clarysec Zenith Controls: ο οδηγός διατομεακής συμμόρφωσης Zenith Controls χαρτογραφεί τον έλεγχο ISO/IEC 27002:2022 5.15 έλεγχος πρόσβασης ως προληπτικό, προστατεύοντας την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα στην επιχειρησιακή ικανότητα διαχείρισης ταυτοτήτων και πρόσβασης. Συνδέει επίσης τον έλεγχο πρόσβασης με τις συσκευές τερματικών σημείων χρηστών, επειδή μη διαχειριζόμενοι φορητοί υπολογιστές, κινητά και επιτραπέζιοι υπολογιστές μπορούν να υπονομεύσουν την κεντρική επιβολή πρόσβασης.

Ένα πρακτικό τριμηνιαίο πακέτο τεκμηρίων συσκευών Conditional Access πρέπει να περιλαμβάνει:

• Εγκεκριμένη βασική γραμμή συμμόρφωσης συσκευών.
• Πολιτικές Conditional Access που απαιτούν συμμορφούμενες συσκευές.
• Εφαρμογές που προστατεύονται από αυτές τις πολιτικές.
• Εξαγωγή εξαιρούμενων χρηστών, ομάδων, εφαρμογών και πλατφορμών.
• Αναφορά τάσεων μη συμμορφούμενων συσκευών.
• Δείγμα αρχείων καταγραφής αποκλεισμένων συνδέσεων για μη συμμορφούμενες συσκευές.
• Μητρώο Εξαιρέσεων με ιδιοκτήτη, αιτιολογία, ημερομηνία λήξης και αποδοχή κινδύνου.
• Αρχείο ανασκόπησης από τη Διοίκηση.

Αυτό το πακέτο τεκμηρίων υποστηρίζει τον επιχειρησιακό έλεγχο ISO/IEC 27001:2022, την κυβερνοϋγιεινή NIS2, την προστασία και πρόληψη DORA και τη λογοδοσία GDPR.

Κίνδυνος σύνδεσης: η ανίχνευση πρέπει να γίνει τεκμήριο απόφασης

Το Conditional Access βάσει κινδύνου είναι το σημείο όπου η ανίχνευση ταυτότητας μετατρέπεται σε διακυβέρνηση πρόσβασης. Το Microsoft Entra μπορεί να αξιολογεί σήματα όπως άγνωστα χαρακτηριστικά σύνδεσης, ανώνυμες διευθύνσεις IP, αδύνατη μετακίνηση και διαρροή διαπιστευτηρίων. Όμως οι ελεγκτές δεν θα δεχθούν την απάντηση «η πολιτική κινδύνου είναι ενεργοποιημένη» ως τελική. Θα ρωτήσουν γιατί επιλέχθηκαν τα κατώφλια, ποιος ανασκοπεί τα συμβάντα κινδύνου και πότε μια σύνδεση υψηλού κινδύνου γίνεται περιστατικό.

Η Πολιτική Καταγραφής και Παρακολούθησης για ΜΜΕ Πολιτική Καταγραφής και Παρακολούθησης για ΜΜΕ ορίζει ελάχιστη απαίτηση καταγραφής:

Αρχεία καταγραφής αυθεντικοποίησης: Επιτυχείς και αποτυχημένες απόπειρες σύνδεσης, διάρκεια συνεδρίας, χρήση MFA

Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.4.2.

Η εταιρική Πολιτική Καταγραφής και Παρακολούθησης Πολιτική Καταγραφής και Παρακολούθησης διευρύνει το αναμενόμενο σύνολο συμβάντων:

Τύποι συμβάντων που πρέπει να καταγράφονται (π.χ. συνδέσεις, αποτυχίες πρόσβασης, αλλαγές διαμόρφωσης, διαχειριστικές εντολές, ανίχνευση κακόβουλου λογισμικού)

Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.1.1.

Για το Conditional Access, τα χρήσιμα τεκμήρια πρέπει να περιλαμβάνουν επιτυχείς συνδέσεις, αποτυχημένες συνδέσεις, αποτέλεσμα πολιτικής Conditional Access, μέθοδο MFA, κίνδυνο σύνδεσης, κίνδυνο χρήστη, κατάσταση συμμόρφωσης συσκευής, εφαρμογή στην οποία έγινε πρόσβαση, τοποθεσία, εφαρμογή-πελάτη, αποτέλεσμα ελέγχου συνεδρίας, ιστορικό αλλαγών πολιτικής και διαχειριστικές ενέργειες.

Το Zenith Controls χαρτογραφεί τον έλεγχο ISO/IEC 27002:2022 8.16 δραστηριότητες παρακολούθησης ως ανιχνευτικό και διορθωτικό, συνδεδεμένο με τις έννοιες Detect και Respond. Συνδέει την παρακολούθηση με την καταγραφή, την αξιολόγηση συμβάντων, τις πληροφορίες απειλών, την παρακολούθηση προμηθευτών και τη διαχείριση περιστατικών. Επίσης, χαρτογραφεί τις δραστηριότητες παρακολούθησης στα GDPR Articles 32 και 33, στην παρακολούθηση και αναφορά περιστατικών NIS2, στην παρακολούθηση περιστατικών ΤΠΕ DORA, στη συνεχή παρακολούθηση NIST και στην παρακολούθηση ασφάλειας COBIT.

Μια σύνδεση υψηλού κινδύνου που αποκλείεται από το Conditional Access δεν είναι απλώς επιτυχία ασφάλειας. Είναι τεκμήριο ότι οι προληπτικές, ανιχνευτικές και αποκρινόμενες διαδικασίες είναι συνδεδεμένες.

Έλεγχοι συνεδρίας: ο σύνδεσμος μεταξύ πρόσβασης και προστασίας δεδομένων

Οι αποφάσεις πριν από την πρόσβαση δεν αρκούν. Αφού αυθεντικοποιηθεί ο χρήστης, οι έλεγχοι συνεδρίας καθορίζουν πόση έκθεση παραμένει. Αυτό είναι ιδιαίτερα σημαντικό για μη διαχειριζόμενες συσκευές, αναδόχους, τηλεργασία, κοινόχρηστα τερματικά, επικίνδυνες τοποθεσίες και εφαρμογές που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.

Η Πολιτική Απαιτήσεων Ασφάλειας Εφαρμογών για ΜΜΕ Πολιτική Απαιτήσεων Ασφάλειας Εφαρμογών για ΜΜΕ αναφέρει:

Διαχείριση συνεδρίας: Τα δεδομένα συνεδρίας πρέπει να λήγουν μετά από 15 λεπτά αδράνειας και να περιλαμβάνουν προειδοποιήσεις χρονικού ορίου, όπου εφαρμόζεται.

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.3.

Στη διακυβέρνηση Microsoft Entra, αυτό μπορεί να χαρτογραφηθεί σε συχνότητα σύνδεσης, περιορισμούς μόνιμων συνεδριών προγράμματος περιήγησης, Conditional Access App Control, περιορισμούς που επιβάλλονται από την εφαρμογή, αποκλεισμό λήψεων, εκ νέου αυθεντικοποίηση μετά από μεταβολές κινδύνου και περιορισμούς συνεδρίας βάσει ευαισθησίας.

Οι έλεγχοι συνεδρίας υποστηρίζουν τους ελέγχους ISO/IEC 27002:2022 8.3 περιορισμός πρόσβασης σε πληροφορίες και 8.5 ασφαλής αυθεντικοποίηση. Υποστηρίζουν επίσης το GDPR Article 32 μειώνοντας τη μη εξουσιοδοτημένη προβολή, λήψη ή διατήρηση πρόσβασης σε δεδομένα προσωπικού χαρακτήρα. Για το DORA, οι περιορισμοί συνεδρίας βοηθούν στον περιορισμό της έκθεσης σε συστήματα ΤΠΕ και υποστηρίζουν την ανίχνευση και απόκριση. Για το NIS2, αποτελούν αναλογικά μέτρα ελέγχου πρόσβασης και κυβερνοϋγιεινής.

Τα τεκμήρια πρέπει να εξηγούν γιατί υπάρχει ο έλεγχος συνεδρίας. Για παράδειγμα, ο «αποκλεισμός λήψεων από μη διαχειριζόμενες συσκευές για εφαρμογές HR και οικονομικών» πρέπει να χαρτογραφείται στη διαρροή δεδομένων προσωπικού χαρακτήρα, στον συμβιβασμό τερματικών σημείων και στην απώλεια εμπιστευτικότητας. Τα τεκμήρια πρέπει να περιλαμβάνουν διαμόρφωση, πεδίο εφαρμογών, δοκιμαστικές συνδέσεις από διαχειριζόμενες και μη διαχειριζόμενες συσκευές, αρχεία καταγραφής που δείχνουν τους περιορισμούς και αρχεία έγκρισης.

Δημιουργήστε Μητρώο Ελέγχων Conditional Access

Το Μητρώο Ελέγχων Conditional Access είναι η επιχειρησιακή γέφυρα μεταξύ του μητρώου κινδύνων, της Δήλωσης Εφαρμοσιμότητας και της διαμόρφωσης Microsoft Entra. Δεν αντικαθιστά αυτά τα έγγραφα. Τα καθιστά αξιοποιήσιμα.

Χρησιμοποιήστε κύκλο ανασκόπησης πέντε βημάτων:

1. Επιβεβαίωση πεδίου εφαρμογής: Εντοπίστε εφαρμογές νέφους που επεξεργάζονται ρυθμιζόμενα, χρηματοοικονομικά, επιχειρησιακά ή δεδομένα προσωπικού χαρακτήρα.
2. Χαρτογράφηση πολιτικών σε κινδύνους: Συνδέστε κάθε πολιτική Conditional Access με τουλάχιστον ένα σενάριο κινδύνου και έναν ιδιοκτήτη κινδύνου.
3. Επικύρωση εξαιρέσεων: Εξαγάγετε εξαιρούμενους χρήστες, ρόλους, εφαρμογές, ομάδες, τοποθεσίες και συσκευές. Κάθε εξαίρεση χρειάζεται ιδιοκτήτη, αιτιολογία, έγκριση και ημερομηνία λήξης.
4. Δοκιμή εφαρμογής: Χρησιμοποιήστε λογαριασμούς δοκιμών για να επαληθεύσετε MFA, συμμόρφωση συσκευών, αποκλεισμό βάσει κινδύνου, αποκλεισμό αυθεντικοποίησης παλαιού τύπου και περιορισμούς συνεδρίας.
5. Συσκευασία τεκμηρίων: Αποθηκεύστε εξαγωγές, στιγμιότυπα οθόνης, αρχεία καταγραφής και εγκρίσεις μαζί με μεταδεδομένα.

Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ είναι κρίσιμη για την ακεραιότητα των τεκμηρίων:

Τα μεταδεδομένα (π.χ. ποιος τα συνέλεξε, πότε και από ποιο σύστημα) πρέπει να τεκμηριώνονται.

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.2.3.

Στιγμιότυπα οθόνης χωρίς πηγή, ημερομηνία, συλλέκτη και πλαίσιο συστήματος αποτελούν αδύναμα τεκμήρια. Οι εξαγωγές Conditional Access, τα αρχεία καταγραφής συνδέσεων και οι αναφορές ανασκόπησης πρέπει να αντιμετωπίζονται ως ελεγχόμενα αρχεία ελέγχου.

Χαρτογράφηση διατομεακής συμμόρφωσης για τεκμήρια Conditional Access

Η αξία του Conditional Access είναι ότι ένα σύνολο ελέγχων μπορεί να ικανοποιήσει πολλαπλές οπτικές ελέγχου όταν διακυβερνάται σωστά.

Το Zenith Controls χαρτογραφεί επίσης το 5.15 έλεγχος πρόσβασης στο GDPR Article 32, στο NIS2 Article 21(2)(i), σε έννοιες διακυβέρνησης πρόσβασης DORA, στις οικογένειες ελέγχων πρόσβασης NIST SP 800-53 και στο COBIT 2019 DSS06.04. Χαρτογραφεί το 8.5 ασφαλής αυθεντικοποίηση στα GDPR Articles 5, 24, 25 και 32, στη διαχείριση κινδύνων κυβερνοασφάλειας NIS2, στη διαχείριση κινδύνων ΤΠΕ DORA, στην ταυτοποίηση και αυθεντικοποίηση NIST και στη διαχείριση ταυτοτήτων και λογικής πρόσβασης COBIT.

Το συμπέρασμα είναι απλό. Τα πλαίσια χρησιμοποιούν διαφορετική γλώσσα, αλλά αναμένουν το ίδιο πρότυπο διασφάλισης: οι σωστοί χρήστες, από αποδεκτά πλαίσια, με ισχυρή αυθεντικοποίηση, μέσω διακυβερνημένων συνεδριών και με αρχεία καταγραφής που αποδεικνύουν τι συνέβη.

Πώς θα εξετάσουν οι ελεγκτές το Conditional Access

Ένας ελεγκτής ISO/IEC 27001:2022 θα ξεκινήσει από το ISMS. Θα ρωτήσει αν το Conditional Access βρίσκεται εντός πεδίου εφαρμογής, ποιους κινδύνους αντιμετωπίζει, πώς εμφανίζεται στη SoA, πώς εγκρίνονται οι πολιτικές, πώς ελέγχονται οι αλλαγές και αν τα τεκμήρια αποδεικνύουν τη λειτουργική αποτελεσματικότητα. Αναμένεται δειγματοληψία προνομιακών χρηστών, ευαίσθητων εφαρμογών, εξαιρέσεων και πρόσφατων αλλαγών πολιτικής.

Ένας ελεγκτής DORA ή NIS2 θα εστιάσει στη λειτουργική ανθεκτικότητα, στη λογοδοσία της διοίκησης και στον κίνδυνο. Μπορεί να ρωτήσει πώς οι έλεγχοι πρόσβασης προστατεύουν κρίσιμες ή σημαντικές λειτουργίες, πώς το Διοικητικό Συμβούλιο εποπτεύει τον κίνδυνο ταυτότητας, πώς οι συνδέσεις υψηλού κινδύνου υποβάλλονται σε αρχική αξιολόγηση και αν οι αποτυχίες πρόσβασης τροφοδοτούν αποφάσεις ταξινόμησης ή αναφοράς περιστατικών.

Ένας ελεγκτής με εστίαση στο GDPR θα ενδιαφερθεί για τα δεδομένα προσωπικού χαρακτήρα. Μπορεί να ρωτήσει πώς προστατεύονται τα δεδομένα HR, οικονομικών ή πελατών από μη διαχειριζόμενες συσκευές, πώς οι έλεγχοι συνεδρίας μειώνουν τη μη εξουσιοδοτημένη προβολή, πώς η πρόσβαση περιορίζεται σε εξουσιοδοτημένους χρήστες και πώς τα αρχεία καταγραφής υποστηρίζουν την αξιολόγηση παραβίασης.

Ένας αξιολογητής COBIT 2019 θα αναζητήσει πρακτικές διακυβέρνησης, ιδιοκτησία, μετρικές, επαναληψιμότητα, παρακολούθηση απόδοσης και βελτίωση. Ένας αξιολογητής προσανατολισμένος στο NIST θα συγκρίνει τα αποτελέσματα διαχείρισης ταυτοτήτων, αυθεντικοποίησης, εξουσιοδότησης, παρακολούθησης και απόκρισης με τεχνικά τεκμήρια.

Η εταιρική Πολιτική Ελέγχου Πρόσβασης Πολιτική Ελέγχου Πρόσβασης θέτει τον τόνο για την προνομιακή πρόσβαση:

Η διαχειριστική πρόσβαση πρέπει να ελέγχεται αυστηρά μέσω:

Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.4.1.

Τα τεκμήρια Microsoft Entra πρέπει να ολοκληρώνουν επιχειρησιακά αυτή την πρόταση. Ποιοι ρόλοι είναι προνομιακοί; Ποιοι απαιτούν MFA ανθεκτικό στο phishing ή ισχυρό MFA; Ποιοι είναι επιλέξιμοι μέσω διαχείρισης προνομιακών ταυτοτήτων; Ποιοι λογαριασμοί είναι break-glass; Ποιοι εξαιρούνται από πολιτικές; Ποιος τους ανασκοπεί; Πού αποστέλλονται οι ειδοποιήσεις;

Μετρικές Διοικητικού Συμβουλίου για τη διακυβέρνηση Conditional Access

Επειδή το NIS2 και το DORA δίνουν έμφαση στη λογοδοσία της διοίκησης, οι αναφορές Conditional Access πρέπει να είναι κατανοητές σε επίπεδο Διοικητικού Συμβουλίου. Αποφύγετε να αναφέρετε μόνο ονόματα πολιτικών. Αναφέρετε τη στάση κινδύνου και την απόδοση ελέγχων.

Χρήσιμες μετρικές περιλαμβάνουν:

• Ποσοστό προνομιακών λογαριασμών που προστατεύονται με ισχυρό MFA.
• Αριθμός εξαιρέσεων Conditional Access ανά βαθμίδα κινδύνου.
• Αριθμός συνδέσεων υψηλού κινδύνου που αποκλείστηκαν, υποβλήθηκαν σε πρόσθετη επαλήθευση ή επιτράπηκαν.
• Ποσοστό πρόσβασης σε ευαίσθητες εφαρμογές που απαιτεί συμμορφούμενες συσκευές.
• Αριθμός συνεδριών από μη διαχειριζόμενες συσκευές προς ρυθμιζόμενες εφαρμογές.
• Χρόνος αρχικής αξιολόγησης συμβάντων σύνδεσης υψηλού κινδύνου.
• Αριθμός αλλαγών πολιτικών Conditional Access στο τρίμηνο.
• Αριθμός ληγμένων, ανανεωμένων και εκπρόθεσμων εξαιρέσεων.
• Κάλυψη καταγραφής αυθεντικοποίησης, συνεδριών και αλλαγών πολιτικής.
• Αποτυχημένες περιπτώσεις δοκιμών από την τριμηνιαία επικύρωση Conditional Access.

Αυτές οι μετρικές μετατρέπουν τη διαμόρφωση διαχείρισης ταυτοτήτων σε τεκμήρια εποπτείας. Βοηθούν επίσης τα διοικητικά όργανα να αποδεικνύουν έγκριση, ανασκόπηση, διάθεση πόρων και συνεχή βελτίωση.

Συνήθη ευρήματα που πρέπει να εξαλειφθούν πριν από τον έλεγχο

Τα ευρήματα Conditional Access συνήθως προέρχονται από αδυναμία διακυβέρνησης και όχι από τεχνολογική αποτυχία. Τα συνηθέστερα ζητήματα περιλαμβάνουν:

• Οι λογαριασμοί διαχειριστή break-glass εξαιρούνται αλλά δεν παρακολουθούνται.
• Οι πολιτικές ονομάζονται ασυνεπώς και δεν έχουν ιδιοκτήτες.
• Οι ευαίσθητες εφαρμογές απουσιάζουν από τους κανόνες συμμόρφωσης συσκευών.
• Οι επισκέπτες χρήστες και οι εξωτερικοί συνεργάτες παρακάμπτουν τους τυπικούς ελέγχους.
• Οι λογαριασμοί υπηρεσίας και οι workload identities δεν διακυβερνώνται ξεχωριστά.
• Οι ανιχνεύσεις κινδύνου σύνδεσης δεν υποβάλλονται σε αρχική αξιολόγηση ούτε συνδέονται με περιστατικά.
• Οι έλεγχοι συνεδρίας δεν δοκιμάζονται ποτέ από μη διαχειριζόμενες συσκευές.
• Οι αλλαγές πολιτικής γίνονται απευθείας στο περιβάλλον παραγωγής χωρίς αρχεία αλλαγών.
• Οι εξαιρέσεις είναι μόνιμες, ατεκμηρίωτες ή εγκεκριμένες προφορικά.
• Τα αρχεία καταγραφής διατηρούνται αλλά δεν ανασκοπούνται.
• Τα τεκμήρια δεν διαθέτουν μεταδεδομένα, πλαίσιο πηγής ή αλυσίδα επιμέλειας.

Μια κατάσταση-στόχος έτοιμη για το 2026 διαθέτει εγκεκριμένη από τη διοίκηση διακυβέρνηση πρόσβασης, σχεδιασμό Conditional Access βάσει κινδύνου, ρητή χαρτογράφηση ISO/IEC 27001:2022 και ISO/IEC 27002:2022, τεκμηριωμένη υποστήριξη NIS2, DORA και GDPR, ισχυρό MFA ανά ρόλο και κίνδυνο, συμμόρφωση συσκευών για ευαίσθητη πρόσβαση, περιορισμούς συνεδρίας για μη διαχειριζόμενα πλαίσια, παρακολουθούμενη αυθεντικοποίηση και αλλαγές πολιτικής, κύκλο ζωής εξαιρέσεων, τριμηνιαίες δοκιμές και αναφορές προς τη διοίκηση.

Μετατρέψτε το Microsoft Entra σε τεκμήρια έτοιμα για έλεγχο

Οι πολιτικές Conditional Access λαμβάνουν ήδη αποφάσεις ασφάλειας κάθε λεπτό. Το ερώτημα είναι αν αυτές οι αποφάσεις διακυβερνώνται, βασίζονται στον κίνδυνο, παρακολουθούνται και χαρτογραφούνται στις υποχρεώσεις που ενδιαφέρουν τους ελεγκτές και τις ρυθμιστικές αρχές σας.

Ξεκινήστε με το Zenith Blueprint Zenith Blueprint, ιδίως με το Βήμα 13, για να συνδέσετε τις πολιτικές Conditional Access με κινδύνους, αντιμετωπίσεις, τη Δήλωση Εφαρμοσιμότητας και κανονιστικές σημειώσεις. Χρησιμοποιήστε το Zenith Controls Zenith Controls για να χαρτογραφήσετε τον έλεγχο πρόσβασης, την ασφαλή αυθεντικοποίηση, την κατάσταση ασφαλείας τερματικών σημείων, την καταγραφή και την παρακολούθηση σε ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST και COBIT 2019.

Στη συνέχεια, ευθυγραμμίστε τις εσωτερικές απαιτήσεις σας με τις πολιτικές της Clarysec, συμπεριλαμβανομένων των Πολιτική Χρήσης Υπηρεσιών Νέφους για ΜΜΕ, Πολιτική Ασφάλειας Δικτύου για ΜΜΕ, Πολιτική Καταγραφής και Παρακολούθησης για ΜΜΕ, Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ, Πολιτική Απαιτήσεων Ασφάλειας Εφαρμογών για ΜΜΕ, Πολιτική Χρήσης Υπηρεσιών Νέφους, Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων, Πολιτική Τηλεργασίας, Πολιτική Ελέγχου Πρόσβασης και Πολιτική Καταγραφής και Παρακολούθησης.

Η Clarysec σας βοηθά να μετατρέψετε το Microsoft Entra Conditional Access από μια συλλογή ρυθμίσεων σε εφαρμόσιμο, μετρήσιμο και έτοιμο για έλεγχο σύστημα ελέγχων. Κατεβάστε τα σχετικά toolkits της Clarysec, ζητήστε ανασκόπηση χαρτογράφησης πολιτικών ή προγραμματίστε μια αξιολόγηση για να δείτε αν τα τεκμήρια Conditional Access μπορούν να αντέξουν σε έλεγχο ISO 27001, NIS2, DORA και GDPR.