Microsoft Entra Conditional Access irányítása 2026-ban

Kedd reggel 09:12 van, amikor Maria, egy gyorsan növekvő európai fintech információbiztonsági vezetője (CISO) megnyit egy DORA-felkészültségi jelentést, amelynek rutinszerűnek kellene lennie. A Microsoft Entra Conditional Access irányítópultja erős képet mutat. Az MFA érvényesítve van az adminisztrátorokra. Az örökölt hitelesítés blokkolva van. A magas kockázatú bejelentkezések további ellenőrzést kapnak, vagy elutasításra kerülnek. Az érzékeny pénzügyi alkalmazásokhoz megfelelő eszközök szükségesek. A nem felügyelt végpontokról indított böngészős hozzáférés korlátozott.

Ezután elolvassa az auditor megállapítását.

„A Conditional Access szabályaik technikailag megfelelőek, de elszigetelten működnek. Mutassák be az igazgatóság által jóváhagyott szabályzatot, amely előírja ezeket a beállításokat. Mutassák be a múlt hónapban módosított szabály változásbejegyzését. Mutassák be, hogy a magas kockázatú bejelentkezésekre vonatkozó szabályzat aktív volt a feltételezett credential stuffing támadás idején. Mutassák be, hogyan támogatják ezek a bizonyítékok az ISO 27001, DORA, NIS2 és GDPR követelményeit.”

Az identitáskezelési csapat exportálni tudja a konfigurációt. A SOC be tudja mutatni a bejelentkezési naplókat. A megfelelőségi vezető hivatkozni tud egy szabályzatmappára. De senki sem tud előállítani egyetlen, irányított bizonyítékláncot, amely összekapcsolja a kockázatot, a szabályzatot, a jóváhagyást, a konfigurációt, a kivételeket, a monitorozást, az incidenskezelést, az adatvédelmi kötelezettségeket és a vezetőségi felülvizsgálatot.

Ez a Conditional Access irányítási problémája 2026-ban.

A Microsoft Entra Conditional Access már nem pusztán identitásbeállítás. Igazgatósági szintű kontrollrendszer, amely meghatározza, ki férhet hozzá a felhőszolgáltatásokhoz, milyen feltételekkel, mely eszközökről, milyen hitelesítési erősséggel és milyen munkamenet-korlátozások mellett. Szabályozott szervezeteknél ezeknek a döntéseknek magyarázhatónak, igazolhatónak és az ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST és COBIT 2019 szerinti kötelezettségekhez leképezettnek kell lenniük.

A Conditional Access ma már auditálható kontrollrendszer

A Conditional Access az identitás, az eszközállapot, az alkalmazásérzékenység, a hely, a bejelentkezési kockázat, a felhasználói kockázat, a munkamenet-viselkedés és a naplózás metszéspontjában működik. Egyetlen szabályzat előírhat MFA-t, megkövetelhet megfelelő eszközt, blokkolhat kockázatos helyről érkező hozzáférést, korlátozhatja a letöltést nem felügyelt böngészőkből, vagy kockázatváltozás esetén újrahitelesítést kényszeríthet ki.

Ez a Microsoft felhőkörnyezetek egyik legerősebb Zero Trust végrehajtási pontjává teszi. Ugyanez egyben erősen auditálhatóvá is teszi.

Az ISO/IEC 27001:2022 szerint egy kontroll nem pusztán attól érett, hogy létezik egy portálon. A szervezetnek értenie kell a kontextusát, értékelnie kell az információbiztonsági kockázatokat, ki kell választania a kockázatkezelési intézkedéseket, dokumentálnia kell az alkalmazhatósági nyilatkozatot, működtetnie kell a kontrollokat, nyomon kell követnie azok eredményességét, és idővel fejlesztenie kell azokat. Releváns pontok: Clause 6.1.2 a kockázatértékelésre, Clause 6.1.3 a kockázatkezelésre, Clause 7.5 a dokumentált információkra, Clause 8.1 a működéstervezésre és -szabályozásra, Clause 9.1 a monitorozásra és Clause 9.3 a vezetőségi felülvizsgálatra.

Az ISO/IEC 27002:2022-vel összhangban álló Annex A adja azt a gyakorlati kontrollnyelvezetet, amelyet az auditorok felismernek. A Conditional Access jellemzően a következőket támogatja:

• 5.15 Hozzáférés-szabályozás
• 5.16 Identitáskezelés
• 5.17 Hitelesítési információk
• 5.18 Hozzáférési jogosultságok
• 8.1 Felhasználói végponti eszközök
• 8.2 Kiemelt hozzáférési jogosultságok
• 8.3 Információ-hozzáférés korlátozása
• 8.5 Biztonságos hitelesítés
• 8.15 Naplózás
• 8.16 Monitorozási tevékenységek

Az EU-ban szabályozott szervezeteknél az irányítási teher még egyértelműbb. A NIS2 Article 20 a vezető testületek felelősségévé teszi a kiberbiztonsági kockázatkezelési intézkedések jóváhagyását és felügyeletét. A NIS2 Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket ír elő, beleértve a hozzáférés-szabályozást, az eszközkezelést, a kiberhigiéniát, az incidenskezelést, az ellátási lánc biztonságát, az eredményesség értékelését, valamint adott esetben a többtényezős vagy folyamatos hitelesítést. A NIS2 Article 23 szakaszos jelentéstételt vezet be a jelentős incidensekre, beleértve a 24 órán belüli korai figyelmeztetést, a 72 órán belüli incidensbejelentést és az egy hónapon belüli zárójelentést.

A DORA hasonló elvárásokat támaszt a pénzügyi szervezetekkel szemben. Az Article 5 belső irányítási és kontrollkeretrendszert ír elő. Az Article 6 IKT-kockázatkezelési keretrendszert követel meg. Az Article 9 a védelemmel és megelőzéssel foglalkozik, beleértve a hozzáférési korlátozásokat és az identitáskezelési gyakorlatokat. Az Articles 10, 11, 17, 18 és 19 összekapcsolják az észlelést, a reagálást, a helyreállítást, az IKT-incidenskezelést, a besorolást és a jelentéstételt. Mivel a DORA 2025. január 17-től alkalmazandó, a pénzügyi szervezeteknek a Conditional Access-t a működési rezilienciát alátámasztó bizonyíték részeként kell kezelniük, nem pusztán identitásbiztonsági megerősítésként.

A GDPR az adatvédelmi nézőpontot adja hozzá. Ha a Conditional Access személyes adatokat kezelő rendszereket véd, támogatja az Article 5 szerinti elszámoltathatósági elveket, az Article 24 szerinti adatkezelői felelősséget, az Article 25 szerinti beépített adatvédelmet és az Article 32 szerinti adatkezelés biztonságát. Jogosulatlan hozzáférés gyanúja esetén a Conditional Access naplók az adatvédelmi incidens hatásvizsgálatának és bejelentési bizonyítékának részévé válhatnak.

Hiba ezeket különálló auditkérésekként kezelni. Az érett megközelítés egyetlen Conditional Access irányítási modell, amely keretrendszer, szabályozó, ügyfél vagy igazgatósági közönség szerint is bemutatható.

A konfiguráció nem azonos az irányítással

A legtöbb szervezet meg tudja válaszolni azt a kérdést, hogy „Mi van konfigurálva?”. Kevesebben tudnak válaszolni a nehezebb kérdésekre:

• Miért így van konfigurálva ez a Conditional Access szabályzat?
• Melyik kockázati forgatókönyvet kezeli?
• Melyik szabályzati pont írja elő?
• Ki hagyta jóvá a változtatást?
• Mely felhasználók, alkalmazások és eszközök vannak kizárva?
• Hogyan tesztelik?
• Mely naplók bizonyítják, hogy működött?
• Milyen gyakran vizsgálják felül?
• Mi történik, ha nem működik?

Az auditmegállapítások általában itt jelennek meg. Vannak szabályzatok, de nincsenek összekapcsolva a Microsoft Entra beállításaival. Az eszközmegfelelés az informatikai üzemeltetés felelőssége, de nincs leképezve a hozzáférés-szabályozási kockázatra. A bejelentkezési kockázati szabályzatok engedélyezve vannak, de nincsenek dokumentált küszöbértékek vagy eszkalációs szabályok. A munkamenet-korlátozások konfigurálva vannak, de soha nem tesztelték őket nem felügyelt eszközökről. A naplókat megőrzik, de nem rendezik auditbizonyítékká.

A Clarysec ezt visszakövethetőségi problémaként kezeli. Minden Conditional Access döntésnek össze kell kapcsolnia a szabályzatot, a kockázatot, a kontrollt, a konfigurációt, a bizonyítékot és a felülvizsgálatot.

A KKV Felhőszolgáltatás-használati szabályzat kimondja:

Többtényezős hitelesítés (MFA) az adminisztratív és felhasználói fiókokhoz

A „Szabályzat-végrehajtási követelmények” szakasz 6.2.2 szabályzati pontjából.

Ez a pont a felhatalmazó előírás. A Conditional Access szabály a végrehajtás. A bejelentkezési napló a bizonyíték. A felülvizsgálati bejegyzés igazolja a felügyeletet.

A KKV Hálózatbiztonsági szabályzat hozzáadja az eszközállapot-követelményt:

A naprakész vírusvédelemmel, javításokkal vagy elfogadható eszközállapottal nem rendelkező rendszereket blokkolni vagy karanténba kell helyezni

A „Szabályzat-végrehajtási követelmények” szakasz 6.4.3 szabályzati pontjából.

Microsoft Entra terminológiával ez lehet „megfelelő eszköz megkövetelése”, „nem támogatott platformok blokkolása”, „nem felügyelt böngészős munkamenetek korlátozása” vagy „ismeretlen eszközökről érkező hozzáférés megtagadása magas kockázatú alkalmazásokhoz”. A kontroll azonban addig nem teljes, amíg a szervezet nem tudja bizonyítani az alkalmazási kört, a jóváhagyást, a tesztelést, a kivételeket és a monitorozást.

Az irányítási alapokat a szabálykészlet előtt kell felépíteni

Egy erős Conditional Access program nem az Entra portálon kezdődik. Az IBIR-rel, a kockázati nyilvántartással, a Hozzáférés-szabályozási szabályzattal, a felhőhasználati szabályzattal, az alkalmazhatósági nyilatkozattal (SoA) és a bizonyítékmodellel kezdődik.

A Clarysec Zenith Blueprint gyakorlati sorrendet ad egy auditor 30 lépéses ütemtervéhez. A Kockázatkezelés fázis 13. lépésében, a kockázatkezelési tervezés és az alkalmazhatósági nyilatkozat résznél előírja, hogy a szervezetek kapcsolják össze a kontrollokat a kockázatokkal és a szabályozói mozgatórugókkal:

Jogszabályok kereszthivatkozása: ha bizonyos kontrollokat kifejezetten a GDPR, NIS2 vagy DORA követelményeinek való megfelelés érdekében vezettek be, ezt rögzítheti a Kockázati nyilvántartásban (a kockázati hatás indoklásának részeként) vagy az SoA megjegyzéseiben.

A Conditional Access esetében ez megváltoztatja a bizonyítéktörténetet. A „bekapcsoltuk az MFA-t” helyett a szervezet ezt mondhatja:

• Kockázati forgatókönyv: kompromittálódott felhasználói hitelesítő adatok jogosulatlan hozzáférést tesznek lehetővé ügyféladatokhoz a Microsoft 365-ben és pénzügyi SaaS-ben.
• Kockázatgazda: IT-biztonsági vezető.
• Kezelés: az Entra Conditional Access erős MFA-t ír elő a kiemelt szerepkörökre, MFA-t a felhasználókra, blokkolja a bejelentkezési kockázatot, megfelelő eszközöket követel meg az érzékeny alkalmazásokhoz, és munkamenet-korlátozásokat alkalmaz a nem felügyelt végpontokra.
• ISO/IEC 27002:2022 megfeleltetés: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 és 8.16.
• Szabályozási megfeleltetés: NIS2 Articles 20, 21 és 23, DORA Articles 5, 6, 9, 10, 17 és 18, GDPR Articles 24, 25, 32 és 33.
• Bizonyíték: szabályzat-jóváhagyás, Conditional Access export, változásjegy, teszteredmények, bejelentkezési naplók, eszközmegfelelési jelentések, kivételnyilvántartás, SOC-jegyek és vezetőségi felülvizsgálati jegyzőkönyvek.

A Zenith Blueprint a Kontrollok működés közben fázis 19. lépésében azt is elmagyarázza, miért tartozik az eszközállapot a hozzáférési döntéshez:

A végpontokon keresztüli információ-hozzáférésnek kontextusfüggőnek kell lennie. Például megfelel-e az eszköz a minimális biztonsági követelményeknek, mielőtt hozzáférne a vállalati erőforrásokhoz? Nemrég átment-e kártékonykód-ellenőrzésen? Szokatlan helyről vagy hálózatról csatlakozik-e? A Zero Trust elvekbe integrálva az eszközállapot a feltételes hozzáférés bemenete lehet, és megtagadhatja a belépést mindaddig, amíg az eszköz nem bizonyítja, hogy biztonságos.

Ez az alapvető irányítási elv. A Conditional Access legyen kockázatalapú, kontextusérzékeny és bizonyítékot előállító.

Conditional Access döntések leképezése kontrollcélokra

Egy érett program standard hozzáférési döntéseket határoz meg, majd mindegyiket leképezi az irányítási célra és a bizonyítékokra. Ez megelőzi a szabályzati burjánzást, és egyszerűbbé teszi az auditbeszélgetéseket.

A vállalati Felhőszolgáltatás-használati szabályzat támogatja a központi identitásintegrációt:

Az egyszeri bejelentkezés (SSO) integrációja a szervezet IdP-jével kötelező a hitelesítés következetességének biztosítása érdekében.

A „Szabályzat-végrehajtási követelmények” szakasz 6.2.4 szabályzati pontjából.

A vállalati Felhasználói fiók- és jogosultságkezelési szabályzat egyértelművé teszi a monitorozást:

Az egyszeri bejelentkezési (SSO) rendszerek használatát központi identitásszolgáltatókkal (pl. Active Directory (AD), Azure AD) kell integrálni, és figyelni kell a rendellenes bejelentkezési tevékenységet.

A „Szabályzat-végrehajtási követelmények” szakasz 6.3.4 szabályzati pontjából.

Ezek a pontok együtt többet követelnek meg, mint SSO-t. Központi identitásarchitektúrát, következetes hitelesítést, rendellenes bejelentkezések monitorozását és olyan bizonyítékot követelnek meg, amely igazolja a hozzáférési döntések felülvizsgálatát.

Eszközmegfelelés: a kontroll, amelyet az auditorok tesztelni tudnak

Az eszközmegfelelés az egyik legkönnyebben túlértékelt terület. Egy irányítópult mutathat 92 százalékban megfelelő eszközöket, de az auditor azt fogja kérdezni, hogy a szabály vonatkozik-e a lényeges alkalmazásokra, engedélyezettek-e a személyes eszközök, blokkolva vannak-e a nem támogatott platformok, és jóváhagyottak-e a kivételek.

A vállalati Távmunka-szabályzat rögzíti a jóváhagyási alapkövetelményt:

A BYOD-eszközöket kifejezetten jóvá kell hagyni, és:

Az „Irányítási követelmények” szakasz 5.2.2 szabályzati pontjából.

Ez a rövid mondat fontos. A BYOD nem pusztán technikai állapot, hanem irányítási döntés. A Conditional Access-ben ennek eszköztulajdonosi szabályokban, minimális megfelelési alapkövetelményekben, titkosítási követelményekben, javítási és kártékonykód-védelmi ellenőrzésekben, mobilalkalmazás-védelemben, vállalkozók kezelésében és kivétel-felülvizsgálatban kell megjelennie.

A Clarysec Zenith Controls több keretrendszer szerinti megfelelési útmutatóként az ISO/IEC 27002:2022 5.15 Hozzáférés-szabályozás kontrollt megelőző kontrollként térképezi fel, amely a bizalmasságot, a sértetlenséget és a rendelkezésre állást védi az identitás- és hozzáférés-kezelés működési képességén belül. A hozzáférés-szabályozást a felhasználói végponti eszközökhöz is kapcsolja, mivel a nem felügyelt laptopok, mobilok és asztali gépek alááshatják a központosított hozzáférés-betartatást.

Egy gyakorlati, negyedéves Conditional Access eszközbizonyíték-csomagnak tartalmaznia kell:

• Jóváhagyott eszközmegfelelési alapkövetelmény.
• Conditional Access szabályzatok, amelyek megfelelő eszközöket követelnek meg.
• Az e szabályzatokkal védett alkalmazások.
• Kizárt felhasználók, csoportok, alkalmazások és platformok exportja.
• Nem megfelelő eszközökre vonatkozó trendjelentés.
• Mintaként szolgáló blokkolt bejelentkezési naplók nem megfelelő eszközökről.
• Kivételnyilvántartás tulajdonossal, indokkal, lejárati dátummal és kockázatelfogadással.
• Vezetőségi felülvizsgálati bejegyzés.

Ez a bizonyítékcsomag támogatja az ISO/IEC 27001:2022 szerinti operatív kontrollt, a NIS2 kiberhigiéniát, a DORA védelmi és megelőzési követelményeit, valamint a GDPR elszámoltathatóságot.

Bejelentkezési kockázat: az észlelésből döntési bizonyítéknak kell lennie

A kockázatalapú Conditional Access az a pont, ahol az identitásészlelés hozzáférés-irányítássá válik. A Microsoft Entra olyan jeleket tud értékelni, mint az ismeretlen bejelentkezési jellemzők, anonim IP-címek, lehetetlen utazás és kiszivárgott hitelesítő adatok. Az auditorok azonban nem fogadják el végső válaszként azt, hogy „a kockázati szabályzat engedélyezve van”. Meg fogják kérdezni, miért ezek a küszöbértékek lettek kiválasztva, ki vizsgálja felül a kockázatos eseményeket, és mikor válik egy magas kockázatú bejelentkezés incidenssé.

A KKV Naplózási és monitorozási szabályzat minimális naplózási követelményt határoz meg:

Hitelesítési naplók: sikeres és sikertelen bejelentkezési kísérletek, munkamenet-időtartam, MFA-használat

Az „Irányítási követelmények” szakasz 5.4.2 szabályzati pontjából.

A vállalati Naplózási és monitorozási szabályzat bővíti az elvárt eseménykört:

Rögzítendő eseménytípusok (pl. bejelentkezések, hozzáférési hibák, konfigurációváltozások, adminisztratív parancsok, malware-észlelés)

Az „Irányítási követelmények” szakasz 5.1.1 szabályzati pontjából.

Conditional Access esetén a hasznos bizonyítékok közé tartoznak a sikeres bejelentkezések, sikertelen bejelentkezések, Conditional Access szabályzat eredménye, MFA-módszer, bejelentkezési kockázat, felhasználói kockázat, eszközmegfelelési állapot, elért alkalmazás, hely, kliensalkalmazás, munkamenet-kontroll eredménye, szabályzatváltozási előzmények és adminisztratív műveletek.

A Zenith Controls az ISO/IEC 27002:2022 8.16 Monitorozási tevékenységek kontrollt észlelő és helyesbítő kontrollként térképezi fel, az Észlelés és Reagálás fogalmakhoz kapcsolódóan. Összeköti a monitorozást a naplózással, az eseményértékeléssel, a fenyegetettségi információkkal, a beszállítói monitorozással és az incidenskezeléssel. A monitorozási tevékenységeket a GDPR Articles 32 és 33, a NIS2 incidensmonitorozási és jelentéstételi követelményei, a DORA IKT-incidens-nyomon követése, a NIST folyamatos monitorozása és a COBIT biztonsági monitorozása szerint is leképezi.

Egy Conditional Access által blokkolt magas kockázatú bejelentkezés ezért nem pusztán biztonsági siker. Bizonyíték arra, hogy a megelőző, észlelő és reagálási folyamatok össze vannak kapcsolva.

Munkamenet-kontrollok: kapcsolat a hozzáférés és az adatvédelem között

A hozzáférés előtti döntések önmagukban nem elegendők. Miután a felhasználó hitelesítette magát, a munkamenet-kontrollok határozzák meg, mennyi kitettség marad fenn. Ez különösen fontos nem felügyelt eszközök, vállalkozók, távmunka, megosztott terminálok, kockázatos helyek és személyes adatokat kezelő alkalmazások esetén.

A KKV Alkalmazásbiztonsági követelmények szabályzata kimondja:

Munkamenet-kezelés: a munkamenetadatoknak 15 perc inaktivitás után le kell járniuk, és ahol alkalmazható, időtúllépési figyelmeztetést kell tartalmazniuk.

A „Szabályzat-végrehajtási követelmények” szakasz 6.1.1.3 szabályzati pontjából.

Microsoft Entra irányításban ez megfeleltethető a bejelentkezési gyakoriságnak, az állandó böngészős munkamenetek korlátozásának, a Conditional Access App Controlnak, az alkalmazás által kikényszerített korlátozásoknak, a letöltésblokkolásnak, a kockázatváltozás utáni újrahitelesítésnek és az érzékenységalapú munkamenet-korlátozásoknak.

A munkamenet-kontrollok támogatják az ISO/IEC 27002:2022 8.3 Információ-hozzáférés korlátozása és 8.5 Biztonságos hitelesítés kontrollokat. Támogatják a GDPR Article 32-t is azáltal, hogy csökkentik a személyes adatok jogosulatlan megtekintését, letöltését vagy a hozzáférés fennmaradását. A DORA szempontjából a munkamenet-korlátozások segítenek korlátozni az IKT-rendszerek kitettségét, és támogatják az észlelést és reagálást. A NIS2 szempontjából arányos hozzáférés-szabályozási és kiberhigiéniai intézkedések.

A bizonyítéknak meg kell magyaráznia, miért létezik a munkamenet-kontroll. Például a „letöltés blokkolása nem felügyelt eszközökről HR- és pénzügyi alkalmazások esetén” kapcsolódjon a személyes adatok kiszivárgásához, a végpont kompromittálódásához és a bizalmasság elvesztéséhez. A bizonyítéknak tartalmaznia kell a konfigurációt, az alkalmazási kört, a kezelt és nem kezelt eszközökről végzett tesztbejelentkezéseket, a korlátozásokat mutató naplókat és a jóváhagyási bejegyzéseket.

Conditional Access kontrollnyilvántartás létrehozása

A Conditional Access kontrollnyilvántartás az operatív kapcsolat a kockázati nyilvántartás, az alkalmazhatósági nyilatkozat és a Microsoft Entra konfiguráció között. Nem helyettesíti ezeket a dokumentumokat, hanem használhatóvá teszi őket.

Alkalmazzon ötlépéses felülvizsgálati ciklust:

1. Alkalmazási kör megerősítése: azonosítsa a szabályozott, pénzügyi, operatív vagy személyes adatokat kezelő felhőalkalmazásokat.
2. Szabályzatok kockázatokhoz rendelése: minden Conditional Access szabályzatot kapcsoljon legalább egy kockázati forgatókönyvhöz és egy kockázatgazdához.
3. Kizárások ellenőrzése: exportálja a kizárt felhasználókat, szerepköröket, alkalmazásokat, csoportokat, helyeket és eszközöket. Minden kizáráshoz tulajdonos, indok, jóváhagyás és lejárat szükséges.
4. Betartatás tesztelése: tesztfiókokkal ellenőrizze az MFA-t, az eszközmegfelelést, a kockázatblokkolást, az örökölt hitelesítés blokkolását és a munkamenet-korlátozásokat.
5. Bizonyítékcsomag összeállítása: tárolja az exportokat, képernyőképeket, naplókat és jóváhagyásokat metaadatokkal együtt.

A KKV Audit- és megfelelőségmonitorozási szabályzat kritikus a bizonyítékok sértetlensége szempontjából:

A metaadatokat (pl. ki gyűjtötte, mikor és melyik rendszerből) dokumentálni kell.

A „Szabályzat-végrehajtási követelmények” szakasz 6.2.3 szabályzati pontjából.

A forrás, dátum, gyűjtő és rendszerkörnyezet nélküli képernyőképek gyenge bizonyítékok. A Conditional Access exportokat, bejelentkezési naplókat és felülvizsgálati jelentéseket kontrollált auditnyilvántartásokként kell kezelni.

Több keretrendszer szerinti megfeleltetés Conditional Access bizonyítékokra

A Conditional Access értéke abban áll, hogy egyetlen kontrollkészlet megfelelő irányítás mellett több auditnézőpontot is ki tud szolgálni.

A Zenith Controls a 5.15 Hozzáférés-szabályozás kontrollt a GDPR Article 32, a NIS2 Article 21(2)(i), a DORA hozzáférés-irányítási fogalmai, a NIST SP 800-53 hozzáférés-szabályozási családjai és a COBIT 2019 DSS06.04 szerint is leképezi. A 8.5 Biztonságos hitelesítés kontrollt a GDPR Articles 5, 24, 25 és 32, a NIS2 kiberbiztonsági kockázatkezelés, a DORA IKT-kockázatkezelés, a NIST azonosítás és hitelesítés, valamint a COBIT identitás- és logikai hozzáférés fogalmai szerint térképezi fel.

A tanulság egyszerű. A keretrendszerek eltérő nyelvezetet használnak, de ugyanazt a bizonyossági mintát várják el: a megfelelő felhasználók, elfogadható kontextusból, erős hitelesítéssel, irányított munkameneteken keresztül férjenek hozzá, és a naplók bizonyítsák, mi történt.

Hogyan vizsgálják az auditorok a Conditional Access-t

Egy ISO/IEC 27001:2022 auditor az IBIR-rel kezdi. Meg fogja kérdezni, hogy a Conditional Access az alkalmazási kör része-e, mely kockázatokat kezeli, hogyan jelenik meg az SoA-ban, hogyan hagyják jóvá a szabályzatokat, hogyan kontrollálják a változásokat, és a bizonyíték igazolja-e a működési eredményességet. Számítani kell kiemelt felhasználók, érzékeny alkalmazások, kizárások és közelmúltbeli szabályzatváltozások mintavételére.

Egy DORA vagy NIS2 auditor a működési rezilienciára, a vezetői elszámoltathatóságra és a kockázatra összpontosít. Megkérdezheti, hogyan védik a hozzáférés-szabályozások a kritikus vagy fontos funkciókat, hogyan felügyeli az igazgatóság az identitáskockázatot, hogyan történik a magas kockázatú bejelentkezések elsődleges értékelése, és hogy a hozzáférési hibák beépülnek-e az incidensbesorolási vagy jelentéstételi döntésekbe.

Egy GDPR-központú auditor a személyes adatokra fog figyelni. Megkérdezheti, hogyan védik a HR-, pénzügyi vagy ügyféladatokat a nem felügyelt eszközöktől, hogyan csökkentik a munkamenet-kontrollok a jogosulatlan megtekintést, hogyan korlátozzák a hozzáférést az engedélyezett felhasználókra, és hogyan támogatják a naplók az adatvédelmi incidens hatásvizsgálatát.

Egy COBIT 2019 felülvizsgáló irányítási gyakorlatokat, tulajdonosi felelősséget, mutatókat, ismételhetőséget, teljesítményfelügyeletet és fejlesztést keres. Egy NIST-orientált értékelő az identitási, hitelesítési, jogosultságadási, monitorozási és reagálási eredményeket hasonlítja össze a technikai bizonyítékokkal.

A vállalati Hozzáférés-szabályozási szabályzat meghatározza az emelt jogosultságú hozzáférés alapállását:

Az adminisztratív hozzáférést szigorúan kontrollálni kell a következők révén:

Az „Irányítási követelmények” szakasz 5.4.1 szabályzati pontjából.

A Microsoft Entra bizonyítékainak ezt a mondatot operatív módon kell teljessé tenniük. Mely szerepkörök kiemeltek? Melyek követelnek adathalászattal szemben ellenálló vagy erős MFA-t? Melyek jogosíthatók privilegizált identitáskezelésen keresztül? Mely fiókok vészhelyzeti (break-glass) fiókok? Melyek vannak kizárva a szabályzatokból? Ki vizsgálja felül őket? Hová érkeznek a riasztások?

Igazgatósági mutatók a Conditional Access irányításához

Mivel a NIS2 és a DORA hangsúlyozza a vezetői elszámoltathatóságot, a Conditional Access jelentéseknek igazgatósági szinten is érthetőnek kell lenniük. Ne csak szabályzatneveket jelentsen. Jelentsen kockázati helyzetet és kontrollteljesítményt.

Hasznos mutatók:

• Erős MFA-val védett kiemelt jogosultságú fiókok aránya.
• Conditional Access kizárások száma kockázati szintenként.
• Blokkolt, további ellenőrzéssel kezelt vagy engedélyezett magas kockázatú bejelentkezések száma.
• Megfelelő eszközt megkövetelő érzékeny alkalmazás-hozzáférések aránya.
• Nem felügyelt eszközös munkamenetek száma szabályozott alkalmazásokhoz.
• Magas kockázatú bejelentkezési események elsődleges értékeléséig eltelt idő.
• Conditional Access szabályzatváltozások száma a negyedévben.
• Lejárt, megújított és késedelmes kivételek száma.
• Hitelesítési, munkamenet- és szabályzatváltozási naplózás lefedettsége.
• Sikertelen tesztesetek a negyedéves Conditional Access ellenőrzésből.

Ezek a mutatók az identitáskonfigurációt felügyeleti bizonyítékká alakítják. Segítik a vezető testületeket abban is, hogy igazolják a jóváhagyást, a felülvizsgálatot, az erőforrás-biztosítást és a folyamatos fejlesztést.

Gyakori megállapítások, amelyeket az audit előtt meg kell szüntetni

A Conditional Access megállapítások általában irányítási gyengeségből, nem technológiai hibából erednek. A leggyakoribb problémák:

• A vészhelyzeti (break-glass) fiókok ki vannak zárva, de nincsenek monitorozva.
• A szabályzatok elnevezése következetlen, és nincs gazdájuk.
• Az érzékeny alkalmazások hiányoznak az eszközmegfelelési szabályokból.
• A vendégfelhasználók és külső együttműködők megkerülik a standard kontrollokat.
• A szolgáltatásfiókok és workload-identitások nincsenek külön irányítva.
• A bejelentkezési kockázatészleléseket nem értékelik elsődlegesen, és nem kapcsolják incidensekhez.
• A munkamenet-kontrollokat soha nem tesztelik nem felügyelt eszközökről.
• A szabályzatváltozásokat közvetlenül éles környezetben hajtják végre változásbejegyzés nélkül.
• A kizárások állandók, dokumentálatlanok vagy szóban jóváhagyottak.
• A naplókat megőrzik, de nem vizsgálják felül.
• A bizonyítékból hiányzik a metaadat, a forráskörnyezet vagy a bizonyítéklánc.

A 2026-ra felkészült célállapot vezetés által jóváhagyott hozzáférés-irányítást, kockázatalapú Conditional Access kialakítást, kifejezett ISO/IEC 27001:2022 és ISO/IEC 27002:2022 megfeleltetést, dokumentált NIS2, DORA és GDPR támogatást, szerepkör és kockázat szerinti erős MFA-t, érzékeny hozzáférésekhez eszközmegfelelést, nem felügyelt kontextusokra munkamenet-korlátozásokat, monitorozott hitelesítési és szabályzatváltozásokat, kivétel-életciklust, negyedéves tesztelést és vezetőségi jelentéstételt tartalmaz.

Microsoft Entra átalakítása auditra kész bizonyítékká

A Conditional Access szabályzatok már most is minden percben biztonsági döntéseket hoznak. A kérdés az, hogy ezek a döntések irányítottak, kockázatalapúak, monitorozottak és leképezettek-e azokra a kötelezettségekre, amelyek az auditorokat és a szabályozókat érdeklik.

Kezdje a Zenith Blueprint Zenith Blueprint anyaggal, különösen a 13. lépéssel, hogy a Conditional Access szabályzatokat kockázatokhoz, kezelésekhez, az alkalmazhatósági nyilatkozathoz és szabályozói megjegyzésekhez kapcsolja. Használja a Zenith Controls Zenith Controls útmutatót a hozzáférés-szabályozás, biztonságos hitelesítés, végpontállapot, naplózás és monitorozás leképezéséhez az ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST és COBIT 2019 keretrendszerek között.

Ezután hangolja össze belső követelményeit a Clarysec szabályzataival, többek között a KKV Felhőszolgáltatás-használati szabályzat, KKV Hálózatbiztonsági szabályzat, KKV Naplózási és monitorozási szabályzat, KKV Audit- és megfelelőségmonitorozási szabályzat, KKV Alkalmazásbiztonsági követelmények szabályzata, Felhőszolgáltatás-használati szabályzat, Felhasználói fiók- és jogosultságkezelési szabályzat, Távmunka-szabályzat, Hozzáférés-szabályozási szabályzat és Naplózási és monitorozási szabályzat dokumentumokkal.

A Clarysec segít abban, hogy a Microsoft Entra Conditional Access beállítások gyűjteményéből kikényszeríthető, mérhető és auditra kész kontrollrendszer legyen. Töltse le a releváns Clarysec eszközkészleteket, kérjen szabályzat-megfeleltetési felülvizsgálatot, vagy foglaljon értékelést annak megállapítására, hogy Conditional Access bizonyítékai kiállják-e az ISO 27001, NIS2, DORA és GDPR szerinti vizsgálatot.