Microsoft Entra Conditional Access pārvaldība 2026. gadā

Ir otrdienas 09:12, kad Marija, strauji augoša Eiropas finanšu tehnoloģiju uzņēmuma informācijas drošības vadītāja, atver DORA gatavības pārskatu, kam vajadzēja būt rutīnas dokumentam. Viņas Microsoft Entra Conditional Access informācijas panelis izskatās pārliecinoši. Administratoriem tiek piemērota MFA. Mantotā autentifikācija ir bloķēta. Augsta riska pieteikšanās tiek papildus pārbaudītas vai liegtas. Sensitīvām finanšu lietojumprogrammām ir nepieciešamas atbilstošas ierīces. Pārlūkprogrammu piekļuve no nepārvaldītiem galapunktiem ir ierobežota.

Tad viņa izlasa auditora konstatējumu.

“Jūsu Conditional Access noteikumi tehniski ir pamatoti, taču tie pastāv ārpus pārvaldības procesa. Parādiet valdes apstiprinātu politiku, kas nosaka šo iestatījumu obligātu piemērošanu. Parādiet izmaiņu ierakstu noteikumam, kas tika mainīts pagājušajā mēnesī. Parādiet, kā augsta riska pieteikšanās politika bija aktīva iespējamā akreditācijas datu masveida pārbaudes uzbrukuma laikā. Parādiet, kā šie pierādījumi atbalsta ISO 27001, DORA, NIS2 un GDPR.”

Identitātes komanda var eksportēt konfigurāciju. SOC var uzrādīt pieteikšanās žurnālus. Atbilstības vadītājs var norādīt uz politiku mapi. Taču neviens nevar sagatavot vienotu, pārvaldītu pierādījumu kopumu, kas sasaista risku, politiku, apstiprinājumu, konfigurāciju, izņēmumus, uzraudzību, incidentu reaģēšanu, privātuma pienākumus un vadības pārskatīšanu.

Tā ir Conditional Access pārvaldības problēma 2026. gadā.

Microsoft Entra Conditional Access vairs nav tikai identitātes konfigurācijas iestatījums. Tā ir valdes līmeņa kontroles sistēma, kas nosaka, kurš drīkst piekļūt mākoņpakalpojumiem, ar kādiem nosacījumiem, no kurām ierīcēm, ar kādu autentifikācijas stiprumu un ar kādiem sesiju ierobežojumiem. Reglamentētām organizācijām šiem lēmumiem jābūt izskaidrojamiem, pamatotiem un kartētiem pret pienākumiem saskaņā ar ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST un COBIT 2019.

Conditional Access tagad ir auditējama kontroles sistēma

Conditional Access atrodas identitātes, ierīces drošības stāvokļa, lietojumprogrammas sensitivitātes, atrašanās vietas, pieteikšanās riska, lietotāja riska, sesijas uzvedības un žurnālfiksēšanas krustpunktā. Viena politika var pieprasīt MFA, pieprasīt atbilstošu ierīci, bloķēt piekļuvi no riskantas atrašanās vietas, ierobežot lejupielādes no nepārvaldītām pārlūkprogrammām vai piespiest atkārtotu autentifikāciju, ja mainās risks.

Tas padara Conditional Access par vienu no spēcīgākajiem nulles uzticēšanās piemērošanas punktiem Microsoft mākoņvidēs. Tas arī padara to īpaši auditējamu.

Saskaņā ar ISO/IEC 27001:2022 kontroles pasākums nav nobriedis tikai tāpēc, ka tas pastāv portālā. Organizācijai ir jāizprot savs konteksts, jānovērtē informācijas drošības riski, jāizvēlas risku apstrādes pasākumi, jādokumentē Piemērojamības paziņojums, jāievieš kontroles pasākumi, jāuzrauga to efektivitāte un laika gaitā jāpilnveido. Attiecīgie punkti ietver 6.1.2. punktu risku novērtēšanai, 6.1.3. punktu risku apstrādei, 7.5. punktu dokumentētai informācijai, 8.1. punktu darbības plānošanai un kontrolei, 9.1. punktu uzraudzībai un 9.3. punktu vadības pārskatīšanai.

A pielikums, kas saskaņots ar ISO/IEC 27002:2022, sniedz praktisku kontroles pasākumu valodu, ko atpazīs auditori. Conditional Access parasti atbalsta:

• 5.15 Piekļuves kontrole
• 5.16 Identitātes pārvaldība
• 5.17 Autentifikācijas informācija
• 5.18 Piekļuves tiesības
• 8.1 Lietotāju galapunktu ierīces
• 8.2 Priviliģētās piekļuves tiesības
• 8.3 Informācijas piekļuves ierobežošana
• 8.5 Droša autentifikācija
• 8.15 Žurnālfiksēšana
• 8.16 Uzraudzības darbības

ES reglamentētām organizācijām pārvaldības slogs ir vēl skaidrāks. NIS2 Article 20 uzliek vadības struktūrām atbildību apstiprināt un pārraudzīt kiberdrošības risku pārvaldības pasākumus. NIS2 Article 21 prasa atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, tostarp piekļuves kontroli, aktīvu pārvaldību, kiberdrošības higiēnu, incidentu apstrādi, piegādes ķēdes drošību, efektivitātes novērtēšanu un daudzfaktoru vai nepārtrauktu autentifikāciju, ja tas ir atbilstoši. NIS2 Article 23 ievieš pakāpenisku ziņošanu par būtiskiem incidentiem, tostarp agrīnu brīdinājumu 24 stundu laikā, incidenta paziņojumu 72 stundu laikā un gala ziņojumu viena mēneša laikā.

DORA finanšu iestādēm izvirza līdzīgas prasības. Article 5 prasa iekšēju pārvaldības un kontroles ietvaru. Article 6 prasa IKT risku pārvaldības ietvaru. Article 9 attiecas uz aizsardzību un prevenciju, tostarp piekļuves ierobežojumiem un identitātes pārvaldības praksēm. Articles 10, 11, 17, 18 un 19 sasaista atklāšanu, reaģēšanu, atjaunošanu, IKT incidentu pārvaldību, klasifikāciju un ziņošanu. Tā kā DORA piemēro no 2025. gada 17. janvāra, finanšu iestādēm Conditional Access jāuzskata par daļu no operacionālās noturības pierādījumiem, nevis tikai par drošu identitātes konfigurāciju.

GDPR pievieno privātuma skatījumu. Ja Conditional Access aizsargā sistēmas, kas apstrādā personas datus, tas atbalsta Article 5 pārskatatbildības principus, Article 24 pārziņa atbildību, Article 25 integrētu datu aizsardzību un Article 32 apstrādes drošību. Ja ir aizdomas par nesankcionētu piekļuvi, Conditional Access žurnāli var kļūt par daļu no pārkāpuma ietekmes novērtēšanas un paziņošanas pierādījumiem.

Kļūda ir attiekties pret šiem jautājumiem kā pret atsevišķiem audita pieprasījumiem. Nobriedusi pieeja ir viens Conditional Access pārvaldības modelis, ko var skatīt pēc ietvara, regulatora, klienta vai valdes auditorijas vajadzībām.

Konfigurācija nav pārvaldība

Lielākā daļa organizāciju var atbildēt uz jautājumu: “Kas ir konfigurēts?” Mazāk organizāciju spēj atbildēt uz sarežģītākiem jautājumiem:

• Kāpēc šī Conditional Access politika ir konfigurēta tieši šādi?
• Kuru riska scenāriju tā apstrādā?
• Kurš politikas punkts to prasa?
• Kurš apstiprināja izmaiņu?
• Kuri lietotāji, lietojumprogrammas un ierīces ir izslēgtas?
• Kā tā tiek testēta?
• Kuri žurnāli pierāda, ka tā darbojās?
• Cik bieži tā tiek pārskatīta?
• Kas notiek, ja tā nedarbojas?

Tieši šeit parasti rodas audita konstatējumi. Politikas pastāv, bet nav sasaistītas ar Microsoft Entra iestatījumiem. Par ierīču atbilstību atbild IT operācijas, taču tā nav kartēta pret piekļuves kontroles risku. Pieteikšanās riska politikas ir iespējotas bez dokumentētiem sliekšņiem vai eskalācijas noteikumiem. Sesiju ierobežojumi ir konfigurēti, bet nekad nav testēti no nepārvaldītām ierīcēm. Žurnāli tiek saglabāti, bet netiek sakārtoti audita pierādījumos.

Clarysec to uzskata par izsekojamības problēmu. Katram Conditional Access lēmumam jāsasaista politika, risks, kontroles pasākums, konfigurācija, pierādījumi un pārskatīšana.

SME Mākoņpakalpojumu izmantošanas politika-sme Mākoņpakalpojumu izmantošanas politika-sme - SME nosaka:

Daudzfaktoru autentifikācija (MFA) administratīvajiem un lietotāju kontiem

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.2.

Šis punkts ir pilnvarojums. Conditional Access noteikums ir piemērošana. Pieteikšanās žurnāls ir pierādījums. Pārskatīšanas ieraksts pierāda pārraudzību.

SME Tīkla drošības politika-sme Tīkla drošības politika-sme - SME pievieno ierīces drošības stāvokļa prasību:

Sistēmām bez aktuālas antivīrusu programmatūras, ielāpiem vai pieļaujama ierīces drošības stāvokļa jābūt bloķētām vai ievietotām karantīnā

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.4.3.

Microsoft Entra izpratnē tas var kļūt par prasību “pieprasīt atbilstošu ierīci”, “bloķēt neatbalstītas platformas”, “ierobežot nepārvaldītas pārlūkprogrammu sesijas” vai “liegt piekļuvi augsta riska lietojumprogrammām no nezināmām ierīcēm”. Taču kontroles pasākums nav pilnīgs, kamēr organizācija nevar pierādīt piemērošanas jomu, apstiprinājumu, testēšanu, izņēmumus un uzraudzību.

Pirms noteikumu kopas izveidojiet pārvaldības pamatu

Stipra Conditional Access programma sākas ārpus Entra portāla. Tā sākas ar IDPS, risku reģistru, piekļuves kontroles politiku, mākoņpakalpojumu izmantošanas politiku, SoA un pierādījumu modeli.

Clarysec Zenith Blueprint: auditora 30 soļu ceļvedis Zenith Blueprint sniedz praktisku secību. Risku pārvaldības posmā, 13. solī “Risku apstrādes plānošana un Piemērojamības paziņojums”, tas norāda organizācijām sasaistīt kontroles pasākumus ar riskiem un regulatīvajiem virzītājspēkiem:

Veiciet regulējumu krustenisku salīdzināšanu: ja konkrēti kontroles pasākumi ir ieviesti tieši, lai nodrošinātu atbilstību GDPR, NIS2 vai DORA, to var norādīt vai nu Riska reģistrā (kā daļu no riska ietekmes pamatojuma), vai SoA piezīmēs.

Conditional Access gadījumā tas maina pierādījumu kopumu. Tā vietā, lai teiktu: “Mēs iespējojām MFA”, organizācija var teikt:

• Riska scenārijs: kompromitēti lietotāju autentifikācijas dati ļauj nesankcionēti piekļūt klientu datiem Microsoft 365 un finanšu SaaS.
• Riska īpašnieks: IT drošības vadītājs.
• Apstrāde: Entra Conditional Access prasa spēcīgu MFA priviliģētām lomām, MFA lietotājiem, pieteikšanās riska bloķēšanu, atbilstošas ierīces sensitīvām lietojumprogrammām un sesiju ierobežojumus nepārvaldītiem galapunktiem.
• ISO/IEC 27002:2022 kartējums: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 un 8.16.
• Regulatīvais kartējums: NIS2 Articles 20, 21 un 23, DORA Articles 5, 6, 9, 10, 17 un 18, GDPR Articles 24, 25, 32 un 33.
• Pierādījumi: politikas apstiprinājums, Conditional Access eksports, izmaiņu pieteikums, testēšanas rezultāti, pieteikšanās žurnāli, ierīču atbilstības pārskati, izņēmumu reģistrs, SOC pieteikumi un vadības pārskatīšanas protokoli.

Zenith Blueprint sadaļā “Kontroles pasākumi darbībā”, 19. solī, arī skaidro, kāpēc galapunktu drošības stāvoklis ir jāiekļauj piekļuves lēmumā:

Piekļuve informācijai caur galapunktiem jābalsta kontekstā. Piemēram, vai ierīce atbilst minimālajiem drošības standartiem pirms piekļuves uzņēmuma resursiem? Vai tā nesen ir izgājusi ļaunatūras skenēšanu? Vai tā pieslēdzas no neierastas atrašanās vietas vai tīkla? Integrējot nulles uzticēšanās principus, galapunktu drošības stāvoklis var tikt izmantots Conditional Access lēmumos, liedzot piekļuvi, līdz ierīce pierāda, ka tā ir droša.

Tas ir pamatpārvaldības princips. Conditional Access jābūt riskos balstītam, kontekstam pielāgotam un pierādījumus ģenerējošam.

Kartējiet Conditional Access lēmumus pret kontroles mērķiem

Nobriedusi programma definē standarta piekļuves lēmumus un pēc tam kartē katru no tiem pret pārvaldības nolūku un pierādījumiem. Tas novērš politiku nekontrolētu izplešanos un atvieglo audita sarunas.

Uzņēmuma Mākoņpakalpojumu izmantošanas politika Mākoņpakalpojumu izmantošanas politika atbalsta centrālu identitātes integrāciju:

Single Sign-On (SSO) integrācija ar organizācijas IdP ir nepieciešama, lai nodrošinātu autentifikācijas konsekvenci.

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.4.

Uzņēmuma Lietotāju kontu un privilēģiju pārvaldības politika Lietotāju kontu un privilēģiju pārvaldības politika uzraudzību padara skaidru:

Single Sign-On (SSO) sistēmu izmantošanai jābūt integrētai ar centrālajiem identitātes nodrošinātājiem (piemēram, Active Directory (AD), Azure AD), un tā jāuzrauga, lai konstatētu anomālu pieteikšanās aktivitāti.

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.3.4.

Kopā šie punkti prasa vairāk nekā SSO. Tie prasa centrālu identitātes arhitektūru, konsekventu autentifikāciju, anomālu pieteikšanos uzraudzību un pierādījumus, ka piekļuves lēmumi tiek pārskatīti.

Ierīču atbilstība: kontroles pasākums, ko auditori var pārbaudīt

Ierīču atbilstība ir viena no jomām, kur to visvieglāk pārspīlēt. Informācijas panelis var rādīt, ka 92 procenti ierīču ir atbilstošas, taču auditors jautās, vai noteikums attiecas uz būtiskajām lietojumprogrammām, vai personīgās ierīces ir atļautas, vai neatbalstītas platformas ir bloķētas un vai izņēmumi ir apstiprināti.

Uzņēmuma Attālinātā darba politika Attālinātā darba politika nosaka apstiprinājuma pamatlīmeni:

BYOD ierīcēm jābūt skaidri apstiprinātām un:

No sadaļas “Pārvaldības prasības”, politikas punkts 5.2.2.

Šis īsais teikums ir būtisks. BYOD nav tikai tehnisks stāvoklis. Tas ir pārvaldības lēmums. Conditional Access kontekstā tam jāizpaužas kā ierīču īpašumtiesību noteikumiem, minimālajām atbilstības pamatprasībām, šifrēšanas prasībām, ielāpu un aizsardzības pret ļaunprogrammatūru pārbaudēm, mobilo lietotņu aizsardzībai, līgumslēdzēju pārvaldībai un izņēmumu pārskatīšanai.

Clarysec Zenith Controls: Starpatbilstības ceļvedis Zenith Controls kartē ISO/IEC 27002:2022 kontroles pasākumu 5.15 Piekļuves kontrole kā preventīvu pasākumu, kas aizsargā konfidencialitāti, integritāti un pieejamību identitātes un piekļuves pārvaldības operacionālajā spējā. Tas arī sasaista piekļuves kontroli ar lietotāju galapunktu ierīcēm, jo nepārvaldīti klēpjdatori, mobilās ierīces un galddatori var vājināt centralizētu piekļuves piemērošanu.

Praktiskā ceturkšņa Conditional Access ierīču pierādījumu pakā jāiekļauj:

• Apstiprināts ierīču atbilstības pamatlīmenis.
• Conditional Access politikas, kas pieprasa atbilstošas ierīces.
• Lietojumprogrammas, ko aizsargā šīs politikas.
• Izslēgto lietotāju, grupu, lietojumprogrammu un platformu eksports.
• Neatbilstošu ierīču tendenču pārskats.
• Bloķētu pieteikšanos žurnālu paraugi neatbilstošām ierīcēm.
• Izņēmumu reģistrs ar īpašnieku, iemeslu, derīguma termiņu un riska pieņemšanu.
• Vadības pārskatīšanas ieraksts.

Šī pierādījumu paka atbalsta ISO/IEC 27001:2022 darbības kontroli, NIS2 kiberdrošības higiēnu, DORA aizsardzību un prevenciju, kā arī GDPR pārskatatbildību.

Pieteikšanās risks: atklāšanai jākļūst par lēmuma pierādījumu

Riskos balstīts Conditional Access ir vieta, kur identitātes atklāšana kļūst par piekļuves pārvaldību. Microsoft Entra var novērtēt tādus signālus kā nepazīstamas pieteikšanās īpašības, anonīmas IP adreses, neiespējama pārvietošanās un nopludināti autentifikācijas dati. Taču auditori nepieņems “riska politika ir iespējota” kā galīgo atbildi. Viņi jautās, kāpēc izvēlēti konkrētie sliekšņi, kurš pārskata riskantos notikumus un kad augsta riska pieteikšanās kļūst par incidentu.

SME Žurnālfiksēšanas un uzraudzības politika-sme Žurnālfiksēšanas un uzraudzības politika-sme - SME definē minimālo žurnālfiksēšanas prasību:

Autentifikācijas žurnāli: sekmīgi un nesekmīgi pieteikšanās mēģinājumi, sesijas ilgums, MFA izmantošana

No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.2.

Uzņēmuma Žurnālfiksēšanas un uzraudzības politika Žurnālfiksēšanas un uzraudzības politika paplašina sagaidāmo notikumu kopu:

Fiksējamie notikumu tipi (piemēram, pieteikšanās, piekļuves atteices, konfigurācijas izmaiņas, administratīvās komandas, ļaunatūras atklāšana)

No sadaļas “Pārvaldības prasības”, politikas punkts 5.1.1.

Conditional Access gadījumā noderīgiem pierādījumiem jāietver sekmīgas pieteikšanās, nesekmīgas pieteikšanās, Conditional Access politikas rezultāts, MFA metode, pieteikšanās risks, lietotāja risks, ierīces atbilstības stāvoklis, izmantotā lietojumprogramma, atrašanās vieta, klienta lietojumprogramma, sesijas kontroles rezultāts, politikas izmaiņu vēsture un administratīvās darbības.

Zenith Controls kartē ISO/IEC 27002:2022 kontroles pasākumu 8.16 Uzraudzības darbības kā atklājošu un koriģējošu pasākumu, kas saistīts ar atklāšanas un reaģēšanas konceptiem. Tas sasaista uzraudzību ar žurnālfiksēšanu, notikumu izvērtēšanu, draudu izlūkošanu, piegādātāju uzraudzību un incidentu pārvaldību. Tas arī kartē uzraudzības darbības pret GDPR Articles 32 un 33, NIS2 incidentu uzraudzību un ziņošanu, DORA IKT incidentu izsekošanu, NIST nepārtrauktu uzraudzību un COBIT drošības uzraudzību.

Augsta riska pieteikšanās, ko bloķē Conditional Access, tādēļ nav tikai drošības ieguvums. Tas ir pierādījums, ka preventīvie, atklājošie un reaģēšanas procesi ir sasaistīti.

Sesiju kontroles pasākumi: saikne starp piekļuvi un datu aizsardzību

Lēmumi pirms piekļuves nav pietiekami. Kad lietotājs ir autentificēts, sesiju kontroles pasākumi nosaka, cik liela pakļautība riskam saglabājas. Tas ir īpaši svarīgi nepārvaldītām ierīcēm, līgumslēdzējiem, attālinātajam darbam, koplietotiem termināļiem, riskantām atrašanās vietām un lietojumprogrammām, kas apstrādā personas datus.

SME Lietojumprogrammu drošības prasību politika-sme Lietojumprogrammu drošības prasību politika-sme - SME nosaka:

Sesiju pārvaldība: sesijas datiem jābeidzas pēc 15 minūšu neaktivitātes, un, ja piemērojams, jāiekļauj noildzes brīdinājumi.

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.1.1.3.

Microsoft Entra pārvaldībā to var kartēt uz pieteikšanās biežumu, pastāvīgu pārlūkprogrammu sesiju ierobežojumiem, Conditional Access App Control, lietotnei piemērotiem ierobežojumiem, lejupielāžu bloķēšanu, atkārtotu autentifikāciju pēc riska izmaiņām un uz sensitivitāti balstītiem sesiju ierobežojumiem.

Sesiju kontroles pasākumi atbalsta ISO/IEC 27002:2022 kontroles pasākumu 8.3 Informācijas piekļuves ierobežošana un 8.5 Droša autentifikācija. Tie arī atbalsta GDPR Article 32, samazinot nesankcionētu personas datu skatīšanu, lejupielādi vai piekļuves noturību. DORA kontekstā sesiju ierobežojumi palīdz ierobežot ekspozīciju IKT sistēmās un atbalsta atklāšanu un reaģēšanu. NIS2 kontekstā tie ir samērīgi piekļuves kontroles un kiberdrošības higiēnas pasākumi.

Pierādījumiem jāizskaidro, kāpēc sesijas kontroles pasākums pastāv. Piemēram, “bloķēt lejupielādi no nepārvaldītām ierīcēm personāla un finanšu lietojumprogrammām” jākartē pret personas datu noplūdi, galapunkta kompromitēšanu un konfidencialitātes zudumu. Pierādījumos jāiekļauj konfigurācija, lietojumprogrammu piemērošanas joma, testa pieteikšanās no pārvaldītām un nepārvaldītām ierīcēm, žurnāli, kas parāda ierobežojumus, un apstiprinājumu ieraksti.

Izveidojiet Conditional Access kontroles pasākumu reģistru

Conditional Access kontroles pasākumu reģistrs ir operacionāls tilts starp risku reģistru, Piemērojamības paziņojumu un Microsoft Entra konfigurāciju. Tas neaizstāj šos dokumentus. Tas padara tos praktiski izmantojamus.

Izmantojiet piecu soļu pārskatīšanas ciklu:

1. Apstipriniet piemērošanas jomu: identificējiet mākoņlietojumprogrammas, kas apstrādā reglamentētus, finanšu, operacionālus vai personas datus.
2. Kartējiet politikas pret riskiem: sasaistiet katru Conditional Access politiku ar vismaz vienu riska scenāriju un vienu riska īpašnieku.
3. Pārbaudiet izņēmumus: eksportējiet izslēgtos lietotājus, lomas, lietotnes, grupas, atrašanās vietas un ierīces. Katram izņēmumam nepieciešams īpašnieks, iemesls, apstiprinājums un derīguma termiņš.
4. Testējiet piemērošanu: izmantojiet testa kontus, lai pārbaudītu MFA, ierīču atbilstību, riska bloķēšanu, mantotās autentifikācijas bloķēšanu un sesiju ierobežojumus.
5. Sagatavojiet pierādījumu paku: glabājiet eksportus, ekrānuzņēmumus, žurnālus un apstiprinājumus kopā ar metadatiem.

SME Audita un atbilstības uzraudzības politika-sme Audita un atbilstības uzraudzības politika-sme - SME ir kritiska pierādījumu integritātei:

Metadati (piemēram, kas tos ievāca, kad un no kuras sistēmas) ir jādokumentē.

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.3.

Ekrānuzņēmumi bez avota, datuma, ievācēja un sistēmas konteksta ir vāji pierādījumi. Conditional Access eksporti, pieteikšanās žurnāli un pārskatīšanas pārskati jāuzskata par kontrolētiem audita ierakstiem.

Conditional Access pierādījumu starpatbilstības kartējums

Conditional Access vērtība ir tajā, ka viena kontroles pasākumu kopa, ja tā ir pienācīgi pārvaldīta, var apmierināt vairākas audita perspektīvas.

Zenith Controls arī kartē 5.15 Piekļuves kontroli pret GDPR Article 32, NIS2 Article 21(2)(i), DORA piekļuves pārvaldības konceptiem, NIST SP 800-53 piekļuves kontroles grupām un COBIT 2019 DSS06.04. Tas kartē 8.5 Drošu autentifikāciju pret GDPR Articles 5, 24, 25 un 32, NIS2 kiberdrošības risku pārvaldību, DORA IKT risku pārvaldību, NIST identifikāciju un autentifikāciju, kā arī COBIT identitātes un loģiskās piekļuves procesiem.

Secinājums ir vienkāršs. Ietvari izmanto atšķirīgu valodu, taču tie sagaida vienu un to pašu apliecinājuma modeli: pareizie lietotāji, no pieļaujamiem kontekstiem, izmantojot spēcīgu autentifikāciju, pārvaldītās sesijās, ar žurnāliem, kas pierāda notikušo.

Kā auditori pārbaudīs Conditional Access

ISO/IEC 27001:2022 auditors sāks ar IDPS. Viņš jautās, vai Conditional Access ir piemērošanas jomā, kurus riskus tas apstrādā, kā tas parādās SoA, kā tiek apstiprinātas politikas, kā tiek kontrolētas izmaiņas un vai pierādījumi apliecina darbības efektivitāti. Sagaidiet priviliģētu lietotāju, sensitīvu lietojumprogrammu, izņēmumu un nesenu politikas izmaiņu izlases pārbaudi.

DORA vai NIS2 auditors koncentrēsies uz operacionālo noturību, vadības pārskatatbildību un risku. Viņš var jautāt, kā piekļuves kontroles pasākumi aizsargā kritiskas vai svarīgas funkcijas, kā valde pārrauga identitātes risku, kā tiek veikta augsta riska pieteikšanos triāža un vai piekļuves atteices tiek izmantotas incidentu klasifikācijas vai ziņošanas lēmumos.

Uz GDPR orientētu auditoru interesēs personas dati. Viņš var jautāt, kā personāla, finanšu vai klientu dati tiek aizsargāti no nepārvaldītām ierīcēm, kā sesiju kontroles pasākumi samazina nesankcionētu skatīšanu, kā piekļuve tiek ierobežota autorizētiem lietotājiem un kā žurnāli atbalsta pārkāpuma ietekmes novērtēšanu.

COBIT 2019 pārskatītājs meklēs pārvaldības prakses, īpašumtiesības, rādītājus, atkārtojamību, veiktspējas uzraudzību un pilnveidi. Uz NIST orientēts vērtētājs salīdzinās identitātes, autentifikācijas, autorizācijas, uzraudzības un reaģēšanas rezultātus ar tehniskajiem pierādījumiem.

Uzņēmuma Piekļuves kontroles politika Piekļuves kontroles politika nosaka toni priviliģētai piekļuvei:

Administratīvā piekļuve stingri jākontrolē, izmantojot:

No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.1.

Jūsu Microsoft Entra pierādījumiem šis teikums jāpapildina operacionāli. Kuras lomas ir priviliģētas? Kurām nepieciešama pret pikšķerēšanu noturīga vai spēcīga MFA? Kuras ir pieejamas, izmantojot priviliģētās identitātes pārvaldību? Kuri konti ir ārkārtas piekļuves konti? Kuri ir izslēgti no politikām? Kurš tos pārskata? Kur tiek nosūtīti brīdinājumi?

Valdes rādītāji Conditional Access pārvaldībai

Tā kā NIS2 un DORA uzsver vadības pārskatatbildību, Conditional Access ziņošanai jābūt saprotamai valdei. Neziņojiet tikai politiku nosaukumus. Ziņojiet par riska stāvokli un kontroles veiktspēju.

Noderīgi rādītāji ietver:

• Priviliģēto kontu īpatsvars, kas aizsargāti ar spēcīgu MFA.
• Conditional Access izņēmumu skaits pēc riska līmeņa.
• Bloķētu, papildus pārbaudītu vai atļautu augsta riska pieteikšanos skaits.
• Sensitīvu lietojumprogrammu piekļuves īpatsvars, kam nepieciešamas atbilstošas ierīces.
• Nepārvaldītu ierīču sesiju skaits reglamentētām lietojumprogrammām.
• Laiks augsta riska pieteikšanās notikumu triāžai.
• Conditional Access politikas izmaiņu skaits ceturksnī.
• Beigušos, atjaunotu un nokavētu izņēmumu skaits.
• Autentifikācijas, sesiju un politikas izmaiņu žurnālfiksēšanas pārklājums.
• Neizturēti testēšanas gadījumi ceturkšņa Conditional Access validācijā.

Šie rādītāji pārvērš identitātes konfigurāciju pārraudzības pierādījumos. Tie arī palīdz vadības struktūrām pierādīt apstiprināšanu, pārskatīšanu, resursu nodrošināšanu un nepārtrauktu pilnveidi.

Biežākie konstatējumi, kas jānovērš pirms audita

Conditional Access konstatējumi parasti rodas no pārvaldības vājuma, nevis tehnoloģijas kļūmes. Biežākās problēmas ir šādas:

• Ārkārtas piekļuves konti ir izslēgti, bet netiek uzraudzīti.
• Politiku nosaukumi nav konsekventi, un tām trūkst īpašnieku.
• Sensitīvas lietojumprogrammas nav iekļautas ierīču atbilstības noteikumos.
• Vieslietotāji un ārējie sadarbības partneri apiet standarta kontroles pasākumus.
• Pakalpojumu konti un darbslodžu identitātes netiek pārvaldītas atsevišķi.
• Pieteikšanās riska atklājumi netiek triāžēti vai sasaistīti ar incidentiem.
• Sesiju kontroles pasākumi nekad netiek testēti no nepārvaldītām ierīcēm.
• Politikas izmaiņas tiek veiktas tieši ražošanas vidē bez izmaiņu ierakstiem.
• Izņēmumi ir pastāvīgi, nedokumentēti vai apstiprināti mutiski.
• Žurnāli tiek saglabāti, bet netiek pārskatīti.
• Pierādījumiem trūkst metadatu, avota konteksta vai pierādījumu glabāšanas ķēdes.

2026. gadam gatavs mērķstāvoklis ietver vadības apstiprinātu piekļuves pārvaldību, riskos balstītu Conditional Access dizainu, skaidru ISO/IEC 27001:2022 un ISO/IEC 27002:2022 kartējumu, dokumentētu NIS2, DORA un GDPR atbalstu, spēcīgu MFA pēc lomas un riska, ierīču atbilstību sensitīvai piekļuvei, sesiju ierobežojumus nepārvaldītiem kontekstiem, uzraudzītu autentifikāciju un politikas izmaiņas, izņēmumu dzīves ciklu, ceturkšņa testēšanu un vadības ziņošanu.

Pārvērtiet Microsoft Entra par auditam gataviem pierādījumiem

Jūsu Conditional Access politikas jau katru minūti pieņem drošības lēmumus. Jautājums ir, vai šie lēmumi ir pārvaldīti, riskos balstīti, uzraudzīti un kartēti pret pienākumiem, kas ir svarīgi jūsu auditoriem un regulatoriem.

Sāciet ar Zenith Blueprint Zenith Blueprint, īpaši 13. soli, lai sasaistītu Conditional Access politikas ar riskiem, apstrādes pasākumiem, Piemērojamības paziņojumu un regulatīvajām piezīmēm. Izmantojiet Zenith Controls Zenith Controls, lai kartētu piekļuves kontroli, drošu autentifikāciju, galapunktu drošības stāvokli, žurnālfiksēšanu un uzraudzību pret ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST un COBIT 2019.

Pēc tam saskaņojiet iekšējās prasības ar Clarysec politikām, tostarp Mākoņpakalpojumu izmantošanas politika-sme, Tīkla drošības politika-sme, Žurnālfiksēšanas un uzraudzības politika-sme, Audita un atbilstības uzraudzības politika-sme, Lietojumprogrammu drošības prasību politika-sme, Mākoņpakalpojumu izmantošanas politika, Lietotāju kontu un privilēģiju pārvaldības politika, Attālinātā darba politika, Piekļuves kontroles politika un Žurnālfiksēšanas un uzraudzības politika.

Clarysec palīdz pārvērst Microsoft Entra Conditional Access no iestatījumu kopas par piemērojamu, izmērāmu un auditam gatavu kontroles sistēmu. Lejupielādējiet attiecīgos Clarysec rīkkopas materiālus, pieprasiet politiku kartēšanas pārskatīšanu vai rezervējiet izvērtēšanu, lai pārliecinātos, vai jūsu Conditional Access pierādījumi iztur ISO 27001, NIS2, DORA un GDPR pārbaudi.