Kebijakan conditional access untuk meningkatkan keamanan Active Directory

Memahami kebijakan conditional access

Model kerja remote terbukti bermanfaat bagi organisasi dan karyawan, sehingga akan terus diterapkan. Namun, karyawan remote rentan terhadap serangan siber, sehingga pendekatan keamanan yang ketat seperti Active Directory MFA perlu diterapkan untuk mencegah kebocoran data di jaringan. Sayangnya, penerapan kebijakan akses yang ketat di seluruh organisasi seperti MFA memiliki dampak buruk bagi pengalaman pengguna. Meskipun 2FA atau 3FA dapat mengamankan login jarak jauh, langkah ini bisa menjadi kerepotan yang tidak perlu bagi user Active Directory on-premise yang sudah terlindungi di dalam perimeter kantor. Oleh karena itu, pendekatan yang lebih efisien adalah penerapan kebijakan conditional access berdasarkan konteks. Kebijakan ini akan membantu organisasi untuk:

• Mengimplementasi kontrol akses tanpa bantuan admin IT.
• Meningkatkan keamanan organisasi tanpa memengaruhi pengalaman pengguna.

Apa itu conditional access? Apa saja kondisi akses yang umum dianalisis?

Conditional access (akses bersyarat) menerapkan serangkaian aturan yang menganalisis berbagai kondisi akses, seperti IP address, waktu akses, perangkat, dan lokasi geografis pengguna. Conditional access digunakan untuk menegakkan keputusan kontrol akses secara otomatis. Keputusan tersebut diterapkan secara real time berdasarkan faktor kontekstual ini untuk menghindari penerapan langkah keamanan yang terlalu ketat pada skenario tanpa risiko. Hal ini memastikan pengalaman pengguna yang lebih baik tanpa mengorbankan keamanan.

Beberapa skenario umum beserta langkah keamanan yang dapat diterapkan menggunakan conditional access antara lain:

• Mewajibkan verifikasi multi-faktor untuk pengguna dengan hak istimewa.
• Mewajibkan MFA untuk akses di luar lokasi ke aplikasi penting bisnis bagi semua karyawan.
• Memblokir akses ke tindakan berisiko tinggi seperti permintaan reset password secara self-service dari IP tidak tepercaya atau perangkat yang tidak dikenal.

Kebijakan conditional access Active Directory dengan ADSelfService Plus

Penyusunan aturan conditional access di ADSelfService Plus dimulai dari tiga komponen utama, yaitu:

• Kondisi

  Kondisi mencakup daftar faktor yang dapat memengaruhi keamanan organisasi Anda. ADSelfService Plus memungkinkan Anda mengatur kondisi berdasarkan faktor risiko berikut:

  • IP address (tepercaya dan tidak tepercaya)
  • Perangkat (tipe perangkat dan platform)
  • Jam kerja (jam kerja dan di luar jam kerja)
  • Geolocation (berdasarkan asal request)

• Kriteria

  Setelah mengonfigurasi kondisi yang ada, kriteria dapat dibuat menggunakan operator seperti AND, OR, atau NOT. Kriteria inilah yang akan dikaitkan dengan kebijakan akses.

• Kebijakan akses

  Kriteria kemudian dihubungkan dengan kebijakan akses yang telah dikonfigurasi sebelumnya, yang disebut sebagai kebijakan self-service pada ADSelfService Plus. Admin IT dapat membuat kebijakan self-service dan mengaktifkan fitur tertentu untuk user dalam domain, unit organisasi (OU), dan grup tertentu.

Untuk detail lebih lanjut tentang pembuatan aturan conditional access, lihat panduan tentang kebijakan self-service dan konfigurasi conditional access berikut.

1. User Active Directory login ke perangkat mereka dan mencoba mengakses aplikasi atau salah satu fitur self-service di ADSelfService Plus.
2. Berdasarkan kondisi yang sudah ditentukan, faktor risiko seperti IP address, waktu akses, dan geolokasi akan dianalisis.
3. Jika data yang ada memenuhi kondisi, maka user akan diberikan kebijakan self-service yang memungkinkan salah satu dari tindakan berikut:
   • Akses penuh ke akun domain dan fitur
   • Akses aman menggunakan MFA
   • Akses terbatas ke fitur tertentu
   • Akses yang dibatasi pada fitur tertentu
4. Jika user tidak memenuhi aturan conditional access yang sudah ditetapkan, kebijakan self-service akan diterapkan berdasarkan grup atau OU user.

Use case yang mengilustrasikan cara kerja kebijakan conditional access

Use case 1: Ketika login remote ke domain Active Directory organisasi perlu diamankan menggunakan MFA

Pada contoh ini, bayangkan 50% dari organisasi bekerja secara hybrid. 20% lainnya adalah pekerja remote. Lalu, 30% sisanya bekerja dari kantor. Organisasi ini harus menerapkan MFA untuk karyawan yang log in dari jarak jauh. Penerapan conditional access pada skenario ini melibatkan:

1. Penerapan kebijakan self-service yang mengaktifkan endpoint MFA.
2. Konfigurasi dua kondisi:
   • IP address: Menyediakan daftar IP address tepercaya.
   • Lokasi: Memilih lokasi di luar premise organisasi.
3. Pembuatan kriteria berikut:
   • (NOT IP address tepercaya) AND lokasi tertentu yang dipilih
4. Kriteria ini dihubungkan dengan kebijakan self-service.

Beginilah bagaimana kebijakan conditional access bekerja:

Ketika user mencoba log in ke perangkat, IP address dan lokasi user akan dianalisis. Jika akses ini berasal dari IP address yang tidak tepercaya dan lokasi yang dipilih, kriteria akan terpenuhi dan user akan diarahkan ke kebijakan self-service yang mewajibkan endpoint MFA. Saat kondisi tidak terpenuhi, kebijakan self-service lain yang berlaku untuk user akan diterapkan.

Use case 2: Hanya izinkan user dengan perangkat yang terhubung ke domain untuk mengakses aplikasi perusahaan menggunakan SSO

Aplikasi perusahaan sering digunakan untuk memproses dan menyimpan data sensitif user. Karena kebanyakan aplikasi ini diletakkan di cloud dan berada di luar perimeter keamanan jaringan Anda, mereka sering menjadi target favorit serangan siber. Biasanya, para penyerang menggunakan phishing dan teknik serangan lainnya untuk mendapatkan akses ke aplikasi tersebut dan mencuri data dari jarak jauh.

Dengan conditional access, Anda bisa mengizinkan hanya user dengan komputer yang terhubung ke domain yang bisa mengakses aplikasi penting berisi data sensitif. Anda juga bisa mengizinkan hanya IP address tepercaya untuk mengakses aplikasi penting, sehingga penyerang tidak bisa mengakses aplikasi ini bahkan jika mereka mencuri kredensial user.

Beginilah contoh konfigurasi aturan conditional access untuk skenario ini:

1. Mengonfigurasi kebijakan self-service yang mengaktifkan SSO untuk aplikasi yang diperlukan.
2. Mengonfigurasi dua kondisi:
   • Berdasarkan IP address: Menyediakan daftar IP address tepercaya.
   • Berdasarkan perangkat: Memilih semua objek yang terhubung dengan domain.
3. Membuat kriteria berikut:
   • IP address tepercaya AND objek komputer yang dipilih
4. Mengaitkan kriteria ini dengan kebijakan self-service yang telah dibuat.

Beginilah bagaimana aturan conditional access bekerja:

Ketika user mencoba login ke aplikasi perusahaan melalui SSO, IP address dan tipe perangkat yang digunakan akan dianalisis. Jika IP address tepercaya dan perangkat tersebut merupakan bagian dari domain AD, kriteria yang telah dibuat akan terpenuhi. Lalu, kebijakan self-service yang terkait dengan kriteria tersebut akan diterapkan kepada user, sehingga mereka dapat mengakses aplikasi perusahaan melalui SSO.

Manfaat menerapkan conditional access dengan ADSelfService Plus

• Pilih autentikator yang Anda inginkan dari 20 autentikator berbeda, termasuk FIDO passkey,biometrik, dan MFA.
• Atur akses ke mesin, VPN, OWA, RDP, dan pusat admin Exchange dari satu konsol.
• Terapkan kebijakan conditional access yang mendetail untuk berbagai departemen berbeda dalam organisasi.