ScubaGear项目中AAD条件访问策略检查的问题分析

问题背景

在微软Azure Active Directory(AAD)的安全评估工具ScubaGear中，发现了一个重要的策略检查问题。该问题涉及对条件访问(Conditional Access)策略中排除项的检测不完整，可能导致安全评估结果出现偏差。

技术细节

受影响策略范围

该问题主要影响ScubaGear中对以下AAD条件访问策略的检查：

• 禁用旧式身份验证(MS.AAD.1.1v1)
• 管理员账户的MFA要求(MS.AAD.2.1v1)
• 用户账户的MFA要求(MS.AAD.2.3v1)
• 高风险登录的保护措施(MS.AAD.3.1v1)
• 高风险用户的保护措施(MS.AAD.3.2v1)
• 设备合规性要求(MS.AAD.3.6v1)
• 批准的客户端应用要求(MS.AAD.3.7v1)
• 应用保护策略要求(MS.AAD.3.8v1)

问题本质

问题的核心在于ScubaGear的Rego策略检查逻辑没有全面验证条件访问策略中的排除项配置。具体表现为：

1. 角色排除项未检查：某些情况下可以通过将特定目录角色排除在策略之外来规避安全控制。

2. 应用程序排除项未检查：可以将关键云应用(如Microsoft管理门户)排除在策略适用范围外。

3. 检查逻辑不一致：不同策略模块对条件访问的检查实现方式不一致，有些直接实现检查逻辑而非调用统一的辅助规则集。

问题影响

该问题可能导致以下情况：

1. 评估结果偏差：即使条件访问策略配置了关键安全控制，但如果存在不当排除项，ScubaGear仍可能错误地报告"通过"评估。

2. 控制规避风险：可能利用排除项配置问题，针对特定用户、角色或应用程序规避MFA等关键安全控制。

3. 合规性偏差：可能使组织误以为自己符合相关安全标准，而实际上存在配置缺陷。

解决方案

针对该问题的改进方案包括：

1. 统一检查逻辑：重构代码确保所有相关策略调用统一的辅助规则集进行条件访问检查。

2. 增强排除项检查：

   • 限制角色排除项
   • 限制应用程序排除项
   • (注：关于访客用户排除项的检查待与相关方进一步确认需求)

3. 补充测试用例：新增单元测试验证排除项配置的检测功能。

实施建议

对于使用ScubaGear进行AAD安全评估的组织，建议：

1. 手动验证条件访问策略中的排除项配置，特别是管理员角色和关键应用程序。

2. 关注ScubaGear的更新，及时应用包含此改进的版本。

3. 定期复查条件访问策略，确保没有不合理的排除项配置。

4. 结合其他安全工具进行交叉验证，避免单一工具的检测盲区。

总结

该问题的发现和改进凸显了云安全配置评估工具的复杂性。条件访问策略中的排除项虽然提供了配置灵活性，但也需要谨慎管理。安全评估工具需要全面考虑各种配置可能性，才能提供准确的风险评估结果。