Model podnikového přístupu

Článek
03/22/2025

Tento dokument popisuje celkový model podnikového přístupu, který zahrnuje kontext, jak do něj zapadá strategie privilegovaného přístupu . Plán přechodu na strategii privilegovaného přístupu najdete v plánu rychlé modernizace (RaMP). Pokyny k nasazení tohoto řešení najdete v tématu nasazení řešení s privilegovaným přístupem

Strategie privilegovaného přístupu je součástí celkové strategie řízení přístupu podniku. Tento model podnikového přístupu ukazuje, jak privilegovaný přístup zapadá do celkového modelu podnikového přístupu.

Primární úložiště obchodních hodnot, které musí organizace chránit, jsou v rovině dat nebo úloh:

rovina dat/úloh

Aplikace a data obvykle ukládají velké procento organizace:

obchodní procesy v aplikacích a úlohách
duševní vlastnictví v datech a aplikacích

Podniková IT organizace spravuje a podporuje pracovní zátěže a infrastrukturu, na kterých jsou umístěny, ať už jde o místní řešení, Azure nebo poskytovatele cloudových služeb třetí strany, čímž vytváří rovinu správy. Zajištění konzistentního řízení přístupu k těmto systémům v rámci celého podniku vyžaduje řídicí rovinu na základě centralizovaných systémů podnikových identit, které jsou často doplněny řízením přístupu k síti pro starší systémy, jako jsou zařízení OT (Operational Technology).

řízení, správy a datové / úlohové roviny

Každá z těchto rovin má kontrolu nad daty a úlohami díky svým funkcím, čímž vytváří atraktivní cestu, kterou mohou útočníci zneužít, pokud mohou získat kontrolu nad kteroukoli z nich.

Aby tyto systémy mohly vytvářet obchodní hodnotu, musí být přístupné interním uživatelům, partnerům a zákazníkům, kteří používají své pracovní stanice nebo zařízení (často používají řešení pro vzdálený přístup) – vytváření uživatelských přístupů cest. Musí být často dostupné prostřednictvím programování skrze rozhraní API, aby bylo možné usnadnit automatizaci procesů a vytvářet přístupové cesty k aplikacím.

Přidání cest přístupu uživatelů a aplikací

Tyto systémy musí být spravovány a udržovány it zaměstnanci, vývojáři nebo jinými uživateli v organizacích a vytvářet privilegovaný přístup cesty. Vzhledem k vysoké úrovni kontroly, kterou poskytují nad důležitými obchodními prostředky v organizaci, musí být tyto cesty přísně chráněny před ohrožením.

privilegovaný přístup ke správě a údržbě

Zajištění konzistentního řízení přístupu v organizaci, které umožňuje produktivitu a snižuje riziko, vyžaduje, abyste

Vynucení principů nulové důvěryhodnosti u všech přístupů
- Předpokládat porušení ostatních součástí
- Explicitní ověření důvěryhodnosti
- Přístup s nejnižšími oprávněními
Rozsáhlé zajištění bezpečnosti a prosazování zásad napříč
- Interní a externí přístup k zajištění konzistentní aplikace zásad
- Všechny metody přístupu, včetně uživatelů, správců, rozhraní API, účtů služeb atd.
Zmírnění eskalace neoprávněných oprávnění
- Vynucování hierarchie – aby se zabránilo kontrole vyšších rovin z nižších rovin (prostřednictvím útoků nebo zneužití legitimních procesů)
  - Řídicí rovina
  - Rovina správy
  - Rovina dat a úloh
- Nepřetržitý audit zranitelností v konfiguraci umožňujících neúmyslnou eskalaci
- Monitorování a reakce na anomálie, které by mohly představovat potenciální útoky

Vývoj ze starší verze modelu vrstvy AD

Model podnikového přístupu nahrazuje a nahrazuje starší model vrstvy, který se zaměřoval na neoprávněné eskalace oprávnění v místním prostředí Windows Server Active Directory.

starší model vrstvy AD

Model podnikového přístupu zahrnuje tyto prvky a také úplné požadavky na správu přístupu moderního podniku, který zahrnuje místní prostředí, více cloudů, interní nebo externí přístup uživatelů a další.

Kompletní model podnikového přístupu ze starých úrovní

Rozšíření oboru vrstvy 0

Úroveň 0 se rozšiřuje, aby se stala řídicí rovinou a řeší všechny aspekty řízení přístupu, včetně sítí, kde se jedná o jedinou/nejlepší možnost řízení přístupu, jako jsou starší možnosti OT.

Rozdělení vrstvy 1

Kvůli lepší srozumitelnosti a použitelnosti je teď úroveň 1 rozdělená do následujících oblastí:

Správní rovina – pro celopodnikové funkce správy IT
Datová/úlohová rovina – pro správu na úrovni jednotlivých úloh, kterou někdy provádějí pracovníci IT a někdy organizační jednotky

Toto rozdělení zajišťuje zaměření na ochranu důležitých obchodních systémů a rolí správy, které mají vysokou vnitřní obchodní hodnotu, ale omezenou technickou kontrolu. Kromě toho toto rozdělení lépe vyhovuje vývojářům a modelům DevOps oproti tomu, že se příliš výrazně zaměřuje na klasické role infrastruktury.

Rozdělení vrstvy 2

Aby se zajistilo pokrytí přístupu k aplikacím a různým modelům partnerů a zákazníků, byla úroveň 2 rozdělena do následujících oblastí:

uživatelský přístup – včetně všech scénářů B2B, B2C a veřejného přístupu
Přístup k aplikaci – k umožnění cest přístupu k API a výsledné ploše útoku

Další kroky

přehled zabezpečení privilegovaného přístupu
strategie privilegovaného přístupu
Měření úspěšnosti
úrovně zabezpečení
účty privilegovaného přístupu
zprostředkovatelé
rozhraní
zařízení s privilegovaným přístupem

Sdílet prostřednictvím