Sdílet prostřednictvím


Model podnikového přístupu

Tento dokument popisuje celkový model podnikového přístupu, který zahrnuje kontext, jak do něj zapadá strategie privilegovaného přístupu . Plán přechodu na strategii privilegovaného přístupu najdete v plánu rychlé modernizace (RaMP). Pokyny k nasazení tohoto řešení najdete v tématu nasazení řešení s privilegovaným přístupem

Strategie privilegovaného přístupu je součástí celkové strategie řízení přístupu podniku. Tento model podnikového přístupu ukazuje, jak privilegovaný přístup zapadá do celkového modelu podnikového přístupu.

Primární úložiště obchodních hodnot, které musí organizace chránit, jsou v rovině dat nebo úloh:

rovina dat/úloh

Aplikace a data obvykle ukládají velké procento organizace:

  • obchodní procesy v aplikacích a úlohách
  • duševní vlastnictví v datech a aplikacích

Podniková IT organizace spravuje a podporuje pracovní zátěže a infrastrukturu, na kterých jsou umístěny, ať už jde o místní řešení, Azure nebo poskytovatele cloudových služeb třetí strany, čímž vytváří rovinu správy. Zajištění konzistentního řízení přístupu k těmto systémům v rámci celého podniku vyžaduje řídicí rovinu na základě centralizovaných systémů podnikových identit, které jsou často doplněny řízením přístupu k síti pro starší systémy, jako jsou zařízení OT (Operational Technology).

řízení, správy a datové / úlohové roviny

Každá z těchto rovin má kontrolu nad daty a úlohami díky svým funkcím, čímž vytváří atraktivní cestu, kterou mohou útočníci zneužít, pokud mohou získat kontrolu nad kteroukoli z nich.

Aby tyto systémy mohly vytvářet obchodní hodnotu, musí být přístupné interním uživatelům, partnerům a zákazníkům, kteří používají své pracovní stanice nebo zařízení (často používají řešení pro vzdálený přístup) – vytváření uživatelských přístupů cest. Musí být často dostupné prostřednictvím programování skrze rozhraní API, aby bylo možné usnadnit automatizaci procesů a vytvářet přístupové cesty k aplikacím.

Přidání cest přístupu uživatelů a aplikací

Tyto systémy musí být spravovány a udržovány it zaměstnanci, vývojáři nebo jinými uživateli v organizacích a vytvářet privilegovaný přístup cesty. Vzhledem k vysoké úrovni kontroly, kterou poskytují nad důležitými obchodními prostředky v organizaci, musí být tyto cesty přísně chráněny před ohrožením.

privilegovaný přístup ke správě a údržbě

Zajištění konzistentního řízení přístupu v organizaci, které umožňuje produktivitu a snižuje riziko, vyžaduje, abyste

  • Vynucení principů nulové důvěryhodnosti u všech přístupů
    • Předpokládat porušení ostatních součástí
    • Explicitní ověření důvěryhodnosti
    • Přístup s nejnižšími oprávněními
  • Rozsáhlé zajištění bezpečnosti a prosazování zásad napříč
    • Interní a externí přístup k zajištění konzistentní aplikace zásad
    • Všechny metody přístupu, včetně uživatelů, správců, rozhraní API, účtů služeb atd.
  • Zmírnění eskalace neoprávněných oprávnění
    • Vynucování hierarchie – aby se zabránilo kontrole vyšších rovin z nižších rovin (prostřednictvím útoků nebo zneužití legitimních procesů)
      • Řídicí rovina
      • Rovina správy
      • Rovina dat a úloh
    • Nepřetržitý audit zranitelností v konfiguraci umožňujících neúmyslnou eskalaci
    • Monitorování a reakce na anomálie, které by mohly představovat potenciální útoky

Vývoj ze starší verze modelu vrstvy AD

Model podnikového přístupu nahrazuje a nahrazuje starší model vrstvy, který se zaměřoval na neoprávněné eskalace oprávnění v místním prostředí Windows Server Active Directory.

starší model vrstvy AD

Model podnikového přístupu zahrnuje tyto prvky a také úplné požadavky na správu přístupu moderního podniku, který zahrnuje místní prostředí, více cloudů, interní nebo externí přístup uživatelů a další.

Kompletní model podnikového přístupu ze starých úrovní

Rozšíření oboru vrstvy 0

Úroveň 0 se rozšiřuje, aby se stala řídicí rovinou a řeší všechny aspekty řízení přístupu, včetně sítí, kde se jedná o jedinou/nejlepší možnost řízení přístupu, jako jsou starší možnosti OT.

Rozdělení vrstvy 1

Kvůli lepší srozumitelnosti a použitelnosti je teď úroveň 1 rozdělená do následujících oblastí:

  • Správní rovina – pro celopodnikové funkce správy IT
  • Datová/úlohová rovina – pro správu na úrovni jednotlivých úloh, kterou někdy provádějí pracovníci IT a někdy organizační jednotky

Toto rozdělení zajišťuje zaměření na ochranu důležitých obchodních systémů a rolí správy, které mají vysokou vnitřní obchodní hodnotu, ale omezenou technickou kontrolu. Kromě toho toto rozdělení lépe vyhovuje vývojářům a modelům DevOps oproti tomu, že se příliš výrazně zaměřuje na klasické role infrastruktury.

Rozdělení vrstvy 2

Aby se zajistilo pokrytí přístupu k aplikacím a různým modelům partnerů a zákazníků, byla úroveň 2 rozdělena do následujících oblastí:

  • uživatelský přístup – včetně všech scénářů B2B, B2C a veřejného přístupu
  • Přístup k aplikaci – k umožnění cest přístupu k API a výsledné ploše útoku

Další kroky