다음을 통해 공유

엔터프라이즈 액세스 모델

  • 아티클

이 문서에서는 권한 있는 액세스 전략 적합한 방식의 컨텍스트를 포함하는 전체 엔터프라이즈 액세스 모델을 설명합니다. 권한 있는 액세스 전략을 채택하는 방법에 대한 로드맵은 빠른 현대화 계획(RaMP)참조하세요. 이를 배포하기 위한 구현 지침은 권한 있는 액세스 배포 참조하세요.

권한 있는 액세스 전략은 전체 엔터프라이즈 액세스 제어 전략의 일부입니다. 이 엔터프라이즈 액세스 모델은 권한 있는 액세스가 전체 엔터프라이즈 액세스 모델에 어떻게 적합한지 보여 줍니다.

조직에서 보호해야 하는 비즈니스 가치의 기본 저장소는 데이터/워크로드 평면에 있습니다.

데이터/워크로드 평면

애플리케이션 및 데이터는 일반적으로 조직의 많은 비율을 저장합니다.

  • Business는 애플리케이션 및 워크로드에서 처리합니다.
  • 데이터 및 애플리케이션에서의 지적 재산

엔터프라이즈 IT 조직은 온-프레미스, Azure 또는 타사 클라우드 공급자 등 호스트되는 워크로드 및 인프라를 관리하고 지원하여 관리 평면만듭니다. 엔터프라이즈 전체에서 이러한 시스템에 일관된 액세스 제어를 제공하려면 중앙 집중식 엔터프라이즈 ID 시스템을 기반으로 하는 제어 평면 필요하며, 종종 OT(운영 기술) 디바이스와 같은 이전 시스템에 대한 네트워크 액세스 제어를 통해 보완됩니다.

제어, 관리 및 데이터/워크로드 평면

이러한 각 비행기는 해당 기능을 통해 데이터와 워크로드를 제어할 수 있으므로 공격자가 어느 한 비행기를 제어할 수 있다면 악용할 수 있는 매력적인 경로를 만듭니다.

이러한 시스템이 비즈니스 가치를 창출하려면 워크스테이션 또는 디바이스(종종 원격 액세스 솔루션 사용)를 사용하는 내부 사용자, 파트너 및 고객이 액세스할 수 있어야 하며 사용자 액세스 경로를 만듭니다. 또한 프로세스 자동화를 용이하게 하기 위해 API(애플리케이션 프로그래밍 인터페이스)를 통해 프로그래밍 방식으로 자주 사용할 수 있어야 하며, 애플리케이션 액세스 경로를 만들어야 합니다.

사용자 및 애플리케이션 액세스 경로 추가

마지막으로 IT 직원, 개발자 또는 조직의 다른 사용자가 이러한 시스템을 관리하고 유지 관리하여 권한 있는 액세스 경로를 만들어야 합니다. 조직에서 중요한 비즈니스 자산에 대해 제공하는 높은 수준의 제어로 인해 이러한 경로는 손상으로부터 엄격하게 보호되어야 합니다.

권한 있는 액세스 경로를 통해 를 관리 및 유지합니다.

생산성을 가능하게 하고 위험을 완화하는 조직에서 일관된 액세스 제어를 제공하려면 다음을 수행해야 합니다.

  • 모든 액세스에 제로 트러스트 원칙 적용
    • 다른 구성 요소의 위반 가정
    • 신뢰의 명시적 유효성 검사
    • 최소 권한 액세스
  • 전체에서 만연한 보안 및 정책 적용
    • 일관된 정책 애플리케이션을 보장하기 위한 내부 및 외부 액세스
    • 사용자, 관리자, API, 서비스 계정 등을 포함한 모든 액세스 방법
  • 비인가 권한 상승 완화
    • 계층 구조 적용 - 더 낮은 평면에서 더 높은 비행기의 제어를 방지하기 위해 (공격 또는 합법적 인 프로세스의 남용을 통해)
      • 컨트롤 플레인
      • 관리 계층
      • 데이터/워크로드 평면
    • 실수로 에스컬레이션할 수 있는 구성 취약성에 대한 지속적인 감사
    • 잠재적인 공격을 나타낼 수 있는 변칙 모니터링 및 대응

레거시 AD 계층 모델에서 진화

엔터프라이즈 액세스 모델은 온-프레미스 Windows Server Active Directory 환경에서 권한의 무단 에스컬레이션을 포함하는 데 중점을 둔 레거시 계층 모델을 대체하고 대체합니다.

레거시 AD 계층 모델

엔터프라이즈 액세스 모델은 온-프레미스, 여러 클라우드, 내부 또는 외부 사용자 액세스 등에 걸쳐 있는 최신 엔터프라이즈의 전체 액세스 관리 요구 사항뿐만 아니라 이러한 요소를 통합합니다.

이전 계층에서 엔터프라이즈 액세스 모델 완료

계층 0 범위 확장

계층 0은 컨트롤 플레인으로 확장되며 레거시 OT 옵션과 같은 유일한/최상의 액세스 제어 옵션인 네트워킹을 포함하여 액세스 제어의 모든 측면을 해결합니다.

1단계 분할

명확성과 실행 가능성을 높이기 위해 계층 1은 이제 다음 영역으로 분할됩니다.

  • 관리 평면 - 엔터프라이즈 차원의 IT 관리 기능용
  • 데이터/워크로드 평면 – 워크로드별 관리를 위해, 때로는 IT 담당자가 수행하며 경우에 따라 사업부에서 수행됩니다.

이 분할을 통해 본질적인 비즈니스 가치가 높지만 기술 제어가 제한된 비즈니스 중요 시스템 및 관리 역할을 보호하는 데 집중할 수 있습니다. 또한 이 분할은 개발자와 DevOps 모델을 더 잘 수용하여, 전통적인 인프라 역할에 과도하게 집중하지 않도록 돕습니다.

계층 2 분할

애플리케이션 액세스 및 다양한 파트너 및 고객 모델에 대한 적용 범위를 보장하기 위해 계층 2는 다음 영역으로 분할되었습니다.

  • 사용자 액세스 – 여기에는 모든 B2B, B2C 및 공용 액세스 시나리오가 포함됩니다.
  • 앱 액세스 – API 액세스 경로 및 결과 공격 노출 영역을 수용합니다.

다음 단계