Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym dokumencie opisano ogólny model dostępu przedsiębiorstwa, który zawiera kontekst, w jaki sposób strategia dostępu uprzywilejowanego wpisuje się w całość. Aby zapoznać się z planem wdrażania strategii dostępu uprzywilejowanego, zobacz plan szybkiej modernizacji (RaMP). Aby uzyskać wskazówki dotyczące wdrażania tego rozwiązania, zobacz wdrożenie dostępu uprzywilejowanego
Strategia uprzywilejowanego dostępu jest częścią ogólnej strategii kontroli dostępu przedsiębiorstwa. Ten model dostępu dla przedsiębiorstw pokazuje, jak uprzywilejowany dostęp pasuje do ogólnego modelu dostępu przedsiębiorstwa.
Podstawowe magazyny wartości biznesowej, które organizacja musi chronić, znajdują się na płaszczyźnie Dane/Obciążenie:
Aplikacje i dane zwykle przechowują duży procent organizacji:
- Procesy biznesowe w aplikacjach i obciążeniach
- własność intelektualna w danych i aplikacjach
Organizacja IT w przedsiębiorstwie zarządza obciążeniami i infrastrukturą, na której są hostowane, zarówno lokalnie, na platformie Azure, jak i u dostawcy chmury innej firmy, tworząc płaszczyznę zarządzania. Zapewnienie spójnej kontroli dostępu do tych systemów w przedsiębiorstwie wymaga płaszczyzny sterowania opartej na scentralizowanych systemach tożsamości przedsiębiorstwa, często uzupełnionych przez kontrolę dostępu do sieci dla starszych systemów, takich jak urządzenia technologii operacyjnej (OT).
Każda z tych płaszczyzn ma kontrolę nad danymi i obciążeniami ze względu na swoje funkcje, co tworzy atrakcyjną ścieżkę dla atakujących do nadużycia, jeśli mogą kontrolować jedną z płaszczyzn.
Aby systemy te tworzyły wartość biznesową, muszą być dostępne dla użytkowników wewnętrznych, partnerów i klientów korzystających ze stacji roboczych lub urządzeń (często korzystających z rozwiązań dostępu zdalnego) — tworzenie ścieżek dostępu użytkowników . Muszą one być również często dostępne programowo za pośrednictwem interfejsów programowania aplikacji (API), aby ułatwić automatyzację procesów, tworząc ścieżki dostępu do aplikacji.
Na koniec te systemy muszą być zarządzane i utrzymywane przez pracowników IT, deweloperów lub innych w organizacji, tworząc uprzywilejowane ścieżki dostępu. Ze względu na wysoki poziom kontroli, jaki zapewniają nad zasobami krytycznymi dla działania firmy w organizacji, te ścieżki muszą być ściśle chronione przed kompromisem.
Zapewnienie spójnej kontroli dostępu w organizacji, która umożliwia produktywność i zmniejsza ryzyko, wymaga od Ciebie
- Wymuszanie zasad zerowego zaufania dla całego dostępu
- Przyjmij naruszenie innych składników
- Jawna weryfikacja zaufania
- Najmniej uprzywilejowany dostęp
- Wszechobecne wymuszanie zabezpieczeń i zasad
- Wewnętrzny i zewnętrzny dostęp w celu zapewnienia spójnej aplikacji zasad
- Wszystkie metody dostępu, w tym użytkownicy, administratorzy, interfejsy API, konta usług itp.
- Eliminowanie nieautoryzowanych eskalacji uprawnień
- Wymuszanie hierarchii — zapobieganie kontroli nad wyższymi poziomami z niższych (za pośrednictwem ataków lub nadużyć legalnych procesów)
- Płaszczyzna sterowania
- Płaszczyzna zarządzania
- Warstwa danych/zadań
- Ciągła inspekcja pod kątem luk w zabezpieczeniach konfiguracji umożliwiających nieumyślną eskalację
- Monitorowanie anomalii, które mogą reprezentować potencjalne ataki i reagowanie na nie
- Wymuszanie hierarchii — zapobieganie kontroli nad wyższymi poziomami z niższych (za pośrednictwem ataków lub nadużyć legalnych procesów)
Ewolucja z tradycyjnego modelu warstw w AD
Model dostępu przedsiębiorstwa zastępuje starszy, warstwowy model, skupiony na kontrolowaniu nieautoryzowanej eskalacji uprawnień w lokalnym środowisku systemu Windows Server Active Directory.
Model dostępu do przedsiębiorstw obejmuje te elementy, a także pełne wymagania dotyczące zarządzania dostępem nowoczesnego przedsiębiorstwa, które obejmuje lokalne, wiele chmur, dostęp użytkowników wewnętrznych lub zewnętrznych i nie tylko.
Rozszerzanie zakresu warstwy 0
Warstwa 0 rozszerza się, aby stać się płaszczyzną sterowania i obejmuje wszystkie aspekty kontroli dostępu, w tym sieci, gdy jest jedyną/najlepszą opcją kontroli dostępu, na przykład w przypadku starszych opcji OT.
Podziały poziomu 1
Aby zwiększyć przejrzystość i możliwości działania, warstwa 1 jest teraz podzielona na następujące obszary:
- Warstwa zarządzania — dla funkcji zarządzania IT w całym przedsiębiorstwie
- płaszczyzny danych/obciążeń — w przypadku zarządzania obciążeniami, które jest czasami wykonywane przez personel IT, a czasami przez jednostki biznesowe
Ten podział zapewnia skoncentrowanie się na ochronie systemów krytycznych dla działania firmy i ról administracyjnych, które mają wysoką wartość biznesową, ale ograniczoną kontrolę techniczną. Ponadto podział ten lepiej uwzględnia deweloperów i modele DevOps w porównaniu z zbyt dużym skupieniem się na klasycznych rolach infrastruktury.
Podziały poziomu 2
Aby zapewnić pokrycie dostępu do aplikacji oraz różnych modeli partnerów i klientów, warstwa 2 została podzielona na następujące obszary:
- dostęp użytkowników — obejmuje wszystkie scenariusze B2B, B2C i dostępu publicznego
- dostęp do aplikacji — w celu uwzględnienia ścieżek dostępu do interfejsu API i wynikowego obszaru podatnego na ataki
Następne kroki
- Zabezpieczanie uprzywilejowanego dostępu — omówienie
- strategia dostępu uprzywilejowanego
- Mierzenie sukcesu
- poziomy zabezpieczeń
- konta dostępu uprzywilejowanego
- Pośredników
- Interfejsy
- Urządzenia z uprzywilejowanym dostępem