Общие сведения об управлении привилегированным доступом

  • 7 мин

Управление привилегированным доступом (PAM) в Microsoft Purview помогает организациям контролировать доступ к конфиденциальным данным и критически важным конфигурациям в Microsoft Exchange Online. Традиционные административные учетные записи часто имеют постоянные разрешения, что повышает риск неправильного использования или компрометации. PAM снижает эти риски путем внедрения структурированных элементов управления доступом:

  • Нулевой постоянный доступ: административные разрешения не назначаются постоянно. Пользователи запрашивают доступ только при необходимости.
  • JIT-доступ. Временные разрешения предоставляются для конкретных задач, что ограничивает период раскрытия.
  • Достаточный доступ. Доступ ограничен минимальными разрешениями, необходимыми для выполнения задачи.

Эти элементы управления гарантируют, что административные разрешения предоставляются только при необходимости и только до тех пор, пока это необходимо.

Зачем использовать управление привилегированным доступом?

Постоянные административные разрешения повышают риск утечки данных и несанкционированных изменений. Например, если учетная запись администратора скомпрометирована, она может предоставить злоумышленникам непрерывный доступ к конфиденциальным данным и системам.

PAM снижает эти риски за счет:

  • Убедитесь, что разрешения являются временными и характерными для задачи.
  • Требование обоснования для запросов доступа.
  • Предоставление подробных записей о действиях по доступу для аудита и отчетности.

Внедряя PAM, организации укрепляют свои позиции в области безопасности, сохраняя при этом операционную эффективность.

Как работает управление привилегированным доступом?

PAM использует структурированный процесс для безопасного управления административным доступом. Вот как работает рабочий процесс:

  1. Доступ к запросу. Пользователь отправляет запрос на конкретную административную задачу, указывая тип задачи, область и длительность. Это гарантирует, что доступ запрашивается только при необходимости и для четко определенной цели.
  2. Утверждение. Назначенные утверждающие лица просматривают запрос и решают, следует ли предоставлять или запрещать доступ, исходя из его необходимости и область. Этот шаг гарантирует, что разрешения тщательно проверяются перед предоставлением.
  3. Выполнение задачи. После утверждения пользователь завершает задачу в течение предоставленного времени и область. Разрешения автоматически удаляются после завершения задачи или истечения срока действия доступа, что снижает риск несанкционированных действий.
  4. Аудит. Все действия, включая запросы, утверждения и выполнение задач, регистрируются для обеспечения соответствия требованиям и отчетности. Эти записи помогают выявлять любые аномалии и поддерживать аудит нормативных требований.

Этот процесс гарантирует, что доступ предоставляется только в том случае, если он оправдан и всегда тщательно отслеживается.

Уровни защиты

Управление привилегированным доступом (PAM) дополняет другие функции безопасности в архитектуре Microsoft 365, обеспечивая многоуровневую защиту от несанкционированного доступа и утечки данных. Включив PAM в состав интегрированной модели безопасности, организации могут лучше защищать конфиденциальные данные и критически важные параметры конфигурации.

Многоуровневая модель безопасности

Как показано на схеме, архитектура безопасности Microsoft 365 основана на нескольких уровнях защиты:

Схема, показывающая уровни защиты в управлении привилегированным доступом.

  1. Шифрование. Защищает неактивные и передаваемые данные, чтобы предотвратить несанкционированный доступ.
  2. Управление доступом на основе ролей (RBAC). Устанавливает постоянные разрешения доступа на основе ролей для управления доступом пользователей.
  3. Условный доступ. Применяет политики доступа на основе таких факторов, как расположение пользователя, состояние устройства и шаблоны поведения.
  4. Управление привилегированными удостоверениями и доступом:
    • Microsoft Entra управление привилегированными пользователями (PIM): обеспечивает JIT-управление доступом на уровне ролей, позволяя пользователям выполнять несколько задач в определенных ролях.
    • Управление привилегированным доступом Microsoft Purview: основное внимание уделяется управлению доступом для конкретных задач, применяя принципы JIT и достаточного доступа с рабочими процессами утверждения.

Интеграция с другими средствами безопасности

PAM и Microsoft Entra PIM рассматривают различные аспекты привилегированного доступа:

  • PAM: область доступа на уровне задач, обеспечивая детализированный контроль и утверждение конкретных административных действий в Microsoft 365.
  • PIM: область доступа на уровне роли, обеспечивая JIT-разрешения для более широких административных функций в ролях Active Directory и группах ролей.

Дополнительные варианты использования

  • Использование PAM наряду с Microsoft Entra PIM: добавление PAM обеспечивает детальный контроль над определенными административными задачами в Microsoft 365, повышая возможности защиты и аудита.
  • Добавление PIM в существующую конфигурацию PAM: PIM расширяет привилегированный доступ к системам и данным за пределами Microsoft 365, обеспечивая более широкий охват, определенный ролями или удостоверениями.

Объединяя PAM с такими инструментами, как Microsoft Entra PIM, шифрование и RBAC, организации могут обеспечить надежную безопасность, соблюдая принципы наименьших привилегий и JIT-доступа.

Где PAM вписывается в стратегию безопасности?

PAM — это один из уровней более широкой стратегии безопасности Microsoft 365. Он работает вместе с такими инструментами, как:

  • Шифрование. Защищает неактивные и передаваемые данные.
  • Microsoft Entra управление привилегированными пользователями (PIM): управляет доступом на уровне роли, в то время как PAM фокусируется на доступе для конкретной задачи.

Эти средства работают вместе, чтобы:

  • Усиление защиты от несанкционированного доступа.
  • Предоставьте подробные записи для обеспечения соответствия нормативным требованиям безопасности.
  • Упрощение применения принципов безопасности, таких как ограничение доступа на основе роли или задачи.

Управление привилегированным доступом (PAM) в Microsoft Purview — это критически важное средство для защиты административного доступа. Обеспечивая временные, конкретные и проверяемые разрешения, PAM помогает организациям сбалансировать безопасность и эффективность.