企業存取模型

本文件說明整體企業存取模型，其中包含 受權存取策略 如何整合的內容。 如需如何採用特殊許可權存取策略的藍圖，請參閱 快速現代化計劃 （RaMP）。 如需部署此作業的實作指引，請參閱 特殊許可權存取部署

特殊許可權存取策略是整體企業訪問控制策略的一部分。 此企業存取模型會顯示特殊許可權存取如何融入整體企業存取模型。

組織必須保護的商業價值主要存放區位於數據/工作負載平面中：

應用程式和資料通常會儲存組織的大量百分比：

• 應用程式和工作負載中的業務流程
• 智慧財產權 在數據和應用程式中

企業 IT 組織會管理並支援所承載的工作負載和基礎結構，無論是在內部部署、Azure 上，還是第三方雲端提供者上，從而建立 管理平面。 在整個企業中為這些系統提供一致的訪問控制需要以集中式企業身份系統為基礎的 控制平面，通常對舊系統如操作技術（OT）裝置補充網路訪問控制。

每一個平面都利用其功能來控制數據和工作負載，如果攻擊者能夠控制任一平面，則為攻擊者提供濫用的誘人途徑。

若要讓這些系統創造商業價值，必須使用其工作站或裝置（通常使用遠端存取解決方案）來存取內部使用者、合作夥伴和客戶 -- 建立 使用者存取 路徑。 它們也必須透過應用程式開發介面 （API） 以程式設計方式經常提供，以協助程式自動化、建立 應用程式存取 路徑。

最後，這些系統必須由組織中的IT人員、開發人員或其他人員管理和維護，以建立 特殊許可權存取 路徑。 由於他們在組織中對業務關鍵資產提供的高等級控制，因此這些路徑必須受到嚴格保護，以免遭到入侵。

在組織中提供一致的存取控制，以提高生產力並降低風險，您需要去做

• 對所有存取強制執行零信任原則
  • 假設其他元件已被入侵
  • 明確驗證信任
  • 最低許可權存取
• 普遍的安全性和政策實施貫穿其中
  • 內部和外部存取，以確保政策一致應用
  • 所有存取方法，包括使用者、系統管理員、API、服務帳戶等。
• 防止未經授權的權限升級
  • 確保層次 – 防止從較低層次控制較高層次（透過攻擊或濫用正當的程式）
    • 控制平面
    • 管理平面
    • 數據/工作負載平面
  • 持續稽核配置漏洞，以防止導致無意的升級
  • 監視並回應可能代表潛在攻擊的異常

舊版 AD 層模型的演進

企業存取模型取代了舊版層模型，該層模型主要著重於防止在內部部署的 Windows Server Active Directory 環境中發生未經授權的權限升級。

企業存取模型包含這些專案，以及跨內部部署、多個雲端、內部或外部使用者存取等現代化企業的完整存取管理需求。

第 0 層範圍擴充

第 0 層擴展為控制平面，涵蓋存取控制的各個層面，其中包括僅能透過網路進行存取控制的情況，例如舊版 OT 選項。

第一級拆分

為了提高清晰性和可作性，第 1 層現在分成下列區域：

• 管理平面 – 適用於全企業 IT 管理功能
• 數據/工作負載平面 – 適用於個別工作負載管理，有時由IT人員執行，有時由業務單位執行

此分割可確保著重於保護具有高內建商業價值但技術控制有限的業務關鍵系統和系統管理角色。 此外，這種劃分更適合開發人員和 DevOps 模型，而不是過於著重於傳統基礎設施角色。

第 2 層分組

為了確保應用程式存取和各種合作夥伴和客戶模型的涵蓋範圍，第 2 層分成下列區域：

• 使用者存取 – 其中包含所有 B2B、B2C 和公用存取案例
• 應用程式接口存取 – 以容納 API 存取路徑和產生的攻擊面

後續步驟

• 保護特殊許可權存取概觀
• 特殊許可權存取策略
• 衡量成功
• 安全性層級
• 特殊許可權存取帳戶
• 中介機構
• 介面
• 特殊許可權存取裝置