Enterprise přístupového modelu

  • Článek
  • 3 min ke čtení

Tento dokument popisuje celkový model podnikového přístupu, který zahrnuje kontext, do kterého se vejde strategie privilegovaného přístupu. Přehled o tom, jak přijmout strategii privilegovaného přístupu, najdete v plánu rychlé modernizace (RaMP). Pokyny k implementaci tohoto nasazení najdete v tématu Nasazení s privilegovaný přístupem.

Strategie privilegovaného přístupu je součástí celkové strategie řízení přístupu organizace. Tento model podnikového přístupu ukazuje, jak se privilegovaný přístup vejde do celkového modelu podnikového přístupu.

Primární úložiště obchodních hodnot, které musí organizace chránit, jsou v rovině Data/Pracovní vytížení:

Data/pracovní vytížení

Aplikace a data obvykle ukládají velké procento organizace:

  • Obchodní procesy v aplikacích a úlohách
  • Duševní vlastnictví v datech a aplikacích

Podniková ORGANIZACE IT spravuje a podporuje úlohy ainfrastrukturu, na které jsou hostované, ať už je to místní, v Azure nebo cloudový poskytovatel třetích stran, a vytváří tak letadlo pro správu . Zajištění konzistentního řízení přístupu k těmto systémům v celém podniku vyžaduje řídicí rovinu založenou na centralizovaných podnikových identitách, které jsou často doplněné o řízení přístupu k síti pro starší systémy, jako jsou zařízení s provozní technologií (OT).

Řízení, správa a data/pracovní vytížení

Každá z těchto letadel má kontrolu nad daty a pracovními vytíženími na základě svých funkcí a vytváří atraktivní cestu, kterou útočníci zneužívají, pokud získají kontrolu nad každým letadlem.

Aby tyto systémy vytvářely obchodní hodnotu, musí být přístupné interním uživatelům, partnerům a zákazníkům, kteří používají pracovní stanice nebo zařízení (často používají řešení pro vzdálený přístup), což vytváří cesty přístupu uživatelů. Musí být také často k dispozici programově prostřednictvím rozhraní API (Application Programming Interfaces), aby se usnadnila automatizace procesů a vytváření přístupových drah aplikací.

Přidání cest pro přístup uživatelů a aplikací

A konečně, tyto systémy musí spravovat a spravovat pracovníci IT, vývojáři nebo jiní uživatelé v organizacích a vytvářet privilegované přístupové cesty. Vzhledem k vysoké úrovni kontroly, kterou poskytují nad důležitými obchodními prostředky v organizaci, musí být tyto cesty chráněny před ohrožením.

Cesta privilegovaného přístupu ke správě a údržbě

Zajištění konzistentního řízení přístupu v organizaci, které umožňuje produktivitu a zmírňuje rizika, vyžaduje, abyste

  • Vynucení zásad nulové důvěryhodnosti u všech přístupů
    • Předpokládají porušení jiných součástí.
    • Explicitní ověření důvěryhodnosti
    • Přístup k nejmenším oprávněním
  • Všudypřítomné zabezpečení a vynucení zásad napříč
    • Interní a externí přístup k zajištění konzistentní aplikace zásad
    • Všechny metody přístupu, včetně uživatelů, správců, rozhraní API, účtů služeb atd.
  • Zmírnění neoprávněného eskalace oprávnění
    • Vynucení hierarchie – zabránění kontrole nad vyššími letadly z nižších rovině (útokem nebo zneužitím legitimních procesů)
      • Řídicí rovina
      • Rovina správy
      • Data/pracovní vytížení
    • Průběžně auditovat chyby zabezpečení konfigurace umožňující neúmyslnou eskalaci
    • Monitorování a reakce na anomálie, které by mohly představovat potenciální útoky

Vývoj ze staršího modelu úrovně AD

Model podnikového přístupu nahrazuje starší model úrovně, který se zaměřuje na neoprávněné eskalace oprávnění v místním Windows Server Active Directory prostředí.

Starší model úrovně AD

Model podnikového přístupu zahrnuje tyto prvky a požadavky na úplnou správu přístupu moderního podniku, který zahrnuje místní, více cloudů, přístup interních nebo externích uživatelů a další.

Kompletní model podnikového přístupu ze starých úrovní

Rozšíření oboru úrovně 0

Úroveň 0 se rozbalí, aby se stala řídicí rovinou, a řeší všechny aspekty řízení přístupu, včetně sítě, kde je to jediná/nejlepší možnost řízení přístupu, například starší možnosti ot.

Rozdělení úrovně 1

Aby se zvýšila srozumitelnost a akcebilita, rozdělení úrovně 1 na následující oblasti:

  • Rovina správy – pro podnikové funkce správy IT
  • Data/Workload plane – pro správu podle pracovního vytížení, kterou někdy provádějí pracovníci IT a někdy i organizační jednotky.

Toto rozdělení zajišťuje ochranu důležitých obchodních systémů a administrativních rolí, které mají vysokou vnitřní obchodní hodnotu, ale omezenou technickou kontrolu. Navíc toto rozdělení lépe přizpůsobuje vývojářům a DevOps modelům a příliš se zaměřuje na klasické role infrastruktury.

Rozdělení úrovně 2

Aby bylo zajištěno pokrytí přístupu k aplikacím a různým modelům partnerů a zákazníků, byla úroveň 2 rozdělena do těchto oblastí:

  • Přístup uživatelů – včetně všech scénářů B2B, B2C a veřejného přístupu
  • Přístup k aplikacím – pro přístup k rozhraní API a výsledný povrch útoku

Další kroky