Úrovně zabezpečení privilegovaného přístupu

Tento dokument popisuje úrovně zabezpečení strategie privilegovaného přístupu: Přehled o tom, jak tuto strategii přijmout, najdete v plánu rychlé modernizace (RaMP). Pokyny k implementaci najdete v tématu Nasazení privilegovaného přístupu.

Tyto úrovně jsou primárně navržené tak, aby poskytovaly jednoduché a jednoduché technické pokyny, aby organizace rychle nasadily tyto kriticky důležité ochrany. Strategie privilegovaného přístupu rozpozná, že organizace mají jedinečné potřeby, ale také to, že vlastní řešení vytvářejí složitost, která vede k vyšším nákladům a nižšímu zabezpečení v průběhu času. Aby byla tato potřeba vyvážená, poskytuje strategie pevné normativní pokyny pro každou úroveň a flexibilitu tím, že umožňuje organizacím zvolit, kdy bude každá role potřebná ke splnění požadavků této úrovně.

Jednoduché věci pomáhají lidem porozumět a snižují riziko, že budou zmatení a dělat chyby. I když je základní technologie téměř vždy složitá, je důležité, aby byly věci jednoduché, a ne vytvářet vlastní řešení, která se obtížně podporují. Další informace najdete v článku Principy návrhu zabezpečení.

Při navrhování řešení, která jsou zaměřená na potřeby správců a koncových uživatelů, je to pro ně jednoduché. Navržení řešení, která jsou jednoduchá pro pracovníky v oblasti zabezpečení a IT pro vytváření, posuzování a údržbu (s automatizací tam, kde je to možné), vede k menším chybám zabezpečení a spolehlivějším zárukám zabezpečení.

Doporučená strategie zabezpečení privilegovaného přístupu implementuje jednoduchý tříschůdný systém zajištění, který je rozložený napříč oblastmi, navržený tak, aby se snadno nasazoval pro: účty, zařízení, zprostředkovatele a rozhraní.

Každá po sobě jdoucí úroveň pohání náklady na útočníky s další úrovní investic defenderu pro cloud. Úrovně jsou navržené tak, aby se zaměřly na "sladká místa", kde se obránci nejvíce vracejí (nárůst nákladů útočníka) pro každou investici zabezpečení, která podnikne.

Každá role ve vašem prostředí by měla být namapovaná na jednu z těchto úrovní (a volitelně se v průběhu času zvýšila v rámci plánu zlepšování zabezpečení). Každý profil je jasně definovaný jako technická konfigurace a automatizovaný tam, kde je to možné, aby se usnadnilo nasazení a urychlil zabezpečení. Podrobnosti o implementaci najdete v článku Přehled privilegovaného přístupu.

Úrovně zabezpečení používané v rámci této strategie jsou:

• Enterprise zabezpečení je vhodné pro všechny podnikové uživatele a scénáře produktivity. V průběhu plánu rychlé modernizace slouží enterprise také jako výchozí bod pro specializovaný a privilegovaný přístup, protože postupně staví na ovládacích prvcích zabezpečení v podnikovém zabezpečení.

  Poznámka:

  Existují i slabší konfigurace zabezpečení, ale microsoft je dnes nedoporučuje pro podnikové organizace kvůli dovednostem a prostředkům, které mají k dispozici útočníci. Informace o tom, co si útočníci koupí od sebe na tmavých trzích a průměrné ceny, najdete ve videu Top 10 Best Practices for Azure Security (Nejlepší 10 nejlepších postupů pro zabezpečení Azure).

• Speciální zabezpečení poskytuje lepší kontrolu zabezpečení rolí se zvýšeným dopadem na firmy (pokud je ohrožený útočníkem nebo škodlivým insider).

  Vaše organizace by měla mít zdokumentovaná kritéria pro specializované a privilegované účty (například potenciální dopad na firmy je nad 1 USD) a pak identifikovat všechny role a účty splňující tato kritéria. (používá se v celé této strategii, včetně specializovaných účtů)

  Mezi specializované role obvykle patří:

  • Vývojáři důležitých obchodních systémů.
  • Citlivé obchodní role, jako jsou uživatelé terminálů SWIFT, výzkumní pracovníci s přístupem k citlivým datům, pracovníci s přístupem k finančnímu výkaznictví před veřejným vydáním, správci mezd, schvalovatelé citlivých obchodních procesů a další role s vysokým dopadem.
  • Vedoucí a osobní asistenti / administrativní asistenti, kteří pravidelně zachytává citlivé informace.
  • Účty sociálních médií s vysokým dopadem, které by mohly poškodit reputaci společnosti.
  • Citliví správci IT s významnými oprávněními a dopadem, ale nejsou v celém podniku. Tato skupina obvykle zahrnuje správce jednotlivých úloh s vysokým dopadem. (například správci plánování podnikových zdrojů, správci bankovnictví, role technické podpory atd.)

  Zabezpečení specializovaného účtu slouží také jako dočasný krok pro privilegované zabezpečení, které na těchto ovládacích prvcích dále navazuje. Podrobnosti o doporučeném pořadí postupu najdete v přehledu privilegovaného přístupu.

• Privilegované zabezpečení je nejvyšší úroveň zabezpečení určená pro role, které by mohly snadno způsobit velké incidenty a potenciální materiální poškození organizace v rukou útočníka nebo škodlivého insidera. Tato úroveň obvykle zahrnuje technické role s oprávněními správce ve většině nebo ve všech podnikových systémech (a někdy zahrnuje několik důležitých rolí pro firmy).

  Na prvním místě se privilegované účty zaměřují na zabezpečení, protože produktivita je definovaná jako schopnost snadno a bezpečně bezpečně provádět citlivé úlohy. Tyto role nebudou mít možnost provádět citlivé úkoly práce i obecné produktivity (procházet web, instalovat a používat libovolnou aplikaci) pomocí stejného účtu nebo stejného zařízení/pracovní stanice. Budou mít vysoce omezené účty a pracovní stanice se zvýšeným monitorováním jejich akcí pro neobvyklé aktivity, které by mohly představovat aktivitu útočníka.

  Role zabezpečení privilegovaného přístupu obvykle zahrnují:

  • Globální správci Azure AD a související role
  • Další role správy identit s právy správce k podnikovému adresáři, systémům synchronizace identit, federačnímu řešení, virtuálnímu adresáři, privilegované identitě/systému pro správu přístupu atd.
  • Role s členstvím v těchto místních skupinách služby Active Directory
    • Enterprise správci
    • Správci domény
    • Správce schématu
    • BUILTIN\Administrators
    • Operátory účtů
    • Operátory zálohování
    • Operátory tisku
    • Serverové operátory
    • Řadiče domény
    • Řadiče domény jen pro čtení
    • Zásady skupiny vlastníci tvůrců
    • Kryptografické operátory
    • Distribuní uživatelé modelu COM
    • Citlivé místní skupiny Exchange (včetně Exchange Windows oprávnění a Exchange důvěryhodného subsystému)
    • Další delegované skupiny – vlastní skupiny, které může vaše organizace vytvořit ke správě operací s adresáři.
    • Každý místní správce pro základní operační systém nebo tenanta cloudové služby, který je hostitelem výše uvedených funkcí, včetně
      • Členové místní skupiny správců
      • Pracovníci, kteří znají kořen nebo integrované heslo správce
      • Správci jakéhokoli nástroje pro správu nebo zabezpečení s agenty nainstalovanými v těchto systémech

Další kroky

• Přehled zabezpečení privilegovaného přístupu
• Strategie privilegovaného přístupu
• Měření úspěšnosti
• Privilegované přístupové účty
• Zprostředkovatelé
• Rozhraní
• Zařízení s privilegovaný přístup
• Enterprise přístupového modelu