UnternehmenszugriffsmodellEnterprise access model

In diesem Dokument wird ein allgemeines Enterprise-Zugriffs Modell beschrieben, das den Kontext der Funktionsweise einer privilegierten Zugriffs Strategie umfasst.This document describes an overall enterprise access model that includes context of how a privileged access strategy fits in. Eine Roadmap für die Übernahme einer privilegierten Zugriffs Strategie finden Sie unter Rapid- Modernisierungsplan (RaMP).For a roadmap on how to adopt a privileged access strategy, see the rapid modernization plan (RaMP). Einen Implementierungs Leit Faden zur Bereitstellung finden Sie unter Bereitstellung mit privilegiertem ZugriffFor implementation guidance to deploy this, see privileged access deployment

Die Strategie für den privilegierten Zugriff ist Teil einer allgemeinen Strategie für die Zugriffs Steuerung in Unternehmen.Privileged access strategy is part of an overall enterprise access control strategy. Dieses Enterprise-Zugriffs Modell zeigt, wie der privilegierte Zugriff in ein allgemeines Unternehmens Zugriffs Modell passt.This enterprise access model shows how privileged access fits into an overall enterprise access model.

Die Hauptgeschäfts Werte, die eine Organisation schützen muss, befinden sich auf der Daten-/workloadebene:The primary stores of business value that an organization must protect are in the Data/Workload plane:

Daten/Arbeits Auslastungs Ebene

Die Anwendungen und Daten speichern in der Regel einen hohen Prozentsatz des Unternehmens:The applications and data typically store a large percentage of an organization's:

  • Geschäftsprozesse in Anwendungen und Arbeits AuslastungenBusiness processes in applications and workloads
  • Geistiges Eigentum in Daten und AnwendungenIntellectual property in data and applications

Die Unternehmens-IT-Organisation verwaltet und unterstützt die Workloads und die Infrastruktur, auf der Sie gehostet werden, unabhängig davon, ob Sie lokal, in Azure oder in einem cloudanbieter von Drittanbietern ist, und erstellt eine Verwaltungsebene.The enterprise IT organization manages and supports the workloads and the infrastructure they are hosted on, whether it's on-premises, on Azure, or a third-party cloud provider, creating a management plane. Um eine konsistente Zugriffs Steuerung für diese Systeme im gesamten Unternehmen bereitzustellen, ist eine Steuerungsebene auf der Grundlage zentralisierter Identitätssysteme des Unternehmens erforderlich, die häufig durch die Netzwerk Zugriffs Steuerung für ältere Systeme wie Betriebs Technologie (OT) ergänzt werden.Providing consistent access control to these systems across the enterprise requires a control plane based on centralized enterprise identity system(s), often supplemented by network access control for older systems like operational technology (OT) devices.

Steuerung, Verwaltung und Daten/Arbeits Auslastungs Ebenen

Jede dieser Ebenen hat die Kontrolle über die Daten und die Arbeits Auslastungen aufgrund ihrer Funktionen. so entsteht ein attraktiver Weg, den Angreifer zu missbrauchen, wenn Sie die Kontrolle über beide Ebenen erlangen können.Each of these planes has control of the data and workloads by virtue of their functions, creating an attractive pathway for attackers to abuse if they can gain control of either plane.

Damit diese Systeme einen Geschäftswert erstellen können, müssen interne Benutzer, Partner und Kunden, die Ihre Arbeitsstationen oder Geräte verwenden (oftmals Remote Zugriffs Lösungen), auf Sie zugreifen können.For these systems to create business value, they must be accessible to internal users, partners, and customers using their workstations or devices (often using remote access solutions) - creating user access pathways. Sie müssen häufig auch Programm gesteuert über APIs (Application Programming Interfaces) verfügbar sein, um die Prozessautomatisierung zu vereinfachen und Anwendungs Zugriffs Pfade zu erstellen.They must also frequently be available programmatically via application programming interfaces (APIs) to facilitate process automation, creating application access pathways.

Hinzufügen von Benutzer-und Anwendungs Zugriffs Pfaden

Schließlich müssen diese Systeme von IT-Mitarbeitern, Entwicklern oder anderen Personen in den Organisationen verwaltet und verwaltet werden, wodurch privilegierte Zugriffs Wege geschaffen werden.Finally, these systems must be managed and maintained by IT staff, developers, or others in the organizations, creating privileged access pathways. Aufgrund des hohen Steuerungs Niveaus, das Sie für unternehmenskritische Ressourcen in der Organisation bereitstellen, müssen diese Wege vor Gefährdung geschützt werden.Because of the high level of control they provide over business critical assets in the organization, these pathways must be stringently protected against compromise.

Privilegierter Zugriffs Weg zur Verwaltung und Wartung

Die Bereitstellung einer konsistenten Zugriffs Steuerung in der Organisation, die Produktivität und Risikominderung ermöglicht, erfordertProviding consistent access control in the organization that enables productivity and mitigates risk requires you to

  • NULL Vertrauens Prinzipien für den gesamten Zugriff erzwingenEnforce Zero Trust principles on all access
    • Verletzung anderer Komponenten annehmenAssume Breach of other components
    • Explizite Überprüfung der VertrauensstellungExplicit validation of trust
    • Zugriff mit geringsten RechtenLeast privilege access
  • Durchgängige Sicherheit und Richtlinien ErzwingungPervasive security and policy enforcement across
    • Interner und externer Zugriff zur Sicherstellung einer konsistenten Richtlinien AnwendungInternal and external access to ensure consistent policy application
    • Alle Zugriffsmethoden, einschließlich Benutzer, Administratoren, APIs, Dienst Konten usw.All access methods including users, admins, APIs, service accounts, etc.
  • Verhindern der Ausweitung nicht autorisierter BerechtigungenMitigate unauthorized privilege escalation
    • Erzwingung der Hierarchie –, um die Steuerung von höheren Ebenen von unteren Ebenen zu verhindern (über Angriffe oder Missbrauch legitimer Prozesse)Enforce hierarchy – to prevent control of higher planes from lower planes (via attacks or abuse of legitimate processes)
      • SteuerungsebeneControl plane
      • VerwaltungsebeneManagement plane
      • Daten/Arbeits Auslastungs EbeneData/workload plane
    • Ständige Überwachung auf Konfigurations Sicherheitsanfälligkeiten, die unbeabsichtigte Eskalationen ermöglichenContinuously audit for configuration vulnerabilities enabling inadvertent escalation
    • Überwachen und reagieren auf Anomalien, die potenzielle Angriffe darstellen könntenMonitor and respond to anomalies that could represent potential attacks

Entwicklung vom Legacy-AD-EbenenmodellEvolution from the legacy AD tier model

Das Enterprise Access Model ersetzt und ersetzt das Legacy-Ebenenmodell, das sich auf die nicht autorisierte Ausweitung von Berechtigungen in einer lokalen Windows Server Active Directory-Umgebung konzentriert.The enterprise access model supersedes and replaces the legacy tier model that was focused on containing unauthorized escalation of privilege in an on-premises Windows Server Active Directory environment.

Legacy-AD-Ebenenmodell

Das Enterprise-Zugriffs Modell umfasst diese Elemente sowie die vollständigen Zugriffs Verwaltungsanforderungen eines modernen Unternehmens, das lokal, mehrere Clouds, internen oder externen Benutzer Zugriff und vieles mehr umfasst.The enterprise access model incorporates these elements as well as full access management requirements of a modern enterprise that spans on-premises, multiple clouds, internal or external user access, and more.

Complete Enterprise Access Model aus alten Tarifen

Ebene-0-Bereichs ErweiterungTier 0 scope expansion

Ebene 0 wird zur Steuerungsebene erweitert und behandelt alle Aspekte der Zugriffs Steuerung, einschließlich der Netzwerke, bei denen es sich um die einzige/beste Zugriffs Steuerungs Option handelt, wie z. b. ältere OT-Optionen.Tier 0 expands to become the control plane and addresses all aspects of access control, including networking where it is the only/best access control option, such as legacy OT options

Teilungen der Ebene 1Tier 1 splits

Um Klarheit und Handlungsmöglichkeiten zu verbessern, wird die Ebene 1 nun in die folgenden Bereiche aufgeteilt:To increase clarity and actionability, what was tier 1 is now split into the following areas:

  • Verwaltungsebene – für unternehmensweite IT-VerwaltungsfunktionenManagement plane – for enterprise-wide IT management functions
  • Daten- /workloadebene – für die Verwaltung pro Arbeitsauslastung, die manchmal von IT-Mitarbeitern und manchmal von Geschäftseinheiten ausgeführt wirdData/Workload plane – for per-workload management, which is sometimes performed by IT personnel and sometimes by business units

Diese Aufteilung sorgt für den Schwerpunkt auf dem Schutz Unternehmens kritischer Systeme und administrativer Rollen mit hohem internen Geschäftswert, aber eingeschränkter technischer Kontrolle.This split ensures focus for protecting business critical systems and administrative roles that have high intrinsic business value, but limited technical control. Außerdem bietet diese Aufteilung bessere Möglichkeiten für Entwickler und devops-Modelle im Vergleich zu stark auf klassische Infrastruktur Rollen.Additionally, this split better accommodates developers and DevOps models vs. focusing too heavily on classic infrastructure roles.

Teilungen der Ebene 2Tier 2 splits

Um die Abdeckung für den Anwendungs Zugriff und die verschiedenen Partner-und Kunden Modelle sicherzustellen, wurde Ebene 2 in die folgenden Bereiche aufgeteilt:To ensure coverage for application access and the various partner and customer models, Tier 2 was split into the following areas:

  • Benutzer Zugriff – Dies schließt alle B2B-, B2C-und Public Access-Szenarien ein.User access – which includes all B2B, B2C, and public access scenarios
  • App-Zugriff – für API-Zugriffs Wege und resultierende AngriffsflächeApp access – to accommodate API access pathways and resulting attack surface

Nächste SchritteNext steps