Enterprise d’accès

Ce document décrit un modèle d’accès d’entreprise global qui inclut le contexte de l’ajustement d’une stratégie d’accès privilégié. Pour obtenir une feuille de route sur l’adoption d’une stratégie d’accès privilégié, voir le plan de déploiement rapide (RaMP). Pour obtenir des instructions sur l’implémentation de ce déploiement, voir déploiement d’accès privilégié

Une stratégie d’accès privilégié fait partie d’une stratégie globale de contrôle d’accès d’entreprise. Ce modèle d’accès d’entreprise montre comment l’accès privilégié s’intègre à un modèle d’accès d’entreprise global.

Les principaux magasins de valeurs professionnelles qu’une organisation doit protéger se rapportent à l’avion Données/Charge de travail :

Plan de données/charge de travail

Les applications et données stockent généralement un pourcentage important des données d’une organisation :

  • Processus métiers dans les applications et les charges de travail
  • Propriété intellectuelle dans les données et applications

L’organisation informatique d’entreprise gère et prend en charge les charges de travail et l’infrastructure sur qui elles sont hébergées, qu’elle soit locale, sur Azure ou un fournisseur cloud tiers, créant un plan d’administration. La fourniture d’un contrôle d’accès cohérent à ces systèmes dans l’entreprise nécessite un plan de contrôle basé sur un ou plusieurs système d’identité d’entreprise centralisés, souvent complétés par un contrôle d’accès réseau pour les systèmes plus anciens, tels que les périphériques de technologie opérationnelle (OT).

Avions de contrôle, de gestion et de données/charge de travail

Chacun de ces avions contrôle les données et les charges de travail en créant un parcours attrayant pour que les pirates malveillants en abusent s’ils peuvent prendre le contrôle d’un plan.

Pour que ces systèmes créent de la valeur métier, ils doivent être accessibles aux utilisateurs internes, aux partenaires et aux clients utilisant leurs stations de travail ou appareils (souvent à l’aide de solutions d’accès à distance), créant ainsi des parcours d’accès utilisateur. Elles doivent également être disponibles par programme via des interfaces de programmation d’application afin de faciliter l’automatisation des processus, en créant des parcours d’accès aux applications.

Ajout de parcours d’accès des utilisateurs et applications

Enfin, ces systèmes doivent être gérés et gérés par le personnel informatique, les développeurs ou d’autres membres de l’organisation, créant ainsi des parcours d’accès privilégiés. Compte donné le niveau élevé de contrôle qu’elles offrent sur les ressources critiques de l’entreprise, ces parcours doivent être strictement protégés contre la compromission.

Parcours d’accès privilégié pour gérer et gérer

La fourniture d’un contrôle d’accès cohérent dans l’organisation qui active la productivité et réduit le risque nécessite que vous

  • Appliquer des principes de confiance zéro à tous les accès
    • Supposez une violation d’autres composants
    • Validation explicite de la confiance
    • Accès au moindre privilège
  • Respecter la sécurité et l’application des stratégies
    • Accès interne et externe pour garantir une application de stratégie cohérente
    • Toutes les méthodes d’accès, y compris les utilisateurs, les administrateurs, les API, les comptes de service, etc.
  • Réduire l’escalade de privilège non autorisée
    • Appliquer la hiérarchie pour empêcher le contrôle des avions de haut niveau à partir d’avions plus bas (via des attaques ou une utilisation abusive des processus légitimes)
      • Plan de contrôle
      • Plan de gestion
      • Plan de données/charge de travail
    • Audit en continu des vulnérabilités de configuration activant l’escalade accidentelle
    • Surveiller des attaques potentielles et y répondre

Évolution par rapport au modèle de niveau AD hérité

Le modèle d’accès d’entreprise remplace et remplace le modèle de niveau hérité qui se concentre sur la gestion de l’escalade non autorisée des privilèges dans un environnement Windows Server Active Directory local.

Modèle de niveau AD hérité

Le modèle d’accès d’entreprise intègre ces éléments, ainsi que les exigences de gestion de l’accès total d’une entreprise moderne qui s’étend sur site, plusieurs nuages, l’accès des utilisateurs internes ou externes, etc.

Complétez le modèle d’accès entreprise depuis d’anciens niveaux

Extension de l’étendue de niveau 0

Le niveau 0 s’étend pour devenir l’plan de contrôle et adresse tous les aspects du contrôle d’accès, y compris la mise en réseau où il s’agit de la seule option de contrôle d’accès de qualité, par exemple, les options d’ot héritées.

Fractionnements de niveau 1

Pour améliorer la clarté et la lisibilité, ce qui était au niveau 1 est désormais fractioné dans les domaines suivants :

  • Plan de gestion : pour les fonctions de gestion informatique à l’échelle de l’entreprise
  • Plan de données/charge de travail : pour la gestion de la charge de travail, qui est parfois effectuée par le personnel de l’it et parfois par les unités commerciales

Cette répartition permet de s’concentrer sur la protection des systèmes critiques d’entreprise et des rôles administratifs qui ont une valeur métier élevée, mais un contrôle technique limité. En outre, ce fractionnement s’améliore pour les développeurs et DevOps modèles de travail plutôt que pour se concentrer trop sur les rôles d’infrastructure classiques.

Fractionnements au niveau 2

Pour garantir la couverture de l’accès aux applications et des différents modèles de partenaire et de client, le niveau 2 a été divisé en deux domaines :

  • Accès utilisateur – qui inclut tous les scénarios d’accès B2B, B2C et public
  • Accès aux applications : pour tenir compte des parcours d’accès à l’API et de la surface d’attaque résultante

Étapes suivantes