Emelt szintű hozzáférési biztonsági szintek

Ez a dokumentum a kiemelt hozzáférési stratégia biztonsági szintjeiről szól. A stratégia bevezetésének ütemtervét a gyors modernizációs terv (RaMP) ismerteti. A megvalósítással kapcsolatos útmutatásért tekintse meg a privileged access üzembe helyezését ismertető témakört

Ezek a szintek elsősorban egyszerű és egyszerű technikai útmutatást nyújtanak, hogy a szervezetek gyorsan üzembe helyezhesse ezeket a kritikus fontosságú védelmet. A kiemelt hozzáférési stratégia felismeri, hogy a szervezeteknek egyedi igényeik vannak, de az egyéni megoldások összetettséghez vezetnek, ami magasabb költségeket és alacsonyabb biztonságot eredményez az idő múlásával. Ennek az igénynek a kiegyensúlyozása érdekében a stratégia szilárd, előremutató útmutatást nyújt az egyes szintekhez és rugalmassághoz azáltal, hogy lehetővé teszi a szervezetek számára, hogy eldöntsék, mikor lesz szükség az egyes szerepkörökre az adott szint követelményeinek való megfeleléshez.

A dolgok egyszerűvé tétele segít az embereknek megérteni, és csökkenti annak kockázatát, hogy összezavarodnak, és hibákat kövessenek el. Bár a mögöttes technológia szinte mindig összetett, fontos, hogy a dolgok egyszerűek maradjanak ahelyett, hogy olyan egyéni megoldásokat hozunk létre, amelyeket nehéz támogatni. További információkért tekintse meg a biztonsági tervezési alapelveket.

Azok a megoldások, amelyek a rendszergazdák és a végfelhasználók igényeire összpontosítanak, egyszerűek maradnak számukra. A biztonsági és informatikai személyzet számára egyszerű megoldások tervezése (ahol lehetséges, automatizálással) kevesebb biztonsági hibát és megbízhatóbb biztonsági biztosítékot eredményez.

Az ajánlott emelt szintű hozzáférési biztonsági stratégia egy egyszerű, háromszintű garanciarendszert valósít meg, amely több területre terjed ki, és úgy lett kialakítva, hogy könnyen üzembe helyezhető legyen: fiókok, eszközök, közvetítők és interfészek.

Minden egymást követő szint a támadók költségeit emeli, további Felhőhöz készült Defender befektetésekkel. A szinteket úgy tervezték, hogy megcélozza azokat az "édes helyeket", ahol a védők a legtöbb megtérülést (a támadók költségnövekedését) kapják minden egyes biztonsági befektetéshez.

A környezet minden szerepkörét ezen szintek valamelyikére kell képezni (és szükség esetén idővel növelni kell egy biztonsági fejlesztési terv részeként). Az egyes profilok egyértelműen technikai konfigurációként vannak definiálva, és ahol lehetséges, automatizáltak az üzembe helyezés megkönnyítése és a biztonsági védelem felgyorsítása érdekében. A megvalósítás részleteiért tekintse meg a privileged access roadmap című cikket.

Biztonsági szintek

A stratégia során használt biztonsági szintek a következők:

Vállalat

• A vállalati biztonság minden nagyvállalati felhasználónak és termelékenységi forgatókönyvnek megfelelő. A gyors modernizációs terv előrehaladása során a vállalat a specializált és kiemelt hozzáférés kiindulópontjaként is szolgál, mivel fokozatosan építenek a vállalati biztonság biztonsági vezérlőire.

  Feljegyzés

  A gyengébb biztonsági konfigurációk léteznek, de a Microsoft ma nem javasolja a nagyvállalati szervezetek számára, mert a támadók képességei és erőforrásai rendelkezésre állnak. További információ arról, hogy a támadók mit vásárolhatnak egymástól a sötét piacokon és az átlagos árakon, tekintse meg az Azure Security 10 legjobb gyakorlata című videót

Specializált

• A specializált biztonság fokozott biztonsági vezérlést biztosít a szerepkörökhöz, és magasabb szintű üzleti hatással bír (ha támadó vagy rosszindulatú belső személy veszélyezteti).

  A szervezetnek dokumentálnia kell a speciális és a kiemelt fiókokra vonatkozó feltételeket (például a potenciális üzleti hatás több mint $1M USD), majd azonosítania kell azokat a szerepköröket és fiókokat, amelyek megfelelnek a feltételeknek. (a stratégia során, beleértve a specializált fiókokat is)

  A speciális szerepkörök általában a következők:

  • Az üzletileg kritikus rendszerek fejlesztői .
  • Bizalmas üzleti szerepkörök , például a SWIFT-terminálok felhasználói, a bizalmas adatokhoz hozzáféréssel rendelkező kutatók, a nyilvános kiadás előtti pénzügyi jelentésekhez hozzáféréssel rendelkező munkatársak, a bérszámfejtési rendszergazdák, a bizalmas üzleti folyamatok jóváhagyói és más nagy hatású szerepkörök.
  • Vezetők és személyi asszisztensek / adminisztratív asszisztensek, amelyek rendszeresen kezelik a bizalmas információkat.
  • Nagy hatással vannak a közösségimédia-fiókokra , amelyek ronthatják a vállalat hírnevét.
  • A bizalmas informatikai Rendszergazda jelentős jogosultságokkal és hatással vannak, de nem nagyvállalati szintűek. Ez a csoport általában az egyes nagy terhelésű számítási feladatok rendszergazdáit foglalja magában. (például vállalati erőforrás-tervezési rendszergazdák, banki rendszergazdák, ügyfélszolgálati /technikai támogatási szerepkörök stb.)

  A specializált fiókbiztonság a kiemelt biztonság átmeneti lépése is, amely ezen vezérlőkre épül tovább. A javasolt előrehaladási sorrend részleteiért tekintse meg a jogosultsági hozzáférési ütemtervet .

Rendszerjogosultságú

• A kiemelt biztonság a szerepkörökhöz tervezett legmagasabb szintű biztonság, amely könnyen okozhat jelentős incidenseket és potenciális anyagi károkat a szervezetnek egy támadó vagy rosszindulatú bennfentes kezében. Ez a szint általában olyan technikai szerepköröket tartalmaz, amelyek rendszergazdai engedélyekkel rendelkeznek a legtöbb vagy az összes vállalati rendszeren (és néha néhány kritikus fontosságú üzleti szerepkört is tartalmaznak)

  A kiemelt fiókok elsősorban a biztonságra összpontosítanak, a hatékonyság pedig a bizalmas feladatok biztonságos és biztonságos végrehajtásának képessége. Ezek a szerepkörök nem képesek mind a bizalmas, mind az általános hatékonyságnövelő feladatok elvégzésére (böngészés a weben, alkalmazás telepítése és használata) ugyanazon fiókkal vagy ugyanazzal az eszközzel/munkaállomással. Szigorúan korlátozott fiókokkal és munkaállomásokkal rendelkeznek, amelyek fokozottan figyelik a támadói tevékenységet jelképezhető rendellenes tevékenységekkel kapcsolatos műveleteiket.

  A kiemelt hozzáférés biztonsági szerepkörei általában a következők:

  • Microsoft Entra Global Rendszergazda istrators és kapcsolódó szerepkörök
  • Egyéb, vállalati címtárhoz, identitásszinkronizálási rendszerekhez, összevonási megoldáshoz, virtuális címtárhoz, kiemelt identitás-/hozzáférés-kezelési rendszerhez vagy hasonlókhoz rendszergazdai jogosultságokkal rendelkező identitáskezelési szerepkörök.
  • Szerepkörök ezekben a helyi Active Directory csoportokban tagsággal
    • Vállalati rendszergazdák
    • Tartományi rendszergazdák
    • Sémagazdák
    • BUILTIN\Rendszergazdák
    • Fiókfelelősök
    • Biztonságimásolat-felelősök
    • Nyomtatófelelősök
    • Kiszolgálófelelősök
    • Tartományvezérlők
    • Írásvédett tartományvezérlők
    • Csoportházirend létrehozójának tulajdonosai
    • Kriptográfiai operátorok
    • Elosztott COM-felhasználók
    • Bizalmas helyszíni Exchange-csoportok (beleértve az Exchange Windows-engedélyeket és az Exchange Megbízható alrendszert)
    • Egyéb delegált csoportok – Egyéni csoportok, amelyeket a szervezet hozhat létre a címtárműveletek kezeléséhez.
    • Bármely helyi rendszergazda egy mögöttes operációs rendszer vagy felhőszolgáltatás-bérlő számára, amely a fenti képességeket üzemelteti, beleértve a
      • A helyi rendszergazdák csoportjának tagjai
      • A rendszergazdai jelszó gyökerét vagy beépített jelszavát ismerő munkatársak
      • Rendszergazda minden olyan felügyeleti vagy biztonsági eszköz kezelője, amelyen az ügynökök telepítve vannak az adott rendszereken

Következő lépések

• A kiemelt hozzáférés biztonságossá tétele – áttekintés
• Emelt szintű hozzáférési stratégia
• Sikeresség mérése
• Emelt szintű hozzáférési fiókok
• Közvetítők
• Felületek
• Emelt szintű hozzáférési eszközök
• Vállalati hozzáférési modell