엔터프라이즈 액세스 모델

  • 아티클

이 문서에서는 권한 있는 액세스 전략이 적합한 방식의 컨텍스트를 포함하는 전체 엔터프라이즈 액세스 모델을 설명합니다. 권한 있는 액세스 전략을 채택하는 방법에 대한 로드맵은 RaMP(신속한 현대화 계획)를 참조하세요. 이를 배포하기 위한 구현 지침은 권한 있는 액세스 배포를 참조하세요 .

권한 있는 액세스 전략은 전체 엔터프라이즈 액세스 컨트롤 전략의 일부입니다. 이 엔터프라이즈 액세스 모델은 권한 있는 액세스를 전체 엔터프라이즈 액세스 모델에 맞추는 방법을 보여 줍니다.

조직에서 보호해야 하는 비즈니스 가치의 주 저장소는 데이터/워크로드 평면에 있습니다.

Data/workload plane

애플리케이션 및 데이터 저장량은 일반적으로 조직 내에서 많은 비율을 차지합니다.

  • 애플리케이션 및 워크로드의 비즈니스 프로세스
  • 데이터 및 애플리케이션의 지적 재산

기업 IT 조직은 온-프레미스, Azure, 타사 클라우드 공급자 등에서 호스트형 워크로드와 인프라를 관리하고 지원하며 관리 평면을 만듭니다. 엔터프라이즈 전체에서 이러한 시스템에 일관된 액세스 컨트롤을 제공하려면 중앙 집중식 엔터프라이즈 ID 시스템을 기반으로 하는 컨트롤 플레인이 필요합니다. 이는 일반적으로 OT(운영 기술) 디바이스와 같은 이전 시스템을 위한 네트워크 액세스 컨트롤로 보완됩니다.

Control, management, and data/workload planes

각 평면은 이러한 기능에 힘입어 통해 데이터 및 워크로드를 컨트롤하며, 두 평면 중 하나를 컨트롤할 수 있는 경우 공격자가 남용할 수 있는 매력적인 경로를 만듭니다.

이러한 시스템에서 비즈니스 가치를 만들려면 해당 워크스테이션 또는 디바이스(원격 액세스 솔루션을 빈번하게 사용)를 사용하여 사용자 액세스 경로를 만드는 내부 사용자, 파트너 및 고객에게 액세스할 수 있어야 합니다. 또한 API(응용 프로그래밍 인터페이스)를 통해 프로그래밍 방식으로 사용 가능하여 애플리케이션 액세스 경로를 만드는 프로세스 자동화를 지원해야 합니다.

Adding user and application access pathways

마지막으로 IT 직원, 개발자 또는 조직의 다른 사용자가 이러한 시스템을 관리하고 유지 관리하여 권한 있는 액세스 경로를 만들어야 합니다. 조직 내 중요 비즈니스용 자산에 높은 수준의 컨트롤이 제공되기 때문에 이러한 경로를 손상으로부터 보호해야 하는 보안이 엄격해야 합니다.

Privileged access pathway to manage and maintain

조직에 생산성을 지원하고 위험을 완화할 수 있는 일관된 액세스 컨트롤을 제공하려면 다음을 수행해야 합니다.

  • 모든 액세스에 대해 제로 트러스트 원칙 적용
    • 다른 구성 요소의 위반 가정
    • 신뢰의 유해 콘텐츠 유효성 검사
    • 최소 권한 액세스 모델
  • 광범위한 보안 및 정책 적용
    • 일관된 정책 적용을 보장하기 위한 내부 및 외부 액세스
    • 사용자, 관리자, API, 서비스 계정 등을 비롯한 모든 액세스 방법
  • 무단 권한 상승 완화
    • 계층 구조 적용 -(합법적인 프로세스의 공격 또는 남용을 통해) 하위 평면에서 상위 평면을 제어하는 것을 방지합니다.
      • 제어 평면
      • 관리 평면
      • 데이터/워크로드 평면
    • 실수로 에스컬레이션을 가능하게 하는 구성 취약점에 대한 지속적인 감사
    • 잠재적인 공격을 나타낼 수 있는 비정상 상황 모니터링 및 응답

레거시 AD 계층 모델의 진화

엔터프라이즈 액세스 모델은 온-프레미스 Windows Server Active Directory 환경에서 승인되지 않은 권한 상승을 포함하는 데 초점을 맞춘 레거시 계층 모델을 대체합니다.

Legacy AD tier model

엔터프라이즈 액세스 모델에는 이러한 요소뿐만 아니라 온-프레미스, 여러 클라우드, 내부 또는 외부 사용자 액세스 등에 걸친 현대 기업의 모든 권한 관리 요구 사항이 포함되어 있습니다.

Complete enterprise access model from old tiers

계층 0 범위 확장

계층 0은 컨트롤 플레인으로 확장되고, 레거시 OT 옵션과 같은 유일한/최상의 액세스 컨트롤 옵션인 네트워킹을 포함하여 액세스 컨트롤의 모든 측면을 다룹니다.

계층 1 분할

명확성 및 행동가능성을 향상시키기 위해 이제 계층 1은 다음 영역으로 분할됩니다.

  • 관리 평면 – 엔터프라이즈급 IT 관리 기능용
  • 데이터/워크로드 평면 – 때로는 IT 담당자가 업무를 수행하는 방식으로 수행되는 작업별 관리용.

이러한 분할은 높고 본질적인 비즈니스 가치를 포함하지만 기술 컨트롤이 제한된 중요 비즈니스용 시스템 및 관리 역할을 보호하는 데 집중합니다. 또한 이러한 분할을 통해 개발자 및 DevOps 모델과 기존 인프라 역할에 너무 많이 집중하는 것을 더 잘 수용할 수 있습니다.

계층 2 분할

애플리케이션 액세스와 다양한 파트너 및 고객 모델의 적용 범위를 보장하기 위해 계층 2는 다음 영역으로 분할되었습니다.

  • 사용자 액세스 - 모든 B2B, B2C 및 공용 액세스 시나리오를 포함합니다.
  • 앱 액세스 - API 액세스 경로 및 결과 공격 표면을 수용합니다.

다음 단계