Verbeterde beveiligingsbeheerdersomgeving

De ESAE-architectuur (Enhanced Security Admin Environment) (ook wel red forest, admin forest of hardened forest genoemd) is een methode om een veilige omgeving te bieden voor Windows Server Active Directory-beheerders (AD).

De aanbeveling van Microsoft om dit architectuurpatroon te gebruiken, is vervangen door de moderne strategie voor bevoegde toegang en snelle moderniseringsplan (RAMP) als de standaard aanbevolen benadering voor het beveiligen van bevoegde gebruikers. Het door ESAE beveiligde beheerforestpatroon (on-premises of cloudgebaseerd) wordt nu beschouwd als een aangepaste configuratie die alleen geschikt is voor uitzonderingsgevallen die hieronder worden vermeld.

Wat als ik ESAE al heb?

Voor klanten die deze architectuur al hebben geïmplementeerd om de beveiliging te verbeteren en/of het beheer van meerdere forests te vereenvoudigen, is er geen urgentie om een ESAE-implementatie buiten gebruik te stellen of te vervangen als deze wordt uitgevoerd zoals ontworpen en bedoeld. Net als bij bedrijfssystemen moet u de software erin onderhouden door beveiligingsupdates toe te passen en ervoor te zorgen dat software binnen de levenscyclus van de ondersteuning valt.

Microsoft raadt organisaties met ESAE/hardened forests ook aan om de moderne bevoegde toegangsstrategie te gebruiken met behulp van de richtlijnen voor snelle moderniseringsplan (RAMP ). Dit vormt een aanvulling op een bestaande ESAE-implementatie en biedt passende beveiliging voor rollen die nog niet zijn beveiligd door ESAE, waaronder Globale beheerders van Azure AD, gevoelige zakelijke gebruikers en standaard zakelijke gebruikers. Zie het artikel Beveiligingsniveaus voor bevoegde toegang beveiligen voor meer informatie.

Waarom de aanbeveling wijzigen?

Toen ESAE oorspronkelijk 10 jaar geleden werd ontworpen, was de focus op on-premises omgevingen met AD als lokale id-provider. ESAE/geharde forestimplementaties richten zich op het beveiligen van Windows Server Active Directory-beheerders.

Microsoft raadt de nieuwe cloudoplossingen aan, omdat ze sneller kunnen worden geïmplementeerd om een breder bereik van administratieve en bedrijfsgevoelige rollen en systemen te beveiligen.

De strategie voor bevoegde toegang biedt beveiliging en bewaking voor een veel grotere set gevoelige gebruikers, terwijl incrementele stappen met lagere kosten worden geboden om snel beveiligingsgaranties te bouwen.

Hoewel het nog steeds geldig is voor specifieke gebruiksvoorbeelden, zijn de geharde forestimplementaties van ESAE duurder en moeilijker te gebruiken, wat meer operationele ondersteuning vereist in vergelijking met de nieuwere cloudoplossing (vanwege de complexe aard van die architectuur). ESAE-implementaties zijn ontworpen om alleen Windows Server Active Directory-beheerders te beveiligen. De strategie voor bevoegde toegang in de cloud biedt beveiliging en bewaking voor een veel grotere set gevoelige gebruikers, terwijl incrementele stappen met lagere kosten worden geboden om snel beveiligingsgaranties te bouwen.

Wat zijn de geldige ESAE-use cases?

Hoewel dit geen algemene aanbeveling is, is dit architectuurpatroon geldig in een beperkte set scenario's.

In deze uitzonderingsgevallen moet de organisatie de toegenomen technische complexiteit en operationele kosten van de oplossing accepteren. De organisatie moet een geavanceerd beveiligingsprogramma hebben om risico's te meten, risico's te bewaken en consistente operationele rigor toe te passen op het gebruik en onderhoud van de ESAE-implementatie.

Voorbeelden van scenario's zijn:

  • Geïsoleerde on-premises omgevingen - waarbij cloudservices niet beschikbaar zijn, zoals offline onderzoekslaboratoria, kritieke infrastructuur of hulpprogramma's, niet-verbonden operationele technologieomgevingen (OT), zoals toezichtsbeheer en gegevensverwerving (SCADA) / Industrial Control Systems (ICS) en klanten in de openbare sector die volledig afhankelijk zijn van on-premises technologie.
  • Sterk gereglementeerde omgevingen : branche- of overheidsvoorschriften vereisen mogelijk specifiek een configuratie van het beheerforest.
  • Beveiliging op hoog niveau is verplicht: organisaties met een lage risicotolerantie die bereid zijn om de toegenomen complexiteit en operationele kosten van de oplossing te accepteren.

Notitie

Hoewel Microsoft geen geïsoleerd, beveiligd forestmodel meer aanbeveelt voor de meeste scenario's in de meeste organisaties, werkt Microsoft nog steeds intern met een vergelijkbare architectuur (en bijbehorende ondersteuningsprocessen en personeel) vanwege de extreme beveiligingsvereisten voor het leveren van vertrouwde cloudservices aan organisaties over de hele wereld.

Volgende stappen

Bekijk de richtlijnen voor bevoegde toegangsstrategie en snelle moderniseringsplan (RAMP) voor het bieden van beveiligde omgevingen voor bevoegde gebruikers.