Verbeterde beveiligingsbeheerderomgeving

  • Artikel
  • 3 minuten om te lezen

De architectuur van enhanced security admin environment (ESRE) (ook wel red forest, admin forest of hardened forest genoemd) is een methode om een veilige omgeving te bieden voor Windows Server Active Directory (AD) beheerders.

De aanbeveling van Microsoft om dit architectuurpatroon te gebruiken, is vervangen door de moderne strategie voor geprivilegieerde toegang en ramp-richtlijnen (Rapid Modernization Plan) als de standaardaanbeveling voor het beveiligen van bevoorrechte gebruikers. Het geharde beheerdersbospatroon (on-prem of cloudgebaseerd) wordt nu beschouwd als een aangepaste configuratie die alleen geschikt is voor uitzonderingsgevallen die hieronder worden vermeld.

Wat gebeurt er als ik al EENSE heb?

Voor klanten die deze architectuur al hebben geïmplementeerd om de beveiliging te verbeteren en/of het beheer van meerdere forests te vereenvoudigen, is het niet dringend nodig om een ESRE-implementatie buiten gebruik te stellen of te vervangen als deze wordt beheerd zoals is ontworpen en bedoeld. Net als bij alle bedrijfssystemen moet u de software in de software behouden door beveiligingsupdates toe te passen en ervoor te zorgen dat software binnen de levenscyclus van ondersteuning valt.

Microsoft raadt organisaties met ETAE/geharde bossen ook aan om de moderne strategie voor geprivilegieerde toegang te volgen met behulp van de richtlijnen voor snel modernisatieplan (RAMP). Dit vormt een aanvulling op een bestaande ETAE-implementatie en biedt de juiste beveiliging voor rollen die nog niet zijn beveiligd door HETEER, waaronder globale azure AD-beheerders, gevoelige zakelijke gebruikers en standaardgebruikers van het bedrijf. Zie het artikel Beveiligingsniveaus voor bevoorrechte toegang beveiligen voor meer informatie.

Waarom de aanbeveling wijzigen?

Toen ESAE 10 jaar geleden werd ontworpen, lag de focus op on-premises omgevingen met AD als lokale identiteitsprovider. METEEN/geharde bos implementaties richten zich op het beveiligen van Windows Server Active Directory beheerders.

Microsoft raadt de nieuwe cloudoplossingen aan omdat ze sneller kunnen worden geïmplementeerd om een breder bereik van beheerders- en bedrijfsgevoelige rollen en systemen te beschermen.

De geprivilegieerde toegangsstrategie biedt beveiliging en monitoring voor een veel grotere set gevoelige gebruikers, terwijl stapsgewijze stappen tegen lagere kosten worden gegeven om snel beveiligingsgaranties op te bouwen.

Hoewel deze toepassing nog steeds geldig is voor specifieke gebruiksgevallen, zijn geharde forest-implementaties van DEEE duurder en moeilijker te gebruiken, waardoor er meer operationele ondersteuning nodig is in vergelijking met de nieuwere cloudoplossing (vanwege de complexe aard van die architectuur). EEE-implementaties zijn ontworpen om alleen beheerders Windows Server Active Directory beschermen. De cloudgeprivilegieerde toegangsstrategie biedt beveiliging en monitoring voor een veel grotere set gevoelige gebruikers, terwijl stapsgewijze stappen tegen lagere kosten worden gegeven om snel beveiligingsgaranties op te bouwen.

Wat zijn de geldige gebruiksgevallen voor EEE?

Hoewel dit geen algemene aanbeveling is, is dit architectuurpatroon geldig in een beperkt aantal scenario's.

In deze uitzonderingsgevallen moet de organisatie de toegenomen technische complexiteit en operationele kosten van de oplossing accepteren. De organisatie moet een geavanceerd beveiligingsprogramma hebben om risico's te meten, risico's te meten en consistente operationele strengheid toe te passen op het gebruik en onderhoud van de ESRE-implementatie.

Voorbeeldscenario's zijn:

  • Geïsoleerde on-premises omgevingen, waar cloudservices niet beschikbaar zijn, zoals offline onderzoekslaboratoria, kritieke infrastructuur of hulpprogramma's, OT-omgevingen (Losgekoppelde operationele technologie), zoals SCADA (Supervisory control and data acquisition) / Industrial Control Systems (ICS) en klanten in de openbare sector die volledig afhankelijk zijn van on-premises technologie.
  • Sterk gereguleerde omgevingen: industrie- of overheidsreglementering vereist mogelijk specifiek een configuratie van het beheerbos.
  • Beveiligingscontrole op hoog niveau is verplicht: organisaties met een lage risicotolerantie die bereid zijn de toegenomen complexiteit en operationele kosten van de oplossing te accepteren.

Opmerking

Hoewel Microsoft voor de meeste organisaties geen geïsoleerd, gehard bosmodel meer aanbeveelt voor de meeste scenario's, werkt Microsoft intern nog steeds met een soortgelijke architectuur (en bijbehorende ondersteuningsprocessen en personeel) vanwege de extreme beveiligingsvereisten voor het leveren van vertrouwde cloudservices aan organisaties over de hele wereld.

Volgende stappen

Bekijk de strategie voor geprivilegieerde toegang en de richtlijnen voor een snel modernisatieplan (RAMP) voor het bieden van veilige omgevingen voor bevoorrechte gebruikers.