Enterprise-toegangsmodel

In dit document wordt een algemeen bedrijfstoegangsmodel beschreven dat context bevat van hoe een strategie voor bevoegde toegang past. Zie het snelle moderniseringsplan (RaMP) voor een roadmap voor het implementeren van een strategie voor bevoegde toegang. Zie de implementatie van bevoegde toegang voor implementatierichtlijnen voor deze implementatie

Strategie voor bevoegde toegang maakt deel uit van een algemene strategie voor toegangsbeheer voor ondernemingen. Dit bedrijfstoegangsmodel laat zien hoe bevoegde toegang past in een algemeen toegangsmodel voor ondernemingen.

De primaire winkels met bedrijfswaarde die een organisatie moet beveiligen, bevinden zich in het vlak Gegevens/workload:

Data/workload plane

In de toepassingen en gegevens wordt meestal een groot percentage van de volgende gegevens van een organisatie opgeslagen:

  • Bedrijfsprocessen in toepassingen en workloads
  • Intellectueel eigendom in gegevens en toepassingen

De IT-organisatie van het bedrijf beheert en ondersteunt de workloads en de infrastructuur waarop ze worden gehost, of het nu on-premises, in Azure of een externe cloudprovider is, en maakt een beheervlak. Voor het bieden van consistent toegangsbeheer voor deze systemen in de hele onderneming is een besturingsvlak vereist dat is gebaseerd op een of meer gecentraliseerde bedrijfsidentiteitssystemen, vaak aangevuld met netwerktoegangsbeheer voor oudere systemen, zoals OT-apparaten (Operational Technology).

Control, management, and data/workload planes

Elk van deze vlakken heeft controle over de gegevens en workloads op basis van hun functies, waardoor aanvallers een aantrekkelijke manier hebben om misbruik te maken als ze de controle over beide vliegtuigen kunnen krijgen.

Voor het creëren van bedrijfswaarde moeten deze systemen toegankelijk zijn voor interne gebruikers, partners en klanten met behulp van hun werkstations of apparaten (vaak met behulp van oplossingen voor externe toegang): het maken van gebruikerstoegangspaden . Ze moeten ook vaak programmatisch beschikbaar zijn via API's (Application Programming Interfaces) om procesautomatisering te vergemakkelijken en toepassingstoegangspaden te maken.

Adding user and application access pathways

Ten slotte moeten deze systemen worden beheerd en onderhouden door IT-personeel, ontwikkelaars of anderen in de organisaties, waardoor bevoorrechte toegangspaden worden gemaakt. Vanwege het hoge controleniveau dat ze bieden over bedrijfskritieke assets in de organisatie, moeten deze trajecten strikt worden beschermd tegen inbreuk.

Privileged access pathway to manage and maintain

Als u consistent toegangsbeheer in de organisatie biedt dat productiviteit mogelijk maakt en risico's beperkt, moet u

  • Zero Trust principes voor alle toegang afdwingen
    • Schending van andere onderdelen aannemen
    • Expliciete validatie van vertrouwen
    • Minimale toegangsrechten
  • Uitgebreide beveiligings- en beleidshandhaving in
    • Interne en externe toegang om een consistente beleidstoepassing te garanderen
    • Alle toegangsmethoden, waaronder gebruikers, beheerders, API's, serviceaccounts, enzovoort.
  • Escalatie van onbevoegde bevoegdheden beperken
    • Hiërarchie afdwingen : om controle over hogere vlakken vanaf lagere vlakken te voorkomen (via aanvallen of misbruik van legitieme processen)
      • Besturingsvlak
      • Beheervlak
      • Gegevens-/workloadvlak
    • Continu controleren op beveiligingsproblemen in de configuratie die onbedoelde escalatie mogelijk maken
    • Afwijkingen bewaken en hierop reageren die potentiële aanvallen kunnen vertegenwoordigen

Evolutie van het verouderde AD-laagmodel

Het bedrijfstoegangsmodel vervangt en vervangt het verouderde laagmodel dat was gericht op het in een on-premises Windows Server Active Directory omgeving escaleren van bevoegdheden door onbevoegden.

Legacy AD tier model

Het bedrijfstoegangsmodel bevat deze elementen, evenals vereisten voor volledig toegangsbeheer van een moderne onderneming die on-premises, meerdere clouds, interne of externe gebruikerstoegang en meer omvat.

Complete enterprise access model from old tiers

Uitbreiding van laag 0-bereik

Laag 0 wordt uitgebreid tot het besturingsvlak en heeft betrekking op alle aspecten van toegangsbeheer, inclusief netwerken waar dit de enige/beste optie voor toegangsbeheer is, zoals verouderde OT-opties

Tier 1-splitsingen

Om de duidelijkheid en de uitvoerbaarheid te vergroten, is wat laag 1 was nu opgesplitst in de volgende gebieden:

  • Beheervlak – voor IT-beheerfuncties voor de hele onderneming
  • Gegevens-/workloadvlak : voor beheer per workload, dat soms wordt uitgevoerd door IT-personeel en soms door bedrijfseenheden

Deze splitsing zorgt voor de focus op het beschermen van bedrijfskritieke systemen en beheerdersrollen met een hoge intrinsieke bedrijfswaarde, maar beperkte technische controle. Bovendien is deze splitsing beter geschikt voor ontwikkelaars en DevOps-modellen, in plaats van zich te sterk te richten op klassieke infrastructuurrollen.

Tier 2-splitsingen

Om de dekking voor toegang tot toepassingen en de verschillende partner- en klantmodellen te garanderen, is laag 2 opgesplitst in de volgende gebieden:

  • Gebruikerstoegang , inclusief alle scenario's voor B2B, B2C en openbare toegang
  • App-toegang : om API-toegangspaden en het resulterende aanvalsoppervlak te kunnen opvangen

Volgende stappen