Beveiligingsniveaus voor geprivilegieerde toegang

In dit document worden de beveiligingsniveaus van een strategie voor geprivilegieerde toegang beschreven Zie het plan voor snelle modernisatie (RaMP)voor een routekaart over het gebruik van deze strategie. Zie Geprivilegieerde toegangsimplementatie voor implementatie

Deze niveaus zijn voornamelijk ontworpen om eenvoudige en eenvoudige technische richtlijnen te bieden, zodat organisaties deze belangrijke beveiligingen snel kunnen implementeren. De strategie voor geprivilegieerde toegang erkent dat organisaties unieke behoeften hebben, maar ook dat aangepaste oplossingen complexiteit creëren, wat resulteert in hogere kosten en lagere beveiliging in de tijd. Om deze behoefte in balans te brengen, biedt de strategie vaste, beschrijvende richtlijnen voor elk niveau en flexibiliteit door organisaties in staat te stellen te kiezen wanneer elke rol moet voldoen aan de vereisten van dat niveau.

Als u dingen eenvoudig maakt, begrijpt u het en verlaagt u het risico dat ze worden verward en maken ze fouten. Hoewel de onderliggende technologie vrijwel altijd complex is, is het essentieel om dingen eenvoudig te houden in plaats van aangepaste oplossingen te maken die moeilijk te ondersteunen zijn. Zie het artikel Beveiligingsontwerpprincipes voor meer informatie.

Als u oplossingen ontwerpt die zijn gericht op de behoeften van de beheerders en eindgebruikers, blijft het eenvoudig voor hen. Het ontwerpen van oplossingen die eenvoudig zijn voor beveiligings- en IT-personeel om te bouwen, beoordelen en onderhouden (met automatisering waar mogelijk), leidt tot minder beveiligingsfouten en betrouwbaardere beveiligingsgaranties.

De aanbevolen beveiligingsstrategie voor geprivilegieerde toegang implementeert een eenvoudig systeem op drie niveau met garanties, dat zich over verschillende gebieden bespant, ontworpen om eenvoudig te implementeren voor: accounts, apparaten, tussenpersoon en interfaces.

Elk achtereenvolgend niveau zorgt voor hogere kosten voor aanvallers, met extra investeringen in Defender voor cloud. De niveaus zijn ontworpen om zich te richten op de 'sweet spots' waar verdedigers het meeste rendement krijgen (kostenverhoging voor aanvallers) voor elke beveiligingsinvestering die ze maken.

Elke rol in uw omgeving moet worden in kaart gebracht aan een van deze niveaus (en eventueel verhoogd in de tijd als onderdeel van een beveiligingsverbeteringsplan). Elk profiel is duidelijk gedefinieerd als een technische configuratie en waar mogelijk geautomatiseerd om de implementatie te soeperen en de beveiliging te versnellen. Zie het artikel Privileged Access roadmap voor meer informatie over de implementatie.

De beveiligingsniveaus die in deze strategie worden gebruikt, zijn:

• Ondernemingsbeveiliging is geschikt voor alle zakelijke gebruikers en productiviteitsscenario's. In de voortgang van het snelle moderniseringsplan fungeert enterprise ook als uitgangspunt voor gespecialiseerde en geprivilegieerde toegang terwijl ze geleidelijk verder bouwen op de beveiligingsbesturingselementen in de bedrijfsbeveiliging.

  Opmerking

  Er bestaan wel zwakke beveiligingsconfiguraties, maar worden vandaag niet aanbevolen door Microsoft voor bedrijfsorganisaties vanwege de vaardigheden en bronnen die aanvallers beschikbaar hebben. Zie de video Top 10 Best Practices for Azure Security (Top 10 Best Practices for Azure Security) voor informatie over wat aanvallers van elkaar kunnen kopen op de donkere markten en gemiddelde prijzen.

• Gespecialiseerde beveiliging biedt meer beveiligingsbesturingselementen voor rollen met een verhoogde zakelijke impact (indien gecompromitteerd door een aanvaller of kwaadaardige insider).

  Uw organisatie moet criteria hebben gedocumenteerd voor gespecialiseerde en geprivilegieerde accounts (bijvoorbeeld potentiële zakelijke impact is meer dan $ 1M USD) en vervolgens alle rollen en accounts identificeren die aan die criteria voldoen. (gebruikt in deze strategie, ook in de gespecialiseerde accounts)

  Gespecialiseerde rollen zijn meestal:

  • Ontwikkelaars van bedrijfskritische systemen.
  • Gevoelige zakelijke rollen, zoals gebruikers van SWIFT-terminals, onderzoekers met toegang tot gevoelige gegevens, personeel met toegang tot financiële rapportage vóór de openbare release, salarisbeheerders, goedkeurders voor gevoelige bedrijfsprocessen en andere rollen met een hoog effect.
  • Leidinggevenden en persoonlijke assistenten/beheerders die regelmatig gevoelige informatie verwerken.
  • Sociale mediaaccounts met een hoge impact die de reputatie van het bedrijf kunnen beschadigen.
  • Gevoelige IT-beheerders met een aanzienlijke bevoegdheden en impact, maar zijn niet voor het hele bedrijf. Deze groep bevat meestal beheerders van afzonderlijke werkbelastingen met een hoog effect. (bijvoorbeeld beheerders van ondernemingsresourceplanning, bankbeheerders, helpdesk-/technische ondersteuningsrollen, enz.)

  Gespecialiseerde accountbeveiliging fungeert ook als tussentijdse stap voor bevoorrechte beveiliging, die verder voortbouwt op deze besturingselementen. Zie roadmap voor geprivilegieerde toegang voor meer informatie over de aanbevolen volgorde van voortgang.

• Bevoorrechte beveiliging is het hoogste beveiligingsniveau dat is ontworpen voor rollen die gemakkelijk een groot incident en potentiële materiële schade aan de organisatie kunnen veroorzaken in de handen van een aanvaller of kwaadwillende insider. Dit niveau bevat meestal technische rollen met beheerdersmachtigingen voor de meeste of alle bedrijfssystemen (en bevat soms een select aantal bedrijfskritische rollen)

  Geprivilegieerde accounts zijn eerst gericht op beveiliging, met productiviteit gedefinieerd als de mogelijkheid om gemakkelijk en veilig gevoelige taaktaken veilig uit te voeren. Deze rollen hebben niet de mogelijkheid om zowel gevoelige werktaken als algemene productiviteitstaken uit te voeren (surfen op het web, een app installeren en gebruiken) met hetzelfde account of hetzelfde apparaat/hetzelfde werkstation. Ze hebben zeer beperkte accounts en werkstations met meer controle van hun acties voor afwijkende activiteiten die de activiteit van de aanvaller kunnen vertegenwoordigen.

  Beveiligingsrollen voor geprivilegieerde toegang zijn meestal:

  • Globale azure AD-beheerders en verwante rollen
  • Andere rollen voor identiteitsbeheer met beheerdersrechten voor een ondernemingsmap, identiteitssynchronisatiesystemen, federatieoplossing, virtuele adreslijst, bevoorrechte identiteit/toegangsbeheersysteem of iets dergelijks.
  • Rollen met lidmaatschap in deze on-premises Active Directory-groepen
    • Ondernemingsbeheerders
    • Domeinbeheerders
    • Schemabeheerder
    • BUILTIN\Administrators
    • Accountoperatoren
    • Back-upoperatoren
    • Afdrukoperatoren
    • Serveroperatoren
    • Domeincontrollers
    • Alleen-lezen domeincontrollers
    • Eigenaren van groepsbeleidsmaker
    • Cryptografische operatoren
    • Gedistribueerde COM-gebruikers
    • Gevoelige on-premises Exchange groepen (inclusief Exchange Windows Machtigingen en Exchange Vertrouwde subsysteem)
    • Andere gedelegeerde groepen: aangepaste groepen die door uw organisatie kunnen worden gemaakt om adreslijstbewerkingen te beheren.
    • Elke lokale beheerder voor een onderliggend besturingssysteem of cloudserviceten tenant die de bovenstaande mogelijkheden host, waaronder
      • Leden van de groep lokale beheerders
      • Personeel dat het hoofd- of ingebouwde beheerderswachtwoord kent
      • Beheerders van een beheer- of beveiligingshulpmiddel met agenten die op die systemen zijn geïnstalleerd

Volgende stappen

• Overzicht van bevoorrechte toegang beveiligen
• Strategie voor geprivilegieerde toegang
• Succes meten
• Accounts met geprivilegieerde toegang
• Tussenpersoon
• Interfaces
• Bevoorrechte toegangsapparaten
• Enterprise Access-model