Ulepszone środowisko administratora zabezpieczeń

Architektura rozszerzonego środowiska administracyjnego zabezpieczeń (ESAE) (często nazywana czerwonym lasem, lasem administracyjnym lub wzmocnionym lasem) jest podejściem do zapewnienia bezpiecznego środowiska dla administratorów usługi Active Directory (AD) systemu Windows Server.

Zalecenie firmy Microsoft dotyczące korzystania z tego wzorca architektury zostało zastąpione przez nowoczesną strategię dostępu uprzywilejowanego i wskazówki dotyczące planu szybkiej modernizacji (RAMP) jako domyślne zalecane podejście do zabezpieczania uprzywilejowanych użytkowników. Wzorzec lasu administracyjnego ze wzmocnionym zabezpieczeniami ESAE (oparty na chmurze lub lokalnym) jest teraz uważany za niestandardową konfigurację odpowiednią tylko dla przypadków wyjątków wymienionych poniżej.

Co zrobić, jeśli mam już ESAE?

W przypadku klientów, którzy już wdrożyli tę architekturę w celu zwiększenia bezpieczeństwa i/lub uproszczenia zarządzania wieloma lasami, nie ma pilności wycofania lub zastąpienia implementacji ESAE, jeśli jest ona obsługiwana zgodnie z założeniami i jest przeznaczona. Podobnie jak w przypadku systemów przedsiębiorstwa, należy utrzymywać oprogramowanie w nim, stosując aktualizacje zabezpieczeń i zapewniając, że oprogramowanie jest w cyklu wsparcia technicznego.

Firma Microsoft zaleca również organizacjom z lasami ESAE / wzmocnionymi zabezpieczeniami, stosując nowoczesną strategię dostępu uprzywilejowanego, korzystając ze wskazówek dotyczących planu szybkiej modernizacji (RAMP). Uzupełnia to istniejącą implementację ESAE i zapewnia odpowiednie zabezpieczenia dla ról, które nie są jeszcze chronione przez ESAE, w tym administratorów globalnych usługi Azure AD, poufnych użytkowników biznesowych i standardowych użytkowników przedsiębiorstwa. Aby uzyskać więcej informacji, zobacz artykuł Zabezpieczanie poziomów zabezpieczeń dostępu uprzywilejowanego.

Dlaczego warto zmienić zalecenie?

Kiedy ESAE został pierwotnie zaprojektowany 10 lat temu, skupiono się na środowiskach lokalnych z usługą AD jako lokalnym dostawcą tożsamości. Implementacje lasu ze wzmocnionymi zabezpieczeniami /ESAE koncentrują się na ochronie administratorów usługi Active Directory systemu Windows Server.

Firma Microsoft zaleca nowe rozwiązania oparte na chmurze, ponieważ można je wdrażać szybciej, aby chronić szerszy zakres ról i systemów administracyjnych i biznesowych.

Strategia uprzywilejowanego dostępu zapewnia ochronę i monitorowanie znacznie większego zestawu poufnych użytkowników, zapewniając przyrostowe niższe koszty w celu szybkiego tworzenia gwarancji zabezpieczeń.

Mimo że nadal ważne w określonych przypadkach użycia implementacje lasu ze wzmocnionymi zabezpieczeniami ESAE są bardziej kosztowne i trudniejsze do użycia, wymagając większej obsługi operacyjnej w porównaniu z nowszym rozwiązaniem opartym na chmurze (ze względu na złożony charakter tej architektury). Implementacje ESAE są przeznaczone do ochrony tylko administratorów usługi Active Directory systemu Windows Server. Strategia dostępu uprzywilejowanego oparta na chmurze zapewnia ochronę i monitorowanie znacznie większego zestawu poufnych użytkowników, zapewniając przyrostowe niższe koszty w celu szybkiego tworzenia gwarancji zabezpieczeń.

Jakie są prawidłowe przypadki użycia ESAE?

Chociaż nie jest to zalecenie głównego nurtu, ten wzorzec architektury jest prawidłowy w ograniczonym zestawie scenariuszy.

W tych przypadkach wyjątków organizacja musi zaakceptować zwiększoną złożoność techniczną i koszty operacyjne rozwiązania. Organizacja musi mieć zaawansowany program zabezpieczeń do mierzenia ryzyka, monitorowania ryzyka i stosowania spójnej platformy operacyjnej do użycia i konserwacji implementacji ESAE.

Przykładowe scenariusze obejmują:

  • Izolowane środowiska lokalne — w których usługi w chmurze są niedostępne, takie jak laboratoria badawcze offline, krytyczna infrastruktura lub narzędzia, odłączone środowiska technologii operacyjnej (OT), takie jak kontrola nadzoru i pozyskiwanie danych (SCADA) / Industrial Control Systems (ICS) i klienci sektora publicznego, którzy są w pełni zależni od technologii lokalnej.
  • Wysoce regulowane środowiska — przepisy branżowe lub rządowe mogą wymagać w szczególności konfiguracji lasu administracyjnego.
  • Wysoki poziom zapewniania bezpieczeństwa jest wymagany — organizacje o niskiej tolerancji ryzyka, które są skłonne zaakceptować zwiększoną złożoność i koszt operacyjny rozwiązania.

Uwaga

Chociaż firma Microsoft nie zaleca już izolowanego modelu lasu ze wzmocnionymi zabezpieczeniami dla większości scenariuszy w większości organizacji, firma Microsoft nadal prowadzi podobną architekturę wewnętrznie (i skojarzone procesy pomocy technicznej i personel) ze względu na ekstremalne wymagania dotyczące zabezpieczeń zapewniające zaufane usługi w chmurze organizacjom na całym świecie.

Następne kroki

Zapoznaj się ze wskazówkami dotyczącymi strategii dostępu uprzywilejowanego i planu szybkiej modernizacji (RAMP), aby zapewnić bezpieczne środowiska dla uprzywilejowanych użytkowników.