Enterprise доступа

В этом документе описана общая модель корпоративного доступа, включаемая контекст стратегии привилегированного доступа. План принятия стратегии привилегированного доступа см. в плане быстрого доступа (RaMP). Инструкции по развертыванию см. в руководстве по развертыванию привилегированного доступа.

Стратегия привилегированного доступа является частью общей стратегии управления корпоративным доступом. Эта модель корпоративного доступа показывает, как привилегированный доступ помещается в общую модель корпоративного доступа.

Основные хранилища бизнес-стоимости, которые организация должна защищать, находятся в самолете Data/Workload:

Самолет с данными и рабочей нагрузкой

В приложениях и данных обычно хранится большой процент данных организации:

  • Бизнес-процессы в приложениях и рабочих нагрузках
  • Интеллектуальная собственность в данных и приложениях

Корпоративная ИТ-организация управляет рабочими нагрузками и инфраструктурой, где они находятся (локальной, локальной или облачной службой) или сторонним облачным поставщиком, создавая самолет управления. Для обеспечения согласованного управления доступом к этим системам на предприятии требуется самолет управления, основанный на системах централизованного управления корпоративными удостоверениями, который часто дополняется средством контроля доступа к сети для более старых систем, таких как рабочие устройства с OT.

Управление, управление и рабочие нагрузки

Каждый из этих самолетов имеет контроль над данными и рабочими нагрузками, не изумляя свои функции, создавая привлекательный путь для злоумышленников, которые могут получить контроль над любой из этих самолетов.

Чтобы эти системы могли создавать бизнес-ценность, они должны быть доступны внутренним пользователям, партнерам и клиентам на своих рабочих станциях или устройствах (часто с помощью решений удаленного доступа), то есть для создания путей доступа пользователей. Они также часто должны быть доступны программным путем с помощью программных интерфейсов (API), чтобы упростить автоматизацию процессов, создавая схемы доступа приложений.

Добавление путей доступа пользователей и приложений

Наконец, эти системы должны управляться и поддерживаться ИТ-персоналом, разработчиками и другими сотрудниками организации, создавая привилегированные пути доступа. Так как они обеспечивают высокий уровень контроля над критически важными бизнес-активами в организации, эти пути должны быть строго защищены от компрометации.

Привилегированный путь доступа для управления и обслуживания

Чтобы обеспечить согласованный контроль доступа в организации, который обеспечивает производительность и снижает риски, необходимо

  • Принудительное соблюдение принципов нулевого доверия для всего доступа
    • Предположим, что нарушены другие компоненты
    • Явная проверка доверия
    • Доступ к наименьшим привилегиям
  • Обеспечение безопасности и политики в разных регионах
    • Внутренний и внешний доступ для обеспечения согласованного приложения политики
    • Все методы доступа, включая пользователей, администраторов, API, учетные записи служб и т. д.
  • Уменьшение несанкционированного доступа к привилегиям
    • Принудительное управление самолетами более высокого уровня (с помощью атак или нарушений законных процессов)
      • Управление самолетом
      • Самолет управления
      • Самолет с данными и рабочей нагрузкой
    • Непрерывный аудит уязвимостей конфигурации, которые могут быть непреднамеренно
    • Мониторинг аномалий, которые могут представлять потенциальные атаки, и реагирование на них

Эволюция от устаревшей модели уровня AD

Модель корпоративного доступа заменяет устаревшую модель уровней, в которой основное внимание было уделялось несанкционированному росту привилегий в локальной среде Windows Server Active Directory организации.

Устаревшая модель уровня AD

Модель корпоративного доступа включает в себя эти элементы, а также требования к полному управлению доступом для современного предприятия, которое охватывает локальное, несколько облаков, внутренний или внешний доступ пользователей и другие возможности.

Полная корпоративная модель доступа на старых уровнях

Расширение области уровня 0

Уровень 0 расширяется, чтобы стать самолетом управления, и адресовав все аспекты управления доступом, включая сеть, где это единственный и лучший вариант управления доступом, например устаревшие параметры OT

Разделение уровня 1

Чтобы сделать его более четким и уявитивным, уровень 1 теперь делится на следующие области:

  • Самолет управления — для корпоративных функций ИТ-управления
  • Самолет с данными и рабочей нагрузкой — для управления рабочей нагрузкой, которое иногда выполняется ИТ-персоналом, а иногда и бизнес-единицами.

Такой разделение обеспечивает уделение внимания защите критически важных систем и административных ролей, которые имеют высокую ценность для бизнеса, но имеют ограниченный технический контроль. Кроме того, в этом разделении лучше всего размещаться разработчики и DevOps и слишком активно сконцентрироваться на классических ролях инфраструктуры.

Разделение уровня 2

Чтобы обеспечить покрытие для доступа к приложениям и различным моделям партнеров и клиентов, уровень 2 был разделен на следующие области:

  • Доступ пользователей , который включает все сценарии B2B, B2C и общего доступа
  • Доступ к приложениям — размещение дорожки доступа API и поверхности атаки

Дальнейшие действия