Уровни безопасности привилегированного доступаPrivileged access security levels

В этом документе описываются уровни безопасности стратегии привилегированного доступа для плана использования этой стратегии, а также быстрого модернизации плана (пандус).This document describes the security levels of a privileged access strategy For a roadmap on how to adopt this strategy, see the rapid modernization plan (RaMP). Рекомендации по реализации см. в статье развертывание с привилегированным доступом .For implementation guidance, see privileged access deployment

Эти уровни в основном разработаны для предоставления простых и незамысловатых технических руководств, чтобы организации могли быстро развертывать эти критически важные средства защиты.These levels are primarily designed to provide simple and straightforward technical guidance so that organizations can rapidly deploy these critically important protections. Стратегия привилегированного доступа распознает, что организации имеют уникальные потребности, но эти пользовательские решения создают сложность, что приводит к более высокой стоимости и снижению безопасности с течением времени.The privileged access strategy recognizes that organizations have unique needs, but also that custom solutions create complexity that results in higher costs and lower security over time. Чтобы сбалансировать эту потребность, стратегия предоставляет нормативные рекомендации для каждого уровня и гибкости, позволяя организациям выбирать, когда каждая роль будет требоваться для удовлетворения требований этого уровня.To balance this need, the strategy provides firm prescriptive guidance for each level and flexibility through allowing organizations to choose when each role will be required to meet the requirements of that level.

Определение трех уровней безопасности

Благодаря простоте пользователи могут понять его и снизить риск возникновения ошибок.Making things simple helps people understand it and lowers the risk they will be confused and make mistakes. Хотя базовая технология почти всегда сложна, очень важно обеспечить простоту, а не создавать пользовательские решения, которые трудно поддерживать.While the underlying technology is almost always complex, it is critical to keep things simple rather than creating custom solutions that are difficult to support. Дополнительные сведения см. в статье принципы разработки безопасности.For more information, see the article Security design principles.

Разработка решений, нацеленных на потребности администраторов и конечных пользователей, обеспечит их простоту.Designing solutions that are focused on the needs of the administrators and end users, will keep it simple for them. Разработка, оценка и обслуживание решений, которые просты в использовании для обеспечения безопасности и ИТ-специалистов (с возможностью автоматизации, где это возможно), приводит к снижению количества ошибок безопасности и более надежных гарантий безопасности.Designing solutions that are simple for security and IT personnel to build, assess, and maintain (with automation where possible) leads to less security mistakes and more reliable security assurances.

Рекомендуемая стратегия безопасности привилегированного доступа реализует простую систему с тремя уровнями гарантии, охватывающую несколько областей, которые легко развертываются для: учетных записей, устройств, посредников и интерфейсов.The recommended privileged access security strategy implements a simple three level system of assurances, that span across areas, designed to be easy to deploy for: accounts, devices, intermediaries, and interfaces.

Повышение затрат на атаку с каждым уровнем вложений в систему безопасности

Каждый поочередный уровень повышает затраты злоумышленников с дополнительным уровнем вложений в защитник.Each successive level drives up attacker costs, with additional level of defender investment. Эти уровни предназначены для «неблагоприятных» мест, в которых средства защиты получают наибольшее количество возвратов (повышение затрат злоумышленника) для каждой инвестиции в систему безопасности, которую они делают.The levels are designed to target the 'sweet spots' where defenders get the most return (attacker cost increase) for each security investment they make.

Каждая роль в среде должна быть сопоставлена с одним из этих уровней (и при необходимости увеличиваться с течением времени в рамках плана улучшения безопасности).Each role in your environment should be mapped to one of these levels (and optionally increased over time as part of a security improvement plan). Каждый профиль четко определяется как техническая конфигурация и автоматизирована там, где это возможно, для упрощения развертывания и ускорения защиты системы безопасности.Each profile is clearly defined as a technical configuration and automated where possible to ease deployment and speed up security protections. Сведения о реализации см. в статье стратегия привилегированного доступа.For implementation details see the article, Privileged access roadmap.

Ниже приведены уровни безопасности, используемые в этой стратегии.The security levels used throughout this strategy are:

  • Корпоративная безопасность подходит для всех корпоративных пользователей и сценариев повышения производительности.Enterprise security is suitable for all enterprise users and productivity scenarios. В ходе выполнения быстрого модернизации плана предприятие также выступает в качестве отправной точки для специализированного и привилегированного доступа, так как они постепенно посвящены элементам управления безопасностью в корпоративной безопасности.In the progression of the rapid modernization plan, enterprise also serves as the starting point for specialized and privileged access as they progressively build on the security controls in enterprise security.

    Примечание

    Более слабые конфигурации безопасности существуют, но не рекомендуются корпорацией Майкрософт для корпоративных организаций в связи с тем, что у злоумышленников есть навыки и ресурсы.Weaker security configurations do exist, but aren't recommended by Microsoft for enterprise organizations today because of the skills and resources attackers have available. Сведения о том, какие злоумышленники могут приобретаться на темных рынках и средних ценах, см. в видеоролике 10 лучших рекомендаций по безопасности Azure .For information on what attackers can buy from each other on the dark markets and average prices, see the video Top 10 Best Practices for Azure Security

  • Специализированная безопасность обеспечивает повышенный уровень безопасности для ролей с повышенным влиянием на бизнес (при взломе злоумышленника или злоумышленника).Specialized security provides increased security controls for roles with an elevated business impact (if compromised by an attacker or malicious insider).

    Ваша организация должна иметь задокументированные критерии для специализированных и привилегированных учетных записей (например, потенциальное влияние на бизнес-деятельность составляет свыше 1 млн долларов США), а затем выявление всех ролей и учетных записей, отвечающих этим критериям.Your organization should have documented criteria for specialized and privileged accounts (for example, potential business impact is over $1M USD) and then identify all the roles and accounts meeting that criteria. (используется в рамках этой стратегии, в том числе в специализированных учетных записях).(used throughout this strategy, including in the Specialized Accounts)

    Специализированные роли обычно включают в себя:Specialized roles typically include:

    • Разработчики критически важных для бизнеса систем.Developers of business critical systems.
    • Конфиденциальные бизнес-роли , такие как пользователи отчетов SWIFT, исследователи с доступом к конфиденциальным данным, персонал с доступом к финансовой отчетности до выхода общедоступного выпуска, администраторы зарплаты, утверждающие бизнес-процессы и другие роли с высоким уровнем влияния.Sensitive business roles such as users of SWIFT terminals, researchers with access to sensitive data, personnel with access to financial reporting prior to public release, payroll administrators, approvers for sensitive business processes, and other high impact roles.
    • Руководители и личные помощники/помощники по администрированию, которые регулярно обрабатывали конфиденциальную информацию.Executives and personal assistants / administrative assistants that that regularly handle sensitive information.
    • Учетные записи социальных сетей с высоким уровнем влияния , которые могут повредить репутацию компании.High impact social media accounts that could damage the company reputation.
    • Конфиденциальные ИТ-администраторы с значительными привилегиями и влиянием, но не в масштабах предприятия.Sensitive IT Admins with a significant privileges and impact, but are not enterprise-wide. В эту группу обычно входят администраторы отдельных рабочих нагрузок с высоким уровнем влияния.This group typically includes administrators of individual high impact workloads. (например, администраторы планирования ресурсов предприятия, банковские администраторы, службы технической поддержки/теч роли и т. д.)(for example, enterprise resource planning administrators, banking administrators, help desk /tech support roles, etc.)

    Безопасность специализированной учетной записи также выступает в качестве промежуточного шага для привилегированной безопасности, которая в дальнейшем строится на этих элементах управления.Specialized Account security also serves as an interim step for privileged security, which further builds on these controls. Дополнительные сведения о рекомендуемом порядке продвижения см. в статье план привилегированного доступа .See privileged access roadmap for details on recommended order of progression.

  • Привилегированная безопасность — это самый высокий уровень безопасности, предназначенный для ролей, которые могут легко вызывать серьезные инциденты и потенциальные повреждения материалов в Организации в руки злоумышленника или злоумышленника.Privileged security is the highest level of security designed for roles that could easily cause a major incident and potential material damage to the organization in the hands of an attacker or malicious insider. Этот уровень обычно включает технические роли с разрешениями администратора на большинстве или всех корпоративных системах (и иногда включает в себя выбор нескольких критически важных для бизнеса ролей).This level typically includes technical roles with administrative permissions on most or all enterprise systems (and sometimes includes a select few business critical roles)

    Привилегированные учетные записи сначала посвящены безопасности, а производительность определяется как возможность легко и безопасно выполнять важные задачи задания.Privileged accounts are focused on security first, with productivity defined as the ability to easily and securely perform sensitive job tasks securely. Эти роли не смогут выполнять как конфиденциальные рабочие, так и общие задачи по повышению производительности (Просмотр веб-страниц, установка и использование любого приложения) с помощью одной и той же учетной записи или устройства или рабочей станции.These roles will not have the ability to do both sensitive work and general productivity tasks (browse the web, install and use any app) using the same account or the same device/workstation. Они будут иметь ограниченные учетные записи и рабочие станции с повышенным уровнем контроля действий для аномальных действий, которые могут представлять действия злоумышленника.They will have highly restricted accounts and workstations with increased monitoring of their actions for anomalous activity that could represent attacker activity.

    Роли безопасности привилегированного доступа обычно включают:Privileged access security roles typically include:

    • Глобальные администраторы и связанные роли Azure ADAzure AD Global Administrators and related roles
    • Другие роли управления удостоверениями с административными правами на корпоративный каталог, системы синхронизации удостоверений, решение Федерации, виртуальный каталог, система управления привилегированными пользователями удостоверениями и доступом или аналогичная.Other identity management roles with administrative rights to an enterprise directory, identity synchronization systems, federation solution, virtual directory, privileged identity/access management system, or similar.
    • Роли с членством в локальных Active Directory группахRoles with membership in these on-premises Active Directory groups
      • Администраторы предприятияEnterprise Admins
      • Администраторы доменаDomain Admins
      • Администраторы схемыSchema Admin
      • BUILTIN\AdministratorsBUILTIN\Administrators
      • Операторы учетаAccount Operators
      • Операторы архиваBackup Operators
      • Операторы печатиPrint Operators
      • Операторы сервераServer Operators
      • .Domain Controllers
      • Контроллеры домена только для чтенияRead-only Domain Controllers
      • Владельцы-создатели групповой политикиGroup Policy Creator Owners
      • Криптографические операторыCryptographic Operators
      • Пользователи DCOMDistributed COM Users
      • Конфиденциальные локальные группы Exchange (включая разрешения Windows Exchange и доверенную подсистему Exchange)Sensitive on-premises Exchange groups (including Exchange Windows Permissions and Exchange Trusted Subsystem)
      • Другие делегированные группы — настраиваемые группы, которые могут быть созданы вашей организацией для управления операциями с каталогами.Other Delegated Groups - Custom groups that may be created by your organization to manage directory operations.
      • Любой локальный администратор для базовой операционной системы или клиента облачной службы, на котором размещаются указанные выше возможности, включаяAny local administrator for an underlying operating system or cloud service tenant that is hosting the above capabilities including
        • Члены локальной группы администраторовMembers of local administrators group
        • Сотрудники, знающие корневой или встроенный пароль администратораPersonnel who know the root or built in administrator password
        • Администраторы любого средства управления или безопасности с агентами, установленными в этих системахAdministrators of any management or security tool with agents installed on those systems

Дальнейшие действияNext steps