Уровни безопасности привилегированного доступа

В этом документе описываются уровни безопасности стратегии привилегированного доступа. Сведения о том, как внедрить эту стратегию, см. в плане быстрой модернизации (RaMP). Рекомендации по реализации см. в статье о развертывании с привилегированным доступом

Эти уровни в основном предназначены для предоставления простого и простого технического руководства, чтобы организации могли быстро развернуть эти критически важные средства защиты. Стратегия привилегированного доступа распознает, что организации имеют уникальные потребности, но также что пользовательские решения создают сложности, что приводит к более высоким затратам и снижению безопасности с течением времени. Чтобы сбалансировать эти требования, стратегия предоставляет подробные рекомендации для каждого уровня и гибкости, позволяя организациям выбирать, когда каждая роль будет требоваться для удовлетворения требований этого уровня.

Defining three security levels

Упрощение помогает людям понять это и снижает риск того, что они будут путать и делать ошибки. Хотя базовая технология почти всегда сложна, крайне важно не создавать пользовательские решения, которые трудно поддерживать. Дополнительные сведения см. в статье о принципах проектирования безопасности.

Разработка решений, ориентированных на потребности администраторов и конечных пользователей, упрощает их. Проектирование решений, которые просты для безопасности и ИТ-персонала для создания, оценки и обслуживания (с автоматизацией, где это возможно), приводит к меньшему объему ошибок безопасности и более надежным гарантиям безопасности.

Рекомендуемая стратегия безопасности привилегированного доступа реализует простую трехуровневую систему гарантий, охватывающую несколько областей, предназначенную для простого развертывания: учетных записей, устройств, посредников и интерфейсов.

Increase attacker cost with each level of security investment

Каждый последующий уровень позволяет снизить затраты на злоумышленников с дополнительным уровнем Defender для облака инвестиций. Уровни предназначены для "положительных точек", где защитники получают наибольшее значение (увеличение затрат злоумышленника) для каждой инвестиции в безопасность, которую они делают.

Каждая роль в вашей среде должна быть сопоставлена с одним из этих уровней (и при необходимости увеличиваться с течением времени в рамках плана улучшения безопасности). Каждый профиль четко определен как техническая конфигурация и автоматизирован, где это возможно для упрощения развертывания и ускорения защиты. Дополнительные сведения о реализации см. в статье о стратегии привилегированного доступа.

В этой стратегии используются следующие уровни безопасности:

  • Enterprise безопасности подходит для всех корпоративных пользователей и сценариев повышения производительности. В ходе выполнения плана быстрой модернизации предприятие также служит отправной точкой для специализированного и привилегированного доступа, так как они постепенно создаются на основе элементов управления безопасностью в корпоративной безопасности.

    Примечание

    Более слабые конфигурации безопасности существуют, но не рекомендуются корпорацией Майкрософт для корпоративных организаций в настоящее время из-за навыков и ресурсов, доступных злоумышленникам. Сведения о том, что злоумышленники могут покупать друг у друга на темных рынках и средних ценах, см. в видео 10 лучших методик по обеспечению безопасности Azure.

  • Специальная безопасность обеспечивает повышенные средства управления безопасностью для ролей с повышенным влиянием на бизнес (если они скомпрометируются злоумышленником или злоумышленником из программы предварительной оценки).

    Ваша организация должна иметь задокументированные критерии для специализированных и привилегированных учетных записей (например, потенциальное влияние на бизнес более 1 млн долл. США), а затем определить все роли и учетные записи, которые соответствуют этим критериям. (используется в этой стратегии, в том числе в специализированных учетных записях)

    Специализированные роли обычно включают:

    • Разработчики критически важных для бизнеса систем.
    • Конфиденциальные бизнес-роли, такие как пользователи терминалов SWIFT, исследователи с доступом к конфиденциальным данным, сотрудники с доступом к финансовым отчетам до выхода общедоступной версии, администраторы заработной платы, утверждающие для конфиденциальных бизнес-процессов и другие роли с высоким уровнем влияния.
    • Руководители и личные помощники или помощники по администрированию, которые регулярно обрабатывают конфиденциальную информацию.
    • Большое влияние на учетные записи социальных сетей , которые могут нанести ущерб репутации компании.
    • Конфиденциальные ИТ-администраторы со значительными привилегиями и влиянием, но не на уровне предприятия. Эта группа обычно включает администраторов отдельных рабочих нагрузок с высоким уровнем влияния. (например, администраторы планирования корпоративных ресурсов, администраторы банковских операций, службы технической поддержки и т. д.)

    Специализированная безопасность учетных записей также служит промежуточным шагом для привилегированной безопасности, который далее строится на этих элементах управления. Дополнительные сведения о рекомендуемом порядке развития см. в стратегии привилегированного доступа.

  • Привилегированная безопасность — это наивысший уровень безопасности, предназначенный для ролей, которые могут легко вызвать серьезный инцидент и потенциальный материальный ущерб организации от злоумышленника или злоумышленника. Этот уровень обычно включает технические роли с разрешениями администратора в большинстве или во всех корпоративных системах (и иногда включает несколько критически важных для бизнеса ролей).

    Привилегированные учетные записи в первую очередь ориентированы на безопасность, а производительность определяется как возможность легко и безопасно выполнять конфиденциальные задачи заданий безопасно. Эти роли не смогут выполнять как конфиденциальные задачи, так и общие задачи повышения производительности (просмотр в Интернете, установка и использование любого приложения) с помощью одной и той же учетной записи или одного устройства или рабочей станции. Они будут иметь учетные записи с высоким уровнем ограничения и рабочие станции с повышенным мониторингом своих действий для аномальных действий, которые могут представлять активность злоумышленников.

    Роли безопасности привилегированного доступа обычно включают:

    • Глобальные администраторы Azure AD и связанные роли
    • Другие роли управления удостоверениями с правами администратора на корпоративный каталог, системы синхронизации удостоверений, решение федерации, виртуальный каталог, систему управления привилегированными пользователями и доступом или аналогичные роли.
    • Роли с членством в этих локальная служба Active Directory группах
      • Enterprise администраторов
      • Администраторы домена
      • Администратор схемы
      • BUILTIN\Administrators
      • Операторы учетной записи
      • Операторы резервного копирования
      • Операторы печати
      • Операторы сервера
      • Контроллеры домена
      • Контроллеры домена только для чтения
      • групповая политика создателя
      • Криптографические операторы
      • Распределенные ПОЛЬЗОВАТЕЛИ COM
      • Конфиденциальные локальные группы Exchange (включая разрешения Exchange Windows и Exchange доверенной подсистемы)
      • Другие делегированные группы — настраиваемые группы, которые могут быть созданы вашей организацией для управления операциями с каталогами.
      • Любой локальный администратор для базовой операционной системы или клиента облачной службы, в котором размещены указанные выше возможности, включая
        • Члены группы локальных администраторов
        • Персонал, знакомый с корневым или встроенным паролем администратора
        • Администраторы любого средства управления или безопасности с агентами, установленными в этих системах

Дальнейшие действия