Gelişmiş Güvenlik Yönetici Ortamı

Gelişmiş Güvenlik Yönetici Ortamı (ESAE) mimarisi (çoğunlukla kırmızı orman, yönetici ormanı veya anılan orman) Windows Server Active Directory (AD) yöneticilerine güvenli bir ortam sağlama yaklaşımıdır.

Microsoft'un bu mimari düzeni kullanma önerisi, ayrıcalı kullanıcıların güvenliğini sağlamak için önerilen varsayılan yaklaşım olarak modern ayrıcalıklı erişim stratejisi ve hızlı modernleştirme planı (RAMP) kılavuzuyla değiştirilmiştir. ESAE yüksek güvenlikli yönetim ormanı deseni (öncesinde veya bulut tabanlı), artık yalnızca aşağıda listelenen özel durumlar için uygun özel bir yapılandırma olarak kabul edilir.

Zaten ESAE'm varsa ne olacak?

Güvenliği geliştirmek ve/veya çok ormanlı yönetimi basitleştirmek için bu mimariyi zaten dağıtmış olan müşteriler için, bir ESAE uygulaması tasarımı ve amaçlanan şekilde çalıştırıldığında kullanımdan kaldırılacak veya değiştiriliyorsa bir acil durum yoktur. Tüm kurumsal sistemlerde olduğu gibi, güvenlik güncelleştirmeleri uygulayarak ve yazılımın destek yaşam döngüsü içinde olmasını sağlayarak yazılımı bu sistemde de korumanız gerekir.

Microsoft ayrıca, hızlı modernleştirme planı (RAMP) kılavuzuyla ESAE / ormanları olan kuruluşlara, modern ayrıcalıklı erişim stratejisi benimser. Bu, mevcut bir ESAE uygulamasını tamamlar ve Azure AD Genel Yöneticileri, hassas iş kullanıcıları ve standart kurumsal kullanıcılar dahil olmak üzere ESAE tarafından korunmamış olan roller için uygun güvenlik sağlar. Daha fazla bilgi için Ayrıcalıklı erişim güvenlik düzeylerinin güvenliğini sağlama makalesine bakın.

Öneri neden değiştir?

ESAE ilk olarak 10 yıl önce tasarlanmıştı ve odak, yerel kimlik sağlayıcısı olarak AD ile şirket içi ortamlardaydı. ESAE / Windows Server Active Directory orman uygulamaları, okul Windows Server Active Directory odaklanıyor.

Microsoft yeni bulut tabanlı çözümleri önermektedir, çünkü yönetim ve işle ilgili hassas roller ve sistemler kapsamında daha geniş bir koruma için bunlar daha hızlı dağıtılabilir.

Ayrıcalıklı erişim stratejisi çok daha büyük bir duyarlı kullanıcı kümesi için korumalar ve izleme sağlarken, hızlı şekilde güvenlik güvenceleri oluşturmak için artımlı düşük maliyetli adımlar sağlar.

Belirli kullanım durumlarında hala geçerli olan ESAE orman uygulamaları daha yüksek maliyetli ve kullanım daha zordur; daha yeni bulut tabanlı çözüme göre daha fazla işlem desteği gerekir (bu mimarinin karmaşık yapısı nedeniyle). ESAE uygulamaları yalnızca yönetici Windows Server Active Directory tasarlanmıştır. Bulut tabanlı ayrıcalıklı erişim stratejisi çok daha büyük bir duyarlı kullanıcı kümesi için korumalar ve izleme sağlarken, hızlı şekilde güvenlik güvenceleri oluşturmak için artımlı düşük maliyetli adımlar sağlar.

Geçerli ESAE kullanım örnekleri nedir?

Temel bir öneri olarak karşılanmaz ama bu mimari desen sınırlı bir senaryo kümesinde geçerlidir.

Bu özel durumlar için, kuruluşun çözümün daha yüksek teknik karmaşıklığı ve işlem maliyetlerini kabul etmiş olması gerekir. Kuruluşun, riski ölçmesi, riski izlemesi ve ESAE uygulamasının kullanımı ve bakımına tutarlı işlem sistemi sistemi uygulamak için gelişmiş bir güvenlik programı olmalıdır.

Örnek senaryolar şunlardır:

• Yalıtılmış şirket içi ortamlar - çevrimdışı araştırma işlerimiz, kritik altyapı veya yardımcı programlar, Gözetmen denetimi ve veri alma (SCADA) / Gelişmiş Denetim Sistemleri (ICS) gibi bağlantı kesik işlem teknolojisi (OT) ortamları ve şirket içi teknolojiye tamamen bağlı olan kamu sektörü müşterileri gibi bulut hizmetlerinin kullanılamay olduğu şirket içi ortamlar.
• Son derece düzenlemeye tabi ortamlar – endüstri veya kamu yönetmeliği özel olarak bir yönetim ormanı yapılandırması gerekli olabilir.
• Yüksek düzey güvenlik güvencesi velileri vardır; çözümün daha yüksek karmaşıklığını ve işlem maliyetini kabul etmek isteyen düşük risklere sahip kuruluşlar.

Sonraki adımlar

Ayrıcalıklı kullanıcılar için güvenli ortamlar sağlamak için ayrıcalıklı erişim stratejisini ve hızlı modernleştirme planı (RAMP) kılavuzlarını gözden geçirebilirsiniz.