Kurumsal erişim modeliEnterprise access model

Bu belgede, bir ayrıcalıklı erişim stratejisinin bir bağlamını içeren genel bir kurumsal erişim modeli açıklanmaktadır.This document describes an overall enterprise access model that includes context of how a privileged access strategy fits in. Ayrıcalıklı erişim stratejisini benimseme hakkında yol haritası için, bkz. hızlı modernleştirme planı (rampa).For a roadmap on how to adopt a privileged access strategy, see the rapid modernization plan (RaMP). Bunu dağıtmaya yönelik uygulama kılavuzu için bkz. ayrıcalıklı erişim dağıtımıFor implementation guidance to deploy this, see privileged access deployment

Ayrıcalıklı erişim stratejisi, genel bir kurumsal erişim denetimi stratejisinin bir parçasıdır.Privileged access strategy is part of an overall enterprise access control strategy. Bu kurumsal erişim modeli, ayrıcalıklı erişimin genel bir kurumsal erişim modeline nasıl uyduğunu gösterir.This enterprise access model shows how privileged access fits into an overall enterprise access model.

Kuruluşun korunması gereken birincil iş değeri depoları, veri/Iş yükü düzledir:The primary stores of business value that an organization must protect are in the Data/Workload plane:

Veri/iş yükü düzlemi

Uygulamalar ve veriler genellikle kuruluşun büyük bir yüzdesini depolar:The applications and data typically store a large percentage of an organization's:

  • Uygulama ve iş yüklerindeki iş süreçleriniBusiness processes in applications and workloads
  • Veri ve uygulamalardaki fikri mülkiyet özelliğiIntellectual property in data and applications

Kurumsal BT organizasyonu, şirket içinde, Azure 'da veya üçüncü taraf bulut sağlayıcısında barındırılan iş yüklerini ve altyapı ve Yönetim düzlemi oluşturma işlemlerini yönetir ve destekler.The enterprise IT organization manages and supports the workloads and the infrastructure they are hosted on, whether it's on-premises, on Azure, or a third-party cloud provider, creating a management plane. Kuruluş genelinde bu sistemlere tutarlı erişim denetimi sağlamak, genellikle işletimsel teknoloji (OT) cihazları gibi eski sistemler için ağ erişim denetimi tarafından sağlanan merkezi kurumsal kimlik sistemlerine dayalı bir Denetim düzlemi gerektirir.Providing consistent access control to these systems across the enterprise requires a control plane based on centralized enterprise identity system(s), often supplemented by network access control for older systems like operational technology (OT) devices.

Denetim, yönetim ve veri/iş yükü düzlemleri

Bu düzlemleri her biri, işlevlerinin sanallaştırarak veri ve iş yüklerinin denetimine sahiptir, her iki düzlem için denetim elde edebilmeleri durumunda saldırganlar için etkileyici bir yol oluşturur.Each of these planes has control of the data and workloads by virtue of their functions, creating an attractive pathway for attackers to abuse if they can gain control of either plane.

Bu sistemlerin iş değeri oluşturması için, kullanıcıların iş istasyonlarını veya cihazlarını (genellikle uzaktan erişim çözümlerini kullanan) kullanan iç kullanıcılar, iş ortakları ve müşteriler tarafından erişilebilir olmaları gerekir. Kullanıcı erişim yolu oluşturmaFor these systems to create business value, they must be accessible to internal users, partners, and customers using their workstations or devices (often using remote access solutions) - creating user access pathways. Ayrıca, işlem otomasyonunu kolaylaştırmak için uygulama programlama arabirimleri (API) aracılığıyla program aracılığıyla da kullanılabilir olmaları gerekir.They must also frequently be available programmatically via application programming interfaces (APIs) to facilitate process automation, creating application access pathways.

Kullanıcı ve uygulama erişimi yol yollarını ekleme

Son olarak, bu sistemlerin BT personeli, geliştiriciler veya kuruluşlardaki diğer kişiler tarafından yönetilmesi ve saklanması gerekir ve ayrıcalıklı erişim yol yolları oluşturulur.Finally, these systems must be managed and maintained by IT staff, developers, or others in the organizations, creating privileged access pathways. Kuruluştaki iş açısından kritik varlıklar üzerinde sağladıkları yüksek düzeyde denetim nedeniyle, bu pathpath 'in uzlaşmaya karşı güvenli bir şekilde korunması gerekir.Because of the high level of control they provide over business critical assets in the organization, these pathways must be stringently protected against compromise.

Yönetim ve bakım için ayrıcalıklı erişim patika

Kuruluşta üretkenlik ve risk azaltır riski sağlayan tutarlı erişim denetimi sağlamak için şunları yapmanız gerekirProviding consistent access control in the organization that enables productivity and mitigates risk requires you to

  • Tüm erişimde sıfır güven ilkeleri UygulaEnforce Zero Trust principles on all access
    • Diğer bileşenlerin Ihlalini varsayAssume Breach of other components
    • Güvenin açık doğrulamasıExplicit validation of trust
    • En az ayrıcalık erişimiLeast privilege access
  • Genelinde güvenlik ve ilke zorlamasıPervasive security and policy enforcement across
    • Tutarlı ilke uygulaması sağlamak için iç ve dış erişimInternal and external access to ensure consistent policy application
    • Kullanıcılar, Yöneticiler, API 'Ler, hizmet hesapları vb. dahil olmak üzere tüm erişim yöntemleri.All access methods including users, admins, APIs, service accounts, etc.
  • Yetkisiz ayrıcalık yükseltmeyi azaltmaMitigate unauthorized privilege escalation
    • Hiyerarşiyi zorla – daha düşük düzlemleri (meşru işlemlerin saldırıları veya kötüye kullanımı aracılığıyla) denetlemenizi engellemek içinEnforce hierarchy – to prevent control of higher planes from lower planes (via attacks or abuse of legitimate processes)
      • Kontrol düzlemiControl plane
      • Yönetim düzlemiManagement plane
      • Veri/iş yükü düzlemiData/workload plane
    • Yanlışlıkla yükseltmeyi etkinleştiren yapılandırma güvenlik açıkları için sürekli denetimContinuously audit for configuration vulnerabilities enabling inadvertent escalation
    • Olası saldırıları temsil edebilen anormallikleri izleyin ve yanıtlayınMonitor and respond to anomalies that could represent potential attacks

Eski AD katmanı modelinden gelişmeEvolution from the legacy AD tier model

Kurumsal erişim modeli, şirket içi Windows Server Active Directory ortamında izinsiz ayrıcalık yükseltme işlemi içeren eski katman modelinin yerini alır ve değiştirir.The enterprise access model supersedes and replaces the legacy tier model that was focused on containing unauthorized escalation of privilege in an on-premises Windows Server Active Directory environment.

Eski AD katmanı modeli

Kurumsal erişim modeli, bu öğelerin yanı sıra şirket içi, birden fazla bulut, iç veya dış Kullanıcı erişimi ve daha fazlasını kapsayan modern bir kuruluşun tam erişim yönetimi gereksinimlerini içerir.The enterprise access model incorporates these elements as well as full access management requirements of a modern enterprise that spans on-premises, multiple clouds, internal or external user access, and more.

Kurumsal erişim modelini eski katmanlardan doldurun

Katman 0 kapsam genişletmesiTier 0 scope expansion

Katman 0, denetim düzlemi olacak şekilde genişletilir ve erişim denetiminin tüm yönlerini adresleyen, bu, eski OT seçenekleri gibi tek/en iyi erişim denetimi seçeneği olduğu ağ dahil olmak üzere.Tier 0 expands to become the control plane and addresses all aspects of access control, including networking where it is the only/best access control option, such as legacy OT options

Katman 1 bölmelerTier 1 splits

Netliği ve eylem özelliğini artırmak için, katman 1 ' in artık aşağıdaki alanlara bölünmesi:To increase clarity and actionability, what was tier 1 is now split into the following areas:

  • Yönetim düzlemi – kurumsal çapta BT yönetimi işlevleri içinManagement plane – for enterprise-wide IT management functions
  • Veri/Iş yükü düzlemi – bazen BT personeli tarafından ve bazen iş birimlerine göre gerçekleştirilen iş yükü başına yönetim içinData/Workload plane – for per-workload management, which is sometimes performed by IT personnel and sometimes by business units

Bu bölünmüş, büyük iç iş değerine sahip, ancak sınırlı teknik denetim olan iş açısından kritik sistemleri ve yönetim rollerini korumak için odaklanmayı sağlar.This split ensures focus for protecting business critical systems and administrative roles that have high intrinsic business value, but limited technical control. Buna ek olarak, bu, klasik altyapı rollerinde çok fazla yüksek düzeyde çalışan geliştiriciler ve DevOps modelleriyle daha iyi uyum sağlar.Additionally, this split better accommodates developers and DevOps models vs. focusing too heavily on classic infrastructure roles.

Katman 2 bölmelerTier 2 splits

Uygulama erişimi ve çeşitli iş ortağı ve müşteri modelleriyle ilgili kapsama sağlamak için katman 2 aşağıdaki alanlara bölünür:To ensure coverage for application access and the various partner and customer models, Tier 2 was split into the following areas:

  • Tüm B2B, B2C ve genel erişim senaryolarını içeren Kullanıcı erişimi :User access – which includes all B2B, B2C, and public access scenarios
  • Uygulama erişimi – API erişimi yol ve ortaya çıkan saldırı yüzeyini barındırmak içinApp access – to accommodate API access pathways and resulting attack surface

Sonraki adımlarNext steps