Enterprise erişim modeli

  • Makale
  • Okumak için 3 dakika

Bu belgede, ayrıcalıklı erişim stratejisinin nasıl sığduğunu açıklayan bir bütün olarak kurumsal erişim modeli açıkmektedir. Ayrıcalıklı erişim stratejisini benimsemeyle ilgili bir yol haritası için, hızlı bir modernleştirme planına (RaMP) bakın. Bunu dağıtma hakkında uygulama kılavuzu için bkz. ayrıcalıklı erişim dağıtımı

Ayrıcalıklı erişim stratejisi, bir bütün olarak kurumsal erişim denetim stratejisinin bir bölümüdur. Bu kurumsal erişim modeli, ayrıcalıklı erişimin bir bütün olarak kurumsal erişim modeline nasıl uyumduğunu gösterir.

Kuruluşun korumaları gereken birincil iş değeri depoları Veri/İş Yükü uçağındadır:

Veri/iş yükü uçağını

Uygulamalar ve veriler genellikle kuruluşun şu durumlarının büyük bir yüzdesini depolar:

  • Uygulamalar ve iş yükleri ile ilgili iş süreçleri
  • Veri ve uygulamalarda fikri mülkiyet

Kurumsal IT kuruluşu, şirket içi, Azure veya üçüncü taraf bulut sağlayıcısı olup bir yönetim uçağını oluşturma gibi barındırılan iş yüklerini ve barındırıldıları altyapıyı yönetir ve destekler. Kuruluş genelinde bu sistemlere tutarlı erişim denetimi sağlamak için merkezi kurumsal kimlik sistemlerini temel alan bir denetim uçağını gerekir ve bu çoğunlukla işlem teknolojisi (OT) cihazları gibi eski sistemler için ağ erişim denetimiyle destek sağlar.

Denetim, yönetim ve veri/iş yükü uçaklarının

Bu uçaklardan her biri, işlevlerinden yola çıkan ve her iki uçağın da kontrolünü elde eden saldırganların kötüye kullanımına karşı cazip bir patika oluşturarak veri ve iş yüklerinin denetimine sahiptir.

Bu sistemlerin iş değeri oluşturması için iç kullanıcıların, iş ortaklarının ve müşterilerinin iş istasyonu veya cihazlarını (çoğunlukla uzaktan erişim çözümleri kullanarak) kullanan ve kullanıcı erişimi patikaları oluşturması gerekir. Ayrıca süreç otomasyonunu kolaylaştırmak, uygulama erişim yolları oluşturulmasını kolaylaştırmak için uygulama programlama arabirimleri (API'ler) yoluyla da sık sık programlı olarak kullanılabilirler.

Kullanıcı ve uygulama erişim yolları ekleme

Son olarak, ayrıcalıklı erişim yolları oluşturulması için bu sistemler IT personeli, geliştiriciler veya kuruluşlar tarafından yönetil olmalı ve sürdürülmektedir. Kuruluşta iş açısından kritik varlıklar üzerinden sağ sağlayan yüksek denetim düzeyi nedeniyle bu patikalar güvenlik ödünlerine karşı sıkı bir şekilde korunmaları gerekir.

Ayrıcalıklı erişim yolu yönetmek ve bakımını yapmak

Kuruluşta üretkenliği sağlayan ve riski azaltan tutarlı erişim denetimi sağlamak için

  • Tüm erişimde Sıfır Güven ilkelerini zorunlu kılın
    • Diğer bileşenlerin İhlal olduğunu varsayalım
    • Güvenin açık bir şekilde doğrulanması
    • En az ayrıcalık erişimi
  • Yaygın güvenlik ve ilke zorlaması
    • Tutarlı ilke uygulaması sağlamak için iç ve dış erişim
    • Kullanıcılar, yöneticiler, API'ler, hizmet hesapları vb. dahil olmak üzere tüm erişim yöntemleri.
  • Yetkisiz ayrıcalık yükseltmeyi azaltmak
    • Hiyerarşiyi zorunlu– daha düşük uçaklardan daha yüksek uçakların kontrolini önlemek için (saldırılar veya yasal işlemlerin kötüye kullanımı yoluyla)
      • Uçak kontrol
      • Yönetim uçağını
      • Veri/iş yükü uçağını
    • Yanlışlıkla yükseltmeyi etkinleştiren yapılandırma açıkları için sürekli denetim
    • Olası saldırılara neden olan her şeyi izleme ve yanıtlama

Eski AD katman modelinden gelişim

Kurumsal erişim modeli, şirket içi bir hizmet ortamında yetkisiz ayrıcalık yükseltmesi içerikle birlikte kullanılmasına odaklanan eski katman modelinin yerini Windows Server Active Directory değiştirir.

Eski AD katman modeli

Kurumsal erişim modeli bu öğelerin yanı sıra şirket içi, çoklu bulut, iç veya dış kullanıcı erişimi gibi daha birçok modern kuruluşa yönelik tam erişim yönetim gereksinimlerine de sahiptir.

Eski katmanlardan tam kurumsal erişim modeli

Katman 0 kapsamı genişletme

Katman 0, denetim uçağını olacak şekilde genişler ve eski OT seçenekleri gibi tek/en iyi erişim denetimi seçeneği olan ağ da dahil olmak üzere erişim denetimiyle ilgili tüm yönleriyle ilgili bilgileri sağlar

Katman 1 bölmeleri

Netliği ve eyleme açıklığı artırmak için katman 1 artık aşağıdaki alanlara bölündü:

  • Yönetim uçağını – kuruluş genelindeki IT yönetim işlevleri için
  • Veri/İş Yükü uçağını – bazen IT personeli ve bazen de iş birimleri tarafından gerçekleştirilen iş yüküne göre yönetimi için

Bu bölme, iş açısından yüksek ancak sınırlı teknik denetime sahip iş kritik sistemleri ve yönetim rollerini korumaya yönelik odağı sağlar. Buna ek olarak, bu bölmede geliştiriciler ve DevOps ve klasik altyapı rollerine çok fazla odaklanıyor.

Katman 2 bölmeleri

Uygulama erişimiyle çeşitli iş ortağı ve müşteri modellerinin kapsama alanı sağlamak için Katman 2 aşağıdaki alanlara bölündü:

  • Kullanıcı erişimi – tüm B2B, B2C ve genel erişim senaryolarını içerir
  • Uygulama erişimi – API erişim yollarına uyum sağlar ve saldırı yüzeyine yol açma

Sonraki adımlar