Ayrıcalıklı erişim güvenlik düzeyleri

Bu belgede, ayrıcalıklı erişim stratejisinin güvenlik düzeyleri Açıklandı Bu stratejinin benimsenmişliğiyle ilgili bir yol haritası için, hızlı bir modernleştirme planına (RaMP) bakın. Uygulama kılavuzu için bkz. ayrıcalıklı erişim dağıtımı

Bu düzeyler öncelikle, kuruluşların bu kritik öneme sahip korumaları hızlı bir şekilde dağıtması için basit ve anlaşılır teknik rehberlik sağlayacak şekilde tasarlanmıştır. Ayrıcalıklı erişim stratejisi kuruluşların benzersiz ihtiyaçları olduğunu tanır, ancak özel çözümlerin karmaşıklığı oluşturması da, zaman içinde yüksek maliyet ve daha düşük güvenlikle sonuç verir. Bu ihtiyacı dengelemek için strateji her düzeye ve esnekliğe yönelik kesin bir kılavuz sağlar ve kuruluşların bu düzeyin gereksinimlerini karşılamak için her rolün ne zaman gerekli olacağını seçmelerine olanak sağlar.

Basit bir hale getirerek kişilerin bunu anlıyoruz, kafaları karıştırılma riskini azalttı ve hata yapma riski var. Temel teknoloji hemen her zaman karmaşıktır ama desteği zor olan özel çözümler oluşturmak yerine işleri basit tutmak çok önemlidir. Daha fazla bilgi için Güvenlik tasarımı ilkeleri makalesine bakın.

Yöneticilerin ve son kullanıcıların ihtiyaçlarına odaklanan çözümler tasarlama, onlar için basit bir işlemdir. Güvenlik ve IT personelinin oluşturması, değerlendirmesi ve sürdürmesi için (mümkün olan otomasyonla) basit çözümler tasarlamak, daha az güvenlik hatasına ve daha güvenilir güvenlik güvencesine neden olur.

Önerilen ayrıcalıklı erişim güvenliği stratejisi, farklı alanlarda dağıtım kolay olacak şekilde tasarlanmış, basit üç düzeyli bir güvence sistemi sunar: hesaplar, cihazlar, aracılar ve arabirimler.

Her birbirini takip düzeyi, ek Bulut yatırımı için Defender düzeyi ile birlikte saldırgan maliyetlerini destekler. Düzeyler, defender'ların yapılan her güvenlik yatırımı için en fazla dönüş (saldırgan maliyeti artışı) elde edilen "tatlı noktaları" hedefleecek şekilde tasarlanmıştır.

Ortamınıza her rol bu düzeylerden biri ile eşlenmiş olmalı (ve isteğe bağlı olarak güvenlik geliştirme planının bir parçası olarak zaman içinde artırıldı). Her profil, teknik bir yapılandırma olarak açık bir şekilde tanımlanmıştır ve dağıtımı kolaylaştırmak ve güvenlik korumalarını hızlandırmak için mümkün olduğunca otomatikleştirilmiştir. Uygulama ayrıntıları için Ayrıcalıklı erişim yol haritası makalesine bakın.

Bu strateji boyunca kullanılan güvenlik düzeyleri:

• Enterprise, tüm kurumsal kullanıcılar ve üretkenlik senaryoları için uygundur. Hızlı modernleştirme planının ilerlemesinde, kurumsal güvenlik denetimlerine aşamalı olarak erişen kurumsal, özel ve ayrıcalıklı erişim için de başlangıç noktası olarak hizmet vermektedir.

  Not

  Zayıf güvenlik yapılandırmaları vardır, ancak sahip olduğu beceri ve kaynaklar saldırganları nedeniyle, kurumsal kuruluşlar için Microsoft tarafından bugün önerilmez. Koyu pazarlarda ve ortalama fiyatlar üzerinde saldırganların birbirlerini satın alabilmesi hakkında bilgi için azure güvenliği için en iyi 10 uygulama videosunu izleyin

• Özel güvenlik, yükseltilmiş iş etkisiyle (bir saldırgan veya kötü niyetli insider tarafından tehlikeye atılmışsa) roller için artırılmış güvenlik denetimleri sağlar.

  Özel ve ayrıcalıklı hesaplar (örneğin, ticari etkinin 1M ABD Doları üzerinde olması) için kuruluş ölçütleri belgelenmiş olmalı ve ardından bu ölçütlere uyan tüm rollerle hesapları tanımlayabilir. (Özelleştirilmiş Hesaplar dahil, bu strateji boyunca kullanılır)

  Özel roller genellikle şunlardır:

  • İş kritik sistemlerinin geliştiricileri.
  • SWIFT terminalleri kullanıcıları, hassas verilere erişim konusunda araştırmacı, genel yayın öncesi mali raporlamaya erişimi olan personel, bordro yöneticileri, hassas iş süreçleri için onaylayanlar ve diğer yüksek etki rolleri gibi hassas iş rolleri.
  • Hassas bilgileri düzenli olarak işen yöneticiler ve kişisel yardımcılar / yönetici yardımcıları.
  • Şirket itibarına zarar verebilir çok etkili sosyal medya hesapları.
  • Hassas Bir ayrıcalıklara ve etkisi olan ancak kuruluş genelinde olmayan YÖNETICILER. Bu grup genellikle, çok etkili bireysel iş yüklerinin yöneticilerini içerir. (örneğin, kurumsal kaynak planlama yöneticileri, bankacılık yöneticileri, yardım masası /teknik destek rolleri, vb.)

  Özel Hesap güvenliği ayrıca, ayrıcalıklı güvenliğin bir ara adımı olarak da görev almaktadır ve bu adım bu denetimlere daha fazla neden olur. Önerilen ilerleme sırasıyla ilgili ayrıntılar için ayrıcalıklı erişim yol haritasına bakın.

• Ayrıcalıklı güvenlik, roller için tasarlanmış en yüksek güvenlik düzeyidir ve kuruluşta bir saldırgan veya kötü niyetli insider tarafından kolayca büyük bir olay ve olası malzeme zararlarına neden olabilir. Bu düzey genellikle çoğunda veya tüm kurumsal sistemlerde yönetim izinleri olan teknik roller içerir (ve bazen belirli sayıda iş açısından kritik rol de içerir)

  Ayrıcalıklı hesaplar önce güvenlik üzerine odaklanarak, hassas iş görevlerini güvenli bir şekilde kolayca ve güvenli bir şekilde yapma yeteneği olarak tanımlanan verimliliktir. Bu roller, aynı hesabı veya aynı cihazı/iş istasyonu kullanarak hem hassas iş hem de genel üretkenlik görevlerini (web'e göz atma, yükleme ve herhangi bir uygulamayı kullanma) olanağına sahip olmaz. Son derece kısıtlanmış hesapları ve iş istasyonlarına sahip olacak ve bu iş istasyonlarında saldırgan etkinliği temsil eden anormal etkinliklere karşı daha fazla izleme olur.

  Ayrıcalıklı erişim güvenlik rolleri genellikle şunları içerir:

  • Azure AD Genel Yöneticileri ve ilgili roller
  • Kurumsal dizin, kimlik eşitleme sistemleri, federasyon çözümü, sanal dizin, ayrıcalıklı kimlik/erişim yönetim sistemi veya benzeri hakları olan diğer kimlik yönetimi rolleri.
  • Bu şirket içi Active Directory gruplarında üyelik olan roller
    • Enterprise Yöneticileri
    • Etki Alanı Yöneticileri
    • Şema Yöneticisi
    • BUILTIN\Administrators
    • Hesap İşleçleri
    • Yedekleme İşleçleri
    • Yazdırma İşleçleri
    • Sunucu İşleçleri
    • Etki Alanı Denetleyicileri
    • Salt okunur Etki Alanı Denetleyicileri
    • Grup İlkesi Oluşturucu Sahipleri
    • Şifreleme İşleçleri
    • Dağıtılmış COM Kullanıcıları
    • Hassas şirket içi kullanıcı Exchange grupları (İzinler Exchange Windows Güvenilen Exchange sistemi dahil)
    • Diğer TemsilciLi Gruplar - Dizin işlemlerini yönetmek için, kuruluş tarafından oluşturulacak özel gruplar.
    • Yukarıdaki özellikleri barındıran temel işletim sistemi veya bulut hizmeti kiracısı için tüm yerel yöneticiler
      • Yerel yönetici grubunun üyeleri
      • Kökün veya yerleşik yönetici parolasının olduğu çalışan
      • Bu sistemlerde aracıları yüklü olan herhangi bir yönetim veya güvenlik aracının yöneticileri

Sonraki adımlar

• Ayrıcalıklı erişimin güvenliğini sağlamaya genel bakış
• Ayrıcalıklı erişim stratejisi
• Başarıyı ölçme
• Ayrıcalıklı erişim hesapları
• Aracılar
• Arabirimler
• Ayrıcalıklı erişim cihazları
• Enterprise erişim modeli