Kurumsal erişim modeli

  • Makale

Bu belgede, ayrıcalıklı erişim stratejisinin nasıl uyum içinde olduğuna yönelik bağlamı içeren genel bir kurumsal erişim modeli açıklanmaktadır. Ayrıcalıklı erişim stratejisini benimsemeye ilişkin yol haritası için bkz . Hızlı modernizasyon planı (RaMP)... Bunu dağıtmaya yönelik uygulama kılavuzu için bkz. ayrıcalıklı erişim dağıtımı

Ayrıcalıklı erişim stratejisi, genel bir kurumsal erişim denetimi stratejisinin bir parçasıdır. Bu kurumsal erişim modeli, ayrıcalıklı erişimin genel bir kurumsal erişim modeline nasıl uyduğunu gösterir.

Bir kuruluşun koruması gereken birincil iş değeri depoları Veri/İş Yükü düzlemindedir:

Data/workload plane

Uygulamalar ve veriler genellikle bir kuruluşun büyük bir yüzdesini depolar:

  • Uygulamalarda ve iş yüklerinde iş süreçleri
  • Verilerde ve uygulamalarda fikri mülkiyet

Kurumsal BT kuruluşu, şirket içinde, Azure'da veya üçüncü taraf bir bulut sağlayıcısında yönetim düzlemi oluşturarak iş yüklerini ve barındırdıkları altyapıyı yönetir ve destekler. Kuruluş genelinde bu sistemlere tutarlı erişim denetimi sağlamak için, genellikle işletim teknolojisi (OT) cihazları gibi eski sistemler için ağ erişim denetimi ile desteklenen merkezi kurumsal kimlik sistemlerine dayalı bir denetim düzlemi gerekir.

Control, management, and data/workload planes

Bu düzlemlerin her biri, işlevleri sayesinde verilerin ve iş yüklerinin denetimine sahiptir ve saldırganların iki düzlemin de kontrolünü elde etmeleri durumunda kötüye kullanmaları için cazip bir yol oluşturur.

Bu sistemlerin iş değeri oluşturması için şirket içi kullanıcılar, iş ortakları ve iş istasyonları veya cihazlarını kullanan müşteriler (genellikle uzaktan erişim çözümleri kullanılarak) erişilebilir olmalıdır ve kullanıcı erişim yolları oluşturulur. İşlem otomasyonlarını kolaylaştırmak ve uygulama erişim yolları oluşturmak için uygulama programlama arabirimleri (API'ler) aracılığıyla da sıklıkla program aracılığıyla kullanılabilir olmaları gerekir.

Adding user and application access pathways

Son olarak, bu sistemlerin BT personeli, geliştiriciler veya kuruluşlardaki diğer kişiler tarafından yönetilmeli ve bakımının yapılması ve ayrıcalıklı erişim yolları oluşturulması gerekir. Kuruluştaki iş açısından kritik varlıklar üzerinde sağladıkları yüksek denetim düzeyi nedeniyle, bu yolların tehlikeye karşı sıkı bir şekilde korunması gerekir.

Privileged access pathway to manage and maintain

Kuruluşta üretkenliği sağlayan ve riski azaltan tutarlı erişim denetimi sağlamak için

  • Tüm erişimlerde Sıfır Güven ilkelerini zorunlu kılma
    • Diğer bileşenlerin ihlalini varsayın
    • Güvenin açıkça doğrulanması
    • En az ayrıcalık erişimi
  • Genelinde kapsamlı güvenlik ve ilke uygulama
    • Tutarlı ilke uygulaması sağlamak için iç ve dış erişim
    • Kullanıcılar, yöneticiler, API'ler, hizmet hesapları vb. dahil olmak üzere tüm erişim yöntemleri.
  • Yetkisiz ayrıcalık yükseltmesini azaltma
    • Hiyerarşiyi zorunlu kılma – düşük düzlemlerden daha yüksek düzlemlerin denetimini önlemek için (saldırılar veya meşru süreçlerin kötüye kullanılması yoluyla)
      • Kontrol düzlemi
      • Yönetim düzlemi
      • Veri/iş yükü düzlemi
    • Yanlışlıkla yükseltmeyi etkinleştiren yapılandırma güvenlik açıkları için sürekli denetim
    • Olası saldırıları temsil edebilecek anomalileri izleme ve yanıtlama

Eski AD katmanı modelinden evrim

Kurumsal erişim modeli, şirket içi Windows Server Active Directory ortamında yetkisiz ayrıcalık yükseltmesi içermeye odaklanan eski katman modelinin yerini alır ve değiştirir.

Legacy AD tier model

Kurumsal erişim modeli, bu öğelerin yanı sıra şirket içine, birden çok buluta, iç veya dış kullanıcı erişimine ve daha fazlasına yayılan modern bir kuruluşun tam erişim yönetimi gereksinimlerini içerir.

Complete enterprise access model from old tiers

Katman 0 kapsamı genişletme

Katman 0, denetim düzlemi olacak şekilde genişletilir ve eski OT seçenekleri gibi tek/en iyi erişim denetimi seçeneği olduğu ağ dahil olmak üzere erişim denetiminin tüm yönlerini ele alıyor

Katman 1 bölmeleri

Netliği ve eyleme dönüştürülebilirliği artırmak için katman 1 şu alanlara ayrılmıştır:

  • Yönetim düzlemi – kurumsal ölçekli BT yönetim işlevleri için
  • Veri/İş yükü düzlemi – bazen BT personeli ve bazen de iş birimleri tarafından gerçekleştirilen iş yükü başına yönetim için

Bu bölme, iş açısından kritik sistemleri ve yüksek iç iş değerine sahip ancak sınırlı teknik denetime sahip yönetim rollerini korumaya odaklanmayı sağlar. Buna ek olarak, bu bölme geliştiricileri ve DevOps modellerini daha iyi barındırıyor ve klasik altyapı rollerine çok fazla odaklanıyor.

Katman 2 bölmeleri

Uygulama erişiminin kapsamını ve çeşitli iş ortağı ve müşteri modellerini güvence altına almak için Katman 2 aşağıdaki alanlara bölünmüştür:

  • Kullanıcı erişimi – tüm B2B, B2C ve genel erişim senaryolarını içerir
  • Uygulama erişimi – API erişim yollarını ve sonuçta ortaya çıkan saldırı yüzeyini barındırmak için

Sonraki adımlar