Enterprise存取模型

本檔說明整體企業存取模型,其中包含許可權存取策略如何配合的內容。 若要瞭解如何採用許可權存取策略的藍圖,請參閱快速現代化計畫 (RaMP) 。 若要取得部署此部署的執行指南,請參閱 許可權存取部署

許可權存取策略是整體企業存取控制策略的一部分。 此企業存取模型顯示許可權存取如何配合整個企業存取模型。

組織必須保護的主要商務價值存放區是資料/工作負載平面:

資料/工作負載平面

應用程式和資料通常會儲存組織大部分的資料:

  • 應用程式和 工作負載中的商務程式
  • 資料與 應用程式中的智慧財產權

企業 IT 組織管理及支援其託管的工作負載及基礎結構,無論是內部部署、Azure 或協力廠商雲端提供者,都建立 管理平面。 為整個企業提供一致的存取控制,需要以集中式企業身分識別系統 () 為基礎的控制平面,並經常輔以較舊系統的網路存取控制,例如營運技術 (OT) 裝置。

控制、管理和資料/工作負載基準面

每一個這類飛機都具有資料與工作量的控制權,其功能為攻擊者建立一個吸引人的濫用路徑,如果他們可以取得其中一個飛機的控制權。

若要讓這些系統建立商業價值,內部使用者、合作夥伴和客戶必須使用其工作站或裝置來存取 (通常使用遠端存取解決方案) - 建立使用者存取路徑。 它們也必須經常透過應用程式程式設計介面和 API 介面 (,) 程式自動化,建立 應用程式存取 路徑。

新增使用者和應用程式存取路徑

最後,這些系統必須由 IT 員工、開發人員或組織中的其他人管理及維護,以建立 許可權存取 路徑。 由於它們對組織中業務關鍵資產提供高層級的控制權,因此必須嚴格保護這些路徑,避免遭到入侵。

管理及維護之許可權存取路徑

在組織中提供一致的存取控制,以提高生產力並減輕風險,需要您

  • 在所有存取上強制執行零信任原則
    • 假設違反其他元件
    • 明確驗證信任
    • 最低許可權存取權
  • 跨地區廣泛實施安全性與政策
    • 內部和外部存取,以確保一致的策略應用程式
    • 所有存取方法,包括使用者、系統管理員、API、服務帳戶等。
  • 降低未經授權的許可權升級
    • 強制執行階層 – 防止透過攻擊或濫用合法程式或 (控制來自較低平面的較高)
      • 控制平面
      • 管理平面
      • 資料/工作負載平面
    • 持續稽核導致不慎升級的組組弱點
    • 監控及回應可能代表潛在攻擊的異常情況

從舊版 AD 層模型演進

企業存取模型取代並取代舊版層模型,此模型著重于在內部部署環境中包含未經授權的許可權升級Windows Server Active Directory模式。

舊版 AD 層模型

企業存取模型會整合這些元素,以及涵蓋內部部署、多個雲端、內部或外部使用者存取等的現代化企業的完整存取管理需求。

從舊層完成企業存取模型

第 0 層範圍擴充

第 0 層會展開,成為控制面,並解決存取控制的所有層面,包括唯一/最佳存取控制選項的網路,例如舊版 OT 選項

第 1 層分割

為了增加明確性和可操作性,第 1 層現在分成下欄區域:

  • 管理層面 – 適用于全企業 IT 管理功能
  • 資料/工作負載平面 – 適用于每個工作負載管理,有時由 IT 人員執行,有時由業務單位執行

此分割可確保焦點用於保護具有高內性商業價值,但技術控制有限的業務關鍵型系統及系統管理角色。 此外,此分割更適合開發人員和DevOps模型,而過度專注于傳統基礎結構角色。

第 2 層分割

為了確保應用程式存取的涵蓋範圍及各種合作夥伴和客戶模型,第 2 層分為下欄區域:

  • 使用者存取 – 包括所有 B2B、B2C 和公用存取案例
  • 應用程式存取 – 以容納 API 存取路徑和產生的攻擊面

下一個步驟