Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fait partie du guide de solution Implémenter une architecture d’accès privilégié .
L’accès privilégié présente un risque de sécurité critique dans la plupart des organisations, car il permet un contrôle direct sur les systèmes d’identité, les plans de contrôle cloud et les ressources critiques pour l’entreprise.
Découvrez comment une architecture d’accès privilégié sécurisé joue un rôle essentiel dans votre scénario métier - Protéger les ressources métier critiques - en réduisant ce risque et en renforçant le contrôle sur les systèmes sensibles.
La planification est la première étape. Cet article vise les implémenteurs et les architectes de sécurité qui traduisent l’architecture d’accès privilégié en un plan de déploiement pratique (étendue, prérequis, séquencement et propriété).
Lors de la planification, vous identifiez les chemins d’accès privilégiés qui importent le plus, déterminez les chemins d’accès autorisés et ceux qui sont bloqués, puis mappez ces décisions directement à l’implémentation par phases à suivre.
Avant de commencer
- Notre modèle d’adoption définit un ensemble de scénarios métier critiques destinés aux dirigeants d’entreprise et aux décideurs. En savoir plus sur le résultat métier en matière de sécurisation et de gouvernance de l’accès privilégié aux systèmes critiques.
- Nous utilisons des disciplines de sécurité pour aider les équipes à fournir des résultats de sécurité au sein de l’entreprise. En savoir plus sur les disciplines associées à l’architecture d’accès privilégié
Résultats de planification
Vous devez terminer la planification avec :
- Une compréhension partagée des chemins d’accès privilégiés qui importent le plus dans votre environnement.
- Accord sur les chemins d’accès autorisés, restreints ou éliminés.
- Séquence d’implémentation définie pour réduire les risques sans interrompre les opérations.
- Propriété claire pour l’approbation, la modification et l’examen des décisions d’accès privilégié.
- Mappage direct des décisions de planification aux phases d’implémentation.
Objectifs d’implémentation
La planification de l’implémentation traduit les objectifs de conception en décisions applicables.
Plusieurs disciplines et technologies de sécurité favorisent les résultats de cette solution. Le tableau ci-dessous montre comment les objectifs de planification sont liés aux disciplines et à l’implémentation en aval.
| Objectif d’implémentation | Disciplines impliquées | Résultat de la planification |
|---|---|---|
|
Limiter l’exposition des informations d’identification privilégiées Réduisez quand, où et comment les informations d’identification privilégiées peuvent être utilisées. |
Stratégie et gouvernance Accès et identités Architecture de sécurité |
Liste documentée des rôles, des actions et des systèmes qui constituent un accès privilégié. Des règles claires indiquant quand l’élévation de privilèges est autorisée, pour quelle durée et avec quelle approbation. Aide à appliquer l’accès juste à temps et élimine les privilèges persistants. |
|
Isoler et surveiller les chemins d’accès aux privilèges Imposer une authentification forte et une relation de confiance avec l’appareil. Surveillez en permanence le comportement anormal. Hiérarchiser la détection et la réponse en raison d’un impact élevé. |
Architecture de sécurité Accès et identités SecOps |
Chemins d’accès privilégiés explicitement autorisés, restreints ou éliminés. Par exemple, uniquement des PAW, des portails et API approuvés, aucun protocole ancien, aucun accès d’administration direct depuis des appareils personnels. Fournit un modèle d’autorisation/bloc solide pour l’accès conditionnel, la sécurité de l’interface et la surveillance. |
|
Réduire la surface d’attaque privilégiée Réduisez la surface d’attaque en réduisant le nombre d’identités privilégiées, de rôles et d’affectations. |
Stratégie, intégration, gouvernance Accès et identités Gestion de la posture de sécurité. |
Rationalisation complète des rôles privilégiés. Quels rôles sont requis ou peuvent être supprimés, et quels flux de travail doivent changer pour éviter les privilèges permanents. Accord sur les rôles à supprimer de l’affectation permanente. Mesures de réussite. Par exemple, réduction des rôles privilégiés permanents. |
|
Séparer la productivité et les flux de travail administratifs Séparez les flux de travail pour éliminer le pont entre les vecteurs d’attaque courants et le contrôle à l’échelle de l’entreprise. |
Architecture de sécurité Infrastructure Accès et identités. |
Décisions sur l’endroit où le travail privilégié peut se produire. Indique si des comptes d’administrateur et des appareils dédiés sont requis. Quelles activités sont interdites des environnements de productivité standard. Quels flux de travail doivent se déplacer vers des appareils ou des sessions privilégiés. Ces décisions permettent de déployer des appareils et d’accéder aux phases d’application sans ambiguïté. |
Utiliser les niveaux de sécurité pour la planification
Les niveaux de sécurité sont utilisés lors de la planification de la classification des chemins d’accès privilégiés, pas seulement des comptes ou des appareils. À des fins de planification, nous utilisons trois niveaux de sécurité lors de l’examen des chemins d’accès. Notez que ce guide d’implémentation se concentre uniquement sur le niveau privilégié.
| Niveau de sécurité | Purpose |
|---|---|
| Entreprise | Sécurité de référence pour tous les utilisateurs et appareils. |
| Spécialisé | Protection accrue pour les rôles à fort impact sur l’entreprise. |
| Privilégié | Protection maximale pour le plan de contrôle et l’administration à l’échelle du locataire. |
Lors de la planification de l’accès privilégié, utilisez les niveaux de sécurité pour répondre :
- Quels chemins d’accès nécessitent les protections les plus fortes ?
- Quels chemins peuvent rester temporairement à un niveau inférieur pendant la modernisation ?
- Où les protections doivent-ils être obligatoires avant l’autorisation d’un travail privilégié ?
Principes de planification clés :
- Les niveaux de sécurité s’appliquent aux chemins d’accès, pas seulement aux identités.
- Si le travail est effectué via un chemin d’accès privilégié, ce chemin doit respecter le niveau de sécurité requis.
- Guide des niveaux de sécurité :
- Modèles d’application
- Profils de configuration
- Décisions d’accès conditionnel
- Séquencement d’implémentation
Cela vous permet de moderniser l’accès privilégié de manière incrémentielle tout en garantissant que les chemins à risque les plus élevés sont traités en premier.
Mise en œuvre séquencée pour réduire les risques
La modernisation des accès privilégiés doit réduire les risques sans perturber les opérations. La planification établit le séquencement suivant cette implémentation.
Séquence de planification classique :
-
Arrêtez de créer un risque privilégié. Empêchez l’activité privilégiée de continuer sur des chemins non sécurisés pendant que la planification et l’audit sont en cours.
- Aucune nouvelle attribution de rôle privilégiée permanente.
- Aucun nouveau chemin d’accès non sécurisé.
- Sécurisez d’abord les chemins d’accès les plus impactants : commencez par le plan de contrôle d’identité (administrateurs de locataire et d’abonnement). Passez aux systèmes d’infrastructure et de production de base.
- Établir des fondations sûres. Identités privilégiées définies, puis configurer des appareils privilégiés dédiés et des chemins d’accès approuvés.
- Développez la couverture de manière incrémentielle. Renforcer l’application à mesure que la surveillance et la validation arrivent à maturité. Utilisez la détection pour identifier et corriger les chemins d’accès nouveaux ou non approuvés.
Ce séquencement garantit que les audits, l’application et la correction sont valides, car les protections existent avant que les contrôles ne soient renforcés.
De la planification à la mise en œuvre
L’implémentation applique les décisions produites lors de la conception et de la planification.
| Résultat de la planification | Mise en œuvre et application |
|---|---|
| Définitions et étendues de rôle privilégiés | Phase 1 : Sécuriser le plan de contrôle d’identité. Sécuriser les attributions de rôles, la configuration PIM, les flux de travail d’approbation et l’audit. |
| Exigences relatives aux appareils privilégiés | Phase 2 : Sécuriser les appareils. Déployer et appliquer l’utilisation de stations de travail d’accès privilégié renforcées (PAW) |
| Chemins d’accès approuvés et bloqués | Phase 3 : Configurer la stratégie. Configurer l’accès conditionnel, les restrictions d’interface, le blocage du protocole. |
| Compromis et exceptions acceptés | Phase 1 : Sécuriser le plan de contrôle d’identité et la phase 3 : Configurer la stratégie. Journalisation, révision des flux de travail, comptes de secours. |
| Surveillance de l’accès privilégié | Phase 4 : Surveillance et détection des menaces. Règles de détection, hiérarchisation des alertes, validation des chemins approuvés. |
Avant d’implémenter chaque phase, vérifiez que vous avez terminé les actions de planification correspondantes.
Étapes suivantes
Commencez l’implémentation avec la phase 1 : configurez le plan de contrôle d’identité . Cette phase établit la base où les identités privilégiées, les attributions de rôles et les chemins d’élévation autorisés sont définis et protégés.
Tous les contrôles d’appareil, de stratégie et de surveillance suivants dépendent de cette phase.