Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk egy végpontok közötti megoldást mutat be egy emelt szintű hozzáférési architektúra implementálásához. Biztonsági és identitástervezőknek és implementátoroknak szól.
A Microsoft biztonsági bevezetési modellben:
- A megvalósítási megoldások előíró üzembe helyezési útmutatást nyújtanak.
- A megoldások igazodnak a magas prioritású biztonsági eredményeket meghatározó üzleti forgatókönyvekhez .
A megvalósítás megkezdése előtt ismerje meg, hogyan játszik kritikus szerepet a biztonságos emelt szintű hozzáférési architektúra az üzleti forgatókönyvben – a kritikus üzleti eszközök védelme – azáltal, hogy csökkenti ezt a kockázatot, és erősíti a bizalmas rendszerek feletti ellenőrzést.
Megoldási célok
A kiemelt hozzáférés minden szervezet egyik legnagyobb hatású kockázatát jelenti, mivel közvetlen felügyeletet biztosít az identitásrendszerek, a felhővezérlő síkok és a kritikus fontosságú üzleti erőforrások felett.
Ez az útmutató a kiemelt hozzáférés Teljes felügyelet megközelítését határozza meg úgy, hogy teljes körű hozzáférési útvonalként kezeli, amely az identitásra, az eszközre, a felületre, a célerőforrásra és a monitorozásra terjed ki. Az egyes összetevők elkülönítése helyett ez a modell biztosítja a teljes hozzáférési útvonal szabályozását és folyamatos érvényesítését.
A cél a kockázat csökkentése a következő módon:
- A kiemelt műveletek végrehajtásának korlátozása.
- Annak szabályozása, hogy ezek a műveletek hol és hogyan következhetnek be.
- Az emelt szintű jogosultsággal végzett tevékenységek folyamatos figyelése és a rájuk való reagálás.
Implementálja ezt az architektúrát Microsoft Entra ID, Microsoft Intune és Végponthoz készült Microsoft Defender használatával.
A megoldás üzembe helyezése fázisokban. Először hozzon létre egy biztonságos alaprendszert (identitásvezérlő síkot és megbízható eszközöket), kényszerítse ki a szabályzatvezérlőket, majd állítsa be a figyelési és válaszműveleteket.
Kiemelt jogosultságú hozzáférés kockázata
A kiemelt identitások (emberi és nem emberi) nagy értékű eszközöket és biztonsági kényszerítési mechanizmusokat szabályoznak. Ha veszélybe kerül, az ebből eredő üzleti hatás súlyos. A kiemelt hozzáférésű támadók a következő jogosultságokkal rendelkezhetnek:
- Adatok kiszűrése, titkosítása vagy megsemmisítése.
- Leállítja vagy megszakítja az üzleti műveleteket.
- Tiltsa le az észlelési és kényszerítési vezérlőket.
- Identitásrendszerek subvertálása és állandó hozzáférés létrehozása.
Gyakori támadások
A támadások két gyakori mintát követnek:
- Célzott adatlopás: A kiberbűnözők bizalmas szellemi tulajdont, pénzügyi adatokat vagy stratégiai terveket keresnek és szűrnek ki. Az ellopott adatokat értékesítik, kiszivárogtatják vagy versenyelőnyre használják.
- Ember által üzemeltetett zsarolóprogramok: A kibertámadások emelt szintű hozzáférést használnak a rendszerek titkosításához, a műveletek leállításához és a szervezet zsarolásához - szélsőséges időnyomás alatt kényszerítve a vezetői döntéseket.
Miért kockázatos a kiemelt hozzáférés?
A kiemelt hozzáférési kockázat számos okból egyedi és rendszerszintű.
| Risk | Részletek |
|---|---|
| A vezérlősíkon működik | A kiemelt fiókok a vezérlősíkon működnek, nem csak a számítási feladatok síkjában. A kiemelt identitások módosíthatják az identitásokat, módosíthatják a biztonsági konfigurációkat, letilthatják vagy megkerülhetik a kényszerítési vezérlőket, és módosíthatják az üzletileg kritikus fontosságú adatokat. Ha a támadók jogosultsági hozzáférést kapnak, alááshatják az észlelésükre és leállítására tervezett mechanizmusokat. Ez sokkal kevésbé hatékonnyá teszi a hagyományos feltartóztatási stratégiákat, és lehetővé teszi, hogy a kompromittálódás észrevétlenül fennmaradjon. |
| Nagy üzleti hatás a tervezés alapján | A kritikus rendszerek kezeléséhez kiemelt hozzáférés áll fenn, ezért a hozzáféréssel való visszaélés azonnali és súlyos következményekkel jár. Kiemelt hozzáféréssel a támadók a következőt tehetik: - Bizalmas adatok kiszűrése vagy megsemmisítése - Az üzleti műveletek leállítása vagy kezelése - Teljes környezetek titkosítása zsaroláshoz (emberi üzemeltetésű zsarolóprogramok) - A rendszerek olyan módon történő felforgatása, amely valós károkat okozhat. Ezek az eredmények nem elméletiek. A rendszer folyamatosan figyeli őket az iparágakban, így a kiemelt hozzáférés az egyik legmegbízhatóbb módszer a támadók számára a maximális hatás eléréséhez. |
| Hangos és zavaró | A lopakodó adatlopástól eltérően számos emelt szintű hozzáférési támadás – különösen az emberi üzemeltetésű zsarolóprogramok – szándékosan zavaróak. Leállítják a műveleteket, megszakítják az ügyféloldali szolgáltatásokat, és szélsőséges időnyomás alatt kényszerítik a vezetői szintű döntéshozatalt. Mivel minden szervezet pénzügyileg és működésileg motivált a szolgáltatás gyors visszaállítására, ezek a támadások általánosan alkalmazhatók és rendkívül hatékonyak, iparágtól és mérettől függetlenül. |
| Növekvő kockázat, nem zsugorodás | A támadók rugalmasak és technológia-agnosztikusak. Nem egyetlen terméket vagy vezérlést céloznak meg, hanem bármilyen kiemelt hozzáférési útvonalat kihasználnak, amely jelenleg a leggyengébb. A kiemelt hozzáférési támadási felület széles és összekapcsolt, a következőre terjed ki: - Fiókok és identitásrendszerek - Munkaállomások és eszközök - Közvetítő rendszerek, például távelérési eszközök és PAM/PIM-megoldások. - Felügyeleti felületek, portálok, API-k és jogosultságszint-emelési útvonalak. Ezen elemek bármelyikének feltörése a teljes vállalati felügyelethez vezető utat jelentheti, és a környezetek fejlődésével folyamatosan új hozzáférési útvonalakat vezetnek be. |
| Az egymegoldásos megközelítések sikertelenek | Csak egy vezérlőosztály, például a PAM/PIM, a hálózati korlátozások vagy az észlelési eszközök üzembe helyezése nem csökkenti megfelelően a kockázatot. Ezek a vezérlők a probléma részeit kezelik, nem a rendszert. Ha a kiemelt hozzáférés nem a végpontok közötti védelemmel van ellátva, a támadók egyszerűen az izolált védelem felé haladnak, és kihasználnak egy nem védett hivatkozást a hozzáférési útvonalon. Ezért a kiemelt hozzáférést teljes rendszerként kell kezelni – az identitástól és az eszközmegbízhatóságtól kezdve a jogosultságszint-emelésen és a végrehajtáson át a monitorozásig és a válaszig –, nem pedig független eszközök gyűjteményeként. |
Architekturális alapelvek és eredmények
Microsoft ajánlott megközelítése egy olyan zárthurkú emelt szintű hozzáférési rendszer létrehozása, amely:
- Azonnali kockázatcsökkentést biztosít
- Támogatja a növekményes, fenntartható fejlődést
- Elkerüli a szükségtelen összetettség
- Egyértelmű eredmények és sikerességi feltételek engedélyezése
Architekturális eredmények
A stratégia ezen elvek alapján történő megvalósítása számos egyértelmű eredményt és sikerkritériumot hoz létre.
| Eredmény | Architektúra | Sikerességi feltételek |
|---|---|---|
| Az emelt szintű hozzáférés egy végponttól végpontig tartó rendszerként érvényesül | A kiemelt kockázat a teljes hozzáférési útvonalon szabályozható: identitás, szerepkör-hozzárendelés, eszköz, végrehajtási környezet, emelt szintű munkafolyamat, közbenső rendszerek, felügyeleti felületek, monitorozás és válasz. A kiemelt munka csak explicit, engedélyezett jogosultságszint-emelési útvonalakon történik, Teljes felügyelet érvényesítéssel (identitásbiztosítás, eszközmegbízhatóság, munkamenet-környezet). | Minden munkamenet ellenőrzi, hogy a felhasználói fiók és az eszköz megfelelő szinten megbízható-e a hozzáférés engedélyezése előtt. Mértékpéldák: a kiemelt bejelentkezések % megfelelnek az olyan követelményeknek, mint az MFA és a szükséges eszközmegbízhatóság, Az emelt jogosultságot igénylő műveletek százalékos aránya, amelyeket jóváhagyásos jogosultság-emelési munkafolyamaton keresztül, illetve állandó jogosultsággal hajtottak végre. |
| Identitásrendszerek védelme és monitorozása | Védelem az olyan identitásrendszerek számára, amelyek jogosultságot üzemeltetnek vagy biztosítanak (könyvtárak, identitáskezelés, rendszergazdai fiókok stb.). A szabályozás, a szabályzatkényszerítés, a naplózás és az elemzés központosítva van a sodródás csökkentése és a láthatóság javítása érdekében. |
Ezen rendszerek mindegyike olyan szinten van védve, amely megfelel az abban üzemeltetett fiókok lehetséges üzleti hatásának. Példák mérése: a rendszeres hozzáférési felülvizsgálat által érintett kiemelt identitások % Az időszakos emelt jogosultságú hozzáférés-felülvizsgálatok befejezési aránya (ki értékelte, ki visszavonta). |
| Az oldalirányú mozgás mérséklése | A kiemelt munka elkülönítése a magas expozíciós környezetektől. Védje a helyi rendszergazdai hitelesítő adatokat, a szolgáltatásfiók titkos kulcsait és a jogosultságszint-emelési mechanizmusokat, hogy egyetlen eszköz, fiók vagy hitelesítő adat biztonsága ne engedélyezze a szélesebb körű rendszergazdai ellenőrzést. | Egyetlen eszköz veszélyeztetése nem vezet azonnal a környezet számos vagy minden más eszközének vezérléséhez. Példa a mértékre: csak a rendszergazdai munkaállomásokról származó kiemelt műveletek %. |
| Gyors reagálás a fenyegetésekre | A kiemelt tevékenység az észlelés és a válasz elsődleges jele. Tervezzen monitorozást és incidenskezelést a többlépcsős támadások megzavarásához, és korlátozza a támadók tartózkodási idejét a kiemelt hozzáférésre. | Az incidensre adott válasz megbízhatóan leállíthatja a többlépcsős támadásokat, mielőtt jogosultsági szintű hozzáférést érnének el, és az incidensek bekövetkezésekor gyorsan tartalmazhatnak jogosultságokkal való visszaélést. Példa mértékre: A kiemelt MTTR-incidensek átlagos szervizelési ideje órák vagy napok helyett percekre csökken. A rendszer gyorsan azonosítja és bezárja a váratlan vagy új kiemelt hozzáférési útvonalakat. |
Nyomon követheti ezeket a mértékeket havonta a haladás érdekében, és negyedévente áttekintheti a kiemelt hozzáférés szabályozásának részeként.
A kiemelt hozzáférési útvonalak ismertetése
A kiemelt hozzáférési útvonalak olyan hozzáférési útvonalak, amelyek teljes láncot alkotnak az identitástól a végrehajtásig, ahogyan az az alábbi ábrán is látható.
Ha a lánc bármely kapcsolata gyenge, az egész útvonal sebezhető.
| Path | Összetevők | Risk |
|---|---|---|
|
Felhasználói hozzáférési útvonalak A felhasználói hozzáférési útvonalak támogatják a szokásos hatékonyságot és üzleti műveleteket, például az e-maileket, az együttműködést, a webes böngészést és az üzletági alkalmazásokat. |
A felhasználói hozzáférési útvonalak általában a következőket foglalják magukban: - Identitás: Egy standard felhasználói fiók - Eszköz: Általános célú munkaállomás - Közvetítő: Választható közvetítők, például VPN vagy távelérés. - Interfész: Interakció vállalati alkalmazásokkal és szolgáltatásokkal. |
Bár a felhasználói hozzáférési útvonal sérülése kárt okozhat, a lehetséges hatás korlátozott a kiemelt hozzáféréshez képest. |
|
Emelt szintű hozzáférési útvonalak A kiemelt hozzáférési útvonalak az identitásokat, az infrastruktúrát, a biztonsági vezérlőket és az üzleti szempontból kritikus rendszereket kezelik. |
A kiemelt hozzáférési útvonalak általában a következőkből állnak: - Identitás: Kiemelt munkát végző fiók. - Eszköz: A kiemelt munkamenet által használt végponti munkaállomás vagy eszköz. - Közvetítő: Bármely rendszer- vagy szolgáltatásközvetítő vagy -szolgáltató, amely a kiemelt munkamenetet üzemelteti, például távelérést vagy felügyeleti eszközöket. - Felület: Az a felügyeleti felület, ahol az emelt szintű vezérlés történik. Például portálok, API-k, parancssori eszközök vagy automatizálás. |
Bár a technikai összetevők a felhasználói hozzáférési útvonalhoz hasonlóan jelennek meg, a potenciális sérülés jelentősen nagyobb. A kiemelt hozzáférési útvonalaknak ezért a következőnek kell lenniük: - Kevesebb szám - Explicit módon definiálva – Elkülönítve a felhasználói hozzáférési útvonalaktól - A legerősebb elérhető vezérlőkkel védett. |
Példa elérési útja
Egy tipikus emelt szintű hozzáférési útvonalon:
- Egy dedikált rendszergazdai identitás jelentkezik be.
- A bejelentkezés egy megerősödött Privileged Access-munkaállomásról (PAW) történik.
- A bejelentkezés aktivál egy szerepkört Privileged Identity Management (PIM) keresztül.
- A bejelentkezés egy adott felügyeleti felületet használ, például portált, API-t vagy parancssori felületet.
- A bejelentkezett identitás kiemelt műveletet hajt végre.
Megoldásösszetevők
A kiemelt hozzáférési megoldás három szorosan összekapcsolt elemre épül, amelyek biztosítják a megfelelő identitások kiemelt műveleteit, megbízható eszközökről, kényszerített feltételek mellett.
Kiemelt identitások
- Dedikált rendszergazdai fiókok, amelyek jogosultak kiemelt műveletek végrehajtására.
- Erős hitelesítéssel és lehetőség szerint jelszó nélküli hitelesítéssel védett identitások.
- Korlátozott jogosultságú szerepkör-hozzárendelés.
- Igény szerinti jogosultságemelés jóváhagyással.
Privileged Access-munkaállomások (PAW-k)
- Megerősített, korlátozott eszközök.
- Csökkentett támadási felület az eszközökön.
- A hitelesítő adatok fenyegetése és a kártevők elleni védelem.
- Elkülönítve a magas kockázatú felhasználói tevékenységtől.
Szabályzatkényszerítés és -figyelés
- A feltételes hozzáférés ellenőrzi az identitást, az eszközt és a munkamenet-környezetet.
- A kiemelt jogosultságszint-emelési útvonalak explicit módon vannak definiálva.
- Minden kiemelt tevékenység naplózható, monitorozható és áttekinthető.
Identitásrendszerek és jogosultságszint-emelési útvonalak
Az identitásrendszerek és a jogosultságszint-emelési útvonalak minden emelt szintű elérési út alapvető összetevői. Meghatározzák a kiemelt identitások létrehozásának helyét, a rendszergazdai szerepkörök hozzárendelésének módját, valamint azt, hogy a felhasználók hogyan váltanak át a nem kiemelt állapotból a kiemelt műveletek végrehajtására.
Ez a megvalósítási útmutató az identitásrendszereket és a jogosultságszint-emelési útvonalakat a kiemelt támadási felület és az identitásvezérlő sík részeként kezeli.
| Area | Részletek | Kockázatcsökkentés |
|---|---|---|
| Identitásrendszerek | A kiemelt identitások, szerepkörök és rendszergazdai engedélyek meghatározása és kezelése. Ez a definíció magában foglalja a könyvtárakat, a szerepkör-hozzárendeléseket, a felügyeleti csoportokat és a bérlői szintű konfigurációt. |
A privilegizált identitások a vezérlősíkon működnek. Ha az identitásrendszerek biztonsága sérül, a támadók emelt szintű hozzáférést hozhatnak létre, módosíthatnak vagy őrizhetnek meg – megkerülve az eszközvezérlőket, a hozzáférési feltételeket és a monitorozást. Az identitásvezérlő sík védelme a legmagasabb megvalósítási prioritás. |
| Engedélyezett jogosultságszint-emelési útvonalak | Hogyan vált át a felhasználó a nem emelt jogosultságú állapotról a kiemelt műveletek végrehajtására. Például az időhöz kötött szerepkör-aktiválás, jóváhagyási munkafolyamatok és hatókörön belüli felügyeleti munkamenetek. |
Biztosítja, hogy a jogosultságszint-emelés erős hitelesítést igényel, és hogy a jogosultsági szint emelése szándékos, ideiglenes, figyelt legyen, és csak jóváhagyott eszközökről és felületekről történjen. A jogosultságszint-emelést jóváhagyott munkafolyamatokon, eszközökön és felületeken keresztül kényszerítve megelőzheti az állandó jogosultságot, és csökkentheti a visszaéléseket, az oldalirányú mozgást és a csendes megőrzést. |
Megoldási fázisok
A privileged access architektúra implementálása egy Microsoft ajánlott eljárásokhoz igazított, szakaszos bevezetési modellel.
- A bevezetést a strukturált bevezetési modell használatával indíthatja el. A bevezetési útmutató segít az üzleti vezetőknek azonosítani a biztonságos identitás szempontjából kritikus üzleti szintű eredményeket, és megérteni a hozzáférés és az identitás szemléletét, beleértve az identitáskezdemények, például a kiemelt hozzáférés ösztönzéséhez szükséges csapatokat és erőfeszítéseket.
- Tervezze meg a megoldást. A tervezés segít azonosítani a tervezési célokat, biztonsági szinteket rendelni a kiemelt hozzáférési stratégia meghatározásához, és megtervezni a megvalósítást.
- Kövesse az alábbi táblázatban összefoglalt megvalósítási fázisokat. Minden fázis egy konkrét célkitűzéssel rendelkezik, és a megfelelő cikkekben szereplő konkrét konfigurációs lépések használatával valósul meg.
Megvalósítási fázisok
| Fázis | Kockázat csökkentése | Alkalmazza a Teljes felügyelet alapelveket |
|---|---|---|
| 1. fázis. Védje az identitás-vezérlősíkot Hozzon létre: - Dedikált rendszergazdai identitások. Biztonsági csoportok szerepkörök hozzárendeléséhez. - Hozzon létre vészhelyzeti hozzáférésre szolgáló fiókokat, ha még nem rendelkezik ilyenekkel. |
Csökkenti a hitelesítő adatok ellopásának, a jogosultsággal való visszaélésnek és a jogosulatlan jogosultságszint-emelésnek a kockázatát. |
Ellenőrizze kifejezetten Használjon erős hitelesítést. Minimális jogosultság használata Rendszergazdai szerepkörök korlátozása/igény szerint jogosultság engedélyezése. Feltételezzük, hogy megszegi a szabályt. Használjon üvegtöréses fiókokat a helyreállításhoz. |
| Fázis 2. A privilegizált hozzáférési eszközök üzembe helyezése és megerősítése Dedikált emelt szintű hozzáférési munkaállomások (PAW-k) kiépítése. Az operációs rendszer megkeményedése és a biztonsági alapkonfigurációk alkalmazása. A frissítések telepítésének, a végpontvédelemnek és a lemeztitkosításnak a kikényszerítése. Az alkalmazások és szolgáltatások telepítésének minimalizálása. |
Csökkenti a hitelesítő adatok és az eszközalapú támadások kockázatát. |
Ellenőrizze kifejezetten A hozzáférés biztosítása előtt győződjön meg arról, hogy az eszközök regisztrálva, megbízhatók és megfelelőek. A szabálysértés feltételezése Az eszközök megkeményítésével és a rendszergazdai hitelesítő adatok elkülönítésével minimalizálhatja a lehetséges biztonsági réseket. A legkevésbé kiemelt hozzáférés használata. Korlátozza, hogy a rendszergazdák mit tehetnek ezeken a dedikált eszközökön. |
| Fázis 3. Jogosultsági hozzáférési szabályzatok kikényszerítése Feltételes hozzáférés konfigurálása kiemelt szerepkörökhöz. Megfelelő eszközök és erős hitelesítés megkövetelése. Környezettudatos hozzáférési feltételek kényszerítése. A jóváhagyott felületekhez való hozzáférés korlátozása. |
Megakadályozza a jogosulatlan hozzáférést és a hitelesítő adatok visszajátszását. |
Feltételezzük, hogy megszegi a szabályt. Megakadályozza a hitelesítő adatokkal való visszaélést, ha a fiókokat ellopják azáltal, hogy korlátozza a hozzáférés helyét és módját. Használja a legkevesebb jogosultságot. Szerepköralapú és környezettudatos engedélyek kényszerítése. |
| 4. fázis. Monitorozás és folyamatos ellenőrzés Az incidensek kivizsgálása és gyors szervizelése. Folyamatosan újraértékeli a megbízhatóságot és a lefedettséget. |
Kiemelt fenyegetések észlelése, kivizsgálása és megválaszolása. Kiemelt szerepkör-aktiválások és munkamenetek monitorozása. Rendellenességek és gyanús minták észlelése. Csökkentse a nem észlelt biztonsági rések és a támadók elhúzódó tartózkodási ideje hatását. |
Feltételezzük, hogy megszegi a szabályt. Folyamatosan monitorozza a támadók tevékenységét és rendellenes viselkedését. Ellenőrizze explicit módon. Folyamatosan értékelje ki a megbízhatóságot, és vizsgálja meg a gyanús hozzáférési mintákat. |
Következő lépések
Most kezdje el megtervezni a megvalósítási stratégiát.