Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a Kiemelt hozzáférésű architektúra megoldási útmutatójának része.
A kiemelt hozzáférés kritikus biztonsági kockázatot jelent a legtöbb szervezetben, mivel lehetővé teszi az identitásrendszerek, a felhővezérlő síkok és az üzleti szempontból kritikus fontosságú objektumok közvetlen vezérlését.
Megtudhatja, hogyan játszik kritikus szerepet a biztonságos emelt szintű hozzáférési architektúra az üzleti forgatókönyvben – a kritikus üzleti eszközök védelme – azáltal, hogy csökkenti ezt a kockázatot, és erősíti a bizalmas rendszerek feletti ellenőrzést.
A tervezés az első lépés. Ez a cikk olyan implementálóknak és biztonsági tervezőknek szól, akik a kiemelt hozzáférési architektúrát gyakorlati bevezetési tervbe (hatókör, előfeltételek, sorrend és tulajdonjog) fordítják le.
A tervezés során azonosítja, hogy mely kiemelt hozzáférési útvonalak számítanak a leginkább, döntse el, hogy mely útvonalak engedélyezettek és melyek legyenek letiltva, és ezeket a döntéseket közvetlenül a követendő szakaszos megvalósításhoz rendelje hozzá.
Mielőtt elkezdenéd
- Bevezetési modellünk kritikus üzleti forgatókönyveket határoz meg az üzleti vezetők és döntéshozók számára. További információ a kritikus rendszerekhez való kiemelt hozzáférés biztosításának és szabályozásának üzleti eredményeiről.
- Biztonsági szemléletekkel segítjük a csapatokat a biztonsági eredmények elérésében az egész vállalat számára. Ismerje meg a kiemelt hozzáférési architektúrához kapcsolódó területeket
Az eredmények tervezése
A tervezést a következőkkel kell befejeznie:
- Annak közös megértése, hogy mely kiemelt hozzáférési útvonalak számítanak a leginkább a környezetben.
- Megállapodás arról, hogy mely hozzáférési útvonalak engedélyezettek, korlátozhatók vagy szüntethetők meg.
- Egy meghatározott implementációs sorozat a kockázat megszakítás nélküli csökkentéséhez.
- A jogosultsági hozzáférési döntések jóváhagyásának, módosításának és felülvizsgálatának egyértelmű tulajdonjoga.
- Közvetlen leképezés a tervezési döntésektől a megvalósítási fázisokig.
Megvalósítási célok
A megvalósítás megtervezése végrehajtható döntésekké alakítja a tervezési célokat.
A megoldáshoz számos biztonsági szemlélet és technológia vezet eredményre. Az alábbi táblázat bemutatja, hogyan viszonyulnak a tervezési célok a szemléletekhez és az alsóbb rétegbeli megvalósításhoz.
| Megvalósítási cél | Érintett szemléletek | Tervezési eredmény |
|---|---|---|
|
A kiemelt hitelesítő adatok kitettségének korlátozása Minimalizálhatja, hogy mikor, hol és hogyan használhatók a kiemelt hitelesítő adatok. |
Stratégia és irányítás Hozzáférés és identitások Biztonsági architektúra |
A kiemelt hozzáférést alkotó szerepkörök, műveletek és rendszerek dokumentált listája. Egyértelmű szabályok arra vonatkozóan, hogy mikor engedélyezett a jogosultságemelés, mennyi ideig tarthat, és milyen jóváhagyással. Támogatja az igény szerint történő hozzáférés érvényesítését, és megszünteti az állandó jogosultságot. |
|
Jogosultsági hozzáférési útvonalak elkülönítése és figyelése Erős hitelesítés és eszközmegbízhatóság kényszerítése. Folyamatosan monitorozza a rendellenes viselkedést. Rangsorolja az észlelést és a választ a nagy hatás miatt. |
Biztonsági architektúra Hozzáférés és identitások SecOps |
Explicit módon definiált emelt szintű hozzáférési útvonalak, amelyek engedélyezettek, korlátozhatók vagy megszüntethetők. Például csak PAW-ok (emelt jogosultságú hozzáférési munkaállomások), jóváhagyott portálok és API-k, nincsenek örökölt protokollok, és nincs közvetlen rendszergazdai hozzáférés személyes eszközökről. Szilárd engedélyezési/blokkmodellt biztosít a feltételes hozzáféréshez, a felület biztonságához és a monitorozáshoz. |
|
A kiemelt támadási felület csökkentése Csökkentse a támadási felületet a kiemelt identitások, szerepkörök és hozzárendelések számának minimalizálásával. |
Stratégia, integráció, irányítás Hozzáférés és identitások Biztonsági helyzet kezelése. |
A kiemelt szerepkörök észszerűsítése. Mely szerepkörök szükségesek vagy távolíthatók el, és mely munkafolyamatokat kell módosítani az állandó jogosultság elkerülése érdekében. Megállapodás a végleges hozzárendelésből eltávolítandó szerepkörökről. A siker mérése Például az állandó kiemelt szerepkörök számának csökkentése. |
|
Hatékonysági és felügyeleti munkafolyamatok elkülönítése Különítse el a munkafolyamatokat a gyakori támadási vektorok és a nagyvállalati szintű vezérlés közötti híd megszüntetéséhez. |
Biztonsági architektúra Infrastruktúra Hozzáférés és identitások. |
Döntések a kiemelt munka helyeiről. Szükség van-e dedikált rendszergazdai fiókokra és eszközökre. Mely tevékenységek tiltottak a standard termelékenységi környezetekben. Mely munkafolyamatoknak kell áttérniük a kiemelt eszközökre vagy munkamenetekre. Ezek a döntések egyértelműség nélkül teszik lehetővé az eszközök üzembe helyezését és a hozzáférés kényszerítési fázisait. |
Biztonsági szintek használata tervezéshez
A biztonsági szinteket a rendszer a kiemelt hozzáférési útvonalak besorolására használja, nem csak a fiókokra vagy eszközökre. Tervezési célokra három biztonsági szintet használunk a hozzáférési útvonalak áttekintésekor. Vegye figyelembe, hogy ez a megvalósítási útmutató csak a kiemelt szintre összpontosít.
| Biztonsági szint | Purpose |
|---|---|
| Vállalat | Alapszintű biztonság az összes felhasználó és eszköz esetében. |
| Specializált | Fokozott védelem emelt szintű, nagy üzleti hatással járó szerepkörök esetén. |
| Kiváltságos | A vezérlősík és a bérlőszintű adminisztráció maximális védelme. |
Az emelt szintű hozzáférés tervezésekor használjon biztonsági szinteket a következő kérdés megválaszolásához:
- Mely elérési utak igénylik a legerősebb védelmet?
- Mely útvonalak maradhatnak átmenetileg alacsonyabb szinten a modernizáció során?
- Hol kell kötelezővé tenni a védelmet a kiemelt munkák engedélyezése előtt?
Fő tervezési alapelvek:
- A biztonsági szintek a hozzáférési útvonalakra vonatkoznak, nem csak az identitásokra.
- Ha a munkát emelt szintű hozzáférési útvonalon hajtják végre, az elérési útnak meg kell felelnie a szükséges biztonsági szintnek.
- Biztonsági szintek útmutatója:
- Kényszerítési minták
- Konfigurációs profilok
- Feltételes hozzáférési döntések
- Implementálási szekvenálás
Ez lehetővé teszi a kiemelt hozzáférés fokozatos modernizálását, miközben a legmagasabb kockázatú útvonalakat kell először kezelni.
Sorozat implementálása a kockázat csökkentése érdekében
A kiemelt hozzáférés modernizálásának a műveletek megzavarása nélkül kell csökkentenie a kockázatot. A tervezés meghatározza az implementáció által követett sorrendet.
Egy tipikus tervezési sorozat:
-
Ne hozzon létre új kiemelt kockázatot. Akadályozza meg, hogy a privilegizált tevékenység nem biztonságos útvonalakon folytatódjon, amíg a tervezés és az auditálás folyamatban van.
- Nincsenek új kiemelt szerepkör-hozzárendelések.
- Nincsenek új nem biztonságos elérési utak.
- Először a legnagyobb hatású hozzáférési útvonalakat védje: Kezdje az identitásvezérlő síkkal (bérlői és előfizetés-rendszergazdák). Térjen át a maginfrastruktúrára és a produkciós rendszerekre.
- Biztonságos alapok létrehozása. Definiált kiemelt identitások, majd dedikált emelt szintű eszközök és jóváhagyott hozzáférési útvonalak konfigurálása.
- Bontsa ki a lefedettséget növekményesen. Szigorítsa a végrehajtást, ahogy a monitorozás és a validálás kiforrottabbá válik. Az észlelés segítségével azonosíthatja és szervizelheti az új vagy nem jóváhagyott útvonalakat.
Ez a sorrend biztosítja, hogy az auditok, a kikényszerítés és a helyreállítás érvényes legyen, mert a védelmek már a kontrollok szigorítása előtt érvényben vannak.
A tervezéstől a megvalósításig
A megvalósítás érvényre juttatja a tervezés és a tervezési előkészítés során hozott döntéseket.
| Kimenet tervezése | Végrehajtás kényszerítése |
|---|---|
| Kiemelt szerepkör-definíciók és hatókör | 1. fázis: Az identitásvezérlő sík védelme. Biztonságos szerepkör-hozzárendelések, PIM-konfiguráció, jóváhagyási munkafolyamatok és naplózás. |
| Kiemelt jogosultságú eszközökre vonatkozó követelmények | 2. fázis: Biztonságos eszközök. A megerősödött emelt szintű hozzáférési munkaállomások (PAW-k) üzembe helyezése és használata kényszerítése |
| Jóváhagyott és letiltott elérési utak | 3. fázis: Szabályzat konfigurálása. Feltételes hozzáférés, felületkorlátozások és protokollblokkolás konfigurálása. |
| Elfogadott kompromisszumok és kivételek | 1. fázis: Az identitásvezérlő sík védelme és a 3. fázis: Szabályzat konfigurálása. Naplózás, felülvizsgálati munkafolyamatok, vészhelyzeti hozzáférési fiókok. |
| Kiemelt hozzáférés figyelése | 4. fázis: Monitorozás és fenyegetésészlelés. Észlelési szabályok, riasztások rangsorolása, jóváhagyott útvonalak ellenőrzése. |
Az egyes fázisok implementálása előtt győződjön meg arról, hogy elvégezte a megfelelő tervezési műveleteket.
Következő lépések
Az 1. fázissal kezdje el a megvalósítást – Az identitásvezérlő sík konfigurálása . Ez a fázis létrehozza azt az alapot, ahol a kiemelt identitások, a szerepkör-hozzárendelések és az engedélyezett jogosultságszint-emelési útvonalak definiálva és védve vannak.
Minden további eszköz-, szabályzat- és monitorozási vezérlő ennek a fázisnak a függvénye.