Vállalati hozzáférési modell

  • Cikk

Ez a dokumentum egy általános vállalati hozzáférési modellt ír le, amely a kiemelt hozzáférési stratégia illeszkedésének kontextusát tartalmazza. A kiemelt hozzáférési stratégia bevezetésének ütemtervét a gyors modernizációs tervben (RaMP) találhatja meg. A telepítéssel kapcsolatos megvalósítási útmutatóért tekintse meg a jogosultsági hozzáférés üzembe helyezését ismertető témakört

A kiemelt hozzáférési stratégia egy átfogó vállalati hozzáférés-vezérlési stratégia része. Ez a vállalati hozzáférési modell bemutatja, hogyan illeszkedik a kiemelt hozzáférés egy általános vállalati hozzáférési modellbe.

A szervezet által védeni kívánt üzleti érték elsődleges tárolói az Adatok/Számítási feladatok síkon találhatók:

Data/workload plane

Az alkalmazások és az adatok általában a szervezet nagy részét tárolják:

  • Üzleti folyamatok alkalmazásokban és számítási feladatokban
  • Szellemi tulajdon adatokban és alkalmazásokban

A vállalati informatikai szervezet felügyeli és támogatja a számítási feladatokat és az általuk üzemeltetett infrastruktúrát, legyen az helyszíni, az Azure-on vagy egy külső felhőszolgáltatón, létrehozva egy felügyeleti síkot. Ezeknek a rendszereknek a vállalaton belüli konzisztens hozzáférés-vezérléséhez központi vállalati identitásrendszer(ek)en alapuló vezérlősíkra van szükség, amelyet gyakran ki kell egészíteni a régebbi rendszerek, például az operatív technológiai (OT) eszközök hálózati hozzáférés-vezérlésével.

Control, management, and data/workload planes

Ezek a síkok a funkciójukból adódóan irányítják az adatokat és a számítási feladatokat, így vonzó pályát teremtve a támadók számára a visszaélésekhez, ha bármelyik sík felett átvehetik az irányítást.

Ahhoz, hogy ezek a rendszerek üzleti értéket hozzanak létre, el kell érniük a belső felhasználók, partnerek és ügyfelek számára a munkaállomásaikat vagy eszközeiket (gyakran távelérési megoldásokat használva) – felhasználói hozzáférési útvonalakat hozva létre. Az alkalmazásprogramozási felületeken (API-kon) keresztül is gyakran elérhetőknek kell lenniük programozott módon, hogy megkönnyítsék a folyamatautomatizálást, és alkalmazáselérési útvonalakat hozzanak létre.

Adding user and application access pathways

Végül, ezeket a rendszereket az informatikai személyzetnek, a fejlesztőknek vagy a szervezetek más tagjainak kell felügyelniük és karbantartaniük, így emelt szintű hozzáférési útvonalakat kell létrehozniuk. Mivel magas szintű ellenőrzést biztosítanak a szervezet üzletileg kritikus fontosságú eszközei felett, ezeket az útvonalakat szigorúan védeni kell a kompromisszumokkal szemben.

Privileged access pathway to manage and maintain

Konzisztens hozzáférés-vezérlés biztosítása a szervezetben, amely lehetővé teszi a termelékenységet és csökkenti a kockázatokat,

  • Teljes felügyelet alapelvek érvényesítése minden hozzáféréshez
    • Más összetevők megsértésének feltételezése
    • A megbízhatóság explicit érvényesítése
    • Minimális jogosultsági hozzáférés
  • Teljes biztonság és szabályzatkényszerítés a teljes
    • Belső és külső hozzáférés a konzisztens szabályzatalkalmazás biztosításához
    • Minden hozzáférési módszer, beleértve a felhasználókat, rendszergazdákat, API-kat, szolgáltatásfiókokat stb.
  • A jogosulatlan jogosultságok eszkalálásának enyhítése
    • Hierarchia kényszerítése – a magasabb síkok szabályozásának megakadályozása az alacsonyabb síkokon (támadásokkal vagy jogos folyamatokkal való visszaéléssel)
      • Vezérlősík
      • Felügyeleti sík
      • Adat-/számítási feladatsík
    • A véletlen eszkalációt lehetővé tevő konfigurációs biztonsági rések folyamatos naplózása
    • Figyelheti és reagálhat azokra az anomáliákra, amelyek potenciális támadásokat jelenthetnek

Evolúció az örökölt AD-rétegmodellből

A vállalati hozzáférési modell felülírja és lecseréli azt az örökölt rétegmodellt, amely a jogosultságok jogosulatlan eszkalálására összpontosított egy helyszíni Windows Server Active Directory-környezetben.

Legacy AD tier model

A vállalati hozzáférési modell magában foglalja ezeket az elemeket, valamint egy modern vállalat teljes hozzáférés-kezelési követelményeit, amely kiterjed a helyszíni, több felhőre, belső vagy külső felhasználói hozzáférésre stb.

Complete enterprise access model from old tiers

0. rétegbeli hatókörbővítés

A 0. szint kibővül, hogy vezérlősíkmá váljon, és a hozzáférés-vezérlés minden aspektusát kezeli, beleértve a hálózatkezelést is, ahol ez az egyetlen/legjobb hozzáférés-vezérlési lehetőség, például az örökölt OT-beállítások

1. réteg felosztásai

Az egyértelműség és a kezelhetőség növelése érdekében az 1. réteg most a következő területekre oszlik:

  • Felügyeleti sík – nagyvállalati szintű informatikai felügyeleti funkciókhoz
  • Data/Workload plane – számítási feladatonkénti felügyelethez, amelyet néha az informatikai személyzet és néha az üzleti egységek hajtanak végre

Ez a felosztás biztosítja az üzletileg kritikus fontosságú rendszerek és a magas belső üzleti értékkel rendelkező felügyeleti szerepkörök védelmére való összpontosítást, de korlátozott technikai ellenőrzést biztosít. Emellett ez a felosztás jobban megfelel a fejlesztőknek és a DevOps-modelleknek, szemben a klasszikus infrastruktúra-szerepkörökkel.

2. réteg felosztása

Az alkalmazáshozzáférés és a különböző partner- és ügyfélmodellek lefedettségének biztosítása érdekében a 2. réteg a következő területekre lett felosztva:

  • Felhasználói hozzáférés – amely magában foglalja az összes B2B, B2C és nyilvános hozzáférési forgatókönyvet
  • Alkalmazáshozzáférés – API-hozzáférési útvonalak és az ebből eredő támadási felület elhelyezésére

Következő lépések