Tingkat keamanan akses istimewa
Dokumen ini menjelaskan tingkat keamanan strategi akses istimewa Untuk peta jalan tentang cara mengadopsi strategi ini, lihat rencana modernisasi cepat (RaMP). Untuk panduan implementasi, lihat penyebaran akses istimewa
Tingkat-tingkat ini terutama dirancang untuk memberikan panduan teknis yang sederhana dan mudah sehingga organisasi dapat dengan cepat menyebarkan perlindungan yang sangat penting ini. Strategi akses istimewa mengakui bahwa organisasi memiliki kebutuhan unik, tetapi juga bahwa solusi kustom menciptakan kompleksitas yang menghasilkan biaya yang lebih tinggi dan keamanan yang lebih rendah dari waktu ke waktu. Untuk menyeimbangkan kebutuhan ini, strategi ini memberikan panduan preskriptif perusahaan untuk setiap tingkat dan fleksibilitas melalui memungkinkan organisasi untuk memilih kapan setiap peran akan diperlukan untuk memenuhi persyaratan tingkat tersebut.
Membuat sesuatu menjadi sederhana membantu orang memahaminya dan menurunkan risiko mereka akan bingung dan membuat kesalahan. Meskipun teknologi yang mendasar hampir selalu kompleks, sangat penting untuk menjaga hal-hal sederhana daripada membuat solusi kustom yang sulit didukung. Untuk informasi selengkapnya, lihat Prinsip desain keamanan.
Merancang solusi yang berfokus pada kebutuhan administrator dan pengguna akhir, akan membuatnya sederhana bagi mereka. Merancang solusi yang mudah bagi personel keamanan dan TI untuk membangun, menilai, dan memelihara (dengan otomatisasi jika memungkinkan) menyebabkan kesalahan keamanan yang lebih sedikit dan jaminan keamanan yang lebih andal.
Strategi keamanan akses istimewa yang direkomendasikan menerapkan sistem jaminan tiga tingkat sederhana, yang mencakup seluruh area, yang dirancang agar mudah disebarkan untuk: akun, perangkat, perantara, dan antarmuka.
Setiap tingkat berturut-turut meningkatkan biaya penyerang, dengan tingkat investasi Defender for Cloud tambahan. Level dirancang untuk menargetkan 'sweet spot' di mana defender mendapatkan pengembalian terbanyak (peningkatan biaya penyerang) untuk setiap investasi keamanan yang mereka lakukan.
Setiap peran di lingkungan Anda harus dipetakan ke salah satu tingkat ini (dan secara opsional meningkat dari waktu ke waktu sebagai bagian dari rencana peningkatan keamanan). Setiap profil didefinisikan dengan jelas sebagai konfigurasi teknis dan otomatis jika memungkinkan untuk memudahkan penyebaran dan mempercepat perlindungan keamanan. Untuk detail implementasi, lihat artikel, Peta jalan akses istimewa.
Tingkat keamanan
Tingkat keamanan yang digunakan di seluruh strategi ini adalah:
Perusahaan
Keamanan perusahaan cocok untuk semua pengguna perusahaan dan skenario produktivitas. Dalam perkembangan rencana modernisasi yang cepat, perusahaan juga berfungsi sebagai titik awal untuk akses khusus dan istimewa karena mereka secara bertahap membangun kontrol keamanan dalam keamanan perusahaan.
Catatan
Konfigurasi keamanan yang lebih lemah memang ada, tetapi tidak direkomendasikan oleh Microsoft untuk organisasi perusahaan saat ini karena keterampilan dan penyerang sumber daya telah tersedia. Untuk informasi tentang penyerang apa yang dapat dibeli satu sama lain di pasar gelap dan harga rata-rata, lihat video 10 Praktik Terbaik Terbaik untuk Keamanan Azure
Khusus
Keamanan khusus memberikan peningkatan kontrol keamanan untuk peran dengan dampak bisnis yang ditinggikan (jika disusupi oleh penyerang atau orang dalam berbahaya).
Organisasi Anda harus memiliki kriteria yang didokumenkan untuk akun khusus dan istimewa (misalnya, potensi dampak bisnis lebih dari $1 juta USD) lalu mengidentifikasi semua peran dan akun yang memenuhi kriteria tersebut. (digunakan di seluruh strategi ini, termasuk dalam Akun Khusus)
Peran khusus biasanya meliputi:
- Pengembang sistem penting bisnis.
- Peran bisnis sensitif seperti pengguna terminal SWIFT, peneliti dengan akses ke data sensitif, personel dengan akses ke pelaporan keuangan sebelum rilis publik, administrator penggajian, pemberi persetujuan untuk proses bisnis sensitif, dan peran berdampak tinggi lainnya.
- Eksekutif dan asisten pribadi / asisten administratif yang secara teratur menangani informasi sensitif.
- Akun media sosial berdampak tinggi yang dapat merusak reputasi perusahaan.
- Admin TI Sensitif dengan hak istimewa dan dampak yang signifikan, tetapi tidak di seluruh perusahaan. Grup ini biasanya mencakup administrator beban kerja individu berdampak tinggi. (misalnya, administrator perencanaan sumber daya perusahaan, administrator perbankan, meja bantuan/peran dukungan teknis, dll.)
Keamanan Akun Khusus juga berfungsi sebagai langkah sementara untuk keamanan istimewa, yang selanjutnya dibangun di atas kontrol ini. Lihat peta jalan akses istimewa untuk detail tentang urutan perkembangan yang direkomendasikan.
Istimewa
Keamanan istimewa adalah tingkat keamanan tertinggi yang dirancang untuk peran yang dapat dengan mudah menyebabkan insiden besar dan potensi kerusakan material pada organisasi di tangan penyerang atau orang dalam berbahaya. Tingkat ini biasanya mencakup peran teknis dengan izin administratif pada sebagian besar atau semua sistem perusahaan (dan terkadang mencakup beberapa peran penting bisnis tertentu)
Akun istimewa difokuskan pada keamanan terlebih dahulu, dengan produktivitas yang didefinisikan sebagai kemampuan untuk melakukan tugas pekerjaan sensitif dengan mudah dan aman dengan aman. Peran ini tidak akan memiliki kemampuan untuk melakukan pekerjaan sensitif dan tugas produktivitas umum (menelusuri web, menginstal dan menggunakan aplikasi apa pun) menggunakan akun yang sama atau perangkat/stasiun kerja yang sama. Mereka akan memiliki akun dan stasiun kerja yang sangat terbatas dengan peningkatan pemantauan tindakan mereka untuk aktivitas anomali yang dapat mewakili aktivitas penyerang.
Peran keamanan akses istimewa biasanya meliputi:
- Azure AD Administrator Global dan peran terkait
- Peran manajemen identitas lainnya dengan hak administratif untuk direktori perusahaan, sistem sinkronisasi identitas, solusi federasi, direktori virtual, sistem manajemen identitas/akses istimewa, atau sejenisnya.
- Peran dengan keanggotaan dalam grup Active Directory lokal ini
- Admin Perusahaan
- Admin Domain
- Admin skema
- BUILTIN\Administrators
- Operator Akun
- Operator Azure Backup
- Operator Cetak
- Operator Server
- Pengendali domain
- Pengendali Domain Baca-saja
- Pemilik Pembuat Kebijakan Grup
- Operator Kriptografi
- Pengguna COM Terdistribusi
- Grup Exchange lokal yang sensitif (termasuk Exchange Windows Permissions dan Exchange Trusted Subsystem)
- Grup Yang Didelegasikan Lainnya - Grup kustom yang dapat dibuat oleh organisasi Anda untuk mengelola operasi direktori.
- Setiap administrator lokal untuk sistem operasi atau penyewa layanan cloud yang mendasar yang menghosting kemampuan di atas termasuk
- Anggota grup administrator lokal
- Personel yang mengetahui akar atau kata sandi administrator bawaan
- Administrator alat manajemen atau keamanan apa pun dengan agen yang diinstal pada sistem tersebut