Model voor bedrijfstoegang

  • Artikel
  • 3 minuten om te lezen

In dit document wordt een algemeen ondernemingstoegangsmodel beschreven met context van hoe een strategie voor bevoegde toegang in past. Zie het Plan voor snelle modernisering (RaMP) voor een roadmap voor het aannemen van een strategie voor bevoegde toegang. Zie Implementatie van bevoegde toegang voor implementatierichtlijnen om dit te implementeren

De strategie voor bevoegde toegang maakt deel uit van een algemene strategie voor enterprise-toegangsbeheer. Dit ondernemingstoegangsmodel laat zien hoe bevoegde toegang in een algemeen ondernemingstoegangsmodel past.

De primaire opslag van bedrijfswaarde die een organisatie moet beveiligen, bevinden zich in het gegevens-/workloadvlak:

Gegevens-/workloadvlak

De toepassingen en gegevens bevatten doorgaans een groot percentage van de volgende gegevens van een organisatie:

  • Bedrijfsprocessen in toepassingen en workloads
  • Intellectueel eigendom in gegevens en toepassingen

De IT-organisatie van het bedrijf beheert en ondersteunt de workloads en de infrastructuur waarop ze worden gehost, ongeacht of deze on-premises, op Azure of een externe cloudprovider is, en maakt een beheervlak. Het bieden van consistent toegangsbeheer voor deze systemen in de hele onderneming vereist een besturingsvlak op basis van gecentraliseerde bedrijfsidentiteitssystemen, vaak aangevuld met netwerktoegangsbeheer voor oudere systemen, zoals operationele technologie (OT)-apparaten.

Besturings-, beheer- en gegevens-/workloadvlakken

Elk van deze vlakken heeft controle over de gegevens en workloads door hun functies, waardoor aanvallers een aantrekkelijk pad kunnen maken om misbruik te maken als ze de controle over een van beide vlakken kunnen krijgen.

Als u wilt dat deze systemen bedrijfswaarde creëren, moeten ze toegankelijk zijn voor interne gebruikers, partners en klanten die hun werkstations of apparaten gebruiken (vaak met externe toegangsoplossingen) en gebruikerstoegangspaden maken. Ze moeten ook regelmatig programmatisch beschikbaar zijn via API's (Application Programming Interfaces) om procesautomatisering te vergemakkelijken en toegangspaden voor toepassingen te maken.

Toegangspaden voor gebruikers en toepassingen toevoegen

Ten slotte moeten deze systemen worden beheerd en onderhouden door IT-personeel, ontwikkelaars of anderen in de organisatie, waardoor paden voor bevoegde toegang worden gemaakt. Vanwege de hoge mate van controle die ze bieden over bedrijfskritieke activa in de organisatie, moeten deze paden streng worden beschermd tegen inbreuk.

Pad voor bevoegde toegang voor beheer en onderhoud

Als u consistent toegangsbeheer in de organisatie biedt om productiviteit mogelijk te maken en risico's te beperken, moet u

  • Zero Trust principes afdwingen voor alle toegang
    • Ga ervan uit dat andere onderdelen zijn geschonden
    • Expliciete validatie van vertrouwensrelatie
    • Toegang met minimale bevoegdheden
  • Uitgebreide beveiliging en beleidsafdwinging
    • Interne en externe toegang om een consistente beleidstoepassing te garanderen
    • Alle toegangsmethoden, inclusief gebruikers, beheerders, API's, serviceaccounts, enzovoort.
  • Escalatie van onbevoegde bevoegdheden beperken
    • Hiërarchie afdwingen: om controle van hogere vlakken vanaf lagere vlakken te voorkomen (via aanvallen of misbruik van legitieme processen)
      • Besturingsvlak
      • Beheerlaag
      • Gegevens-/workloadvlak
    • Continu controleren op beveiligingsproblemen in de configuratie, waardoor onbedoelde escalatie mogelijk is
    • Anomalieën bewaken en erop reageren die mogelijke aanvallen kunnen vertegenwoordigen

Evolutie van het verouderde AD-laagmodel

Het enterprise-toegangsmodel vervangt en vervangt het verouderde laagmodel dat gericht was op het voorkomen van onbevoegde escalatie van bevoegdheden in een on-premises Windows Server Active Directory omgeving.

Verouderd AD-laagmodel

Het enterprise-toegangsmodel bevat deze elementen en volledige toegangsbeheervereisten van een moderne onderneming die on-premises, meerdere clouds, interne of externe gebruikerstoegang omvat en meer.

Volledig ondernemingstoegangsmodel van oude lagen

Uitbreiding van bereik laag 0

Laag 0 breidt uit tot het besturingsvlak en behandelt alle aspecten van toegangsbeheer, inclusief netwerken waar dit de enige/beste toegangsbeheeroptie is, zoals verouderde OT-opties

Laag 1-splitsingen

Wat laag 1 was, is nu onderverdeeld in de volgende gebieden om de duidelijkheid en uitvoerbaarheid te vergroten:

  • Beheervlak – voor it-beheerfuncties voor de hele onderneming
  • Gegevens-/workloadvlak : voor beheer per workload, dat soms wordt uitgevoerd door IT-personeel en soms door bedrijfseenheden

Deze splitsing zorgt ervoor dat de focus ligt op het beveiligen van bedrijfskritieke systemen en administratieve rollen met een hoge intrinsieke bedrijfswaarde, maar beperkte technische controle. Daarnaast is deze splitsing beter geschikt voor ontwikkelaars en DevOps-modellen, in plaats van zich te veel te concentreren op klassieke infrastructuurrollen.

Laag 2-splitsingen

Om dekking te garanderen voor toegang tot toepassingen en de verschillende partner- en klantmodellen, is Laag 2 opgesplitst in de volgende gebieden:

  • Gebruikerstoegang : dit omvat alle scenario's voor B2B, B2C en openbare toegang
  • App-toegang : om api-toegangspaden en het resulterende aanvalsoppervlak te kunnen bieden

Volgende stappen