Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt een end-to-end-oplossing geïntroduceerd voor het implementeren van een architectuur voor bevoegde toegang. Het is gericht op beveiligings- en identiteitsplanners en implementers.
In het Microsoft model voor beveiligingsimplementatie:
- Implementatieoplossingen bieden prescriptieve implementatierichtlijnen.
- Oplossingen zijn afgestemd op bedrijfsscenario's die beveiligingsresultaten met hoge prioriteit definiëren.
Voordat u begint met de implementatie, leert u hoe een beveiligde bevoorrechte toegangsarchitectuur een cruciale rol speelt in het bedrijfsscenario - Kritieke bedrijfsactiva beveiligen - door dit risico te verminderen en de controle over gevoelige systemen te versterken.
Oplossingsdoelen
Bevoegde toegang vertegenwoordigt een van de grootste risico's in elke organisatie, omdat het directe controle biedt over identiteitssystemen, cloudbesturingsvlakken en kritieke bedrijfsresources.
Deze handleiding definieert een Zero Trust-aanpak voor bevoorrechte toegang door die te behandelen als een toegangspad van begin tot eind, dat identiteit, apparaat, interface, doelbron en monitoring omvat. In plaats van afzonderlijke onderdelen geïsoleerd te beveiligen, zorgt dit model ervoor dat het volledige toegangspad wordt beheerd en continu wordt gevalideerd.
Het doel is het verminderen van risico's door:
- Beperken wie bevoegde acties kan uitvoeren.
- Bepalen waar en hoe deze acties kunnen optreden.
- Continu bewaken en reageren op bevoorrechte activiteit.
Implementeer deze architectuur met behulp van Microsoft Entra ID, Microsoft Intune en Microsoft Defender voor Eindpunt.
Implementeer de oplossing in fasen. Begin met het tot stand brengen van een veilige basis (identiteitsbeheervlak en vertrouwde apparaten), beleidsregels afdwingen en vervolgens bewakings- en reactiebewerkingen instellen.
Risico voor bevoegde toegang
Bevoegde identiteiten (menselijk en niet-menselijk) beheren hoogwaardige activa en mechanismen voor het afdwingen van beveiliging. Wanneer er inbreuk is gemaakt, is de resulterende bedrijfsimpact ernstig. Met bevoegde toegang kunnen aanvallers het volgende doen:
- Gegevens exfiltreren, versleutelen of vernietigen.
- Bedrijfsactiviteiten afsluiten of verstoren.
- Detectie- en afdwingingscontroles uitschakelen.
- Identiteitssystemen subverten en permanente toegang maken.
Veelvoorkomende aanvallen
Aanvallen volgen twee veelvoorkomende patronen:
- Gerichte gegevensdiefstal: Cyberaanvallers sporen gevoelige intellectuele eigendommen, financiële gegevens of strategische plannen op en sluizen die weg. Gestolen gegevens worden verkocht, gelekt of gebruikt voor concurrentievoordeel.
- Door mensen geëxploiteerde ransomware: Cyberattackers maken gebruik van bevoegde toegang tot versleuteling van systemen, stopbewerkingen en afpersen van de organisatie - het afdwingen van uitvoerende beslissingen onder extreme tijdsdruk.
Waarom bevoegde toegang riskant is
Het risico van bevoorrechte toegang is om een aantal redenen uniek en systemisch.
| Risico | Bijzonderheden |
|---|---|
| Werkt in het besturingsvlak | Bevoorrechte accounts opereren in de beheerlaag, niet alleen in de workloadlaag. Bevoegde identiteiten kunnen identiteiten wijzigen, beveiligingsconfiguraties wijzigen, afdwingingsbeheer uitschakelen of overslaan en knoeien met bedrijfskritieke gegevens. Zodra aanvallers bevoorrechte toegang hebben, kunnen ze de mechanismen ondermijnen die zijn ontworpen om ze te detecteren en te stoppen. Dit maakt traditionele insluitingsstrategieën veel minder effectief en maakt inbreuk mogelijk om onopgemerkt te blijven. |
| Hoge bedrijfsimpact per ontwerp | Bevoegde toegang bestaat voor het beheren van kritieke systemen, dus misbruik van die toegang heeft onmiddellijke en ernstige gevolgen. Met bevoegde toegang kunnen aanvallers: - Gevoelige gegevens exfiltreren of vernietigen - Bedrijfsactiviteiten afsluiten of manipuleren - Volledige omgevingen versleutelen voor afpersing (door mensen beheerde ransomware) - Systemen ondermijnen op manieren die daadwerkelijke schade in de echte wereld kunnen veroorzaken. Deze resultaten zijn niet theoretisch. Ze worden herhaaldelijk waargenomen in verschillende branches, waardoor bevoegde toegang wordt gemaakt tot een van de meest betrouwbare manieren voor aanvallers om maximale impact te bereiken. |
| Luid en storend | In tegenstelling tot verborgen gegevensdiefstal, zijn veel bevoegde toegangsaanvallen, met name door mensen beheerde ransomware, opzettelijk verstorend. Ze stoppen bewerkingen, breken klantgerichte services en dwingen besluitvorming op leidinggevend niveau af onder extreme tijdsdruk. Omdat alle organisaties financieel en operationeel gemotiveerd zijn om de service snel te herstellen, zijn deze aanvallen universeel van toepassing en zeer effectief, ongeacht de branche of grootte. |
| Het risico neemt toe, niet af | Aanvallers zijn flexibel en technologieneutraal. Ze richten zich niet op één product of controle, maar misbruiken welk bevoegde toegangspad het zwakst is op dit moment. Het aanvalsoppervlak voor bevoorrechte toegang is uitgebreid en onderling verbonden, en omvat: - Accounts en identiteitssystemen - Werkstations en apparaten - Intermediaire systemen zoals hulpprogramma's voor externe toegang en PAM/PIM-oplossingen. - Beheerinterfaces, portals, API's en uitbreidingspaden. Inbreuk op een van deze elementen kan een pad naar volledig ondernemingsbeheer bieden en nieuwe toegangspaden worden continu geïntroduceerd naarmate omgevingen zich ontwikkelen. |
| Benaderingen met één oplossing mislukken | Implementatie van slechts één controleklasse, zoals PAM/PIM, netwerkbeperkingen of detectiehulpprogramma's, vermindert niet voldoende risico's. Deze maatregelen richten zich op delen van het probleem, niet op het systeem. Als bevoorrechte toegang niet van begin tot eind is beveiligd, omzeilen aanvallers eenvoudig geïsoleerde beveiligingsmaatregelen en buiten ze een onbeschermde schakel in het toegangspad uit. Dit is de reden waarom bevoegde toegang moet worden behandeld als een volledig systeem, van identiteits- en apparaatvertrouwen, via uitbreiding en uitvoering tot bewaking en reactie, in plaats van als een verzameling onafhankelijke hulpprogramma's. |
Architectuurprincipes en -resultaten
Microsoft's aanbevolen benadering is het bouwen van een bevoegde toegangssysteem met gesloten lus dat:
- Biedt onmiddellijke risicovermindering
- Ondersteunt incrementele, duurzame voortgang
- Vermijdt onnodige complexiteit
- Maakt duidelijke resultaten en succescriteria mogelijk
Architectuurresultaten
Het implementeren van de strategie op basis van deze principes creëert een aantal duidelijke resultaten en succescriteria.
| Resultaat | Architectuur | Succescriteria |
|---|---|---|
| Bevoorrechte toegang wordt afgedwongen als een end-to-endsysteem | Geprivilegieerde risico's worden beheerd over het hele toegangspad: identiteit, roltoewijzing, apparaat, uitvoeringsomgeving, werkstroom voor uitbreiding, intermediaire systemen, beheerinterfaces, bewaking en reactie. Bevoegd werk vindt alleen plaats via expliciete, geautoriseerde uitbreidingspaden met Zero Trust validatie (identiteitscontrole, apparaatvertrouwen, sessiecontext). | Elke sessie valideert dat het gebruikersaccount en apparaat op voldoende niveau worden vertrouwd voordat toegang wordt toegestaan. Voorbeelden van metingen: % van bevoegde aanmeldingen voldoen aan vereisten zoals MFA en vereiste apparaatvertrouwen, % van bevoegde acties die worden uitgevoerd via werkstroom voor goedkeuringsverhoging versus permanente bevoegdheden. |
| Identiteitssystemen beveiligen en bewaken | Beveilig identiteitssystemen die bevoegdheden hosten of verlenen (mappen, identiteitsbeheer, beheerdersaccounts, enzovoort). Governance, beleidsafdwinging, logboekregistratie en analyses worden gecentraliseerd om drift te verminderen en de zichtbaarheid te verbeteren. |
Elk van deze systemen wordt beveiligd op een niveau dat geschikt is voor de potentiële bedrijfsimpact van accounts die erin worden gehost. Voorbeelden van meting: % van bevoegde identiteiten die worden gedekt door reguliere toegangsbeoordeling Voltooiingspercentage van periodieke controles van bevoorrechte toegang (wie heeft beoordeeld, wie heeft ingetrokken). |
| Laterale doorkruising beperken | Isoleren van bevoegd werk uit omgevingen met hoge blootstelling. Beveilig lokale beheerdersreferenties, serviceaccountgeheimen en uitbreidingsmechanismen, zodat inbreuk op één apparaat, account of referentie geen breder beheer mogelijk maakt. | Het in gevaar brengen van één apparaat leidt niet onmiddellijk tot controle over veel of alle andere apparaten in de omgeving. Voorbeeld van een meetwaarde: % van bevoorrechte acties die uitsluitend afkomstig zijn van beheerwerkstations. |
| Snel reageren op bedreigingen | Bevoorrechte activiteit is een prioriteitssignaal voor detectie en reactie. Ontwerp monitoring en incidentrespons om meerfasige aanvallen gericht op bevoorrechte toegang te verstoren en de verblijfsduur van aanvallers te beperken. | Uw incidentreactie kan aanvallen met meerdere fasen betrouwbaar stoppen voordat ze bevoegde toegang bereiken en kunnen snel misbruik met bevoegdheden bevatten wanneer deze zich voordoen. Voorbeeld van meting: Gemiddelde tijd voor het oplossen van bevoegde incidenten (MTTR) wordt gereduceerd tot minuten in plaats van uren of dagen. Onverwachte of nieuwe bevoegde toegangspaden worden snel geïdentificeerd en gesloten. |
Houd deze metingen maandelijks bij voor de voortgang en bekijk elk kwartaal als onderdeel van privileged access governance.
Inzicht krijgen in bevoegde toegangspaden
Geprivilegieerde toegangspaden zijn toegangspaden die een volledige keten vormen van identiteit tot uitvoering, zoals wordt geïllustreerd in het volgende diagram.
Als een verband in de keten zwak is, is het hele pad kwetsbaar.
| Path | Onderdelen | Risico |
|---|---|---|
|
Toegangspaden voor gebruikers Gebruikerstoegangspaden ondersteunen standaardproductiviteit en bedrijfsactiviteiten, zoals e-mail, samenwerking, surfen op internet en Line-Of-Business-toepassingen. |
Een gebruikerstoegangspad omvat doorgaans: - Identiteit: Een standaardgebruikersaccount - Apparaat: Een werkstation voor algemeen gebruik - Intermediair: Optionele tussenpersonen zoals een VPN of externe toegang. - Interface: Interactie met bedrijfstoepassingen en -services. |
Hoewel inbreuk op een gebruikerstoegangspad schadelijk kan zijn, is de mogelijke impact beperkt in vergelijking met bevoegde toegang. |
|
Geprivilegieerde toegangspaden Geprivilegieerde toegangspaden beheren identiteiten, infrastructuur, beveiligingscontroles en bedrijfskritieke systemen. |
Geprivilegieerde toegangspaden bestaan doorgaans uit: - Identiteit: een account dat bevoegd werk uitvoert. - Apparaat: het eindpuntwerkstation of apparaat dat wordt gebruikt door de bevoegde sessie. - Tussenpartij: elk systeem of elke service die de bevoorrechte sessie bemiddelt of host, zoals tools voor externe toegang of beheer. - Interface: Het beheeroppervlak waar bevoegd beheer wordt uitgeoefend. Bijvoorbeeld portals, API's, opdrachtregelprogramma's of automatisering. |
Hoewel de technische onderdelen lijken op een gebruikerstoegangspad, is de mogelijke schade aan inbreuk aanzienlijk hoger. Geprivilegieerde toegangspaden moeten daarom: - Minder talrijk - Expliciet gedefinieerd - Geïsoleerd van gebruikerstoegangspaden - Beveiligd met de strengst beschikbare beveiligingsmaatregelen. |
Voorbeeldpad
In een typisch geprivilegieerd toegangspad:
- Een toegewezen beheerdersidentiteit meldt zich aan.
- De aanmelding is afkomstig van een beveiligd Privileged Access Workstation (PAW).
- De aanmelding activeert een rol via Privileged Identity Management (PIM).
- De aanmelding maakt gebruik van een specifieke beheerinterface, zoals een portal, API of CLI.
- De aangemelde identiteit voert een bevoegde actie uit.
Oplossingsonderdelen
De oplossing voor bevoegde toegang is gebaseerd op drie nauw gekoppelde elementen die ervoor zorgen dat bevoegde acties door de juiste identiteiten, van vertrouwde apparaten, onder afgedwongen voorwaarden worden uitgevoerd.
Geprivilegieerde identiteiten
- Toegewezen beheerdersaccounts die bevoegde acties mogen uitvoeren.
- Identiteiten die zijn beveiligd met sterke verificatie en, indien mogelijk, verificatie zonder wachtwoord.
- Beperkte bevoorrechte roltoewijzing.
- Just-in-time-verhoging van bevoegdheden na goedkeuring.
Privileged Access Workstations (PAWs)
- Beveiligde, sterk beperkte apparaten.
- Verminderde kwetsbaarheid voor aanvallen op apparaten.
- Bescherming tegen bedreigingen voor aanmeldingsgegevens en malware.
- Geïsoleerd van gebruikersactiviteit met een hoog risico.
Afdwinging en bewaking van beleid
- Voorwaardelijke toegang valideert identiteit, apparaat en sessiecontext.
- Geprivilegieerde uitbreidingspaden worden expliciet gedefinieerd.
- Alle bevoegde activiteiten worden geregistreerd, bewaakt en gecontroleerd.
Identiteitssystemen en escalatiepaden
Identiteitssystemen en uitbreidingspaden zijn fundamentele onderdelen van elk geprivilegieerd toegangspad. Ze definiëren waar bevoorrechte identiteiten worden gemaakt, hoe beheerdersrollen worden toegewezen en hoe gebruikers overstappen van een niet-bevoegde status tot het uitvoeren van bevoegde acties.
Deze implementatierichtlijn beschouwt identiteitssystemen en escalatiepaden als onderdeel van het geprivilegieerde aanvalsoppervlak en het identiteitsbesturingsvlak.
| Area | Bijzonderheden | Risicobeperking |
|---|---|---|
| Identiteitssystemen | Waar bevoorrechte identiteiten, rollen en beheerdersmachtigingen worden gedefinieerd en beheerd. Deze definitie omvat mappen, roltoewijzingen, beheergroepen en configuratie op tenantniveau. |
Bevoorrechte identiteiten functioneren in het beheervlak. Als er inbreuk is gemaakt op identiteitssystemen, kunnen aanvallers bevoegde toegang maken, wijzigen of behouden, waarbij apparaatbeheer, toegangsvoorwaarden en bewaking worden overgeslagen. Het beveiligen van het identiteitsbeheervlak is de hoogste implementatieprioriteit. |
| Geautoriseerde elevatiepaden | Hoe een gebruiker overstapt van een niet-bevoegde status om bevoegde acties uit te voeren. Bijvoorbeeld, tijdgebonden rolactivering, goedkeuringsworkflows en afgebakende beheerssessies. |
Zorgt ervoor dat verhoging van bevoegdheden sterke authenticatie vereist en dat verhoging van geprivilegieerde bevoegdheden opzettelijk, tijdelijk en gemonitord is, en alleen plaatsvindt vanaf goedgekeurde apparaten en interfaces. Door uitbreiding af te dwingen via goedgekeurde werkstromen, apparaten en interfaces, voorkomt u staande bevoegdheden en vermindert u misbruik, laterale verplaatsing en stille persistentie. |
Oplossingsfasen
Implementeer de architectuur voor bevoorrechte toegang met behulp van een gefaseerd acceptatiemodel dat is afgestemd op Microsoft best practices.
- Start de acceptatie met behulp van het gestructureerde acceptatiemodel. Richtlijnen voor acceptatie helpen leidinggevenden bij het identificeren van kritieke bedrijfsresultaten voor een veilige identiteit en inzicht in de toegangs- en identiteitsdiscipline, waaronder de teams en inspanningen die nodig zijn om identiteitsinitiatieven zoals bevoorrechte toegang te stimuleren.
- Plan de oplossing. Planning helpt u bij het identificeren van ontwerpdoelen, het toewijzen van beveiligingsniveaus om de strategie voor bevoegde toegang te bepalen en de implementatie te plannen.
- Volg de implementatiefasen die in de volgende tabel worden samengevat. Elke fase heeft een specifiek doel en wordt geïmplementeerd met behulp van concrete configuratiestappen in de bijbehorende artikelen.
Implementatiefasen
| Fase | Risico beperken | Toegesneden Zero Trust principes |
|---|---|---|
| Fase 1. Het identiteitsbeheervlak beveiligen Scheppen: - Afzonderlijke beheerdersidentiteiten. Beveiligingsgroepen voor roltoewijzing. - Break-glassaccounts voor noodgevallen als u die niet hebt. |
Vermindert het risico op diefstal van referenties, misbruik van bevoegdheden en onbevoegde uitbreiding. |
Expliciet verifiëren Gebruik sterke verificatie. Minimale bevoegdheden gebruiken Beheerdersrollen beperken/Just-In-Time-bevoegdheden inschakelen. Stel dat er sprake is van een schending. Gebruik break-glass-accounts voor hersteldoeleinden. |
| Fase 2. Apparaten voor bevoorrechte toegang implementeren en beveiligen Richt toegewezen bevoegde toegangswerkstations (PAW's) in. Hardening van het besturingssysteem en securitybaselines toepassen. Patches, eindpuntbeveiliging en schijfversleuteling afdwingen. Minimaliseer installaties van apps en services. |
Vermindert het risico op inbreuk op referenties en aanvallen op basis van apparaten. |
Expliciet verifiëren Zorg ervoor dat apparaten zijn ingeschreven, vertrouwd en compatibel zijn voordat u toegang verleent. Stel dat er sprake is van een schending Minimaliseer mogelijke inbreukpaden door apparaten te beveiligen en beheerdersreferenties te isoleren. Gebruik toegang met minimale bevoegdheden. Beperk wat beheerders op deze toegewezen apparaten kunnen doen. |
| Fase 3. Beleid voor bevoorrechte toegang afdwingen Configureer voorwaardelijke toegang voor bevoorrechte rollen. Vereis compatibele apparaten en sterke authenticatie. Contextbewuste toegangsvoorwaarden afdwingen. Toegang tot goedgekeurde interfaces beperken. |
Voorkomt ongeautoriseerde toegang en hergebruik van inloggegevens. |
Stel dat er sprake is van een schending. Voorkom misbruik van referenties als accounts worden gestolen door te beperken waar en hoe toegang wordt verleend. gebruik de minste rechten. Op rollen gebaseerde en contextbewuste machtigingen afdwingen. |
| Fase 4. Controleren en voortdurend valideren Onderzoek incidenten en herstel snel. Continu wordt het vertrouwen en de dekking opnieuw beoordeeld. |
Bedreigingen met bevoegdheden detecteren, onderzoeken en erop reageren. Bewaak bevoorrechte rolactiveringen en -sessies. Detecteer afwijkingen en verdachte patronen. Verminder de impact van onopgemerkte compromittering en de langdurige aanwezigheid van aanvallers. |
Stel dat er sprake is van een schending. Continu controleren op activiteiten van aanvallers en afwijkend gedrag. Controleer dit expliciet. Evalueer vertrouwen continu en onderzoek verdachte toegangspatronen. |
Volgende stappen
Begin nu met het plannen van een implementatiestrategie.