Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel maakt deel uit van de oplossingshandleiding voor een uitgebreide toegangsarchitectuur implementeren .
Bevoegde toegang vormt een kritiek beveiligingsrisico in de meeste organisaties, omdat hiermee directe controle over identiteitssystemen, cloudbesturingsvlakken en bedrijfskritieke assets mogelijk is.
Meer informatie over hoe een beveiligde bevoorrechte toegangsarchitectuur een cruciale rol speelt in uw bedrijfsscenario - Kritieke bedrijfsactiva beveiligen - door dit risico te verminderen en de controle over gevoelige systemen te versterken.
Planning is de eerste stap. Dit artikel is bedoeld voor implementers en beveiligingsarchitecten die de architectuur voor bevoorrechte toegang vertalen in een praktisch implementatieplan (bereik, vereisten, sequentiëren en eigendom).
Tijdens de planning bepaalt u welke bevoegde toegangspaden het belangrijkst zijn, bepaalt u welke paden zijn toegestaan en welke worden geblokkeerd, en wijst u deze beslissingen rechtstreeks toe aan de gefaseerde implementatie die moet worden gevolgd.
Voordat u begint
- Ons acceptatiemodel definieert een reeks kritieke bedrijfsscenario's die gericht zijn op leidinggevenden en besluitvormers. Meer informatie over het bedrijfsresultaat het beveiligen en beheren van bevoorrechte toegang tot kritieke systemen.
- We gebruiken beveiligingsdisciplines om teams te helpen beveiligingsresultaten in het hele bedrijf te leveren. Meer informatie over de disciplines die zijn gekoppeld aan de architectuur voor bevoorrechte toegang
Planningsresultaten
U moet de planning voltooien met:
- Een gedeeld inzicht in welke bevoegde toegangspaden het belangrijkst zijn in uw omgeving.
- Overeenkomst waarin toegangspaden zijn toegestaan, beperkt of geëlimineerd.
- Een gedefinieerde implementatiereeks voor het verminderen van risico's zonder bewerkingen te verbreken.
- Duidelijke verantwoordelijkheid voor het goedkeuren, wijzigen en beoordelen van beslissingen over bevoorrechte toegang.
- Rechtstreekse koppeling van planningsbeslissingen naar implementatiefases.
Implementatiedoelen
Implementatieplanning vertaalt ontwerpdoelen in afdwingbare beslissingen.
Meerdere beveiligingsdisciplines en -technologieën stimuleren resultaten voor deze oplossing. In de onderstaande tabel ziet u hoe planningsdoelen betrekking hebben op disciplines en downstream-implementatie.
| Implementatiedoel | Betrokken disciplines | Planningsresultaat |
|---|---|---|
|
Blootstelling van bevoegde referenties beperken Minimaliseer wanneer, waar en hoe bevoegde referenties kunnen worden gebruikt. |
Strategie en bestuur Toegang en identiteiten Beveiligingsarchitectuur |
Een gedocumenteerde lijst met rollen, acties en systemen die bevoorrechte toegang vormen. Duidelijke regels over wanneer verhoging is toegestaan, hoe lang deze mag duren en welke goedkeuring daarvoor nodig is. Helpt bij het afdwingen van Just-In-Time-toegang en elimineert permanente bevoegdheden. |
|
Toegangspaden voor bevoegdheden isoleren en bewaken Dwing sterke authenticatie en vertrouwde apparaten af. Continu controleren op afwijkend gedrag. Prioriteit geven aan detectie en respons vanwege een hoge impact. |
Beveiligingsarchitectuur Toegang en identiteiten SecOps |
Expliciet gedefinieerde bevoegde toegangspaden die zijn toegestaan, beperkt of geëlimineerd. Bijvoorbeeld alleen PAW's, goedgekeurde portals en API's, geen verouderde protocollen, geen directe beheerderstoegang vanaf persoonlijke apparaten. Biedt een solide model voor toestaan/blokkeren voor voorwaardelijke toegang, interfacebeveiliging en bewaking. |
|
Verklein het aanvalsoppervlak voor geprivilegieerde aanvallen Verminder het kwetsbaarheid voor aanvallen door het aantal bevoegde identiteiten, rollen en toewijzingen te minimaliseren. |
Strategie, integratie, governance Toegang en identiteiten Beveiligingspostuurbeheer. |
Volledige rationalisering van bevoorrechte rollen. Welke rollen vereist zijn of kunnen worden verwijderd en welke werkstromen moeten worden gewijzigd om permanente bevoegdheden te voorkomen. Overeenkomst over welke rollen moeten worden verwijderd uit permanente toewijzing. Geslaagde metingen. Bijvoorbeeld het verminderen van permanent toegewezen bevoorrechte rollen. |
|
Afzonderlijke werkstromen voor productiviteit en beheer Scheid werkstromen om de brug tussen veelvoorkomende aanvalsvectoren en bedrijfsbrede controle te elimineren. |
Beveiligingsarchitectuur Infrastructure Toegang en identiteiten. |
Beslissingen over waar bevoegd werk kan plaatsvinden. Of toegewezen beheerdersaccounts en apparaten vereist zijn. Welke activiteiten zijn verboden voor standaardproductiviteitsomgevingen. Welke werkstromen moeten worden verplaatst naar bevoegde apparaten of sessies. Deze beslissingen maken implementatie- en toegangsafdwingingsfasen voor apparaten mogelijk zonder onduidelijkheid. |
Beveiligingsniveaus gebruiken voor planning
Beveiligingsniveaus worden gebruikt tijdens het plannen van het classificeren van bevoegde toegangspaden, niet alleen accounts of apparaten. Voor planningsdoeleinden gebruiken we drie beveiligingsniveaus bij het controleren van toegangspaden. Houd er rekening mee dat deze implementatiehandleiding zich alleen richt op het niveau met bevoegdheden.
| Beveiligingsniveau | Purpose |
|---|---|
| Enterprise | Basislijnbeveiliging voor alle gebruikers en apparaten. |
| Gespecialiseerd | Verbeterde beveiliging voor verhoogde, zakelijke impactrollen. |
| Bevoorrechte | Maximale beveiliging voor de beheerlaag en tenantbreed beheer. |
Wanneer u bevoegde toegang plant, gebruikt u beveiligingsniveaus om het volgende te beantwoorden:
- Voor welke toegangspaden zijn de sterkste beveiligingen vereist?
- Welke paden kunnen tijdelijk op een lager niveau blijven tijdens de modernisering?
- Waar moeten beveiligingen verplicht zijn voordat bevoegd werk is toegestaan?
Belangrijke planningsprincipes:
- Beveiligingsniveaus zijn van toepassing op toegangspaden, niet alleen identiteiten.
- Als er werk wordt uitgevoerd via een toegangspad met bevoegdheden, moet dat pad voldoen aan het vereiste beveiligingsniveau.
- Handleiding voor beveiligingsniveaus:
- Handhavingspatronen
- Configuratieprofielen
- Beslissingen voor voorwaardelijke toegang
- Implementatievolgorde
Hierdoor kunt u bevoegde toegang stapsgewijs moderniseren, terwijl u ervoor zorgt dat de paden met het hoogste risico eerst worden aangepakt.
Sequentieimplementatie om het risico te verminderen
Modernisering van geprivilegieerde toegang moet het risico verminderen zonder bewerkingen te verstoren. De planning bepaalt de volgorde die de implementatie volgt.
Een typische planningsreeks:
-
Stop met het maken van nieuwe bevoegde risico's. Voorkom dat bevoegde activiteiten worden voortgezet op onveilige paden terwijl er planning en controle wordt uitgevoerd.
- Er zijn geen nieuwe bevoorrechte roltoewijzingen.
- Geen nieuwe onbeveiligde toegangspaden.
- Beveilig eerst de toegangspaden met de hoogste impact: Begin met het identiteitsbeheervlak (tenant- en abonnementsbeheerders). Ga verder met de kerninfrastructuur en productiesystemen.
- Veilige fundamenten tot stand brengen. Gedefinieerde bevoegde identiteiten en configureer vervolgens toegewezen bevoegde apparaten en goedgekeurde toegangspaden.
- Vouw de dekking stapsgewijs uit. Handhaaf strenger naarmate monitoring en validatie volwassener worden. Gebruik detectie om nieuwe of niet-goedgekeurde paden te identificeren en op te lossen.
Deze sequencing zorgt ervoor dat controles, afdwinging en herstel geldig zijn, omdat er beveiligingen bestaan voordat controles worden aangescherpt.
Planning koppelen aan implementatie
Implementatie voert de beslissingen uit die tijdens de ontwerp- en planningsfase worden genomen.
| Uitvoer van planning | Afdwingen van implementatie |
|---|---|
| Bevoorrechte roldefinities en -bereik | Fase 1: Beveilig het identiteitsbeheervlak. Beveilig roltoewijzingen, PIM-configuratie, goedkeuringswerkstromen en controle. |
| Vereisten voor apparaten met verhoogde bevoegdheden | Fase 2: Apparaten beveiligen. Het gebruik van geharde bevoegde toegangswerkstations (PAW's) implementeren en afdwingen |
| Goedgekeurde en geblokkeerde toegangspaden | Fase 3: Beleid configureren. Configureer voorwaardelijke toegang, interfacebeperkingen, protocolblokkering. |
| Geaccepteerde trade-offs en uitzonderingen | Fase 1: Beveilig het identiteitsbeheervlak en fase 3: Beleid configureren. Logboekregistratie, bekijk werkstromen, break-glass-accounts. |
| Bewaking voor bevoegde toegang | Fase 4: Bewaking en detectie van bedreigingen. Detectieregels, prioriteitstelling van waarschuwingen, validatie van goedgekeurde paden. |
Voordat u elke fase implementeert, moet u ervoor zorgen dat u de bijbehorende planningsacties hebt voltooid.
Volgende stappen
Begin met de implementatie met fase 1: het identiteitsbeheervlak configureren . In deze fase wordt de basis gelegd waar bevoorrechte identiteiten, roltoewijzingen en geautoriseerde uitbreidingspaden worden gedefinieerd en beveiligd.
Alle daaropvolgende beheeropties voor apparaten, beleid en controle zijn afhankelijk van deze fase.