Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья является частью руководства по реализации решения архитектуры привилегированного доступа .
Привилегированный доступ представляет критически важный риск безопасности в большинстве организаций, так как он обеспечивает прямой контроль над системами идентификации, плоскостями управления облаком и критически важными ресурсами.
Узнайте, как архитектура защищенного привилегированного доступа играет важную роль в вашем бизнес-сценарии — защита критически важных бизнес-активов , уменьшая этот риск и повышая контроль над конфиденциальными системами.
Планирование — это первый шаг. Эта статья предназначена для разработчиков и архитекторов безопасности, которые переводят архитектуру привилегированного доступа в практический план развертывания (область, предварительные требования, последовательности и владение).
Во время планирования вы определите наиболее важные пути привилегированного доступа, определите, какие пути разрешены и которые блокируются, и сопоставляете эти решения непосредственно с поэтапной реализацией.
Перед началом работы
- Наша модель внедрения определяет набор критически важных бизнес-сценариев, направленных на руководителей бизнеса и лиц, принимающих решения. Узнайте больше о бизнес-результате: обеспечение безопасности и управление привилегированным доступом к критически важным системам.
- Мы используем дисциплины безопасности , чтобы помочь командам обеспечить результаты безопасности по всему бизнесу. Узнайте о направлениях, связанных с архитектурой привилегированного доступа
Результаты планирования
Вы должны завершить настройку со следующими параметрами:
- Общее представление о том, какие пути привилегированного доступа наиболее важны в вашей среде.
- Соглашение о том, какие пути доступа разрешены, ограничены или исключены.
- Чётко определённая последовательность внедрения для снижения рисков без нарушения рабочих процессов.
- Четкое распределение ответственности за утверждение, изменение и проверку решений о предоставлении привилегированного доступа.
- Прямое сопоставление решений по планированию с этапами реализации.
Цели реализации
Планирование реализации преобразует цели проектирования в применимые решения.
Различные дисциплины безопасности и технологии определяют результаты этого решения. В таблице ниже показано, как цели планирования связаны с дисциплинами и реализацией ниже.
| Цель реализации | Дисциплины, участвующие | Результат планирования |
|---|---|---|
|
Ограничение воздействия привилегированных учетных данных Свести к минимуму время, где и как можно использовать привилегированные учетные данные. |
Стратегия и управление Доступ и идентификация Архитектура безопасности |
Документированный список ролей, действий и систем, составляющих привилегированный доступ. Чёткие правила о том, когда допускается повышение привилегий, на какой срок и с чьего одобрения. Помогает применять JIT-доступ и устраняет постоянные привилегии. |
|
Изоляция и мониторинг путей доступа к привилегиям Обеспечьте строгую аутентификацию и доверие к устройствам. Непрерывно отслеживайте аномальное поведение. Уделяйте первоочередное внимание обнаружению и реагированию из-за их высокого уровня воздействия. |
Архитектура безопасности Доступ и идентификационные данные SecOps |
Явно определенные привилегированные пути доступа, которые разрешены, ограничены или исключены. Например, только PAW, утвержденные порталы и API, никаких устаревших протоколов, никакого прямого административного доступа с личных устройств. Предоставляет надежную модель разрешений и блоков для условного доступа, безопасности интерфейса и мониторинга. |
|
Уменьшение привилегированной области атаки Уменьшите область атаки, сведя к минимуму количество привилегированных удостоверений, ролей и назначений. |
Стратегия, интеграция, управление Доступ и идентификация Управление состоянием безопасности |
Завершение рационализации привилегированных ролей. Какие роли необходимы или могут быть удалены, и какие рабочие процессы необходимо изменить, чтобы избежать постоянных привилегий. Соглашение о том, какие роли следует удалить из постоянного назначения. Измерения успешности. Например, сокращение постоянных привилегированных ролей. |
|
Разделение рабочих процессов производительности и администрирования Отдельные рабочие процессы для устранения моста между общими векторами атак и корпоративным контролем. |
Архитектура безопасности Infrastructure Доступ и идентификационные данные. |
Решения о том, где могут происходить привилегированные работы. Требуются ли выделенные учетные записи администратора и устройства. Какие действия запрещены в стандартных средах повышения производительности. Какие рабочие процессы должны перемещаться на привилегированные устройства или сеансы. Эти решения позволяют выполнять этапы развертывания устройств и применения политик доступа без неоднозначности. |
Использование уровней безопасности для планирования
Уровни безопасности используются во время планирования для классификации привилегированных путей доступа, а не только учетных записей или устройств. Для планирования мы используем три уровня безопасности при проверке путей доступа. Обратите внимание, что это руководство по реализации фокусируется только на привилегированном уровне.
| Уровень безопасности | Purpose |
|---|---|
| Предприятие | Базовая безопасность для всех пользователей и устройств. |
| специализированные | Повышенная защита для повышенных ролей с высоким уровнем влияния на бизнес. |
| Привилегированный | Максимальная защита для плоскости управления и администрирования на уровне клиента. |
При планировании привилегированного доступа используйте уровни безопасности для ответа:
- Какие пути доступа требуют наиболее надежных защиты?
- Какие пути могут оставаться на более низком уровне временно во время модернизации?
- Где должна быть обязательна защита, прежде чем разрешена любая привилегированная работа?
Основные принципы планирования:
- Уровни безопасности применяются к путям доступа, а не только к удостоверениям.
- Если работа выполняется через привилегированный путь доступа, этот путь должен соответствовать требуемому уровню безопасности.
- Руководство по уровням безопасности:
- Шаблоны принудительного применения
- Профили конфигурации
- Решения об условном доступе
- Последовательность реализации
Это позволяет поэтапно модернизировать привилегированный доступ, при этом в первую очередь устраняя наиболее рискованные векторы доступа.
Реализация последовательности для снижения риска
Модернизация привилегированного доступа должна снизить риск, не нарушая операции. Планирование устанавливает последовательное выполнение этой реализации.
Типичная последовательность планирования:
-
Остановите создание нового привилегированного риска. Не допускайте продолжения привилегированной активности по небезопасным каналам, пока ведутся планирование и аудит.
- Нет новых постоянных назначений привилегированных ролей.
- Никаких новых небезопасных способов доступа.
- Сначала защитите наиболее критичные пути доступа: начните с плоскости управления идентификацией (администраторы клиента и подписки). Перейдите к основной инфраструктуре и рабочим системам.
- Создание безопасных фундаментов. Определите привилегированные учетные записи, затем настройте выделенные привилегированные устройства и одобренные пути доступа.
- Расширьте охват постепенно. Ужесточайте контроль по мере развития мониторинга и валидации. Используйте обнаружение для выявления и исправления новых или неутвержденных путей.
Эта последовательность гарантирует, что аудиты, принудительное применение и исправление являются допустимыми, так как защита существует до ужесточения элементов управления.
От планирования к реализации
Реализация применяет решения, созданные во время проектирования и планирования.
| Планирование выходных данных | Принудительное применение |
|---|---|
| Определения привилегированных ролей и области | Этап 1: Защитите плоскость управления идентификацией. Защита назначений ролей, конфигурации PIM, рабочих процессов утверждения и аудита. |
| Требования к привилегированным устройствам | Этап 2. Защита устройств. Развертывание и принудительное использование защищенных привилегированных рабочих станций доступа (PAW) |
| Утвержденные и заблокированные пути доступа | Этап 3. Настройка политики. Настройте условный доступ, ограничения интерфейса, блокировку протокола. |
| Принятые компромиссы и исключения | Этап 1. Защита плоскости управления удостоверениями и этапа 3. Настройка политики. Журналирование, процессы проверки, учетные записи экстренного доступа. |
| Мониторинг привилегированного доступа | Этап 4. Мониторинг и обнаружение угроз. Правила обнаружения, приоритет оповещений, проверка утвержденных путей. |
Перед реализацией каждого этапа убедитесь, что вы выполнили соответствующие действия по планированию.
Дальнейшие действия
Начните реализацию с этапа 1 — настройки плоскости управления идентификацией. На этом этапе закладывается основа, в рамках которой определяются и защищаются привилегированные учетные записи, назначения ролей и авторизованные пути повышения привилегий.
Все последующие средства управления устройствами, политиками и мониторингом зависят от этого этапа.