Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln är en del av lösningsguiden Implementera en privilegierad åtkomstarkitektur .
Privilegierad åtkomst utgör en kritisk säkerhetsrisk i de flesta organisationer eftersom den ger direkt kontroll över identitetssystem, molnkontrollplan och affärskritiska tillgångar.
Lär dig hur en säker arkitektur för privilegierad åtkomst spelar en viktig roll i ditt affärsscenario – Skydda kritiska affärstillgångar – genom att minska den här risken och stärka kontrollen över känsliga system.
Planering är det första steget. Den här artikeln riktar sig till implementerare och säkerhetsarkitekter som översätter arkitekturen för privilegierad åtkomst till en praktisk distributionsplan (omfång, förutsättningar, sekvensering och ägarskap).
Under planeringen identifierar du vilka privilegierade åtkomstvägar som är viktigast, bestämmer vilka sökvägar som tillåts och vilka som blockeras och mappar dessa beslut direkt till den stegvisa implementeringen som ska följas.
Innan du börjar
- Vår implementeringsmodell definierar en uppsättning kritiska affärsscenarier som riktar sig till företagsledare och beslutsfattare. Läs mer om affärsresultatet för att skydda och styra privilegierad åtkomst till kritiska system.
- Vi använder säkerhetsdiscipliner för att hjälpa team att leverera säkerhetsresultat i hela verksamheten. Lär dig mer om de områden som är associerade med arkitektur för privilegierad åtkomst
Planeringsresultat
Du bör slutföra planeringen med:
- En delad förståelse för vilka privilegierade åtkomstvägar som är viktigast i din miljö.
- Avtal om vilka åtkomstvägar som tillåts, begränsas eller elimineras.
- En definierad implementeringssekvens för att minska risken utan att bryta åtgärder.
- Tydligt ägarskap för att godkänna, ändra och granska beslut om privilegierad åtkomst.
- Direktmappning från planeringsbeslut till implementeringsfaser.
Implementeringsmål
Implementeringsplanering översätter designmål till verkställbara beslut.
Flera säkerhetsområden och tekniker skapar resultat för den här lösningen. Tabellen nedan visar hur planeringsmål relaterar till discipliner och nedströmsimplementering.
| Implementeringsmål | Berörda discipliner | Planeringsresultat |
|---|---|---|
|
Begränsa exponering av privilegierade autentiseringsuppgifter Minimera när, var och hur privilegierade autentiseringsuppgifter kan användas. |
Strategi och styrning Åtkomst och identiteter Säkerhetsarkitektur |
En dokumenterad lista över roller, åtgärder och system som utgör privilegierad åtkomst. Tydliga regler för när behörighetshöjning är tillåten, hur länge den får gälla och vilket godkännande som krävs. Underlättar tillämpningen av just-in-time-åtkomst och eliminerar stående privilegier. |
|
Isolera och övervaka åtkomstsökvägar för privilegier Framtvinga stark autentisering och enhetsförtroende. Övervaka kontinuerligt för avvikande beteende. Prioritera identifiering och svar på grund av hög påverkan. |
Säkerhetsarkitektur Åtkomst och identiteter SecOps |
Tydligt definierade privilegierade åtkomstsökvägar som tillåts, begränsas eller elimineras. Till exempel endast PAWs, godkända portaler och API:er, inga äldre protokoll, ingen direkt administratörsåtkomst från personliga enheter. Tillhandahåller en solid allow/block-modell för villkorsstyrd åtkomst, gränssnittssäkerhet och övervakning. |
|
Minska den privilegierade attackytan Minska attackytan genom att minimera antalet privilegierade identiteter, roller och tilldelningar. |
Strategi, integrering, styrning Åtkomst och identiteter Hantering av säkerhetsställning. |
Slutför rationalisering av privilegierade roller. Vilka roller som krävs eller kan tas bort och vilka arbetsflöden som måste ändras för att undvika stående privilegier. Avtal om vilka roller som ska avlägsnas från permanent tilldelning. Framgångsmått Till exempel minskning av stående privilegierade roller. |
|
Separata produktivitets- och administrativa arbetsflöden Avgränsa arbetsflöden för att eliminera bryggan mellan vanliga attackvektorer och företagsomfattande kontroll. |
Säkerhetsarkitektur Infrastructure Åtkomst och identiteter. |
Beslut om var privilegierat arbete kan ske. Om dedikerade administratörskonton och enheter krävs. Vilka aktiviteter är förbjudna från standardproduktivitetsmiljöer. Vilka arbetsflöden måste flyttas till privilegierade enheter eller sessioner. Dessa beslut möjliggör enhetsdistribution och åtkomsttillämpningsfaser utan tvetydighet. |
Använda säkerhetsnivåer för planering
Säkerhetsnivåer används under planeringen för att klassificera privilegierade åtkomstvägar, inte bara konton eller enheter. I planeringssyfte använder vi tre säkerhetsnivåer när vi granskar åtkomstvägar. Observera att den här implementeringsguiden endast fokuserar på den privilegierade nivån.
| Säkerhetsnivå | Purpose |
|---|---|
| Enterprise | Baslinjesäkerhet för alla användare och enheter. |
| Specialiserade | Ökat skydd för förhöjda roller med hög affärspåverkan. |
| Privilegierat | Maximalt skydd för kontrollplan och innehavaromfattande administration. |
När du planerar privilegierad åtkomst använder du säkerhetsnivåer för att svara på följande:
- Vilka åtkomstvägar kräver de starkaste skydden?
- Vilka sökvägar kan finnas kvar på en lägre nivå tillfälligt under moderniseringen?
- Var måste skydd vara obligatoriskt innan privilegierat arbete tillåts?
Viktiga planeringsprinciper:
- Säkerhetsnivåerna gäller för åtkomstsökvägar, inte bara identiteter.
- Om arbete utförs via en privilegierad åtkomstsökväg måste den sökvägen uppfylla den säkerhetsnivå som krävs.
- Guide för säkerhetsnivåer:
- Efterlevnadsmönster
- Konfigurationsprofiler
- Beslut om villkorsstyrd åtkomst
- Sekvensering av implementering
På så sätt kan du modernisera privilegierad åtkomst stegvis samtidigt som du ser till att sökvägarna med högst risk åtgärdas först.
Sekvensimplementering för att minska risken
Modernisering av privilegierad åtkomst måste minska risken utan att störa åtgärder. Planeringen upprättar sekvenseringen som implementeringen följer.
En typisk planeringssekvens:
-
Sluta skapa nya privilegierade risker. Förhindra att privilegierade aktiviteter fortsätter via osäkra sökvägar medan planering och granskning pågår.
- Inga nya stående privilegierade rolltilldelningar.
- Inga nya osäkra åtkomstvägar.
- Skydda åtkomstvägarna med störst påverkan först: Börja med identitetskontrollplanet (klient- och prenumerationsadministratörer). Gå vidare till kärninfrastruktur och produktionssystem.
- Upprätta säkra grunder. Definierade privilegierade identiteter, konfigurera sedan dedikerade privilegierade enheter och godkända åtkomstsökvägar.
- Utöka täckningen stegvis. Skärp tillämpningen i takt med att övervakning och validering utvecklas. Använd detektering för att identifiera och åtgärda nya eller ej godkända sökvägar.
Den här sekvenseringen säkerställer att granskningar, verkställighet och reparation är giltiga eftersom det finns skydd innan kontrollerna skärps.
Koppla planering till implementering
Implementeringen framtvingar de beslut som tas fram under utformning och planering.
| Planeringsutdata | Implementeringsframtvingande |
|---|---|
| Definitioner och omfång för privilegierade roller | Fas 1: Skydda identitetskontrollplanet. Säkra rolltilldelningar, PIM-konfiguration, arbetsflöden för godkännande och granskning. |
| Krav för privilegierade enheter | Fas 2: Säkra enheter. Distribuera och framtvinga användning av härdade arbetsstationer för privilegierad åtkomst (PAW) |
| Godkända och blockerade åtkomstsökvägar | Fas 3: Konfigurera principen. Konfigurera villkorlig åtkomst, gränssnittsbegränsningar, protokollblockering. |
| Accepterade kompromisser och undantag | Fas 1: Skydda identitetskontrollplanet och fas 3: Konfigurera princip. Logga, granska arbetsflöden, break-glass-konton. |
| Övervakning för privilegierad åtkomst | Fas 4: Övervakning och hotidentifiering. Identifieringsregler, aviseringsprioritering, validering av godkända sökvägar. |
Innan du implementerar varje fas kontrollerar du att du har slutfört motsvarande planeringsåtgärder.
Nästa steg
Börja implementera med Fas 1 – Konfigurera identitetskontrollplanet . Den här fasen lägger grunden för hur privilegierade identiteter, rolltilldelningar och auktoriserade eskaleringsvägar definieras och skyddas.
Alla efterföljande enhets-, princip- och övervakningskontroller beror på den här fasen.