Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu belgede, ayrıcalıklı erişim stratejisinin nasıl bağlamını içeren genel bir kurumsal erişim modeli açıklanmaktadır. Ayrıcalıklı erişim stratejisini benimsemeyle ilgili yol haritası için bkz. hızlı modernizasyon planı (RaMP). Bunu dağıtmaya yönelik uygulama kılavuzu için bkz. ayrıcalıklı erişim dağıtımı
Ayrıcalıklı erişim stratejisi, genel bir kurumsal erişim denetimi stratejisinin bir parçasıdır. Bu kurumsal erişim modeli, ayrıcalıklı erişimin genel bir kurumsal erişim modeline nasıl uyduğunu gösterir.
Bir kuruluşun koruması gereken birincil iş değeri depoları Veri/İş Yükü düzlemindedir:
Uygulamalar ve veriler genellikle bir kuruluşun büyük bir yüzdesini depolar:
- İş süreçleri uygulamalarda ve iş yüklerinde
- Veri ve uygulamalarda fikri mülkiyet
Kurumsal BT kuruluşu, şirket içinde, Azure'da veya üçüncü taraf bir bulut sağlayıcısında olmak üzere iş yüklerini ve barındırdıkları altyapıyı yönetir ve destekler ve biryönetim düzlemi oluşturur. Kuruluş genelinde bu sistemlere tutarlı erişim denetimi sağlamak için, genellikle işletim teknolojisi (OT) cihazları gibi eski sistemler için ağ erişim denetimiyle desteklenen merkezi kurumsal kimlik sistemlerine dayalı bir kontrol düzlemi gerekir.
Bu düzlemlerin her biri, işlevleri sayesinde verilerin ve iş yüklerinin denetimine sahiptir ve saldırganların iki düzlemin de kontrolünü elde etmeleri durumunda kötüye kullanmaları için cazip bir yol oluşturur.
Bu sistemlerin iş değeri oluşturabilmesi için, dahili kullanıcılar, iş ortakları ve iş istasyonları veya cihazlarını kullanan müşteriler (genellikle uzaktan erişim çözümlerini kullanarak) sistemlere erişebilmeli ve kullanıcı erişimi yolları oluşturulmalıdır. İşlem otomasyonlarını kolaylaştırmak için uygulama programlama arabirimleri (API' ler) aracılığıyla program aracılığıyla da sık sık kullanılabilir olmaları ve uygulama erişimi yolları oluşturmaları gerekir.
Son olarak, bu sistemlerin BT personeli, geliştiriciler veya kuruluşlardaki diğer kişiler tarafından yönetilmesi ve bakımının yapılması ve ayrıcalıklı erişim yolları oluşturulması gerekir. Kuruluştaki iş açısından kritik varlıklar üzerinde sağladıkları yüksek denetim düzeyi nedeniyle, bu yolların tehlikeye karşı sıkı bir şekilde korunması gerekir.
ayrıcalıklı erişim yolu
Kuruluşta üretkenliği sağlayan ve riski azaltan tutarlı erişim denetimi sağlamak için
- Tüm erişimlerde Sıfır Güven ilkelerini zorunlu kılma
- Diğer bileşenlerin ihlalini varsayın
- Güvenin açıkça doğrulanması
- En az ayrıcalık erişimi
- Kapsamlı güvenlik ve politika uygulaması genelinde
- Tutarlı ilke uygulaması sağlamak için iç ve dış erişim
- Kullanıcılar, yöneticiler, API'ler, hizmet hesapları vb. dahil olmak üzere tüm erişim yöntemleri.
- Yetkisiz ayrıcalık artışını önleme
- Hiyerarşiyi zorunlu kılma – düşük düzlemlerden daha yüksek düzlemlerin denetimini önlemek için (saldırılar veya meşru süreçlerin kötüye kullanılması yoluyla)
- Kontrol düzlemi
- Yönetim düzlemi
- Veri/iş yükü düzlemi
- Yanlışlıkla yükseltmeyi etkinleştiren yapılandırma güvenlik açıkları için sürekli denetim
- Olası saldırıları temsil edebilecek anomalileri izleme ve yanıtlama
- Hiyerarşiyi zorunlu kılma – düşük düzlemlerden daha yüksek düzlemlerin denetimini önlemek için (saldırılar veya meşru süreçlerin kötüye kullanılması yoluyla)
Eski AD katmanı modelinden evrim
Kurumsal erişim modeli, şirket içi Windows Server Active Directory ortamında yetkisiz ayrıcalık yükseltmesi içermeye odaklanan eski katman modelinin yerini alır ve değiştirir.
Kurumsal erişim modeli, bu öğelerin yanı sıra şirket içine, birden çok buluta, iç veya dış kullanıcı erişimine ve daha fazlasına yayılan modern bir kuruluşun tam erişim yönetimi gereksinimlerini içerir.
Katman 0 kapsamı genişletme
Katman 0, denetim düzlemi olacak şekilde genişletilir ve eski OT seçenekleri gibi tek/en iyi erişim denetimi seçeneği olduğu ağ dahil olmak üzere erişim denetiminin tüm yönlerini ele alıyor
Katman 1 bölünmeler
Netliği ve eyleme dönüştürülebilirliği artırmak için katman 1 şu alanlara ayrılmıştır:
- Yönetim düzlemi – kuruluş genelinde BT yönetim işlevleri için
- Veri/İş yükü düzlemi – bazen BT personeli tarafından, bazen de iş birimleri tarafından gerçekleştirilen iş yükü başına yönetim için
Bu bölme, iş açısından kritik sistemleri ve yüksek iç iş değerine sahip ancak sınırlı teknik denetime sahip yönetim rollerini korumaya odaklanmayı sağlar. Ayrıca, bu ayrım geliştiricileri ve DevOps modellerini daha iyi barındırıyor ve klasik altyapı rollerine çok fazla odaklanmaktan kaçınıyor.
2. Kademe ayrımları
Uygulama erişiminin kapsamını ve çeşitli iş ortağı ve müşteri modellerini güvence altına almak için Katman 2 aşağıdaki alanlara bölünmüştür:
- Kullanıcı erişimi, tüm B2B, B2C ve genel erişim senaryolarını içerir.
- Uygulama erişimi – API erişim yollarını ve bu yüzden oluşan saldırı yüzeyini desteklemek için