Ayrıcalıklı erişim güvenlik düzeyleri
Bu belgede ayrıcalıklı erişim stratejisinin güvenlik düzeyleri açıklanmaktadır Bu stratejininnasıl benimsendiğiyle ilgili bir yol haritası için bkz. hızlı modernizasyon planı (RaMP). Uygulama kılavuzu için bkz. ayrıcalıklı erişim dağıtımı
Bu düzeyler öncelikli olarak kuruluşların bu kritik öneme sahip korumaları hızla dağıtabilmesi için basit ve basit teknik rehberlik sağlayacak şekilde tasarlanmıştır. Ayrıcalıklı erişim stratejisi, kuruluşların benzersiz gereksinimleri olduğunu kabul eder, ancak özel çözümlerin zaman içinde daha yüksek maliyet ve daha düşük güvenlikle sonuçlanan karmaşıklık oluşturduğunu da kabul eder. Bu ihtiyacı dengelemek için strateji, kuruluşların bu düzeyin gereksinimlerini karşılamak için her rolün ne zaman gerekli olacağını seçmelerine olanak tanıyarak her düzey için kesin açıklayıcı rehberlik ve esneklik sağlar.
İşleri basit hale getirmek, insanların bunu anlamasına yardımcı olur ve kafalarının karışması ve hata yapması riskini azaltır. Temel teknoloji neredeyse her zaman karmaşık olsa da, desteklemesi zor özel çözümler oluşturmak yerine işleri basit tutmak kritik önem taşır. Daha fazla bilgi için bkz . Güvenlik tasarımı ilkeleri.
Yöneticilerin ve son kullanıcıların ihtiyaçlarına odaklanan çözümler tasarlamak, bunu onlar için basit tutacaktır. Güvenlik ve BT personelinin oluşturması, değerlendirmesi ve bakımı (mümkün olduğunda otomasyonla) için basit çözümler tasarlamak, daha az güvenlik hatasına ve daha güvenilir güvenlik güvencelerine yol açar.
Önerilen ayrıcalıklı erişim güvenlik stratejisi, alanlar arasında dağıtılması kolay olacak şekilde tasarlanmış basit üç düzeyli bir güvence sistemi uygular: hesaplar, cihazlar, aracılar ve arabirimler.
Her ardışık düzey, ek Bulut için Defender yatırım düzeyiyle saldırgan maliyetlerini yükseltmektedir. Düzeyler, savunmacıların yaptıkları her güvenlik yatırımı için en fazla getiriyi (saldırgan maliyeti artışı) aldığı 'tatlı noktaları' hedef alacak şekilde tasarlanmıştır.
Ortamınızdaki her rol bu düzeylerden birine eşlenmelidir (ve isteğe bağlı olarak bir güvenlik geliştirme planının parçası olarak zaman içinde artırılmalıdır). Her profil açıkça teknik bir yapılandırma olarak tanımlanır ve dağıtımı kolaylaştırmak ve güvenlik korumalarını hızlandırmak için mümkün olduğunda otomatikleştirilir. Uygulama ayrıntıları için Ayrıcalıklı erişim yol haritası makalesine bakın.
Güvenlik düzeyleri
Bu strateji boyunca kullanılan güvenlik düzeyleri şunlardır:
Kurumsal
Kurumsal güvenlik , tüm kurumsal kullanıcılar ve üretkenlik senaryoları için uygundur. Hızlı modernleştirme planının ilerlemesinde kuruluş, kurumsal güvenlikteki güvenlik denetimlerini aşamalı olarak oluşturarak özelleştirilmiş ve ayrıcalıklı erişim için de başlangıç noktası görevi görür.
Not
Daha zayıf güvenlik yapılandırmaları mevcut, ancak saldırganların sahip olduğu beceriler ve kaynaklar nedeniyle kurumsal kuruluşlar için Microsoft tarafından bugün önerilmez. Saldırganların karanlık pazarlarda birbirlerinden ne satın alabileceği ve ortalama fiyatlar hakkında bilgi için Azure Güvenliği için en iyi 10 en iyi yöntemler videosuna bakın
Özelleştirilmiş
Özel güvenlik , yükseltilmiş iş etkisine sahip roller için daha fazla güvenlik denetimi sağlar (saldırgan veya kötü amaçlı bir içeriden gelen kişi tarafından tehlikeye atılırsa).
Kuruluşunuzun özelleştirilmiş ve ayrıcalıklı hesaplar için belgelenmiş ölçütleri olmalıdır (örneğin, olası iş etkisi 1 MILYON ABD Dolarının üzerindedir) ve ardından bu ölçütleri karşılayan tüm rolleri ve hesapları tanımlamalıdır. (Özelleştirilmiş Hesaplar da dahil olmak üzere bu strateji boyunca kullanılır)
Özel roller genellikle şunları içerir:
- İş açısından kritik sistemlerin geliştiricileri .
- SWIFT terminal kullanıcıları, hassas verilere erişimi olan araştırmacılar, genel sürümden önce finansal raporlamaya erişimi olan personel, bordro yöneticileri, hassas iş süreçleri için onaylayanlar ve diğer yüksek etkili roller gibi hassas iş rolleri.
- Hassas bilgileri düzenli olarak işleyen yöneticiler ve kişisel yardımcılar / yönetim yardımcıları.
- Şirketin itibarını zedeleyebilecek yüksek etkili sosyal medya hesapları .
- Hassas BT Yönetici önemli ayrıcalıklara ve etkiye sahip olsa da kuruluş genelinde değildir. Bu grup genellikle tek tek yüksek etkili iş yüklerinin yöneticilerini içerir. (örneğin, kurumsal kaynak planlama yöneticileri, bankacılık yöneticileri, yardım masası /teknik destek rolleri vb.)
Özel Hesap güvenliği ayrıca bu denetimler üzerinde daha fazla derleme yapan ayrıcalıklı güvenlik için geçici bir adım görevi görür. Önerilen ilerleme sırası hakkında ayrıntılı bilgi için bkz . ayrıcalıklı erişim yol haritası .
Ayrıcalıklı
Ayrıcalıklı güvenlik , bir saldırganın veya kötü niyetli bir içeriden birinin elinde kuruluşta büyük bir olaya ve potansiyel maddi hasara neden olabilecek roller için tasarlanmış en yüksek güvenlik düzeyidir. Bu düzey genellikle çoğu veya tüm kurumsal sistemlerde yönetim izinlerine sahip teknik rolleri içerir (ve bazen birkaç iş açısından kritik rol içerir)
Ayrıcalıklı hesaplar önce güvenliğe odaklanır ve üretkenlik, hassas iş görevlerini güvenli bir şekilde kolayca ve güvenli bir şekilde gerçekleştirme özelliği olarak tanımlanır. Bu roller, aynı hesabı veya aynı cihazı/iş istasyonunu kullanarak hem hassas iş hem de genel üretkenlik görevlerini (web'e göz atma, herhangi bir uygulamayı yükleme ve kullanma) gerçekleştiremez. Saldırgan etkinliğini temsil edebilecek anormal etkinlikler için eylemlerinin daha fazla izlenmesiyle yüksek oranda kısıtlanmış hesapları ve iş istasyonları olacaktır.
Ayrıcalıklı erişim güvenlik rolleri genellikle şunları içerir:
- Microsoft Entra yönetici rolleri
- Kurumsal dizin, kimlik eşitleme sistemleri, federasyon çözümü, sanal dizin, ayrıcalıklı kimlik/erişim yönetim sistemi veya benzeri yönetim haklarına sahip diğer kimlik yönetimi rolleri.
- Bu şirket içi Active Directory gruplarında üyeliği olan roller
- Enterprise Admins
- Domain Admins
- Şema Yöneticisi
- BUILTIN\Administrators
- Account Operators
- Backup Operators
- Print Operators
- Server Operators
- Domain Controllers
- Read-only Domain Controllers
- Grup İlkesi Oluşturucu Sahipleri
- Cryptographic Operators
- Dağıtılmış COM Kullanıcıları
- Hassas şirket içi Exchange grupları (Exchange Windows İzinleri ve Exchange Güvenilen Alt Sistemi dahil)
- Diğer TemsilciLi Gruplar - Dizin işlemlerini yönetmek için kuruluşunuz tarafından oluşturulabilecek özel gruplar.
- Yukarıdaki özellikleri barındıran bir işletim sistemi veya bulut hizmeti kiracısı için herhangi bir yerel yönetici
- Yerel yöneticiler grubunun üyeleri
- Kök veya yerleşik yönetici parolasını bilen personel
- Bu sistemlerde aracıların yüklü olduğu herhangi bir yönetim veya güvenlik aracının Yönetici oluşturucuları