Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, Ayrıcalıklı erişim mimarisi çözümü uygulama kılavuzunun bir parçasıdır.
Ayrıcalıklı erişim çoğu kuruluşta kritik bir güvenlik riski sunar çünkü kimlik sistemleri, bulut denetim düzlemleri ve iş açısından kritik varlıklar üzerinde doğrudan denetim sağlar.
Bu riski azaltarak ve hassas sistemler üzerindeki denetimi güçlendirerek güvenli bir ayrıcalıklı erişim mimarisinin iş senaryonuzda nasıl kritik bir rol oynadığını öğrenin: Kritik iş varlıklarını koruma .
Planlama ilk adımdır. Bu makale, ayrıcalıklı erişim mimarisini pratik bir dağıtım planına (kapsam, önkoşullar, sıralama ve sahiplik) çeviren uygulayıcıları ve güvenlik mimarlarını hedeflemektedir.
Planlama sırasında hangi ayrıcalıklı erişim yollarının en önemli olduğunu belirler, hangi yollara izin verilip hangilerinin engellendiğine karar verir ve bu kararları doğrudan izlenecek aşamalı uygulamayla eşlersiniz.
Başlamadan önce
- Benimseme modelimiz, iş liderlerine ve karar alıcılara yönelik bir dizi kritik iş senaryolarını tanımlar. Kritik sistemlere ayrıcalıklı erişimi güvenli hale getirme ve yönetme ile ilgili iş sonucu hakkında daha fazla bilgi edinin.
- Ekiplerin iş genelinde güvenlik sonuçları sağlamasına yardımcı olmak için güvenlik disiplinlerini kullanırız. Ayrıcalıklı erişim mimarisiyle ilişkili disiplinler hakkında bilgi edinin
Planlama sonuçları
Planlamayı şu şekilde bitirmelisiniz:
- Ortamınızda hangi ayrıcalıklı erişim yollarının en önemli olduğu konusunda paylaşılan bir anlayış.
- Erişim yollarına izin verilen, kısıtlanan veya ortadan kaldırılan sözleşme.
- İşlemleri bozmadan riski azaltmaya yönelik tanımlı bir uygulama dizisi.
- Ayrıcalıklı erişim kararlarının onaylanması, değiştirilmesi ve gözden geçirilmesi için net sorumluluk.
- Planlama kararlarından uygulama aşamalarına doğrudan eşleme.
Uygulama hedefleri
Uygulama planlaması, tasarım hedeflerini zorlanabilir kararlara çevirir.
Bu çözümün sonuçlarını birden çok güvenlik uzmanlık alanı ve teknoloji oluşturur. Aşağıdaki tabloda planlama hedeflerinin disiplinler ve aşağı akış uygulamasıyla ilişkisi gösterilmektedir.
| Uygulama hedefi | Dahil olan disiplinler | Planlama sonucu |
|---|---|---|
|
Ayrıcalıklı kimlik bilgilerinin açıklığını sınırla Ayrıcalıklı kimlik bilgilerinin ne zaman, nerede ve nasıl kullanılabileceğini en aza indirin. |
Strateji ve İdare Erişim ve Kimlikler Güvenlik Mimarisi |
Ayrıcalıklı erişim oluşturan rollerin, eylemlerin ve sistemlerin belgelenmiş listesi. Yetki yükseltmeye ne zaman izin verildiği, ne kadar süreyle verildiği ve hangi onayın gerektiği konusunda açık kurallar. Tam zamanında erişimin uygulanmasını destekler ve kalıcı ayrıcalıkları ortadan kaldırır. |
|
Ayrıcalıklı erişim yollarını izole etme ve izleme Güçlü kimlik doğrulaması ve cihaz güveni uygulama. Anormal davranışları sürekli olarak izleyin. Yüksek etki nedeniyle algılama ve yanıta öncelik verme. |
Güvenlik Mimarisi Erişim ve Kimlikler SecOps |
İzin verilen, kısıtlanan veya ortadan kaldırılan açıkça tanımlanmış ayrıcalıklı erişim yolları. Örneğin, yalnızca PAW’lar, onaylı portallar ve API’ler, eski protokol yok, kişisel cihazlardan doğrudan yönetici erişimi yok. Koşullu Erişim, arabirim güvenliği ve izleme için sağlam bir izin verme/engelleme modeli sağlar. |
|
Ayrıcalıklı saldırı yüzeyini azaltma Ayrıcalıklı kimlik, rol ve atama sayısını en aza indirerek saldırı yüzeyini azaltın. |
Strateji, Tümleştirme, İdare Erişim ve Kimlikler Güvenlik Duruşu Yönetimi. |
Tam ayrıcalıklı rol rasyonalizasyonu. Hangi rollerin gerekli olduğu veya kaldırılabildiği ve ayakta kalma ayrıcalığını önlemek için hangi iş akışlarının değişmesi gerektiği. Kalıcı atamadan hangi rollerin kaldırılacağına ilişkin sözleşme. Başarı ölçümleri. Örneğin, kalıcı ayrıcalıklı rollerin azaltılması. |
|
Üretkenlik ve yönetim iş akışlarını ayırma Yaygın saldırı vektörleri ile kuruluş genelinde denetim arasındaki köprüyü ortadan kaldırmak için iş akışlarını ayırın. |
Güvenlik Mimarisi Infrastructure Erişim ve Kimlikler. |
Ayrıcalıklı çalışmanın nerede gerçekleşebileceğine ilişkin kararlar. Ayrılmış yönetici hesaplarının ve cihazlarının gerekli olup olmadığı. Standart üretkenlik ortamlarında hangi etkinliklerin yasaklandığı. Hangi iş akışlarının ayrıcalıklı cihazlara veya oturumlara taşınması gerekir. Bu kararlar, belirsizlik olmadan cihaz dağıtımı ve erişim zorlama aşamalarını etkinleştirir. |
Planlama için güvenlik düzeylerini kullanma
Güvenlik düzeyleri, yalnızca hesapları veya cihazları değil ayrıcalıklı erişim yollarını sınıflandırmak için planlama sırasında kullanılır. Planlama amacıyla erişim yollarını gözden geçirirken üç güvenlik düzeyi kullanırız. Bu uygulama kılavuzunun yalnızca ayrıcalıklı düzeye odaklandığını unutmayın.
| Güvenlik düzeyi | Purpose |
|---|---|
| Şirket | Tüm kullanıcılar ve cihazlar için temel güvenlik. |
| Uzmanlaşmış | Yükseltilmiş, yüksek iş etkisine sahip roller için daha fazla koruma. |
| Ayrıcalıklı | Kontrol düzlemi ve kiracı genelindeki yönetim için maksimum koruma. |
Ayrıcalıklı erişimi planlarken, şu soruyu yanıtlamak için güvenlik düzeylerini kullanın:
- Hangi erişim yolları en güçlü korumaları gerektirir?
- Modernleştirme sırasında hangi yollar geçici olarak daha düşük bir düzeyde kalabilir?
- Ayrıcalıklı çalışmalara izin verilmeden önce korumaların nerede zorunlu olması gerekir?
Önemli planlama ilkeleri:
- Güvenlik düzeyleri yalnızca kimliklere değil erişim yollarına uygulanır.
- İş ayrıcalıklı bir erişim yolu üzerinden gerçekleştiriliyorsa, bu yol gerekli güvenlik düzeyini karşılamalıdır.
- Güvenlik düzeyleri kılavuzu:
- Uygulama kalıpları
- Yapılandırma profilleri
- Koşullu Erişim kararları
- Uygulama sıralaması
Bu, ayrıcalıklı erişimi artımlı olarak modernleştirmenize olanak tanırken, önce en yüksek riskli yolların ele alınmasını sağlar.
Riski azaltmak için sıralı uygulama
Ayrıcalıklı erişim modernizasyonu, işlemleri kesintiye uğratmadan riski azaltmalıdır. Planlama, uygulamanın izlediği sıralamayı oluşturur.
Tipik bir planlama dizisi:
-
Yeni ayrıcalıklı risk oluşturmayı durdurun. Planlama ve denetim devam ederken ayrıcalıklı etkinliğin güvenli olmayan yollarda devam etmesini önleyin.
- Yeni kalıcı ayrıcalıklı rol atamaları yok.
- Yeni güvenli olmayan erişim yolu yok.
- Önce en yüksek etkiye sahip erişim yollarının güvenliğini sağlayın: Kimlik denetim düzlemi (kiracı ve abonelik yöneticileri) ile başlayın. Temel altyapı ve üretim sistemlerine geçin.
- Güvenli temeller oluşturun. Ayrıcalıklı kimlikleri tanımlayın, ardından ayrılmış ayrıcalıklı cihazları ve onaylı erişim yollarını yapılandırın.
- Kapsamı artımlı olarak genişletin. İzleme ve doğrulama olgunlaştıkça yaptırımı artırın. Algılamayı kullanarak yeni veya onaylanmamış yolları belirleyin ve düzeltin.
Bu sıralama, kontroller sıkılaştırılmadan önce korumalar mevcut olduğundan, denetimlerin, uygulamanın ve düzeltmenin geçerli olmasını sağlar.
Planlamayı uygulamayla ilişkilendirin
Gerçekleştirme, tasarım ve planlama sırasında alınan kararları hayata geçirir.
| Planlama çıktısı | Uygulama zorlaması |
|---|---|
| Ayrıcalıklı rol tanımları ve kapsamı | 1. Aşama: Kimlik kontrol düzleminin güvenliğini sağlayın. Güvenli rol atamaları, PIM yapılandırması, onay iş akışları ve denetim. |
| Ayrıcalıklı cihaz gereksinimleri | 2. Aşama: Cihazların güvenliğini sağlama. Sağlamlaştırılmış ayrıcalıklı erişim iş istasyonlarının (PAW) dağıtımını ve kullanımını zorunlu kılma |
| Onaylanan ve engellenen erişim yolları | 3. Aşama: İlkeyi yapılandırın. Koşullu Erişimi, arabirim kısıtlamalarını, protokol engellemeyi yapılandırın. |
| Kabul edilen dengeler ve özel durumlar | 1. Aşama: Kimlik denetim düzleminin güvenliğini sağlama ve 3. Aşama: İlkeyi yapılandırma. Günlükleme, inceleme iş akışları, acil erişim hesapları. |
| Ayrıcalıklı erişim için izleme | 4. Aşama: İzleme ve tehdit algılama. Algılama kuralları, uyarı öncelik belirlemesi, onaylanan yolların doğrulanması. |
Her aşamayı uygulamadan önce ilgili planlama eylemlerini tamamladığınızdan emin olun.
Sonraki Adımlar
1. Aşama ile uygulamaya başlayın - Kimlik denetim düzlemini yapılandırın. Bu aşama ayrıcalıklı kimliklerin, rol atamalarının ve yetkili yükseltme yollarının tanımlandığı ve korunduğu temeli oluşturur.
Sonraki tüm cihaz, ilke ve izleme denetimleri bu aşamaya bağlıdır.