企業存取模型
本檔描述整體企業存取模型,其中包含特殊許可權存取策略如何融入的內容。 如需如何採用特殊許可權存取策略的藍圖,請參閱快速現代化計劃(RaMP)。 如需部署此作業的實作指引,請參閱 特殊許可權存取部署
特殊權限存取策略是整體企業存取控制策略的一部分。 此企業存取模型顯示特殊權限存取如何融入整體企業存取模型。
組織必須保護的商業價值主要存放區位於資料/工作負載平面:
應用程式和資料通常會在應用程式和工作負載中儲存組織的下列大量資訊:
- 商務流程
- 智慧財產權
企業 IT 組織會管理並支援其裝載的工作負載和基礎結構,無論是 Azure 上的內部部署,或協力廠商雲端提供者,都建立管理平面。 在整個企業中為這些系統提供一致的存取控制,需要以集中式企業身分識別系統為基礎的控制平面,並通常以舊版系統的網路存取控制加以補充,例如操作技術 (OT) 裝置。
每一個平面都可以透過其功能來控制資料和工作負載,為攻擊者建立了一條具吸引力的濫用途徑 (如果攻擊者可以控制任一平面)。
若要讓這些系統創造商業價值,必須讓內部使用者、合作夥伴和客戶使用其工作站或裝置 (經常使用遠端存取解決方案) 加以存取,從而建立使用者存取路徑。 它們也必須透過應用程式開發介面 (API),頻繁地以程式設計方式提供,以促進程式自動化,從而建立應用程式存取路徑。
最後,這些系統必須由組織中的 IT 人員、開發人員或其他人員管理和維護,從而建立特殊權限存取路徑。 由於它們對於組織中業務關鍵資產所提供的高階控制,這些路徑必須嚴格地受到保護,以免遭到入侵。
在組織中提供一致的存取控制,以提高生產力並降低風險,您必須
- 對所有存取強制執行零信任原則
- 假設其他元件出現缺口
- 明確驗證信任
- 最低權限存取權
- 跨內部和外部存取的普遍安全性和原則強制執行
- 以確保一致的原則套用
- 包括使用者、系統管理員、API、服務帳戶等所有存取方法。
- 減輕未經授權的權限提升
- 強制執行階層 – 防止較低平面控制較高平面 (透過攻擊或濫用合法程式)
- 控制平面
- 管理平面
- 資料/工作負載平面
- 持續稽核導致意外升級的設定弱點
- 監視並回應可能代表潛在攻擊的異常狀況
- 強制執行階層 – 防止較低平面控制較高平面 (透過攻擊或濫用合法程式)
舊版 AD 階層模型的演進
企業存取模型取代了著重於遏止內部部署 Windows Server Active Directory 環境中未經授權之權限升級的舊版階層模型。
企業存取模型包含這些元素,以及跨越內部部署、多重雲端、內部或外部使用者存取等新式企業的完整存取管理需求。
第 0 層範圍擴充
第 0 層會擴充為控制平面,並解決存取控制的所有層面,包括網路功能,其中它是唯一/最佳的存取控制選項 (例如舊版 OT 選項)
第 1 層分割
為了提高清晰性和可操作性,第 1 層現在分割為下列區域:
- 管理平面 – 適用於全企業 IT 管理功能
- 資料/工作負載平面 – 適用於個別工作負載管理,有時由 IT 人員執行,有時由業務單位執行
此分割著重於保護業務關鍵系統和系統管理角色,這些角色具有高內部商業價值,但技術控制有限。 此外,此分割更適合開發人員和 DevOps 模型,而不是過於關注傳統基礎結構角色。
第 2 層分割
為了確保應用程式存取和各種合作夥伴和客戶模型的涵蓋範圍,第 2 層已分割為下列區域:
- 使用者存取 – 包括所有 B2B、B2C 和公用存取案例
- 應用程式存取 – 容納 API 存取路徑和產生的受攻擊面