本文是《 實作特權存取架構 解決方案指南》的一部分。
特權存取在大多數組織中構成關鍵的安全風險,因為它能直接控制身份系統、雲端控制平面及業務關鍵資產。
了解 安全特權存取架構 在您的商業情境中扮演關鍵角色——透過降低風險並強化對敏感系統的控制, 保護關鍵業務資產 。
規劃是第一步。 本文針對實作者與資安架構師,協助他們將特權存取架構轉化為實際的部署計畫(範圍、前置條件、順序與所有權)。
在規劃過程中,你會辨識哪些特權存取路徑最重要,決定哪些路徑被允許、哪些被封鎖,並將這些決策直接對應到分階段的實施。
開始之前
- 我們的採用模型定義了一套針對企業領導者與決策者的關鍵商業情境。 深入了解 企業在保障與治理關鍵系統特權存取方面的成果。
- 我們運用 安全專業 協助團隊在整個業務中達成安全成果。 了解 與特權存取架構相關的學科
規劃結果
你應該以以下方式完成規劃:
- 大家共同了解哪些特權存取路徑在你的環境中最為重要。
- 同意允許、限制或取消哪些存取路徑。
- 一個定義的實施順序,旨在降低風險而不破壞營運。
- 明確界定核准、變更及審查特權存取決策的權責歸屬。
- 從規劃決策直接映射到執行階段。
實施目標
實施規劃將設計目標轉化為可執行的決策。
多種安全領域與技術共同推動此解決方案的成果。 下表顯示規劃目標如何與學科及後續執行相關。
| 實施目標 | 涉及的學科 | 規劃結果 |
|---|---|---|
|
限制特權憑證的暴露 盡量減少使用特權憑證的時間、地點與方式。 |
策略與治理 存取與身份 安全性結構 |
一份文件化的清單,列出構成特權存取的角色、動作與系統。 明確規定何時允許抬高、多長以及在何種批准條件下進行。 有助於落實即時存取,並消除常設權限。 |
|
隔離並監控權限存取路徑 強制要求強式驗證與裝置信任。 持續監控異常行為。 優先偵測與應變,因為影響很大。 |
安全性結構 存取與身份 SecOps |
明確定義允許、限制或消除的特權存取路徑。 例如:僅限使用 PAW、已核准的入口網站與 API,不得使用舊版通訊協定,且不得從個人裝置直接進行管理員存取。 提供穩固的條件存取、介面安全與監控允許/阻擋模型。 |
|
減少特權攻擊面 透過減少特權身份、角色與指派數量,減少攻擊面。 |
策略、整合與治理 存取與身份 安全態勢管理。 |
完成特權角色合理化。 哪些角色是必須或可以移除的,哪些工作流程必須改變以避免常設權限。 就哪些職務應該從正式派遣中移除達成共識。 成功衡量指標。 例如,減少常設特權角色。 |
|
生產力與行政工作流程分離 分離工作流程,消除常見攻擊向量與企業整體控制之間的橋樑。 |
安全性結構 基礎結構 存取權與身份。 |
決定特權工作可進行的地點。 是否需要專用的管理員帳號和裝置。 哪些活動在標準生產力環境中被禁止? 哪些工作流程必須移至特權裝置或會話。 這些決策使裝置部署與存取執行階段能夠無歧義地進行。 |
規劃時使用安全等級
安全等級在規劃時用於分類特權存取路徑,而不僅僅是帳號或裝置。 為了規劃,我們在審查存取路徑時使用三個安全等級。 請注意,本實作指南僅聚焦於特權等級。
| 安全等級 | Purpose |
|---|---|
| 企業 | 所有使用者與裝置的基礎安全保障。 |
| 特製化 | 對高階且高商業影響力的職位提供更強的保護。 |
| 特權 | 為控制平面及整個租用戶範圍內的管理提供最高等級的防護。 |
規劃特權存取時,請使用安全等級來回答:
- 哪些存取路徑需要最強的防護?
- 在現代化期間,哪些路徑可以暫時維持在較低層級?
- 在允許任何特權工作之前,哪些地方必須強制性保護?
主要規劃原則:
- 安全等級適用於存取路徑,而不僅僅是身份。
- 若工作透過特權存取路徑執行,該路徑必須符合所需的安全等級。
- 安全等級指南:
- 執法模式
- 組態設定檔
- 條件存取決策
- 實作排序
這讓你能逐步現代化特權存取,同時確保優先處理風險最高的路徑。
序列實施以降低風險
特權存取現代化必須在不中斷營運的前提下降低風險。 規劃確立實施的順序。
典型的規劃流程:
-
停止創造新的特權風險。 在規劃與稽核進行期間,防止特權活動繼續走上不安全的路徑。
- 沒有新的固定特權角色分配。
- 沒有新的不安全存取路徑。
- 先保護影響最大的存取路徑:從身份控制平面(租戶與訂閱管理員)開始。 接著是核心基礎設施和生產系統。
- 建立安全的基礎。 定義特權身份,然後設定專用特權裝置,並核准存取路徑。
- 逐步擴大保障範圍。 隨著監控與驗證的成熟,加強執法。 利用偵測來識別並修復新的或未經核准的路徑。
這種排序確保稽核、執法與整改的有效性,因為在加強管控前已有保護措施。
地圖規劃到實施
實施則強制執行設計與規劃過程中所做出的決策。
| 規劃產出 | 實作強制執行 |
|---|---|
| 特權角色定義與範圍 | 第一階段:確保身份控制平面的安全。 安全的角色分配、PIM 設定、核准工作流程及稽核。 |
| 特權裝置需求 | 第二階段:安全裝置。 部署並強制使用加固的特權存取工作站(PAW) |
| 核准與封鎖的存取路徑 | 第三階段:設定政策。 設定條件存取、介面限制、協定阻擋。 |
| 被接受的取捨與例外 | 第一階段:保護身份控制平面,第三階段:設定政策。 日誌記錄、檢視工作流程、破碎帳戶。 |
| 監控特權存取 | 第四階段:監控與威脅偵測。 偵測規則、警示優先順序、核准路徑驗證。 |
在執行每個階段之前,請確保你已經完成了相應的規劃行動。
下一步
從第一階段開始實作 - 配置身份控制平面 。 此階段建立了基礎,在此基礎上,特權身分、角色指派及經授權的權限提升路徑被定義並受到保護。
所有後續的裝置、政策與監控控制都依賴此階段。