Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel ist Teil des Leitfadens zur Implementierung einer Architekturlösung mit privilegiertem Zugriff .
Privilegierter Zugriff stellt in den meisten Organisationen ein kritisches Sicherheitsrisiko dar, da er die direkte Kontrolle über Identitätssysteme, Cloudsteuerungsebenen und unternehmenskritische Ressourcen ermöglicht.
Erfahren Sie, wie eine Architektur für sicheren privilegierten Zugriff eine wichtige Rolle in Ihrem Geschäftsszenario spielt – Schützen kritischer Geschäftsressourcen – indem Sie dieses Risiko verringern und die Kontrolle über sensible Systeme stärken.
Planung ist der erste Schritt. Dieser Artikel richtet sich an Implementierungs- und Sicherheitsarchitekten, die die Architektur des privilegierten Zugriffs in einen praktischen Rolloutplan übersetzen (Umfang, Voraussetzungen, Sequenzierung und Besitz).
Während der Planung bestimmen Sie, welche privilegierten Zugriffspfade am wichtigsten sind, entscheiden Sie, welche Pfade zulässig sind und welche blockiert werden, und ordnen Sie diese Entscheidungen direkt der phasenweisen Implementierung zu.
Bevor du anfängst
- Unser Einführungsmodell definiert eine Reihe kritischer Geschäftsszenarien, die auf Führungskräfte und Entscheidungsträger ausgerichtet sind. Erfahren Sie mehr über das Geschäftsergebnis , das den privilegierten Zugriff auf kritische Systeme sichert und regelt.
- Wir verwenden Sicherheitsdisziplinen , um Teams bei der Bereitstellung von Sicherheitsergebnissen im gesamten Unternehmen zu unterstützen. Erfahren Sie mehr über die Disziplinen, die der Architektur des privilegierten Zugriffs zugeordnet sind.
Planungsergebnisse
Sie sollten die Planung mit Folgendem abschließen:
- Ein gemeinsames Verständnis davon, welche Privilegierten Zugriffspfade in Ihrer Umgebung am wichtigsten sind.
- Vereinbarung darüber, welche Zugangspfade zulässig, eingeschränkt oder eliminiert werden.
- Eine definierte Implementierungssequenz zum Reduzieren des Risikos ohne Unterbrechung von Vorgängen.
- Eindeutige Verantwortlichkeiten zum Genehmigen, Ändern und Überprüfen von Entscheidungen zu privilegierten Zugriffsrechten.
- Direkte Zuordnung von Planungsentscheidungen bis hin zu Implementierungsphasen.
Umsetzungsziele
Die Implementierungsplanung übersetzt Designziele in durchsetzbare Entscheidungen.
Mehrere Sicherheitsdisziplinen und -technologien tragen maßgeblich zu den Ergebnissen dieser Lösung bei. Die folgende Tabelle zeigt, wie sich Planungsziele auf Disziplinen und nachgelagerte Implementierung beziehen.
| Implementierungsziel | Beteiligte Disziplinen | Planungsergebnis |
|---|---|---|
|
Offenlegung privilegierter Anmeldeinformationen begrenzen Minimieren Sie, wann, wo und wie privilegierte Anmeldeinformationen verwendet werden können. |
Strategie und Governance Zugriff und Identitäten Sicherheitsarchitektur |
Eine dokumentierte Liste der Rollen, Aktionen und Systeme, die privilegierten Zugriff darstellen. Klare Regeln für die Zulässige Erhöhung, wie lange und mit welcher Genehmigung. Unterstützt die Durchsetzung von Just-in-Time-Zugriff und beseitigt dauerhafte Berechtigungen. |
|
Isolieren und Überwachen von Berechtigungszugriffspfaden Starke Authentifizierung und Gerätevertrauen erzwingen. Kontinuierlich auf anomales Verhalten überwachen. Priorisieren Sie Erkennung und Reaktion aufgrund von hohen Auswirkungen. |
Sicherheitsarchitektur Zugriff und Identitäten SecOps |
Explizit definierte privilegierte Zugriffspfade, die erlaubt, eingeschränkt oder abgeschafft sind. Beispielsweise nur PAWs, genehmigte Portale und APIs, keine älteren Protokolle, kein direkter Administratorzugriff von persönlichen Geräten. Stellt ein solides Zulassungs-/Blockmodell für bedingten Zugriff, Schnittstellensicherheit und Überwachung bereit. |
|
Reduzieren der privilegierten Angriffsfläche Verringern Sie die Angriffsfläche, indem Sie die Anzahl privilegierter Identitäten, Rollen und Zuweisungen minimieren. |
Strategie, Integration, Governance Zugriff und Identitäten Management der Sicherheitslage |
Vollständige Rationalisierung privilegierter Rollen. Welche Rollen erforderlich sind oder entfernt werden können und welche Workflows geändert werden müssen, um ständige Berechtigungen zu vermeiden. Vereinbarung darüber, welche Rollen aus der dauerhaften Zuordnung entfernt werden sollen. Erfolgsmessungen. Beispiel: Reduzierung der ständigen privilegierten Rollen. |
|
Trennen von Produktivitäts- und Verwaltungsworkflows Trennen Sie Workflows, um die Brücke zwischen gemeinsamen Angriffsvektoren und unternehmensweiter Kontrolle zu beseitigen. |
Sicherheitsarchitektur Infrastructure Zugriff und Identitäten. |
Entscheidungen darüber, wo privilegierte Arbeit stattfinden kann. Gibt an, ob dedizierte Administratorkonten und -geräte erforderlich sind. Welche Aktivitäten von Standardproduktivitätsumgebungen verboten sind. Welche Workflows auf privilegierte Geräte oder Sitzungen verschoben werden müssen. Diese Entscheidungen ermöglichen die Gerätebereitstellung und Zugriffserzwingungsphase ohne Mehrdeutigkeit. |
Verwenden von Sicherheitsstufen für die Planung
Sicherheitsstufen werden bei der Planung verwendet, um privilegierte Zugriffspfade zu klassifizieren, nicht nur Konten oder Geräte. Für Planungszwecke verwenden wir beim Überprüfen von Zugriffspfaden drei Sicherheitsstufen. Beachten Sie, dass sich dieses Implementierungshandbuch nur auf die privilegierte Ebene konzentriert.
| Sicherheitsstufe | Purpose |
|---|---|
| Enterprise | Grundlegende Sicherheit für alle Benutzer und Geräte. |
| Spezialisiert | Erhöhter Schutz für privilegierte Rollen und Rollen mit hohen geschäftlichen Auswirkungen. |
| Privilegiert | Maximaler Schutz für die Steuerungsebene und mandantenweite Verwaltung. |
Verwenden Sie bei der Planung des privilegierten Zugriffs Sicherheitsstufen, um Folgendes zu beantworten:
- Welche Zugriffspfade erfordern den stärksten Schutz?
- Welche Pfade können während der Modernisierung vorübergehend auf einer niedrigeren Ebene verbleiben?
- Wo müssen Schutzmaßnahmen zwingend erforderlich sein, bevor privilegierte Arbeiten zulässig sind?
Wichtige Planungsgrundsätze:
- Sicherheitsstufen gelten für Zugriffspfade, nicht nur für Identitäten.
- Wenn Die Arbeit über einen privilegierten Zugriffspfad ausgeführt wird, muss dieser Pfad die erforderliche Sicherheitsstufe erfüllen.
- Leitfaden für Sicherheitsstufen:
- Durchsetzungsmuster
- Konfigurationsprofile
- Entscheidungen für bedingten Zugriff
- Implementierungssequenzierung
Auf diese Weise können Sie privilegierten Zugriff inkrementell modernisieren und gleichzeitig sicherstellen, dass die Pfade mit dem höchsten Risiko zuerst behoben werden.
Sequenzimplementierung zur Reduzierung des Risikos
Die Modernisierung des privilegierten Zugriffs muss das Risiko reduzieren, ohne Vorgänge zu unterbrechen. Die Planung richtet die Sequenzierung dieser Implementierung ein.
Eine typische Planungssequenz:
-
Beenden Sie das Erstellen eines neuen privilegierten Risikos. Verhindern, dass privilegierte Aktivitäten auf unsicheren Pfaden fortgesetzt werden, während die Planung und Überwachung ausgeführt werden.
- Keine neuen ständigen privilegierten Rollenzuweisungen.
- Keine neuen unsicheren Zugriffspfade.
- Sichern Sie zuerst die Zugriffspfade mit höchsten Auswirkungen: Beginnen Sie mit der Identitätssteuerungsebene (Mandanten- und Abonnementadministratoren). Fahren Sie mit den Kerninfrastrukturen und Produktionssystemen fort.
- Schaffen Sie sichere Grundlagen. Definieren Sie privilegierte Identitäten und konfigurieren Sie dann dedizierte privilegierte Geräte sowie genehmigte Zugriffswege.
- Erweitern Sie die Abdeckung inkrementell. Durchsetzung verschärfen, sobald Überwachung und Validierung ausgereift sind. Verwenden Sie die Erkennung, um neue oder nicht genehmigte Pfade zu identifizieren und zu beheben.
Durch diese Sequenzierung wird sichergestellt, dass Audits, Durchsetzung und Wartung gültig sind, da Schutzmaßnahmen vorhanden sind, bevor Kontrollen verschärft werden.
Planung der Umsetzung zuordnen
Die Implementierung erzwingt die Entscheidungen, die während des Entwurfs und der Planung erstellt wurden.
| Planungsausgabe | Implementierungserzwingung |
|---|---|
| Privilegierte Rollendefinitionen und Bereich | Phase 1: Sichern der Identitätssteuerungsebene. Sichere Rollenzuweisungen, PIM-Konfiguration, Genehmigungsworkflows und Überwachung. |
| Anforderungen für privilegierte Geräte | Phase 2: Sichern von Geräten. Bereitstellen und die Nutzung gehärteter Arbeitsstationen für privilegierten Zugriff (PAWs) durchsetzen |
| Genehmigte und blockierte Zugriffspfade | Phase 3: Konfigurieren der Richtlinie. Konfigurieren sie bedingten Zugriff, Schnittstelleneinschränkungen, Protokollblockierung. |
| Akzeptierte Trade-Offs und Ausnahmen | Phase 1: Sichern der Identitätssteuerungsebene und Phase 3: Konfigurieren der Richtlinie. Protokollierung, Überprüfen von Workflows, Break-Glass-Konten. |
| Überwachung für privilegierten Zugriff | Phase 4: Überwachung und Bedrohungserkennung. Erkennungsregeln, Warnungspriorisierung, Überprüfung genehmigter Pfade. |
Bevor Sie jede Phase implementieren, stellen Sie sicher, dass Sie die entsprechenden Planungsaktionen abgeschlossen haben.
Nächste Schritte
Beginnen Sie mit der Implementierung mit Phase 1 – Konfigurieren der Identitätssteuerungsebene . In dieser Phase wird die Grundlage eingerichtet, in der privilegierte Identitäten, Rollenzuweisungen und autorisierte Rechteerweiterungspfade definiert und geschützt werden.
Alle nachfolgenden Geräte-, Richtlinien- und Überwachungskontrollen hängen von dieser Phase ab.