Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo faz parte do guia de soluções Implementar uma arquitetura de acesso privilegiado .
O acesso privilegiado representa um risco crítico de segurança na maioria das organizações porque permite o controlo direto sobre sistemas de identidade, planos de controlo cloud e ativos críticos para o negócio.
Saiba como uma arquitetura de acesso privilegiado seguro desempenha um papel crítico no seu cenário de negócio – Proteja ativos empresariais críticos – reduzindo este risco e reforçando o controlo sobre sistemas sensíveis.
O planeamento é o primeiro passo. Este artigo destina-se a implementadores e arquitetos de segurança que traduzem a arquitetura de acesso privilegiado num plano prático de implementação (âmbito, pré-requisitos, sequenciação e responsabilidade).
Durante o planeamento, identifica quais os caminhos de acesso privilegiados que mais importam, decide quais os caminhos permitidos e quais bloqueados, e mapeia essas decisões diretamente para a implementação faseada a seguir.
Antes de começar
- O nosso modelo de adoção define um conjunto de cenários empresariais críticos dirigidos a líderes empresariais e decisores. Saiba mais sobre os resultados empresariais que garantem e governam o acesso privilegiado a sistemas críticos.
- Utilizamos disciplinas de segurança para ajudar as equipas a alcançar resultados de segurança em todo o negócio. Aprenda sobre as disciplinas associadas à arquitetura de acesso privilegiado
Resultados do planeamento
Deverá concluir o planeamento com:
- Uma compreensão partilhada de quais os caminhos de acesso privilegiados que mais importam no seu ambiente.
- Acordo sobre quais os caminhos de acesso permitidos, restringidos ou eliminados.
- Uma sequência de implementação definida para reduzir riscos sem interromper operações.
- Propriedade clara para aprovar, alterar e rever decisões de acesso privilegiado.
- Mapeamento direto das decisões de planeamento para as fases de implementação.
Objetivos de implementação
O planeamento da implementação traduz os objetivos de design em decisões exequíveis.
Múltiplas disciplinas e tecnologias de segurança determinam os resultados desta solução. A tabela abaixo mostra como os objetivos de planeamento se relacionam com as disciplinas e a implementação a jusante.
| Objetivo de implementação | Disciplinas envolvidas | Resultado do planeamento |
|---|---|---|
|
Limitar a exposição de credenciais privilegiadas Minimize quando, onde e como as credenciais privilegiadas podem ser usadas. |
Estratégia e Governação Acesso e Identidades Arquitetura de Segurança |
Uma lista documentada de funções, ações e sistemas que constituem acesso privilegiado. Regras claras sobre quando a elevação é permitida, quanto tempo e com que aprovação. Contribui para aplicar o acesso atempado e elimina privilégios permanentes. |
|
Isolar e monitorizar caminhos de acesso por privilégios Imponha autenticação forte e confiança no dispositivo. Monitorize continuamente comportamentos anómalos. Prioriza a deteção e resposta devido ao alto impacto. |
Arquitetura de Segurança Acesso e Identidades SecOps |
Caminhos de acesso privilegiados explicitamente definidos que são permitidos, restritos ou eliminados. Por exemplo, apenas PAWs, portais e APIs aprovados, sem protocolos legados, sem acesso direto de administrador a partir de dispositivos pessoais. Fornece um modelo sólido de permitir/bloquear para Acesso Condicional, segurança de interface e monitorização. |
|
Reduzir a superfície de ataque privilegiada Reduza a superfície de ataque minimizando o número de identidades, funções e atribuições privilegiadas. |
Estratégia, Integração, Governação Acesso e Identidades Gestão da Postura de Segurança. |
Racionalização completa de papéis privilegiados. Quais funções são obrigatórias ou podem ser removidas, e quais os fluxos de trabalho que têm de mudar para evitar o privilégio permanente. Acordo sobre quais funções remover da atribuição permanente. Medições de sucesso. Por exemplo, a redução de funções privilegiadas permanentes. |
|
Separe os fluxos de trabalho de produtividade dos administrativos Fluxos de trabalho separados para eliminar a ponte entre vetores de ataque comuns e controlo a nível empresarial. |
Arquitetura de Segurança Infraestrutura Acesso e Identidades. |
Decisões sobre onde pode ocorrer trabalho privilegiado. Se são necessárias contas e dispositivos de administrador dedicados. Quais atividades são proibidas em ambientes de produtividade padrão. Quais fluxos de trabalho devem ser transferidos para dispositivos ou sessões privilegiadas. Estas decisões permitem a implementação do dispositivo e as fases de aplicação do acesso sem ambiguidades. |
Use os níveis de segurança para o planeamento
Os níveis de segurança são usados durante o planeamento para classificar caminhos de acesso privilegiados, não apenas contas ou dispositivos. Para fins de planeamento, utilizamos três níveis de segurança ao rever caminhos de acesso. Note que este guia de implementação foca-se apenas no nível privilegiado.
| Nível de segurança | Objetivo |
|---|---|
| Empresa | Segurança básica para todos os utilizadores e dispositivos. |
| Especializada | Maior proteção para cargos elevados e de grande impacto empresarial. |
| Privilegiados | Proteção máxima para o plano de controlo e para a administração ao nível de todo o locatário. |
Ao planear o acesso privilegiado, use os níveis de segurança para responder:
- Quais os caminhos de acesso requerem as proteções mais fortes?
- Que caminhos podem permanecer temporariamente a um nível inferior durante a modernização?
- Onde é que as proteções devem ser obrigatórias antes de qualquer trabalho privilegiado ser permitido?
Princípios-chave de planeamento:
- Os níveis de segurança aplicam-se aos caminhos de acesso, não apenas às identidades.
- Se o trabalho for realizado através de um caminho de acesso privilegiado, esse caminho deve cumprir o nível de segurança exigido.
- Guia de níveis de segurança:
- Padrões de fiscalização
- Perfis de configuração
- Decisões de Acesso Condicional
- Sequenciação de implementação
Isto permite-lhe modernizar o acesso privilegiado de forma incremental, garantindo que os caminhos de maior risco sejam abordados primeiro.
Implementação de sequências para reduzir riscos
A modernização do acesso privilegiado deve reduzir o risco sem perturbar as operações. O planeamento estabelece a sequência que a implementação segue.
Uma sequência típica de planeamento:
-
Parem de criar novos riscos privilegiados. Evitar que atividades privilegiadas continuem por caminhos inseguros enquanto o planeamento e a auditoria estão em curso.
- Sem novas atribuições de cargos privilegiados permanentes.
- Sem novos caminhos de acesso inseguros.
- Assegure primeiro os caminhos de acesso de maior impacto: Comece pelo plano de controlo de identidade (administradores de inquilinos e subscrições). Avançar para a infraestrutura central e os sistemas de produção.
- Estabeleça fundações seguras. Defina identidades privilegiadas, depois configure dispositivos privilegiados dedicados e aprove percursos de acesso autorizados.
- Expandir a cobertura de forma incremental. Reforçar a fiscalização à medida que a monitorização e a validação amadurecem. Use a deteção para identificar e remediar caminhos novos ou não aprovados.
Esta sequenciação garante que as auditorias, fiscalização e remediação são válidas porque existem proteções antes de os controlos serem apertados.
Planeamento do mapa até à implementação
A implementação reforça as decisões tomadas durante o design e planeamento.
| Resultado do planeamento | Imposição da implementação |
|---|---|
| Definições e âmbito de papéis privilegiados | Fase 1: Assegurar o plano de controlo de identidade. Segurança das atribuições de funções, configuração do PIM, fluxos de trabalho de aprovação e auditoria. |
| Requisitos de dispositivos privilegiados | Fase 2: Dispositivos seguros. Implementar e impor o uso de estações de trabalho de acesso privilegiado reforçado (PAWs) |
| Caminhos de acesso aprovados e bloqueados | Fase 3: Configurar a política. Configurar o Acesso Condicional, restrições de interface, bloqueio de protocolos. |
| Compromissos e exceções aceites | Fase 1: Proteger o plano de controlo de identidade e Fase 3: Configurar a política. Registos, fluxos de trabalho de revisão, contas de emergência. |
| Monitorização de acessos privilegiados | Fase 4: Monitorização e deteção de ameaças. Regras de deteção, priorização de alertas, validação de caminhos aprovados. |
Antes de implementar cada fase, certifique-se de que completou as ações de planeamento correspondentes.
Passos seguintes
Iniciar a implementação com a Fase 1 - Configurar o plano de controlo de identidade . Esta fase estabelece a base onde identidades privilegiadas, atribuições de funções e caminhos de elevação autorizados são definidos e protegidos.
Todos os controlos subsequentes de dispositivos, políticas e monitorização dependem desta fase.