本文介绍用于实现特权访问体系结构的端到端解决方案。 它面向安全和标识规划器和实现者。
在Microsoft安全采用模型中:
- 实现解决方案提供规范性的部署指南。
- 解决方案符合定义高优先级安全结果 的业务方案 。
在开始实施之前,请了解 安全特权访问体系结构 在业务方案中如何发挥关键作用-通过降低此风险并加强对敏感系统的控制,从而保护 关键业务资产 。
解决方案目标
特权访问是任何组织中影响最严重的风险之一,因为它能够直接控制身份系统、云控制平面和关键业务资源。
本指南通过将特权访问视为一条端到端的访问路径(涵盖身份、设备、接口、目标资源和监控),定义了特权访问的零信任方法。 此模型不隔离保护各个组件,而是确保控制并持续验证整个访问路径。
目标是通过以下方式降低风险:
- 限制谁可以执行特权操作。
- 控制这些操作的发生位置和方式。
- 持续监控和响应特权活动。
使用Microsoft Entra ID、Microsoft Intune和Microsoft Defender for Endpoint实现此体系结构。
分阶段部署解决方案。 首先建立安全基础(标识控制平面和受信任的设备),强制实施策略控制,然后设置监视和响应操作。
特权访问风险
特权身份(人为和非人为)控制高价值资产和安全实施机制。 当遭到入侵时,产生的业务影响将十分严重。 使用特权访问攻击者可以:
- 外泄、加密或销毁数据。
- 关闭或中断业务运营。
- 禁用检测和强制控制。
- 颠覆标识系统并创建持久访问。
常见攻击
攻击遵循两种常见模式:
- 有针对性的数据盗窃:网络攻击者查找和渗透敏感的知识产权、财务数据或战略计划。 被盗数据被出售、泄露或用于竞争优势。
- 人为操作的勒索软件:网络攻击者利用特权访问来加密系统、停止操作并敲诈组织-在极端的时间压力下强制执行决策。
为什么特权访问有风险
出于多种原因,特权访问风险是唯一且系统性的。
| 风险 | 详细信息 |
|---|---|
| 在控制平面中操作 | 特权帐户在控制平面中运行,而不仅仅是工作负荷平面。 特权标识可以修改标识、更改安全配置、禁用或绕过强制控制,以及篡改业务关键型数据。 攻击者获得特权访问权限后,可能会破坏旨在检测和阻止它们的机制。 这使得传统的遏制策略效率要低得多,并且允许妥协持续未检测到。 |
| 设计对业务产生高影响 | 特权访问可用于管理关键系统,因此滥用该访问将立即产生严重后果。 使用特权访问,攻击者可以: - 外泄或销毁敏感数据 - 关闭或操纵业务运营 - 加密整个环境进行敲诈勒索(人为操作的勒索软件) - 以可能导致现实世界伤害的方式颠覆系统。 这些结果不是理论上的。 这种现象在各行业中屡见不鲜,这也使得特权访问成为攻击者造成最大影响的最可靠方式之一。 |
| 声音大且扰人 | 与秘密数据盗窃不同,许多特权访问攻击(尤其是人为操作的勒索软件)故意造成破坏。 它们会导致运营停摆、面向客户的服务中断,并迫使管理层在极大的时间压力下做出决策。 由于所有组织在财务上和运营上都出于快速恢复服务的积极性,因此无论行业或规模如何,这些攻击都普遍适用且非常有效。 |
| 风险增长,不萎缩 | 攻击者十分灵活,且不受特定技术限制。 它们不是针对单个产品或控件,而是利用目前最弱的特权访问路径。 特权访问攻击面广泛且相互关联,跨越: - 帐户和标识系统 - 工作站和设备 - 中介系统,如远程访问工具和 PAM/PIM 解决方案。 - 管理接口、门户、API 和提升路径。 这些要素中任何一个一旦失陷,都可能成为获得企业整体控制权的路径,而且随着环境不断演变,新的访问路径也会持续出现。 |
| 单解决方案方法失败 | 仅部署一类控制,例如 PAM/PIM、网络限制或检测工具,不足以降低风险。 这些控件解决了问题的各个部分,而不是系统。 如果特权访问不受端到端保护,攻击者只需围绕隔离防御进行路由,并利用访问路径中的未受保护的链接。 这就是为什么必须将特权访问视为一个完整的系统(从标识和设备信任,通过提升和执行,到监视和响应),而不是作为独立工具的集合。 |
体系结构原则和结果
Microsoft建议的方法是构建一个闭循环特权访问系统,该系统:
- 立即降低风险
- 支持增量、可持续进度
- 避免不必要的复杂性
- 实现清晰的结果和成功标准
架构成果
根据这些原则实施策略会产生许多明确的结果和成功标准。
| 结果 | 建筑 | 成功标准 |
|---|---|---|
| 特权访问以端到端系统的方式实施 | 特权风险在整个访问路径中都受到控制:身份、角色分配、设备、执行环境、权限提升工作流、中介系统、管理接口、监控和响应。 特权工作只能通过具有零信任验证的显式授权提升路径(标识保证、设备信任、会话上下文)进行。 | 每个会话都会在允许访问之前验证用户帐户和设备是否在足够级别受信任。 度量示例:% 特权登录满足 MFA 和所需设备信任等要求, 通过审批提权工作流执行的特权操作与通过长期权限执行的特权操作的百分比占比。 |
| 保护和监视标识系统 | 保护托管或授予特权的标识系统(目录、标识管理、管理员帐户等)。 治理、策略强制、日志记录和分析是集中的,以减少偏移并提高可见性。 |
这些系统中的每一个都按照与其中托管账户的潜在业务影响相适应的保护级别进行保护。 度量示例:纳入定期访问评审范围的特权身份的百分比 定期特权访问权限审查的完成率(由谁审查、由谁撤销) |
| 缓解横向移动 | 将特权工作与高暴露环境隔离。 保护本地管理员凭据、服务账户机密信息和权限提升机制,以确保单个设备、账户或凭据遭到入侵时,不会因此获得更大范围的管理控制权。 | 破坏单个设备不会立即导致控制环境中的许多或所有其他设备。 度量示例:仅来自管理员工作站的特权操作所占百分比。 |
| 快速响应威胁 | 特权活动是检测和响应的优先级信号。 设计监视和事件响应,以中断多阶段攻击,并限制针对特权访问的攻击者停留时间。 | 您的事件响应能力可以在多阶段攻击触及特权访问之前,可靠地将其阻止,并且能够在特权滥用发生时迅速加以遏制。 指标示例:特权事件的平均修复时间 (MTTR) 已缩短至几分钟,而不是几小时或几天。 快速识别和关闭意外或新的特权访问路径。 |
每月跟踪这些措施的进度,并按季度审查作为特权访问治理的一部分。
了解特权访问路径
特权访问路径是构成从标识到执行的完整链的访问路径,如下图所示。
如果链中的任何链接都薄弱,则整个路径都易受攻击。
| Path | 组件 | 风险 |
|---|---|---|
|
用户访问路径 用户访问路径支持标准生产力和业务运营,例如电子邮件、协作、Web 浏览和业务线应用程序。 |
用户访问路径通常涉及: - 标识:标准用户帐户 - 设备:常规用途工作站 - 中介:可选中介,例如 VPN 或远程访问。 - 接口:与企业应用程序和服务交互。 |
虽然用户访问路径泄露可能会导致损害,但与特权访问相比,潜在影响有限。 |
|
特权访问路径 特权访问路径管理标识、基础结构、安全控制以及业务关键型系统。 |
特权访问路径通常包括: - 身份:执行特权操作的账户。 - 设备:特权会话使用的终结点工作站或设备。 - 中介:任何系统或服务代理或托管特权会话,例如远程访问或管理工具。 - 界面:执行特权控制的管理界面。 例如,门户、API、命令行工具或自动化。 |
尽管技术组件看起来类似于用户访问路径,但遭到入侵的潜在损害明显更高。 因此,特权访问路径必须是: - 数量更少 - 显式定义 - 与用户访问路径隔离 - 使用最强大的可用控件进行保护。 |
示例路径
在典型的特权访问路径中:
- 使用专用管理员身份登录。
- 此次登录来自经过安全加固的特权访问工作站(PAW)。
- 登录操作会通过特权标识管理(PIM)激活角色。
- 登录使用特定的管理界面,例如门户、API 或 CLI。
- 已登录身份执行特权操作。
解决方案组件
特权访问解决方案建立在三个紧密耦合的要素之上,以确保 特权操作由正确的身份通过受信任的设备并在强制实施的条件下执行。
特权标识
- 允许执行特权操作的专用管理员帐户。
- 通过强身份验证保护身份,并在可能的情况下采用无密码身份验证。
- 受限的特权角色分配。
- 经批准的即时特权提升。
特权访问工作站 (PAW)
- 强化的限制性设备。
- 减少设备的攻击面。
- 防范凭据威胁和恶意软件。
- 隔离于高风险用户活动之外。
策略强制实施和监视
- 条件访问验证标识、设备和会话上下文。
- 已明确定义特权提升路径。
- 所有特权活动都会被记录、监控,并可供审查。
标识系统和提升路径
标识系统和提升路径是每个特权访问路径的基础组件。 它们定义创建特权标识的位置、如何分配管理角色,以及用户如何从非特权状态过渡到执行特权操作。
此实现指南将标识系统和提升路径视为特权攻击面和标识控制平面的一部分。
| Area | 详细信息 | 风险缓解 |
|---|---|---|
| 标识系统 | 其中定义了和管理特权标识、角色和管理权限。 此定义包括目录、角色分配、管理组和租户级配置。 |
特权身份在控制平面中运作。 如果标识系统遭到入侵,攻击者可以创建、修改或保留特权访问,从而绕过设备控制、访问条件和监视。 保护身份控制平面是实施中的最高优先级。 |
| 授权的提升路径 | 用户如何从非特权状态转换以执行特权操作。 例如,限时角色激活、审批流程和范围受限的管理会话。 |
确保提升需要强身份验证,并且特权提升是有意的、临时的、受监视的,并且仅发生在已批准的设备和接口中。 通过经批准的工作流程、设备和接口强制进行提权,可防止常设权限,并减少滥用、横向移动和隐蔽持久化。 |
解决方案阶段
使用分阶段采用模型实现特权访问体系结构,该模型符合Microsoft最佳做法。
- 使用 结构化采用模型启动采用。 采用指南可帮助业务主管确定安全标识的关键业务级别结果,并了解访问和标识规则,包括推动标识计划(如特权访问)所需的团队和工作。
- 规划解决方案。 规划可帮助你确定设计目标、分配安全级别以确定特权访问策略和实施计划。
- 按照下表中汇总的实现阶段进行操作。 每个阶段都有一个特定的目标,并且通过使用相应文章中的具体配置步骤来实现。
实现阶段
| 阶段 | 缓解风险 | 应用零信任原则 |
|---|---|---|
| 阶段 1。 保护身份控制平面 创造: - 专用管理员标识。 用于角色分配的安全组。 - 如果还没有,请设置应急“破玻璃”账户。 |
降低凭据被盗、特权滥用和未经授权的提升的风险。 |
显式验证 使用强身份验证。 使用最低权限 限制管理员角色/启用实时特权。 假设存在违规。 使用破玻璃帐户进行恢复。 |
| 阶段 2。 部署和强化特权访问设备 预配专用特权访问工作站(PAW)。 实施操作系统强化和安全基线。 强制修补、终结点保护和磁盘加密。 最大程度地减少应用和服务安装。 |
降低凭据泄露和设备攻击的风险。 |
显式验证 在授予访问权限之前,请确保设备已注册、受信任且合规。 假设违规 通过强化设备并隔离管理凭据,最大程度地减少潜在的泄露路径。 使用最小权限访问。 限制管理员可以在这些专用设备上执行的操作。 |
| 阶段 3。 强制实施特权访问策略 为特权角色配置条件访问。 要求合规设备和强身份验证。 强制实施上下文感知访问条件。 限制对已批准的接口的访问。 |
防止未经授权的访问和凭据重播。 |
假设存在违规。 如果帐户被盗,请限制授予访问权限的位置和方式,防止滥用凭据。 使用最小特权。 实施基于角色和上下文感知的权限控制。 |
| 阶段 4. 监视并持续验证 调查事件并快速修正。 持续重新评估信任和覆盖范围。 |
检测、调查并应对特权威胁。 监控特权角色的激活情况和会话。 检测异常和可疑模式。 降低未被发现的系统失陷以及攻击者长期潜伏所造成的影响。 |
假设存在违规。持续监视攻击者活动和异常行为。 显式验证。持续评估信任并调查可疑访问模式。 |
后续步骤
现在,开始 规划实施策略。