本文是 实现特权访问体系结构解决方案指南的一 部分。
特权访问在大多数组织中都存在严重安全风险,因为它能够直接控制标识系统、云控制平面和业务关键型资产。
了解 安全特权访问体系结构 在业务场景中如何发挥关键作用- 保护关键业务资产 -通过降低此风险和加强对敏感系统的控制。
规划是第一步。 本文面向将特权访问体系结构转换为实际推出计划(范围、先决条件、排序和所有权)的实现者和安全架构师。
在规划过程中,确定哪些特权访问路径最重要,决定允许哪些路径被阻止,并将这些决策直接映射到分阶段实现以遵循。
在您开始之前
- 我们的采用模型定义了一组针对业务领导者和决策者的关键业务方案。 详细了解保护 和管理对关键系统的特权访问的业务成果。
- 我们使用 安全规则 来帮助团队在整个业务中实现安全成果。 了解 与特权访问体系结构关联的规则
规划结果
您应完成以下规划:
- 对您的环境中哪些特权访问路径最为关键的共同理解。
- 允许、限制或消除访问路径的协议。
- 一个定义的实现序列,用于在不中断操作的情况下降低风险。
- 明确负责批准、更改和评审特权访问决策的职责归属。
- 从规划决策到实施阶段的直接映射。
实现目标
实施规划将设计目标转化为可强制执行的决策。
多个安全规则和技术可推动此解决方案的结果。 下表显示了规划目标与规则和下游实现的关系。
| 实现目标 | 涉及的学科 | 规划结果 |
|---|---|---|
|
限制特权凭据的公开 最大程度地减少何时、何处以及如何使用特权凭据。 |
策略和管理 访问和标识 安全体系结构 |
包含构成特权访问权限的角色、操作和系统的文档列表。 关于何时允许权限提升、可持续多长时间以及需要何种批准的明确规则。 帮助强制实施实时访问并消除长期特权。 |
|
隔离和监视特权访问路径 强制实施强身份验证和设备信任。 持续监视异常行为。 由于影响很大,因此确定检测和响应的优先级。 |
安全体系结构 访问和标识 SecOps |
显式定义的特权访问路径,允许、限制或消除。 例如,仅限使用 PAW(特权访问工作站),仅使用经批准的门户和 API,不允许使用旧版协议,并且禁止从个人设备直接进行管理员访问。 为条件访问、接口安全和监控提供可靠的允许/阻止模型。 |
|
减少特权攻击面 通过最大程度地减少特权标识、角色和分配的数量,减少攻击面。 |
策略、集成、治理 访问与身份 安全状况管理。 |
完成特权角色合理化。 需要或可以删除哪些角色,以及哪些工作流必须更改以避免长期特权。 就从永久分配中移除哪些角色达成一致。 成功衡量指标。 例如,减少长期存在的特权角色。 |
|
分离生产力和管理工作流 分离工作流,消除常见攻击途径与企业范围的控制之间的桥梁。 |
安全体系结构 基础结构 访问与身份。 |
有关特权工作的发生位置的决定。 是否需要专用管理员帐户和设备。 哪些活动被禁止在标准生产力环境中进行。 哪些工作流程必须转移到特权设备或会话中进行。 这些决策可确保设备部署和访问控制实施阶段清晰明确,不存在歧义。 |
使用安全级别进行规划
在计划期间使用安全级别对特权访问路径进行分类,而不仅仅是帐户或设备。 出于规划目的,我们在查看访问路径时使用三个安全级别。 请注意,此实现指南仅侧重于特权级别。
| 安全级别 | Purpose |
|---|---|
| 企业 | 面向所有用户和设备的基线安全 |
| 专业 | 为高权限、高业务影响角色提供更强的保护。 |
| 特权 | 为控制平面和整个租户范围内的管理提供最高级别的保护。 |
规划特权访问时,请使用安全级别来回答以下问题:
- 哪些访问路径需要最强大的保护?
- 在现代化过程中,哪些路径可以暂时保持在较低水平?
- 在哪些地方必须强制实施防护措施后,才允许进行任何特权作业?
关键规划原则:
- 安全级别适用于访问路径,而不仅仅是标识。
- 如果通过特权访问路径执行工作,该路径必须满足所需的安全级别。
- 安全级别指南:
- 执行模式
- 配置文件
- 条件访问决策
- 实施顺序
这允许你以增量方式实现特权访问的现代化,同时确保首先解决风险最高的路径。
序列实现以降低风险
特权访问现代化必须降低风险,而不会中断操作。 规划确定了实施所遵循的顺序。
典型的规划序列:
-
停止创建新的特权风险。 在规划和审计工作进行期间,防止特权操作继续通过不安全路径进行。
- 没有新的长期特权角色分配。
- 没有新的不安全访问路径。
- 首先保护影响最大的访问路径:从标识控制平面(租户和订阅管理员)开始。 转到核心基础结构和生产系统。
- 建立安全的基础。 定义的特权标识,然后配置专用特权设备以及已批准的访问路径。
- 以增量方式扩展覆盖范围。 随着监视和验证的成熟,加强强制实施。 使用检测来识别和修正新的或未批准的路径。
这种排序可确保审核、强制和修正有效,因为控制措施收紧之前存在保护。
将规划落实到实施中
实施落实了在设计和规划期间作出的决策。
| 规划结果 | 实施强制执行 |
|---|---|
| 特权角色定义和范围 | 阶段 1:保护标识控制平面。 保护角色分配、PIM 配置、审批工作流和审核。 |
| 特权设备要求 | 阶段 2:保护设备。 部署并强制使用强化的特权访问工作站(PAW) |
| 已批准和阻止的访问路径 | 阶段 3:配置策略。 配置条件访问、接口限制、协议阻止。 |
| 已接受的权衡取舍和例外 | 阶段 1:保护标识控制平面 和 阶段 3:配置策略。 记录、查看工作流、打破玻璃帐户。 |
| 特权访问监控 | 阶段 4:监视和威胁检测。 检测规则、警报优先级、已批准的路径验证。 |
在实施每个阶段之前,请确保已完成相应的规划操作。
后续步骤
从 阶段 1 开始实现 - 配置标识控制平面 。 此阶段确立了特权标识、角色分配和授权提升路径的定义和保护的基础。
所有后续设备、策略和监视控制都取决于此阶段。