Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья помогает группам по безопасности и технологиям устанавливать и модернизировать дисциплину архитектуры безопасности, которая обеспечивает четкое комплексное техническое видение безопасности в организации.
Дисциплины безопасности — это группировки связанных работ по обеспечению безопасности, которые помогают организациям последовательно предоставлять результаты безопасности во всем технологическом активе. В модели внедрения безопасности дисциплины помогают обеспечить мост между бизнес-сценариями и технической реализацией, гарантируя, что инвестиции в безопасность преобразуются в реальные измеримые результаты в рамках модели внедрения безопасности.
Почему эта дисциплина?
Доступ и идентификация — это дисциплина безопасности, с которыми большинство людей взаимодействуют в первую очередь, и чаще всего. Каждый пользователь сталкивается с этим каждый раз, когда входит на устройство, получает доступ к приложению, предоставляет общий доступ к файлу, подключается удаленно или использует физические пропуска для входа в здание.
Так как управление доступом находится на пересечении безопасности и производительности, они напрямую влияют как на риск организации, так и на взаимодействие с пользователем.
Дисциплина управления доступом и идентификационными данными:
-
- Снижает риск, формируя и регулируя пути доступа к бизнес-активам, обеспечивая, чтобы нужные субъекты получали нужный уровень доступа при надлежащих условиях, и предотвращая злоупотребление доступом со стороны злоумышленников.
- Обеспечивает производительность с согласованным низкоуровневым доступом, который препятствует небезопасным обходным решениям и теневым ИТ-решениям
- Предоставляет общую стратегию , которую руководители и специалисты по вопросам безопасности могут выровнять и последовательно выполнять по всей организации.
Это стратегический приоритет, так как удостоверения являются наиболее распространенной точкой входа для атак, и поскольку компрометация привилегированного доступа значительно усиливает влияние атаки. Такие методы, как распыление паролей, фишинг и кража токенов, регулярно используются для получения первоначального доступа. Pass-the-hash, pass-the-ticket и аналогичные атаки с компрометацией учётных данных регулярно применяются для горизонтального перемещения по сети, повышения привилегий и получения доступа к ценным ресурсам.
При отсутствии эффективного подхода к управлению доступом и учетными записями организации сталкиваются с повышенным риском:
- Внешний компромисс: злоумышленники могут быстро взять на себя законные удостоверения пользователя или службы, включая привилегированные учетные записи, и использовать их для обнаружения и использования бизнес-ресурсов.
- Злоупотребление со стороны инсайдеров и неправомерное использование привилегий: злонамеренные, небрежные или скомпрометированные инсайдеры могут злоупотреблять повышенными привилегиями для доступа к конфиденциальным системам и данным.
- Снижение производительности и небезопасные обходные пути: чрезмерно ограничивающие или несогласованные средства управления доступом расстраивают пользователей и управляют внедрением теневых ИТ с более слабыми элементами управления и ограниченной видимостью, увеличением риска и радиусом взрыва.
Миссия и результаты
Эффективное направление по управлению доступом и учетными данными основано на двух взаимодополняющих стратегических целях:
- Безопасный общий доступ . Повышение базовой безопасности всех ресурсов организации путем последовательного применения минимальных гарантий безопасности для повседневного доступа.
- Безопасный привилегированный доступ — защита доступа, который может оказать существенное влияние на бизнес-ресурсы, включая высокоценные бизнес-ресурсы, ИТ-административные учетные записи, удостоверения рабочей нагрузки и артефакты, предоставляющие широкий или глубокий контроль.
Вместе эти цели гарантируют, что безопасность доступа масштабируется в соответствии с ценностью для бизнеса и уровнем риска, обеспечивая надежную защиту там, где это важнее всего, и не создавая лишних препятствий для повседневной работы.
На следующей схеме показаны две дополнительные цели:
Как применить эту дисциплину
Чтобы эффективно применять дисциплину Access и Identity, сосредоточьтесь на создании согласованного и ориентированного на идентификацию подхода к тому, как доступ управляется в организации:
-
Определите модель доступа, ориентированную на идентификационные данные и согласованную с бизнес-рисками
Определите четкий подход к тому, как пользователи, устройства, приложения и рабочие нагрузки получают доступ к ресурсам организации на основе рисков и влияния на бизнес. -
Обеспечение согласованной проверки доступа во всех средах
Применение единого подхода к проверке удостоверений, устройств и условий доступа независимо от расположения, приложения или сети. -
Стандартизация элементов управления доступом и политик в организации
Предоставьте четкие рекомендации, чтобы обеспечить согласованное применение решений по доступу и сокращение фрагментации между системами и средами. -
Выравнивание управления доступом с бизнес-сценариями и критически важными ресурсами
Уделяйте первоочередное внимание средствам контроля доступа, которые защищают наиболее ценные активы и поддерживают ключевые сценарии, такие как безопасная удаленная работа и защита критически важных систем. -
Непрерывный мониторинг и уточнение доступа на основе рисков и действий
Используйте аналитические сведения из шаблонов доступа, сигналов риска и событий безопасности для укрепления элементов управления и уменьшения воздействия с течением времени.
Управление изменением
Традиционные модели управления доступом были сосредоточены на сетевом периметре, выстраивая вокруг доверенной внутренней сети системы идентификации и VPN. Эти модели больше не соответствуют потребностям современных предприятий, работающих в облачных, SaaS, мобильных, ИИ и гибридных средах. Устаревшие подходы часто приводят к следующим результатам:
- Разрозненные решения на уровнях идентификации, сети и приложений.
- Слабая или несогласованная защита привилегированного доступа.
- Плохая интеграция с операциями безопасности и обнаружением.
- Пробелы, которые злоумышленники обычно эксплуатируют.
На следующей схеме показано это ограничение:
Современное направление в области управления доступом и цифровыми идентичностями выходит за рамки отдельных технологий. Он фокусируется на приоритетах бизнеса, интеграции и полноте во всех путях доступа, обеспечивая при этом единую последовательную стратегию доступа. Современный контроль доступа должен быть следующим:
- Безопасность: Явно проверяйте пользователей, устройства и рабочие нагрузки с помощью широкого набора сигналов. Предотвратить несанкционированное повышение привилегий и защитить привилегированный доступ.
- Согласованный и комплексный: Охватывайте все пути доступа ( человеческий и нечеловеческий) и применяйте гарантии безопасности единообразно, чтобы устранить пробелы и улучшить взаимодействие с пользователем.
- Интегрированные: Используйте централизованную политику и минимальное количество обработчиков политик для обеспечения согласованного применения элементов управления в масштабе, избегая смещения конфигурации.
- Ориентация на идентификационные данные: отдавайте приоритет средствам контроля на основе идентификационных данных, которые обеспечивают более полный контекст, чем одни лишь сетевые сигналы. Используйте сетевые элементы управления в качестве дополнительного уровня, а не границы основного доверия.
Эта схема из модели корпоративного доступа иллюстрирует все различные типы путей доступа, которые организация должна обеспечить безопасность в нескольких рабочих нагрузках, нескольких облаках, различных уровнях конфиденциальности бизнеса и доступе как пользователям, так и устройствам.
Роли по дисциплинам и соавторы
Планирование и реализация направления «Доступ и удостоверения» обычно находятся в ведении команд, отвечающих за идентификацию, доступ и сетевую инфраструктуру. В крупных организациях обязанности распределяются между формальными ролями и процессами. В небольших организациях роли могут объединяться и обрабатываться более неформальным образом. Во всех случаях рекомендуется документировать стратегию доступа и идентификации по мере развития.
К основным ролям относятся:
- Архитекторы доступа: определяют комплексную стратегию и архитектуру доступа на всех уровнях — управления идентификацией, сети, приложений и платформы.
- Инженеры и операторы систем управления идентификацией и сетевой инфраструктуры: внедряют, эксплуатируют и поддерживают системы идентификации, средства контроля доступа и вспомогательную инфраструктуру.
Архитекторы должны понимать все технологии доступа целостно. Инженеры обычно обладают глубокой экспертизой в системах управления идентификацией и/или сетевых системах.
К ключевым внутренним участникам совместной работы относятся:
- Архитекторы по безопасности и корпоративные архитекторы, чтобы согласовать средства контроля доступа с общей архитектурой и приоритетами безопасности
- Инженерные и операционные группы, которые реализуют требования к доступу на платформах и рабочих нагрузках**
- Руководители безопасности (CISO и делегаты), которые обеспечивают направление и надзор
- Разработчики, которые разрабатывают и создают приложения с помощью современных шаблонов удостоверений и доступа
Ни одна роль не контролирует доступ самостоятельно. Успешный контроль доступа зависит от общей ответственности и координации между командами.
Компоненты стратегии
Эффективная стратегия доступа и идентификации обеспечивает полный жизненный цикл авторизованных действий. Концептуально это отражает структуру предложения:
- Субъект идентификации — кто или что запрашивает доступ.
- Глагол «access» — действие, которое выполняется.
- Объект доступа — ресурс, к которому осуществляется доступ.
Субъект идентификации (кто)
Безопасность доступа начинается с того, кто или что запрашивает доступ:
- Все типы удостоверений: защищённые учётные записи пользователей, идентификаторы рабочих нагрузок, ИИ-агенты, приложения, субъекты-службы, сертификаты и криптографические ключи.
-
- Полный жизненный цикл учетных записей1: Управление учетными записями на всех этапах — от отсутствия доступа и создания учетной записи через изменения и повышение привилегий до вывода из эксплуатации и возврата к отсутствию доступа, когда он больше не требуется.
- Источники удостоверений: определите, какие внутренние и внешние поставщики удостоверений являются доверенными, как управляются удостоверениями и как применяются элементы управления жизненным циклом в этих источниках.
Команда access (how)
Обеспечение соблюдения правил доступа должно охватывать все ресурсы и пути доступа на всех этапах жизненного цикла доступа.
- Комплексное покрытие: применение политики для облачных, локальных, SaaS, ИИ, OT/IoT ресурсов, через интерактивный доступ, API и обмен данными между компьютерами.
- Промежуточные системы: безопасные устройства, каталоги, шлюзы, VPN и прокси-серверы доступа, которые опосредуют доступ.
- Согласованная политика: равномерно применять политику между общим доступом, привилегированным доступом, сетевым доступом, внешним доступом и моделями авторизации на уровне рабочей нагрузки.
- Адаптивный доступ: непрерывно оценивать на основе сигналов в режиме реального времени, являются ли средства идентификации известными, доверенными и имеющими разрешение на доступ, а также завершать сеансы, если уровень риска изменяется.
- Надежная проверка подлинности. Принудительное применение фишингозащищенной проверки подлинности и механизмов, которые устраняют атаки на основе паролей.
- Современные механизмы доступа: обеспечьте реализацию принципа минимальных привилегий на уровне приложений и замените устаревшие технологии периметровой защиты подходами, ориентированными на идентификацию, такими как Security Service Edge (SSE).
объект Access (что)
Политика доступа должна отражать бизнес-ценность, конфиденциальность и требования к управлению:
- Приведите политику в соответствие с бизнесом: классифицируйте активы и настройте средства контроля доступа в соответствии с их ценностью и уровнем риска.
- Управление связями управления. Стратегии доступа должны учитывать транзитивные связи управления в графе безопасности. Если A контролирует B, а B контролирует C, то A фактически контролирует C, что значительно увеличивает масштаб потенциального ущерба.
- Сократите технический долг: откажитесь от небезопасных устаревших протоколов и криптографических алгоритмов (например, LM/NTLM), которые подрывают гарантии контроля доступа. Это часто требует скоординированных действий в области управления идентификацией, конечных устройств и инфраструктуры.
Выравнивание с другими дисциплинами
Дисциплина "Доступ и удостоверения" не работает независимо. Он тесно соответствует другим дисциплинам безопасности, в том числе:
- Стратегия, интеграция и управление. Решения по управлению доступом определяют бизнес-риски и приоритизацию.
- Архитектура безопасности. Элементы управления доступом применяют архитектурные решения.
- Операции по обеспечению безопасности: телеметрия удостоверений личности и сигналы доступа служат источником данных для обнаружения, расследования и реагирования.
- Безопасность конечных точек: состояние устройства непосредственно влияет на доверие доступа.
- Безопасность данных. Политики доступа отражают конфиденциальность и управление данными.
Это выравнивание гарантирует, что решения о доступе поддерживают комплексные результаты безопасности, а не фрагментированные элементы управления.
Соответствие технологическим направлениям
Дисциплина управления доступом и удостоверениями охватывает все технологические направления и служит объединяющим уровнем контроля для всех них, как показано на этой схеме.
Дисциплина выравнивается следующим образом:
- Удостоверения: проверка подлинности, авторизация, управление жизненным циклом и элементы управления привилегиями определяют, кто может получить доступ к ресурсам и в каких условиях.
- Конечные устройства: Состояние безопасности конечных устройств и защита учетных данных влияют на решения о доверии при предоставлении доступа. Скомпрометированные устройства подрывают средства контроля учётных данных.
- Инфраструктура: системы удостоверений и административные интерфейсы выполняются в инфраструктуре и требуют строгой защиты привилегированного доступа.
- Приложения. Приложения должны использовать современные шаблоны удостоверений и применять наименее привилегированный доступ для пользователей, API и конвейеров.
- Данные: элементы управления доступом на основе удостоверений управляют тем, кто может читать, изменять или эксфильтровать конфиденциальные данные.
- Сеть: средства сетевого контроля дополняют доступ, ориентированный на идентификационные данные, снижая риск традиционных атак и поддерживая архитектурные модели Security Service Edge (SSE).
- ИИ: агенты и службы ИИ представляют новые типы удостоверений, требующие управления жизненным циклом, наименьших привилегий и мониторинга.
Дальнейшие действия
Microsoft Unified предоставляет эталонные архитектуры кибербезопасности, рекомендации по модели "Никому не доверяй" и практические семинары под руководством экспертов, помогая организациям в создании комплексной архитектуры безопасности. Подробнее.