Co to jest „model minimalnych uprawnień”?
Nie musimy martwić się tylko o to, jakim jest użytkownikiem i jakich uprawnień potrzebuje. Z drugiej strony należy rozumieć, że znaczna ich część działa i komunikuje się za pośrednictwem różnych urządzeń. Niektóre organizacje przyjmują tę praktykę Przynieś własne urządzenie. Ta ostatnia pozwala na wykorzystanie osób z osobistym urządzeniem z odpowiednimi zasobami do pracy Twojej organizacji.
Ze względu na te i różne inne okoliczności musimy skomentować ten model. Zmienia sposób, w jaki pracują miliony ludzi na całym świecie ten Działa poprzez ograniczenie praw dostępu do niezbędnego minimum, aby użytkownik mógł wykonywać swoją pracę. Jedną z konsekwencji jest to, że nie ma potrzeby manipulacji mniej prawo Zarządzanie domeną Active Directory (Windows). Powinieneś także zignorować stosowanie uprawnień administratora w systemach operacyjnych. Jednak uprawnienia administratora nie są wymagane do uzyskania dostępu do infrastruktury wirtualizacji.
A co z prawami dostępu?
To przyjęcie może wydawać się obiecujące i zachęcające, zwłaszcza dla osób pracujących w sektorze IT. Odciski palców są niezbędne do tworzenia ekranów prawa dostępu użytkownicy muszą zostać na stałe usunięci i ponownie zdefiniowani. Jest to szczególnie prawdziwe, jeśli mówimy o osobach opuszczających organizację z różnych powodów. Niestety częstą praktyką, która się utrzymuje, jest brak pełnej widoczności użytkowników pasujących do osób nie pracujących w organizacji. Każdy aktywny użytkownik kogoś, kto już nie jest ich częścią, może stać się szeroką gamą okazji do wewnętrznych cyberataków. Scenariusz staje się gorszy, gdy masz zły nawyk dzielenia się hasłami między współpracownikami.
Ta sama kontrola dostępu powinna mieć zastosowanie, gdy osoby przemieszczają się z jednej lokalizacji do drugiej w organizacji. Wiele razy ludzie mogą przemieszczać się z jednego obszaru do drugiego. Jako menedżer IT musisz dostosować uprawnienia niezależnie od roli danej osoby w firmie. ten
Propozycje wdrożenia modelu minimalnych uprawnień
Wdrożenie tego modelu jest bardziej kwestią polityki wewnętrznej każdej organizacji niż rozwiązań technologicznych. Pierwszą rzeczą, którą musimy zrobić, to zidentyfikować dane, które najpierw musimy chronić. Wynika to z niewłaściwego użycia, kradzieży, zniszczenia lub innego zdarzenia, które zagraża ich integralności. Gdy to zrobisz, następnym krokiem jest złożenie wniosku polityka minimalnych uprawnień w celu ochrony tych danych. Dlatego każdy użytkownik będzie miał ograniczony (lub nie) dostęp do danych zgodnie z utworzonymi i skonfigurowanymi politykami. Podejście powinno być dużo bardziej szczegółowe, tzn. wszystkie możliwe zmienne powinny być brane pod uwagę, aby nie było więcej lub mniej praw.
Jak to zastosować w praktyce? Dzielimy się kilkoma sugestiami:
- Zapora i VPN: Oznacza to rezygnację z całej sieci w zaporze. Dlatego użytkownicy powinni zawsze być połączeni z VPN, aby mieć dostęp do określonej grupy zasobów, aplikacji i usług, w zależności od ich roli. Możesz powiedzieć, co powinno być dostępne przez VPN, a co nie, aby zoptymalizować dostępną przepustowość i uniknąć zatorów. Zwłaszcza w godzinach szczytu.
- Infrastruktura pulpitu wirtualnego : W języku angielskim jest znany jako Infrastruktura pulpitu wirtualnego (VDI) ten W ten sposób dane i aplikacje są hostowane centralnie. Ma to na celu uczynienie ich bezpieczniejszymi. Jeśli Twoja organizacja ma pracowników w domu, mogą oni łączyć się za pomocą typowych narzędzi, takich jak przeglądarka lub istniejące rozwiązanie. Otrzymujesz takie same wrażenia jak w biurze, nie tylko pod względem szybkości dostępu, ale także bezpieczeństwa. W zależności od każdego użytkownika, kontrole bezpieczeństwa związane z politykami sieciowymi są dostosowywane tak, aby użytkownicy mogli uzyskać dostęp do zasobów tak długo, jak tego potrzebują.
Czy to to samo co model Zero-Trust?
W pewnym stopniu są to modele, których koncepcje są ze sobą powiązane. Jednak nie są takie same. Z jednej strony model Bez zaufania skupia się na zaufaniu każdemu i czemukolwiek. To w istocie daje pewność dostęp do mniejszych uprawnień na podstawie modelu, który jest bohaterem tego poradnika. Warto pamiętać, że dostęp jest gwarantowany tylko poprzez zbadanie kilku punktów przed każdym żądaniem. Niektóre przykłady obejmują, kto żąda dostępu, kontekst lub powód żądania oraz ryzyko środowiskowe związane z żądanym dostępem.
Jednym z głównych celów tego modelu jest monitorowanie wszelkiego rodzaju ruchu generowanego przez sieć. Dodatkowo uwzględnia ruch generowany przez API związany z organizacją oraz wszelkiego rodzaju ruch poza siecią.
Po drugie Model ty minimalny przywilej skupia się na ograniczeniu praw dostępu do dowolnego podmiotu. Dotyczy to nie tylko użytkownika i jego kont. Mniej praw można również zastosować do zasobów i procedur obliczeniowych. Co to jest przywilej w rzeczywistości ? Odnosi się do autoryzacji użytkownika, konta lub zasobu, aby mógł ominąć ważne środki bezpieczeństwa, które wymagają ograniczenia jego zasobów.
Krótko mówiąc, Zero-Trust odnosi się do modelu bezpieczeństwa zorientowanego na sieć, który obejmuje model z najmniejszą liczbą uprawnień spośród jego implementacji. A ten ostatni to sposób na zarządzanie dostępem do zasobów Twojej organizacji. Jak widać, jasne jest, że postępy w zakresie bezpieczeństwa sieci zmierzają w kierunku modelu, który umożliwia zarządzanie i operacje stają się bardziej elastyczne i mniej wymagające.