組織にとって必要以上にデータやリソースにアクセスできる協力者ほど、組織にとって危険なものはありません。 組織で発生する攻撃は、主に悪意のある協力者によるものです。 COVID-19のおかげで、在宅勤務は世界中で一般的になっています。 したがって、この方法を採用する企業は、各ユーザーがどのような権限を持っているか、そしてすべてのユーザーが本当に必要かどうかに細心の注意を払う必要があります。 このガイドは、「最小特権モデル」について理解するのに役立ちます。これは、スペイン語で「最小特権モデル」を意味します。
「最小特権モデル」とは何ですか?
ユーザーの種類と必要な権限だけを考慮する必要はありません。 一方、私たちはこれらの大部分が機能することを理解し、さまざまなデバイスを介して通信する必要があります。 採用する組織があります 自分のデバイスを持参する(自分のデバイスを持参する)。 後者では、十分なリソースを持つ個人用デバイスを持っている人が組織のタスクに使用できるようになります。
これらおよびその他のさまざまな状況では、このモデルについてコメントする必要があります。 世界中の何百万もの人々の働き方を変えています . これは、ユーザーが作業を実行するために必要な最小限のアクセス権を制限することによって機能します。 影響のXNUMXつは、操作する必要がないことです。 Active Directoryドメイン管理(Windows)権利。 また、オペレーティングシステムへのrootアクセスの実装を破棄する必要があります。 一方、仮想化インフラストラクチャにアクセスするには、管理者レベルの権限も必要ありません。
アクセス権についてはどうですか?
この採用は、特にITで働く人々にとって、同時に非常に有望で挑戦的なものに見えます。 ユーザー アクセス権 完全に削除して再割り当てする必要があります。 これは、さまざまな理由で組織を離れる人々について話している場合は特に重要です。 残念ながら、維持されている一般的な方法は、組織で働いていない人に対応するユーザーを完全に可視化していないことです。 もはやそこにいない誰かのアクティブユーザーは、サイバー攻撃が内部で発生する可能性の広い範囲になる可能性があります。 共同作業者間でパスワードを共有するという悪い習慣があると、シナリオは悪化します。
組織内のあるジョブから別のジョブに移動する場合も、アクセス権の同じ制御を適用する必要があります。 多くの場合、人々はある場所から別の場所に移動することができます。 IT管理者は、会社での個人の役割に関係なく、権限を調整する必要があります。
最小特権モデルの実装に関する提案
このモデルの実装は、技術的なソリューションよりも、各組織の内部ポリシーに関係しています。 まず最初に、保護する必要があるデータを特定します。 これは、誤用、盗難、破壊、またはその他の完全性を脅かすその他のイベントによるものです。 それを行ったら、次のステップは適用することです 以下の特権ポリシー 上記のデータを保護するため。 その結果、各ユーザーは、作成して構成したポリシーに従って、データへのアクセスを制限(またはアクセスなし)します。 アプローチはよりきめ細かくする必要があります。つまり、他の権限や少ない権限が存在しないように、可能なすべての変数を考慮する必要があります。
これを実践する方法は? 私たちはいくつかの提案を共有します:
- ファイアウォールとVPN: これには、ネットワーク全体をファイアウォールの内側に残すことが含まれます。 したがって、ユーザーは役割に応じてリソース、アプリケーション、サービスの特定のグループにアクセスするために、常にVPNに接続する必要があります。 利用可能な帯域幅を最適化してボトルネックを形成しないために、VPNを介してアクセスする必要があるものとそうでないものを区別できます。 とりわけ、ピーク時のトラフィックが発生する可能性がある時。
- 仮想デスクトップインフラストラクチャ : 英語では次のように知られています 仮想デスクトップインフラストラクチャ(VDI) 。 このようにして、データとアプリケーションは中央でホストされます。 これは、それらをより安全にするためです。 組織に在宅勤務者がいる場合、彼らはブラウザや既存のソリューションなどの一般的なツールを使用してログインできます。 達成されることは、アクセス速度だけでなくセキュリティの点でも、オフィスでの経験と同じエクスペリエンスです。 各ユーザーによると、ユーザーが必要な場合にのみリソースにアクセスできるように、ネットワークポリシーと組み合わせたセキュリティコントロールが構成されています。
Zero-Trustモデルと同じですか?
それらはある程度、概念が関連しているモデルです。 ただし、同じではありません。 一方で、 ゼロトラスト モデルは、何も、または誰も信用しないことに焦点を当てています。 実際には、 最小特権アクセス このガイドの主人公であるモデルに基づいています。 アクセスが保証されるのは、各リクエストについていくつかの考慮事項を検討することによってのみ保証されるということを覚えておくことは良いことです。 これらはいくつかの例です:誰がアクセスを要求するか、要求のコンテキストまたは理由、および要求されたアクセスの環境のリスク。
このモデルの中心的な目的のXNUMXつは、ネットワークによって生成されるあらゆるタイプのトラフィックを監視することです。 さらに、組織に接続されたAPIを介して生成されたトラフィック、およびネットワークへのあらゆるタイプの外部トラフィックが考慮されます。
一方、 最小特権モデル エンティティへのアクセス権を制限することに焦点を当てています。 ユーザーとそのアカウントを参照するだけではありません。 最小特権は、コンピューティングリソースとプロセスにも適用できます。 今、何ですか 特権 結局? これは、ユーザー、アカウント、またはリソースへの承認を指し、ユーザーが必要なリソースを制限する主なセキュリティ対策をバイパスできるようにします。
要約すると、Zero-Trustは、その実装に最小特権モデルを含むネットワーク中心のセキュリティモデルを指します。 後者は、組織のネットワークリソースへのアクセスを管理する方法です。 ご覧のとおり、ネットワークセキュリティの進歩は、運用と運用の俊敏性と労力の軽減を可能にするモデルへと進化しています。
