MUNI IT projects external : Obecné principy a doporučení

Created by David Štencel, last modified by Břetislav Regner on Wednesday 11:51

Následující série článků a doporučení úzce souvisí s obecnými principy platnými nejen pro prostředí MS 365. Pro připomenutí následuje pouze stručné shrnutí.

Model sdílené odpovědnosti (Shared Responsibility Model)

V případě lokálně provozovaných služeb nese kompletní odpovědnost za všechny aspekty zabezpečení příslušná organizace. Při využívání cloudových služeb je odpovědnost rozdělena mezi poskytovatele a organizaci (zákazníka). Podle typu (IaaS, PaaS, SaaS) se úroveň, na které odpovědnost přechází, liší.

V případě MS 365, což je SaaS začíná odpovědnost zákazníka na úrovni správy identit, nastavování oprávnění, konfigurace nástrojů a služeb dostupných zákazníkovi a v případě hybridní infrastruktury zahrnuje i kompletní onprem prostředí. Zároveň sem patří i odpovědnost za koncová zařízení přistupující ke službám a datům v MS 365.

[MS Docs] Model sdílené odpovědnosti

Model nulové důvěry (Zero Trust Security Model)

Původní bezpečnostní model vycházel z předpokladu interní počítačové sítě, do níž jsou připojena důvěryhodná zařízení a která je dostupná důvěryhodným uživatelům a která je od nebezpečného vnějšího prostředí oddělena (firewally apod.) a dostupná jen definovaným způsobem (VPN).

Zero Trust Security Model reflektuje moderní pracovní prostředí, kde se zaměstnanci, (mobilní) zařízení a aplikace připojují k systémům z celého světa a perimetr organizace již nelze snadno ohraničit a zabezpečit pomocí firewallu.

V Zero Trust se předpokládá, že každý požadavek přichází z otevřené nebezpečné sítě a proto je pečlivě autentizován dle všech dostupných dat (identita, lokace, stav zařízení nebo služby, klasifikace dat apod.), autorizován a komunikace šifrována. V modelu se pracuje s pokročilými analytickými nástroji pro detekci a rekaci na anomálie v reálném čase.

[MS Docs] Model nulové důvěry

Princip nejnižších privilegií (Least Privilege Administrative Model)

Každý uživatelský nebo servisní účet (nebo zařízení, aplikace apod.) v systému má přidělenu

  • co nejmenší množinu oprávnění potřebnou k splnění potřebných aktivit

  • i tato minimální oprávnění jsou přidělována jen v době, kdy je daný uživatel/účet potřebuje

Dodržování tohoto principu snižuje riziko zneužití nadstandardních aktuálně nepotřebných přístupů, možné dopady spuštění nebezpečného kódu nebo jiného útoku.

[MS Docs] Implementace modelu nejnižších privilegií