IG3

إنشاء وصيانة موارد حوسبة مخصصة لجميع الأعمال الإدارية

مجموعة الضابط: 12. إدارة البنية التحتية للشبكة

نوع الأصل: الأجهزة

وظيفة الأمان: حماية

الوصف

إنشاء وصيانة موارد حوسبة مخصصة منفصلة ماديًا أو منطقيًا لجميع المهام الإدارية أو المهام التي تتطلب وصولاً إداريًا. يجب أن تكون موارد الحوسبة مجزأة عن شبكة المؤسسة الأساسية وأن لا يُسمح بالوصول إلى الإنترنت منها.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Cisco Identity Services Engine Gartner MQ Leader, Network Access Control 2024

منصة التحكم في الوصول إلى الشبكة توفر تصنيف الأجهزة وتقييم الوضع الأمني ووصول الضيوف وتطبيق سياسات إحضار الأجهزة الشخصية

Cisco · اشتراك لكل نقطة نهاية

Palo Alto Networks NGFW Gartner MQ Leader, Network Firewalls 2024

منصة جدار حماية من الجيل التالي مع سياسات واعية بالتطبيقات ومنع التهديدات وتصفية عناوين الويب وشبكة واسعة معرّفة بالبرمجيات

Palo Alto Networks · جهاز + اشتراك

Zscaler Private Access Gartner MQ Leader, SSE 2024

منصة الوصول إلى الشبكة بنموذج انعدام الثقة تستبدل الشبكات الافتراضية الخاصة بالتقسيم الدقيق على مستوى التطبيق والوصول القائم على الهوية

Zscaler · اشتراك لكل مستخدم

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

سرقة بيانات اعتماد إدارية من محطات عمل مشتركة

السرية

يؤدي المسؤولون مهام مميزة من نفس محطات العمل المستخدمة للبريد الإلكتروني وتصفح الويب، وتلتقط راصدات لوحة المفاتيح واستغلالات المتصفح أو هجمات التصيد على تلك الأنظمة ذات الأغراض العامة بيانات الاعتماد الإدارية للبنية التحتية الحرجة.

هجوم تمرير التجزئة من بيانات اعتماد المسؤول على محطات عمل المستخدم

السرية

يتم استخراج بيانات الاعتماد الإدارية المخزنة مؤقتاً على محطات عمل الأغراض العامة من خلال هجمات تمرير التجزئة أو تمرير التذكرة، مما يمنح المهاجمين صلاحيات مسؤول النطاق أو مسؤول البنية التحتية المحصل عليها من نقطة نهاية مستخدم قياسية.

التنقل الأفقي إلى أنظمة حرجة عبر محطات عمل مسؤول غير مجزأة

السلامة

يحصل المهاجمون الذين يخترقون محطة عمل أغراض عامة حيث يؤدي المسؤولون أيضاً مهاماً مميزة على مسار مباشر إلى البنية التحتية الحرجة لأن الجلسة الإدارية توفر وصول شبكة إلى واجهات الإدارة التي يجب عزلها.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود محطات عمل إدارية مخصصة أو صناديق قفز

يؤدي المسؤولون العمليات المميزة من نفس محطات العمل المستخدمة لأنشطة الأعمال العامة، مما يعرض بيانات الاعتماد والجلسات الإدارية للتهديدات الموجودة على نقاط النهاية ذات الأغراض العامة.

أنظمة إدارية متصلة بالشبكة العامة والإنترنت

لا يتم تجزئة محطات العمل المستخدمة للمهام الإدارية عن الشبكة الأساسية ولديها وصول للإنترنت، مما يعرض الجلسات المميزة للتهديدات المستندة إلى الويب وهجمات التصيد والهجمات على مستوى الشبكة التي ستتجنبها الأنظمة الإدارية المخصصة.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة أمن الشبكة

Control 12, Control 13

الإجراءات الوقائية ذات الصلة في الضابط 12

12.1 ضمان تحديث البنية التحتية للشبكة

12.2 إنشاء وصيانة هيكل شبكة آمن

12.3 الإدارة الآمنة للبنية التحتية للشبكة

12.4 إنشاء وصيانة مخطط (مخططات) الهيكل

12.5 مركزة المصادقة والتفويض والتدقيق على الشبكة (AAA)

12.6 استخدام بروتوكولات إدارة واتصال الشبكة الآمنة

12.7 Ensure Remote Devices Utilize a VPN and are Connecting to an Enterprise’s AAA Infrastructure