Sdílet prostřednictvím

Doporučení pro vytváření strategie segmentace

  • Článek

Platí pro Power Platform Doporučení kontrolního seznamu s dobrou architekturou:

SE:04 Vytvořte specifické segmenty a perimetry v návrhu architektury a využití paměti úlohy na platformě. Strategie segmentace musí zahrnovat sítě, role a odpovědnosti, identity pracovní zátěže a organizaci zdrojů.

Strategie segmentace definuje, jak oddělit úlohy od ostatních úloh s vlastní sadou bezpečnostních požadavků a opatření.

Tento průvodce popisuje doporučení pro vytvoření jednotné strategie segmentace. Pomocí perimetrů a hranic izolace v úloze můžete navrhnout přístup k zabezpečení, který vám vyhovuje.

Definice

Pojem definice
Zamezení šíření Technika, která má omezit rádius útoku, pokud útočník získá přístup k segmentu.
Přístup s nejnižší možnou úrovní oprávnění Princip nulové důvěry, jehož cílem je minimalizovat sadu oprávnění k provedení funkce úlohy.
Perimetr Hranice důvěryhodnosti kolem segmentu.
Organizace prostředků Strategie pro seskupení souvisejících prostředků podle toků v rámci segmentu.
Role Sada oprávnění potřebná k provedení pracovní funkce.
Segment Logická jednotka, která je izolována od ostatních entit a chráněna sadou bezpečnostních opatření.

Klíčové strategie návrhu

Pro sítě se běžně používá koncept segmentace. Stejný základní princip však lze použít v celém řešení, včetně segmentace prostředků pro účely správy a řízení přístupu.

Segmentace vám pomůže navrhnout bezpečnostní přístup, který aplikuje obranu do hloubky na principech modelu nulové důvěry (Zero Trust). Segmentací úloh pomocí různých ovládacích prvků identity zajistíte, aby útočník, který prolomí jeden segment, nemohl získat přístup k dalšímu. V zabezpečeném systému se k blokování neoprávněného přístupu a skrytí prostředků před odhalením používají různé atributy, například síť a identitu.

Zde jsou některé příklady segmentů:

  • Ovládací prvky platformy, které definují hranice sítě
  • Prostředí, která izolují úlohu organizace
  • Řešení, která izolují prostředky úlohy
  • Prostředí nasazení, která izolují nasazení ve fázích
  • Týmy a role, které izolují pracovní funkce související s vývojem a správou úloh
  • Vrstvy aplikací, které izolují podle užitečnosti úlohy
  • Mikroslužby, které izolují jednu službu od druhé

Zvažte tyto klíčové prvky segmentace, abyste vytvořili hlubokou a komplexní strategii ochrany:

  • Hranice, neboli perimetr je vstupní okraj segmentu, kde aplikujete bezpečnostní opatření. Prvky perimetru blokují přístup k segmentu, pokud není explicitně povolen. Cílem je zabránit útočníkovi prorazit perimetr a získat kontrolu nad systémem. Uživatel může mít například přístup k prostředí, ale v tomto prostředí může spouštět pouze konkrétní aplikace na základě svých oprávnění.

  • Kontejnment je výstupní hrana segment, která zabraňuje bočnímu pohybu v systému. Cílem zamezení šíření je minimalizovat účinek porušení. Lze například použít virtuální síť ke konfiguraci směrování a skupin zabezpečení sítě, aby povolovaly pouze očekávané vzorce provozu, aby nedocházelo k provozu v nahodilých segmentech sítě.

  • Izolace je postup, kdy se entity s podobnými ujištěními seskupují do zamknout pomocí hranice. Cílem je snadná správa a omezení útoku v rámci prostředí. Můžete například seskupit prostředky, které se týkají konkrétní úlohy, do jednoho prostředí nebo řešení Power Platform a poté aplikujte řízení přístupu, aby k prostředí měly přístup pouze specifické týmy přidružené k úloze.

Je důležité znát rozdíl mezi perimetrem a izolací. Perimetr označuje body umístění, které by měly být zkontrolovány. Izolace stojí na seskupování. Aktivně zamezíte útoku společným použitím obou těchto konceptů.

Izolace neznamená vytváření sil v organizaci. Jednotná strategie segmentace zajišťuje soulad mezi technickými týmy a stanovuje jasné hranice odpovědnosti. Srozumitelnost snižuje riziko lidské chyby a selhání automatizace, které mohou vést k bezpečnostním chybám, provozním výpadkům nebo obojímu. Předpokládejme, že je detekováno narušení zabezpečení v komponentě komplexního podnikového systému. Je důležité, aby každý chápal, kdo je za daný prostředek zodpovědný, aby byla součástí týmu určujícímu priority podle dostupnosti zdrojů vhodná osoba. Organizace a účastníci mohou rychle identifikovat, jak reagovat na různé druhy incidentů, vytvořením a zdokumentováním dobré strategie segmentace.

Kompromis: Segmentace zavádí složitost, protože správa vyžaduje režii.

Riziko: Mikrosegmentace nad rozumnou mez ztrácí výhodu izolace. Když vytvoříte příliš mnoho segmentů, bude obtížné identifikovat body komunikace nebo umožnit platné komunikační cesty v rámci segmentu.

Identita jako perimetr

K segmentům úlohy přistupují různé identity, jako jsou lidé, softwarové komponenty nebo zařízení. Identita je perimetr, který by měl být primární obrannou linií pro ověřování a autorizaci přístupu přes hranice izolace bez ohledu, odkud žádost o přístup pochází. Použijte identitu jako perimetr pro následující úkony:

  • Přidělte přístup podle role. Identity vyžadují přístup pouze k segmentům, které jsou potřebné k výkonu jejich práce. Minimalizujte anonymní přístup porozuměním rolím a odpovědnostem žádající identity, takže znáte entitu, která žádá o přístup k segmentu a jeho účel.

    Identita může mít různé rozsahy přístupu v různých segmentech. Zvažte typické nastavení prostředí se samostatnými segmenty pro každou fázi. Identity přidružené k roli vývojáře mají přístup pro čtení i zápis do vývojového prostředí. Jak se nasazení přesune do fáze, tato oprávnění jsou omezena. V době, kdy je úloha posunuta do provozu, rozsah vývojáře je omezen na přístup pouze pro čtení.

  • Zvažte oddělené identity aplikací a správy. Ve většině řešení mají uživatelé jinou úroveň přístupu než vývojáři nebo operátoři. V některých aplikacích můžete pro každý typ identity používat různé systémy nebo adresáře identit. Zvažte vytvoření samostatných rolí pro každou identitu.

  • Přiřaďte přístup s nejnižší možnou úrovní oprávnění. Pokud je identitě povolen přístup, určete úroveň přístupu. Začněte s nejnižší možnou úrovní oprávnění pro každý segment a rozšiřte tento rozsah pouze v případě potřeby.

    Aplikací nejnižší možné úrovně oprávnění omezíte negativní dopady, pokud bude identita někdy napadena. Pokud je přístup omezen časem, plocha útoku se dále snižuje. Časově omezený přístup se vztahuje zejména na kritické účty, jako jsou správci nebo softwarové komponenty, které mají napadenou identitu.

Tradeoff: Role-based access control (RBAC) má za následek režii správy. Sledování identit a jejich rozsahů přístupu může být složité při přidělování rolí. Zvažte přiřazení rolí skupinám zabezpečení namísto jednotlivých identit.

Riziko: Nastavení identity může být složité. Nesprávná konfigurace může ovlivnit spolehlivost úlohy. Předpokládejme například, že existuje nesprávně nakonfigurované přiřazení role, které je odepřen přístup k databázi. Požadavky začnou selhávat, což nakonec způsobí problémy se spolehlivostí, které nelze jinak zjistit až do spuštění.

Informace o ovládacích prvcích identity naleznete v části Doporučení pro správu identit a přístupu.

Na rozdíl od řízení přístupu k síti identita ověřuje řízení přístupu v okamžiku přístupu. Důrazně se doporučuje provádět pravidelnou kontrolu přístupu a vyžadovat schvalovací pracovní postup pro získání oprávnění k účtům s kritickým dopadem.

Síť jako perimetr

Perimetry identity neznají polohu sítě, zatímco perimetry sítě identitu rozšiřují, ale nikdy ji nenahrazují. Perimetry sítě jsou zřízeny ke kontrole poloměru útoku, blokování neočekávaného, zakázaného a nebezpečného přístupu nebo zatemnění prostředků úlohy.

Jelikož primární zaměření perimetru identity je nejnižší možná úroveň oprávnění, při navrhování perimetru sítě byste měli předpokládat, že dojde k útoku.

V síti vytvářejte softwarově definované perimetry pomocí služeb a funkcí Power Platform a Azure. Když je úloha (nebo části dané úlohy) umístěna do samostatných segmentů, řídíte provoz z těchto segmentů nebo do nich, abyste zabezpečili komunikační cesty. Pokud je segment napaden, je uzavřen, aby bylo zabráněno šíření útoku ve zbytku sítě.

Přemýšlejte jako útočník, čímž získáte opěrný bod v úloze a vytvoříte ovládací prvky minimalizující další rozšiřování. Ovládací prvky by měly detekovat, zadržet a zastavit útočníky v získání přístupu k celé úloze. Zde je několik příkladů ovládacích prvků sítě jako perimetru:

  • Definujte okrajový perimetr mezi veřejnými sítěmi a sítí, kde se nachází vaše úloha. Co nejvíce omezte viditelnost vaší sítě z veřejných sítí.
  • Vytvořte hranice na základě příslušného záměru. Například segmentujte funkční sítě úloh z provozních sítí.

Riziko: Síťové ovládací prvky jsou založeny na pravidlech a existuje velká šance na nesprávnou konfiguraci, což je problém spolehlivosti.

Role a odpovědnosti

Segmentace, která zabraňuje zmatkům a bezpečnostním rizikům, je dosaženo jasným definováním hranic odpovědnosti v rámci týmu úlohy.

Dokumentujte a sdílejte role a funkce, abyste vytvořili konzistenci a usnadnili komunikaci. Určete skupiny nebo jednotlivé role, které jsou odpovědné za klíčové funkce. Zvažte použití předdefinovaných rolí Power Platform před vytvořením vlastních rolí pro objekty.

Při přidělování oprávnění k segmentu berte v úvahu konzistenci a zohledněte několik organizačních modelů. Tyto modely se mohou pohybovat od jedné centralizované IT skupiny až po většinově nezávislé IT a DevOps týmy.

Riziko: Členství ve skupinách se může v průběhu času měnit s tím, jak se zaměstnanci připojují k týmům nebo je opouštějí nebo mění role. Při správě rolí napříč segmenty může vznikat režie.

Organizace prostředků

Segmentace umožňuje izolovat prostředky úlohy od jiných částí organizace nebo dokonce v rámci týmu. Konstrukty Power Platform, jako jsou prostředí a řešení, jsou způsoby organizace vašich prostředků, které podporují segmentaci.

Usnadnění díky Power Platform

Následující části popisují funkce a možnosti Power Platform, které můžete použít k implementaci strategie segmentace.

Identita

Všechny produkty Power Platform používají Microsoft Entra ID (dříve Azure Active Directory nebo Azure AD) pro správu identity a přístupu. K definování hranic identit můžete použít předdefinované role zabezpečení, podmíněný přístup, správu privilegovaných identit a správu skupinového přístupu v Entra ID.

Microsoft Dataverse používá zabezpečení založené na rolích k seskupení kolekce oprávnění. Tyto role zabezpečení mohou být přidruženy přímo k uživatelům nebo k týmům a organizačním jednotkám Dataverse. Další informace najdete v tématu Koncepty zabezpečení v Microsoft Dataverse.

Propojení

S podporou Azure Virtual Network pro Power Platform můžete integrovat Power Platform s prostředky ve vaší virtuální síti, aniž by došlo k jejich odhalení přes veřejný internet. Podpora Virtual Network používá Delegování podsítě Azure pro správu odchozího provozu z Power Platform za běhu. Použitím delegování se vyhnete cestováním chráněných prostředků přes internet za účelem integrace s Power Platform. Komponenty Virtual Network, Dataverse a Power Platform mohou volat prostředky vlastněné vaším podnikem ve vaší síti, ať už jsou hostované v Azure nebo místní, a používat moduly plug-in a konektory k provádění odchozích volání. Více informací viz Přehled podpory Virtual Network pro Power Platform.

IP firewall pro Power Platform prostředí pomáhá zamknout vaše data tím, že omezuje přístup uživatelů na Dataverse pouze z povolených IP umístění.

Microsoft Azure ExpressRoute poskytuje pokročilý způsob, jak propojit vaši místní síť s Microsoft cloudovými službami pomocí soukromého připojení. Jedno připojení ExpressRoute lze použít pro přístup k více online službám, například Microsoft Power Platform, Dynamics 365, Microsoft 365 a Azure.

Kontrolní seznam zabezpečení

Podívejte se na úplný soubor doporučení.

Bezpečnostní kontrolní seznam