Anbefalinger til opbygning af en segmenteringsstrategi
Gælder for Power Platform Well-Architected Security-tjeklisteanbefaling:
| SE:04 | Opret tilsigtet segmentering og afskærmning i dit arkitekturdesign og i arbejdsbelastningens aftryk på platformen. Segmenteringsstrategien skal omfatte netværk, roller og ansvarsområder, arbejdsbelastnings-id'er og ressourceorganisation. |
|---|
En segmenteringsstrategi definerer, hvordan du adskiller arbejdsbelastninger fra andre arbejdsbelastninger med deres eget sæt sikkerhedskrav og -foranstaltninger.
I denne vejledning beskrives anbefalingerne til opbygning af en ensartet segmenteringsstrategi. Ved hjælp af afskærmede grænser og isolationsgrænser i arbejdsbelastninger kan du designe en sikkerheds tilgang, der passer til dig.
Definitioner
| Begreb | Definition |
|---|---|
| Inddæmning | En teknik til indeslutning af angreb, hvis en hacker får adgang til et segment. |
| Adgang med færrest mulige privilegier | Et nultillidsprincip, der minimerer et sæt tilladelser til at fuldføre en jobfunktion. |
| Omkreds | Tillidsgrænsen omkring et segment. |
| Ressourceorganisation | En strategi til gruppering af relaterede ressourcer efter flow i et segment. |
| Rolle | Et sæt tilladelser, der kræves for at udføre en jobfunktion. |
| Segment | En logisk enhed, der er isoleret fra andre objekter og er beskyttet af et sæt sikkerhedsforanstaltninger. |
Vigtigste designstrategier
Begrebet opdeling bruges som regel til netværk. Det samme underliggende principper kan dog bruges i hele løsningen, herunder opdeling af ressourcer med henblik på administration og adgangskontrol.
Du kan bruge opdelingen til at designe en sikkerhedstilgang, der anvender dybdegående forsvar baseret på principperne i Zero Trust-modellen. Sørg for, at en hacker, der bruger ét segment, ikke kan få adgang til et andet ved at segmentere arbejdsbelastninger med forskellige identitetskontrolelementer. I et sikkert system bruges forskellige attributter, f.eks. netværk og identitet, til at blokere uautoriseret adgang og skjule aktiverne i at blive vist.
Følgende er nogle eksempler på segmenter:
- Platformskontrolelementer, der definerer netværksgrænser
- Miljøer, der isolerer arbejdsbelastninger i en organisation
- Løsninger, der isolerer arbejdsbelastningsaktiver
- Installationsmiljøer, der isolerer installationen efter faser
- Grupper og roller, der isolerer jobfunktioner vedrørende udvikling og styring af arbejdsbelastning
- Programniveauer, der isoleres efter arbejdsbelastning
- Mikrotjenester, der isolerer én tjeneste fra en anden
Overvej disse nøgleelementer i opdelingen for at sikre, at du opbygger en omfattende strategi til bunds:
Grænsen eller perimeteren er indgangskanten i et segment, hvor du anvender sikkerhedskontrolelementer. Afskærmede kontrolelementer skal blokere adgangen til segmentet, medmindre det udtrykkeligt er tilladt. Målet er at forhindre, at en hacker bryder igennem perimeteren og får kontrol over systemet. En bruger kan f.eks. have adgang til et miljø, men kan kun starte bestemte programmer i det pågældende miljø på baggrund af deres tilladelser.
Indeslutning er udgangskanten af et segment, der forhindrer sideværts bevægelse i systemet. Målet med inddæmning er at minimere påvirkningen af mængden. Et virtuelt netværk kan f.eks. bruges til at konfigurere distributions- og netværkssikkerhedsgrupper, så du kun tillader de trafikmønstre, du forventer, så du undgår trafik i forbindelse med netværkssegmenter.
Isolation er praksis med at gruppere enheder med lignende forsikringer sammen for at beskytte dem med en grænse. Målet er nem administration og inddæmning af et angreb i et miljø. Du kan f.eks. gruppere de ressourcer, der vedrører en bestemt arbejdsbelastning, Power Platform i ét miljø eller én løsning og derefter anvende adgangskontrol, så kun bestemte arbejdsbelastningsteams har adgang til miljøet.
Det er vigtigt at bemærke skelnen mellem afskærmning og isolation. Perimeter henviser til de placeringspunkter, der skal kontrolleres. Isolation handler om gruppering. Indeholder aktivt et angreb ved hjælp af disse koncepter sammen.
Isolation betyder ikke, at der skal oprettes soler i organisationen. En samlet segmenteringsstrategi sikrer, at de tekniske teams kan justeres, og der angives klare ansvarsområder. Klarhed reducerer risikoen for fejl hos mennesker og automatisering, der kan medføre sikkerhedsrisici, driftsnedetid eller begge dele. Antag, at der registreres en sikkerhedskomponent i et komplekst virksomhedssystem. Det er vigtigt, at alle forstår, hvem der er ansvarlig for den pågældende ressource, så den relevante person er medtaget i det prioriterede team. Organisationen og interessenterne kan hurtigt identificere, hvordan de kan reagere på forskellige typer hændelser, ved at oprette og dokumentere en god opdelingsstrategi.
Afvejning: Segmentering introducerer kompleksitet, fordi der er overhead i ledelsen.
Risiko: Mikrosegmentering ud over en rimelig grænse mister fordelen ved isolation. Når du opretter for mange segmenter, bliver det svært at identificere kommunikationspunkter eller tillade gyldige kommunikationsforløb i segmentet.
Identitet som afskærmet
Forskellige identiteter, f.eks. personer, softwarekomponenter eller enheder, giver adgang til arbejdsbelastningssegmenter. Identitet er en afskærmet linje, der bør være den primære linje til godkendelse og autorisation af adgang på tværs af isolationsgrænser, uanset hvor adgangsanmodningen stammer fra. Brug identitet som perimeter for at:
Tildel adgang efter rolle. Identiteter skal kun have adgang til de segmenter, der kræves for at udføre deres arbejde. Minimer anonym adgang ved at forstå rollerne og ansvarsområderne for den anmodende identitet, så du ved, hvilket objekt der anmoder om adgang til et segment, og til hvilket formål.
En identitet kan have forskellige adgangs omfang i forskellige segmenter. Overvej en typisk miljøkonfiguration med separate segmenter for hver fase. Identiteter, der er knyttet til udviklerrollen, har læse-skriveadgang til udviklingsmiljøet. Efterhånden som installationen flyttes til midlertidig installation, reduceres disse tilladelser. Når arbejdsbelastningen fremmes til produktion, reduceres udviklernes muligheder til skrivebeskyttet adgang.
Overvej program- og administration id'er separat. I de fleste løsninger har brugere et andet adgangsniveau end udviklere eller operatorer. I nogle programmer kan du bruge forskellige identitetssystemer eller mapper for hver type identitet. Overvej at oprette separate roller for de enkelte identiteter.
Tildel adgang med færrest privilegier. Hvis identiteten er tilladt, skal du bestemme adgangsniveauet. Start med den mindste rettighed for hvert segment, og udvid kun dette omfang, når det er nødvendigt.
Ved at anvende den mindste rettighed begrænser du de negative konsekvenser, hvis identiteten bliver kompromitteret. Hvis adgangen er begrænset af tid, reduceres angrebsoverfladen yderligere. Den begrænsede adgang gælder især for vigtige konti, f.eks. administratorer eller softwarekomponenter, der har en kompromitteret identitet.
Du kan få flere oplysninger om kontrol af Identitet i Anbefalinger til administration af identitet og adgang.
I modsætning til kontrolelementer for netværksadgang valideres adgangskontrol på tidspunktet for adgang. Det anbefales på det kraftigste, at du udfører en almindelig gennemgang af adgangen og kræver en godkendelsesarbejdsproces for at få rettigheder til konti med stor påvirkning.
Netværk som en afskærmning
Identitetsafskærmninger er netværksagnostik, hvor netværk afskærmer identitet, men aldrig erstatter det. Der oprettes netværksafskærmede netværk for at styre blast, blokere uventet, forbudt og usikker adgang og for at styre arbejdsbelastningsressourcer.
Selvom det primære fokus i afskærmning for identitet har et minimum af rettigheder, skal du antage, at der vil være mange fordele, når du designer afskærmet netværk.
Opret softwaredefinerede grænser i dine netværksfunktioner ved hjælp af Power Platform og Azure-tjenester og -funktioner. Når en arbejdsbelastning (eller dele af en bestemt arbejdsbelastning) placeres i separate segmenter, styrer du trafik fra eller til disse segmenter for at sikre kommunikationsstier. Hvis et segment svækkes, er det indeholdt i og er adskilt fra at bruge et side om side via resten af dit netværk.
Tænk som en hacker for at opnå fodfæste i arbejdsbelastningen og oprette kontrolelementer for at minimere yderligere udvidelse. Kontrolelementerne skal registrere, indeholde og forhindre hackere i at få adgang til hele arbejdsbelastningen. Her er nogle eksempler på netværkskontrolelementer som en afskærmning:
- Definer kantafgrænsningen mellem offentlige netværk og det netværk, hvor arbejdsbelastningen er placeret. Begræns linjen fra offentlige netværk til dit netværk så meget som muligt.
- Opret grænser baseret på formålet. Det kan f.eks. være funktionsnetværk for segmentbelastninger fra driftsnetværker.
Roller og ansvarsområder
Segmentgering, der forhindrer forvirring og sikkerhedsrisici, opnås ved klart at definere ansvarsområder i en gruppe af arbejdsbelastninger.
Dokumentere og dele roller og funktioner for at skabe ensartethed og lette kommunikationen. Angiv grupper eller individuelle roller, der er ansvarlige for nøglefunktioner. Overvej de indbyggede roller i Power Platform, inden du opretter brugerdefinerede roller for objekter.
Overvej ensartethed, mens du gør det muligt at bruge flere organisationsmodeller, når du tildeler tilladelser til et segment. Disse modeller kan variere fra en enkelt central it-gruppe til stort set uafhængige it- og DevOps-teams.
Ressourceorganisation
Segmentering giver dig mulighed for at isolere arbejdsbelastningsressourcer fra andre dele af organisationen eller endda fra gruppen. Power Platform-konstruktioner, f.eks. miljøer og løsninger, er måder at organisere dine ressourcer på, der fremmer opdelingen.
Power Platform-processtyring
I følgende afsnit beskrives Power Platform-funktioner og egenskaber, du kan bruge til at implementere en segmenteringsstrategi.
Id
Alle Power Platform-produkter bruger Microsoft Entra ID (tidligere Azure Active Directory eller Azure AD) til identitets- og adgangsstyring. Du kan bruge indbyggede sikkerhedsroller, betinget adgang, administration af rettigheder til identiteter og administration af gruppeadgang i Entra ID til at definere dine identitetsskærme.
Microsoft Dataverse bruger rollebaseret sikkerhed til at gruppere en samling af rettigheder. Disse sikkerhedsroller kan tilknyttes direkte til brugere, eller de kan knyttes til Dataverse-teams og afdelinger. Du kan finde flere oplysninger under Sikkerhedsbegreber i Microsoft Dataverse.
Netværk
Med Azure Virtual Network-understøttelse til Power Platform kan du integrere Power Platform med ressourcer i dit virtuelle netværk uden at afsløre dem via det offentlige internet. Virtual Network-support bruger Azure-undernetdelegering til at administrere udgående trafik under kørsel fra Power Platform. Hvis du bruger en stedfortræder, undgår du, at der er brug for beskyttede ressourcer, som skal kunne rejse over internettet og integreres med Power Platform. Virtuelt netværk, Dataverse og Power Platform komponenter kan kalde ressourcer, der ejes af din virksomhed på dit netværk, uanset om de er vært for Azure eller det lokale miljø, og bruge plug-ins og connectors til at foretage indgående opkald. Du kan finde flere oplysninger under Understøttelse af virtuelle netværk for at få en Power Platform-oversigt.
IP-firewall til Power Platform miljøer hjælper med at beskytte dine data ved at begrænse brugeradgangen til Dataverse kun at være tilladt fra tilladte IP-placeringer.
Microsoft Azure ExpressRoute Giver en avanceret metode til at oprette forbindelse mellem dit lokale miljø og Microsoft cloudtjenester ved hjælp af privat forbindelse. En enkelt ExpressRoute-forbindelse kan bruges til at få adgang til flere onlinetjenester, f.eks. Microsoft Power Platform, Dynamics 365, Microsoft 365 og Azure.
Kontrolliste til sikkerhed
Se det fuldstændige sæt anbefalinger.