Empfehlungen für die Erstellung einer Segmentierungsstrategie
Gilt für Empfehlung der Sicherheitsprüfliste für well-Architected Framework:
SE:04 | Erstellen Sie beabsichtigte Segmentierung und Perimeter in Ihrem Architekturdesign und den Speicherbedarf der Workload auf der Plattform. Die Segmentierungsstrategie muss Netzwerke, Rollen und Zuständigkeiten, Workloadidentitäten und Ressourcenorganisation umfassen. |
---|
Ein Segment ist ein logischer Abschnitt Ihrer Lösung, der als eine Einheit gesichert werden muss. Eine Segmentierungsstrategie definiert, wie eine Einheit durch eigene Sicherheitsanforderungen und -maßnahmen von anderen Einheiten getrennt werden soll.
In diesem Leitfaden werden die Empfehlungen für die Erstellung einer einheitlichen Segmentierungsstrategie beschrieben. Mithilfe von Umkreis- und Isolationsgrenzen in Workloads können Sie einen Sicherheitsansatz entwerfen, der für Sie geeignet ist.
Definitionen
Begriff | Definition |
---|---|
Eindämmung | Eine Technik, die den Strahlradius enthält, wenn ein Angreifer Zugriff auf ein Segment erhält. |
Zugriff mit geringsten Rechten | Ein Zero Trust-Prinzip, das darauf abzielt, eine Reihe von Berechtigungen zum Abschließen einer Auftragsfunktion zu minimieren. |
Umkreis | Die Vertrauensgrenze um ein Segment. |
Ressourcenorganisation | Eine Strategie zum Gruppieren verwandter Ressourcen nach Flüssen innerhalb eines Segments. |
Role | Eine Reihe von Berechtigungen, die zum Abschließen einer Auftragsfunktion erforderlich sind. |
Segment | Eine logische Einheit, die von anderen Entitäten isoliert und durch eine Reihe von Sicherheitsmaßnahmen geschützt ist. |
Wichtige Entwurfsstrategien
Das Konzept der Segmentierung wird häufig für Netzwerke verwendet. Dasselbe zugrunde liegende Prinzip kann jedoch in einer Lösung verwendet werden, einschließlich Segmentierung von Ressourcen für Verwaltungszwecke und Zugriffssteuerung.
Mithilfe der Segmentierung können Sie einen Sicherheitsansatz entwerfen, der die Verteidigung basierend auf den Prinzipien des Zero Trust-Modells gründlich anwendet. Stellen Sie sicher, dass ein Angreifer, der ein Netzwerksegment verletzt, keinen Zugriff auf ein anderes erhalten kann, indem Workloads mit unterschiedlichen Identitätssteuerelementen segmentiert werden. In einem sicheren System blockieren Identitäts- und Netzwerkattribute nicht autorisierten Zugriff und blenden die Objekte aus, die verfügbar gemacht werden. Hier sind einige Beispiele für Segmente:
- Abonnements, die Workloads einer Organisation isolieren
- Ressourcengruppen, die Workloadressourcen isolieren
- Bereitstellungsumgebungen, die die Bereitstellung nach Phasen isolieren
- Teams und Rollen, die Auftragsfunktionen im Zusammenhang mit der Workloadentwicklung und -verwaltung isolieren
- Anwendungsebenen, die nach Workload-Hilfsprogramm isoliert werden
- Microservices, die einen Dienst von einem anderen isolieren
Berücksichtigen Sie diese wichtigen Elemente der Segmentierung, um sicherzustellen, dass Sie eine umfassende Verteidigungsstrategie erstellen:
Die Grenze oder der Umkreis ist der Einstiegsrand eines Segments, in dem Sie Sicherheitskontrollen anwenden. Umkreissteuerelemente sollten den Zugriff auf das Segment blockieren, es sei denn, dies ist explizit zulässig. Ziel ist es, zu verhindern, dass ein Angreifer den Umkreis durchbricht und die Kontrolle über das System erhält. Beispielsweise kann eine Anwendungsebene das Zugriffstoken eines Endbenutzers akzeptieren, wenn sie eine Anforderung verarbeitet. Die Datenebene erfordert jedoch möglicherweise ein anderes Zugriffstoken, das über eine bestimmte Berechtigung verfügt, die nur die Anwendungsebene anfordern kann.
Eindämmung ist der Ausgangsrand eines Segments, der die Lateralbewegung im System verhindert. Das Ziel der Eindämmung besteht darin, die Wirkung einer Verletzung zu minimieren. Beispielsweise kann ein virtuelles Azure-Netzwerk verwendet werden, um Routing- und Netzwerksicherheitsgruppen so zu konfigurieren, dass nur erwartete Datenverkehrsmuster zugelassen werden, sodass Datenverkehr zu beliebigen Netzwerksegmenten vermieden wird.
Isolation ist die Praxis der Gruppierung von Entitäten mit ähnlichen Zusicherungen, um sie mit einer Grenze zu schützen. Das Ziel ist eine einfache Verwaltung und die Eindämmung eines Angriffs innerhalb einer Umgebung. Sie können beispielsweise die Ressourcen gruppieren, die sich auf eine bestimmte Workload beziehen, in ein Azure-Abonnement und dann die Zugriffssteuerung anwenden, sodass nur bestimmte Workloadteams auf das Abonnement zugreifen können.
Es ist wichtig, den Unterschied zwischen Perimetern und Isolation zu beachten. Der Umkreis bezieht sich auf die Punkte der Position, die überprüft werden sollen. Die Isolierung geht um gruppieren. Enthalten Sie aktiv einen Angriff, indem Sie diese Konzepte gemeinsam verwenden.
Isolation bedeutet nicht, Silos in der Organisation zu erstellen. Eine einheitliche Segmentierungsstrategie bietet eine Ausrichtung zwischen den technischen Teams und legt klare Verantwortungslinien fest. Die Klarheit reduziert das Risiko von Menschlichem Fehler und Automatisierungsfehlern, die zu Sicherheitsrisiken, betriebsbedingten Ausfallzeiten oder beidem führen können. Angenommen, eine Sicherheitsverletzung wird in einer Komponente eines komplexen Unternehmenssystems erkannt. Es ist wichtig, dass jeder versteht, wer für diese Ressource verantwortlich ist, damit die entsprechende Person im Triageteam enthalten ist. Die Organisation und die Beteiligten können schnell erkennen, wie sie auf verschiedene Arten von Vorfällen reagieren, indem sie eine gute Segmentierungsstrategie erstellen und dokumentieren.
Tradeoff: Segmentierung führt zu Komplexität, da es mehr Aufwand im Management gibt. Es gibt auch einen Kompromiss bei den Kosten. Beispielsweise werden weitere Ressourcen bereitgestellt, wenn Bereitstellungsumgebungen, die nebeneinander ausgeführt werden, segmentiert werden.
Risiko: Die Mikrosegmentierung über einen angemessenen Grenzwert hinaus verliert den Vorteil der Isolation. Wenn Sie zu viele Segmente erstellen, wird es schwierig, Kommunikationspunkte zu identifizieren oder gültige Kommunikationspfade innerhalb des Segments zu ermöglichen.
Identität als primären Sicherheitsperimeter einrichten
Verschiedene Identitäten wie Personen, Softwarekomponenten oder Geräte greifen auf Workloadsegmente zu. Identität ist ein Umkreis, der die primäre Verteidigungslinie sein sollte, um den Zugriff über Isolationsgrenzen hinweg zu authentifizieren und zu autorisieren, unabhängig davon, wo die Zugriffsanforderung stammt. Verwenden Sie die Identität als Umkreis, um:
Zuweisen des Zugriffs nach Rolle. Identitäten benötigen nur Zugriff auf die Segmente, die für ihre Aufgabe erforderlich sind. Minimieren Sie den anonymen Zugriff, indem Sie die Rollen und Verantwortlichkeiten der anfordernden Identität verstehen, damit Sie die Entität kennen, die den Zugriff auf ein Segment anfordert und zu welchem Zweck.
Eine Identität verfügt möglicherweise über unterschiedliche Zugriffsbereiche in verschiedenen Segmenten. Betrachten Sie ein typisches Umgebungssetup mit separaten Segmenten für jede Phase. Identitäten, die der Entwicklerrolle zugeordnet sind, haben Lese-/Schreibzugriff auf die Entwicklungsumgebung. Wenn die Bereitstellung in das Staging wechselt, werden diese Berechtigungen eingeschränkt. Wenn die Arbeitsauslastung in die Produktion höhergestuft wird, wird der Umfang für Entwickler auf schreibgeschützten Zugriff reduziert.
Berücksichtigen Sie Anwendungs- und Verwaltungsidentitäten separat. In den meisten Lösungen haben Benutzer eine andere Zugriffsebene als Entwickler oder Operatoren. In einigen Anwendungen können Sie für jeden Identitätstyp unterschiedliche Identitätssysteme oder Verzeichnisse verwenden. Erwägen Sie die Verwendung von Zugriffsbereichen und das Erstellen separater Rollen für jede Identität.
Weisen Sie den Zugriff auf die geringsten Rechte zu. Wenn die Identität zugriff zulässig ist, bestimmen Sie die Zugriffsebene. Beginnen Sie mit den geringsten Berechtigungen für jedes Segment, und erweitern Sie diesen Bereich nur bei Bedarf.
Wenn Sie die geringsten Berechtigungen anwenden, beschränken Sie die negativen Auswirkungen, wenn die Identität jemals kompromittiert wird. Wenn der Zugriff zeitlich begrenzt ist, wird die Angriffsfläche weiter reduziert. Der zeitlich begrenzte Zugriff gilt insbesondere für kritische Konten, z. B. Administratoren oder Softwarekomponenten, die eine kompromittierte Identität haben.
Kompromiss: Die Leistung der Workload kann von Identitätsperimetern beeinflusst werden. Für die Überprüfung jeder Anforderung sind explizit zusätzliche Computezyklen und zusätzliche Netzwerk-E/A erforderlich.
Die rollenbasierte Zugriffssteuerung (RBAC) führt auch zu Verwaltungsaufwand. Das Nachverfolgen von Identitäten und ihren Zugriffsbereichen kann in Rollenzuweisungen komplex werden. Die Problemumgehung besteht darin, Sicherheitsgruppen Anstelle einzelner Identitäten Rollen zuzuweisen.
Risiko: Identitätseinstellungen können komplex sein. Fehlkonfigurationen können sich auf die Zuverlässigkeit der Workload auswirken. Angenommen, es gibt eine falsch konfigurierte Rollenzuweisung, die den Zugriff auf eine Datenbank verweigert. Die Anforderungen schlagen fehl, verursachen schließlich Zuverlässigkeitsprobleme, die bis zur Laufzeit nicht erkannt werden können.
Informationen zu Identitätssteuerelementen finden Sie unter Identitäts- und Zugriffsverwaltung.
Im Gegensatz zu Netzwerkzugriffssteuerelementen überprüft die Identität die Zugriffssteuerung zur Zugriffszeit. Es wird dringend empfohlen, regelmäßige Zugriffsüberprüfungen durchzuführen und einen Genehmigungsworkflow zum Abrufen von Berechtigungen für kritische Auswirkungskonten zu benötigen. Siehe z. B. Identitätssegmentierungsmuster.
Verbessern von Netzwerken als Umkreis
Identitätsperimeter sind netzwerkagnostisch, während Netzwerkperimeter die Identität erweitern, aber nie ersetzen. Netzwerkperimeter werden eingerichtet, um den Strahlradius zu steuern, unerwarteten, verbotenen und unsicheren Zugriff zu blockieren und Workloadressourcen zu verschleiern.
Während der primäre Fokus des Identitätsperimeters am wenigsten berechtigungen ist, sollten Sie davon ausgehen, dass beim Entwerfen des Netzwerkperimeters eine Verletzung vorliegt.
Erstellen Sie softwaredefinierte Umkreise in Ihrem Netzwerkbedarf mithilfe von Azure-Diensten und -Features. Wenn eine Workload (oder Teile einer bestimmten Workload) in separate Segmente platziert wird, steuern Sie den Datenverkehr von oder zu diesen Segmenten, um Kommunikationspfade zu sichern. Wenn ein Segment kompromittiert wird, ist es enthalten und daran gehindert, sich über den Rest Ihres Netzwerks lateral zu verbreiten.
Denken Sie wie ein Angreifer daran, innerhalb der Workload eine Fußzeile zu erreichen und Steuerelemente einzurichten, um weitere Erweiterungen zu minimieren. Die Steuerelemente sollten Angreifer erkennen, enthalten und daran hindern, Zugriff auf die gesamte Workload zu erhalten. Hier sind einige Beispiele für Netzwerksteuerelemente als Umkreis:
- Definieren Sie Ihren Edgeperimeter zwischen öffentlichen Netzwerken und dem Netzwerk, in dem Ihre Workload platziert wird. Beschränken Sie die Sichtlinie von öffentlichen Netzwerken auf Ihr Netzwerk so weit wie möglich.
- Implementieren Sie entilitarisierte Zonen (DMZs) vor der Anwendung mit ordnungsgemäßen Kontrollen über Firewalls.
- Erstellen Sie mikrosegmentierung innerhalb Ihres privaten Netzwerks, indem Sie Teile der Workload in separate Segmente gruppieren. Stellen Sie sichere Kommunikationspfade zwischen ihnen her.
- Erstellen Sie Grenzen auf der Grundlage von Absichten. Segmenten Sie z. B. funktionsbezogene Netzwerke aus betrieblichen Netzwerken.
Allgemeine Muster im Zusammenhang mit der Netzwerksegmentierung finden Sie unter Netzwerksegmentierungsmuster.
Tradeoff: Netzwerksicherheitskontrollen sind häufig teuer, da sie in den Premium-SKUs enthalten sind. Das Konfigurieren von Regeln für Firewalls führt häufig zu einer überwältigenDen Komplexität, die umfassende Ausnahmen erfordert.
Private Konnektivität ändert den Architekturentwurf und fügt häufig weitere Komponenten wie Sprungfelder für den privaten Zugriff auf Computeknoten hinzu.
Da Netzwerkperimeter auf Kontrollpunkten oder Hops im Netzwerk basieren, kann jeder Hop ein potenzieller Fehlerpunkt sein. Diese Punkte können sich auf die Zuverlässigkeit des Systems auswirken.
Risiko: Netzwerksteuerelemente sind regelbasiert und es besteht eine erhebliche Wahrscheinlichkeit einer Fehlkonfiguration, was eine Zuverlässigkeitsbedenken darstellt.
Informationen zu Netzwerksteuerelementen finden Sie unter Netzwerk und Konnektivität.
Definieren von Rollen und klaren Verantwortungslinien
Segmentierung, die Verwirrung und Sicherheitsrisiken verhindert, wird erreicht, indem klare Verantwortungslinien innerhalb eines Workloadteams definiert werden.
Dokumentieren und teilen Sie Rollen und Funktionen, um Konsistenz zu schaffen und die Kommunikation zu erleichtern. Legen Sie Gruppen oder einzelne Rollen fest, die für Schlüsselfunktionen verantwortlich sind. Berücksichtigen Sie die integrierten Rollen in Azure, bevor Sie benutzerdefinierte Rollen für Objekte erstellen.
Berücksichtigen Sie beim Zuweisen von Berechtigungen für ein Segment Konsistenz bei der Berücksichtigung mehrerer Organisationsmodelle. Diese Modelle können einen sehr variablen Umfang haben, von einer einzelnen zentralen IT-Gruppe bis hin zu überwiegend unabhängigen IT- und DevOps-Teams.
Risiko: Die Mitgliedschaft von Gruppen kann sich im Laufe der Zeit ändern, wenn Mitarbeiter Teams beitreten oder Teams verlassen oder Rollen ändern. Die Verwaltung von Rollen in segmentübergreifenden Segmenten kann zu Verwaltungsaufwand führen.
Organisieren von Ressourcen zum Höherstufen der Segmentierung
Mithilfe der Segmentierung können Sie Arbeitsauslastungsressourcen aus anderen Teilen der Organisation oder sogar innerhalb des Teams isolieren. Azure-Konstrukte, z. B. Verwaltungsgruppen, Abonnements, Umgebungen und Ressourcengruppen, sind Methoden zum Organisieren Ihrer Ressourcen, die die Segmentierung fördern. Hier sind einige Beispiele für die Isolation auf Ressourcenebene:
- Polyglot Persistenz umfasst eine Kombination aus Datenspeichertechnologien anstelle eines einzelnen Datenbanksystems zur Unterstützung der Segmentierung. Verwenden Sie die Polyglotpersistenz zur Trennung durch verschiedene Datenmodelle, die Trennung von Funktionen wie Datenspeicherung und Analyse oder zur Trennung durch Zugriffsmuster.
- Weisen Sie einen Dienst für jeden Server zu, wenn Sie Die Berechnung organisieren. Diese Isolationsstufe minimiert komplexität und kann dazu beitragen, einen Angriff zu enthalten.
- Azure bietet eine integrierte Isolation für einige Dienste, z. B. die Trennung von Compute vom Speicher. Weitere Beispiele finden Sie unter Isolation in der öffentlichen Azure-Cloud.
Kompromiss: Die Ressourcenisolation kann zu einer Erhöhung der Gesamtbetriebskosten (TCO) führen. Bei Datenspeichern kann die Komplexität und Koordination während der Notfallwiederherstellung hinzugefügt werden.
Azure-Erleichterung
Bestimmte Azure-Dienste stehen zur Verwendung bei der Implementierung einer Segmentierungsstrategie zur Verfügung, wie in den folgenden Abschnitten beschrieben.
Identität
Azure RBAC unterstützt die Segmentierung durch Isolieren des Zugriffs nach Auftragsfunktion. Nur bestimmte Aktionen sind für bestimmte Rollen und Bereiche zulässig. Beispielsweise können Auftragsfunktionen, die nur das System beobachten müssen, Leseberechtigungen und Mitwirkendeberechtigungen zugewiesen werden, mit denen die Identität Ressourcen verwalten kann.
Weitere Informationen finden Sie unter Bewährte Methoden für RBAC.
Netzwerk
Virtuelle Netzwerke: Virtuelle Netzwerke bieten Ressourcen auf Netzwerkebene, ohne Datenverkehr zwischen zwei virtuellen Netzwerken hinzuzufügen. Virtuelle Netzwerke werden in privaten Adressräumen innerhalb eines Abonnements erstellt.
Netzwerksicherheitsgruppen (NSG): Ein Zugriffssteuerungsmechanismus zur Steuerung des Datenverkehrs zwischen Ressourcen in virtuellen Netzwerken und externen Netzwerken, z. B. das Internet. Implementieren Sie benutzerdefinierte Routen (UDR), um den nächsten Hop für den Datenverkehr zu steuern. NSGs können Ihre Segmentierungsstrategie auf eine granulare Ebene bringen, indem Sie Umkreise für ein Subnetz, einen virtuellen Computer (VM) oder eine Gruppe von virtuellen Computern erstellen. Informationen zu möglichen Vorgängen mit Subnetzen in Azure finden Sie unter Subnetze.
Anwendungssicherheitsgruppen (ASGs): MIT ASGs können Sie eine Gruppe von virtuellen Computern unter einem Anwendungstag gruppieren und Datenverkehrsregeln definieren, die dann auf die zugrunde liegenden virtuellen Computer angewendet werden.
Azure Firewall: Ein cloudnativer Dienst, der in Ihrem virtuellen Netzwerk oder in Azure Virtual WAN Hub-Bereitstellungen bereitgestellt werden kann. Verwenden Sie Azure Firewall, um den Datenverkehr zwischen Cloudressourcen, dem Internet und lokalen Ressourcen zu filtern. Verwenden Sie Azure Firewall oder Azure Firewall Manager , um Regeln oder Richtlinien zu erstellen, die Datenverkehr mithilfe von Layer 3 zu Layer 7-Steuerelementen zulassen oder verweigern. Filtern Sie Internetdatenverkehr mithilfe von Azure Firewall und Drittanbietern, indem Sie Datenverkehr über Sicherheitsanbieter von Drittanbietern leiten, um erweiterte Filterung und Benutzerschutz zu ermöglichen. Azure-Support s die Bereitstellung der virtuellen Netzwerk-Appliance, die bei der Segmentierung von Firewalls von Drittanbietern hilft.
Beispiel
Im Folgenden finden Sie einige gängige Muster zum Segmentieren einer Workload in Azure. Wählen Sie ein Muster basierend auf Ihren Anforderungen aus.
Dieses Beispiel baut auf der IT-Umgebung (Information Technology) auf, die in der Sicherheitsgrundlinie (SE:01) eingerichtet wurde. Das folgende Diagramm zeigt die Segmentierung auf Verwaltungsgruppenebene, die von einer Organisation durchgeführt wird.
Identitätssegmentierungsmuster
Muster 1: Jobtitelbasierte Gruppierung
Eine Möglichkeit zum Organisieren von Sicherheitsgruppen ist die Position wie Softwaretechniker, Datenbankadministrator, Websitezulässigkeitstechniker, Qualitätsüberprüfungstechniker oder Sicherheitsanalyst. Dieser Ansatz umfasst das Erstellen von Sicherheitsgruppen für Ihr Workloadteam basierend auf ihren Rollen, ohne die zu erledigende Arbeit in Betracht zu ziehen. Gewähren Sie Sicherheitsgruppen RBAC-Berechtigungen, stehend oder just in time (JIT), entsprechend ihren Zuständigkeiten in der Workload. Weisen Sie Sicherheitsgruppen basierend auf ihrem bedarfsgerechten Zugriff menschlichen und Dienstprinzipien zu.
Die Mitgliedschaft ist auf der Rollenzuweisungsebene sehr sichtbar, sodass sie leicht erkennen kann, auf welche Rolle eine Rolle zugreifen kann. Jede Person ist in der Regel nur Mitglied einer Sicherheitsgruppe, was das Onboarding und Offboarding erleichtert. Wenn die Position jedoch nicht perfekt mit Zuständigkeiten überlappt, ist die titelbasierte Gruppierung nicht ideal für die Implementierung der geringsten Rechte. Möglicherweise kombinieren Sie die Implementierung mit funktionsbasierter Gruppierung.
Muster 2: Funktionsbasierte Gruppierung
Funktionsbasierte Gruppierung ist eine Methode der Sicherheitsgruppenorganisation, die diskrete Arbeit widerspiegelt, die erreicht werden muss, ohne die Teamstruktur zu berücksichtigen. Mit diesem Muster gewähren Sie den Sicherheitsgruppen RBAC-Berechtigungen, stehen oder JIT nach Bedarf entsprechend ihrer erforderlichen Funktion in der Workload.
Weisen Sie Sicherheitsgruppen basierend auf ihrem bedarfsgerechten Zugriff menschlichen und Dienstprinzipien zu. Verwenden Sie nach Möglichkeit vorhandene homogene Gruppen als Mitglieder der funktionsbasierten Gruppen, z. B. diese Gruppen aus Muster 1. Beispiele für funktionsbasierte Gruppen sind:
- Produktionsdatenbankoperatoren
- Vorproduktionsdatenbankoperatoren
- Rotationsoperatoren für Produktionszertifikate
- Rotationsoperatoren für Vorproduktionszertifikate
- Produktions-Live-Site/Triage
- Vorproduktion aller Zugriffe
Dieser Ansatz behält den strengsten Zugriff auf geringste Rechte bei und bietet Sicherheitsgruppen, bei denen der Umfang offensichtlich ist, wodurch die Mitgliedschaften im Verhältnis zu aufgabenbezogenen Aufgaben leicht überwacht werden können. Häufig ist eine integrierte Azure-Rolle vorhanden, um diese Auftragsfunktion zu erfüllen.
Die Mitgliedschaft wird jedoch mindestens eine Ebene abstrahiert, wodurch Sie gezwungen werden, zum Identitätsanbieter zu wechseln, um zu verstehen, wer sich in der Gruppe befindet, wenn Sie aus der Ressourcenperspektive suchen. Darüber hinaus muss eine Person über mehrere Mitgliedschaften verfügen, um eine vollständige Abdeckung zu gewährleisten. Die Matrix überlappender Sicherheitsgruppen kann komplex sein.
Muster 2 wird empfohlen, die Zugriffsmuster als Fokus zu machen, nicht das Organigramm. Organigramme und Mitgliedsrollen ändern sich manchmal. Durch die Erfassung der Identitäts- und Zugriffsverwaltung Ihrer Workload aus funktionaler Sicht können Sie Ihre Teamorganisation aus der sicheren Verwaltung der Workload abstrahieren.
Netzwerksegmentierungsmuster
Muster 1: Segmentierung innerhalb einer Workload (weiche Grenzen)
In diesem Muster wird die Arbeitsauslastung in einem einzelnen virtuellen Netzwerk platziert, indem Subnetze verwendet werden, um Grenzen zu markieren. Die Segmentierung wird mithilfe von zwei Subnetzen erreicht, eines für Datenbank und eine für Webworkloads. Sie müssen NSGs konfigurieren, mit denen Subnetz 1 nur mit Subnetz 2 und Subnetz 2 kommunizieren kann, um nur mit dem Internet zu kommunizieren. Dieses Muster stellt steuerelement der Ebene 3 bereit.
Muster 2: Segmentierung innerhalb einer Workload
Dieses Muster ist ein Beispiel für die Segmentierung auf Plattformebene. Workload components sind über mehrere Netzwerke verteilt, ohne zwischen ihnen peering. Alle Kommunikationen werden über einen Vermittler geleitet, der als öffentlicher Zugangspunkt dient. Das Workload-Team besitzt alle Netzwerke.
Muster 2 bietet Eindämmung, hat aber die zusätzliche Komplexität der Verwaltung und Größenanpassung des virtuellen Netzwerks. Die Kommunikation zwischen den beiden Netzwerken erfolgt über das öffentliche Internet, was ein Risiko sein kann. Es gibt auch Latenz mit öffentlichen Verbindungen. Die beiden Netzwerke können jedoch peered werden, indem sie segmentiert werden, indem sie verbunden werden, um ein größeres Segment zu erstellen. Peering sollte erfolgen, wenn keine anderen öffentlichen Endpunkte erforderlich sind.
Überlegungen | Muster 1 | Muster 2 |
---|---|---|
Konnektivität und Routing: Kommunikation der einzelnen Segmente | Das Systemrouting bietet standardmäßige Konnektivität zu Workloadkomponenten. Keine externe Komponente kann mit der Workload kommunizieren. | Innerhalb des virtuellen Netzwerks, identisch mit Muster 1. Zwischen Netzwerken geht der Datenverkehr über das öffentliche Internet. Es gibt keine direkte Verbindung zwischen den Netzwerken. |
Datenverkehrsfilterung auf Netzwerkebene | Der Datenverkehr zwischen den Segmenten ist standardmäßig zulässig. Verwenden Sie NSGs oder ASGs, um Datenverkehr zu filtern. | Innerhalb des virtuellen Netzwerks, identisch mit Muster 1. Zwischen den Netzwerken können Sie sowohl den Eingangs- als auch den Ausgehenden Datenverkehr über eine Firewall filtern. |
Unbeabsichtigt geöffnete öffentliche Endpunkte | Netzwerkschnittstellenkarten (Network Interface Cards, NICs) erhalten keine öffentlichen IPs. Virtuelle Netzwerke werden nicht für die Internet-API-Verwaltung verfügbar gemacht. | Identisch mit Muster 1. Vorgesehener öffentlicher Endpunkt in einem virtuellen Netzwerk, der falsch konfiguriert werden kann, um mehr Datenverkehr zu akzeptieren. |
Ressourcenorganisation
Organisieren von Azure-Ressourcen basierend auf der Verantwortung des Besitzes
Erwägen Sie eine Azure-Umgebung, die mehrere Workloads und Komponenten für gemeinsame Dienste enthält, z. B. virtuelle Hubnetzwerke, Firewalls, Identitätsdienste und Sicherheitsdienste wie Microsoft Sentinel. Komponenten in der gesamten Fläche sollten basierend auf ihren Funktionsbereichen, Workloads und Besitz gruppiert werden. Beispielsweise sollten freigegebene Netzwerkressourcen in einem einzigen Abonnement gruppiert und von einem Netzwerkteam verwaltet werden. Komponenten, die einzelnen Workloads zugeordnet sind, sollten sich in ihrem eigenen Segment befinden und möglicherweise auf Der Grundlage von Anwendungsebenen oder anderen Organisationsprinzipien weiter aufgeteilt werden.
Gewähren Sie Zugriff auf die Verwaltung von Ressourcen innerhalb einzelner Segmente, indem Sie RBAC-Rollenzuweisungen erstellen. Beispielsweise kann dem Cloudnetzwerkteam Administratorzugriff auf das Abonnement gewährt werden, das ihre Ressourcen enthält, aber nicht auf einzelne Workloadabonnements.
Eine gute Segmentierungsstrategie ermöglicht es, die Besitzer der einzelnen Segmente leicht zu identifizieren. Erwägen Sie die Verwendung von Azure-Ressourcentags zum Kommentieren von Ressourcengruppen oder Abonnements mit dem Besitzerteam.
Konfigurieren und Überprüfen der Zugriffssteuerung
Gewähren Sie basierend auf Bedarf geeignete Zugriffsberechtigungen, indem Sie Segmente für Ihre Ressourcen klar definieren.
Berücksichtigen Sie das Prinzip der geringsten Berechtigungen, wenn Sie Zugriffssteuerungsrichtlinien definieren. Es ist wichtig, zwischen Steuerungsebenenvorgängen (Verwaltung der Ressource selbst) und Datenebenenvorgängen (Zugriff auf die von der Ressource gespeicherten Daten) zu unterscheiden. Angenommen, Sie haben eine Arbeitsauslastung, die eine Datenbank mit vertraulichen Informationen zu Mitarbeitern enthält. Sie können einigen Benutzern Zugriff auf die Verwaltung gewähren, die Einstellungen wie Datenbanksicherungen oder Benutzer konfigurieren müssen, die die Leistung des Datenbankservers überwachen. Diese Benutzer sollten jedoch nicht in der Lage sein, die in der Datenbank gespeicherten vertraulichen Daten abzufragen. Wählen Sie Berechtigungen aus, die den Mindestumfang gewähren, der für Benutzer erforderlich ist, um ihre Aufgaben auszuführen. Überprüfen Sie rollenzuweisungen für jedes Segment regelmäßig, und entfernen Sie den nicht mehr benötigten Zugriff.
Hinweis
Einige hoch privilegierte Rollen, z. B. die Besitzerrolle in RBAC, bieten Benutzern die Möglichkeit, anderen Benutzern Zugriff auf eine Ressource zu gewähren. Beschränken Sie die Anzahl der Benutzer oder Gruppen, denen die Besitzerrolle zugewiesen ist, und überprüfen Sie regelmäßig Überwachungsprotokolle, um sicherzustellen, dass sie nur gültige Vorgänge ausführen.
Verwandte Links
- Isolation in der öffentlichen Azure-Cloud
- Empfehlungen für RBAC
- Übersicht über virtuelle Netzwerke
- ASGs
- Azure Firewall
- Firewall-Manager – Übersicht
Checkliste für die Sicherheit
Lesen Sie den vollständigen Satz von Empfehlungen.