Recomendaciones para crear una estrategia de segmentación
Se aplica a la recomendación de la lista de verificación de seguridad bien diseñada: Power Platform
| SE:04 | Cree segmentaciones y perímetros intencionales en el diseño de su arquitectura y la huella ambiental de la carga de trabajo en la plataforma. La estrategia de segmentación debe incluir redes, roles y responsabilidades, identidades de carga de trabajo y organización de recursos. |
|---|
Una estrategia de segmentación define cómo se separan las cargas de trabajo de otras cargas de trabajo con su propio conjunto de requisitos y medidas de seguridad.
Esta guía describe las recomendaciones para crear una estrategia de segmentación unificada. Al utilizar perímetros y límites de aislamiento en cargas de trabajo puede diseñar un enfoque de seguridad válido para usted.
Definiciones
| Término | Definición |
|---|---|
| Contención | Una técnica para contener el radio afectado si un atacante obtiene acceso a un segmento. |
| Acceso de privilegio mínimo | Un principio de confianza cero cuyo objetivo es reducir al mínimo un conjunto de permisos para completar una función de trabajo. |
| Perímetro | El límite de confianza alrededor de un segmento. |
| Organización de recursos | Una estrategia para agrupar recursos relacionados por flujos dentro de un segmento. |
| Role | Un conjunto de permisos necesarios para completar una función de trabajo. |
| Segmento | Una unidad lógica que está aislada de otras entidades y protegida por un conjunto de medidas de seguridad. |
Estrategias clave de diseño
El concepto de segmentación suele utilizarse para redes. Sin embargo, se puede utilizar el mismo principio subyacente en toda la solución, incluida la segmentación de recursos con fines de gestión y control de acceso.
La segmentación le ayuda a diseñar un enfoque de seguridad que aplique una defensa en profundidad basada en los principios del modelo Zero Trust. Asegúrese de que un atacante que realice una infracción en un segmento no pueda obtener acceso a otro segmentando las cargas de trabajo con diferentes controles de identidad. En un sistema seguro se utilizan diferentes atributos, como la red y la identidad, para bloquear el acceso no autorizado y ocultar los activos para que no queden expuestos.
A continuación se incluyen algunos ejemplos de segmentos:
- Controles de plataforma que definen los límites de la red
- Entornos que aíslan las cargas de trabajo de una organización
- Soluciones que aíslan activos de carga de trabajo
- Entornos de implementación que aíslan la implementación por etapas
- Equipos y roles que aíslan funciones de trabajo relacionadas con el desarrollo y la gestión de las cargas de trabajo
- Niveles de aplicaciones que se aíslan por utilidad de carga de trabajo
- Microservicios que aíslan un servicio de otro
Considere estos elementos clave de la segmentación para asegurarse de crear una estrategia integral de defensa en profundidad:
El límite o perímetro es el borde de entrada de un segmento en el que se aplican controles de seguridad. Los controles perimetrales deben bloquear el acceso al segmento a menos que se permita explícitamente. El objetivo es evitar que un atacante atraviese el perímetro y obtenga control del sistema. Por ejemplo, un usuario puede tener acceso a un entorno pero solo puede iniciar aplicaciones específicas en ese entorno según sus permisos.
La contención es el borde de salida de un segmento que evita el movimiento lateral en el sistema. El objetivo de la contención es minimizar el efecto de una infracción. Por ejemplo, se puede utilizar una red virtual para configurar grupos de enrutamiento y seguridad de red para permitir solo los patrones de tráfico esperados, evitando el tráfico a segmentos de red arbitrarios.
El aislamiento es la práctica de agrupar entidades con garantías similares para proteger con un proteger. El objetivo es facilitar la gestión y la contención de un ataque dentro de un entorno. Por ejemplo, puede agrupar los recursos relacionados con una carga de trabajo específica en un entorno o una solución de Power Platform y luego aplicar control de acceso para que solo los equipos de cargas de trabajo específicas puedan acceder al entorno.
Es importante tener en cuenta la distinción entre perímetros y aislamiento. El perímetro se refiere a los puntos de ubicación que deben verificarse. El aislamiento hace referencia a la agrupación. Contenga activamente un ataque utilizando estos conceptos conjuntamente.
Aislamiento no significa crear silos en la organización. Una estrategia de segmentación unificada proporciona alineación entre los equipos técnicos y establece líneas de responsabilidad claras. La claridad reduce el riesgo de errores humanos y fallos de automatización que pueden provocar vulnerabilidades de seguridad, tiempo de inactividad operativa o ambos. Supongamos que se detecta una infracción de seguridad en un componente de un sistema empresarial complejo. Es importante que todos comprendan quién es responsable de ese recurso para que se incluya a la persona adecuada en el equipo de clasificación. La organización y las partes interesadas pueden identificar rápidamente cómo responder a diferentes tipos de incidentes creando y documentando una buena estrategia de segmentación.
Compensación: La segmentación introduce complejidad porque implica gastos generales de gestión.
Riesgo: La microsegmentación más allá de un límite razonable pierde el beneficio del aislamiento. Cuando se crean demasiados segmentos, resulta difícil identificar puntos de comunicación o permitir rutas de comunicación válidas dentro del segmento.
Identidad como perímetro
Varias identidades, como personas, componentes de software o dispositivos, acceden a segmentos de carga de trabajo. La identidad es un perímetro que debe ser la principal línea de defensa para autenticar y autorizar el acceso a través de límites de aislamiento, independientemente de dónde se origine la solicitud de acceso. Utilice la identidad como perímetro para:
Asignar acceso por rol. Las identidades solo necesitan acceso a los segmentos necesarios para realizar su trabajo. Minimice el acceso anónimo comprendiendo las funciones y responsabilidades de la identidad solicitante para conocer la entidad que solicita acceso a un segmento y con qué propósito.
Una identidad puede tener diferentes ámbitos de acceso en diferentes segmentos. Considere una configuración de entorno típica, con segmentos separados para cada etapa. Las identidades asociadas con el rol de desarrollador tienen acceso de lectura y escritura en el entorno de desarrollo. A medida que la implementación pasa a la etapa de preparación, esos permisos se restringen. Cuando la carga de trabajo pasa a producción, el ámbito de los desarrolladores se reduce al acceso de solo lectura.
Considere las identidades de aplicación y administración por separado. En la mayoría de las soluciones, los usuarios tienen un nivel de acceso diferente al de los desarrolladores u operadores. En algunas aplicaciones, se pueden utilizar diferentes sistemas de identidad o directorios para cada tipo de identidad. Considere la posibilidad de crear roles separados para cada identidad.
Asigne acceso de privilegio mínimo. Si se permite el acceso a la identidad, determine el nivel de acceso. Comience con el privilegio mínimo para cada segmento y amplíe ese ámbito solo cuando sea necesario.
Al aplicar el privilegio mínimo se limitan los efectos negativos si la identidad se ve comprometida en algún momento. Si el acceso está limitado por el tiempo, la superficie de ataque se reduce aún más. El acceso limitado por tiempo es especialmente aplicable a cuentas críticas, como administradores o componentes de software que tienen una identidad comprometida.
Para obtener información sobre los controles de identidad, consulte Recomendaciones para la gestión de identidades y accesos.
A diferencia de los controles de acceso a la red, la identidad valida el control de acceso en tiempo de acceso. Se recomienda encarecidamente realizar una revisión de acceso periódica y exigir un flujo de trabajo de aprobación para obtener privilegios para cuentas de impacto crítico.
Red como perímetro
Los perímetros de identidad son independientes de la red, mientras que los perímetros de red aumentan la identidad pero nunca la reemplazan. Los perímetros de red se establecen para controlar el radio afectado, bloquear el acceso inesperado, prohibido e inseguro y ofuscar los recursos de la carga de trabajo.
Si bien el enfoque principal del perímetro de identidad es el privilegio mínimo, debe asumir que habrá una infracción al diseñar el perímetro de la red.
Cree perímetros definidos por software en la huella ambiental de su red utilizando servicios y características de Power Platform y Azure. Cuando una carga de trabajo (o partes de una carga de trabajo determinada) se coloca en segmentos separados, usted controla el tráfico desde o hacia esos segmentos para proteger las rutas de comunicación. Si un segmento se ve comprometido, se contiene y se evita que se propague lateralmente por el resto de su red.
Piense como un atacante para lograr un punto de apoyo en la carga de trabajo y establecer controles para minimizar una mayor expansión. Los controles deben detectar, contener y evitar que los atacantes obtengan acceso a toda la carga de trabajo. A continuación se muestran algunos ejemplos de controles de red como perímetro:
- Defina su perímetro de borde entre las redes públicas y la red donde se ubica su carga de trabajo. Restrinja la línea de visión de las redes públicas a su red tanto como sea posible.
- Cree límites según la intención. Por ejemplo, segmente las redes funcionales de carga de trabajo de las redes operativas.
Roles y responsabilidades
La segmentación que evita confusión y riesgos de seguridad se logra definiendo claramente las líneas de responsabilidad dentro de un equipo de carga de trabajo.
Documente y comparta roles y funciones para crear coherencia y facilitar la comunicación. Designe grupos o roles individuales que sean responsables de funciones clave. Considere los roles integrados de Power Platform antes de crear roles personalizados para objetos.
Considere la coherencia y tenga en cuenta varios modelos organizativos al asignar permisos para un segmento. Estos modelos pueden variar desde un único grupo de TI centralizado hasta equipos de TI y DevOps fundamentalmente independientes.
Organización de recursos
La segmentación le permite aislar los recursos de carga de trabajo de otras partes de la organización o incluso dentro del equipo. Las construcciones de Power Platform, como los entornos y las soluciones, son formas de organizar los recursos que promueven la segmentación.
Facilitación de Power Platform
Las siguientes secciones describen características y capacidades de Power Platform que puede utilizar para implementar una estrategia de segmentación.
Identidad
Todos los productos de Power Platform usan Microsoft Entra ID (anteriormente Azure Active Directory o Azure AD) para la administración de la identidad y el acceso. Puede utilizar roles de seguridad integrados, acceso condicional, Privileged Identity Management y administración de acceso de grupo en Entra ID para definir sus perímetros de identidad.
Microsoft Dataverse utiliza la seguridad basada en roles para agrupar una recopilación de privilegios. Estos roles de seguridad pueden asociarse directamente con usuarios o con equipos y unidades de negocio de Dataverse. Para obtener más información, consulte Conceptos de seguridad en Microsoft Dataverse.
Redes
Con el soporte de Azure Virtual Network para Power Platform, puede integrar Power Platform con recursos de su red virtual sin exponerlos a través del Internet público. La compatibilidad con Virtual Network utiliza la delegación de subred de Azure para administrar el tráfico saliente en tiempo de ejecución desde Power Platform. El uso de un delegado evita la necesidad de que los recursos protegidos viajen a través de Internet para integrarse con Power Platform. Los componentes de Virtual Network, Dataverse y Power Platform pueden llamar a recursos propiedad de su empresa dentro de su red, ya sea que estén alojados en Azure o local, y usar complementos y conectores para realizar llamadas salientes. Para obtener más información, consulte Introducción al soporte de Virtual Network para Power Platform.
El firewall de IP para entornos ayuda a proteger sus datos al limitar el acceso de los usuarios solo desde las ubicaciones de IP permitidas. Power Platform Dataverse
Microsoft Azure ExpressRoute Proporciona una forma avanzada de conectar su red local a servicios en la nube mediante conectividad privada. Microsoft Se puede usar una única conexión de ExpressRoute para acceder a varios servicios en línea; por ejemplo, Microsoft Power Platform, Dynamics 365, Microsoft 365 y Azure.
Lista de verificación de seguridad
Consulte el conjunto completo de recomendaciones.