Segmentointistrategian muodostussuositukset
Koskee hyvin suunniteltua tietoturvan tarkistuslistasuositusta Power Platform :
| SE:04 | Tarkoituksellisten segmentoinnin ja reunojen luominen arkkitehtuurin rakenteeseen ja työkuorman pinta-alaan ympäristössä. Segmentointistrategian on sisällettävä verkot, roolit ja vastuut, työmäärän tunnistetiedot ja resurssiorganisaatio. |
|---|
Segmentointistrategia määrittää, miten työkuormat erotetaan muista työkuormista omien suojausvaatimusten ja -toimien avulla.
Tässä oppaassa käsitellään yhtenäisten segmentointistrategian muodostamista koskevia suosituksia. Reunojen ja eristysrajojen käyttäminen työkuormissa mahdollistaa itselle sopivan suojauksen suunnittelemisen.
Määritelmät
| Termi | Määritelmä |
|---|---|
| Eristäminen | Tekniikka, jolla vaikutusaluetta hallitaan, jos hyökkääjä pääsee segmenttiin. |
| Mahdollisimman vähäinen käyttöoikeus | Zero Trust -periaate, jonka tavoitteena on minimoida oikeuksien sarja, joka tarvitaan työtoiminnon suorittamiseen. |
| Kehä | Segmenttiä ympäröivä luottamusraja. |
| Resurssiorganisaatio | Strategia, jolla liittyvät resurssit ryhmitetään segmentissä työnkuluittain. |
| Role | Käyttöoikeuksien joukko, joka tarvitaan työtoiminnon suorittamiseen. |
| Segmentti | Looginen muista entiteeteistä eristetty yksikkö, joka on suojattu suojaustoimin. |
Tärkeimmät suunnittelustrategiat
Segmentoinnin käsitettä käytetään yleisesti verkkojen yhteydessä. Samaa perusperiaatetta voidaan kuitenkin käyttää koko ratkaisussa, mukaan lukien resurssien segmentoinnissa hallinnan ja käyttöoikeuksien hallintaa varten.
Segmentointi auttaa suunnittelemaan suojausmenettelyn, jossa käytetään syvällistä suojausta Zero Trust -mallin periaatteiden mukaisesti. Tarkoituksena on varmistaa, että yhteen segmenttiin murtautuva hyökkääjä ei pääse toiseen segmenttiin. Se tehdään segmentoimalla työkuormat erilaisilla käyttäjätietojen hallintatoimilla. Suojatussa järjestelmässä eri määritteitä, kuten verkkoa ja käyttäjätietoja, käytetään estämään luvaton käyttö ja piilottamaan resurssit pois näkyvistä.
Esimerkkejä segmenteistä:
- Verkon rajat määrittämät ympäristön hallintatoimet
- Organisaatoin työkuormat eristävät ympäristöt
- Työkuorman resurssit eristävät ratkaisut
- Käyttöönoton vaiheittain eristävät käyttöönottoympäristöt
- Työkuorman kehittämiseen ja hallintaan liittyvät työtoiminnot eristävät tiimit ja roolit
- Työkuorman käyttötarkoituksen eristävät sovelluksen tasot
- Palvelut toisistaan eristävät mikropalvelut
Ottamalla seuraavat segmentoinnin keskeiset elementit huomioon voidaan varmistaa kokonaisvaltaisen syvällisen puolustusstrategian muodostuminen:
Raja tai reuna on segmentin saapumisreuna, jossa suojauksen hallintatoimia käytetään. Reunan hallintotoimien on estettävä segmentin käyttö ellei sitä nimenomaisesti sallita. Tavoitteena on estää hyökkääjää murtautumasta reunan läpi ja ottamassa järjestelmää hallintaansa. Vaikka käyttäjällä saattaa esimerkiksi olla ympäristön käyttöoikeus, hän voi käynnistää käyttöoikeuksien perusteella vain tiettyjä sovelluksia kyseissä ympäristössä.
Suojarakennus on segmentti ulostuloreuna, joka estää järjestelmän sivuttaisliikkeen. Rajaamisen tavoite on minimoida murtautumisen vaikutus. Näennäisverkkoa saatetaan ehkä esimerkiksi käytätä reitityksen ja verkon käyttöoikeusryhmien määrittämiseen siten, että vain odotetut liikennemallit sallitaan, jolloin liikenne verkon satunnaisiin segmentteihin vältetään.
Eristäminen on käytäntö, jossa yksiköt, joilla on samanlaiset vakuutukset, ryhmitellään yhteen suojata ne rajalla. Tavoitteena on helpottaa hyökkäyksen hallintaa ja rajaamista ympäristössä. Esimerkiksi tiettyyn työkuormaan liittyvät resurssit voidaan ryhmitellä yhteen Power Platform -ympäristöön tai yhteen ratkaisuun ja sallia sitten ympäristön käyttäminen vain tietyille työkuormatiimeille käyttöoikeuksien hallinnan avulla.
On tärkeä huomata rajojen ja eristyksen välinen ero. Raja viittaa sijainnin tiettyihin tarkistettaviin kohtiin. Eristämisessä on kyse ryhmittelystä. Hyökkääjä voidaan rajata aktiivisesti käyttämällä näitä käsitteitä yhdessä.
Eristäminen ei tarkoita siilojen luontia organisaatioon. Yhtenäinen segmentointistrategia mahdollistaa teknisten tiimien välisten kohdistuksen ja määrittää selkeät vastuualueet. Selkeys pienentää sellaisten inhimillisten virheiden ja automaationvikojen riskiä, jotka voivat johtaa suojauksen haavoittuvuuksiin, toimintojen käyttökatkoksiin tai molempiin. Oletetaan, että monimutkaisen yritysjärjestelmän komponentissa on havaittu tietoturvarikkomus. On tärkeää, että kaikki tietävät, kuka on vastuussa kyseisestä resurssista, jota oikea henkilö on mukana ongelman ratkaisutiimissä. Luomalla ja dokumentoimalla hyvän segmentointistrategian organisaatio ja sidosryhmät voivat tunnistaa nopeasti, miten erilaisiin tapauksiin reagoidaan.
Kompromissi: Segmentointi tuo monimutkaisuutta, koska hallinnassa on yleiskustannuksia.
Riski: Kohtuullisen rajan ylittävä mikrosegmentointi menettää eristäytymisen edun. Jos luotuja segmenttejä on liian paljon, yhteyspisteiden tunnistaminen hankaloituu samoin kuin kelvollisten yhteyspolkujen salliminen segmentissä.
Käyttäjätiedot rajana
Työkuorman segmenttejä käytetään eri käyttäjätiedoilla: ihmisinä, ohjelmistokomponentteina ja laitteina. Käyttäjätiedot rajana on syytä olla käytössä ensimmäisenä puolustuslinjana eristysrajat ylittävän käytön todentamisessa ja valtuuttamisessa riippumatta siitä, mistä käyttöoikeuspyyntö on peräisin. Käyttäjätietoja voi käyttää rajana seuraavissa:
Roolikohtainen käyttöoikeuden määrittäminen. Käyttäjätiedoilla voi käyttää vain työtehtävien suorittamiseen tarvittavia segmenttejä. Anonyymin käyttö voidaan minimoida, kun ymmärretään pyytävän käyttäjätiedon roolit ja vastuudet. Tällä tavoin segmentin käyttöoikeutta pyytävä entiteetti on tiedossa samoin kuin se, mitä varten käyttöoikeutta pyydetään.
Käyttäjätiedon käyttöoikeuden laajuus voi vaihdella segmenttikohtaisesti. Tavanomaisessa ympäristömäärityksessä kullakin vaiheella on erilliset segmentit. Kehittäjän rooliin liitetyillä käyttäjätiedoilla on kehitysympäristön luku- ja kirjoitusoikeudet. Kehityksen edetessä valmisteluvaiheeseen, kyseisiä oikeuksia rajoitetaan. Siinä vaiheessa kun työkuorma siirtyy tuotantoympäristöön kehittäjien vaikutusalueena on enää vain luku -oikeus.
Sovelluksen ja hallinnan käyttäjäpitojen erillään pitämisen harkitseminen. Useimmissa ratkaisuissa käyttäjillä on eri tason käyttöoikeudet kuin kehittäjillä tai operaattoreilla. Joissakin sovelluksissa saatetaan käyttää erilaisia käyttäjätieto järjestelmiä tai -hakemistona kullekin käyttäjätietotyypille. Erillisen roolien luomista kullekin käyttäjätiedolle kannattaa harkita.
Mahdollisimman vähäisen käyttöoikeuden määrittäminen. Jos käyttäjätiedolle on annettu käyttöoikeus, käyttöoikeuden taso on määritettävä. Kunkin segmentin kohdalla annetaan ensin mahdollisimman vähäinen oikeus, jonka jälkeen sen vaikutusaluetta laajennetaan vain tarvittaessa.
Mahdollisimman vähäistä käyttöoikeutta käytettäessä käyttäjätietojen mahdollisen vaarantumisen kielteisiä vaikutuksia voidaan rajoittaa. Jos käyttöoikeus on aikarajoitteinen, hyökkäyspinta pienenee entisestään. Aikarajoitteista käyttöoikeutta kannattaa käytetään etenkin tärkeiden tilien kohdalla. Niitä ovat esimerkiksi järjestelmänvalvojatili ja ohjelmistokomponentit, joiden käyttäjätieto on vaarantunut.
Lisätietoja käyttäjätietojen hallinnasta on kohdassa Käyttäjätietojen ja käyttöoikeuksien hallintasuositukset.
Toisin kuin verkon käyttöoikeuksien hallinnassa, käyttäjätiedot tarkistavat käyttöoikeuksien hallinnan käyttöhetkellä. On erittäin suositeltavaa suorittaa käyttöoikeuksien tarkistus säännöllisesti ja edellyttää hyväksyntätyönkulkua tärkeiden tilien oikeuksien hankkimisessa.
Verkkopalvelut rajana
Käyttäjätietorajat eivät ole verkosta riippuvaisia; verkon rajat puolestaan täydentävät käyttäjätietoja mutteivat koskaan korvaa niitä. Verkon rajat muodostetaan hallitsemaan vaikutusaluetta, estämään odottamaton, kielletty ja muu kuin turvallinen käyttö sekä peittämään työkuormaresurssit.
Vaikka käyttäjätietorajan yhteydessä käytetään etenkin mahdollisimman vähäistä käyttöoikeutta, verkon rajaa suunniteltaessa kannattaa olettaa, että rikkomus tulee tapahtumaan.
Ohjelmiston määrittämiä rajoja voidaan luoda verkon alueella Power Platformin ja Azuren palvelujen ja ominaisuuksien avulla. Kun työkuorma (tai tietyn työkuorman osia) sijoitetaan erillisiin segmentteihin, yhteyspolut suojataan hallitsemalla segmentin liikennettä. Jos segmentti on vaarantunut, se rajataan ja leviäminen sivusuunnassa muualle verkkoon estetään.
On pohdittava hyökkääjän tavoin, miten työkuormaan voidaan päästä käsiksi, jonka jälkeen muodostetaan hallintatoimia minimoimaan laajentuminen muualle. Hallintatoimien on havaittava, rajattava ja pysäytettävä hyökkääjät siten, etteivät he saa koko työkuorman käyttöoikeutta. Esimerkkejä verkon hallintatoimista rajana:
- Reunan rajan määrittäminen julkisten verkkojen ja sen verkon välille, johon työkuorma on sijoitettu. Näkyvyyttä julkisista verkoista omaan verkkoon on rajoitettava mahdollisimman paljon.
- Reunojen luominen aikomuksen perusteella. Esimerkiksi työkuorman toimintoverkot voidaan segmentoida operatiivisista verkoista.
Roolit ja velvollisuudet
Sekaannukset ja suojausriskit estävä segmentointi on mahdollista määrittämällä vastuualueet tarkasti työkuormatiimin sisällä.
Roolien ja toimintojen dokumentointi ja jakaminen luo yhdenmukaisuutta ja helpottaa viestintää. Ryhmien tai yksittäisten keskeisistä toiminnoista vastaavien roolien määrittäminen. Power Platformin valmiita roolien käyttämistä kannattaa harkita ennen mukautettujen roolien luomista objekteja varten.
Yhdenmukaisuus on otettava huomioon, kun useita organisaatiomalleja otetaan huomioon määritettäessä segmentin oikeuksia. Näissä malleissa voi olla kyse niin yhdestä keskitetystä IT-ryhmästä kuin pääasiassa itsenäisistä IT- ja DevOps-tiimeistä.
Resurssiorganisaatio
Segmentointi mahdollistaa työkuorman resurssien eristämisen organisaation muista osista. Eristäminen on mahdollista myös tiimin sisällä. Power Platformin rakenteet, kuten ympäristöt ja ratkaisut, ovat tapa järjestää resurssit segmentointia edistävällä tavalla.
Power Platform – avustaminen
Seuraavissa osissa käsitellään Power Platformin toimintoja ja ominaisuuksia, joita voidaan käyttää segmentointistrategian toteuttamiseen.
Tunnistetiedot
Kaikki Power Platform -tuotteet käyttävät Microsoft Entra ID:tä (aiemmin Azure Active Directory tai Azure AD) käyttäjätietojen ja käyttöoikeuksien hallinnassa. Entra ID:ssä voidaan käyttää valmiita käyttöoikeusrooleja, ehdollista käyttöoikeutta, Privileged Identity Management ja ryhmien käyttöoikeuksien hallintaa käyttäjätietorajojen määrittämiseen.
Microsoft Dataverse ryhmittelee käyttöoikeudet roolipohjaisen suojauksen avulla. Nämä käyttöoikeusroolit voidaan liittää suoraan käyttäjiin, tai ne voidaan liittää Dataversen ryhmiin ja liiketoimintayksiköihin. Lisätietoja on kohdassa Microsoft Dataversen suojaukseen liittyvät käsitteet.
Verkkopalvelut
Azure-näennäisverkon Power Platform -tuen ansiosta Power Platform voidaan integroida näennäisverkossa oleviin resursseihin ilman, että resurssit olisivat näkyvissä julkisessa internetissä. Näennäisverkon tuki käyttää Azure-aliverkon delegointia Power Platformista lähtevän liikenteen hallitsemiseen suorituspalvelussa. Edustajan käyttäminen auttaa välttämään suojattujen resurssien siirtoa Internetin kautta Power Platformin kanssa integroitaessa. Näennäisverkko-, Dataverse- ja Power Platform -komponentit voivat kutsua yrityksesi omistamia resursseja yrityksen verkon sisällä riippumatta siitä, isännöidäänkö niitä Azuressa vai paikallisesti, ja käyttää laajennuksia ja yhdistimiä lähteviin kutsuihin. Lisätietoja on kohdassa Näennäisverkon Power Platform -tuen yleiskatsaus.
Ympäristöjen IP-palomuuri Power Platform auttaa suojata tietoja rajoittamalla käyttäjien pääsyn Dataverse vain sallituista IP-sijainneista.
Microsoft Azure ExpressRoute Tarjoaa edistyneen tavan yhdistää paikallinen verkkosi pilvipalveluihin Microsoft käyttämällä yksityisiä yhteyksiä. Yksittäistä ExpressRoute-yhteyttä voidaan käyttää useiden online-palveluiden, kuten Microsoft Power Platformin, Dynamics 365:n, Microsoft 365:n ja Azuren, käyttämiseen.
Suojauksen tarkistusluettelo
Katso lisätietoja suositusten kokoelmasta.