Delen via

Aanbevelingen voor het bouwen van een segmentatiestrategie

  • Artikel

Is van toepassing op de aanbeveling van de bronarchitected Framework Security-controlelijst:

SE:04 Maak opzettelijke segmentatie en perimeters in uw architectuurontwerp en de footprint van de workload op het platform. De segmentatiestrategie moet netwerken, rollen en verantwoordelijkheden, workloadidentiteiten en resourceorganisatie omvatten.

Een segment is een logisch gedeelte van uw oplossing dat als één eenheid moet worden beveiligd. Een segmentatiestrategie definieert hoe een eenheid moet worden gescheiden van andere eenheden met een eigen set beveiligingsvereisten en -maatregelen.

In deze handleiding worden de aanbevelingen beschreven voor het bouwen van een geïntegreerde segmentatiestrategie. Met perimeters en isolatiegrenzen in workloads kunt u een beveiligingsbenadering ontwerpen die voor u geschikt is.

Definities 

Termijn Definitie
Containment Een techniek om de straalstraal te bevatten als een aanvaller toegang krijgt tot een segment.
Toegang met minimale bevoegdheden Een Zero Trust-principe dat is gericht op het minimaliseren van een set machtigingen voor het voltooien van een functie.
Perimeter De vertrouwensgrens rond een segment.
Organisatie van resources Een strategie voor het groeperen van gerelateerde resources op basis van stromen binnen een segment.
Role Een set machtigingen die nodig zijn om een taakfunctie te voltooien.
Segment Een logische eenheid die is geïsoleerd van andere entiteiten en wordt beveiligd door een set beveiligingsmaatregelen.

Belangrijke ontwerpstrategieën

Het concept van segmentatie wordt vaak gebruikt voor netwerken. Hetzelfde onderliggende principe kan echter overal in een oplossing worden gebruikt, inclusief het segmenteren van resources voor beheerdoeleinden en toegangsbeheer.

Met segmentatie kunt u een beveiligingsbenadering ontwerpen die diepgaande verdediging toepast op basis van de principes van het Zero Trust-model. Zorg ervoor dat een aanvaller die het ene netwerksegment schendt, geen toegang kan krijgen tot een ander netwerksegment door workloads te segmenteren met verschillende identiteitscontroles. In een beveiligd systeem blokkeren identiteits- en netwerkkenmerken onbevoegde toegang en verbergen de assets niet beschikbaar. Hier volgen enkele voorbeelden van segmenten:

  • Abonnementen die workloads van een organisatie isoleren
  • Resourcegroepen die workloadassets isoleren
  • Implementatieomgevingen die de implementatie op fasen isoleren
  • Teams en rollen die taakfuncties isoleren met betrekking tot het ontwikkelen en beheren van workloads
  • Toepassingslagen die isoleren per workloadhulpprogramma
  • Microservices die de ene service isoleren van een andere

Houd rekening met deze belangrijke elementen van segmentatie om ervoor te zorgen dat u een uitgebreide diepgaande verdedigingsstrategie bouwt:

  • De grens of perimeter is de ingangsrand van een segment waar u beveiligingscontroles toepast. Perimeterbesturingselementen moeten de toegang tot het segment blokkeren, tenzij dit expliciet is toegestaan. Het doel is om te voorkomen dat een aanvaller de perimeter doorbreekt en controle over het systeem krijgt. Een toepassingslaag kan bijvoorbeeld het toegangstoken van een eindgebruiker accepteren wanneer een aanvraag wordt verwerkt. Maar de gegevenslaag vereist mogelijk een ander toegangstoken met een specifieke machtiging, die alleen de toepassingslaag kan aanvragen.

  • Insluiting is de uitgangsrand van een segment waarmee zijwaartse verplaatsing in het systeem wordt voorkomen. Het doel van insluiting is het minimaliseren van het effect van een inbreuk. Een virtueel Azure-netwerk kan bijvoorbeeld worden gebruikt voor het configureren van routerings- en netwerkbeveiligingsgroepen om alleen verkeerspatronen toe te staan die u verwacht, waardoor verkeer naar willekeurige netwerksegmenten wordt vermeden.

  • Isolatie is de praktijk van het groeperen van entiteiten met vergelijkbare garanties om ze te beschermen met een grens. Het doel is het beheer en de insluiting van een aanval binnen een omgeving te vereenvoudigen. U kunt bijvoorbeeld de resources groeperen die betrekking hebben op een specifieke workload in één Azure-abonnement en vervolgens toegangsbeheer toepassen zodat alleen specifieke workloadteams toegang hebben tot het abonnement.

Het is belangrijk om het onderscheid tussen perimeters en isolatie te noteren. Perimeter verwijst naar de locatiepunten die moeten worden gecontroleerd. Isolatie gaat over groepering. Bevatten actief een aanval door deze concepten samen te gebruiken.

Isolatie betekent niet dat er silo's in de organisatie worden gemaakt. Een uniforme segmentatiestrategie biedt afstemming tussen de technische teams en stelt duidelijke verantwoordelijkheidslijnen in. Helderheid vermindert het risico op menselijke fouten en automatiseringsfouten die kunnen leiden tot beveiligingsproblemen, operationele downtime of beide. Stel dat er een beveiligingsschending wordt gedetecteerd in een onderdeel van een complex bedrijfssysteem. Het is belangrijk dat iedereen begrijpt wie verantwoordelijk is voor die resource, zodat de juiste persoon is opgenomen in het triageteam. De organisatie en belanghebbenden kunnen snel bepalen hoe ze kunnen reageren op verschillende soorten incidenten door een goede segmentatiestrategie te maken en te documenteren.

Compromis: Segmentatie introduceert complexiteit omdat er overhead is in beheer. Er is ook een compromis in kosten. Er worden bijvoorbeeld meer resources ingericht wanneer implementatieomgevingen die naast elkaar worden uitgevoerd, worden gesegmenteerd.

Risico: microsegmentatie buiten een redelijke limiet verliest het voordeel van isolatie. Wanneer u te veel segmenten maakt, wordt het lastig om communicatiepunten te identificeren of om geldige communicatiepaden binnen het segment mogelijk te maken.

Identiteit instellen als primaire beveiligingsperimeter

Verschillende identiteiten, zoals personen, softwareonderdelen of apparaten, hebben toegang tot workloadsegmenten. Identiteit is een perimeter die de primaire verdedigingslinie moet zijn om toegang te verifiëren en te autoriseren binnen isolatiegrenzen, ongeacht waar de toegangsaanvraag vandaan komt. Identiteit als perimeter gebruiken om:

  • Toegang per rol toewijzen. Identiteiten hebben alleen toegang nodig tot de segmenten die nodig zijn om hun taak uit te voeren. Minimaliseer anonieme toegang door inzicht te krijgen in de rollen en verantwoordelijkheden van de aanvragende identiteit, zodat u weet welke entiteit toegang tot een segment aanvraagt en voor welk doel.

    Een identiteit kan verschillende toegangsbereiken hebben in verschillende segmenten. Overweeg een typische omgevingsinstallatie, met afzonderlijke segmenten voor elke fase. Identiteiten die aan de rol van ontwikkelaar zijn gekoppeld, hebben lees-/schrijftoegang tot de ontwikkelomgeving. Wanneer de implementatie naar fasering wordt verplaatst, worden deze machtigingen ingeperkt. Op het moment dat de workload wordt gepromoveerd tot productie, wordt het bereik voor ontwikkelaars beperkt tot alleen-lezentoegang.

  • Overweeg toepassings- en beheeridentiteiten afzonderlijk. In de meeste oplossingen hebben gebruikers een ander toegangsniveau dan ontwikkelaars of operators. In sommige toepassingen kunt u verschillende identiteitssystemen of mappen gebruiken voor elk type identiteit. Overweeg toegangsbereiken te gebruiken en afzonderlijke rollen te maken voor elke identiteit.

  • Wijs toegang met minimale bevoegdheden toe. Als de identiteit toegang heeft, bepaalt u het toegangsniveau. Begin met de minimale bevoegdheid voor elk segment en breid dat bereik alleen uit wanneer dat nodig is.

    Door de minimale bevoegdheid toe te passen, beperkt u de negatieve effecten als de identiteit ooit wordt aangetast. Als de toegang wordt beperkt door tijd, wordt de kwetsbaarheid voor aanvallen verder verminderd. Tijdgebonden toegang is met name van toepassing op kritieke accounts, zoals beheerders of softwareonderdelen met een aangetaste identiteit.

Compromis: de prestaties van de workload kunnen worden beïnvloed door identiteitsperimeters. Voor het expliciet verifiëren van elke aanvraag zijn extra rekencycli en extra netwerk-IO vereist.

Op rollen gebaseerd toegangsbeheer (RBAC) leidt ook tot beheeroverhead. Het bijhouden van identiteiten en hun toegangsbereiken kan complex worden in roltoewijzingen. De tijdelijke oplossing is het toewijzen van rollen aan beveiligingsgroepen in plaats van afzonderlijke identiteiten.

Risico: identiteitsinstellingen kunnen complex zijn. Onjuiste configuraties kunnen van invloed zijn op de betrouwbaarheid van de workload. Stel dat er een onjuist geconfigureerde roltoewijzing is die de toegang tot een database heeft geweigerd. De aanvragen mislukken, wat uiteindelijk betrouwbaarheidsproblemen veroorzaakt die pas na runtime kunnen worden gedetecteerd.

Zie Identiteits- en toegangsbeheer voor informatie over identiteitsbeheer.

In tegenstelling tot besturingselementen voor netwerktoegang valideert identiteit toegangsbeheer op het moment van toegang. Het wordt ten zeerste aanbevolen om regelmatig toegangsbeoordeling uit te voeren en een goedkeuringswerkstroom te vereisen voor het verkrijgen van bevoegdheden voor accounts met kritieke gevolgen. Zie bijvoorbeeld Identiteitssegmentatiepatronen.

Verbeteren met netwerken als perimeter

Identiteitsperimeters zijn netwerkneutraal, terwijl de identiteit van netwerkperimeters wordt vergroot, maar nooit wordt vervangen. Netwerkperimeters worden ingesteld om straalstraal te beheren, onverwachte, verboden en onveilige toegang te blokkeren en workloadresources te verdoezelen.

Hoewel de primaire focus van de identiteitsperimeter minimale bevoegdheden is, moet u ervan uitgaan dat er een inbreuk optreedt wanneer u de netwerkperimeter ontwerpt.

Maak softwaregedefinieerde perimeters in uw netwerkvoetafdruk met behulp van Azure-services en -functies. Wanneer een workload (of delen van een bepaalde workload) in afzonderlijke segmenten wordt geplaatst, bepaalt u het verkeer van of naar die segmenten om communicatiepaden te beveiligen. Als een segment is gecompromitteerd, is het opgenomen en wordt voorkomen dat het zich lateraal verspreidt via de rest van uw netwerk.

Denk als een aanvaller om een voet aan de grond te krijgen binnen de workload en besturingselementen tot stand te brengen om verdere uitbreiding te minimaliseren. De besturingselementen moeten aanvallers detecteren, bevatten en voorkomen dat ze toegang krijgen tot de hele workload. Hier volgen enkele voorbeelden van netwerkbesturingselementen als perimeter:

  • Definieer uw randperimeter tussen openbare netwerken en het netwerk waar uw workload wordt geplaatst. Beperk het zicht van openbare netwerken tot uw netwerk zoveel mogelijk.
  • Implementeer gedemilitariseerde zones (DMZ's) vóór de toepassing met de juiste besturingselementen via firewalls.
  • Maak microsegmentatie binnen uw privénetwerk door delen van de werkbelasting te groeperen in afzonderlijke segmenten. Veilige communicatiepaden tussen deze paden tot stand brengen.
  • Grenzen maken op basis van intentie. Segmenteer bijvoorbeeld functionele netwerken van werkbelastingen uit operationele netwerken.

Zie Netwerksegmentatiepatronen voor algemene patronen met betrekking tot netwerksegmentatie.

Compromis: netwerkbeveiligingscontroles zijn vaak duur omdat ze zijn opgenomen in de Premium-SKU's. Het configureren van regels voor firewalls leidt vaak tot een overweldigende complexiteit die brede uitzonderingen vereist.

In het architectuurontwerp voor persoonlijke connectiviteit worden vaak meer onderdelen toegevoegd, zoals jumpboxen voor privétoegang tot rekenknooppunten.

Omdat netwerkperimeters zijn gebaseerd op besturingspunten of hops, kan elke hop een potentieel storingspunt zijn. Deze punten kunnen van invloed zijn op de betrouwbaarheid van het systeem.

Risico: netwerkcontroles zijn gebaseerd op regels en er is een aanzienlijke kans op onjuiste configuratie, wat een probleem met betrouwbaarheid is.

Zie Netwerken en connectiviteit voor meer informatie over netwerkbesturingselementen.

Rollen definiëren en lijnen van verantwoordelijkheid wissen

Segmentatie die verwarring en beveiligingsrisico's voorkomt, wordt bereikt door duidelijk regels van verantwoordelijkheid binnen een workloadteam te definiëren.

Documenteer en deel rollen en functies om consistentie te creëren en communicatie te vergemakkelijken. Groepen of afzonderlijke rollen aanwijzen die verantwoordelijk zijn voor belangrijke functies. Houd rekening met de ingebouwde rollen in Azure voordat u aangepaste rollen voor objecten maakt.

Houd rekening met consistentie bij het gebruik van verschillende organisatiemodellen bij het toewijzen van machtigingen voor een segment. Deze modellen kunnen variëren van één gecentraliseerde IT-groep tot voornamelijk onafhankelijke IT- en DevOps-teams.

Risico: lidmaatschap van groepen kan na verloop van tijd veranderen wanneer werknemers deelnemen aan teams of teams verlaten of rollen wijzigen. Het beheer van rollen in verschillende segmenten kan leiden tot beheeroverhead.

Resources ordenen om segmentatie te promoten

Met segmentatie kunt u workloadresources isoleren van andere onderdelen van de organisatie of zelfs binnen het team. Azure-constructies, zoals beheergroepen, abonnementen, omgevingen en resourcegroepen, zijn manieren om uw resources te ordenen die segmentering bevorderen. Hier volgen enkele voorbeelden van isolatie op resourceniveau:

  • Polyglot persistence omvat een combinatie van technologieën voor gegevensopslag in plaats van één databasesysteem ter ondersteuning van segmentatie. Gebruik polyglotpersistentie voor scheiding door verschillende gegevensmodellen, scheiding van functies zoals gegevensopslag en analyse, of om te scheiden door toegangspatronen.
  • Wijs één service toe voor elke server bij het ordenen van uw rekenproces. Dit isolatieniveau minimaliseert de complexiteit en kan helpen bij een aanval.
  • Azure biedt ingebouwde isolatie voor sommige services, bijvoorbeeld scheiding van rekenkracht van opslag. Zie Isolatie in de openbare Azure-cloud voor andere voorbeelden.

Compromis: Resourceisolatie kan leiden tot een toename van de totale eigendomskosten (TCO). Voor gegevensarchieven is er mogelijk extra complexiteit en coördinatie tijdens herstel na noodgevallen.

Azure-facilitering

Bepaalde Azure-services zijn beschikbaar voor gebruik bij het implementeren van een segmentatiestrategie, zoals wordt beschreven in de volgende secties.

Identiteit

Azure RBAC ondersteunt segmentatie door toegang te isoleren per taakfunctie. Alleen bepaalde acties zijn toegestaan voor bepaalde rollen en bereiken. Taakfuncties die alleen hoeven te zien hoe het systeem werkt, kunnen bijvoorbeeld leesmachtigingen worden toegewezen ten opzichte van inzendermachtigingen waarmee de identiteit resources kan beheren.

Zie Aanbevolen procedures voor RBAC voor meer informatie.

Netwerken

Diagram met netwerkopties voor segmentatie.

Virtuele netwerken: virtuele netwerken bieden insluiting op netwerkniveau van resources zonder verkeer toe te voegen tussen twee virtuele netwerken. Virtuele netwerken worden gemaakt in privéadresruimten binnen een abonnement

Netwerkbeveiligingsgroepen (NSG): een mechanisme voor toegangsbeheer voor het beheren van verkeer tussen resources in virtuele netwerken en externe netwerken, zoals internet. Implementeer door de gebruiker gedefinieerde routes (UDR) om de volgende hop voor verkeer te beheren. NSG's kunnen uw segmentatiestrategie naar een gedetailleerd niveau brengen door perimeters te maken voor een subnet, een virtuele machine (VM) of een groep virtuele machines. Zie Subnetten voor informatie over mogelijke bewerkingen met subnetten in Azure.

Toepassingsbeveiligingsgroepen (ASG's): MET ASG's kunt u een set virtuele machines onder een toepassingstag groeperen en verkeersregels definiëren die vervolgens worden toegepast op elk van de onderliggende VM's.

Azure Firewall: een cloudeigen service die kan worden geïmplementeerd in uw virtuele netwerk of in Azure Virtual WAN-hubimplementaties . Gebruik Azure Firewall om verkeer tussen cloudresources, internet en on-premises resources te filteren. Gebruik Azure Firewall of Azure Firewall Manager om regels of beleidsregels te maken die verkeer toestaan of weigeren met behulp van laag 3 tot laag 7-besturingselementen. Filter internetverkeer met behulp van Azure Firewall en derden door verkeer door te leiden via externe beveiligingsproviders voor geavanceerde filtering en gebruikersbeveiliging. ondersteuning voor Azure de implementatie van virtuele netwerkapparaten, waarmee u segmentatie van firewalls van derden kunt gebruiken.

Opmerking

Hier volgen enkele veelvoorkomende patronen voor het segmenteren van een workload in Azure. Kies een patroon op basis van uw behoeften.

Dit voorbeeld is gebaseerd op de IT-omgeving (Information Technology) die is ingesteld in de beveiligingsbasislijn (SE:01). In het onderstaande diagram ziet u segmentatie op het niveau van de beheergroep die door een organisatie wordt uitgevoerd.

Diagram met een voorbeeld van de segmentatiestrategie van een organisatie voor verschillende workloads.

Identiteitssegmentatiepatronen

Patroon 1: groepering op basis van functie

Een manier om beveiligingsgroepen te organiseren, is op functie, zoals softwaretechnicus, databasebeheerder, sitebetrouwbaarheidstechnicus, kwaliteitscontroletechnicus of beveiligingsanalist. Deze aanpak omvat het maken van beveiligingsgroepen voor uw workloadteam op basis van hun rollen, zonder rekening te houden met het werk dat moet worden uitgevoerd. Verdeel beveiligingsgroepen RBAC-machtigingen, staand of just-in-time (JIT), op basis van hun verantwoordelijkheden in de workload. Wijs menselijke en serviceprincipes toe aan beveiligingsgroepen op basis van hun benodigde toegang.

Lidmaatschap is zeer zichtbaar op roltoewijzingsniveau, waardoor u gemakkelijk kunt zien waartoe een rol toegang heeft. Elke persoon is meestal lid van slechts één beveiligingsgroep, waardoor onboarding en offboarding eenvoudig is. Maar tenzij functietitels perfect overlappen met verantwoordelijkheden, is groepering op basis van titel niet ideaal voor de implementatie van minimale bevoegdheden. Het kan zijn dat u de implementatie combineert met groepering op basis van functies.

Patroon 2: groeperen op basis van functies

Functiegebaseerd groeperen is een organisatiemethode voor beveiligingsgroepen die afzonderlijke werkzaamheden weerspiegelt die moeten worden uitgevoerd, niet rekening houdend met uw teamstructuur. Met dit patroon verleent u indien nodig RBAC-machtigingen voor beveiligingsgroepen, staande of JIT, op basis van de vereiste functie in de workload.

Wijs menselijke en serviceprincipes toe aan beveiligingsgroepen op basis van hun benodigde toegang. Gebruik waar mogelijk bestaande homogene groepen als leden van de op functies gebaseerde groepen, zoals die groepen uit patroon 1. Voorbeelden van op functies gebaseerde groepen zijn:

  • Productiedatabaseoperators
  • Databaseoperators voor preproductie
  • Operators voor rotatie van productiecertificaten
  • Operators voor preproductiecertificaatrotatie
  • Productie live-site/triage
  • Alle toegang vooraf preproductie

Deze benadering behoudt de striktste toegang tot minimale bevoegdheden en biedt beveiligingsgroepen waar het bereik duidelijk is, waardoor het eenvoudig is om lidmaatschappen te controleren ten opzichte van taken die worden uitgevoerd. Er bestaat vaak een ingebouwde Azure-rol die overeenkomt met deze taakfunctie.

Lidmaatschap wordt echter ten minste één laag geabstraheerd, waardoor u naar de id-provider moet gaan om te begrijpen wie zich in de groep bevindt wanneer u vanuit het perspectief van de resource kijkt. Daarnaast moet één persoon meerdere lidmaatschappen onderhouden hebben voor volledige dekking. De matrix van overlappende beveiligingsgroepen kan complex zijn.

Patroon 2 wordt aanbevolen om de toegangspatronen de focus te geven, niet op het organigram. Organigrammen en lidrollen veranderen soms. Door het identiteits- en toegangsbeheer van uw workload vast te leggen vanuit een functioneel perspectief, kunt u uw teamorganisatie abstract maken van het veilige beheer van de workload.

Netwerksegmentatiepatronen

Patroon 1: Segmentatie binnen een workload (zachte grenzen)

Diagram met één virtueel netwerk.

In dit patroon wordt de workload in één virtueel netwerk geplaatst met behulp van subnetten om grenzen te markeren. Segmentatie wordt bereikt met behulp van twee subnetten, één voor database en één voor webworkloads. U moet NSG's configureren waarmee Subnet 1 alleen kan communiceren met Subnet 2 en Subnet 2 om alleen met internet te communiceren. Dit patroon biedt niveaubeheer op laag 3.

Patroon 2: Segmentatie binnen een workload

Diagram met meerdere virtuele netwerken.

Dit patroon is een voorbeeld van segmentatie op platformniveau. Workload components zijn verspreid over meerdere netwerken zonder peering ertussen. Alle communicatie wordt gerouteerd via een intermediair die fungeert als een openbaar toegangspunt. Het workloadteam is eigenaar van alle netwerken.

Patroon 2 biedt insluiting, maar heeft de extra complexiteit van virtueel netwerkbeheer en de grootte. Communicatie tussen de twee netwerken vindt plaats via het openbare internet, wat een risico kan zijn. Er is ook latentie met openbare verbindingen. De twee netwerken kunnen echter worden gekoppeld, waardoor segmentering wordt onderbroken door ze te verbinden om een groter segment te maken. Peering moet worden uitgevoerd wanneer er geen andere openbare eindpunten nodig zijn.

Overwegingen Patroon 1 Patroon 2
Connectiviteit en routering: hoe elk segment communiceert Systeemroutering biedt standaardconnectiviteit met workloadonderdelen. Er kan geen extern onderdeel communiceren met de workload. Binnen het virtuele netwerk, hetzelfde als patroon 1.
Tussen netwerken gaat het verkeer via het openbare internet. Er is geen directe verbinding tussen de netwerken.
Verkeer filteren op netwerkniveau Verkeer tussen de segmenten is standaard toegestaan. Gebruik NSG's of ASG's om verkeer te filteren. Binnen het virtuele netwerk, hetzelfde als patroon 1.
Tussen de netwerken kunt u inkomend en uitgaand verkeer filteren via een firewall.
Onbedoelde openbare eindpunten openen Netwerkinterfacekaarten (NIC's) krijgen geen openbare IP-adressen. Virtuele netwerken worden niet blootgesteld aan Internet API Management. Hetzelfde als patroon 1. Bedoeld openbaar eindpunt in één virtueel netwerk, dat onjuist kan worden geconfigureerd om meer verkeer te accepteren.

Organisatie van resources

Azure-resources organiseren op basis van eigendomsverantwoordelijkheid

Diagram van een Azure-estate die meerdere workloads bevat.

Overweeg een Azure-omgeving die meerdere workloads en gedeelde serviceonderdelen bevat, zoals virtuele hubnetwerken, firewalls, identiteitsservices en beveiligingsservices zoals Microsoft Sentinel. Onderdelen in de omgeving moeten worden gegroepeerd op basis van hun functionele gebieden, workloads en eigendom. Gedeelde netwerkresources moeten bijvoorbeeld worden gegroepeerd in één abonnement en worden beheerd door een netwerkteam. Onderdelen die zijn toegewezen aan afzonderlijke workloads, moeten zich in hun eigen segment bevinden en kunnen verder worden verdeeld op basis van toepassingslagen of andere organisatieprincipes.

Verlenen toegang tot het beheren van resources binnen afzonderlijke segmenten door RBAC-roltoewijzingen te maken. Het cloudnetwerkteam kan bijvoorbeeld beheerderstoegang krijgen tot het abonnement dat hun resources bevat, maar niet aan afzonderlijke workloadabonnementen.

Een goede segmentatiestrategie maakt het mogelijk om eenvoudig de eigenaren van elk segment te identificeren. Overweeg het gebruik van Azure-resourcetags om aantekeningen te maken bij resourcegroepen of abonnementen met het eigenaarteam.

Toegangsbeheer configureren en controleren

Geef de juiste toegang op basis van behoefte door segmenten voor uw resources duidelijk te definiëren.

Houd rekening met het principe van minimale bevoegdheden wanneer u beleidsregels voor toegangsbeheer definieert. Het is belangrijk om onderscheid te maken tussen besturingsvlakbewerkingen (beheer van de resource zelf) en gegevensvlakbewerkingen (toegang tot de gegevens die door de resource zijn opgeslagen). Stel dat u een workload hebt die een database bevat met gevoelige informatie over werknemers. U kunt beheertoegang verlenen aan sommige gebruikers die instellingen moeten configureren, zoals databaseback-ups of gebruikers die de prestaties van de databaseserver bewaken. Deze gebruikers mogen echter geen query's uitvoeren op de gevoelige gegevens die zijn opgeslagen in de database. Selecteer machtigingen die het minimale bereik verlenen dat gebruikers nodig hebben om hun taken uit te voeren. Controleer regelmatig roltoewijzingen voor elk segment en verwijder de toegang die niet meer nodig is.

Notitie

Sommige zeer bevoorrechte rollen, zoals de rol van eigenaar in RBAC, bieden gebruikers de mogelijkheid om andere gebruikers toegang te verlenen tot een resource. Beperk het aantal gebruikers of groepen waaraan de rol van eigenaar is toegewezen en controleer regelmatig auditlogboeken om ervoor te zorgen dat ze alleen geldige bewerkingen uitvoeren.

Controlelijst voor beveiliging

Raadpleeg de volledige set aanbevelingen.

Controlelijst voor beveiliging