Aanbevelingen voor het bouwen van een segmentatiestrategie
Geldt voor de aanbeveling van de Well-Architected Security-checklist: Power Platform
ZOO:04 | Creëren van opzettelijke segmentatie en perimeters in uw architectuurontwerp en in de footprint van de workload op het platform. De segmentatiestrategie moet netwerken, rollen en verantwoordelijkheden, workloadidentiteiten en resourceorganisatie omvatten. |
---|
Een segmentatiestrategie bepaalt hoe u workloads van andere workloads scheidt met hun eigen set beveiligingsvereisten en -maatregelen.
In deze guide worden de aanbevelingen beschreven voor het bouwen van een geharmoniseerde segmentatiestrategie. Door perimeters en isolatiegrenzen in workloads te gebruiken, kunt u een beveiligingsaanpak ontwerpen die voor u werkt.
Definities
Term | Definitie |
---|---|
Inperking | Een techniek waarmee de omvang van de impact kan worden ingeperkt als een aanvaller toegang krijgt tot een segment. |
Toegang met minste bevoegdheden | Een Zero Trust-principe dat tot doel heeft een reeks machtigingen voor het voltooien van een taak te minimaliseren. |
Omtrek | De vertrouwensgrens rond een segment. |
Resource-organisatie | Een strategie om gerelateerde resources te groeperen op basis van stromen binnen een segment. |
- Rol | Een set machtigingen die nodig zijn om een taakfunctie uit te voeren. |
Segment | Een logische eenheid die is geïsoleerd van andere entiteiten en wordt beschermd door een reeks beveiligingsmaatregelen. |
Belangrijke ontwerpstrategieën
Het concept van segmentatie wordt vaak gebruikt voor netwerken. Hetzelfde onderliggende principe kan echter in de hele oplossing worden gebruikt, inclusief het segmenteren van resources voor beheerdoeleinden en toegangsbeheer.
Segmentatie helpt u een beveiligingsaanpak te ontwerpen die diepgaande verdediging toepast op basis van de principes van het Zero Trust-model. Zorg ervoor dat een aanvaller die het ene segment binnendringt geen toegang kan krijgen tot een ander segment door workloads te segmenteren met verschillende identiteitscontroles. In een beveiligd systeem worden verschillende kenmerken, zoals netwerk en identiteit, gebruikt om ongeautoriseerde toegang te blokkeren en te voorkomen dat de activa worden blootgesteld.
Hieronder staan enkele voorbeelden van segmenten:
- Platformbesturingselementen die netwerkgrenzen definiëren
- Omgevingen die de workloads van een organisatie isoleren
- Oplossingen die workload-activa isoleren
- Implementatieomgevingen die de implementatie in fasen isoleren
- Teams en rollen die taakfuncties isoleren die verband houden met de ontwikkeling en het beheer van de workload
- Toepassingslagen die isoleren op basis van workloadhulpprogramma
- Microservices die de ene service van de andere isoleren
Houd rekening met deze belangrijke elementen van segmentatie om er zeker van te zijn dat u een allesomvattende strategie voor diepgaande verdediging opbouwt:
De grens of perimeter is de ingangsrand van een segment waarop u beveiligingsmaatregelen toepast. Perimeterbesturingselementen moeten de toegang tot het segment blokkeren, tenzij dit expliciet wordt toegestaan. Het doel is om te voorkomen dat een aanvaller de perimeter doorbreekt en de controle over het systeem verkrijgt. Een gebruiker kan bijvoorbeeld toegang hebben tot een omgeving, maar kan in die omgeving alleen specifieke toepassingen openen op basis van zijn of haar machtigingen.
Insluiting is de uitgangsrand van een segment die laterale beweging in het systeem voorkomt. Het doel van inperking is om de gevolgen van een schending te minimaliseren. Een virtueel netwerk kan bijvoorbeeld worden gebruikt om routerings- en netwerkbeveiligingsgroepen zo te configureren dat alleen door u verwachte verkeerspatronen worden toegestaan, waardoor verkeer naar willekeurige netwerksegmenten wordt vermeden.
Isolatie is de praktijk van het groeperen van entiteiten met vergelijkbare garanties om ze te beveiligen met een grens. Het doel is eenvoudig beheer en het inperken van een aanval binnen een omgeving. U kunt bijvoorbeeld de resources die betrekking hebben op een specifieke workload groeperen in één Power Platform-omgeving of één oplossing, en vervolgens toegangsbeheer toepassen, zodat alleen specifieke workloadteams toegang hebben tot de omgeving.
Het is belangrijk om te weten wat het verschil is tussen perimeters en isolatie. Perimeter verwijst naar de locatiepunten die moeten worden gecontroleerd. Isolatie gaat over groeperen. Beperk een aanval actief door deze concepten samen te gebruiken.
Isolatie betekent niet dat er silo's in de organisatie worden gecreëerd. Een geharmoniseerde segmentatiestrategie zorgt voor afstemming tussen de technische teams en stelt duidelijk afgebakende verantwoorden vast. Duidelijkheid beperkt het risico op menselijke fouten en automatiseringsfouten die tot beveiligingsproblemen, operationele downtime of beide kunnen leiden. Stel dat er een beveiligingslek wordt gedetecteerd in een onderdeel van een complex bedrijfssysteem. Het is belangrijk dat iedereen begrijpt wie verantwoordelijk is voor die resource, zodat de juiste persoon wordt opgenomen in het onderzoeksteam. De organisatie en belanghebbenden kunnen snel identificeren hoe ze op verschillende soorten incidenten moeten reageren door een goede segmentatiestrategie te creëren en te documenteren.
Afweging: Segmentering brengt complexiteit met zich mee omdat er overhead is in het beheer.
Risico: Microsegmentatie die een redelijke grens overschrijdt, doet het voordeel van isolatie verloren gaan. Wanneer u te veel segmenten maakt, wordt het moeilijk om communicatiepunten te identificeren of om geldige communicatiepaden binnen het segment mogelijk te maken.
Identiteit als perimeter
Verschillende identiteiten, zoals mensen, softwareonderdelen of apparaten, hebben toegang tot workloadsegmenten. Identiteit is een perimeter die de primaire verdedigingslinie zou moeten zijn om toegang over isolatiegrenzen heen te verifiëren en autoriseren, ongeacht waar het toegangsverzoek vandaan komt. Gebruik identiteit als perimeter om:
toegang toe te wijzen per rol. Identiteiten hebben alleen toegang nodig tot de segmenten die nodig zijn om hun werk te doen. anonieme toegang tot een minimum te beperken, door inzicht te krijgen in de rollen en verantwoordelijkheden van de aanvragende identiteit, zodat u weet welke entiteit toegang vraagt tot een segment en met welk doel.
Een identiteit kan verschillende toegangsbereiken hebben in verschillende segmenten. Overweeg een typische omgevingsinstelling, met afzonderlijke segmenten voor elke fase. Identiteiten die aan de rol van ontwikkelaar zijn gekoppeld, hebben lees- en schrijftoegang tot de ontwikkelomgeving. Naarmate de implementatie naar fasering overgaat, worden deze machtigingen beperkt. Tegen de tijd dat de workload wordt gepromoveerd naar productie, wordt het bereik voor ontwikkelaars beperkt tot alleen-lezen toegang.
Bekijk identiteiten voor toepassing en beheer afzonderlijk. In de meeste oplossingen hebben gebruikers een ander toegangsniveau dan ontwikkelaars of operators. In sommige toepassingen kunt u voor elk type identiteit andere identiteitssystemen of mappen gebruiken. Overweeg om voor elke identiteit afzonderlijke rollen te creëren.
Wijs toegang met minste bevoegdheden toe. Als de identiteit toegang krijgt, bepaalt u het toegangsniveau. Begin met de minste rechten voor elk segment en breid dat bereik alleen uit als dat nodig is.
Door de minste bevoegdheid toe te passen, beperkt u de negatieve effecten als de identiteit ooit gecompromitteerd raakt. Als de toegang beperkt op basis van tijd, wordt het aanvalsvlak verder verkleind. Tijdgebonden toegang is vooral van toepassing op kritieke accounts, zoals beheerders of softwareonderdelen met een gecompromitteerde identiteit.
Afweging: Rolgebaseerde toegangscontrole (RBAC) leidt tot beheeroverhead. Het bijhouden van identiteiten en hun toegangsbereiken kan complex worden bij roltoewijzingen. Overweeg om rollen toe te wijzen aan beveiligingsgroepen in plaats van aan individuele identiteiten.
Risico: Identiteitsinstellingen kunnen complex zijn. Verkeerde configuraties kunnen de betrouwbaarheid van de workload beïnvloeden. Stel dat er bijvoorbeeld een verkeerd geconfigureerde roltoewijzing is waardoor de toegang tot een database wordt geweigerd. De aanvragen mislukken, waardoor uiteindelijk betrouwbaarheidsproblemen ontstaan die anders pas tijdens runtime kunnen worden gedetecteerd.
Zie Aanbevelingen voor identiteits- en toegangsbeheer voor informatie over identiteitscontroles.
In tegenstelling tot netwerktoegangsbeheer valideert identiteit het toegangsbeheer op het moment van toegang. Het wordt ten zeerste aanbevolen om regelmatig de toegang te beoordelen en een goedkeuringswerkstroom te vereisen om bevoegdheden te verkrijgen voor accounts met kritieke impact.
Netwerken als perimeter
Identiteitsperimeters zijn netwerkonafhankelijk, terwijl netwerkperimeters de identiteit vergroten maar nooit vervangen. Er zijn netwerkperimeters ingesteld om de omvang van de impact te controleren, onverwachte, verboden en onveilige toegang te blokkeren en workloadresources af te schermen.
Hoewel de primaire focus van de identiteitsperimeter op de minste bevoegdheden ligt, moet u ervan uitgaan dat er een schending zal plaatsvinden wanneer u de netwerkperimeter ontwerpt.
Creëer met software gedefinieerde perimeters in uw netwerk-footprint met Power Platform en Azure-services en -functies. Wanneer een workload (of delen van een bepaalde workload) in afzonderlijke segmenten wordt geplaatst, beheert u het verkeer van of naar die segmenten om de communicatiepaden te beveiligen. Als een segment wordt gecompromitteerd, wordt het ingeperkt en wordt voorkomen dat het zich zijdelings door de rest van uw netwerk verspreidt.
Denk als een aanvaller om voet aan de grond te krijgen binnen de workload en controles in te stellen om verdere uitbreiding te minimaliseren. De controles moeten aanvallers detecteren, inperken en voorkomen dat ze toegang krijgen tot de volledige workload. Hier zijn enkele voorbeelden van netwerkcontroles als perimeter:
- Definieer uw randperimeter tussen openbare netwerken en het netwerk waar uw workload is geplaatst. Beperk de zichtlijn van openbare netwerken naar uw netwerk zoveel mogelijk.
- Creëer grenzen op basis van intentie. Segmenteer bijvoorbeeld workload-functionele netwerken van operationele netwerken.
Risico: Netwerkcontroles zijn gebaseerd op regels en er is een grote kans op verkeerde configuratie, wat een betrouwbaarheidsprobleem kan opleveren.
Rollen en verantwoordelijkheden
Segmentatie die verwarring en veiligheidsrisico's voorkomt, wordt gerealiseerd door de verantwoordelijkheden binnen een workloadteam duidelijk af te bakenen.
Documenteer en deel rollen en functies om consistentie te creëren en de communicatie te vergemakkelijken. Wijs groepen of individuele rollen aan die verantwoordelijk zijn voor belangrijke functies. Houd rekening met de ingebouwde rollen in Power Platform voordat u aangepaste rollen voor objecten maakt.
Weeg consistentie mee terwijl u rekening houdt met verschillende organisatiemodellen bij het toewijzen van machtigingen voor een segment. Deze modellen kunnen variëren van één gecentraliseerde IT-groep tot veelal onafhankelijke IT- en DevOps-teams.
Risico: Het lidmaatschap van groepen kan in de loop van de tijd veranderen, omdat werknemers zich bij een team aansluiten, het team verlaten of van rol veranderen. Het beheer van rollen binnen verschillende segmenten kan leiden tot beheeroverhead.
Resource-organisatie
Met segmentatie kunt u workloadresources isoleren van andere delen van de organisatie of zelfs binnen het team. Power Platform-concepten, zoals omgevingen en oplossingen, zijn manieren om uw resources te organiseren die segmentatie bevorderen.
Power Platform-facilitering
In de volgende secties worden Power Platform-functies en -mogelijkheden beschreven die u kunt gebruiken om een segmentatiestrategie te implementeren.
Identiteit
Alle Power Platform-producten gebruiken Microsoft Entra ID (voorheen Azure Active Directory of Azure AD) voor identiteits- en toegangsbeheer. U kunt ingebouwde beveiligingsrollen, voorwaardelijke toegang, Privileged Identity Management en groepstoegangsbeheer in Entra ID gebruiken om uw identiteitsperimeters te definiëren.
Microsoft Dataverse maakt gebruik van op rollen gebaseerde beveiliging om een verzameling rechten te groeperen. Deze beveiligingsrollen kunnen rechtstreeks aan gebruikers worden gekoppeld, of ze kunnen worden geassocieerd met teams en business units in Dataverse. Voor meer informatie raadpleegt u Beveiligingsconcepten in Microsoft Dataverse.
Netwerken
Met Azure Virtual Network-ondersteuning voor Power Platform kunt u Power Platform integreren met resources in uw virtuele netwerk zonder dat u deze blootstelt aan het openbare internet. Virtual Network-ondersteuning maakt gebruik van Azure-subnetdelegering om tijdens runtime uitgaand verkeer van Power Platform te regelen. Als u een gedelegeerde gebruikt, hoeft u geen beveiligde resources via het internet te laten gaan om te integreren met Power Platform. Virtual Network-, Dataverse- en Power Platform-componenten kunnen resources aanroepen die eigendom zijn van uw onderneming binnen uw netwerk, ongeacht of ze worden gehost in Azure of on-premises en invoegtoepassingen en connectoren gebruiken om uitgaande aanroepen uit te voeren. Zie Overzicht van Virtual Network-ondersteuning voor Power Platform voor meer informatie.
IP-firewall voor Power Platform omgevingen helpt u bij het beveiligen beveiligen van uw gegevens door de toegang van gebruikers te beperken tot Dataverse alleen toegestane IP-locaties.
Microsoft Azure ExpressRoute biedt een geavanceerde manier om uw Verbinden-netwerk te verbinden met cloudservices door gebruik te maken van privéconnectiviteit. Microsoft Een enkele ExpressRoute-verbinding kan worden gebruikt om toegang te krijgen tot meerdere online services, bijvoorbeeld Microsoft Power Platform, Dynamics 365, Microsoft 365 en Azure.
Controlelijst voor beveiliging
Raadpleeg de volledige reeks aanbevelingen.