Zalecenia dotyczące tworzenia strategii segmentacji
Dotyczy Power Platform zalecenia dotyczącego listy kontrolnej zabezpieczeń Well-Architected:
| SE:04 | Należy utworzyć celową segmentację i obwody projektu architektury oraz pracą na platformie. Strategia segmentowania musi obejmować sieci, role i obowiązki, tożsamości w zakresie obciążenia i organizację zasobów. |
|---|
Strategia segmentacji definiuje sposób rozdzielania prac od innych prac przy użyciu ich własnego zestawu wymagań i miar zabezpieczeń.
W tym przewodniku przedstawiono zalecenia dotyczące tworzenia ujednoliconej strategii segmentacji. Przy użyciu ograniczeń obwodów i izolacji w obciążeniach można zaprojektować podejście zabezpieczające, które będzie takie działanie.
Definicje
| Termin | Definicja |
|---|---|
| Ograniczenia | Technikę zawierającej zasięg wpływu w przypadku, gdy agresor nie może uzyskać dostępu do segmentu. |
| Dostęp z najniższym prawem dostępu | Zasada Zero Trust, która pozwala zminimalizować zbiór uprawnień do wykonania funkcji zadania. |
| Obwód | Granice zaufania wokół segmentu. |
| Organizacja zasobów | Strategia grupowania pokrewnych zasobów według przepływów w obrębie segmentu. |
| Rola | Zestaw uprawnień niezbędnych do wykonania funkcji zadania. |
| Segment | Jednostka logiczna izolowana od innych encji i chroniona przez zestaw działań zabezpieczeń. |
Kluczowe strategie projektowania
Pojęcie segmentacji jest często stosowane w sieci. Jednak ta sama podstawowa zasady może być używana w całym rozwiązaniu, w tym poprzez segmentowanie zasobów na potrzeby zarządzania i kontroli dostępu.
Segmentacja ułatwia projektowanie podejścia do zabezpieczeń opartego na zasadach modelu zero zaufania. Należy zagwarantować, że osoby kontrolujące jeden segment nie mogą uzyskać dostępu do innego, segmentując obciążenia przy użyciu różnych kontrolek tożsamości. W bezpiecznym systemie różne atrybuty, takie jak sieć i tożsamość, są używane w celu blokowania nieautoryzowanych dostępu i ukrywania zasobów przed dostępem.
Oto kilka przykładów segmentów:
- Formanty platformy definiujące granice sieci
- Środowiska, w których są izolowane obciążenia organizacji
- Rozwiązania izolowane zasobów obciążenia
- Środowiska wdrożeniowe, które izolują wdrożenie według etapów
- Zespoły i role, które izolują funkcje zadania związane z pracą projektowania i zarządzania
- Warstwy aplikacji które są izolowane według narzędzia w obciążeniach
- Mikrousługi, które izolują jedną usługę od innej
Rozważ te kluczowe elementy segmentacji, aby upewnić się, że budowania kompleksowej strategii analizy:
Granice lub obwody to krawędź segmentu, w którym są stosowane zabezpieczenia. Formanty obwodowe powinny blokować dostęp do segmentu, o ile nie są to jawnie dozwolone. Celem jest zapobieganie przerwaniem kontroli nad systemem i uzyskaniem kontroli nad systemem. Użytkownik może na przykład mieć dostęp do środowiska, ale może w tym środowisku uruchamiać tylko określone aplikacje, na podstawie posiadanych uprawnień.
Ograniczenie to krawędź wyjściowa segmentu, która zapobiega ruchom bocznym w systemie. Celem ograniczenia jest minimalizowanie efektu naruszeń. Na przykład sieć wirtualna może być używana do konfigurowania grup zabezpieczeń routingu i sieci w celu zezwalania jedynie na wzorce ruchu, które powinny być stosowane, w celu uniknięcia przechowania ruchu w segmentach sieci.
Izolacja to praktyka grupowania jednostek o podobnych gwarancjach w celu chronienia ich za pomocą granicy. Celem jest łatwość zarządzania i zawieranie ataków w środowisku. Na przykład można pogrupować zasoby związane z określonym pracą w jednym środowisku lub jednym rozwiązaniu, a następnie zastosować formant dostępu, aby do środowiska Power Platform mogły mieć dostęp tylko określone zespoły obciążenia.
Należy zwrócić uwagę na rozróżnienie między obwodami a izolacją. Obwodowy oznacza punkty lokalizacji, które należy sprawdzić. W izolacji chodzi o grupowanie. Aktywnie zawierają atak, korzystając z tych pojęć razem.
Izolacja nie znaczy tworzenia silosów w organizacji. Ujednolicona strategia segmentacji umożliwia wyrównanie między zespołami technicznymi i określa jasne wiersze odpowiedzialności. Zrozumiałość zmniejsza ryzyko wystąpienia błędów ludzkich i niepowodzenia związane z automatyzacją, które mogą powodować luk w zabezpieczeniach, przestoje operacyjne lub oba te błędy. Załóżmy, że zabezpieczenia są wykrywane w składniku złożonego systemu przedsiębiorstwa. Ważne jest, aby każdy mógł zrozumieć, kto jest odpowiedzialny za ten zasób, aby uwzględniono odpowiednią osobę w zespole reakcji. Organizacja i udziałowcy mogą szybko określić, w jaki sposób zareagować na różne rodzaje zdarzeń, tworząc i dokumentując dobrą strategię segmentacji.
Kompromis: Segmentacja wprowadza złożoność, ponieważ istnieje narzut w zarządzaniu.
Ryzyko: Mikrosegmentacja powyżej rozsądnego limitu powoduje utratę korzyści płynących z izolacji. W przypadku utworzenia zbyt wielu segmentów trudno jest zidentyfikować punkty komunikacji lub zezwolić na prawidłowe ścieżki komunikacji w obrębie tego segmentu.
Tożsamość jako perymetr
Różne tożsamości, takie jak osoby, składniki oprogramowania lub urządzenia, mają dostęp do segmentów obciążenia. Tożsamość to perymetr, który powinien być podstawowym linią zabezpieczeń w celu uwierzytelnienia i autoryzowania dostępu poza granicą izolacji, niezależnie od miejsca, w którym pochodzi żądanie dostępu. Tożsamości należy używać jako obwodu do:
Przypisywanie dostępu według roli. Tożsamości muszą mieć dostęp tylko do segmentów wymaganych do pracy. Zminimalizuj dostęp anonimowy, znając role i obowiązki tożsamości żądania, aby encja zażądała dostępu do segmentu i w jakim celu.
Tożsamość może mieć różne zakresy dostępu w różnych segmentach. Należy rozważyć typową konfigurację środowiska z oddzielnymi segmentami dla każdego etapu. Tożsamości skojarzone z rolą dewelopera mają dostęp do odczytu i zapisu do środowiska projektowego. W wraz z przeniesieniem wdrożenia na przemieszczania te uprawnienia są ograniczane. W czasie, gdy nakład pracy jest awansowany na produkcja, zakres dla deweloperów jest pomniejszony do dostępu tylko do odczytu.
Oddzielnie należy rozważyć tożsamości aplikacji i zarządzania. W większości rozwiązań użytkownicy mają inny poziom dostępu niż deweloperzy lub operatorzy. W niektórych aplikacjach można używać różnych systemów tożsamości lub katalogów dla każdego typu tożsamości. Należy rozważyć utworzenie osobnych ról dla każdej tożsamości.
Przypisz dostęp z najniższym prawem dostępu. Jeśli tożsamość jest dozwolona, należy określić poziom dostępu. Należy rozpocząć od najmniejszego uprawnienia dla każdego segmentu i poszerzyć ten zakres tylko wtedy, gdy będzie to konieczne.
Stosowanie najmniej uprawnień pozwala ograniczyć efekty ujemne, jeśli kiedykolwiek zostanie naruszone bezpieczeństwo tożsamości. Jeśli dostęp do tabletu jest ograniczony przez czas, jego ilość jest dalej pomniejszana. Ograniczony w czasie dostęp jest szczególnie odpowiednich dla klientów o znaczeniu krytycznym, takich jak administratorzy lub składniki oprogramowania, które naruszono tożsamość.
Aby uzyskać informacje na temat kontroli tożsamości, zobacz Zalecenia dotyczące zarządzania tożsamościami i dostępem.
W przeciwieństwie do formantów dostępu do sieci tożsamość sprawdza poprawność dostępu w czasie dostępu. Zdecydowanie zaleca się przeprowadzanie okresowego przeglądu dostępu i wymaganie przepływu pracy zatwierdzania w celu uzyskania uprawnień do krytycznego wpływu na konta.
Tworzenie sieci przy obwodowej sieci
Obwody tożsamości to sieć, podczas gdy tożsamość sieciowa jest obwodowa, ale nigdy jej nie zastępuje. Istnieją obwody sieciowe służące do kontroli dużych zasobów, blokowania nieoczekiwanego, zakazanego i niebezpiecznego dostępu oraz zakłócania zasobów obciążenia.
Mimo że podstawowym celem obwodu tożsamości jest najmniej uprawnień, należy przyjąć, że podczas projektowania obwodu sieciowego pojawi się naruszenie.
Przy użyciu usług Power Platform i funkcji Azure możesz tworzyć zdefiniowane przez oprogramowanie obwody w sieci. Jeśli pracą (lub częściami danego obciążenia) jest umieszczane w oddzielnych segmentach, ruch jest rozdzielany między segmentami i do nich steruje w celu zabezpieczenia ścieżek komunikacyjnych. Jeśli zostanie naruszone bezpieczeństwo segmentu, jest on zawierany i blokowany z późniejszą przeglądarką przez pozostałą część sieci.
Pojmij, że chcesz wstrzymać obciążenia i ustanowić formanty w celu zminimalizowania dalszych rozwoju. Formanty powinny wykrywać, zawierać i zatrzymać dostęp osób do dostępu do całego obciążenia. Oto kilka przykładów formantów sieciowych jako obwodu:
- Określ obwody krawędzi między sieciami publicznymi a siecią, w której jest umieszczone obciążenie. Ogranicz ewentualne ograniczenie sieci publicznych do sieci.
- Tworzenie granic w oparciu o zamiary. Na przykład segmentowe sieci funkcjonalne w ramach obciążenia z sieci operacyjnych.
Role i obowiązki
Segmentacja, która uniemożliwia zdefiniowanie nieporozumień i zabezpieczeń przez jasne zdefiniowanie wierszy odpowiedzialności w zespole obciążenia.
Dokumentować i udostępniać role i funkcje w celu zapewnienia spójności i ułatwienia komunikacji. Wyznaczyć grupy lub poszczególne role, które odpowiadają za kluczowe funkcje. Przed utworzeniem ról niestandardowych dla obiektów należy rozważyć wbudowane role w Power Platform.
Podczas przypisywania uprawnień do segmentu warto uwzględnić spójność podczas przypisywania uprawnień do różnych modeli organizacyjnych. Te modele mogą pochodzić z jednej scentralizowanych grup IT po w większości niezależne zespoły IT i DevOps.
Organizacja zasobów
Segmentacja pozwala na izolowanie zasobów obciążenia z innych części organizacji lub nawet w ramach zespołu. Konstruktory Power Platform systemu (np. środowiska i rozwiązania) to sposoby organizowania zasobów promowania segmentacji.
Ułatwienia Power Platform
W poniższych sekcjach przedstawiono funkcje i możliwości Power Platform, których można użyć do zaimplementowania strategii segmentacji.
Tożsamość
Wszystkie produkty Power Platform używają Microsoft Entra ID (dawniej lub Azure Active Directory lub Azure AD) do zarządzania tożsamościami i dostępem. Do określenia obwodu tożsamości można użyć wbudowanych ról zabezpieczeń, dostępu warunkowego, zarządzania tożsamościami o uprawnieniach oraz zarządzania dostępem do grup przy użyciu identyfikatora ID.
Microsoft Dataverse korzysta z zabezpieczeń opartych na rolach w celu zgrupowania zbiorowego uprawnienia. Te role zabezpieczeń mogą być skojarzone bezpośrednio z użytkownikami lub mogą być skojarzone z zespołami i jednostkami biznesowymi Dataverse. Więcej informacji zawiera temat Zagadnienia dotyczące zabezpieczeń w Microsoft Dataverse.
Sieć
Dzięki pomocy technicznej Azure Virtual Network dla Power Platform można integrować Power Platform z zasobami w sieci wirtualnej bez konieczności dostępu do nich za pośrednictwem publicznego Internetu. Obsługa sieci wirtualnej używa delegowania podsieci Azure w celu zarządzania ruchu wychodzącego z Power Platform w czasie wykonywania. Użycie delegata pozwala uniknąć potrzeby przenoszenia chronionych zasobów przez Internet w celu integracji z Power Platform. Składniki sieci wirtualnej, Dataverse i Power Platform mogą wywołać zasoby przedsiębiorstwa w sieci, niezależnie od tego, czy są hostowane na platformie Azure czy lokalnie, i używać dodatków plug-in i łączników do rozmów wychodzących. Aby uzyskać więcej informacji, zobacz omówienie pomocy technicznej sieci wirtualnej Power Platform.
Zapora IP dla Power Platform środowisk pomaga chronić dane, ograniczając dostęp użytkowników tylko z Dataverse dozwolonych lokalizacji IP.
Microsoft Azure ExpressRoute Zapewnia zaawansowany sposób łączenia sieci lokalnej z Microsoft usługami w chmurze przy użyciu łączności prywatnej. Pojedyncze połączenie ExpressRoute może być używane do uzyskania dostępu do wielu usług online, na przykład Microsoft Power Platform, Dynamics 365, Microsoft 365 i Azure.
Lista kontrolna zabezpieczeń
Zapoznaj się z kompletną zestawem zaleceń.