Recomendações para criar uma estratégia de segmentação
Aplica-se à recomendação da lista de verificação de segurança bem arquitetada: Power Platform
| SE:04 | Crie segmentação e perímetros intencionais em seu design de arquitetura e no volume da carga de trabalho na plataforma. A estratégia de segmentação deve incluir redes, funções e responsabilidades, identidades da carga de trabalho e organização de recursos. |
|---|
Uma estratégia de segmentação define como você separa as cargas de trabalho de outras cargas de trabalho com seu próprio conjunto de requisitos e medidas de segurança.
Este guia descreve as recomendações para criar uma estratégia de segmentação unificada. Usando perímetros e limites de isolamento nas cargas de trabalho, você pode criar uma abordagem de segurança que funcione para você.
Definições
| Termo | Definição |
|---|---|
| Contenção | Uma técnica para conter o raio de explosão se um invasor obtiver acesso a um segmento. |
| Acesso com privilégios mínimos | Um princípio de Confiança Zero que visa minimizar um conjunto de permissões para concluir uma função de trabalho. |
| Perímetro | O limite de confiança em torno de um segmento. |
| Organização de recursos | Uma estratégia para agrupar recursos relacionados por fluxos dentro de um segmento. |
| Função | Um conjunto de permissões necessárias para concluir uma função de trabalho. |
| Segmento | Uma unidade lógica isolada de outras entidades e protegida por um conjunto de medidas de segurança. |
Estratégias-chave de design
O conceito de segmentação é comumente usado para redes. No entanto, o mesmo princípio subjacente pode ser usado em toda a solução, incluindo a segmentação de recursos para fins de gerenciamento e controle de acesso.
A segmentação ajuda você a projetar uma abordagem de segurança que aplica defesa em profundidade com base nos princípios do modelo Confiança Zero. Certifique-se de que um invasor que viole um segmento não possa obter acesso a outro segmentando as cargas de trabalho com diferentes controles de identidade. Em um sistema seguro, diferentes atributos, como rede e identidade, são usados para bloquear o acesso não autorizado e ocultar os ativos de exposições.
Veja alguns exemplos de segmentos:
- Controles de plataforma que definem limites de rede
- Ambientes que isolam cargas de trabalho de uma organização
- Soluções que isolam ativos da carga de trabalho
- Ambientes de implantação que isolam a implantação por estágios
- Equipes e funções que isolam funções de trabalho relacionadas ao desenvolvimento e gerenciamento da cargas de trabalho
- Camadas de aplicativo que isolam por utilitário da carga de trabalho
- Microsserviços que isolam um serviço de outro
Considere estes elementos-chave de segmentação para ter certeza de que está criando uma estratégia abrangente de defesa em profundidade:
O limite ou perímetro é a borda de entrada de um segmento no qual você aplica controles de segurança. Os controles de perímetro devem bloquear o acesso ao segmento, a menos que explicitamente permitido. O objetivo é evitar que um invasor atravesse o perímetro e ganhe o controle do sistema. Por exemplo, um usuário pode ter acesso a um ambiente, mas só pode iniciar aplicativos específicos nesse ambiente com base em suas permissões.
Contenção é a borda de saída de um segmento que impede o movimento lateral no sistema. O objetivo da contenção é minimizar o efeito de uma violação. Por exemplo, uma rede virtual pode ser usada para configurar grupos de roteiros e de segurança de rede para permitir somente os padrões de tráfego esperados, evitando o tráfego para segmentos de rede arbitrários.
Isolamento é a prática de agrupar entidades com garantias semelhantes para isolá-las com um limite. O objetivo é a facilidade de gerenciamento e a contenção de um ataque dentro de um ambiente. Por exemplo, você pode agrupar os recursos relacionados a uma carga de trabalho específica em um ambiente do Power Platform ou em uma solução e, em seguida, aplicar o controle de acesso para que somente equipes de carga de trabalho específicas possam acessar o ambiente.
É importante observar a distinção entre perímetros e isolamento. Perímetro refere-se aos pontos de localização que devem ser verificados. Isolamento trata-se do agrupamento. Contenha ativamente um ataque usando esses conceitos juntos.
Isolamento não significa criar silos na organização. Uma estratégia unificada de segmentação proporciona o alinhamento entre as equipes técnicas e define linhas claras de responsabilidade. A clareza reduz o risco de erros humanos e falhas de automação que podem levar a vulnerabilidades de segurança, tempo de inatividade operacional ou ambos. Suponha que uma violação de segurança seja detectada em um componente de um sistema corporativo complexo. É importante que todos entendam quem é o responsável por esse recurso para que a pessoa adequada seja incluída na equipe de triagem. A organização e os stakeholders podem identificar rapidamente como responder a diferentes tipos de incidentes, criando e documentando uma boa estratégia de segmentação.
Compensação: A segmentação introduz complexidade devido à sobrecarga de There no geranciamento.
Risco: A microssegmentação além de um limite razoável perde o benefício do isolamento. Quando você cria muitos segmentos, torna-se difícil identificar pontos de comunicação ou permitir caminhos de comunicação válidos dentro do segmento.
Identidade como o perímetro
Várias identidades, como pessoas, componentes de software ou dispositivos, acessam segmentos da carga de trabalho. A identidade é um perímetro que deve ser a principal linha de defesa para autenticar e autorizar o acesso através dos limites de isolamento, independentemente da origem da solicitação de acesso. Use a identidade como um perímetro para:
Atribuir acesso por função. As identidades só precisam de acesso aos segmentos necessários para fazer o trabalho. Minimize o acesso anônimo entendendo as funções e responsabilidades da identidade solicitante para que você conheça a entidade que está solicitando acesso a um segmento e para qual finalidade.
Uma identidade pode ter escopos de acesso diferentes em segmentos diferentes. Considere uma configuração de ambiente típica, com segmentos separados para cada estágio. As identidades associadas à função de desenvolvedor têm acesso de leitura e gravação ao ambiente de desenvolvimento. À medida que a implantação avança para o preparo, essas permissões são limitadas. Quando a carga de trabalho é promovida para produção, o escopo dos desenvolvedores é reduzido para acesso somente leitura.
Considere as identidades de aplicativo e de gerenciamento separadamente. Na maioria das soluções, os usuários têm um nível de acesso diferente dos desenvolvedores ou operadores. Em alguns aplicativos, você pode usar sistemas de identidade ou diretórios diferentes para cada tipo de identidade. Considere a criação de funções separadas para cada identidade.
Atribuir acesso com privilégios mínimos. Se a identidade tiver acesso permitido, determine o nível de acesso. Comece com o privilégio mínimo para cada segmento e amplie esse escopo somente quando necessário.
Ao aplicar o privilégio mínimo, você limita os efeitos negativos se a identidade for comprometida. Se o acesso for limitado por tempo, a superfície de ataque será reduzida ainda mais. O acesso por tempo limitado é especialmente aplicável a contas críticas, como administradores ou componentes de software que tenham uma identidade comprometida.
Para obter informações sobre os controles de identidade, consulte Recomendações para o gerenciamento de identidades e acesso.
Contrariamente aos controles de acesso à rede, a identidade valida o controle de acesso no momento do acesso. É altamente recomendável conduzir uma revisão de acesso regular e exigir um fluxo de trabalho de aprovação para obter privilégios para contas de impacto crítico.
Rede como um perímetro
Os perímetros de identidade são independentes de rede, enquanto os perímetros de rede aumentam a identidade, mas nunca a substituem. Os perímetros de rede são estabelecidos para controlar o raio de explosão, bloquear o acesso inesperado, proibido e inseguro e ocultar os recursos de carga de trabalho.
Embora o foco principal do perímetro de identidade seja o privilégio mínimo, você deve presumir que haverá uma violação ao projetar o perímetro de rede.
Crie perímetros definidos por software em seu volume de rede usando o Power Platform e serviços e recursos do Azure. Quando uma carga de trabalho (ou partes de uma determinada carga de trabalho) é colocada em segmentos separados, você controla o tráfego de ou para esses segmentos para proteger os caminhos de comunicação. Se um segmento for comprometido, ele será contido e impedido de se espalhar lateralmente pelo resto da rede.
Pense como um invasor para ter um ponto de apoio na carga de trabalho e estabelecer controles para minimizar a expansão futura. Os controles devem detectar, conter e impedir que invasores obtenham acesso a toda a carga de trabalho. Veja alguns exemplos de controles de rede como perímetro:
- Defina seu perímetro de borda entre as redes públicas e a rede em que sua carga de trabalho foi colocada. Restrinja ao máximo a linha de visão das redes públicas para a sua rede.
- Crie limites com base na intenção. Por exemplo, segmente redes funcionais da carga de trabalho das redes operacionais.
Funções e responsabilidades
A segmentação que evita confusão e riscos de segurança é alcançada definindo claramente as linhas de responsabilidade dentro de uma equipe de carga de trabalho.
Documente e compartilhe funções para criar consistência e facilitar a comunicação. Designe grupos ou funções individuais responsáveis pelas funções principais. Considere as funções internas no Power Platform antes de criar funções personalizadas para os objetos.
Considere a consistência ao acomodar vários modelos organizacionais ao atribuir permissões para um segmento. Esses modelos podem variar de um único grupo de TI centralizado a equipes de TI e DevOps independentes.
Organização de recursos
A segmentação permite que você isole recursos da carga de trabalho de outras partes da organização ou até mesmo dentro da equipe. Os construtores do Power Platform, como ambientes e soluções, são formas de organizar seus recursos que promovem a segmentação.
Facilitação do Power Platform
As seções a seguir descrevem recursos e funcionalidades do Power Platform que você pode usar para implementar uma estratégia de segmentação.
Identidade
Todos os produtos do Power Platform usam a ID do Microsoft Entra (anteriormente conhecido como Azure Active Directory ou Azure AD) para gerenciamento de identidade e acesso. Você pode usar direitos de acesso internos, acesso condicional, Privileged Identity Management e gerenciamento de acesso de grupos no Entra ID para definir seus perímetros de identidade.
O Microsoft Dataverse usa a segurança baseada em função para agrupar uma coleção de privilégios. Essas funções de segurança podem ser associadas diretamente aos usuários ou podem ser associadas a equipes e unidades de negócios do Dataverse. Para obter mais informações, consulte Conceitos de segurança do Microsoft Dataverse.
Rede
Com o suporte da Rede Virtual do Azure ao Power Platform, é possível integrar o Power Platform com recursos em sua rede virtual sem expô-los na internet pública. O suporte da Rede Virtual usa a delegação de sub-rede do Azure para gerenciar o tráfego de saída do Power Platform no runtime. O uso de um delegado evita a necessidade de recursos protegidos para trafegar pela Internet para integração com o Power Platform. Os componentes da Rede Virtual, Dataverse e Power Platform podem chamar recursos pertencentes à sua empresa dentro da sua rede, estejam eles hospedados no Azure ou no local, e usar plug-ins e conectores para fazer chamadas de saída. Para obter mais informações, consulte Suporte da Rede Virtual para visão geral do Power Platform.
O firewall de IP para Power Platform ambientes ajuda a proteger seus dados, limitando o acesso do usuário Dataverse somente a locais de IP permitidos.
Microsoft Azure ExpressRoute fornece uma maneira avançada de conectar sua rede local a Microsoft serviços de nuvem usando conectividade privada. Uma única conexão do ExpressRoute pode ser usada para acessar vários serviços online. Por exemplo, Microsoft Power Platform, Dynamics 365, Microsoft 365 e Azure.
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.