Recomendações para a criação de uma estratégia de segmentação
Aplica-se à Power Platform recomendação da lista de verificação de segurança bem arquitetada:
| SE:04 | Crie uma segmentação e perímetros intencionais na estruturação da sua arquitetura e na quantidade de carga de trabalho na plataforma. A estratégia de segmentação tem de incluir redes, funções e responsabilidades, identidades de carga de trabalho e organização de recursos. |
|---|
Uma estratégia de segmentação define a forma como separa as cargas de trabalho de outras cargas de trabalho com o seu próprio conjunto de requisitos e medidas de segurança.
Este guia descreve as recomendações para criar uma estratégia de segmentação unificada. Utilizando perímetros e limites de isolamento em cargas de trabalho, pode conceber uma abordagem de segurança que funcione para si.
Definições
| Termo | Definição |
|---|---|
| Contenção | Uma técnica para conter o raio de explosão se um atacante ganhar acesso a um segmento. |
| Acesso com menor privilégio | Um princípio Confiança Zero que visa minimizar um conjunto de permissões para concluir uma função da tarefa. |
| Perímetro | O limite de confiança em torno de um segmento. |
| Organização dos recursos | Uma estratégia para agrupar recursos relacionados por fluxos dentro de um segmento. |
| Função | Um conjunto de permissões necessárias para completar uma função de trabalho. |
| Segmento | Uma unidade lógica que está isolada de outras entidades e protegida por um conjunto de medidas de segurança. |
Principais estratégias de design
O conceito de segmentação é normalmente utilizado para as redes. No entanto, o mesmo princípio subjacente pode ser utilizado em toda uma solução, incluindo a segmentação de recursos para fins de gestão e controlo de acesso.
A segmentação ajuda-o a conceber uma abordagem de segurança que aplique a defesa em profundidade com base nos princípios do modelo de Confiança Zero. Certifique-se de que um intruso que viola um segmento não consegue aceder a outro, segmentando as cargas de trabalho com diferentes controlos de identidade. Num sistema seguro, são utilizados diferentes atributos, como a rede e a identidade, para bloquear o acesso não autorizado e impedir que os ativos sejam expostos.
Eis alguns exemplos de segmentos:
- Controlos de plataforma que definem os limites da rede
- Ambientes que isolam as cargas de trabalho de uma organização
- Soluções que isolam os ativos de carga de trabalho
- Ambientes de implementação que isolam a implementação por etapas
- Equipas e funções que isolam os cargos relacionados com o desenvolvimento e a gestão da carga de trabalho
- Camadas de aplicação que isolam por utilidade de carga de trabalho
- Microsserviços que isolam um serviço de outro
Considere estes elementos chave da segmentação para se certificar de que está a criar uma estratégia abrangente de defesa em profundidade:
O limite ou perímetro é o limite de entrada de um segmento onde se aplicam os controlos de segurança. Os controlos de perímetro devem bloquear o acesso ao segmento, exceto se explicitamente autorizado. O objetivo é impedir que um atacante ultrapasse o perímetro e obtenha o controlo do sistema. Por exemplo, um utilizador pode ter acesso a um ambiente mas só pode lançar aplicações específicas nesse ambiente com base nas suas permissões.
Contenção é a borda de saída de um segmento que impede o movimento lateral no sistema. O objetivo da contenção é minimizar o efeito de uma falha de segurança. Por exemplo, uma rede virtual pode ser utilizada para configurar o encaminhamento e os grupos de segurança de rede para permitir apenas os padrões de tráfego esperados, evitando o tráfego para segmentos de rede arbitrários.
O isolamento é a prática de agrupar entidades com garantias semelhantes para proteger-las com um limite. O objetivo é facilitar a gestão e a contenção de um ataque dentro de um ambiente. Por exemplo, pode agrupar os recursos relacionados com uma carga de trabalho específica num ambiente do Power Platform ou uma solução e, em seguida, aplicar o controlo de acesso para que apenas equipas de carga de trabalho específicas possam aceder ao ambiente.
É importante notar a distinção entre perímetros e isolamento. O perímetro refere-se aos pontos de localização que devem ser controlados. O isolamento tem a ver com o agrupamento. Contenha ativamente um ataque utilizando estes conceitos em conjunto.
O isolamento não significa a criação de silos na organização. Uma estratégia de segmentação unificada proporciona um alinhamento entre as equipas técnicas e define linhas claras de responsabilidade. A clareza reduz o risco de erro humano e de falhas de automatização que podem conduzir a vulnerabilidades de segurança, tempo de inatividade operacional ou ambos. Suponhamos que é detetada uma falha de segurança num componente de um sistema empresarial complexo. É importante que todos saibam quem é o responsável por esse recurso, para que a pessoa adequada seja incluída na equipa de triagem. A organização e as partes interessadas podem identificar rapidamente como responder a diferentes tipos de incidentes, criando e documentando uma boa estratégia de segmentação.
Compensação: a segmentação introduz complexidade porque há sobrecarga na gestão.
Risco: A microssegmentação para além de um limite razoável perde o benefício do isolamento. Quando se criam demasiados segmentos, torna-se difícil identificar pontos de comunicação ou permitir vias de comunicação válidas dentro do segmento.
A identidade como perímetro
Várias identidades, como pessoas, componentes de software ou dispositivos, acedem a segmentos de carga de trabalho. A identidade é um perímetro que deve ser a principal linha de defesa para autenticar e autorizar o acesso através de fronteiras de isolamento, independentemente da origem do pedido de acesso. Utilize a identidade como um perímetro para:
Atribuir acesso por função. As identidades só precisam de aceder aos segmentos necessários para desempenharem as suas funções. Minimize o acesso anónimo compreendendo as funções e responsabilidades da identidade requerente, para que saiba qual a entidade que está a pedir acesso a um segmento e com que finalidade.
Uma identidade pode ter diferentes âmbitos de acesso em diferentes segmentos. Considere uma configuração típica de ambiente, com segmentos separados para cada fase. As identidades associadas à função de programador têm acesso de leitura e escrita ao ambiente de desenvolvimento. Quando a implementação passa para a fase de teste, essas permissões são reduzidas. Na altura em que a carga de trabalho é promovida para produção, o âmbito para os programadores é reduzido para acesso apenas de leitura.
Considere as identidades de aplicação e de gestão separadamente. Na maioria das soluções, os utilizadores têm um nível de acesso diferente do dos programadores ou operadores. Em algumas aplicações, poderá utilizar sistemas de identidade ou diretórios diferentes para cada tipo de identidade. Considere a possibilidade de criar funções separadas para cada identidade.
Atribuir acesso com o mínimo de privilégios. Se for permitido o acesso à identidade, determine o nível de acesso. Comece com o menor privilégio para cada segmento e alargue esse âmbito apenas quando necessário.
Ao aplicar o privilégio mínimo, limite os efeitos negativos se a identidade for comprometida. Se o acesso for limitado pelo tempo, a superfície de ataque é ainda mais reduzida. O acesso limitado no tempo é especialmente aplicável a contas críticas, tais como administradores ou componentes de software que tenham uma identidade comprometida.
Para obter informações sobre os controlos de identidade, consulte Recomendações para gestão de identidades e acessos.
Ao contrário dos controlos de acesso à rede, a identidade valida o controlo de acesso no momento do acesso. É altamente recomendável efetuar uma revisão regular do acesso e exigir um fluxo de trabalho de aprovação para obter privilégios para contas de impacto crítico.
A rede como um perímetro
Os perímetros de identidade são agnósticos em relação à rede, enquanto os perímetros de rede aumentam a identidade mas nunca a substituem. Os perímetros da rede são estabelecidos para controlar o raio de ação, bloquear o acesso inesperado, proibido e inseguro e obfuscar os recursos da carga de trabalho.
Embora o foco principal do perímetro de identidade seja o privilégio mínimo, deve assumir que haverá uma violação quando estiver a conceber o perímetro da rede.
Crie perímetros definidos por software na sua área de cobertura de rede com os serviços e funcionalidades do Power Platform e do Azure. Quando uma carga de trabalho (ou partes de uma determinada carga de trabalho) é colocada em segmentos separados, é possível controlar o tráfego de ou para esses segmentos para proteger os caminhos de comunicação. Se um segmento for comprometido, é contido e impedido de se espalhar lateralmente pelo resto da sua rede.
Pense como um atacante para conseguir um ponto de apoio na carga de trabalho e estabeleça controlos para minimizar uma maior expansão. Os controlos devem detetar, conter e impedir que os atacantes tenham acesso a toda a carga de trabalho. Eis alguns exemplos de controlos de rede como perímetro:
- Defina o seu perímetro de borda entre as redes públicas e a rede onde a sua carga de trabalho é colocada. Restrinja o mais possível a linha de visão das redes públicas para a sua rede.
- Criar limites com base na intenção. Por exemplo, segmente as redes funcionais de carga de trabalho das redes operacionais.
Funções e responsabilidades
A segmentação que evita a confusão e os riscos de segurança é conseguida através da definição clara das linhas de responsabilidade dentro de uma equipa de carga de trabalho.
Documentar e partilhar papéis e funções para criar consistência e facilitar a comunicação. Designar grupos ou funções individuais que sejam responsáveis por funções chave. Considere as funções incorporadas no Power Platform antes de criar funções personalizadas para objetos.
Considere a consistência enquanto acomoda vários modelos organizacionais ao atribuir permissões para um segmento. Estes modelos podem variar entre um único grupo de TI centralizado e equipas de TI e DevOps maioritariamente independentes.
Organização dos recursos
A segmentação permite isolar os recursos de carga de trabalho de outras partes da organização ou mesmo dentro da equipa. As construções do Power Platform, como ambientes e soluções, são formas de organizar os seus recursos que promovem a segmentação.
Facilitação do Power Platform
As seguintes secções descrevem as funcionalidades e capacidades do Power Platform que pode utilizar para implementar uma estratégia de segmentação.
Identidade
Todos os produtos do Power Platform utilizam o Microsoft Entra ID (anteriormente Azure Active Directory ou Azure AD) para gestão de identidades e acessos. Pode utilizar funções de segurança incorporadas, acesso condicional, gestão de identidade privilegiada e gestão de acesso de grupo no Entra ID para definir os seus perímetros de identidade.
O Microsoft Dataverse utiliza a segurança baseada em funções para agrupar uma coleção de privilégios. Estas funções de segurança podem ser associadas diretamente aos utilizadores, ou podem ser associadas a equipas Dataverse e unidades de negócio. Para obrer mais informações, consulte Conceitos de segurança no Microsoft Dataverse.
Rede
Com o suporte de Rede Virtual do Azure para Power Platform, pode integrar o Power Platform com recursos na sua rede virtual sem os expor através da internet pública. O suporte de Rede Virtual utiliza delegação da sub-rede do Azure para gerir o tráfego de saída em runtime do Power Platform em runtime. A utilização de um delegado evita a necessidade de recursos protegidos viajarem pela Internet para se integrarem com o Power Platform. Os componentes da Rede Virtual, do Dataverse e do Power Platform podem chamar os recursos da propriedade da sua empresa dentro da rede, quer estejam alojados no Azure ou no local, e utilizar plug-ins e conectores para fazer chamadas de saída. Para mais informações, consulte Descrição geral do Suporte de Rede Virtual para Power Platform.
O firewall IP para Power Platform ambientes ajuda a proteger seus dados, limitando o acesso do utente apenas a Dataverse partir de locais IP permitidos.
Microsoft Azure ExpressRoute fornece uma maneira avançada de conectar sua rede no local a Microsoft serviços de nuvem usando conectividade privada. Uma única ligação ExpressRoute pode ser utilizada para aceder a vários serviços online, por exemplo, Microsoft Power Platform, Dynamics 365, Microsoft 365 e Azure.
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.