คำแนะนำสำหรับการสร้างกลยุทธ์การแบ่งส่วน
ใช้กับคำแนะนำรายการตรวจสอบความปลอดภัยที่ได้รับการออกแบบอย่างดี: Power Platform
| SE:04 | สร้างการแบ่งส่วนและอาณาเขตตามจุดประสงค์ในการออกแบบสถาปัตยกรรมของคุณและการปรากฏของเวิร์กโหลดบนแพลตฟอร์ม กลยุทธ์การแบ่งส่วนต้องประกอบด้วยเครือข่าย บทบาทและความรับผิดชอบ ข้อมูลประจำตัวของปริมาณงาน และองค์กรทรัพยากร |
|---|
กลยุทธ์การแบ่งส่วนจะกำหนดวิธีแยกเวิร์กโหลดต่างๆ ออกจากกันด้วยชุดข้อกำหนดและมาตรการรักษาความปลอดภัยของตนเอง
คู่มือนี้จะอธิบายคำแนะนำสำหรับ การสร้างกลยุทธ์การแบ่งกลุ่มแบบรวม การใช้อาณาเขตและขอบเขตการตัดแยกในเวิร์กโหลด ทำให้คุณสามารถออกแบบวิธีการรักษาความปลอดภัยที่เหมาะกับคุณได้
คำจำกัดความ
| เงื่อนไข | ข้อกำหนด |
|---|---|
| การควบคุม | เทคนิคในการควบคุมรัศมีการกระจายหากผู้โจมตีเข้าถึงส่วนใดส่วนหนึ่งได้ |
| การเข้าถึงด้วยสิทธิ์น้อยที่สุด | หลักการ Zero Trust ที่มุ่งลดชุดสิทธิ์ในการทำงานให้เหลือน้อยที่สุด |
| เส้นรอบรูป | ขอบเขตความน่าเชื่อถือสำหรับเซ็กเมนต์ |
| องค์กรทรัพยากร | กลยุทธ์ในการจัดกลุ่มทรัพยากรที่เกี่ยวข้องตามโฟลว์ภายในเซ็กเมนต์ |
| บทบาท | ชุดของสิทธิ์ที่จำเป็นในการทำงานให้เสร็จสมบูรณ์ |
| เซ็กเมนต์ | หน่วยลอจิคัลที่แยกออกจากเอนทิตีอื่นและได้รับการปกป้องโดยชุดมาตรการรักษาความปลอดภัย |
กลยุทธ์การออกแบบที่สำคัญ
แนวคิดเรื่องการแบ่งส่วนมักใช้สำหรับเครือข่าย อย่างไรก็ตาม สามารถใช้หลักการพื้นฐานเดียวกันนี้ได้ตลอดทั้งโซลูชัน รวมถึงการแบ่งส่วนทรัพยากรเพื่อวัตถุประสงค์ในการจัดการและการควบคุมการเข้าถึง
การแบ่งส่วนช่วยให้คุณ ออกแบบแนวทางรักษาความปลอดภัยที่ใช้การป้องกันเชิงลึก ตามหลักการของโมเดล Zero Trust ตรวจสอบให้แน่ใจว่าผู้โจมตีที่บุกรุกเซ็กเมนต์หนึ่งจะไม่สามารถเข้าถึงอีกเซ็กเมนต์หนึ่งโดยการแบ่งส่วนเวิร์กโหลดด้วยการควบคุมข้อมูลประจำตัวที่แตกต่างกัน ในระบบที่ปลอดภัย คุณลักษณะต่างๆ เช่น เครือข่ายและข้อมูลประจำตัว จะใช้เพื่อบล็อกการเข้าถึงโดยไม่ได้รับอนุญาตและซ่อนเนื้อหาไม่ให้ถูกเปิดเผย
นี่คือตัวอย่างบางส่วนของเซ็กเมนต์:
- มาตรการควบคุมแพลตฟอร์มที่กำหนดขอบเขตเครือข่าย
- สภาพแวดล้อมที่ตัดแยกเวิร์กโหลดขององค์กร
- โซลูชันที่ตัดแยกแอสเซทของเวิร์กโหลดออกจากกัน
- สภาพแวดล้อมการปรับใช้งานที่ตัดแยกการปรับใช้งานตามขั้นตอน
- ทีมและบทบาทที่ตัดแยกหน้าที่งานที่เกี่ยวข้องกับการพัฒนาและการจัดการเวิร์กโหลด
- ระดับแอปพลิเคชันที่ตัดแยกตามประโยชน์ใช้สอยของเวิร์กโหลด
- ไมโครเซอร์วิสที่ตัดแยกบริการหนึ่งออกจากบริการอื่น
พิจารณาองค์ประกอบสำคัญเหล่านี้ของการแบ่งส่วนเพื่อให้แน่ใจว่าคุณกำลังสร้างกลยุทธ์การป้องกันเชิงลึกที่ครอบคลุม:
ขอบเขตหรืออาณาเขต เป็นขอบรายการของเซ็กเมนต์ที่คุณใช้มาตรการควบคุมความปลอดภัย มาตรการควบคุมอาณาเขตควรบล็อกการเข้าถึงส่วนดังกล่าว เว้นแต่จะได้รับอนุญาตอย่างชัดเจน เป้าหมายคือการป้องกันไม่ให้ผู้โจมตีบุกทะลุอาณาเขตและเข้าควบคุมระบบ ตัวอย่างเช่น ผู้ใช้อาจมีสิทธิ์เข้าถึงสภาพแวดล้อม แต่สามารถเปิดแอปพลิเคชันเฉพาะในสภาพแวดล้อมนั้นได้เท่านั้นโดยขึ้นอยู่กับสิทธิ์ของพวกเขา
การกักเก็บ คือขอบทางออกของส่วนที่ป้องกันไม่ให้เกิดการเคลื่อนตัวด้านข้างในระบบ เป้าหมายของการควบคุมคือการลดผลกระทบของการละเมิดให้เหลือน้อยที่สุด ตัวอย่างเช่น เครือข่ายเสมือนอาจใช้เพื่อกำหนดค่าการกำหนดเส้นทางและกลุ่มความปลอดภัยของเครือข่ายเพื่ออนุญาตเฉพาะรูปแบบการรับส่งข้อมูลที่คุณคาดไว้เท่านั้น โดยหลีกเลี่ยงการรับส่งข้อมูลไปยังส่วนเครือข่ายที่กำหนดเอง
การแยก คือแนวทางปฏิบัติในการจัดกลุ่มเอนทิตีที่มีการรับรองที่คล้ายคลึงกันเข้าด้วยกันเพื่อกำหนดขอบเขต เป้าหมายคือความง่ายในการจัดการและการควบคุมการโจมตีภายในสภาพแวดล้อม ตัวอย่างเช่น คุณอาจจัดกลุ่มทรัพยากรที่เกี่ยวข้องกับเวิร์กโหลดเฉพาะออกเป็นสภาพแวดล้อม Power Platform เดียวหรือโซลูชันเดียว จากนั้นใช้การควบคุมการเข้าถึงเพื่อให้เฉพาะทีมจัดการเวิร์กโหลดที่ระบุเท่านั้นที่สามารถเข้าถึงสภาพแวดล้อมได้
สิ่งสำคัญคือ ต้องสังเกตความแตกต่างระหว่างอาณาเขตและการตัดแยก อาณาเขต หมายถึง จุดของตำแหน่งที่ควรตรวจสอบ การตัดแยกเป็นเรื่องของการจัดกลุ่ม ควบคุมการโจมตีโดยใช้แนวคิดเหล่านี้ร่วมกัน
การตัดแยกไม่ได้หมายถึงการสร้างไซโลในองค์กร กลยุทธ์การแบ่งส่วนแบบรวมช่วยให้ทีมเทคนิคทำงานสอดคล้องกันและกำหนดสายความรับผิดชอบที่ชัดเจน ความชัดเจนช่วยลดความเสี่ยงของข้อผิดพลาดของมนุษย์และความล้มเหลวของระบบอัตโนมัติที่อาจนำไปสู่ช่องโหว่ด้านความปลอดภัย การหยุดการทำงาน หรือทั้งสองอย่าง สมมติว่าตรวจพบการละเมิดความปลอดภัยในส่วนประกอบระบบขององค์กรที่ซับซ้อน สิ่งสำคัญคือทุกคนจะต้องเข้าใจว่าใครเป็นผู้รับผิดชอบทรัพยากรนั้น เพื่อรวมบุคคลที่เหมาะสมไว้ในทีมคัดกรอง องค์กรและผู้เกี่ยวข้องสามารถระบุวิธีการรับมือเหตุการณ์ประเภทต่างๆ ได้อย่างรวดเร็วโดยการสร้างและบันทึกกลยุทธ์การแบ่งส่วนที่ดี
การแลกเปลี่ยน: การแบ่งส่วนทำให้เกิดความซับซ้อนเนื่องจากมีค่าใช้จ่ายในการบริหารจัดการ
ความเสี่ยง: การแบ่งส่วนย่อยเกินขีดจำกัดที่เหมาะสมจะทำให้สูญเสียประโยชน์จากการแยกตัว เมื่อคุณสร้างเซ็กเมนต์มากเกินไป เป็นการยากที่จะระบุจุดของการสื่อสารหรืออนุญาตให้มีเส้นทางการสื่อสารที่ถูกต้องภายในเซ็กเมนต์นั้น
ข้อมูลประจำตัวเป็นอาณาเขต
ข้อมูลประจำตัวต่างๆ เช่น บุคคล ส่วนประกอบซอฟต์แวร์ หรืออุปกรณ์จะเข้าถึงเซ็กเมนต์ของเวิร์กโหลด ข้อมูลประจำตัวเป็นอาณาเขตที่ควรเป็นแนวป้องกันหลักเพื่อ รับรองความถูกต้องและอนุญาตการเข้าถึงข้ามขอบเขตการตัดแยก ไม่ว่าคำขอเข้าถึงจะเริ่มต้นจากที่ใด ใช้ข้อมูลประจำตัวเป็นอาณาเขตเพื่อ:
กำหนดการเข้าถึงตามบทบาท ข้อมูลประจำตัวต้องการเพียงการเข้าถึงส่วนที่จำเป็นต่อการทำงานเท่านั้น ลดการเข้าถึงแบบไม่ระบุตัวตนให้เหลือน้อยที่สุดด้วยการทำความเข้าใจบทบาทและความรับผิดชอบของข้อมูลประจำตัวที่ร้องขอ เพื่อให้คุณทราบถึงเอนทิตีที่ขอเข้าถึงเซ็กเมนต์และเพื่อวัตถุประสงค์อะไร
ข้อมูลประจำตัวอาจมีขอบเขตการเข้าถึงที่แตกต่างกันในแต่ละเซ็กเมนต์ พิจารณาการตั้งค่าสภาพแวดล้อมทั่วไป ด้วยเซ็กเมนต์ที่แยกกันสำหรับแต่ละขั้นตอน ข้อมูลประจำตัวที่เกี่ยวข้องกับบทบาทของนักพัฒนามีสิทธิ์การเข้าถึงแบบอ่าน-เขียนในสภาพแวดล้อมการพัฒนา เมื่อการปรับใช้งานย้ายไปที่การจัดเตรียม สิทธิ์เหล่านั้นจะถูกจำกัด เมื่อถึงเวลาที่เวิร์กโหลดได้รับการเลื่อนระดับเป็นการทำงานจริง ขอบเขตสำหรับนักพัฒนาจะลดลงเหลือเพียงการเข้าถึงแบบอ่านอย่างเดียว
พิจารณาข้อมูลประจำตัวของแอปพลิเคชันและการจัดการแยกกัน ในโซลูชันส่วนใหญ่ ผู้ใช้มีระดับการเข้าถึงที่แตกต่างจากนักพัฒนาหรือผู้ปฏิบัติงาน ในบางแอปพลิเคชัน คุณอาจใช้ระบบข้อมูลประจำตัวหรือไดเรกทอรีที่แตกต่างกันสำหรับข้อมูลประจำตัวแต่ละประเภท พิจารณาสร้างบทบาทแยกกันสำหรับข้อมูลประจำตัวแต่ละแบบ
กำหนดการเข้าถึงด้วยสิทธิ์น้อยที่สุด หากข้อมูลประจำตัวได้รับอนุญาตให้เข้าถึง ให้กำหนดระดับการเข้าถึง เริ่มต้นด้วยสิทธิ์ขั้นต่ำสำหรับแต่ละเซ็กเมนต์ และขยายขอบเขตนั้นเมื่อจำเป็นเท่านั้น
เมื่อใช้สิทธิ์ขั้นต่ำ คุณจะจำกัดผลกระทบด้านลบหากข้อมูลประจำตัวไม่ปลอดภัย หากการเข้าถึงถูกจำกัดด้วยเวลา พื้นที่ในการโจมตีจะลดลงอีก การเข้าถึงแบบจำกัดเวลามีผลโดยเฉพาะกับบัญชีที่สำคัญ เช่น ผู้ดูแลระบบหรือส่วนประกอบซอฟต์แวร์ที่มีข้อมูลประจำตัวที่ถูกละเมิด
สำหรับข้อมูลเกี่ยวกับการควบคุมข้อมูลประจำตัว โปรดดู คำแนะนำสำหรับการจัดการข้อมูลประจำตัวและการเข้าถึง
ตรงกันข้ามกับการควบคุมการเข้าถึงเครือข่าย ข้อมูลประจำตัวจะตรวจสอบการควบคุมการเข้าถึงในเวลาที่เข้าถึง ขอแนะนำให้ดำเนินการตรวจสอบการเข้าถึงเป็นประจำ และต้องมีเวิร์กโฟลว์การอนุมัติเพื่อรับสิทธิ์สำหรับบัญชีที่มีผลกระทบร้ายแรง
เครือข่ายเป็นอาณาเขต
อาณาเขตข้อมูลประจำตัวนั้นไม่อิงกับเครือข่าย ในขณะที่อาณาเขตเครือข่ายจะเพิ่มข้อมูลประจำตัว แต่ไม่เคยแทนที่ อาณาเขตเครือข่ายได้รับการกำหนดเพื่อควบคุมรัศมีการกระจาย บล็อกการเข้าถึงที่ไม่คาดคิด ไม่ได้รับอนุญาต และไม่ปลอดภัย และทำให้ทรัพยากรของเวิร์กโหลดยุ่งเหยิง
แม้ว่าจุดสนใจหลักของอาณาเขตข้อมูลประจำตัวถือเป็นสิทธิ์ขั้นต่ำ แต่คุณควรถือว่าจะมีการละเมิดเมื่อคุณกำลังออกแบบอาณาเขตเครือข่าย
สร้างอาณาเขตที่กำหนดโดยซอฟต์แวร์ในพื้นที่เครือข่ายของคุณโดยใช้บริการและคุณลักษณะของ Power Platform และ Azure เมื่อเวิร์กโหลด (หรือบางส่วนของเวิร์กโหลดที่กำหนด) ถูกวางลงในเซ็กเมนต์ที่แยกจากกัน คุณจะควบคุมการรับส่งข้อมูลจากหรือไปยังเซ็กเมนต์เหล่านั้นเพื่อรักษาเส้นทางการสื่อสารที่ปลอดภัยไว้ หากเซ็กเมนต์ถูกละเมิดความปลอดภัย เซ็กเมนต์นั้นจะถูกควบคุมและป้องกันไม่ให้แพร่กระจายผ่านไปยังส่วนที่เหลือของเครือข่ายของคุณ
ขอให้คิดเหมือนผู้โจมตีที่จะทำให้บรรลุเป้าหมายภายในเวิร์กโหลด และสร้างการควบคุมเพื่อลดการขยายตัวเพิ่มเติม มาตรการควบคุมควรตรวจจับ ควบคุม และหยุดผู้โจมตีไม่ให้เข้าถึงเวิร์กโหลดทั้งหมด ต่อไปนี้คือตัวอย่างบางส่วนของมาตรการควบคุมเครือข่ายเป็นอาณาเขต:
- กำหนดอาณาเขตของคุณระหว่างเครือข่ายสาธารณะกับเครือข่ายที่วางเวิร์กโหลดของคุณ จำกัดแนวการมองเห็นจากเครือข่ายสาธารณะไปยังเครือข่ายของคุณให้ได้มากที่สุด
- สร้างขอบเขตตามจุดประสงค์ ตัวอย่างเช่น แบ่งเครือข่ายฟังก์ชันเวิร์กโหลดจากเครือข่ายปฏิบัติการ
หน้าที่และความรับผิดชอบ
การแบ่งส่วนที่ป้องกันความสับสนและความเสี่ยงด้านความปลอดภัยทำได้โดยการกำหนดสายความรับผิดชอบภายในทีมจัดการเวิร์กโหลดอย่างชัดเจน
จัดทำเอกสารและแบ่งบทบาทและหน้าที่เพื่อสร้างความสอดคล้องและอำนวยความสะดวกในการสื่อสาร กำหนดกลุ่มหรือบทบาทบุคคลที่รับผิดชอบหน้าที่หลัก พิจารณาบทบาทในตัวใน Power Platform ก่อนที่จะสร้างบทบาทที่กำหนดเองสำหรับออบเจ็กต์
พิจารณาความสอดคล้องกันขณะที่รองรับโมเดลองค์กรหลายแบบเมื่อกำหนดสิทธิ์สำหรับเซ็กเมนต์ โมเดลเหล่านี้มีตั้งแต่กลุ่มไอทีแบบรวมศูนย์กลุ่มเดียวไปจนถึงทีมไอทีและ DevOps ที่เป็นอิสระเป็นส่วนใหญ่
องค์กรทรัพยากร
การแบ่งส่วนทำให้คุณสามารถแยกทรัพยากรเวิร์กโหลดออกจากส่วนอื่นๆ ขององค์กรหรือแม้แต่ภายในทีมได้ โครงสร้าง Power Platform เช่น สภาพแวดล้อมและโซลูชัน เป็นวิธีจัดระเบียบทรัพยากรของคุณที่ส่งเสริมการแบ่งส่วน
การอำนวยความสะดวกของ Power Platform
ส่วนต่อไปนี้จะอธิบายคุณลักษณะและความสามารถของ Power Platform ที่คุณสามารถใช้เพื่อนำกลยุทธ์การแบ่งส่วนไปใช้
ข้อมูลเอกลักษณ์
ผลิตภัณฑ์ Power Platform ทั้งหมดใช้ Microsoft Entra ID (เดิม Azure Active Directory หรือ Azure AD) สำหรับการจัดการข้อมูลประจำตัวและการเข้าถึง คุณสามารถใช้บทบาทความปลอดภัยในตัว การเข้าถึงแบบมีเงื่อนไข, Privileged Identity Management และการจัดการการเข้าถึงกลุ่มใน Entra ID เพื่อกำหนดอาณาเขตข้อมูลประจำตัวของคุณ
Microsoft Dataverse ใช้การรักษาความปลอดภัยตามบทบาทเพื่อจัดกลุ่มตามชุดของสิทธิ์การใช้งาน Security role เหล่านี้สามารถเชื่อมโยงโดยตรงกับผู้ใช้ หรือสามารถเชื่อมโยงกับทีมและหน่วยธุรกิจของ Dataverse สำหรับข้อมูลเพิ่มเติม ดู แนวคิดเรื่องความปลอดภัยใน Microsoft Dataverse
เครือข่าย
ด้วยการรองรับเครือข่ายเสมือน Azure สำหรับ Power Platform คุณสามารถรวม Power Platform กับทรัพยากรภายในเครือข่ายเสมือนของคุณได้โดยไม่เปิดเผยทรัพยากรของคุณผ่านอินเทอร์เน็ตสาธารณะ การรองรับเครือข่ายเสมือนใช้การมอบสิทธิ์ซับเน็ต Azure เพื่อจัดการการรับส่งข้อมูลขาออกจาก Power Platform ขณะรันไทม์ การใช้การรับมอบสิทธิ์จะหลีกเลี่ยงความจำเป็นในการใช้ทรัพยากรที่ได้รับการป้องกันผ่านอินเทอร์เน็ตเพื่อรวมกับ Power Platform เครือข่ายเสมือน, Dataverse และส่วนประกอบ Power Platform สามารถเรียกทรัพยากรที่องค์กรของคุณเป็นเจ้าของภายในเครือข่ายของคุณได้ ไม่ว่าจะโฮสต์อยู่ใน Azure หรือในสถานที่ และใช้ปลั๊กอินและตัวเชื่อมต่อเพื่อเรียกขาออก สำหรับข้อมูลเพิ่มเติม โปรดดู ภาพรวมการรองรับเครือข่ายเสมือนสำหรับ Power Platform
ไฟร์วอลล์ IP สำหรับสภาพแวดล้อมช่วย ป้องกัน ข้อมูลของคุณโดยจำกัดการเข้าถึงของผู้ใช้จากตำแหน่ง IP ที่ได้รับอนุญาตเท่านั้น Power Platform Dataverse
Microsoft Azure ExpressRoute ให้วิธีขั้นสูงในการเชื่อมต่อเครือข่าย ในสถานที่ ของคุณกับบริการคลาวด์โดยใช้การเชื่อมต่อแบบส่วนตัว Microsoft การเชื่อมต่อ ExpressRoute เดียวสามารถใช้เพื่อเข้าถึงบริการออนไลน์ต่างๆ ได้ เช่น Microsoft Power Platform, Dynamics 365, Microsoft 365 และ Azure
รายการตรวจสอบความปลอดภัย
โปรดดูชุดคำแนะนำทั้งหมด