有关生成分段策略的建议
适用于 Power Platform Well-Architected Security 检查清单建议:
| SE:04 | 在体系结构设计以及工作负荷在平台上的占用空间中创建有意的分段和外围。 分段策略必须包括网络、角色和职责、工作负载标识和资源组织。 |
|---|
分段策略定义如何使用自己的一组安全要求和措施将工作负荷与其他工作负荷分开。
本指南介绍有关生成统一分段策略的建议。 在工作负荷中使用外围和隔离边界,可以设计适合您的安全方法。
定义
| 术语 | 定义 |
|---|---|
| 遏制 | 一种技术,用于在攻击者获得对段的访问权限时包含爆炸半径。 |
| 最小特权访问 | 一个零信任原则,旨在最大程度地减少一组完成工作职能的权限。 |
| 周长 | 段周围的信任边界。 |
| 资源组织 | 按段内的流分组相关资源的策略。 |
| 角色 | 完成作业功能所需的一组权限。 |
| 细分 | 与其他实体隔离并受一组安全措施保护的逻辑单元。 |
关键设计策略
分段的概念通常用于网络。 但是,可以在整个解决方案中使用相同的基本原则,包括出于管理目的和访问控制对资源进行分段。
分段有助于设计一种安全方法,该方法根据零信任模型的原则深度应用防御。 通过使用不同的标识控制对工作负荷进行分段,确保入侵一个段的攻击者无法访问另一个段。 在安全系统中,网络和标识等不同属性用于阻止未经授权的访问,并隐藏资产以防公开。
下面是段的一些示例:
- 定义网络边界的平台控制
- 隔离组织的工作负荷的环境
- 隔离工作负荷资产的解决方案
- 按阶段隔离部署的部署环境
- 隔离与工作负荷开发和管理相关的工作职能的团队和角色
- 按工作负荷实用工具隔离的应用程序层
- 将一个服务与另一个服务隔离的微服务
请考虑分段的以下关键要素,以确保生成全面的深层防御策略:
边界或外围是应用安全控制的段的入口边缘。 除非明确允许,否则外围控制应阻止对段的访问。 目标是防止攻击者突破外围并获取系统的控制权。 例如,用户可能有权访问一个环境,但根据其权限,只能启动该环境中的特定应用程序。
遏制 是阻止系统中横向移动的段的出口边缘。 遏制的目标是最大程度地降低违规的影响。 例如,虚拟网络可用于将路由和网络安全组配置为仅允许预期的流量模式,从而避免流量流向任意网段
隔离 是将具有相似保证的实体分组在一起以使用边界保护它们的做法。 目标是易于管理,并在环境中遏制攻击。 例如,可以将与特定工作负荷相关的资源分组到一个 Power Platform 环境或一个解决方案中,然后应用访问控制,以便只有特定工作负荷团队可以访问该环境。
请务必注意外围和隔离之间的区别。 外围是指应检查的位置点。 隔离与分组有关。 通过结合使用这些概念来主动遏制攻击。
隔离并不意味着在组织中创建孤岛。 统一的分段策略在技术团队之间提供一致性,并设定明确的责任线。 Clarity 可降低人为错误和导致安全漏洞和/或操作停机的自动化故障的风险。 假设在复杂企业系统的组件中检测到安全漏洞。 每个人都必须了解谁负责该资源,以便将相应的人员纳入会审团队。 组织和利益干系人可以通过创建和记录良好的分段策略,快速确定如何响应不同类型的事件。
权衡:细分会带来复杂性,因为管理中存在开销。
风险:超出合理限制的微分段将失去隔离的好处。 创建太多段时,很难识别通信点或允许段内的有效通信路径。
标识作为外围
各种标识(例如人员、软件组件或设备)访问工作负荷段。 标识是一个外围,应该成为跨隔离边界进行身份验证和授权访问的主要防线,无论访问请求来自何处。 使用标识作为外围,可以:
按角色分配访问权限。 标识只需要访问完成其工作所需的段。 通过了解请求标识的角色和职责来最大程度地减少匿名访问,以便了解请求访问段的实体及其用途。
标识在不同的段中可能具有不同的访问范围。 请考虑一个典型的环境设置,每个阶段都有单独的段。 与开发人员角色关联的标识对开发环境具有读写访问权限。 随着部署移动到过渡阶段,这些权限将受到限制。 将工作负荷提升到生产环境时,开发人员的范围将缩小到只读访问。
单独考虑应用程序和管理标识。 在大多数解决方案中,用户的访问权限级别与开发人员或操作员不同。 在某些应用程序中,可能会对每种类型的标识使用不同的标识系统或目录。 请考虑为每个标识创建单独的角色。
分配最小特权访问权限。 如果允许访问标识,请确定访问级别。 从每个段的最小特权开始,仅在需要时扩大该范围。
通过应用最小特权,可以限制标识遭到入侵时产生的负面影响。 如果访问受时间限制,则攻击面会进一步减少。 限时访问特别适用于关键帐户,例如标识已泄露的管理员或软件组件。
有关标识控制的信息,请参阅有关标识和访问管理的建议。
与网络访问控制相比,标识在访问时验证访问控制。 强烈建议定期进行访问评审,并要求审批工作流获取关键影响帐户的权限。
网络作为外围
标识外围与网络无关,而网络外围会增强标识,但永远不会替换它。 建立网络外围以控制爆炸半径、阻止意外、禁止和不安全的访问,以及模糊处理工作负荷资源。
虽然标识外围的主要重点是最小特权,但您应该假设在设计网络外围时会出现漏洞。
使用 Power Platform 以及 Azure 服务和功能在网络占用空间中创建软件定义的外围。 当工作负荷(或给定工作负荷的一部分)放置在单独的段中时,可以控制来自或流向这些段的流量,以保护通信路径。 如果某个段遭到入侵,则会遏制该段,并阻止其横向传播到网络的其余部分。
像攻击者一样思考,以在工作负荷中立足,并建立控制措施,以尽量减少进一步的扩展。 这些控制应检测、遏制和阻止攻击者获取对整个工作负荷的访问权限。 下面是将网络控制作为外围的一些示例:
- 定义公用网络与放置工作负荷的网络之间的边缘外围。 尽可能限制从公共网络到您的网络的视距。
- 基于意向创建边界。 例如,将工作负荷功能网络与操作网络分段。
角色和职责
通过明确定义工作负荷团队中的责任线来实现防止混淆和安全风险的分段。
记录并共享角色和功能,以创建一致性和促进通信。 指定负责关键功能的组或单个角色。 在为对象创建自定义角色之前,请考虑 Power Platform 中的内置角色。
在为段分配权限时,考虑一致性,同时适应多个组织模型。 这些模型的范围从单个集中式 IT 组到大部分无关的 IT 和 DevOps 团队。
资源组织
分段允许您将工作负荷资源与组织的其他部分,甚至团队内部分开。 Power Platform 构造(例如环境和解决方案)是组织资源以提升分段的方式。
Power Platform 便利化
以下部分介绍可用于实现分段策略的 Power Platform 特性和功能。
身份
所有 Power Platform 产品使用 Microsoft Entra ID(以前是 Azure Active Directory 或 Azure AD)进行身份和访问管理。 您可以在 Entra ID 中使用内置安全角色、条件访问、特权标识管理和组访问管理来定义标识外围。
Microsoft Dataverse 使用基于角色的安全性将一组权限组合在一起。 这些安全角色可以直接与用户相关联,也可以与 Dataverse 团队和业务部门相关联。 有关详细信息,请参阅 Microsoft Dataverse 中的安全概念。
联网
借助 Power Platform 的 Azure 虚拟网络支持,您可以将 Power Platform 与虚拟网络中的资源集成,而无需在公共 Internet 上将其公开。 虚拟网络支持使用 Azure 子网委派在运行时管理来自 Power Platform 的出站流量。 使用委托可以避免受保护的资源通过互联网与 Power Platform 集成。 虚拟网络、Dataverse 和 Power Platform 组件可以在网络内部调用企业拥有的资源,无论这些资源是托管在 Azure 中还是内部部署的,并使用插件和连接器进行出站调用。 有关详细信息,请参阅 Power Platform 的虚拟网络支持概述。
环境 的 IP 防火墙 Power Platform 通过限制用户仅 Dataverse 从允许的 IP 位置访问来帮助保护您的数据。
Microsoft Azure ExpressRoute 提供了一种使用专用连接将本地网络连接云服务 Microsoft 的高级方法。 单个 ExpressRoute 连接可用于访问多个联机服务;例如,Microsoft Power Platform、Dynamics 365、Microsoft 365 和 Azure。
安全清单
请参考整套建议。