建立細分策略的建議
適用於 Power Platform Well-Architected Security 檢查清單建議:
| SE:04 | 在平台上體系結構設計和工作負載佔用的空間中建立有意的分段和周邊裝置。 分段原則必須包括網路、角色和職責、工作負載識別和資源組織。 |
|---|
分段策略定義如何將工作負載與具有自己的安全要求和措施集的其他工作負載分開。
本指南介紹建構統一分段策略的建議。 使用工作負載中的周界和隔離邊界,您可以設計適合您的安全方法。
定義
| 詞彙 | 定義 |
|---|---|
| 圍堵 | 一種在攻擊者取得對某個區段的存取權時,遏制爆炸半徑的技術。 |
| 最少權限存取 | 一種零信任原則,旨在最小化完成工作職能的一組權限。 |
| 周邊 | 區段周圍的信任邊界。 |
| 資源組織 | 依照區段內的流量將相關資源分組的策略。 |
| 角色 | 完成工作職能所需的一組權限。 |
| 區段 | 與其他實體隔離並受一組安全措施保護的邏輯單元。 |
關鍵設計原則
分段的概念通常用於網路。 但是,可以在整個解決方案中使用相同的基本原則,包括出於管理目的和存取控制對資源進行分段。
分段可協助您設計安全方法,根據零信任模型的原則應用深度防禦。 透過使用不同的身分控制對工作負載進行分段,確保破壞一個分段的攻擊者無法存取另一個分段。 在安全系統中,網路和身分等不同屬性用於阻止未經授權的存取並隱藏資產不被暴露。
以下是段落的一些範例:
- 定義網路邊界的平台控制
- 隔離組織工作負載的環境
- 隔離工作負載資產的解決方案
- 分階段隔離部署的部署環境
- 隔離與工作負載開發和管理相關的工作職能的團隊和角色
- 依工作負載實用程式隔離的應用程式層
- 將一項服務與另一項服務隔離的微服務
考慮細分的這些關鍵要素,以確保您正在建立全面的縱深防禦策略:
邊界或週邊是應用安全控制的路段的入口邊緣。 除非明確允許,否則週邊控制應阻止對該段的存取。 目標是防止攻擊者突破邊界並獲得對系統的控制。 例如,使用者可能有權存取某個環境,但只能根據其權限啟動該環境中的特定應用程式。
遏制 是阻止系統中橫向移動的段的出口邊緣。 遏制的目標是將違規行為的影響降至最低。 例如,虛擬網路可用於設定路由和網路安全群組,以僅允許您期望的流量模式,避免流量流向任意網段。
隔離 是將具有類似保證的實體分組在一起,以便使用邊界保護它們的做法。 目標是易於管理並遏制環境中的攻擊。 例如,可以將與特定工作負載相關的資源分組到一個 Power Platform 環境或一個解決方案中,然後應用存取控制,以便只有特定的工作負載團隊才能存取該環境。
請務必注意週邊和隔離之間的區別。 周界是指應檢查的位置點。 隔離就是分組。 透過結合使用這些概念來主動遏制攻擊。
隔離並不意味著在組織中建立孤島。 統一的細分策略使技術團隊之間保持一致,並設定明確的職責範圍。 清晰度降低了人為錯誤和自動化故障的風險,這些錯誤和自動化故障可能導致安全漏洞、操作停機或兩者兼而有之。 假設在複雜企業系統的元件中偵測到安全漏洞。 重要的是,每個人都了解誰負責該資源,以便將適當的人員納入分類團隊。 組織和利害關係人可以透過建立和記錄良好的細分策略來快速確定如何回應不同類型的事件。
權衡:細分會帶來複雜性,因為管理中存在開銷。
風險:超出合理限制的微分段將失去隔離的好處。 當您建立太多段時,識別通訊點或在段內允許有效的通訊路徑就會變得困難。
身分做為週邊
人員、軟體元件或設備等各種身分存取工作負載段。 身分是一個邊界,應該成為跨隔離邊界驗證和授權存取的主要防線,無論存取要求源自何處。 使用識別做為週邊可以:
按角色分配存取權限。 身分只需要存取完成其工作所需的部分。 透過了解要求身分的角色和職責,最大限度地減少匿名存取,以便您了解要求存取分段的實體以及目的。
一個身分在不同的段落中可能有不同的存取範圍。 考慮一個典型的環境設置,每個階段都有單獨的部分。 與開發人員角色關聯的身分具有對開發環境的讀寫存取權。 隨著部署轉向暫存階段,這些權限會受到限制。 當工作負載提升到生產環境時,開發人員的範圍已縮小為唯讀存取權限。
分別考慮應用程式和管理身分。 在大多數解決方案中,使用者與開發人員或營運商具有不同的存取等級。 在某些應用程式中,您可能會為每種類型的身分使用不同的識別系統或目錄。 考慮為每個身分建立單獨的角色。
分配最小權限存取。 如果允許身分存取,請確定存取等級。 從每個細分市場的最低權限開始,僅在需要時擴大範圍。
透過套用最小權限,您可以限制身分外洩時的負面影響。 如果存取受到時間限制,則攻擊面會進一步減少。 限時存取尤其適用於關鍵帳戶,例如身分受損的管理員或軟體元件。
關於身分控制的資訊,請參閱對身分識別和存取管理的建議。
與網路存取控制相反,身分在存取時驗證存取控制。 強烈建議定期進行存取審查,並需要核准工作流程以取得關鍵影響帳戶的權限。
網路做為邊界
身分邊界與網路無關,而網路邊界增強了身分,但從未取代它。 建立網路邊界是為了控制爆炸半徑,阻止意外、禁止和不安全的存取,並混淆工作負載資源。
雖然身分邊界的主要焦點是最小特權,但您應該假設在設計網路邊界時會出現漏洞。
使用 Power Platform 和 Azure 服務和功能在網路足跡中建立軟體定義的邊界。 當工作負載 (或特定工作負載的一部分) 被放置到單獨的段中時,您可以控制來自或流向這些段的流量以保護通訊路徑。 如果某個分段受到威脅,它會被遏制並防止透過網路的其餘部分橫向傳播。
像攻擊者一樣思考,在工作負載中站穩腳跟,並建立控制措施以最大限度地減少進一步擴展。 控制措施應偵測、遏制並阻止攻擊者存取整個工作負載。 以下是網路控制項為邊界的一些範例:
- 定義公共網路和工作負載所在網路之間的邊緣邊界。 盡可能限制從公共網路到您的網路的視線。
- 根據意圖建立邊界。 例如,將工作負載功能網路與營運網路分開。
角色和責任
透過明確定義工作負載團隊內的職責範圍,可以實現防止混亂和安全風險的細分。
記錄並共享角色和職能,以保持一致性並促進溝通。 指定負責關鍵職能的小組或個人角色。 在為物件建立自訂角色之前,請考慮 Power Platform 中的內建角色。
在為分段分配權限時,要考慮一致性,同時適應多種組織模型。 這些模型的範圍可以從單一集中式 IT 團隊到大部分獨立的 IT 和 DevOps 團隊。
資源組織
分段可讓您將工作負載資源與組織的其他部分甚至團隊內部隔離。 Power Platform 建構 (例如環境和解決方案) 是組織資源以促進細分的方法。
Power Platform 簡易化
以下部分描述了 Power Platform 可用於實施細分策略的特性和功能。
身分識別
所有 Power Platform 產品都使用 Microsoft Entra ID (以前稱為 Azure Active Directory 或 Azure AD) 進行身分識別和存取管理。 您可以使用 Entra ID 中的內建資訊安全角色、條件存取、特權身分管理和群組存取管理來定義您的身分邊界。
Microsoft Dataverse 使用角色安全性,將權限集合集中在一起。 這些資訊安全角色可以與使用者直接關聯,也可以與 Dataverse 團隊和業務單位相關聯。 如需詳細資訊,請參閱 Microsoft Dataverse 中的安全性概念。
網路
透過 Power Platform 的 Azure 虛擬網路支援,您可以將 Power Platform 與虛擬網路內的資源整合,而無需將它們暴露在公共公用網際網路上。 虛擬網路支援使用 Azure 子網路委派在執行階段管理來自 Power Platform 的出站流量。 使用委派可以避免受保護的資源透過網路傳輸與 Power Platform 整合。 虛擬網路、Dataverse 和 Power Platform 元件可以呼叫企業在網路中擁有的資源 (無論這些資源託管在 Azure 中還是內部部署中),並使用外掛程式和連接器進行出站呼叫。 有關詳細資訊,請參閱虛擬網路支援概述 Power Platform。
適用於環境的 IP 防火牆 Power Platform 通過限制使用者僅從 Dataverse 允許的 IP 位置訪問來説明保護數據。
Microsoft Azure ExpressRoute 提供了一種使用專用連接將內部部署網路連線雲服務 Microsoft 的高級方法。 單一 ExpressRoute 連線可用於存取多個線上服務;例如,Microsoft Power Platform、Dynamics 365、Microsoft 365、和 Azure。
安全性檢查清單
請參閱完整的建議集。