Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
S'aplica a la recomanació de Power Platform la llista de verificació de seguretat ben arquitectada:
| SE:04 | Creeu segmentació i perímetres intencionats en el disseny de l'arquitectura i la petjada de la càrrega de treball a la plataforma. L'estratègia de segmentació ha d'incloure xarxes, rols i responsabilitats, identitats de càrrega de treball i organització de recursos. |
|---|
Una estratègia de segmentació defineix com separar les càrregues de treball d'altres càrregues de treball amb el seu propi conjunt de requisits i mesures de seguretat.
Aquesta guia descriu les recomanacions per crear una estratègia de segmentació unificada. Utilitzant perímetres i límits d'aïllament a les càrregues de treball, podeu dissenyar un enfocament de seguretat que us funcioni.
Definicions
| Terme | Definició |
|---|---|
| Contenció | Tècnica per contenir el radi d'explosió si un atacant accedeix a un segment. |
| Accés amb privilegis mínims | Un principi de confiança zero que té com a objectiu minimitzar un conjunt de permisos per completar una funció de treball. |
| Perímetre | El límit de confiança al voltant d'un segment. |
| Organització de recursos | Estratègia per agrupar recursos relacionats per fluxos dins d'un segment. |
| Funció | Un conjunt de permisos necessaris per completar una funció de treball. |
| Segment | Unitat lògica aïllada d'altres entitats i protegida per un conjunt de mesures de seguretat. |
Estratègies clau de disseny
El concepte de segmentació s'utilitza habitualment per a les xarxes. No obstant això, el mateix principi subjacent es pot utilitzar en tota una solució, inclosa la segmentació de recursos amb finalitats de gestió i control d'accés.
La segmentació us ajuda a dissenyar un enfocament de seguretat que apliqui la defensa en profunditat basat en els principis del model Zero Trust. Assegureu-vos que un atacant que infringeix un segment no pugui accedir a un altre segmentant les càrregues de treball amb diferents controls d'identitat. En un sistema segur, s'utilitzen diferents atributs, com ara la xarxa i la identitat, per bloquejar l'accés no autoritzat i ocultar l'exposició dels actius.
Aquests són alguns exemples de segments:
- Controls de plataforma que defineixen els límits de la xarxa
- Entorns que aïllen les càrregues de treball d'una organització
- Solucions que aïllen els actius de càrregues de treball
- Entorns de desplegament que aïllen la implementació per etapes
- Equips i funcions que aïllen funcions de treball relacionades amb el desenvolupament i la gestió de càrregues de treball
- Nivells d'aplicació que s'aïllen per utilitat de càrrega de treball
- Microserveis que aïllen un servei d'un altre
Tingueu en compte aquests elements clau de la segmentació per assegurar-vos que esteu construint una estratègia integral de defensa en profunditat:
El límit o perímetre és la vora d'entrada d'un segment on s'apliquen controls de seguretat. Els controls perimetrals haurien de bloquejar l'accés al segment tret que es permeti explícitament. L'objectiu és evitar que un atacant trenqui el perímetre i guanyi el control del sistema. Per exemple, un usuari pot tenir accés a un entorn, però només pot llançar aplicacions específiques en aquest entorn en funció dels seus permisos.
La contenció és la vora de sortida d'un segment que impedeix el moviment lateral del sistema. L'objectiu de la contenció és minimitzar l'efecte d'una bretxa. Per exemple, es pot utilitzar una xarxa virtual per configurar grups d'encaminament i seguretat de xarxa per permetre només els patrons de trànsit que espereu, evitant el trànsit a segments de xarxa arbitraris.
L'aïllament és la pràctica d'agrupar entitats amb garanties similars per protegir-les amb un límit. L'objectiu és la facilitat de gestió i la contenció d'un atac dins d'un entorn. Per exemple, podeu agrupar els recursos relacionats amb una càrrega de treball específica en un Power Platform entorn o una solució i, a continuació, aplicar el control d'accés perquè només equips específics de càrrega de treball puguin accedir a l'entorn.
És important tenir en compte la distinció entre perímetres i aïllament. El perímetre es refereix als punts d'ubicació que s'han de comprovar. L'aïllament és una qüestió d'agrupació. Contenir activament un atac utilitzant aquests conceptes junts.
L'aïllament no significa crear sitges a l'organització. Una estratègia de segmentació unificada proporciona alineació entre els equips tècnics i estableix línies clares de responsabilitat. Clarity redueix el risc d'errors humans i fallades d'automatització que poden provocar vulnerabilitats de seguretat, temps d'inactivitat operatiu o ambdues. Suposem que es detecta una bretxa de seguretat en un component d'un sistema empresarial complex. És important que tothom entengui qui és el responsable d'aquest recurs perquè la persona adequada s'inclogui a l'equip de triatge. L'organització i les parts interessades poden identificar ràpidament com respondre a diferents tipus d'incidents creant i documentant una bona estratègia de segmentació.
Compensació: la segmentació introdueix complexitat perquè hi ha despeses generals en la gestió.
Risc: La microsegmentació més enllà d'un límit raonable perd el benefici de l'aïllament. Quan creeu massa segments, es fa difícil identificar punts de comunicació o permetre camins de comunicació vàlids dins del segment.
La identitat com a perímetre
Diverses identitats, com ara persones, components de programari o dispositius, accedeixen als segments de càrrega de treball. La identitat és un perímetre que hauria de ser la principal línia de defensa per autenticar i autoritzar l'accés a través dels límits d'aïllament, independentment d'on s'origini la sol·licitud d'accés. Utilitzar la identitat com a perímetre per:
Assignar accés per funció. Les identitats només necessiten accés als segments necessaris per fer la seva feina. Minimitzeu l'accés anònim entenent les funcions i responsabilitats de la identitat sol·licitant per conèixer l'entitat que sol·licita accés a un segment i amb quina finalitat.
Una identitat pot tenir diferents àmbits d'accés en diferents segments. Considereu una configuració d'entorn típica, amb segments separats per a cada etapa. Les identitats associades amb la funció de desenvolupador tenen accés de lectura i escriptura a l'entorn de desenvolupament. A mesura que la implementació passa a la posada en marxa, aquests permisos es redueixen. Quan la càrrega de treball es promociona a producció, l'abast per als desenvolupadors es redueix a l'accés només de lectura.
Considereu les identitats d'aplicació i d'administració per separat. En la majoria de solucions, els usuaris tenen un nivell d'accés diferent al dels desenvolupadors o operadors. En algunes aplicacions, podeu utilitzar diferents sistemes d'identitat o directoris per a cada tipus d'identitat. Penseu en crear rols separats per a cada identitat.
Assigna accés amb privilegis mínims. Si es permet l'accés a la identitat, determineu el nivell d'accés. Comenceu amb el privilegi mínim per a cada segment i amplieu aquest abast només quan sigui necessari.
En aplicar el privilegi mínim, limiteu els efectes negatius si la identitat es veu compromesa. Si l'accés està limitat pel temps, la superfície d'atac es redueix encara més. L'accés limitat en el temps és especialment aplicable als comptes crítics, com ara administradors o components de programari que tenen una identitat compromesa.
Per obtenir informació sobre els controls d'identitat, vegeu Recomanacions per a l'administració d'identitats i accés.
A diferència dels controls d'accés a la xarxa, la identitat valida el control d'accés en el moment de l'accés. És molt recomanable dur a terme una revisió d'accés periòdica i requerir un flux de treball d'aprovació per obtenir privilegis per als comptes d'impacte crític.
El treball en xarxa com a perímetre
Els perímetres d'identitat són agnòstics de la xarxa, mentre que els perímetres de xarxa augmenten la identitat però mai la substitueixen. Els perímetres de xarxa s'estableixen per controlar el radi d'explosió, bloquejar l'accés inesperat, prohibit i insegur i ofuscar els recursos de càrrega de treball.
Tot i que l'objectiu principal del perímetre d'identitat és el privilegi mínim, hauríeu d'assumir que hi haurà una violació quan dissenyeu el perímetre de la xarxa.
Creeu perímetres definits per programari a la vostra empremta de xarxa mitjançant Power Platform serveis i característiques de l'Azure. Quan una càrrega de treball (o parts d'una càrrega de treball determinada) es col·loca en segments separats, controleu el trànsit des d'aquests segments o cap a aquests segments per protegir els camins de comunicació. Si un segment està compromès, es conté i s'impedeix que s'estengui lateralment per la resta de la xarxa.
Penseu com un atacant per aconseguir un punt de suport dins de la càrrega de treball i establir controls per minimitzar l'expansió. Els controls han de detectar, contenir i evitar que els atacants accedeixin a tota la càrrega de treball. Aquests són alguns exemples de controls de xarxa com a perímetre:
- Definiu el vostre perímetre perimetral entre les xarxes públiques i la xarxa on es col·loca la vostra càrrega de treball. Restringiu la línia de visió de les xarxes públiques a la vostra xarxa tant com sigui possible.
- Crea límits basats en la intenció. Per exemple, segment les xarxes funcionals de la càrrega de treball de les xarxes operatives.
Funcions i responsabilitats
La segmentació que evita confusions i riscos de seguretat s'aconsegueix definint clarament les línies de responsabilitat dins d'un equip de càrrega de treball.
Documentar i compartir rols i funcions per crear coherència i facilitar la comunicació. Designeu grups o rols individuals que siguin responsables de funcions clau. Considereu les funcions integrades abans Power Platform de crear funcions personalitzades per als objectes.
Tingueu en compte la coherència mentre s'adapten a diversos models organitzatius quan s'assignen permisos per a un segment. Aquests models poden anar des d'un únic grup de TI centralitzat fins a equips de TI i DevOps majoritàriament independents.
Organització de recursos
La segmentació us permet aïllar els recursos de càrrega de treball d'altres parts de l'organització o fins i tot dins de l'equip. Power Platform Les construccions, com ara entorns i solucions, són maneres d'organitzar els vostres recursos que promouen la segmentació.
Power Platform facilitació
Les seccions següents descriuen Power Platform les característiques i les capacitats que podeu utilitzar per implementar una estratègia de segmentació.
Identitat
Tots els Power Platform productes utilitzen Microsoft Entra l'identificador (anteriorment Azure Active Directory o Azure AD) per a la gestió d'identitats i accessos. Podeu utilitzar funcions de seguretat integrades, accés condicional, gestió d'identitats privilegiades i administració d'accés de grup a l'Entra ID per definir els perímetres d'identitat.
Microsoft Dataverse Utilitza la seguretat basada en funcions per agrupar una col·lecció de privilegis. Aquestes funcions de seguretat es poden associar directament amb els usuaris o poden associar-se amb equips i unitats de negoci del Dataverse. Per obtenir més informació, vegeu Conceptes de seguretat a Microsoft Dataverse.
Xarxes
Amb el suport de Power Platform la xarxa virtual de l'Azure, podeu integrar-vos Power Platform amb els recursos de la vostra xarxa virtual sense exposar-los a través de la xarxa pública. El suport de la xarxa virtual utilitza la delegació de subxarxa de l'Azure per administrar el trànsit de sortida en temps d'execució Power Platform . L'ús d'un delegat evita la necessitat de recursos protegits per viatjar a través d'Internet per integrar-se Power Platform. La xarxa Dataverse virtual i Power Platform els components poden trucar a recursos propietat de l'empresa dins de la xarxa, tant si estan allotjats a l'Azure com a l'local, i utilitzar complements i connectors per fer trucades sortints. Per obtenir més informació, vegeu Compatibilitat amb la xarxa virtual per obtenir Power Platform informació general.
El tallafoc IP per Power Platform a entorns ajuda a protegir les vostres dades limitant l'accés dels usuaris només des Dataverse de les ubicacions IP permeses.
Microsoft Azure ExpressRoute Proporciona una manera avançada de connectar la vostra xarxa local als Microsoft serveis al núvol mitjançant la connectivitat privada. Es pot utilitzar una única connexió ExpressRoute per accedir a diversos serveis en línia; per exemple, Microsoft Power Platform Dynamics 365 Microsoft 365 i Azure.
Llista de comprovació de seguretat
Consulteu el conjunt complet de recomanacions.