Comparteix a través de


Recomanacions per construir una estratègia de segmentació

S'aplica a la Power Platform recomanació de llista de comprovació de seguretat ben dissenyada:

SE:04 Crea segmentació i perímetres intencionats en el disseny de la teva arquitectura i la petjada de la càrrega de treball a la plataforma. L'estratègia de segmentació ha d'incloure xarxes, rols i responsabilitats, identitats de càrrega de treball i organització de recursos.

Una estratègia de segmentació defineix com separeu les càrregues de treball d'altres càrregues de treball amb el seu propi conjunt de requisits i mesures de seguretat.

Aquesta guia descriu les recomanacions per construir una estratègia de segmentació unificada. Utilitzant perímetres i límits d'aïllament en les càrregues de treball, podeu dissenyar un enfocament de seguretat que us funcioni.

Definicions

Terme Definició
Contenció Una tècnica per contenir el radi d'explosió si un atacant accedeix a un segment.
Accés amb menys privilegis Un principi de confiança zero que té com a objectiu minimitzar un conjunt de permisos per completar una funció de treball.
Perímetre El límit de confiança al voltant d'un segment.
Organització dels recursos Estratègia per agrupar els recursos relacionats per fluxos dins d'un segment.
Funció Un conjunt de permisos necessaris per completar una funció de treball.
Segment Una unitat lògica aïllada d'altres entitats i protegida per un conjunt de mesures de seguretat.

Estratègies clau de disseny

El concepte de segmentació s'utilitza habitualment per a xarxes. No obstant això, el mateix principi subjacent es pot utilitzar en tota una solució, inclosa la segmentació de recursos amb finalitats de gestió i control d'accés.

La segmentació t'ajuda a dissenyar un enfocament de seguretat que aplica la defensa en profunditat basat en els principis del model Zero Trust. Assegureu-vos que un atacant que incompleixi un segment no pugui accedir a un altre segmentant les càrregues de treball amb controls d'identitat diferents. En un sistema segur, diferents atributs, com la xarxa i la identitat, s'utilitzen per bloquejar l'accés no autoritzat i ocultar l'exposició dels actius.

Aquests són alguns exemples de segments:

  • Controls de plataforma que defineixen els límits de la xarxa
  • Entorns que aïllen les càrregues de treball d'una organització
  • Solucions que aïllen els actius de càrrega de treball
  • Entorns de desplegament que aïllen la implementació per etapes
  • Equips i rols que aïllen les funcions del lloc de treball relacionades amb el desenvolupament i la gestió de la càrrega de treball
  • Nivells d'aplicació que aïllen per utilitat de càrrega de treball
  • Microserveis que aïllen un servei d'un altre

Tingueu en compte aquests elements clau de la segmentació per assegurar-vos que esteu construint una estratègia de defensa integral en profunditat:

  • El límit o perímetre és la vora d'entrada d'un segment on apliqueu controls de seguretat. Els controls perimetrals haurien de bloquejar l'accés al segment tret que es permeti explícitament. L'objectiu és evitar que un atacant trenqui el perímetre i aconsegueixi el control del sistema. Per exemple, un usuari pot tenir accés a un entorn, però només pot iniciar aplicacions específiques en aquest entorn en funció dels seus permisos.

  • La contenció és la vora de sortida d'un segment que impedeix el moviment lateral en el sistema. L'objectiu de la contenció és minimitzar l'efecte d'un incompliment. Per exemple, una xarxa virtual es pot utilitzar per configurar grups d'encaminament i seguretat de xarxa per permetre només els patrons de trànsit que espereu, evitant el trànsit a segments de xarxa arbitraris.

  • L'aïllament és la pràctica d'agrupar entitats amb garanties similars per protegir-les amb una frontera. L'objectiu és la facilitat de gestió i la contenció d'un atac dins d'un entorn. Per exemple, podeu agrupar els recursos relacionats amb una càrrega de treball específica en un Power Platform entorn o una solució i, a continuació, aplicar el control d'accés de manera que només equips específics de càrrega de treball puguin accedir a l'entorn.

És important destacar la distinció entre perímetres i aïllament. Perímetre es refereix als punts de localització que s'han de comprovar. L'aïllament és agrupar-se. Contenir activament un atac utilitzant aquests conceptes junts.

L'aïllament no significa crear sitges a l'organització. Una estratègia de segmentació unificada proporciona alineació entre els equips tècnics i estableix unes línies clares de responsabilitat. La claredat redueix el risc d'errors humans i fallades d'automatització que poden provocar vulnerabilitats de seguretat, temps d'inactivitat operativa o ambdós. Suposem que es detecta una bretxa de seguretat en un component d'un sistema empresarial complex. És important que tothom entengui qui és el responsable d'aquest recurs perquè s'inclogui la persona adequada a l'equip de triatge. L'organització i els grups d'interès poden identificar ràpidament com respondre als diferents tipus d'incidents creant i documentant una bona estratègia de segmentació.

Compensació: La segmentació introdueix complexitat perquè hi ha despeses generals en la gestió.

Risc: La microsegmentació més enllà d'un límit raonable perd el benefici de l'aïllament. Quan creeu massa segments, es fa difícil identificar punts de comunicació o permetre rutes de comunicació vàlides dins del segment.

La identitat com a perímetre

Diverses identitats, com ara persones, components de programari o dispositius, accedeixen a segments de càrrega de treball. La identitat és un perímetre que hauria de ser la línia principal de defensa per autenticar i autoritzar l'accés a través dels límits d'aïllament, independentment d'on s'origini la sol·licitud d'accés. Utilitzar la identitat com a perímetre per:

  • Assigneu accés per funció. Les identitats només necessiten accedir als segments necessaris per fer la seva feina. Per minimitzar l'accés anònim, enteneu les funcions i les responsabilitats de la identitat sol·licitant per conèixer l'entitat que sol·licita accés a un segment i amb quina finalitat.

    Una identitat pot tenir diferents àmbits d'accés en diferents segments. Penseu en una configuració típica de l'entorn, amb segments separats per a cada etapa. Les identitats associades amb la funció de desenvolupador tenen accés de lectura i escriptura a l'entorn de desenvolupament. A mesura que el desplegament passa a la posada en escena, aquests permisos es redueixen. En el moment en què la càrrega de treball es promociona a producció, l'abast per als desenvolupadors es redueix a l'accés només de lectura.

  • Considereu les identitats d'aplicació i gestió per separat. En la majoria de solucions, els usuaris tenen un nivell d'accés diferent que els desenvolupadors o operadors. En algunes aplicacions, podeu utilitzar diferents sistemes d'identitat o directoris per a cada tipus d'identitat. Penseu en la possibilitat de crear rols separats per a cada identitat.

  • Assigneu accés de menys privilegis. Si la identitat està permesa d'accés, determinar el nivell d'accés. Comenceu amb el mínim privilegi per a cada segment i amplieu aquest abast només quan sigui necessari.

    Aplicant el mínim privilegi, limiteu els efectes negatius si mai es compromet la identitat. Si l'accés està limitat pel temps, la superfície d'atac es redueix encara més. L'accés limitat en el temps és especialment aplicable als comptes crítics, com ara administradors o components de programari que tenen una identitat compromesa.

Compensació: El control d'accés basat en funcions (RBAC) dóna lloc a despeses generals de gestió. Fer un seguiment de les identitats i els seus àmbits d'accés pot arribar a ser complex en les assignacions de rols. Penseu en la possibilitat d'assignar funcions a grups de seguretat en lloc d'identitats individuals.

Risc: la configuració d'identitat pot ser complexa. Les configuracions errònies poden afectar la fiabilitat de la càrrega de treball. Per exemple, suposem que hi ha una assignació de funcions mal configurada que se li nega l'accés a una base de dades. Les sol·licituds comencen a fallar, causant finalment problemes de fiabilitat que d'una altra manera no es poden detectar fins al temps d'execució.

Per obtenir informació sobre els controls d'identitat, vegeu Recomanacions per a la gestió d'identitat i accés.

A diferència dels controls d'accés a la xarxa, la identitat valida el control d'accés en el moment de l'accés. És molt recomanable dur a terme una revisió periòdica de l'accés i requerir un flux de treball d'aprovació per obtenir privilegis per als comptes d'impacte crític.

El treball en xarxa com a perímetre

Els perímetres d'identitat són agnòstics de xarxa, mentre que els perímetres de xarxa augmenten la identitat però mai la substitueixen. Els perímetres de la xarxa s'estableixen per controlar el radi d'explosió, bloquejar l'accés inesperat, prohibit i insegur i ofuscar els recursos de càrrega de treball.

Tot i que l'enfocament principal del perímetre d'identitat és el mínim privilegi, hauríeu d'assumir que hi haurà una bretxa quan dissenyeu el perímetre de la xarxa.

Creeu perímetres definits per programari a la vostra petjada de xarxa mitjançant serveis i característiques de Power Platform l'Azure. Quan una càrrega de treball (o parts d'una càrrega de treball determinada) es col·loca en segments separats, controleu el trànsit des de o cap a aquests segments per protegir els camins de comunicació. Si un segment està compromès, està contingut i impedeix que es propagui lateralment per la resta de la xarxa.

Penseu com un atacant per aconseguir un peu dins de la càrrega de treball i establir controls per minimitzar una major expansió. Els controls han de detectar, contenir i evitar que els atacants tinguin accés a tota la càrrega de treball. Aquests són alguns exemples de controls de xarxa com a perímetre:

  • Defineix el teu perímetre de vora entre les xarxes públiques i la xarxa on es col·loca la teva càrrega de treball. Restringiu la visió de les xarxes públiques a la vostra xarxa tant com sigui possible.
  • Creeu límits basats en la intenció. Per exemple, segmentar la càrrega de treball de les xarxes funcionals de les xarxes operatives.

Risc: els controls de xarxa es basen en regles i hi ha una possibilitat significativa de configuració errònia, cosa que és un problema de fiabilitat.

Funcions i responsabilitats

La segmentació que evita confusions i riscos de seguretat s'aconsegueix definint clarament unes línies de responsabilitat dins d'un equip de càrrega de treball.

Documentar i compartir rols i funcions per crear coherència i facilitar la comunicació. Designar grups o rols individuals responsables de funcions clau. Penseu en les funcions integrades abans de crear funcions personalitzades per als Power Platform objectes.

Penseu en la coherència a l'hora d'acomodar diversos models organitzatius a l'hora d'assignar permisos per a un segment. Aquests models poden anar des d'un únic grup de TI centralitzat fins a equips de TI i DevOps majoritàriament independents.

Risc: La pertinença a grups pot canviar amb el temps a mesura que els empleats s'uneixen o surten d'equips o canvien de rol. La gestió de funcions entre segments pot donar lloc a despeses generals de gestió.

Organització dels recursos

La segmentació permet aïllar els recursos de càrrega de treball d'altres parts de l'organització o fins i tot dins de l'equip. Power Platform Les construccions, com ara entorns i solucions, són maneres d'organitzar els recursos que promouen la segmentació.

Power Platform facilitació

A les seccions següents es descriuen Power Platform les característiques i les capacitats que podeu utilitzar per implementar una estratègia de segmentació.

Identitat

Tots els Power Platform productes utilitzen Microsoft Entra ID (anteriorment Azure Active Directory o Azure AD bé) per a la gestió d'identitat i accés. Podeu utilitzar funcions de seguretat integrades, accés condicional, gestió d'identitats privilegiades i gestió d'accés de grup a Entra ID per definir els perímetres d'identitat.

Microsoft Dataverse Utilitza la seguretat basada en funcions per agrupar una col·lecció de privilegis. Aquestes funcions de seguretat es poden associar directament amb els usuaris o poden associar-se amb equips i unitats de negoci del Dataverse. Per obtenir més informació, vegeu Conceptes de seguretat a Microsoft Dataverse.

Xarxes

Amb el suport de l'Azure Virtual Network per a Power Platform, podeu integrar-vos Power Platform amb recursos dins de la vostra xarxa virtual sense exposar-los a Internet pública. El suport de xarxa virtual utilitza la delegació de subxarxa de l'Azure per administrar el trànsit de sortida en temps d'execució Power Platform . L'ús d'un delegat evita la necessitat de recursos protegits per viatjar per Internet per integrar-se Power Platform. Xarxa Dataverse virtual i Power Platform components poden trucar als recursos propietat de la vostra empresa dins de la xarxa, tant si estan allotjats a l'Azure com al local, i utilitzar connectors i connectors per fer trucades sortints. Per obtenir més informació, vegeu Suport de la xarxa virtual per obtenir Power Platform una visió general.

El tallafoc IP per a Power Platform entorns ajuda a protegir les vostres dades limitant l'accés dels usuaris des Dataverse de les ubicacions IP permeses.

Microsoft Azure ExpressRoute proporciona una manera avançada de connectar la vostra xarxa local a Serveis al núvol de Microsoft mitjançant connectivitat privada. Es pot utilitzar una única connexió ExpressRoute per accedir a diversos serveis en línia; per exemple, Microsoft Power Platform, Dynamics 365 Microsoft 365 i Azure.

Llista de comprovació de seguretat

Consulteu el conjunt complet de recomanacions.