Sdílet prostřednictvím


Doporučení pro vytvoření strategie segmentace

Platí pro doporučení kontrolního seznamu zabezpečení pro dobře navrženou architekturu:

SE:04 V návrhu architektury vytvořte záměrné segmentace a hraniční sítě a nároky úloh na platformě. Strategie segmentace musí zahrnovat sítě, role a zodpovědnosti, identity úloh a organizaci prostředků.

Segment je logická část vašeho řešení, která musí být zabezpečená jako jedna jednotka. Strategie segmentace definuje, jak se má jedna jednotka oddělit od ostatních jednotek s vlastní sadou požadavků na zabezpečení a opatření.

Tato příručka popisuje doporučení pro vytvoření sjednocené strategie segmentace. Pomocí hraničních a izolovaných hranic v úlohách můžete navrhnout přístup zabezpečení, který vám vyhovuje.

Definice 

Pojem definice
Omezení Technika, která obsahuje poloměr výbuchu, pokud útočník získá přístup k segmentu.
Přístup s nejnižšími oprávněními Princip nulová důvěra (Zero Trust), jehož cílem je minimalizovat sadu oprávnění k dokončení funkce úlohy.
Hranice Hranice důvěryhodnosti kolem segmentu.
Organizace prostředků Strategie seskupení souvisejících prostředků podle toků v rámci segmentu
Role Sada oprávnění potřebná k dokončení funkce úlohy.
Segment Logická jednotka, která je izolovaná od jiných entit a chráněná sadou bezpečnostních opatření.

Klíčové strategie návrhu

Koncept segmentace se běžně používá pro sítě. Stejný základní princip je však možné použít v rámci řešení, včetně segmentace prostředků pro účely správy a řízení přístupu.

Segmentace vám pomůže navrhnout přístup zabezpečení, který na základě principů modelu nulová důvěra (Zero Trust) používá hloubkovou ochranu. Ujistěte se, že útočník, který porušuje jeden segment sítě, nemůže získat přístup k jinému segmentováním úloh s různými ovládacími prvky identit. V zabezpečeném systému blokují identity a síťové atributy neoprávněný přístup a skryjí zpřístupnění prostředků. Tady je několik příkladů segmentů:

  • Předplatná, která izolují úlohy organizace
  • Skupiny prostředků, které izolují prostředky úloh
  • Prostředí nasazení, která izolují nasazení podle fází
  • Týmy a role, které izolují funkce úloh související s vývojem a správou úloh
  • Aplikační vrstvy, které jsou izolované nástrojem úloh
  • Mikroslužby, které izolují jednu službu od druhé

Zvažte tyto klíčové prvky segmentace, abyste měli jistotu, že vytváříte komplexní strategii hloubkové ochrany:

  • Hranice nebo obvod je vstupní hranou segmentu, kde používáte bezpečnostní prvky. Hraniční kontroly by měly blokovat přístup k segmentu, pokud nejsou explicitně povoleny. Cílem je zabránit útočníkovi v prolomení hranice a získání kontroly nad systémem. Například aplikační vrstva může při zpracování žádosti přijmout přístupový token koncového uživatele. Datová vrstva ale může vyžadovat jiný přístupový token s určitým oprávněním, který může požadovat pouze aplikační vrstva.

  • Uzavření je výstupní okraj segmentu, který brání laterálnímu pohybu v systému. Cílem omezení je minimalizovat účinek porušení zabezpečení. Například virtuální síť Azure se může použít ke konfiguraci směrování a skupin zabezpečení sítě, aby umožňovala pouze očekávané vzorce provozu, a vyhnout se tak provozu do libovolných síťových segmentů.

  • Izolace je postup seskupování entit s podobnými zárukami za účelem jejich ochrany s hranicí. Cílem je snadná správa a omezení útoku v rámci prostředí. Můžete například seskupit prostředky, které souvisejí s konkrétní úlohou, do jednoho předplatného Azure a pak použít řízení přístupu, aby k předplatnému měli přístup jenom konkrétní týmy úloh.

Je důležité si uvědomit rozdíl mezi hranicemi a izolací. Hraniční síť odkazuje na body umístění, které by se měly zkontrolovat. Izolace se týká seskupování. Aktivně obsahují útok pomocí těchto konceptů společně.

Izolace neznamená vytváření sila v organizaci. Jednotná strategie segmentace poskytuje sladění mezi technickými týmy a nastavuje jasné odpovědnosti. Srozumitelnost snižuje riziko selhání lidské chyby a automatizace, které můžou vést k ohrožením zabezpečení, provozním výpadkům nebo obojímu. Předpokládejme, že se v komponentě komplexního podnikového systému detekuje porušení zabezpečení. Je důležité, aby všichni pochopili, kdo je zodpovědný za daný zdroj, aby příslušná osoba byla zahrnuta do týmu pro třídění. Organizace a zúčastněné strany můžou rychle identifikovat, jak reagovat na různé druhy incidentů vytvořením a dokumentací dobré strategie segmentace.

Kompromis: Segmentace představuje složitost, protože při správě dochází k režii. Tam je také kompromis v nákladech. Například při segmentování prostředí nasazení, která běží vedle sebe, se zřídí další prostředky.

Riziko: Mikrose segmentace nad rámec přiměřeného limitu ztratí výhodu izolace. Když vytváříte příliš mnoho segmentů, je obtížné identifikovat komunikační body nebo umožnit platné komunikační cesty v rámci segmentu.

Vytvoření identity jako primární hraniční sítě

Různé identity, jako jsou lidé, softwarové komponenty nebo zařízení, přistupují k segmentům úloh. Identita je hraniční síť, která by měla být primární obrannou čarou pro ověřování a autorizaci přístupu přes hranice izolace bez ohledu na to, odkud žádost o přístup pochází. Použijte identitu jako hraniční síť k:

  • Přiřaďte přístup podle role. Identity potřebují přístup jenom k segmentům potřebným k jejich práci. Minimalizujte anonymní přístup pochopením rolí a zodpovědností žádající identity, abyste věděli, jaká entita žádá o přístup k segmentu a k jakému účelu.

    Identita může mít různé obory přístupu v různých segmentech. Zvažte typické nastavení prostředí s samostatnými segmenty pro každou fázi. Identity přidružené k roli vývojáře mají přístup pro čtení i zápis do vývojového prostředí. Při přesunu nasazení do přípravného prostředí se tato oprávnění vynulují. V době, kdy je úloha povýšena do produkčního prostředí, je rozsah pro vývojáře omezen na přístup jen pro čtení.

  • Zvažte identity aplikací a správy samostatně. Ve většině řešení mají uživatelé jinou úroveň přístupu než vývojáři nebo operátoři. V některýchaplikacích Zvažte použití oborů přístupu a vytvoření samostatných rolí pro každou identitu.

  • Přiřaďte přístup s nejnižšími oprávněními. Pokud je identita povolená, určete úroveň přístupu. Začněte s nejnižšími oprávněními pro každý segment a rozšiřte tento rozsah pouze v případě potřeby.

    Použitím nejnižší úrovně oprávnění omezíte negativní účinky, pokud by byla identita ohrožena. Pokud je přístup omezený časem, prostor pro útok se dále sníží. Časově omezený přístup se vztahuje zejména na kritické účty, jako jsou správci nebo softwarové komponenty, které mají ohroženou identitu.

Kompromis: Výkon úlohy může být ovlivněn hraničními sítěmi identit. Ověření každého požadavku explicitně vyžaduje dodatečné výpočetní cykly a další vstupně-výstupní operace sítě.

Řízení přístupu na základě role (RBAC) také vede k režii správy. Udržování přehledu identit a jejich rozsahů přístupu se může stát složitým v přiřazeních rolí. Alternativním řešením je přiřazení rolí skupinám zabezpečení místo jednotlivých identit.

Riziko: Nastavení identity může být složité. Chybné konfigurace můžou ovlivnit spolehlivost úlohy. Předpokládejme například, že existuje chybně nakonfigurované přiřazení role, které zamítlo přístup k databázi. Požadavky se začnou selhávají, což nakonec způsobí problémy se spolehlivostí, které se jinak nedají rozpoznat, dokud nespustíte modul runtime.

Informace o ovládacích prvcích identit najdete v tématu Správa identit a přístupu.

Na rozdíl od řízení přístupu k síti identita ověřuje řízení přístupu v době přístupu. Důrazně doporučujeme provést pravidelnou kontrolu přístupu a vyžadovat, aby pracovní postup schválení získal oprávnění pro účty s kritickým dopadem. Podívejte se například na vzory segmentace identity.

Vylepšení sítě jako hraniční sítě

Hraniční sítě jsou nezávislé na síti, zatímco hraniční sítě rozšiřují identitu, ale nikdy ji nenahrazovat. Hraniční sítě jsou vytvořeny pro řízení poloměru výbuchu, blokování neočekávaných, zakázaných a nebezpečných přístupů a obfuskace prostředků úloh.

I když je primárním cílem hraniční sítě nejnižší úroveň oprávnění, měli byste předpokládat, že při návrhu hraniční sítě dojde k narušení zabezpečení.

Vytvářejte softwarově definované hraniční sítě pomocí služeb a funkcí Azure. Když je úloha (nebo části dané úlohy) umístěná do samostatných segmentů, řídíte provoz z těchto segmentů nebo do těchto segmentů za účelem zabezpečení komunikačních cest. Pokud dojde k ohrožení zabezpečení segmentu, je obsaženo a znemožněno pozdějšímu šíření přes zbytek vaší sítě.

Představte si, že útočník dosáhne zápatí v rámci úlohy a vytvoří kontrolní mechanismy, které minimalizují další rozšíření. Kontrolní mechanismy by měly detekovat, obsahovat a bránit útočníkům v získání přístupu k celé úloze. Tady je několik příkladů síťových ovládacích prvků jako hraniční sítě:

  • Definujte hraniční obvod mezi veřejnými sítěmi a sítí, kde je vaše úloha umístěná. Omezte dohled od veřejných sítí do vaší sítě co nejvíce.
  • Implementujte demilitarizované zóny (DMZ) před aplikací se správnými ovládacími prvky přes brány firewall.
  • Vytvořte mikrose segmentaci v rámci privátní sítě seskupením částí úlohy do samostatných segmentů. Vytvořte mezi nimi zabezpečené komunikační cesty.
  • Vytváření hranic na základě záměru Můžete například segmentovat funkční sítě úloh z provozních sítí.

Běžné vzory související se segmentací sítí najdete v tématu Vzory segmentace sítí.

Kompromis: Kontrolní mechanismy zabezpečení sítě jsou často nákladné, protože jsou součástí prémiových skladových položek. Konfigurace pravidel pro brány firewall často vede k zahlcení složitosti, která vyžaduje rozsáhlé výjimky.

Privátní připojení mění návrh architektury, často přidává další komponenty, jako jsou jump boxy pro privátní přístup k výpočetním uzlům.

Vzhledem k tomu, že hraniční sítě jsou založené na kontrolních bodech nebo segmentech směrování v síti, může být každý segment směrování potenciálním bodem selhání. Tyto body můžou mít vliv na spolehlivost systému.

Riziko: Řízení sítě je založené na pravidlech a existuje významná šance na nesprávnou konfiguraci, což je problém se spolehlivostí.

Informace o ovládacích prvcích sítě naleznete v tématu Sítě a připojení.

Definování rolí a jasné čáry odpovědnosti

Segmentace, která brání nejasnostem a bezpečnostním rizikům, se dosahuje jasně definováním zodpovědností v rámci týmu úloh.

Dokumentace a sdílení rolí a funkcí za účelem vytvoření konzistence a usnadnění komunikace Určete skupiny nebo jednotlivé role, které jsou zodpovědné za klíčové funkce. Před vytvořením vlastních rolí pro objekty zvažte předdefinované role v Azure.

Při přiřazování oprávnění pro segment zvažte konzistenci a přiřazování několika organizačních modelů zvažte konzistenci. Tyto modely můžou být různé od jedné centralizované skupiny IT až po většinou nezávislé týmy IT a DevOps.

Riziko: Členství ve skupinách se může v průběhu času měnit, když se zaměstnanci připojují nebo opouštějí týmy nebo mění role. Správa rolí napříč segmenty může vést k režii správy.

Uspořádání prostředků pro zvýšení úrovně segmentace

Segmentace umožňuje izolovat prostředky úloh od jiných částí organizace nebo dokonce v rámci týmu. Konstrukty Azure, jako jsou skupiny pro správu, předplatná, prostředí a skupiny prostředků, představují způsoby uspořádání prostředků, které podporují segmentaci. Tady je několik příkladů izolace na úrovni prostředků:

  • Polyglotní trvalost zahrnuje kombinaci technologií ukládání dat místo jednoho databázového systému pro podporu segmentace. Polyglotní trvalost pro oddělení různými datovými modely, oddělení funkcí, jako je úložiště dat a analýza, nebo oddělení vzory přístupu.
  • Při uspořádání výpočetních prostředků přidělte pro každý server jednu službu. Tato úroveň izolace minimalizuje složitost a může pomoct s útokem.
  • Azure poskytuje integrovanou izolaci některých služeb, například oddělení výpočetních prostředků od úložiště. Další příklady najdete v tématu Izolace ve veřejném cloudu Azure.

Kompromis: Izolace prostředků může vést ke zvýšení celkových nákladů na vlastnictví (TCO). U úložišť dat může být během zotavení po havárii větší složitost a koordinace.

Usnadnění azure

Některé služby Azure jsou k dispozici k implementaci strategie segmentace, jak je popsáno v následujících částech.

Identita

Azure RBAC podporuje segmentaci oddělením přístupu podle funkce úlohy. Pro určité role a obory jsou povoleny pouze určité akce. Například funkce úloh, které potřebují sledovat pouze systém, můžou mít přiřazená oprávnění čtenáře a oprávnění přispěvatele, která identitě umožňují spravovat prostředky.

Další informace najdete v tématu Osvědčené postupy pro řízení přístupu na základě role.

Sítě

Diagram znázorňující možnosti sítě pro segmentaci

Virtuální sítě: Virtuální sítě poskytují zahrnutí prostředků na úrovni sítě bez přidání provozu mezi dvěma virtuálními sítěmi. Virtuální sítě se vytvářejí v privátních adresních prostorech v rámci předplatného.

Skupiny zabezpečení sítě (NSG): Mechanismus řízení přístupu pro řízení provozu mezi prostředky ve virtuálních sítích a externími sítěmi, jako je internet. Implementujte trasy definované uživatelem, abyste mohli řídit další segment směrování provozu. Skupiny zabezpečení sítě můžou využít strategii segmentace na členitou úroveň vytvořením hraničních sítí pro podsíť, virtuální počítač nebo skupinu virtuálních počítačů. Informace o možných operacích s podsítěmi v Azure najdete v tématu Podsítě.

Skupiny zabezpečení aplikací (ASG): Skupiny zabezpečení aplikací umožňují seskupit sadu virtuálních počítačů pod značkou aplikace a definovat pravidla provozu, která se pak použijí na každý z podkladových virtuálních počítačů.

Azure Firewall: Nativní cloudová služba, která se dá nasadit ve vaší virtuální síti nebo v nasazeních centra Azure Virtual WAN . Pomocí služby Azure Firewall můžete filtrovat provoz mezi cloudovými prostředky, internetem a místními prostředky. Pomocí služby Azure Firewall nebo Azure Firewall Manageru můžete vytvářet pravidla nebo zásady, které povolují nebo zakazují provoz pomocí ovládacích prvků vrstvy 3 do vrstvy 7. Filtrování internetového provozu pomocí služby Azure Firewall a třetích stran prostřednictvím směrování provozu prostřednictvím poskytovatelů zabezpečení třetích stran pro pokročilé filtrování a ochranu uživatelů. podpora Azure s nasazení síťových virtuálních zařízení, což pomáhá segmentaci z bran firewall třetích stran.

Příklad

Tady je několik běžných vzorů segmentace úloh v Azure. Zvolte vzor na základě vašich potřeb.

Tento příklad vychází z prostředí informačních technologií (IT) vytvořeného ve standardních hodnotách zabezpečení (SE:01). Následující diagram znázorňuje segmentaci na úrovni skupiny pro správu prováděnou organizací.

Diagram znázorňující příklad strategie segmentace organizace pro různé úlohy

Modely segmentace identit

Vzor 1: Seskupování podle názvu úlohy

Jedním ze způsobů, jak uspořádat skupiny zabezpečení, je pracovní pozice, jako je softwarový inženýr, správce databáze, inženýr spolehlivosti lokality, technik kontroly kvality nebo analytik zabezpečení. Tento přístup zahrnuje vytváření skupin zabezpečení pro tým úloh na základě jejich rolí bez ohledu na práci, kterou je potřeba provést. Udělte skupinám zabezpečení oprávnění RBAC, kteří stojí nebo jsou za běhu (JIT), podle jejich povinností v úloze. Přiřaďte skupinám zabezpečení principy lidských a služeb na základě jejich přístupu podle potřeby.

Členství je vysoce viditelné na úrovni přiřazení role, takže snadno zjistíte, k čemu má role přístup. Každá osoba je obvykle členem pouze jedné skupiny zabezpečení, což usnadňuje onboarding a offboarding. Pokud se ale názvy pracovních pozic dokonale nepřekrývají s zodpovědnostmi, není seskupování podle názvu ideální pro implementaci s nejnižšími oprávněními. Může se stát, že zkombinujete implementaci se seskupováním na základě funkcí.

Model 2: Seskupování založené na funkcích

Seskupování založené na funkcích je metoda organizace skupiny zabezpečení, která odráží samostatnou práci, kterou je potřeba provést, a nebere v úvahu strukturu vašeho týmu. Pomocí tohoto modelu udělíte skupinám zabezpečení oprávnění RBAC, umístění nebo JIT podle potřeby podle jejich požadované funkce v úloze.

Přiřaďte skupinám zabezpečení principy lidských a služeb na základě jejich přístupu podle potřeby. Pokud je to možné, použijte existující homogenní skupiny jako členy skupin založených na funkcích, jako jsou tyto skupiny ze vzoru 1. Mezi příklady skupin založených na funkcích patří:

  • Operátory produkční databáze
  • Předprodukční databázové operátory
  • Operátory obměně produkčních certifikátů
  • Operátory obměně předprodukčních certifikátů
  • Produkční živé lokality nebo třídění
  • Předprodukce veškerého přístupu

Tento přístup udržuje nejtěsnější přístup s nejnižšími oprávněními a poskytuje skupiny zabezpečení, kde je rozsah zřejmé, což usnadňuje auditování členství v poměru k pracovním povinnostem. Často existuje předdefinovaná role Azure, která odpovídá této funkci úlohy.

Členství je však abstrahováno alespoň jednou vrstvou a vynutí vás přejít ke zprostředkovateli identity, abyste pochopili, kdo je ve skupině při pohledu z hlediska prostředků. Kromě toho musí mít jedna osoba pro úplné pokrytí více členství. Matice překrývajících se skupin zabezpečení může být složitá.

Vzor 2 se doporučuje, aby se vzory přístupu zaměřily na fokus, ne na organizační diagram. Organizační diagramy a členské role se někdy mění. Zachycení správy identit a přístupu vaší úlohy z funkční perspektivy umožňuje abstrakci vaší týmové organizace od zabezpečené správy úlohy.

Modely segmentace sítí

Model 1: Segmentace v rámci úlohy (měkké hranice)

Diagram znázorňující jednu virtuální síť

V tomto vzoru se úloha umístí do jedné virtuální sítě, která k označení hranic používá podsítě. Segmentace se dosahuje pomocí dvou podsítí, jedné pro databázi a jednu pro webové úlohy. Skupiny zabezpečení sítě, které umožňují podsíti 1 komunikovat pouze s podsítí 2 a podsítí 2, musí komunikovat jenom s internetem. Tento model poskytuje řízení na úrovni vrstvy 3.

Model 2: Segmentace v rámci úlohy

Diagram znázorňující více virtuálních sítí

Tento model je příkladem segmentace na úrovni platformy. Úlohy componenty jsou rozloženy do více sítí bez partnerského vztahu mezi nimi. Veškerá komunikace je směrována prostřednictvím zprostředkujícího, který slouží jako veřejný přístupový bod. Tým úloh vlastní všechny sítě.

Model 2 poskytuje omezení, ale má větší složitost správy a velikosti virtuálních sítí. Komunikace mezi těmito dvěma sítěmi probíhá přes veřejný internet, což může být riziko. U veřejných připojení je také latence. Tyto dvě sítě ale můžou být v partnerském vztahu a rozdělit segmentaci tím, že je propojí, aby vytvořily větší segment. Partnerský vztah by se měl provést v případě, že nejsou potřeba žádné jiné veřejné koncové body.

Důležité informace Vzor 1 Vzor 2
Připojení a směrování: Jak jednotlivé segmenty komunikují Směrování systému poskytuje výchozí připojení k komponentám úloh. S úlohou nemůže komunikovat žádná externí komponenta. Ve virtuální síti je to stejné jako v modelu 1.
Mezi sítěmi prochází provoz přes veřejný internet. Mezi sítěmi neexistuje přímé připojení.
Filtrování provozu na úrovni sítě Provoz mezi segmenty je ve výchozím nastavení povolený. K filtrování provozu použijte skupiny zabezpečení sítě nebo skupiny zabezpečení sítě. Ve virtuální síti je to stejné jako v modelu 1.
Mezi sítěmi můžete filtrovat příchozí i výchozí provoz přes bránu firewall.
Nezamýšlené otevřené veřejné koncové body Karty síťového rozhraní nezískaly veřejné IP adresy. Virtuální sítě nejsou vystavené službě Internet API Management. Stejné jako vzorek 1. Zamýšlený otevřený veřejný koncový bod v jedné virtuální síti, který může být chybně nakonfigurovaný tak, aby přijímal více přenosů.

Organizace prostředků

Uspořádání prostředků Azure na základě odpovědnosti za vlastnictví

Diagram majetku Azure, který obsahuje více úloh

Představte si aktiva Azure, která obsahuje více úloh a komponent sdílených služeb, jako jsou virtuální sítě centra, brány firewall, služby identit a služby zabezpečení, jako je Microsoft Sentinel. Komponenty v celém majetku by měly být seskupeny na základě jejich funkčních oblastí, úloh a vlastnictví. Sdílené síťové prostředky by například měly být seskupené do jednoho předplatného a spravované síťovým týmem. Komponenty, které jsou vyhrazené pro jednotlivé úlohy, by měly být ve vlastním segmentu a můžou být dále rozděleny na základě aplikačních vrstev nebo jiných organizačních principů.

Udělení přístupu ke správě prostředků v jednotlivých segmentech vytvořením přiřazení rolí RBAC Například cloudový síťový tým může mít udělený přístup pro správu k předplatnému, které obsahuje prostředky, ale ne k jednotlivým předplatným úloh.

Dobrá strategie segmentace umožňuje snadno identifikovat vlastníky jednotlivých segmentů. Zvažte použití značek prostředků Azure k přidávání poznámek ke skupinám prostředků nebo předplatným s týmem vlastníka.

Konfigurace a kontrola řízení přístupu

Udělte odpovídající přístup na základě potřeby tím, že jasně definujete segmenty pro vaše prostředky.

Při definování zásad řízení přístupu zvažte princip nejnižší úrovně oprávnění. Je důležité rozlišovat mezi operacemi řídicí roviny (správa samotného prostředku) a operacemi roviny dat (přístup k datům uloženým prostředkem). Předpokládejme například, že máte úlohu, která obsahuje databázi s citlivými informacemi o zaměstnanech. Můžete udělit přístup pro správu některým uživatelům, kteří potřebují konfigurovat nastavení, jako jsou zálohy databáze nebo uživatelé, kteří monitorují výkon databázového serveru. Tito uživatelé by ale neměli mít možnost dotazovat se na citlivá data uložená v databázi. Vyberte oprávnění, která uživatelům udělují minimální rozsah potřebný k provádění jejich povinností. Pravidelně kontrolujte přiřazení rolí pro každý segment a odeberte přístup, který už není potřeba.

Poznámka:

Některé vysoce privilegované role, jako je role vlastníka v RBAC, umožňují uživatelům udělit přístup k prostředku jiným uživatelům. Omezte počet uživatelů nebo skupin, kteří mají přiřazenou roli vlastníka, a pravidelně kontrolujte protokoly auditu, abyste zajistili, že provádějí pouze platné operace.

Kontrolní seznam zabezpečení

Projděte si kompletní sadu doporučení.