Sdílet prostřednictvím

Izolace sítě (Secure Future Initiative)

Název pilíře: Ochrana sítí
Název vzoru: Izolace sítě

Kontext a problém

Moderní aktéři hrozeb využívají slabé hranice sítě k pozdějšímu přesunu a eskalaci oprávnění. Mezi běžné způsoby útoku patří odcizené přihlašovací údaje, zneužití protokolu a přehrání tokenu. Nežádoucí osoby často zneužívají špatnou segmentaci, příliš volná oprávnění nebo sdílenou infrastrukturu pro přístup k citlivým úlohám.  

Tradiční ploché sítě ztěžují vynucení přístupu k Nejnižší Povolení a často zanechávají prostředky široce přístupné. Bez jasné izolace mohou interní i externí hrozby rychle ohrozit více systémů. Výzvou je standardizovat segmentaci sítě, vynucovat bezpečnostní perimetry a zajistit, aby toky provozu byly přísně řízeny, aby se zabránilo laterálnímu šíření a zamezilo porušení zabezpečení.

Solution

Izolace sítě zabezpečuje sítě rozdělením a izolováním sítí do segmentů a řízením síťového přístupu k nim. Kombinuje řešení zabezpečení sítě s podporou identit a vylepšení viditelnosti, monitorování a detekce. Mezi základní postupy patří:

  • Segmentace sítě a softwarově definované hraniční sítě: Předpokládejme porušení zabezpečení a omezte laterální pohyb pomocí dělení sítě a dynamického přístupu na základě rizik. Vynucujte nejnižší oprávnění s vymezeným přístupem a ověřte explicitně pomocí řízení přístupu na základě identit.

  • SASE a ZTNA: K integraci zabezpečení a sítí používejte architektury SASE (Secure Access Service Edge) a ZTNA (Zero Trust Network Access Access). Zarovnávejte principy Zero Trust tak, že udělujete a omezujete přístup na základě kontextu, identity a podmíněného řízení přístupu.

  • Šifrování a komunikace: Předpokládejme porušení zabezpečení tím, že chráníme data při přenosu a omezujeme riziko manipulace s daty pomocí silného, moderního šifrování, efektivní komunikace a blokování slabých protokolů.

  • Viditelnost a detekce hrozeb: Předpokládejme porušení zabezpečení s průběžnou viditelností a monitorováním a protokolováním síťové aktivity. Vynucujte nejnižší oprávnění a ověřte explicitně pomocí řízení přístupu a detekce hrozeb, abyste našli a mohli odhalit anomálie. Vynucujte nulovou důvěryhodnost automatizací nasazení, správy a přidělování síťových prostředků a ovládacích prvků ve velkém měřítku. Bez automatizace může dojít k nekonzistenci a mezerám.

  • Kontroly řízené zásadami: Explicitně ověřit a aplikovat Princip nejnižších oprávnění pomocí podrobných, adaptivních řízení zásad podmíněného přístupu zaměřených na identitu. Předpokládejte, že došlo k porušení, a uplatňujte politiku „odepřít ve výchozím nastavení“ a neustále znovu vyhodnocujte riziko.

  • Zabezpečení cloudových a hybridních sítí: Předpokládejme porušení zabezpečení a ověřování explicitně ve vícecloudových a hybridních prostředích tím, že izoluje cloudové úlohy do chráněných mikrohraničí a používá proxy servery pracující s identitami a řešení CASB (Cloud Security Access Broker) pro aplikace SaaS a PaaS. Principy nulové důvěryhodnosti využijte s jednotnými zásadami zabezpečení napříč cloudovými a místními prostředími, zabezpečenými mechanismy hybridního připojení, vylepšením stavu cloudového/hybridního zabezpečení a centralizovaným monitorováním zabezpečení.

Pokyny

Organizace můžou použít podobný model pomocí následujících postupů, které je možné provést:

Případ použití Doporučená akce Resource
Mikrose segmentace
  • Pomocí skupin zabezpečení sítě (NSG) a seznamů ACL vynucujte přístup k oprávněním s nejnižším přehledem mezi úlohami.
 Přehled skupin zabezpečení sítě Azure
Izolace virtuálních sítí
  • Použijte nástroje, jako je Správa ohrožení zabezpečení v programu Microsoft Defender, k prohledání systémů a stanovení priorit CVE.
 Izolace virtuálních sítí – Virtuální sítě Azure
Hraniční ochrana prostředků PaaS
  • Použijte Azure Network Security k zabezpečení přístupu ke službám, jako jsou Storage, SQL a Key Vault.
 Co je hraniční síť zabezpečení sítě
Zabezpečené připojení k virtuálním počítačům
  • Pomocí služby Azure Bastion můžete vytvořit zabezpečené připojení RDP/SSH k virtuálním počítačům bez vystavení prostředků na internetu.
 Informace o službě Azure Bastion
Omezení odchozího virtuálního přístupu
  • Odeberte výchozí odchozí přístup k internetu a použijte síť s nejnižšími oprávněními pro odchozí přenos služeb.
 Výchozí přístup pro odchozí komunikaci v Azure – Azure Virtual Network
Vrstvená perimetrická obrana
  • Použití bran firewall, značek služeb, skupin zabezpečení sítě a ochrany před útoky DDoS za účelem vynucování vícevrstvé zabezpečení
 Přehled služby Azure DDoS Protection
Centralizovaná správa politik
  • Pomocí Azure Virtual Network Manageru s pravidly správy zabezpečení můžete centrálně spravovat zásady izolace sítě.
 Pravidla správce zabezpečení ve službě Azure Virtual Network Manager

Výsledky

Výhody

  • Odolnost: Omezuje poloměr výbuchu vniknutí.  
  • Škálovatelnost: Standardizovaná izolace sítě podporuje prostředí na podnikové úrovni.  
  • Viditelnost: Označování služeb a monitorování poskytují jasnější atribuci toků provozu.  
  • Dodržování právních předpisů: Podporuje soulad s rámci vyžadujícími přísné oddělení citlivých prostředků.  

Trade-offs

  • Provozní režie: Návrh a údržba segmentovaných sítí vyžaduje plánování a průběžné aktualizace.
  • Složitost: Větší segmentace může zavést další vrstvy správy a vyžadovat automatizaci škálování.  
  • Aspekty výkonu: Některé míry izolace můžou mírně zvýšit latenci.  

Klíčové faktory úspěchu

Pokud chcete sledovat úspěch, změřte následující:

  • Počet úloh nasazených v izolovaných virtuálních sítích bez přímého připojení k internetu.  
  • Procento služeb, které se řídí centralizovanými pravidly správce zabezpečení  
  • Snížení bočních pohybových cest identifikovaných během testování red teamu.  
  • Dodržování nejméně privilegovaných zásad napříč prostředími  
  • Doba detekce a nápravy neobvyklé síťové aktivity  

Shrnutí

Izolace sítě je základní strategií, která brání laterálnímu pohybu a ochraně citlivých úloh. Díky segmentování prostředků, vynucování hraničních zařízení a použití vrstvené obrany organizace snižují prostor pro útoky a vytvářejí odolnost proti moderním nežádoucím prostředkům.

Izolace sítí už není volitelná---it je nezbytná kontrola pro ochranu cloudových a hybridních prostředí. Cíl izolace sítě poskytuje jasný rámec pro omezení laterálního pohybu, sladění s nulovou důvěryhodností a ochranou prostředí na podnikové úrovni.  

Kromě toho by se měla nepřetržitě monitorovat všechna aktivita sítě, identity a zařízení. Centralizované protokolování a korelace výstrah zabezpečení pomocí řešení rozšířené detekce a reakce (XDR) a nástrojů SIEM k efektivnímu zjišťování anomálií a hrozeb. Spojení detekce s analýzou chování, hloubkovou kontrolou paketů a automatizovanou reakcí na hrozby, která rychle zamezí podezřelé aktivitě, a tím podpoří efektivní řešení incidentů.

Vyhodnoťte aktuální topologii sítě a implementujte segmentace a hraniční kontroly tak, aby odpovídaly cíli izolace sítě.

  • Last updated on