Empfehlungen zum Erstellen einer Segmentierungsstrategie

  • Artikel

Gilt für Well-Architected Empfehlung der Frameworksicherheitsprüfliste:

SE:04 Erstellen Sie absichtliche Segmentierung und Umkreise in Ihrem Architekturentwurf und dem Footprint der Workload auf der Plattform. Die Segmentierungsstrategie muss Netzwerke, Rollen und Zuständigkeiten, Workloadidentitäten und Ressourcen organization umfassen.

Ein Segment ist ein logischer Abschnitt Ihrer Lösung, der als eine Einheit gesichert werden muss. Eine Segmentierungsstrategie definiert, wie eine Einheit mit eigenen Sicherheitsanforderungen und -maßnahmen von anderen Einheiten getrennt werden soll.

In diesem Leitfaden werden die Empfehlungen zum Erstellen einer einheitlichen Segmentierungsstrategie beschrieben. Mithilfe von Umkreisen und Isolationsgrenzen in Workloads können Sie einen für Sie geeigneten Sicherheitsansatz entwerfen.

Definitionen 

Begriff Definition
Containment Eine Technik, um den Explosionsradius einzudämmen, wenn ein Angreifer Zugriff auf ein Segment erhält.
Zugriff mit den geringsten Rechten Ein Zero Trust Prinzip, das darauf abzielt, eine Reihe von Berechtigungen zum Abschließen einer Auftragsfunktion zu minimieren.
Umkreis Die Vertrauensgrenze um ein Segment.
Ressourcenorganisation Eine Strategie zum Gruppieren verwandter Ressourcen nach Flows innerhalb eines Segments.
Rolle Eine Reihe von Berechtigungen, die zum Abschließen einer Auftragsfunktion erforderlich sind.
Segment Eine logische Einheit, die von anderen Entitäten isoliert und durch eine Reihe von Sicherheitsmaßnahmen geschützt ist.

Wichtige Entwurfsstrategien

Das Konzept der Segmentierung wird häufig für Netzwerke verwendet. Das gleiche zugrunde liegende Prinzip kann jedoch in einer gesamten Lösung verwendet werden, einschließlich der Segmentierung von Ressourcen für Verwaltungszwecke und die Zugriffssteuerung.

Die Segmentierung hilft Ihnen bei der Entwicklung eines Sicherheitsansatzes, bei dem die Verteidigung auf der Grundlage der Prinzipien des Zero Trust Modells ausführlich angewendet wird. Stellen Sie sicher, dass ein Angreifer, der ein Netzwerksegment verletzt, keinen Zugriff auf ein anderes erhalten kann, indem er Workloads mit unterschiedlichen Identitätssteuerelementen segmentiert. In einem sicheren System blockieren Identitäts- und Netzwerkattribute den nicht autorisierten Zugriff und verbergen die Verfügbar gemachten Ressourcen. Hier sind einige Beispiele für Segmente:

  • Abonnements, die Workloads einer organization isolieren
  • Ressourcengruppen, die Workloadressourcen isolieren
  • Bereitstellungsumgebungen, die die Bereitstellung nach Phasen isolieren
  • Teams und Rollen, die Auftragsfunktionen im Zusammenhang mit der Workloadentwicklung und -verwaltung isolieren
  • Anwendungsebenen, die nach Workload-Hilfsprogramm isolieren
  • Microservices, die einen Dienst von einem anderen isolieren

Berücksichtigen Sie die folgenden wichtigen Elemente der Segmentierung, um sicherzustellen, dass Sie eine umfassende Strategie zur Tiefenverteidigung entwickeln:

  • Die Grenze oder der Umkreis ist der Einstiegsrand eines Segments, in dem Sie Sicherheitskontrollen anwenden. Umkreissteuerelemente sollten den Zugriff auf das Segment blockieren, sofern dies nicht explizit zulässig ist. Das Ziel besteht darin, zu verhindern, dass ein Angreifer den Umkreis durchbricht und die Kontrolle über das System erhält. Beispielsweise kann eine Anwendungsebene das Zugriffstoken eines Endbenutzers akzeptieren, wenn sie eine Anforderung verarbeitet. Die Datenebene erfordert jedoch möglicherweise ein anderes Zugriffstoken, das über eine bestimmte Berechtigung verfügt, die nur von der Anwendungsebene angefordert werden kann.

  • Containment ist der Ausstiegsrand eines Segments, der laterale Bewegungen im System verhindert. Das Ziel der Eindämmung besteht darin, die Auswirkungen einer Sicherheitsverletzung zu minimieren. Beispielsweise kann ein virtuelles Azure-Netzwerk verwendet werden, um Routing- und Netzwerksicherheitsgruppen so zu konfigurieren, dass nur die erwarteten Datenverkehrsmuster zugelassen werden, sodass Datenverkehr zu beliebigen Netzwerksegmenten vermieden wird.

  • Isolation ist die Praxis, Entitäten mit ähnlichen Zusicherungen zusammen zu gruppieren, um sie mit einer Grenze zu schützen. Das Ziel ist eine einfache Verwaltung und die Eindämmung eines Angriffs in einer Umgebung. Beispielsweise können Sie die Ressourcen, die sich auf eine bestimmte Workload beziehen, in einem Azure-Abonnement gruppieren und dann die Zugriffssteuerung anwenden, sodass nur bestimmte Workloadteams auf das Abonnement zugreifen können.

Es ist wichtig, die Unterscheidung zwischen Umkreisen und Isolation zu beachten. Umkreis bezieht sich auf die Punkte der Position, die überprüft werden sollen. In der Isolation geht es um Gruppierung. Sie können einen Angriff aktiv eindämmen, indem Sie diese Konzepte gemeinsam verwenden.

Isolation bedeutet nicht das Erstellen von Silos im organization. Eine einheitliche Segmentierungsstrategie ermöglicht eine Ausrichtung zwischen den technischen Teams und legt klare Verantwortungslinien fest. Clarity reduziert das Risiko von menschlichen Fehlern und Automatisierungsfehlern, die zu Sicherheitsrisiken, Betriebsausfällen oder beidem führen können. Angenommen, eine Sicherheitsverletzung wird in einer Komponente eines komplexen Unternehmenssystems erkannt. Es ist wichtig, dass jeder versteht, wer für diese Ressource verantwortlich ist, damit die entsprechende Person in das Triage-Team aufgenommen wird. Die organization und Beteiligten können schnell erkennen, wie auf verschiedene Arten von Incidents reagiert werden soll, indem sie eine gute Segmentierungsstrategie erstellen und dokumentieren.

Kompromiss: Die Segmentierung führt zu Komplexität, da die Verwaltung mehr Aufwand verursacht. Es gibt auch einen Kompromiss bei den Kosten. Beispielsweise werden mehr Ressourcen bereitgestellt, wenn Bereitstellungsumgebungen, die parallel ausgeführt werden, segmentiert werden.

Risiko: Die Mikrosegmentierung über ein angemessenes Limit hinaus verliert den Vorteil der Isolation. Wenn Sie zu viele Segmente erstellen, wird es schwierig, Kommunikationspunkte zu identifizieren oder gültige Kommunikationspfade innerhalb des Segments zuzulassen.

Identität als Zugriffskriterium

Verschiedene Identitäten wie Personen, Softwarekomponenten oder Geräte greifen auf Workloadsegmente zu. Identität ist ein Umkreis, der die primäre Verteidigungslinie sein sollte, um den Zugriff über Isolationsgrenzen hinweg zu authentifizieren und zu autorisieren, unabhängig davon, wo die Zugriffsanforderung ihren Ursprung hat. Verwenden Sie Identität als Umkreis für Folgendes:

  • Weisen Sie den Zugriff nach Rolle zu. Identitäten benötigen nur Zugriff auf die Segmente, die für ihre Aufgabe erforderlich sind. Minimieren Sie den anonymen Zugriff, indem Sie die Rollen und Verantwortlichkeiten der anfordernden Identität kennen, damit Sie die Entität kennen, die Zugriff auf ein Segment anfordert und zu welchem Zweck.

    Eine Identität kann unterschiedliche Zugriffsbereiche in verschiedenen Segmenten aufweisen. Betrachten Sie eine typische Umgebungseinrichtung mit separaten Segmenten für jede Phase. Identitäten, die der Entwicklerrolle zugeordnet sind, verfügen über Lese-/Schreibzugriff auf die Entwicklungsumgebung. Wenn die Bereitstellung zum Staging übergeht, werden diese Berechtigungen eingeschränkt. Wenn die Workload in die Produktion höhergestuft wird, wird der Umfang für Entwickler auf schreibgeschützten Zugriff reduziert.

  • Betrachten Sie Anwendungs- und Verwaltungsidentitäten separat. In den meisten Lösungen haben Benutzer eine andere Zugriffsebene als Entwickler oder Operatoren. In einigen Anwendungen können Sie unterschiedliche Identitätssysteme oder Verzeichnisse für jeden Identitätstyp verwenden. Erwägen Sie die Verwendung von Zugriffsbereichen und das Erstellen separater Rollen für jede Identität.

  • Weisen Sie den Zugriff mit den geringsten Rechten zu. Wenn der Identität Zugriff gewährt wird, bestimmen Sie die Zugriffsebene. Beginnen Sie mit den geringsten Berechtigungen für jedes Segment, und erweitern Sie diesen Bereich nur bei Bedarf.

    Indem Sie die geringsten Berechtigungen anwenden, begrenzen Sie die negativen Auswirkungen, wenn die Identität jemals kompromittiert wird. Ist der Zugriff zeitlich begrenzt, wird die Angriffsfläche weiter reduziert. Zeitlimitierter Zugriff gilt insbesondere für kritische Konten, z. B. Administratoren oder Softwarekomponenten mit einer kompromittierten Identität.

Kompromiss: Die Leistung der Workload kann durch Identitätsperimeter beeinträchtigt werden. Um jede Anforderung explizit zu überprüfen, sind zusätzliche Computezyklen und zusätzliche Netzwerk-E/A-Vorgänge erforderlich.

Die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) führt auch zu Verwaltungsaufwand. Das Nachverfolgen von Identitäten und deren Zugriffsbereichen kann bei Rollenzuweisungen komplex werden. Die Problemumgehung besteht darin, Sicherheitsgruppen Anstelle einzelner Identitäten Rollen zuzuweisen.

Risiko: Identitätseinstellungen können komplex sein. Fehlkonfigurationen können sich auf die Zuverlässigkeit der Workload auswirken. Angenommen, es gibt eine falsch konfigurierte Rollenzuweisung, der der Zugriff auf eine Datenbank verweigert wird. Die Anforderungen beginnen zu scheitern, was schließlich zu Zuverlässigkeitsproblemen führt, die andernfalls bis zur Laufzeit nicht erkannt werden können.

Informationen zu Identitätskontrollen finden Sie unter Identitäts- und Zugriffsverwaltung.

Im Gegensatz zu Netzwerkzugriffskontrollen überprüft die Identität die Zugriffssteuerung zur Zugriffszeit. Es wird dringend empfohlen, eine regelmäßige Zugriffsüberprüfung durchzuführen und einen Genehmigungsworkflow zu benötigen, um Berechtigungen für Konten mit kritischen Auswirkungen zu erhalten. Beispiel: Identitätssegmentierungsmuster.

Netzwerk als Umkreis

Identitätsperimeter sind netzwerkunabhängig, während Netzwerkperimeter die Identität erweitern, aber nie ersetzen. Netzwerkperimeter werden eingerichtet, um den Strahlradius zu steuern, unerwarteten, verbotenen und unsicheren Zugriff zu blockieren und Workloadressourcen zu verschleiern.

Während der Hauptfokus des Identitätsperimeters auf den geringsten Rechten liegt, sollten Sie davon ausgehen, dass beim Entwerfen des Netzwerkperimeters eine Sicherheitsverletzung vorliegt.

Erstellen Sie softwaredefinierte Umkreise in Ihrem Netzwerkbedarf mithilfe von Azure-Diensten und -Features. Wenn eine Workload (oder Teile einer bestimmten Workload) in separate Segmente platziert wird, steuern Sie den Datenverkehr von oder zu diesen Segmenten, um Kommunikationspfade zu schützen. Wenn ein Segment kompromittiert ist, ist es enthalten und verhindert, dass es sich seitlich über den Rest Ihres Netzwerks ausbreitet.

Denken Sie wie ein Angreifer, um einen Fuß in der Workload zu erreichen und Steuerelemente einzurichten, um weitere Expansion zu minimieren. Die Steuerelemente sollten Angreifer erkennen, enthalten und daran hindern, Zugriff auf die gesamte Workload zu erhalten. Im Folgenden finden Sie einige Beispiele für Netzwerksteuerelemente als Umkreis:

  • Definieren Sie Ihren Edgeperimeter zwischen öffentlichen Netzwerken und dem Netzwerk, in dem Sich Ihre Workload befindet. Schränken Sie die Sichtverbindung von öffentlichen Netzwerken so weit wie möglich auf Ihr Netzwerk ein.
  • Implementieren Sie demilitarisierte Zonen (DMZs) vor der Anwendung mit geeigneten Steuerelementen über Firewalls.
  • Erstellen Sie Mikrosegmentierung innerhalb Ihres privaten Netzwerks, indem Sie Teile der Workload in separaten Segmenten gruppieren. Richten Sie sichere Kommunikationspfade zwischen ihnen ein.
  • Erstellen Sie Grenzen basierend auf der Absicht. Segmentieren Sie beispielsweise funktionale Workloadnetzwerke aus betrieblichen Netzwerken.

Allgemeine Muster im Zusammenhang mit der Netzwerksegmentierung finden Sie unter Netzwerksegmentierungsmuster.

Kompromiss: Netzwerksicherheitskontrollen sind häufig teuer, da sie in den Premium-SKUs enthalten sind. Das Konfigurieren von Regeln für Firewalls führt häufig zu einer überwältigenden Komplexität, die umfassende Ausnahmen erfordert.

Die private Konnektivität ändert das Architekturdesign und fügt häufig weitere Komponenten hinzu, z. B. Sprungfelder für den privaten Zugriff auf Computeknoten.

Da Netzwerkperimeter auf Steuerungspunkten oder Hops im Netzwerk basieren, kann jeder Hop ein potenzieller Fehlerpunkt sein. Diese Punkte können sich auf die Zuverlässigkeit des Systems auswirken.

Risiko: Netzwerksteuerelemente sind regelbasiert, und es besteht eine erhebliche Gefahr von Fehlkonfigurationen, was ein Problem mit der Zuverlässigkeit darstellt.

Informationen zu Netzwerksteuerelementen finden Sie unter Netzwerk und Konnektivität.

Rollen und Zuständigkeiten

Eine Segmentierung, die Verwirrungen und Sicherheitsrisiken verhindert, wird durch eine klare Definition der Zuständigkeiten innerhalb eines Workloadteams erreicht.

Dokumentieren und Freigeben von Rollen und Funktionen, um Konsistenz zu schaffen und die Kommunikation zu erleichtern. Legen Sie Gruppen oder einzelne Rollen fest, die für Schlüsselfunktionen verantwortlich sind. Berücksichtigen Sie die integrierten Rollen in Azure, bevor Sie benutzerdefinierte Rollen für Objekte erstellen.

Berücksichtigen Sie beim Zuweisen von Berechtigungen für ein Segment Konsistenz bei gleichzeitiger Berücksichtigung mehrerer Organisationsmodelle. Diese Modelle können einen sehr variablen Umfang haben, von einer einzelnen zentralen IT-Gruppe bis hin zu überwiegend unabhängigen IT- und DevOps-Teams.

Risiko: Die Mitgliedschaft in Gruppen kann sich im Laufe der Zeit ändern, wenn Mitarbeiter Teams beitreten oder verlassen oder rollen wechseln. Die segmentübergreifende Verwaltung von Rollen kann zu Verwaltungsaufwand führen.

Ressourcenorganisation

Mit der Segmentierung können Sie Workloadressourcen aus anderen Teilen des organization oder sogar innerhalb des Teams isolieren. Azure-Konstrukte, z. B. Verwaltungsgruppen, Abonnements, Umgebungen und Ressourcengruppen, sind Möglichkeiten, Ihre Ressourcen zu organisieren, die die Segmentierung fördern. Hier sind einige Beispiele für die Isolation auf Ressourcenebene:

  • Polyglot-Persistenz umfasst eine Kombination von Datenspeichertechnologien anstelle eines einzelnen Datenbanksystems, um die Segmentierung zu unterstützen. Verwenden Sie polyglot-Persistenz für die Trennung durch verschiedene Datenmodelle, die Trennung von Funktionen wie Datenspeicherung und Analyse oder für die Trennung durch Zugriffsmuster.
  • Ordnen Sie jedem Server einen Dienst zu, wenn Sie Ihre Compute-Instanz organisieren. Diese Isolationsebene minimiert die Komplexität und kann einen Angriff eindämmen.
  • Azure bietet integrierte Isolation für einige Dienste, z. B. die Trennung von Compute und Speicher. Weitere Beispiele finden Sie unter Isolation in der öffentlichen Azure-Cloud.

Kompromiss: Ressourcenisolation kann zu einer Erhöhung der Gesamtbetriebskosten (Total Cost of Ownership, TCO) führen. Bei Datenspeichern kann es während der Notfallwiederherstellung zu einer zusätzlichen Komplexität und Koordinierung kommen.

Azure-Erleichterung

Bestimmte Azure-Dienste stehen für die Implementierung einer Segmentierungsstrategie zur Verfügung, wie in den folgenden Abschnitten beschrieben.

Identität

Azure RBAC unterstützt die Segmentierung durch Isolieren des Zugriffs nach Auftragsfunktion. Nur bestimmte Aktionen sind für bestimmte Rollen und Bereiche zulässig. Beispielsweise können Auftragsfunktionen, die nur das System beobachten müssen, Leseberechtigungen oder Mitwirkender Berechtigungen zugewiesen werden, die es der Identität ermöglichen, Ressourcen zu verwalten.

Weitere Informationen finden Sie unter Bewährte Methoden für RBAC.

Netzwerk

Diagramm mit Netzwerkoptionen für die Segmentierung.

Virtuelle Netzwerke: Virtuelle Netzwerke bieten Ressourcen auf Netzwerkebene, ohne Datenverkehr zwischen zwei virtuellen Netzwerken hinzuzufügen. Virtuelle Netzwerke werden in privaten Adressräumen innerhalb eines Abonnements erstellt.

Netzwerksicherheitsgruppen (NSG): Ein Zugriffssteuerungsmechanismus zum Steuern des Datenverkehrs zwischen Ressourcen in virtuellen Netzwerken und externen Netzwerken, z. B. dem Internet. Implementieren Sie benutzerdefinierte Routen (UDR), um den nächsten Hop für Datenverkehr zu steuern. NSGs können Ihre Segmentierungsstrategie auf eine granulare Ebene bringen, indem Sie Umkreise für ein Subnetz, einen virtuellen Computer (VM) oder eine Gruppe von VMs erstellen. Informationen zu möglichen Vorgängen mit Subnetzen in Azure finden Sie unter Subnetze.

Anwendungssicherheitsgruppen (ASGs): Mit ASGs können Sie eine Gruppe von VMs unter einem Anwendungstag gruppieren und Datenverkehrsregeln definieren, die dann auf die zugrunde liegenden VMs angewendet werden.

Azure Firewall: Ein cloudnativer Dienst, der in Ihrem virtuellen Netzwerk oder in Azure Virtual WAN Hubbereitstellungen bereitgestellt werden kann. Verwenden Sie Azure Firewall, um Datenverkehr zu filtern, der zwischen Cloudressourcen, dem Internet und lokalen Ressourcen fließt. Verwenden Sie Azure Firewall oder Azure Firewall Manager, um Regeln oder Richtlinien zu erstellen, die Datenverkehr mithilfe von Steuerelementen der Ebenen 3 bis 7 zulassen oder verweigern. Filtern Sie Internetdatenverkehr mithilfe von Azure Firewall und Drittanbietern, indem Sie Datenverkehr über Drittanbieter für erweiterte Filterung und Benutzerschutz leiten. Azure unterstützt die Bereitstellung virtueller Anwendung im Netzwerk, wodurch die Segmentierung von Firewalls von Drittanbietern unterstützt wird.

Beispiel

Hier finden Sie einige gängige Muster für die Segmentierung einer Workload in Azure. Wählen Sie ein Muster basierend auf Ihren Anforderungen aus.

Dieses Beispiel baut auf der IT-Umgebung (Information Technology) auf, die in der Sicherheitsbaseline (SE:01) eingerichtet wurde. Das folgende Diagramm zeigt die Segmentierung auf Ebene der Verwaltungsgruppen, die von einem organization durchgeführt wird.

Diagramm: Beispiel für die Segmentierungsstrategie einer organization für verschiedene Workloads

Identitätssegmentierungsmuster

Muster 1: Titelbasierte Gruppierung des Auftrags

Eine Möglichkeit, Sicherheitsgruppen zu organisieren, ist die Berufsbezeichnung wie Softwaretechniker, Datenbankadministrator, Websitezulässigkeitstechniker, Qualitätssicherungstechniker oder Sicherheitsanalyst. Dieser Ansatz umfasst das Erstellen von Sicherheitsgruppen für Ihr Workloadteam basierend auf ihren Rollen, ohne die zu erledigenden Aufgaben zu berücksichtigen. Gewähren Sie Sicherheitsgruppen RBAC-Berechtigungen(Standing or Just in Time, JIT) gemäß ihren Zuständigkeiten in der Workload. Weisen Sie Sicherheitsgruppen basierend auf ihrem bedarfsgerechten Zugriff Die Prinzipien von Menschen und Diensten zu.

Die Mitgliedschaft ist auf Der Rollenzuweisungsebene sehr sichtbar, sodass Sie leicht erkennen können, auf welche Rolle sie zugreifen können. Jede Person ist in der Regel nur Mitglied einer Sicherheitsgruppe, was das Onboarding und Das Offboarden erleichtert. Es sei denn, Stellentitel überschneiden sich perfekt mit Zuständigkeiten, ist die titelbasierte Gruppierung nicht ideal für die Implementierung mit den geringsten Rechten. Möglicherweise kombinieren Sie die Implementierung mit funktionsbasierter Gruppierung.

Muster 2: Funktionsbasierte Gruppierung

Die funktionsbasierte Gruppierung ist eine Sicherheitsgruppe organization Methode, die diskrete Arbeiten widerspiegelt, die ausgeführt werden müssen, ohne Ihre Teamstruktur zu berücksichtigen. Bei diesem Muster gewähren Sie Sicherheitsgruppen nach Bedarf RBAC-Berechtigungen( stehend oder JIT) entsprechend ihrer erforderlichen Funktion in der Workload.

Weisen Sie Sicherheitsgruppen basierend auf ihrem bedarfsgerechten Zugriff Die Prinzipien von Menschen und Diensten zu. Verwenden Sie nach Möglichkeit vorhandene homogene Gruppen als Mitglieder der funktionsbasierten Gruppen, z. B. die Gruppen aus Muster 1. Beispiele für funktionsbasierte Gruppen sind:

  • Produktionsdatenbankoperatoren
  • Vorproduktionsdatenbankoperatoren
  • Rotationsoperatoren für Produktionszertifikate
  • Rotationsoperatoren für Vorproduktionszertifikate
  • Produktion live-site/triage
  • Vorproduktion aller Zugriffe

Dieser Ansatz behält den strengsten Zugriff mit den geringsten Rechten bei und stellt Sicherheitsgruppen bereit, in denen der Umfang offensichtlich ist, was die Überprüfung von Mitgliedschaften im Verhältnis zu den ausgeführten Aufgaben erleichtert. Häufig ist eine integrierte Azure-Rolle vorhanden, die dieser Auftragsfunktion entspricht.

Die Mitgliedschaft ist jedoch mindestens eine Ebene abstrahiert, sodass Sie zum Identitätsanbieter wechseln müssen, um zu verstehen, wer sich in der Gruppe befindet, wenn Sie aus der Ressourcenperspektive schauen. Darüber hinaus muss eine Person mehrere Mitgliedschaften unterhalten, um die vollständige Abdeckung zu gewährleisten. Die Matrix überlappender Sicherheitsgruppen kann komplex sein.

Muster 2 wird empfohlen, um die Zugriffsmuster in den Fokus zu stellen, nicht das organization Diagramm. Organisationsdiagramme und Mitgliedsrollen ändern sich manchmal. Wenn Sie die Identitäts- und Zugriffsverwaltung Ihrer Workload aus funktionaler Perspektive erfassen, können Sie Ihr Team organization von der sicheren Verwaltung der Workload abstrahieren.

Netzwerksegmentierungsmuster

Muster 1: Segmentierung innerhalb einer Workload (weiche Grenzen)

Diagramm: Ein einzelnes virtuelles Netzwerk

In diesem Muster wird die Workload in einem einzelnen virtuellen Netzwerk platziert, indem Subnetze verwendet werden, um Grenzen zu markieren. Die Segmentierung wird mithilfe von zwei Subnetzen erreicht, eines für Datenbank und eines für Webworkloads. Sie müssen NSGs konfigurieren, die es Subnetz 1 ermöglichen, nur mit Subnetz 2 und Subnetz 2 zu kommunizieren, um nur mit dem Internet zu kommunizieren. Dieses Muster bietet Steuerung auf Ebene 3.

Muster 2: Segmentierung innerhalb einer Workload

Diagramm, das mehrere virtuelle Netzwerke zeigt.

Dieses Muster ist ein Beispiel für die Segmentierung auf Plattformebene. Workloadc-Omponents werden auf mehrere Netzwerke verteilt, ohne dass ein Peering zwischen ihnen erfolgt. Die gesamte Kommunikation wird über einen Vermittler weitergeleitet, der als öffentlicher Zugriffspunkt dient. Das Workloadteam besitzt alle Netzwerke.

Muster 2 bietet zwar Eingrenzung, weist jedoch eine zusätzliche Komplexität der Verwaltung und Größenanpassung virtueller Netzwerke auf. Die Kommunikation zwischen den beiden Netzwerken erfolgt über das öffentliche Internet, was ein Risiko darstellen kann. Es gibt auch Latenz bei öffentlichen Verbindungen. Die beiden Netzwerke können jedoch per Peering verknüpft werden, wobei die Segmentierung durch Eine Verbindung zum Erstellen eines größeren Segments durchbricht. Peering sollte durchgeführt werden, wenn keine anderen öffentlichen Endpunkte erforderlich sind.

Überlegungen Muster 1 Muster 2
Konnektivität und Routing: Kommunikation der einzelnen Segmente Das Systemrouting bietet standardmäßige Konnektivität mit Workloadkomponenten. Keine externe Komponente kann mit der Workload kommunizieren. Innerhalb des virtuellen Netzwerks, identisch mit Muster 1.
Zwischen Netzwerken wird der Datenverkehr über das öffentliche Internet übertragen. Es gibt keine direkte Konnektivität zwischen den Netzwerken.
Datenverkehrsfilterung auf Netzwerkebene Datenverkehr zwischen den Segmenten ist standardmäßig zulässig. Verwenden Sie NSGs oder ASGs, um Datenverkehr zu filtern. Innerhalb des virtuellen Netzwerks, identisch mit Muster 1.
Zwischen den Netzwerken können Sie sowohl eingehenden als auch ausgehenden Datenverkehr über eine Firewall filtern.
Unbeabsichtigt geöffnete öffentliche Endpunkte Netzwerkschnittstellenkarten (NICs) erhalten keine öffentlichen IP-Adressen. Virtuelle Netzwerke werden nicht für die Verwaltung der Internet-API verfügbar gemacht. Identisch mit Muster 1. Beabsichtigter offener öffentlicher Endpunkt in einem virtuellen Netzwerk, der falsch konfiguriert werden kann, um mehr Datenverkehr zu akzeptieren.

Ressourcenorganisation

Organisieren von Azure-Ressourcen basierend auf der Verantwortung für den Besitz

Diagramm eines Azure-Bestandes, der mehrere Workloads enthält.

Betrachten Sie einen Azure-Bestand, der mehrere Workloads und Shared Service-Komponenten wie virtuelle Hubnetzwerke, Firewalls, Identitätsdienste und Sicherheitsdienste wie Microsoft Sentinel enthält. Komponenten im gesamten Bestand sollten basierend auf ihren Funktionsbereichen, Workloads und Besitzverhältnissen gruppiert werden. Beispielsweise sollten freigegebene Netzwerkressourcen in einem einzelnen Abonnement gruppiert und von einem Netzwerkteam verwaltet werden. Komponenten, die für einzelne Workloads bestimmt sind, sollten sich in ihrem eigenen Segment befinden und möglicherweise basierend auf Anwendungsebenen oder anderen Organisationsprinzipien weiter unterteilt werden.

Gewähren Sie zugriff zum Verwalten von Ressourcen in einzelnen Segmenten, indem Sie RBAC-Rollenzuweisungen erstellen. Beispielsweise kann dem Cloudnetzwerkteam Administratorzugriff auf das Abonnement gewährt werden, das seine Ressourcen enthält, aber nicht auf einzelne Workloadabonnements.

Eine gute Segmentierungsstrategie ermöglicht es, die Besitzer jedes Segments leicht zu identifizieren. Erwägen Sie die Verwendung von Azure-Ressourcentags, um Ressourcengruppen oder Abonnements mit dem Besitzerteam zu kommentieren.

Konfigurieren und Überprüfen der Zugriffssteuerung

Gewähren Sie bedarfsabhängigen Zugriff, indem Sie Segmente für Ihre Ressourcen klar definieren.

Berücksichtigen Sie das Prinzip der geringsten Rechte, wenn Sie Zugriffssteuerungsrichtlinien definieren. Es ist wichtig, zwischen Vorgängen auf Steuerungsebene (Verwaltung der Ressource selbst) und Datenebenenvorgängen (Zugriff auf die von der Ressource gespeicherten Daten) zu unterscheiden. Angenommen, Sie verfügen über eine Workload, die eine Datenbank mit vertraulichen Informationen zu Mitarbeitern enthält. Sie können einigen Benutzern, die Einstellungen wie Datenbanksicherungen konfigurieren müssen, oder Benutzern, die die Leistung des Datenbankservers überwachen, Den Zugriff auf die Verwaltung gewähren. Diese Benutzer sollten jedoch nicht in der Lage sein, die in der Datenbank gespeicherten vertraulichen Daten abzufragen. Wählen Sie Berechtigungen aus, die den Mindestumfang gewähren, der für benutzer zum Ausführen ihrer Aufgaben erforderlich ist. Überprüfen Sie regelmäßig Rollenzuweisungen für jedes Segment, und entfernen Sie den zugriff, der nicht mehr erforderlich ist.

Hinweis

Einige hoch privilegierte Rollen, z. B. die Rolle "Besitzer" in RBAC, geben Benutzern die Möglichkeit, anderen Benutzern Zugriff auf eine Ressource zu gewähren. Beschränken Sie die Anzahl der Benutzer oder Gruppen, denen die Rolle "Besitzer" zugewiesen wird, und überprüfen Sie regelmäßig Überwachungsprotokolle, um sicherzustellen, dass sie nur gültige Vorgänge ausführen.

Checkliste für die Sicherheit

Weitere Informationen finden Sie im vollständigen Satz von Empfehlungen.

Checkliste für die Sicherheit