Freigeben über


Empfehlungen zum Aufbau einer Segmentierungsstrategie

Gilt für die Power Platform Well-Architected Security-Checklisten-Empfehlung:

SE:04 Erstellen Sie gezielte Segmentierungen und Perimeter in Ihrem Architekturdesign und im Footprint der Workload auf der Plattform. Die Segmentierungsstrategie muss Netzwerke, Rollen und Verantwortlichkeiten, Workload-Identitäten sowie die Ressourcenorganisation umfassen.

Eine Segmentierungsstrategie definiert, wie Sie Workloads von anderen Workloads mit ihren eigenen Sicherheitsanforderungen und -maßnahmen trennen.

In dieser Anleitung werden die Empfehlungen zum Aufbau einer einheitlichen Segmentierungsstrategie beschrieben. Durch die Verwendung von Perimetern und Isolationsgrenzen in Workloads können Sie einen Sicherheitsansatz entwickeln, der für Sie funktioniert.

Definitionen

Begriff Definition
Eindämmung Eine Technik zur Eindämmung des Angriffsradius, wenn ein Angreifer Zugriff auf ein Segment erhält.
Mindestrechte für Zugriff Ein Zero-Trust-Prinzip, das darauf abzielt, die Gruppe von Berechtigungen zur Ausführung einer Auftragsfunktion zu minimieren.
Umfang Die Vertrauensgrenze um ein Segment.
Ressourcenorganisation Eine Strategie zum Gruppieren verwandter Ressourcen nach Flows innerhalb eines Segments.
Role Eine Reihe von Berechtigungen, die zum Erfüllen einer Arbeitsfunktion erforderlich sind.
Segment Eine logische Einheit, die von anderen Einheiten isoliert und durch eine Reihe von Sicherheitsmaßnahmen geschützt ist.

Wichtige Designstrategien

Das Konzept der Segmentierung wird häufig für Netzwerke verwendet. Dasselbe zugrunde liegende Prinzip kann jedoch in der gesamten Lösung verwendet werden, einschließlich der Segmentierung von Ressourcen für Verwaltungszwecke und Zugriffskontrolle.

Mithilfe der Segmentierung können Sie einen Sicherheitsansatz entwickeln, der eine umfassende Abwehr basierend auf den Prinzipien des Zero Trust-Modells anwendet. Stellen Sie sicher, dass ein Angreifer, der in ein Segment eindringt, keinen Zugriff auf ein anderes erhält, indem Sie Workloads mit unterschiedlichen Identitätskontrollen segmentieren. In einem sicheren System werden verschiedene Attribute wie Netzwerk und Identität verwendet, um unbefugten Zugriff zu blockieren und die Assets vor der Offenlegung zu verbergen.

Im Folgenden finden Sie einige Beispiele für Segmente:

  • Plattformkontrollen, die Netzwerkgrenzen definieren
  • Umgebungen, die die Workloads einer Organisation isolieren
  • Lösungen, die Workload-Assets isolieren
  • Bereitstellungsumgebungen, die die Bereitstellung stufenweise isolieren
  • Teams und Rollen, die Arbeitsfunktionen im Zusammenhang mit der Entwicklung und Verwaltung von Workloads isolieren
  • Anwendungsebenen, die durch Workload-Dienstprogramme isolieren
  • Microservices, die einen Dienst von einem anderen isolieren

Berücksichtigen Sie diese Schlüsselelemente der Segmentierung, um sicherzustellen, dass Sie eine umfassende Abwehrstrategie entwickeln:

  • Die Grenze oder der Perimeter ist der Eingangs-Edge eines Segments, an dem Sie Sicherheitskontrollen anwenden. Perimeterkontrollen sollten den Zugriff auf das Segment blockieren, sofern dieser nicht ausdrücklich gestattet ist. Das Ziel besteht darin, einen Angreifer daran zu hindern, den Perimeter zu durchbrechen und die Kontrolle über das System zu erlangen. Beispielsweise hat ein Benutzer möglicherweise Zugriff auf eine Umgebung, kann jedoch basierend auf seinen Berechtigungen nur bestimmte Anwendungen in dieser Umgebung starten.

  • Eindämmung ist die Austrittskante eines Segment, die eine seitliche Bewegung im System verhindert. Das Ziel der Eindämmung besteht darin, die Auswirkungen einer Verletzung zu minimieren. Beispielsweise kann ein virtuelles Netzwerk verwendet werden, um Routing- und Netzwerksicherheitsgruppen so zu konfigurieren, dass nur die von Ihnen erwarteten Datenverkehrsmuster zugelassen werden und Datenverkehr zu beliebigen Netzwerksegmenten vermieden wird.

  • Isolation ist das Gruppieren von Entitäten mit ähnlichen Zusicherungen, um sie mit einem Grenze zu schützen zu isolieren. Das Ziel besteht in einer einfachen Verwaltung und der Eindämmung eines Angriffs innerhalb einer Umgebung. Sie können beispielsweise die Ressourcen, die sich auf eine bestimmte Workload beziehen, in einer Power Platform-Umgebung oder -Lösung gruppieren und dann eine Zugriffssteuerung anwenden, sodass nur bestimmte Workload-Teams auf die Umgebung zugreifen können.

Es ist wichtig, den Unterschied zwischen Perimeter und Isolation zu beachten. Mit Perimeter sind die zu überprüfenden Standortpunkte gemeint. Bei Isolation geht es um Gruppierung. Durch die gemeinsame Nutzung dieser Konzepte können Sie einen Angriff aktiv eindämmen.

Isolation bedeutet nicht, Silos in der Organisation zu schaffen. Eine einheitliche Segmentierungsstrategie sorgt für eine Abstimmung zwischen den technischen Teams und legt klare Verantwortungslinien fest. Klarheit verringert das Risiko menschlicher Fehler und Automatisierungsfehler, die zu Sicherheitslücken, Betriebsausfällen oder beidem führen können. Angenommen, in einer Komponente eines komplexen Unternehmenssystems wird eine Sicherheitsverletzung festgestellt. Es ist wichtig, dass jeder versteht, wer für diese Ressource verantwortlich ist, damit die entsprechende Person in das Triage-Team aufgenommen wird. Durch die Erstellung und Dokumentation einer guten Segmentierungsstrategie können die Organisation und die Stakeholder schnell erkennen, wie auf verschiedene Arten von Vorfällen zu reagieren ist.

Kompromiss: Die Segmentierung führt zu Komplexität, da ein Verwaltungsaufwand entsteht.

Risiko: Eine Mikrosegmentierung über ein vernünftiges Maß hinaus geht der Vorteil der Isolation verloren. Wenn Sie zu viele Segmente erstellen, wird es schwierig, Kommunikationspunkte zu identifizieren oder gültige Kommunikationspfade innerhalb des Segments zuzulassen.

Identität als Perimeter

Verschiedene Identitäten wie Personen, Softwarekomponenten oder Geräte greifen auf Workload-Segmente zu. Die Identität ist ein Perimeter, der die primäre Verteidigungslinie zur Authentifizierung und Autorisierung des Zugriffs über Isolationsgrenzen hinweg sein sollte, unabhängig davon, woher die Zugriffsanforderung stammt. Verwenden Sie die Identität für folgende Zwecke als Perimeter:

  • Weisen Sie den Zugriff nach Rolle zu. Identitäten benötigen zum Erfüllen ihrer Aufgabe nur Zugriff auf die Segmente, die sie benötigen. Minimieren Sie den anonymen Zugriff, indem Sie die Rollen und Verantwortlichkeiten der anfordernden Identität verstehen, damit Sie wissen, welche Entität Zugriff auf ein Segment anfordert und zu welchem Zweck.

    Eine Identität kann in unterschiedlichen Segmenten unterschiedliche Zugriffsbereiche haben. Stellen Sie sich eine typische Umgebungskonfiguration mit separaten Segmenten für jede Phase vor. Identitäten, die der Entwicklerrolle zugeordnet sind, haben Lese- und Schreibzugriff auf die Entwicklungsumgebung. Wenn die Bereitstellung in die Staging-Phase übergeht, werden diese Berechtigungen eingeschränkt. Sobald die Workload in die Produktion hochgestuft wird, ist der Spielraum für Entwickler auf schreibgeschützten Zugriff beschränkt.

  • Betrachten Sie Anwendungs- und Verwaltungsidentitäten separat. Bei den meisten Lösungen haben Benutzer eine andere Zugriffsebene als Entwickler oder Betreiber. In einigen Anwendungen verwenden Sie möglicherweise für jeden Identitätstyp unterschiedliche Identitätssysteme oder Verzeichnisse. Erwägen Sie die Erstellung separater Rollen für jede Identität.

  • Weisen Sie Mindestrechte für den Zugriff zu. Wenn der Identität Zugriff gewährt wird, legen Sie die Zugriffsebene fest. Beginnen Sie mit den geringsten Berechtigungen für jedes Segment, und erweitern Sie diesen Umfang nur bei Bedarf.

    Durch die Anwendung der Mindestberechtigungen begrenzen Sie die negativen Auswirkungen, falls die Identität jemals gefährdet wird. Durch eine zeitliche Beschränkung des Zugriffs verringert sich die Angriffsfläche zusätzlich. Der zeitlich begrenzte Zugriff gilt insbesondere für kritische Konten, wie etwa Administratoren oder Softwarekomponenten, deren Identität gefährdet ist.

Kompromiss: Die rollenbasierte Zugriffskontrolle (RBAC) führt zu Verwaltungsaufwand. Das Nachverfolgen von Identitäten und ihren Zugriffsbereichen kann bei Rollenzuweisungen komplex werden. Erwägen Sie die Zuweisung von Rollen an Sicherheitsgruppen statt an einzelne Identitäten.

Risiko: Identitätseinstellungen können komplex sein. Fehlkonfigurationen können die Zuverlässigkeit der Workload beeinträchtigen. Angenommen, es liegt eine falsch konfigurierte Rollenzuweisung vor, die den Zugriff auf eine Datenbank verweigert. Die Anforderungen schlagen fehl und verursachen schließlich Zuverlässigkeitsprobleme, die andernfalls erst zur Laufzeit erkannt werden können.

Weitere Informationen zu Identitätssteuerungen finden Sie unter Empfehlungen für die Identitäts- und Zugriffsverwaltung.

Im Gegensatz zu Netzwerkzugriffssteuerungen validiert die Identität die Zugriffssteuerung zum Zeitpunkt des Zugriffs. Es wird dringend empfohlen, regelmäßige Zugriffsüberprüfungen durchzuführen und einen Genehmigungsworkflow anzufordern, um Berechtigungen für Konten mit kritischer Auswirkung zu erhalten.

Vernetzung als Perimeter

Identitätsperimeter sind netzwerkagnostisch, während Netzwerkperimeter die Identität erweitern, aber nie ersetzen. Netzwerkperimeter werden eingerichtet, um den Angriffsradius zu kontrollieren, unerwartete, verbotene und unsichere Zugriffe zu blockieren und Workload-Ressourcen zu verschleiern.

Obwohl der Hauptfokus des Identitätsperimeters auf dem Prinzip der geringsten Berechtigung liegt, sollten Sie bei der Gestaltung des Netzwerkperimeters davon ausgehen, dass es zu einer Sicherheitsverletzung kommen wird.

Erstellen Sie mithilfe von Power Platform und Azure-Diensten und -Funktionen softwaredefinierte Perimeter in Ihrem Netzwerk-Footprint. Wenn eine Workload (oder Teile einer bestimmten Workload) in separate Segmente aufgeteilt wird, steuern Sie den Datenverkehr von oder zu diesen Segmenten, um Kommunikationspfade zu sichern. Wenn ein Segment gefährdet wird, wird die Gefahr eingedämmt und eine seitliche Ausbreitung im restlichen Netzwerk verhindert.

Denken Sie wie ein Angreifer, um innerhalb der Workload Fuß zu fassen, und richten Sie Kontrollen ein, um eine weitere Ausweitung zu minimieren. Die Kontrollen sollten Angreifer erkennen, eindämmen und daran hindern, auf die gesamte Workload zuzugreifen. Hier sind einige Beispiele für Netzwerkkontrollen als Perimeter:

  • Definieren Sie Ihren Edge-Perimeter zwischen öffentlichen Netzwerken und dem Netzwerk, in dem Ihre Workload platziert ist. Beschränken Sie die Sichtverbindung von öffentlichen Netzwerken zu Ihrem Netzwerk so weit wie möglich.
  • Setzen Sie Grenzen auf der Grundlage Ihrer Absicht. Segmentieren Sie beispielsweise die Workload funktionaler Netzwerke von operativen Netzwerken.

Risiko: Die Netzwerkkontrollen sind regelbasiert und es besteht eine erhebliche Wahrscheinlichkeit einer Fehlkonfiguration, die ein Zuverlässigkeitsrisiko darstellt.

Rollen und Verantwortlichkeiten

Durch die klare Definition der Verantwortungsbereiche innerhalb eines Workload-Teams wird eine Segmentierung erreicht, die Verwirrungen und Sicherheitsrisiken vorbeugt.

Dokumentieren und teilen Sie Rollen und Funktionen, um Konsistenz zu schaffen und die Kommunikation zu erleichtern. Bestimmen Sie Gruppen oder einzelne Rollen, die für Schlüsselfunktionen verantwortlich sind. Berücksichtigen Sie die integrierten Rollen in Power Platform, bevor Sie benutzerdefinierte Rollen für Objekte erstellen.

Achten Sie bei der Zuweisung von Berechtigungen für ein Segment auf Konsistenz, und berücksichtigen Sie gleichzeitig mehrere Organisationsmodelle. Diese Modelle können von einer einzigen zentralisierten IT-Gruppe bis hin zu weitgehend unabhängigen IT- und DevOps-Teams reichen.

Risiko: Die Mitgliedschaft in Gruppen kann sich im Laufe der Zeit ändern, wenn Mitarbeiter Teams beitreten oder diese verlassen oder ihre Rollen wechseln. Die segmentübergreifende Verwaltung von Rollen kann zu einem Verwaltungsaufwand führen.

Ressourcenorganisation

Durch die Segmentierung können Sie Workload-Ressourcen von anderen Teilen der Organisation oder sogar innerhalb des Teams isolieren. Power Platform-Konstrukte wie Umgebungen und Lösungen sind Möglichkeiten zur Organisation Ihrer Ressourcen, die die Segmentierung fördern.

Umsetzung in Power Platform

Die folgenden Abschnitte beschreiben Power Platform-Funktionen und -Fähigkeiten, die Sie zum Implementieren einer Segmentierungsstrategie verwenden können.

Identität

Alle Power Platform-Produkte verwenden Microsoft Entra ID (zuvor Azure Active Directory oder Azure AD) für die Identitäts- und Zugriffsverwaltung. Sie können integrierte Sicherheitsrollen, bedingten Zugriff, Privileged Identity Management in Entra ID verwenden, um Ihre Identitätsperimeter zu definieren.

Zur Bündelung von Berechtigungen in einer Sammlung basiert die Sicherheit in Microsoft Dataverse auf Rollen. Diese Sicherheitsrollen können entweder direkt einzelnen Benutzern oder Teams und Konzernmandanten von Dataverse zugewiesen werden. Weitere Informationen finden Sie unter Sicherheitskonzepte in Microsoft Dataverse.

Netzwerk

Mit der Azure Virtual Network-Unterstützung für Power Platform können Sie Power Platform in Ressourcen in Ihrem virtuellen Netzwerk integrieren, wobei diese nicht über das öffentliche Internet verfügbar gemacht werden müssen. Die Virtual Network-Unterstützung nutzt die Azure-Subnetzdelegierung, um den ausgehenden Datenverkehr zur Runtime von Power Platform zu verwalten. Durch die Verwendung einer Stellvertretung entfällt die Notwendigkeit, dass geschützte Ressourcen zur Integration in Power Platform über das Internet übertragen werden müssen. Virtuelle Netzwerk-, Dataverse- und Power Platform-Komponenten können Ressourcen, die Ihrem Unternehmen gehören, innerhalb Ihres Netzwerks aufrufen, unabhängig davon, ob sie in Azure oder lokal gehostet werden, und Plug-Ins und Konnektoren verwenden, um ausgehende Anrufe tätigen. Weitere Informationen finden Sie unter Unterstützung für virtuelle Netzwerke – Power Platform-Übersicht.

Eine IP-Firewall für Power Platform Umgebungen hilft beim schützen Ihrer Daten, indem sie den Benutzerzugriff auf Dataverse nur von zulässigen IP-Standorten aus beschränkt.

Microsoft Azure ExpressRoute bietet eine erweiterte Möglichkeit, Ihr Verbinden-Netzwerk mithilfe privater Konnektivität mit Microsoft Cloud-Diensten zu verbinden. Eine einzelne ExpressRoute-Verbindung kann für den Zugriff auf mehrere Onlinedienste verwendet werden, z. B. Microsoft Power Platform, Dynamics 365, Microsoft 365 und Azure.

Sicherheitscheckliste

Lesen Sie die vollständigen Empfehlungen.