Märkus.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida sisse logida või kausta vahetada.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida kausta vahetada.
Kehtib hästi läbimõeldud turvalisuse kontrollnimekirja soovituse kohta: Power Platform
| SE:04 | Loo oma arhitektuurilises disainis ja töökoormuse platvormil nähtavas kohas teadlik segmenteerimine ja perimeetrid. Segmenteerimisstrateegia peab sisaldama võrke, rolle ja kohustusi, töökoormuse identiteete ja ressursside korraldust. |
|---|
Segmenteerimisstrateegia määratleb, kuidas eraldate töökoormused teistest töökoormustest, millel on oma turvanõuete ja -meetmete komplekt.
See juhend kirjeldab ühtse segmenteerimisstrateegia loomise soovitusi . Töökoormuste perimeetrite ja isolatsioonipiiride abil saate kujundada endale sobiva turvastrateegia.
Definitsioonid
| Mõiste | Määratlus |
|---|---|
| Ohutuspiirang | Tehnika plahvatusraadiuse piiramiseks, kui ründaja pääseb segmendile ligi. |
| Vähima privileegiga juurdepääs | Nullusalduspõhimõte, mille eesmärk on minimeerida tööülesannete täitmiseks vajalike õiguste hulka. |
| Perimeeter | Usalduspiir segmendi ümber. |
| Ressursside korraldus | Strateegia seotud ressursside rühmitamiseks segmendi sees voogude kaupa. |
| Role | Tööfunktsiooni täitmiseks vajalike õiguste kogum. |
| Segment | Loogiline üksus, mis on teistest üksustest isoleeritud ja mida kaitseb turvameetmete kogum. |
Peamised disainistrateegiad
Segmenteerimise mõistet kasutatakse võrkude puhul tavaliselt. Sama aluspõhimõtet saab aga kasutada kogu lahenduses, sealhulgas ressursside segmenteerimisel halduseesmärkidel ja juurdepääsu kontrollimisel.
Segmenteerimine aitab teil kujundada turvastrateegiat, mis rakendab sügavuti kaitset null-usaldusmudeli põhimõtete alusel. Tagamaks, et ründaja, kes rikub ühte segmenti, ei pääse ligi teisele, segmenteerides töökoormusi erinevate identiteedikontrollidega. Turvalises süsteemis kasutatakse volitamata juurdepääsu blokeerimiseks ja varade paljastamise eest varjamiseks erinevaid atribuute, näiteks võrku ja identiteeti.
Siin on mõned näited segmentidest:
- Platvormi juhtelemendid, mis määratlevad võrgu piirid
- Keskkonnad, mis isoleerivad organisatsiooni töökoormusi
- Lahendused, mis isoleerivad töökoormuse ressursse
- Juurutuskeskkonnad, mis eraldavad juurutamise etappide kaupa
- Meeskonnad ja rollid, mis eraldavad töökoormuse arendamise ja haldamisega seotud tööülesanded
- Rakenduse astmed, mis isoleerivad töökoormuse utiliidi järgi
- Mikroteenused, mis isoleerivad ühe teenuse teisest
Põhjaliku ja põhjaliku kaitsestrateegia loomiseks kaaluge segmenteerimise järgmisi põhielemente:
Piir ehk perimeeter on segmendi sisenemisserv, kus rakendate turvameetmeid. Perimeetrikontrollid peaksid segmendile juurdepääsu blokeerima, kui see pole selgesõnaliselt lubatud. Eesmärk on takistada ründajal perimeetrist läbi murda ja süsteemi üle kontrolli saavutada. Näiteks võib kasutajal olla juurdepääs keskkonnale, kuid ta saab selles keskkonnas oma õiguste alusel käivitada ainult teatud rakendusi.
Ohutuspiirang on segmendi väljumisserv, mis takistab süsteemi külgmist liikumist. Ohjeldamise eesmärk on minimeerida rikkumise mõju. Näiteks saab virtuaalset võrku kasutada marsruutimise ja võrgu turbegruppide konfigureerimiseks nii, et need lubaksid ainult eeldatavaid liiklusmustreid, vältides liiklust suvalistele võrgusegmentidele.
Isoleerimine on sarnaste tagatistega üksuste rühmitamine, et neid piiriga kaitsta. Eesmärk on haldamise lihtsus ja rünnaku ohjeldamine keskkonnas. Näiteks võite grupeerida konkreetse töökoormusega seotud ressursid ühte keskkonda või lahendusse ja seejärel rakendada juurdepääsu kontrolli nii, et keskkonnale pääseksid juurde ainult kindlad töökoormuse meeskonnad. Power Platform
Oluline on märkida perimeetrite ja isolatsiooni erinevust. Perimeeter viitab punktidele, mida tuleks kontrollida. Isolatsioon seisneb grupeerumises. Rünnaku aktiivseks ohjeldamiseks kasutage neid kontseptsioone koos.
Isolatsioon ei tähenda organisatsioonis silode loomist. Ühtne segmenteerimisstrateegia tagab tehniliste meeskondade vahelise kooskõla ja seab selged vastutuspiirid. Selgus vähendab inimlike vigade ja automatiseerimise tõrgete riski, mis võivad põhjustada turvaauke, tegevuse seisakuid või mõlemat. Oletame, et keeruka ettevõtte süsteemi komponendis tuvastatakse turvarikkumine. On oluline, et kõik mõistaksid, kes selle ressursi eest vastutab, et triaažimeeskonda kaasataks sobiv inimene. Organisatsioon ja sidusrühmad saavad hea segmenteerimisstrateegia loomise ja dokumenteerimise abil kiiresti kindlaks teha, kuidas erinevat tüüpi intsidentidele reageerida.
Kompromiss: Segmenteerimine tekitab keerukust, kuna halduses on lisakulusid.
Risk: Mõistlikust piirist suurem mikrosegmentatsioon kaotab isolatsiooni eelise. Liiga paljude segmentide loomisel muutub keeruliseks sidepunktide tuvastamine või segmendi sees kehtivate sideteede lubamine.
Identiteet kui perimeeter
Töökoormuse segmentidele pääsevad juurde mitmesugused identiteedid, näiteks inimesed, tarkvarakomponendid või seadmed. Identiteet on piir, mis peaks olema peamine kaitseliin autentida ja autoriseerida juurdepääsu üle isolatsioonipiiride olenemata sellest, kust juurdepääsutaotlus pärineb. Kasutage identiteeti perimeetrina, et:
Juurdepääsu määramine rolli järgi. Identiteedid vajavad juurdepääsu ainult nendele segmentidele, mis on nende töö tegemiseks vajalikud. Minimeerige anonüümset juurdepääsu, mõistes taotleva identiteedi rolle ja kohustusi, et teaksite, milline üksus taotleb juurdepääsu segmendile ja mis eesmärgil.
Identiteedil võivad eri segmentides olla erinevad juurdepääsuulatused. Vaatleme tüüpilist keskkonna ülesehitust, kus iga etapi jaoks on eraldi segmendid. Arendajarolliga seotud identiteetidel on arenduskeskkonnale lugemis- ja kirjutamisõigus. Juurutuse etapiviisilisele faasile üleminekul piiratakse neid õigusi. Selleks ajaks, kui töökoormus tootmiskeskkonda viiakse, on arendajate juurdepääs piiratud kirjutuskaitstud juurdepääsuga.
Vaatleme rakenduse ja halduse identiteete eraldi. Enamikus lahendustes on kasutajatel erinev juurdepääsutase kui arendajatel või operaatoritel. Mõnes rakenduses võidakse iga identiteeditüübi jaoks kasutada erinevaid identiteedisüsteeme või katalooge. Kaalu iga identiteedi jaoks eraldi rollide loomist.
Määrake vähimõigustega juurdepääs. Kui identiteedile on juurdepääs lubatud, määrake juurdepääsutase. Alusta iga segmendi puhul vähima privileegiga ja laienda seda ulatust ainult vajadusel.
Väikseima privileegi rakendamisega piirate negatiivseid mõjusid, kui identiteet peaks kunagi ohtu sattuma. Kui ligipääs on ajaliselt piiratud, väheneb rünnakupind veelgi. Ajaliselt piiratud juurdepääs kehtib eriti kriitiliste kontode, näiteks administraatorite või tarkvarakomponentide kohta, mille identiteet on ohustatud.
Identiteedikontrollide kohta leiate teavet jaotisest Identiteedi- ja juurdepääsuhalduse soovitused.
Erinevalt võrgule juurdepääsu kontrollist valideerib identiteet juurdepääsu kontrolli juurdepääsu ajal. Kriitiliste mõjukontode õiguste saamiseks on tungivalt soovitatav regulaarselt juurdepääsu üle vaadata ja nõuda kinnituse töövoogu.
Võrgustiku loomine perimeetrina
Identiteediperimeetrid on võrgust sõltumatud, samas kui võrguperimeetrid küll täiendavad identiteeti, kuid ei asenda seda kunagi. Võrgu perimeetrid luuakse plahvatusraadiuse kontrollimiseks, ootamatu, keelatud ja ohtliku juurdepääsu blokeerimiseks ning töökoormuse ressursside hägustamiseks.
Kuigi identiteediperimeetri peamine eesmärk on minimaalsete õiguste saavutamine, peaksite võrguperimeetri kujundamisel eeldama, et toimub rikkumine.
Looge oma võrgu jalajäljes tarkvaraliselt määratletud perimeetreid, kasutades Power Platform ja Azure’i teenuseid ja funktsioone. Kui töökoormus (või selle osad) paigutatakse eraldi segmentidesse, kontrollite nendest segmentidest lähtuvat või nendesse segmentidesse suunduvat liiklust, et turvata sideteid. Kui segment on ohustatud, siis see on piiratud ja takistatud on selle levik ülejäänud võrgus.
Mõtle nagu ründaja, et töökoormuses jalgealust saada ja kehtestada kontrollid edasise laienemise minimeerimiseks. Kontrollid peaksid tuvastama, ohjeldama ja takistama ründajatel juurdepääsu kogu töökoormusele. Siin on mõned näited võrgukontrollist perimeetrina:
- Määrake oma serva perimeeter avalike võrkude ja võrgu vahel, kuhu teie töökoormus paigutatakse. Piirake avalike võrkude ja teie võrgu vahelist nähtavust nii palju kui võimalik.
- Loo piirid kavatsuse põhjal. Näiteks segmenteerige töökoormuse funktsionaalsed võrgud operatiivvõrkudest.
Rollid ja vastutusalad
Segadust ja turvariske ennetav segmenteerimine saavutatakse töökoormuse meeskonnas vastutusalade selge määratlemisega.
Dokumenteerige ja jagage rolle ja funktsioone, et luua järjepidevus ja hõlbustada suhtlust. Määrake rühmad või individuaalsed rollid, kes vastutavad põhifunktsioonide eest. Enne objektide kohandatud rollide loomist arvestage sisseehitatud rollidega jaotises Power Platform .
Segmendi õiguste määramisel arvestage järjepidevusega, arvestades samal ajal mitme organisatsioonilise mudeliga. Need mudelid võivad ulatuda ühest tsentraliseeritud IT-rühmast kuni enamasti sõltumatute IT- ja DevOps-meeskondadeni.
Ressursside korraldus
Segmenteerimine võimaldab teil isoleerida töökoormuse ressursid organisatsiooni teistest osadest või isegi meeskonna seest. Power Platform Konstruktsioonid, näiteks keskkonnad ja lahendused, on viisid ressursside korraldamiseks, mis soodustavad segmenteerimist.
Näide
Vaadake üle võrdlusarhitektuur, kuidas kaitsta Power Platformi juurdepääsu oma virtuaalvõrgu ressurssidele. Selles artiklis on esitatud näidisstsenaarium ja üldistatud näidisarhitektuur, mis illustreerib, kuidas kaitsta Power Platform juurdepääsu Azure’i ressurssidele Azure’i virtuaalvõrgu abil.
Power Platform hõlbustamine
Järgmistes osades kirjeldatakse funktsioone ja võimalusi, mida saate segmenteerimisstrateegia rakendamiseks kasutada. Power Platform
Tunnus
Kõik Power Platform tooted kasutavad Microsoft Entra ID-d (varem Azure Active Directory või Azure AD) identiteedi ja juurdepääsu haldamiseks. Entra ID-s saate oma identiteedipiiride määratlemiseks kasutada sisseehitatud turberolle, tingimuslikku juurdepääsu, privilegeeritud identiteedihaldust ja rühma juurdepääsuhaldust.
Microsoft Dataverse kasutab rollipõhist turvalisust õiguste kogumi rühmitamiseks. Neid turberolle saab seostada otse kasutajatega või Dataverse'i meeskondade ja äriüksustega. Lisateabe saamiseks vaadake jaotist Turvakontseptsioonid jaotises Microsoft Dataverse.
Võrgundus
Azure’i virtuaalvõrgu toega Power Platform saate integreeruda Power Platform oma virtuaalvõrgu ressurssidega ilma neid avaliku interneti kaudu avaldamata. Virtuaalvõrgu tugi kasutab Azure’i alamvõrgu delegeerimist väljamineva liikluse haldamiseks ``käitusajal``. Power Platform Delegaadi kasutamine välistab vajaduse kaitstud ressursside üle interneti reisimiseks, et neid Power Platform-ga integreerida. Virtuaalvõrk Dataverseja Power Platform komponendid saavad helistada teie ettevõtte omanduses olevatele ressurssidele teie võrgus, olenemata sellest, kas need on majutatud Azure’is või kohapeal, ning kasutada väljaminevate kõnede tegemiseks lisandmooduleid ja konnektoreid. Lisateabe saamiseks vaadake Virtuaalvõrkude toe ülevaadet Power Platform .
IP-tulemüür keskkondadele Power Platform aitab kaitsta teie andmeid, piirates kasutajate juurdepääsu Dataverse ainult lubatud IP-asukohtadele.
Microsoft Azure ExpressRoute pakub täiustatud viisi oma kohapealse võrgu ühendamiseks Microsofti pilveteenustega privaatse ühenduse abil. Ühe ExpressRoute’i ühenduse kaudu saab ligi pääseda mitmele võrguteenusele, näiteks Microsoft Power Platform, Dynamics 365, Microsoft 365 ja Azure.
Seotud teave
Turvakontroll-leht
Vaadake kõiki soovitusi.