Recommandations pour établir une stratégie de segmentation
S’applique à cette recommandation de liste de contrôle Sécurité Power Platform Well-Architected :
| SE:04 | Créez une segmentation et des périmètres intentionnels dans la conception de votre architecture et dans l’empreinte de la charge de travail sur la plateforme. La stratégie de segmentation doit inclure les réseaux, les rôles et responsabilités, les identités de la charge de travail et l’organisation des ressources. |
|---|
Une stratégie de segmentation définit la manière dont vous séparez les charges de travail des autres charges de travail avec leur propre ensemble d’exigences et de mesures de sécurité.
Ce guide décrit les recommandations permettant d’élaborer une stratégie de segmentation unifiée. En utilisant des périmètres et des limites d’isolement dans les charges de travail, vous pouvez concevoir une approche de sécurité qui vous convient.
Définitions
| Terme | Définition |
|---|---|
| Confinement | Une technique pour contenir le rayon d’explosion si un attaquant accède à un segment. |
| Dernier privilège d’accès | Principe de confiance zéro qui vise à réduire un ensemble d’autorisations pour accomplir une fonction. |
| Périmètre | La limite de confiance autour d’un segment. |
| Organisation de la ressource | Une stratégie pour regrouper les ressources associées par flux au sein d’un segment. |
| Role | Un ensemble d’autorisations nécessaires pour accomplir une fonction professionnelle. |
| Segment | Une unité logique isolée des autres entités et protégée par un ensemble de mesures de sécurité. |
Stratégies de conception clés
Le concept de segmentation est couramment utilisé pour les réseaux. Cependant, le même principe sous-jacent peut être utilisé dans toute une solution, notamment la segmentation des ressources à des fins de gestion et de contrôle d’accès.
La segmentation vous aide à concevoir une approche de sécurité qui applique une défense en profondeur basée sur les principes du modèle Zero Trust. Assurez-vous qu’un attaquant qui viole un segment ne peut pas accéder à un autre en segmentant les charges de travail avec différents contrôles d’identité. Dans un système sécurisé, différents attributs, tels que le réseau et l’identité, sont utilisés pour bloquer les accès non autorisés et empêcher l’exposition des actifs.
Voici quelques exemples de segments :
- Contrôles de plateforme qui définissent les limites du réseau
- Environnements qui isolent les charges de travail d’une organisation
- Solutions qui isolent les actifs de la charge de travail
- Environnements de déploiement qui isolent le déploiement par étapes
- Équipes et rôles qui isolent les fonctions liées au développement et à la gestion de la charge de travail
- Niveaux d’application isolés par utilitaire de charge de travail
- Microservices qui isolent un service d’un autre
Tenez compte de ces éléments clés de segmentation pour vous assurer que vous élaborez une stratégie complète de défense en profondeur :
La limite ou périmètre est le bord d’entrée d’un segment auquel vous appliquez des contrôles de sécurité. Les contrôles de périmètre doivent bloquer l’accès au segment, sauf autorisation explicite. L’objectif consiste à empêcher un attaquant de franchir le périmètre et de prendre le contrôle du système. Par exemple, un utilisateur peut avoir accès à un environnement, mais ne peut lancer que des applications spécifiques dans cet environnement en fonction de ses autorisations.
Le confinement est le bord de sortie d’un segment qui empêche tout mouvement latéral dans le système. L’objectif du confinement vise à limiter l’effet d’une brèche. Par exemple, un réseau virtuel peut être utilisé pour configurer des groupes de routage et de sécurité réseau afin d’autoriser uniquement les modèles de trafic que vous attendez, évitant ainsi le trafic vers des segments de réseau arbitraires.
L’isolement est la pratique consistant à regrouper des entités bénéficiant d’assurances similaires pour les protéger avec une frontière. L’objectif est la facilité de gestion et le confinement d’une attaque au sein d’un environnement. Par exemple, vous pouvez regrouper les ressources liées à une charge de travail spécifique dans un environnement ou une solution Power Platform, puis appliquer un contrôle d’accès afin que seules les équipes de charge de travail spécifiques puissent accéder à l’environnement.
Il est important de noter la distinction entre périmètres et isolement. Le périmètre fait référence aux points de localisation qui doivent être vérifiés. L’isolement est une question de regroupement. Contenir activement une attaque en utilisant ces concepts ensemble.
L’isolement ne signifie pas créer des silos au sein de l’organisation. Une stratégie de segmentation unifiée assure l’alignement entre les équipes techniques et définit des lignes de responsabilité claires. Clarity réduit le risque d’erreur humaine et de défaillances d’automatisation pouvant entraîner des vulnérabilités de sécurité, des temps d’arrêt opérationnels, ou les deux. Supposons qu’une faille de sécurité soit détectée dans un composant d’un système d’entreprise complexe. Il est important que chacun comprenne qui est responsable de cette ressource afin que la personne appropriée soit incluse dans l’équipe de triage. L’organisation et les parties prenantes peuvent rapidement identifier comment répondre à différents types d’incidents en créant et en documentant une bonne stratégie de segmentation.
Compromis : la segmentation introduit la complexité, car cela implique des frais de gestion.
Risque : la micro-segmentation au-delà d’une limite raisonnable perd l’avantage de l’isolement. Lorsque vous créez trop de segments, il devient difficile d’identifier les points de communication ou d’autoriser des chemins de communication valides au sein du segment.
L’identité comme périmètre
Diverses identités telles que des personnes, des composants logiciels ou des appareils accèdent aux segments de charge de travail. L’identité est un périmètre qui doit constituer la principale ligne de défense pour authentifier et autoriser l’accès au-delà des limites d’isolement, quelle que soit l’origine de la demande d’accès. Utilisez l’identité comme périmètre pour :
Attribuer l’accès par rôle. Les identités n’ont besoin que d’accéder aux segments nécessaires pour faire leur travail. Limitez l’accès anonyme en comprenant les rôles et les responsabilités de l’identité demandeuse afin de connaître l’entité qui demande l’accès à un segment et dans quel but.
Une identité peut avoir différentes étendues d’accès dans différents segments. Considérez une configuration d’environnement typique, avec des segments distincts pour chaque étape. Les identités associées au rôle de développeur disposent d’un accès en lecture-écriture à l’environnement de développement. À mesure que le déploiement passe à la phase intermédiaire, ces autorisations sont limitées. Au moment où la charge de travail est promue en production, la portée des développeurs est réduite à un accès en lecture seule.
Considérez séparément les identités d’application et de gestion. Dans la plupart des solutions, les utilisateurs disposent d’un niveau d’accès différent de celui des développeurs ou des opérateurs. Dans certaines applications, vous pouvez utiliser différents systèmes d’identité ou répertoires pour chaque type d’identité. Pensez à créer des rôles distincts pour chaque identité.
Attribuez le dernier privilège d’accès. Si l’identité est autorisée à accéder, déterminez le niveau d’accès. Commencez par le dernier privilège pour chaque segment et élargissez cette portée uniquement lorsque cela est nécessaire.
En appliquant le moindre privilège, vous limitez les effets négatifs si jamais l’identité est compromise. Si l’accès est limité dans le temps, la surface d’attaque est encore réduite. L’accès limité dans le temps s’applique particulièrement aux comptes critiques, tels que les administrateurs ou les composants logiciels dont l’identité est compromise.
Pour plus d’informations sur les contrôles d’identité, voir Recommandations pour la gestion des identités et des accès.
Contrairement aux contrôles d’accès au réseau, l’identité valide le contrôle d’accès au moment de l’accès. Il est fortement recommandé d’effectuer un examen régulier des accès et d’exiger un flux de travail d’approbation pour obtenir des privilèges pour les comptes à impact critique.
La mise en réseau comme périmètre
Les périmètres d’identité sont indépendants du réseau, tandis que les périmètres de réseau augmentent l’identité, mais ne la remplacent jamais. Des périmètres de réseau sont établis pour contrôler le rayon d’explosion, bloquer les accès inattendus, interdits et dangereux et masquer les ressources de la charge de travail.
Même si le périmètre d’identité se concentre principalement sur le dernier privilège, vous devez partir du principe qu’il y aura une violation lors de la conception du périmètre réseau.
Créez des périmètres définis par logiciel dans votre empreinte réseau à l’aide des services et fonctionnalités de Power Platform et Azure. Lorsqu’une charge de travail (ou des parties d’une charge de travail donnée) est placée dans des segments distincts, vous contrôlez le trafic depuis ou vers ces segments pour sécuriser les chemins de communication. Si un segment est compromis, il est confiné et empêché de se propager latéralement au reste de votre réseau.
Pensez comme un attaquant pour s’implanter dans la charge de travail et établir des contrôles pour limiter toute expansion ultérieure. Les contrôles doivent détecter, contenir et empêcher les attaquants d’accéder à l’ensemble de la charge de travail. Voici quelques exemples de contrôles réseau en tant que périmètre :
- Définissez votre périmètre périphérique entre les réseaux publics et le réseau où est placée votre charge de travail. Limitez autant que possible la visibilité directe des réseaux publics sur votre réseau.
- Créez des limites basées sur l’intention. Par exemple, segmentez les réseaux fonctionnels de charge de travail des réseaux opérationnels.
Rôles et responsabilités
Une segmentation qui évite la confusion et les risques de sécurité est obtenue en définissant clairement les lignes de responsabilité au sein d’une équipe chargée de la charge de travail.
Documentez et partagez les rôles et fonctions pour créer de la cohérence et faciliter la communication. Désignez des groupes ou des rôles individuels responsables des fonctions clés. Tenez compte des rôles intégrés dans Power Platform avant de créer des rôles personnalisés pour les objets.
Pensez à la cohérence tout en prenant en compte plusieurs modèles organisationnels lors de l’attribution d’autorisations pour un segment. Ces modèles peuvent aller d’un seul groupe informatique centralisé à des équipes informatiques et DevOps principalement indépendantes.
Organisation de la ressource
La segmentation vous permet d’isoler les ressources de charge de travail des autres parties de l’organisation ou même au sein de l’équipe. Les constructions Power Platform, telles que les environnements et les solutions, sont des moyens d’organiser vos ressources qui favorisent la segmentation.
Facilitation de Power Platform
Les sections suivantes décrivent les fonctionnalités Power Platform que vous pouvez utiliser pour mettre en œuvre une stratégie de segmentation.
Identité
Tous Power Platform utilisation des produits Microsoft Entra ID (anciennement Azure Active Directory ou Azure AD) pour la gestion des identités et des accès. Vous pouvez utiliser les rôles de sécurité intégrés, l’accès conditionnel, la gestion des identités privilégiées et la gestion des accès de groupe dans Entra ID pour définir vos périmètres d’identité.
Microsoft Dataverse utilise la sécurité basée sur les rôles pour regrouper une collection de privilèges. Ces rôles de sécurité peuvent être associés directement à des utilisateurs individuels, ou être associés à des unités commerciales et des équipes Dataverse. Pour en savoir plus, consultez Concepts de sécurité dans Microsoft Dataverse.
Mise en réseau
Avec la prise en charge du réseau virtuel Azure pour Power Platform, vous pouvez intégrer Power Platform aux ressources au sein de votre réseau virtuel sans les exposer sur l’Internet public. La prise en charge du réseau virtuel utilise la délégation du sous-réseau Azure pour gérer le trafic sortant de Power Platform au moment de l’exécution. L’utilisation d’un délégué élimine la nécessité pour les ressources protégées de passer par Internet pour s’intégrer à Power Platform. Les composants du réseau virtuel, de Dataverse et de Power Platform peuvent appeler des ressources appartenant à votre entreprise au sein de votre réseau, qu’elles soient hébergées dans Azure ou en local, et utiliser des plug-ins et des connecteurs pour passer des appels sortants. Pour plus d’informations, consultez la prise en charge des réseaux virtuels pour la vue d’ensemble Power Platform.
Le pare-feu IP pour les environnements Power Platform aide à protéger vos données en limitant l’accès des utilisateurs Dataverse à partir des seuls emplacements IP autorisés.
Microsoft Azure ExpressRoute fournit un moyen avancé de connecter votre réseau local à des services de cloud computing Microsoft en utilisant une connectivité privée. Une seule connexion ExpressRoute peut être utilisée pour accéder à plusieurs services en ligne, par exemple, Microsoft Power Platform, Dynamics 365, Microsoft 365 et Azure.
Liste de contrôle de sécurité
Référez-vous à l’ensemble complet des recommandations.
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour