שתף באמצעות

המלצות לבניית אסטרטגיית חלוקה למקטעים

  • מאמר

חל על ההמלצה של Power Platform אבטחה מתוכננת היטב:

SE:04 יש ליצור חלוקה למקטעים והיקפים מכוונים בתכנון הארכיטקטורה ובטביעת הרגל של עומס העבודה על הפלטפורמה. אסטרטגיית הפילוח חייבת לכלול רשתות, תפקידים ואחריות, זהויות עומס עבודה וארגון משאבים.

אסטרטגיית חלוקה למקטעים מגדירה כיצד מפרידים עומסי עבודה מעומסי עבודה אחרים עם ערכת דרישות ואמצעי אבטחה משלהם.

מדריך זה מתאר את ההמלצות לבניית אסטרטגיה מאוחדת לחלוקה למקטעים. באמצעות היקפים וגבולות בידוד בעומסי עבודה, אפשר לעצב גישת אבטחה שמתאימה לכם.

הגדרות

מונח הגדרה
הכלה טכניקה להכיל את רדיוס הפגיעה אם תוקף מקבל גישה למקטע.
גישה עם הרשאות מינימליות עיקרון אפס אמון שמטרתו למזער קבוצה של הרשאות להשלמת פונקציית עבודה.
היקף גבול האמון סביב מקטע.
ארגון משאבים אסטרטגיה לקיבוץ משאבים קשורים לפי זרימות בתוך מקטע.
תפקיד קבוצה של הרשאות הדרושות להשלמת פונקציית עבודה.
פלח שוק יחידה לוגית מבודדת מישויות אחרות ומוגנת על-ידי מערכת של אמצעי אבטחה.

אסטרטגיות מרכזיות בתכנון

המושג חלוקה למקטעים נפוץ ברשתות. עם זאת, ניתן להשתמש באותו עיקרון בסיסי בכל פתרון, כולל חלוקה למקטעים של משאבים למטרות ניהול ובקרת גישה.

חלוקה למקטעים עוזרת לעצב גישת אבטחה המיישמת הגנה לעומק על בסיס העקרונות של מודל 'אפס אמון'. ודאו שתוקף שפורץ למקטע אחד לא יכול לקבל גישה לאחר על-ידי חלוקה למקטעים של עומסי עבודה עם בקרות זהות שונות. במערכת מאובטחת, נעשה שימוש בתכונות שונות, כגון רשת וזהות, כדי לחסום גישה לא מורשית ולהסתיר את הנכסים מחשיפה.

הנה מספר דוגמאות למקטעים:

  • בקרות פלטפורמה המגדירים את גבולות הרשת
  • סביבות המבודדות עומסי עבודה של ארגון
  • פתרונות המבודדים נכסי עומס עבודה
  • סביבות פריסה המבודדות את הפריסה לפי שלבים
  • צוותים ותפקידים המבודדים פונקציות עבודה הקשורות לפיתוח וניהול עומסי עבודה
  • שכבות אפליקציה המבודדות לפי כלי העזר של עומס עבודה
  • מיקרו-שירותים המבודדים שירות אחד מחברו

הביאו בחשבון את מרכיבי המפתח האלה של חלוקה למקטעים כדי לוודא שאתם בונים אסטרטגיית הגנה מקיפה לעומק:

  • גבול או היקף הוא קצה הכניסה של מקטע שבו מחילים בקרות אבטחה. בקרות היקפיות צריכות לחסום את הגישה למקטע אלא אם כן היא הותרה במפורש. המטרה היא למנוע מתוקף לפרוץ את הגבול ולהשיג שליטה על המערכת. לדוגמה, למשתמש עשויה להיות גישה לסביבה אך הוא יכול להפעיל רק יישומים ספציפיים בסביבה זו בהתבסס על ההרשאות שבידו.

  • Containment הוא קצה היציאה של קטע המונע תנועה צידית במערכת. מטרת ההכלה היא למזער את ההשפעה של הפרה. לדוגמה, רשת וירטואלית עשויה לשמש להגדרת ניתוב וקבוצות אבטחת רשת כך שיאפשרו רק דפוסי תעבורה צפויים, תוך הימנעות מתעבורה למקטעי רשת שרירותיים.

  • בידוד הוא הנוהג של קיבוץ ישויות עם הבטחות דומות יחד כדי להגן אותם עם גבול. המטרה היא ניהול פשוט והכלה של התקפה בתוך סביבה. לדוגמה, תוכלו לקבץ את המשאבים הקשורים לעומס עבודה ספציפי לסביבת Power Platform אחת או לפתרון אחד, ולאחר מכן להחיל בקרת גישה כך שרק צוותי עומס עבודה ספציפיים יוכלו לגשת לסביבה.

חשוב לציין את ההבחנה בין היקפים ובידוד. 'היקף' מתייחס לנקודות המיקום שיש לבדוק. בידוד עוסק בקיבוץ. אפשר להכיל התקפה באופן פעיל על-ידי שימוש במושגים אלה יחד.

בידוד לא אומר יצירת יחידות מבודדות בארגון. אסטרטגיה מאוחדת של חלוקה למקטעים מספקת התאמה בין הצוותים הטכניים וקובעת קווי אחריות ברורים. הבהירות מפחיתה את הסיכון לטעויות אנוש ולתקלות באוטומציה שעלולות להוביל לפרצות אבטחה, השבתה תפעולית או שתיהן. נניח שזוהתה פרצת אבטחה ברכיב של מערכת ארגונית מורכבת. חשוב שכולם יבינו מי אחראי למשאב הזה כדי שהאדם המתאים ייכלל בצוות הטריאז'. הארגון ובעלי העניין יכולים להבין במהירות כיצד להגיב לסוגים שונים של אירועים על-ידי יצירה ותיעוד של אסטרטגיית חלוקה למקטעים טובה.

פשרה: פילוח מכניס מורכבות מכיוון שיש תקורה בניהול.

סיכון: מיקרו-פילוח מעבר לגבול סביר מאבד את היתרון של הבידוד. כאשר יוצרים יותר מדי מקטעים, קשה לזהות נקודות תקשורת או לאפשר נתיבי תקשורת חוקיים בתוך המקטע.

זהות כהיקף

זהויות שונות כגון אנשים, רכיבי תוכנה או מכשירים ניגשות למקטעים של עומס עבודה. זהות היא היקף שאמור להיות קו ההגנה העיקרי כדי לאמת ולאשר גישה מעבר לגבולות הבידוד, ללא קשר למקור בקשת הגישה. השתמשו בזהות כהיקף כדי:

  • להקצות גישה לפי תפקיד. זהויות זקוקות רק לגישה למקטעים הנדרשים כדי לבצע את עבודתן. צמצמו למינימום גישה אנונימית על-ידי הבנת התפקידים ותחומי האחריות של הזהות המבקשת, כך שתדעו מהי הישות המבקשת גישה למקטע ולאיזו מטרה.

    לזהות עשויים להיות היקפי גישה שונים במקטעים שונים. שקלו להגדיר סביבה טיפוסית, עם מקטעים נפרדים לכל שלב. לזהויות הקשורות לתפקיד המפתח יש גישת קריאה-כתיבה לסביבת הפיתוח. עם המעבר של הפריסה לאחסון הזמני, ההרשאות הללו מרוסנות. עד שעומס העבודה עובר לייצור, היקף המפתחים מצטמצם לגישה לקריאה בלבד.

  • התייחסו לזהויות האפליקציה והניהול בנפרד. ברוב הפתרונות, למשתמשים יש רמת גישה שונה מזו של מפתחים או מפעילים. ביישומים מסוימים, ייתכן שתשתמשו במערכות זהות או ספריות שונות עבור כל סוג של זהות. שקלו ליצור תפקידים נפרדים לכל זהות.

  • הקצו גישה עם הרשאות מינימליות. אם לזהות מותרת גישה, קבעו את רמת הגישה. התחילו בגישה עם הרשאות מינימליות עבור כל קטע והרחיבו את ההיקף רק בעת הצורך.

    על-ידי יישום הרשאות מינימליות, אתם מגבילים את ההשפעות השליליות שעלולות להיגרם אם זהות אי פעם תיפגע. אם הגישה מוגבלת בזמן, משטח ההתקפה מצטמצם עוד יותר. גישה מוגבלת בזמן חלה במיוחד על חשבונות קריטיים, כגון מנהלי מערכת או רכיבי תוכנה שיש להם זהות שנפגעה.

פשרה: בקרת גישה מבוססת תפקידים (RBAC) מביאה לתקורת ניהול. מעקב אחר זהויות והיקפי הגישה שלהן יכול להיות מורכב בהקצאות תפקידים. שקלו להקצות תפקידים לקבוצות אבטחה במקום לזהויות בודדות.

סיכון: הגדרות זהות יכולות להיות מורכבות. הגדרות שגויות יכולות להשפיע על מהימנות עומס העבודה. לדוגמה, נניח שיש הקצאת תפקיד שגויה שנמנעה ממנה גישה למסד נתונים. הבקשות מתחילות להיכשל, ובסופו של דבר גורמות לבעיות מהימנות שלא ניתן יהיה לזהות אחרת עד לזמן הריצה.

מידע נוסף בקרות זהות: המלצות לניהול זהות וגישה‬.

בניגוד לבקרות גישה לרשת, זהות מאמתת את בקרת הגישה בזמן הגישה. מומלץ מאוד לבצע סקירת גישה קבועה ולדרוש זרימת עבודה של אישור כדי לקבל הרשאות לחשבונות עם השפעה קריטית.

רשת כהיקף

היקפי זהות הם תלויים בעוד שהיקפי רשת מגדילים את הזהות אך לעולם אינם מחליפים אותה. היקפי רשת נקבעים כדי לשלוט ברדיוס הפגיעה, לחסום גישה בלתי צפויה, אסורה ולא בטוחה ולהסוות את משאבי עומס העבודה.

בעוד שהמיקוד העיקרי של היקף הזהות הוא הרשאה מינימלית, יש להניח שתהיה הפרה כאשר מעצבים את היקף הרשת.

צרו היקפים המוגדרים על-ידי תוכנה בטביעת הרגל של הרשת באמצעות שירותים ותכונות של Power Platform ו- Azure. כאשר עומס עבודה (או חלקים מעומס עבודה נתון) ממוקמים במקטעים נפרדים, אתם שולטים בתעבורה ממקטעים אלה או אליהם כדי לאבטח נתיבי תקשורת. אם מקטע נפגע, הוא מוכל ונמנע ממנו להתפשט לרוחב דרך שאר הרשת.

חשבו כמו תוקף כדי להשיג דריסת רגל בתוך עומס העבודה ולבסס בקרות כדי למזער התרחבות נוספת. הבקרות צריכות לזהות, להכיל ולעצור את התוקפים ולמנוע מהם לקבל גישה לכל עומס העבודה. להלן כמה דוגמאות לפקדי רשת כהיקף:

  • הגדירו את היקף הקצה בין רשתות ציבוריות לרשת שבה מוצב עומס העבודה שלכם. הגבילו את קו הראייה מרשתות ציבוריות לרשת שלכם ככל האפשר.
  • צרו גבולות על סמך כוונה. לדוגמה, הפרידו רשתות פונקציונליות של עומס עבודה מרשתות תפעוליות.

סיכון: בקרות הרשת מבוססות על כללים וקיים סיכוי משמעותי לתצורה שגויה, שהיא חשש לאמינות.

תפקידים ואחריות

חלוקה למקטעים שמונעת בלבול וסיכוני אבטחה מתקבלת על-ידי הגדרה ברורה של קווי אחריות בתוך צוות עומס עבודה.

תעדו ושתפו תפקידים ופונקציות כדי ליצור עקביות ולהקל על התקשורת. הגדירו קבוצות או תפקידים בודדים שאחראים על פונקציות מפתח. שקלו את התפקידים המובנים ב- Power Platform לפני יצירת תפקידים מותאמים אישית עבור אובייקטים.

בעת הקצאת הרשאות למקטע, שקלו עקביות תוך התאמה למספר מודלים ארגוניים. מודלים אלה יכולים לנוע מקבוצת IT מרכזית אחת ועד צוותי IT ו- DevOps עצמאיים ברובם.

סיכון: חברות בקבוצות יכולה להשתנות עם הזמן כאשר עובדים מצטרפים או עוזבים צוותים או משנים תפקידים. ניהול של תפקידים בין מקטעים יכול לגרום לתקורת ניהול.

ארגון משאבים

חלוקה למקטעים מאפשרת לבודד משאבי עומס עבודה מחלקים אחרים בארגון או אפילו בתוך הצוות. מבנים של Power Platform כגון סביבות ופתרונות, הם דרכים לארגן את המשאבים שמקדמות חלוקה למקטעים.

סיוע של Power Platform

הסעיפים הבאים מתארים תכונות ויכולות של Power Platform שבהן אפשר להשתמש כדי ליישם אסטרטגיית חלוקה למקטעים.

זהות

כל המוצרים של Power Platform משתמשים במזהה Microsoft Entra (לשעבר Azure Active Directory או Azure AD) לניהול זהויות וגישה. אפשר להשתמש בתפקידי אבטחה מובנים, גישה מותנית, ניהול זהויות מורשות וניהול גישה קבוצתית ב-Entra ID כדי להגדיר את היקפי הזהות.

Microsoft Dataverse משתמש באבטחה מבוססת תפקידים כדי לקבץ אוסף של הרשאות. ניתן לשייך תפקידי אבטחה אלו ישירות למשתמשים או שניתן לשייכם לצוותים וליחידות עסקיות של Dataverse. למידע נוסף, ראה מושגי אבטחה ב- Microsoft Dataverse.

רשת

באמצעות תמיכת רשת הווירטואלית של Azure עבור Power Platform ניתן לשלב את Power Platform במשאבים בתוך הרשת הווירטואלית שלך בלי לחשוף את המשאבים שלך ברשת האינטרנט הציבורית. תמיכת רשת וירטואלית משתמשת בהקצאת רשתות משנה של Azure כדי לנהל תעבורה יוצאת מ- Power Platform בזמן הריצה. שימוש בנציג מונע את הצורך של משאבים מוגנים לעבור דרך האינטרנט כדי להשתלב ב- Power Platform. רכיבי רשת וירטואלית, Dataverse ו- Power Platform יכולים לקרוא למשאבים שבבעלות הארגון שלך בתוך הרשת שלך, בין אם הם מתארחים ב- Azure או באופן מקומי, ולהשתמש בתוספים ובמחברים כדי לבצע שיחות יוצאות. מידע נוסף: סקירה כללית של תמיכה ברשת וירטואלית עבור Power Platform.

חומת אש של IP ל Power Platform סביבות עוזרת להגן לנתונים שלך על ידי הגבלת גישת המשתמש ל Dataverse ממיקומי IP מורשים בלבד.

Microsoft Azure ExpressRoute מספק דרך מתקדמת לחבר את רשת מקומי שלך ל Microsoft שירותי ענן על ידי שימוש בקישוריות פרטית. ניתן להשתמש בחיבור ExpressRoute יחיד כדי לגשת למספר שירותים מקוונים, למשל Microsoft Power Platform, ‏Dynamics 365, ‏Microsoft 365 ו- Azure.

רשימת תיוג של אבטחה

עיין במכלול ההמלצות המלא.

רשימת תיוג אבטחה