Megosztás a következőn keresztül:

Szegmentálási stratégia kialakítására vonatkozó javaslatok

  • Cikk

A Well-Architected Framework Security ellenőrzőlista javaslatára vonatkozik:

SE:04 Szándékos szegmentálást és szegélyeket hozhat létre az architektúratervben, valamint a számítási feladat lábnyomát a platformon. A szegmentálási stratégiának tartalmaznia kell a hálózatokat, a szerepköröket és a felelősségeket, a számítási feladatok identitását és az erőforrás-szervezetet.

A szegmens a megoldás logikai szakasza, amelyet egy egységként kell biztosítani. A szegmentálási stratégia meghatározza, hogy egy egység hogyan legyen elkülönítve a többi egységtől saját biztonsági követelményekkel és mértékekkel.

Ez az útmutató az egységes szegmentálási stratégia kialakítására vonatkozó javaslatokat ismerteti. A munkaterhelések szegélyeinek és elkülönítési határainak használatával megtervezheti az Ön számára megfelelő biztonsági megközelítést.

Meghatározások 

Időszak Definíció
Elszigetelés A robbanási sugarat tartalmazó technika, ha egy támadó hozzáfér egy szegmenshez.
Minimális jogosultságú hozzáférés Egy Teljes felügyelet alapelv, amelynek célja egy feladatfüggvény végrehajtásához szükséges engedélyek készletének minimalizálása.
Szegélyhálózat A szegmens körüli megbízhatósági határ.
Erőforrás-rendszerezés Stratégia a kapcsolódó erőforrások szegmensen belüli folyamatok szerinti csoportosítására.
Szerepkör A feladatfüggvények elvégzéséhez szükséges engedélyek készlete.
Szegmens Logikai egység, amely elkülönítve van más entitásoktól, és amelyet biztonsági intézkedések védenek.

Főbb tervezési stratégiák

A szegmentálás fogalmát gyakran használják hálózatokhoz. A megoldásokban azonban ugyanez az alapelv használható, beleértve az erőforrások felügyeleti célú szegmentálását és a hozzáférés-vezérlést.

A szegmentálással olyan biztonsági megközelítést tervezhet, amely a Teljes felügyelet modell alapelvei alapján részletesen alkalmazza a védelmet. Győződjön meg arról, hogy az egyik hálózati szegmenst megsértő támadók nem férhetnek hozzá egy másikhoz a számítási feladatok különböző identitásvezérlőkkel való szegmentálásával. Egy biztonságos rendszerben az identitás- és hálózati attribútumok blokkolják a jogosulatlan hozzáférést, és elrejtik az objektumokat a nyilvánosságra kerülés elől. Íme néhány példa a szegmensekre:

  • Előfizetések, amelyek elkülönítik egy szervezet számítási feladatait
  • Erőforráscsoportok, amelyek elkülönítik a számítási feladatok eszközeit
  • Üzembe helyezési környezetek, amelyek fázisok szerint elkülönítik az üzembe helyezést
  • A számítási feladatok fejlesztésével és kezelésével kapcsolatos feladatfüggvényeket elkülönítő csapatok és szerepkörök
  • A számítási feladatok segédprogramja szerint elkülönítő alkalmazásszintek
  • Mikroszolgáltatások, amelyek elkülönítik az egyik szolgáltatást a másiktól

A szegmentálás legfontosabb elemeit figyelembe véve győződjön meg arról, hogy átfogó védelmi stratégiát készít:

  • A határ vagy szegély egy olyan szegmens belépési széle, ahol biztonsági vezérlőket alkalmaz. A szegélyvezérlőknek blokkolnia kell a szegmenshez való hozzáférést, kivéve, ha explicit módon engedélyezve van. A cél az, hogy megakadályozzák, hogy a támadó áttörje a szegélyt, és megszerezze az irányítást a rendszer felett. Az alkalmazásszintek például elfogadhatják a végfelhasználó hozzáférési jogkivonatát egy kérés feldolgozásakor. Az adatszinthez azonban szükség lehet egy másik hozzáférési jogkivonatra, amely rendelkezik egy adott engedéllyel, amelyet csak az alkalmazásszint igényelhet.

  • Az elszigetelés egy szegmens kilépési széle, amely megakadályozza az oldalirányú mozgást a rendszerben. Az elszigetelés célja, hogy minimalizálja a behatolás hatását. Egy Azure-beli virtuális hálózat például útválasztási és hálózati biztonsági csoportok konfigurálására használható, hogy csak a várt forgalmi minták legyenek engedélyezve, elkerülve az tetszőleges hálózati szegmensek felé irányuló forgalmat.

  • Az elkülönítés a hasonló biztosítékokkal rendelkező entitások csoportosításának gyakorlata, amelyek egy határral védik őket. A cél a könnyű kezelés és a környezeten belüli támadások megfékezése. Előfordulhat például, hogy egy adott számítási feladathoz kapcsolódó erőforrásokat egy Azure-előfizetésbe csoportosítja, majd hozzáférés-vezérlést alkalmaz, hogy csak bizonyos számítási feladatokért felelős csapatok férhessenek hozzá az előfizetéshez.

Fontos megjegyezni a szegélyek és az elkülönítés közötti különbséget. A szegély az ellenőrizendő helyekre vonatkozik. Az elkülönítés a csoportosításról szól. Aktívan tartalmazzon támadást az alábbi fogalmak együttes használatával.

Az elkülönítés nem jelenti azt, hogy silókat hoz létre a szervezetben. Az egységes szegmentálási stratégia összehangolja a technikai csapatokat, és egyértelmű felelősségi sorokat határoz meg. Az egyértelműség csökkenti az emberi hibák és automatizálási hibák kockázatát, amelyek biztonsági résekhez, működési leállásokhoz vagy mindkettőhöz vezethetnek. Tegyük fel, hogy a rendszer biztonsági incidenst észlel egy összetett vállalati rendszer egyik összetevőjében. Fontos, hogy mindenki megértse, ki felelős az erőforrásért, hogy a megfelelő személy bekerül a triage csapatba. A szervezet és az érdekelt felek gyorsan azonosíthatják, hogyan reagálhatnak a különböző incidensekre egy jó szegmentálási stratégia létrehozásával és dokumentálásával.

Kompromisszum: A szegmentálás összetettséget vezet be, mivel a felügyelet többletterheléssel jár. A költségek is meg vannak cserélve. Például több erőforrás lesz kiépítve, ha az egymás mellett futó üzembehelyezési környezetek szegmentáltak.

Kockázat: Az ésszerű korláton túli mikroszegmentáció elveszíti az elkülönítés előnyeit. Ha túl sok szegmenst hoz létre, a kommunikációs pontok azonosítása vagy a szegmensen belüli érvényes kommunikációs útvonalak engedélyezése nehézkessé válik.

Identitás létrehozása elsődleges biztonsági szegélyként

Különböző identitások, például személyek, szoftverösszetevők vagy eszközök férnek hozzá a számítási feladatok szegmenseihez. Az identitás egy szegély, amelynek elsődleges védelmi vonalnak kell lennie az elkülönítési határok közötti hozzáférés hitelesítéséhez és engedélyezéséhez, függetlenül attól, hogy honnan származik a hozzáférési kérelem. Használja az identitást szegélyként a következőkhöz:

  • Hozzáférés hozzárendelése szerepkör szerint. Az identitásoknak csak a munkájuk elvégzéséhez szükséges szegmensekhez kell hozzáférniük. A névtelen hozzáférés minimalizálása a kérelmező identitás szerepköreinek és feladatainak megismerésével, hogy megismerje azt az entitást, amely hozzáférést kér egy szegmenshez, és milyen célra.

    Az identitások különböző szegmensekben eltérő hozzáférési hatókörrel rendelkezhetnek. Fontolja meg egy tipikus környezetbeállítást, amely minden szakaszhoz külön szegmenseket biztosít. A fejlesztői szerepkörhöz társított identitások olvasási-írási hozzáféréssel rendelkeznek a fejlesztői környezethez. Az üzembe helyezés átmeneti környezetbe lépésekor ezek az engedélyek visszaszorulnak. Mire a számítási feladat éles környezetbe kerül, a fejlesztők hatóköre írásvédettre csökken.

  • Fontolja meg külön az alkalmazás- és felügyeleti identitásokat. A legtöbb megoldásban a felhasználók más szintű hozzáféréssel rendelkeznek, mint a fejlesztők vagy operátorok. Egyes alkalmazásokban különböző identitásrendszereket vagy könyvtárakat használhat az egyes identitástípusokhoz. Fontolja meg a hozzáférési hatókörök használatát, és hozzon létre külön szerepköröket az egyes identitásokhoz.

  • Minimális jogosultságú hozzáférés hozzárendelése. Ha az identitás engedélyezett, határozza meg a hozzáférési szintet. Kezdje az egyes szegmensek minimális jogosultságával, és csak szükség esetén bővítse ki ezt a hatókört.

    A legkisebb jogosultság alkalmazásával korlátozhatja a negatív hatásokat, ha az identitás valaha is sérül. Ha a hozzáférés időkorlátja korlátozott, a támadási felület tovább csökken. Az időkorlátos hozzáférés különösen a kritikus fontosságú fiókokra, például a rendszergazdákra vagy a sérült identitással rendelkező szoftverösszetevőkre vonatkozik.

Kompromisszum: A számítási feladat teljesítményét befolyásolhatják az identitáshatárok. Az egyes kérések ellenőrzéséhez külön számítási ciklusokra és extra hálózati I/O-ra van szükség.

A szerepköralapú hozzáférés-vezérlés (RBAC) felügyeleti többletterhelést is eredményez. Az identitások és a hozzáférési hatókörök nyomon követése összetettsé válhat a szerepkör-hozzárendelésekben. A megkerülő megoldás a szerepkörök hozzárendelése biztonsági csoportokhoz egyéni identitások helyett.

Kockázat: Az identitásbeállítások összetettek lehetnek. A helytelen konfigurációk befolyásolhatják a számítási feladat megbízhatóságát. Tegyük fel például, hogy egy helytelenül konfigurált szerepkör-hozzárendelés megtagadja az adatbázishoz való hozzáférést. A kérések meghiúsulnak, és végül megbízhatósági problémákat okoznak, amelyek egyébként nem észlelhetők a futtatókörnyezetig.

Az identitásvezérlőkkel kapcsolatos információkért lásd: Identitás- és hozzáférés-kezelés.

A hálózati hozzáférés-vezérléssel ellentétben az identitás a hozzáférés-vezérlést a hozzáféréskor ellenőrzi. Erősen ajánlott rendszeres hozzáférés-felülvizsgálatot végezni, és jóváhagyási munkafolyamatot igényelni a kritikus hatással rendelkező fiókokhoz szükséges jogosultságok beszerzéséhez. Lásd például az identitás szegmentálási mintáit.

Továbbfejlesztése szegélyként történő hálózatkezeléssel

Az identitás szegélyei hálózati agnosztikusak, míg a hálózati szegélyek növelik az identitást, de soha nem cserélik le. A hálózati szegélyek a sugárterhelés szabályozására, a váratlan, tiltott és nem biztonságos hozzáférés blokkolására, valamint a számítási feladatok erőforrásainak elhomályosítására vannak kialakítva.

Bár az identitás szegélyének elsődleges fókusza a legkevésbé a jogosultság, feltételezheti, hogy a hálózati szegély tervezésekor biztonsági rés lép fel.

Hozzon létre szoftveralapú szegélyeket a hálózati lábnyomban az Azure-szolgáltatások és -szolgáltatások használatával. Ha egy számítási feladatot (vagy egy adott számítási feladat részeit) külön szegmensekbe helyeznek, a kommunikációs útvonalak biztonságossá tételéhez szabályozhatja a szegmensek közötti forgalmat. Ha egy szegmens sérült, az el van foglalva, és megakadályozza, hogy oldalirányban terjesszen a hálózat többi részén.

Gondoljon úgy, mint egy támadó, hogy kihasználhassa a terhelést, és vezérlőket hozhat létre a további bővítés minimalizálása érdekében. A vezérlőknek észlelnie kell, tartalmazniuk kell és meg kell akadályoznia, hogy a támadók hozzáférjenek a teljes számítási feladathoz. Íme néhány példa a szegélyként szolgáló hálózati vezérlőkre:

  • Határozza meg a peremhálózatot a nyilvános hálózatok és a számítási feladat helyét tartalmazó hálózat között. A lehető legnagyobb mértékben korlátozza a látóvonalat a nyilvános hálózatoktól a hálózatig.
  • Demilitarizált zónákat (DMZ-ket) implementálhat az alkalmazás előtt a tűzfalakon keresztüli megfelelő vezérlőkkel.
  • Hozzon létre mikroszegmentációt a magánhálózaton, ha a számítási feladat részeit külön szegmensekbe csoportosítja. Biztonságos kommunikációs útvonalakat hozhat létre közöttük.
  • A szándék alapján hozzon létre határokat. Például a számítási feladatok funkcionális hálózatainak szegmentálása operatív hálózatokból.

A hálózatszegmentációval kapcsolatos gyakori mintákért lásd a hálózatszegmentálási mintákat.

Kompromisszum: A hálózati biztonsági vezérlők gyakran drágák, mert a prémium termékváltozatok közé tartoznak. A tűzfalakra vonatkozó szabályok konfigurálása gyakran összetettséget eredményez, amely széles körű kivételeket igényel.

A privát kapcsolat megváltoztatja az architektúra kialakítását, és gyakran további összetevőket, például jump boxokat ad hozzá a számítási csomópontokhoz való privát hozzáféréshez.

Mivel a hálózati szegélyek vezérlőpontokon vagy ugrásokon alapulnak a hálózaton, minden ugrás lehetséges meghibásodási pont lehet. Ezek a pontok hatással lehetnek a rendszer megbízhatóságára.

Kockázat: A hálózati vezérlők szabályalapúak, és jelentős esély van a helytelen konfigurálásra, ami megbízhatósági problémát jelent.

A hálózati vezérlőkkel kapcsolatos információkért lásd: Hálózatkezelés és kapcsolat.

Szerepkörök meghatározása és egyértelmű felelősségi sorok

A keveredést és a biztonsági kockázatokat megakadályozó szegmentálás a számítási feladatok csapatán belüli felelősségi vonalak egyértelmű meghatározásával érhető el.

A szerepkörök és függvények dokumentálása és megosztása a konzisztencia létrehozásához és a kommunikáció megkönnyítéséhez. Jelöljön ki olyan csoportokat vagy egyéni szerepköröket, amelyek a kulcsfüggvényekért felelősek. Mielőtt egyéni szerepköröket hoz létre az objektumokhoz, vegye figyelembe az Azure beépített szerepköreit.

Fontolja meg a konzisztenciát, miközben több szervezeti modellt is figyelembe vesz egy szegmens engedélyeinek hozzárendelésekor. Ezek a modellek egyetlen központosított informatikai csoporttól a többnyire független informatikai és DevOps-csapatokig terjedhetnek.

Kockázat: A csoportok tagsága idővel változhat, amikor az alkalmazottak csatlakoznak vagy kilépnek a csapatokból, vagy szerepköröket váltanak. A szerepkörök szegmensek közötti kezelése felügyeleti többletterhelést eredményezhet.

Erőforrások rendszerezése a szegmentálás előmozdításához

A szegmentálás lehetővé teszi a számítási feladatok erőforrásainak elkülönítését a szervezet más részeitől vagy akár a csapaton belül is. Az Azure-szerkezetek, például felügyeleti csoportok, előfizetések, környezetek és erőforráscsoportok, a szegmentálást elősegítő erőforrások rendszerezésének módjai. Íme néhány példa az erőforrásszintű elkülönítésre:

  • A többplatformos adatmegőrzés az adattárolási technológiák kombinációját foglalja magában egyetlen adatbázisrendszer helyett a szegmentálás támogatására. Használjon többplatformos adatmegőrzést a különböző adatmodellek elkülönítéséhez, az olyan funkciók elkülönítéséhez, mint az adattárolás és az elemzés, vagy a hozzáférési minták szerinti elkülönítéshez.
  • A számítás rendszerezése során minden kiszolgálóhoz rendeljön ki egy szolgáltatást. Ez az elkülönítési szint minimálisra csökkenti az összetettséget, és segíthet a támadások megfékezésében.
  • Az Azure beépített elkülönítést biztosít bizonyos szolgáltatásokhoz, például a számításnak a tárterülettől való elkülönítéséhez. További példákért lásd az Elkülönítés az Azure nyilvános felhőben című témakört.

Kompromisszum: Az erőforrások elkülönítése a teljes tulajdonosi költség (TCO) növekedéséhez vezethet. Az adattárak esetében a vészhelyreállítás során összetettség és koordináció is előfordulhat.

Az Azure megkönnyítése

Egyes Azure-szolgáltatások a szegmentálási stratégia implementálásához használhatók a következő szakaszokban leírtak szerint.

Identitás

Az Azure RBAC támogatja a szegmentálást a hozzáférés feladatfüggvények szerinti elkülönítésével. Bizonyos szerepkörök és hatókörök esetében csak bizonyos műveletek engedélyezettek. Például azok a feladatfüggvények, amelyeknek csak a rendszer megfigyelésére van szükségük, olvasói engedélyekhez és közreműködői engedélyekhez rendelhetők, amelyek lehetővé teszik az identitás számára az erőforrások kezelését.

További információ: Ajánlott eljárások az RBAC-hez.

Hálózat

A szegmentálás hálózati lehetőségeit bemutató diagram.

Virtuális hálózatok: A virtuális hálózatok a két virtuális hálózat közötti forgalom hozzáadása nélkül biztosítják az erőforrások hálózati szintű elszigetelését. A virtuális hálózatok előfizetésen belüli privát címterekben jönnek létre

Hálózati biztonsági csoportok (NSG): Hozzáférés-vezérlési mechanizmus a virtuális hálózatokban és külső hálózatokban, például az interneten található erőforrások közötti forgalom szabályozására. Felhasználó által megadott útvonalak (UDR) implementálása a következő ugrás szabályozásához a forgalom számára. Az NSG-k részletes szintre emelhetik a szegmentálási stratégiát, ha szegélyeket hoznak létre egy alhálózathoz, egy virtuális géphez (virtuális géphez) vagy virtuális gépek egy csoportjához. Az Azure-beli alhálózatokkal végzett lehetséges műveletekről további információt az Alhálózatok című témakörben talál.

Alkalmazásbiztonsági csoportok (ASG-k): Az ASG-k lehetővé teszik, hogy egy alkalmazáscímke alatt csoportosítson virtuális gépeket, és meghatározza az egyes mögöttes virtuális gépekre alkalmazott forgalmi szabályokat.

Azure Firewall: Natív felhőszolgáltatás, amely üzembe helyezhető a virtuális hálózatban vagy az Azure Virtual WAN Hub üzemelő példányaiban. Az Azure Firewall használatával szűrheti a felhőbeli erőforrások, az internet és a helyszíni erőforrások közötti forgalmat. Az Azure Firewall vagy az Azure Firewall Manager használatával olyan szabályokat vagy szabályzatokat hozhat létre, amelyek engedélyezik vagy letiltják a forgalmat a 3. réteg és a 7. réteg vezérlői használatával. Az Internetes forgalom szűrése az Azure Firewall és a harmadik felek használatával a forgalom külső biztonsági szolgáltatókon keresztül történő irányításával a speciális szűrés és a felhasználói védelem érdekében. Azure-támogatás hálózati virtuális berendezés üzembe helyezését, amely segít a külső tűzfalak szegmentálásában.

Példa

Íme néhány gyakori minta a számítási feladatok Azure-beli szegmentálásához. Válasszon egy mintát az igényeinek megfelelően.

Ez a példa a biztonsági alapkonfigurációban (SE:01) létrehozott informatikai környezetre épül. Az alábbi ábrán a szervezet által végzett felügyeleti csoportszintű szegmentálás látható.

A különböző számítási feladatokra vonatkozó szervezeti szegmentálási stratégiát bemutató ábra.

Identitásszegmentálási minták

1. minta: Feladatcímalapú csoportosítás

A biztonsági csoportok rendszerezésének egyik módja a beosztás, például szoftvermérnök, adatbázis-rendszergazda, webhely-megbízhatósági mérnök, minőségbiztosítási mérnök vagy biztonsági elemző. Ez a megközelítés magában foglalja a számítási feladatokért felelős csapat számára a szerepköreik alapján létrehozott biztonsági csoportokat anélkül, hogy figyelembe kellene vennie a végrehajtandó munkát. Adjon RBAC-engedélyeket a biztonsági csoportoknak, állandó vagy éppen időben (JIT) a számítási feladatokkal kapcsolatos feladataiknak megfelelően. Emberi és szolgáltatási alapelvek hozzárendelése biztonsági csoportokhoz a szükséges hozzáférésük alapján.

A tagság jól látható a szerepkör-hozzárendelés szintjén, így könnyen áttekinthető, hogy egy szerepkör milyen hozzáféréssel rendelkezik. Minden személy általában csak egy biztonsági csoport tagja, ami megkönnyíti a bevezetést és a bevezetést. Ha azonban a feladatok címei nem fedik egymást tökéletesen a felelősségekkel, a címalapú csoportosítás nem ideális a minimális jogosultsági szintű megvalósításhoz. Előfordulhat, hogy végül kombinálja az implementációt a függvényalapú csoportosítással.

2. minta: Függvényalapú csoportosítás

A függvényalapú csoportosítás egy olyan biztonságicsoport-szervezési módszer, amely a szükséges különálló munkát tükrözi, nem figyelembe véve a csapat struktúráját. Ezzel a mintával RBAC-engedélyeket ad a biztonsági csoportoknak, szükség szerint álló vagy JIT-engedélyeket, a számítási feladatban szükséges funkciójuknak megfelelően.

Emberi és szolgáltatási alapelvek hozzárendelése biztonsági csoportokhoz a szükséges hozzáférésük alapján. Ahol lehetséges, használjon meglévő homogén csoportokat a függvényalapú csoportok tagjaiként, például az 1. mintából származó csoportokat. A függvényalapú csoportok például a következők:

  • Éles adatbázis-operátorok
  • Gyártás előtti adatbázis-operátorok
  • Éles tanúsítvány rotációs operátorai
  • Gyártás előtti tanúsítvány rotációs operátorai
  • Éles üzemű telephely/triage
  • Minden hozzáférés az előgyártáshoz

Ez a megközelítés fenntartja a legszigorúbb minimális jogosultsági szintű hozzáférést, és olyan biztonsági csoportokat biztosít, amelyek hatóköre nyilvánvaló, ami megkönnyíti a tagságok naplózását a feladatokkal kapcsolatos feladatokhoz képest. Gyakran létezik beépített Azure-szerepkör ennek a feladatfüggvénynek megfelelően.

A tagság azonban legalább egy réteget absztraktál, így arra kényszeríti, hogy az identitásszolgáltatóhoz lépjen, hogy megértse, ki van a csoportban az erőforrás szempontjából. Emellett egy személynek több tagsággal kell rendelkeznie a teljes lefedettség érdekében. Az átfedésben lévő biztonsági csoportok mátrixa összetett lehet.

A 2. minta használata ajánlott a hozzáférési minták fókuszba helyezéséhez, nem pedig a szervezeti diagramhoz. A szervezeti diagramok és a tagszerepkörök időnként megváltoznak. A számítási feladat identitás- és hozzáférés-kezelésének funkcionális szempontból történő rögzítése lehetővé teszi, hogy a csapatszervezetet elvonja a számítási feladat biztonságos kezelésétől.

Hálózatszegmentálási minták

1. minta: Szegmentálás egy számítási feladaton belül (puha határok)

Egyetlen virtuális hálózatot ábrázoló diagram.

Ebben a mintában a számítási feladat egyetlen virtuális hálózatba kerül, alhálózatokkal jelölve meg a határokat. A szegmentálás két alhálózattal, egy adatbázissal és egy webes számítási feladattal érhető el. Konfigurálnia kell azokat az NSG-ket, amelyek lehetővé teszik, hogy az 1. alhálózat csak a 2. alhálózattal és a 2. alhálózattal kommunikáljon, hogy csak az internettel kommunikáljon. Ez a minta 3. rétegszintű vezérlést biztosít.

2. minta: Szegmentálás egy számítási feladaton belül

Több virtuális hálózatot ábrázoló diagram.

Ez a minta példa a platformszintű szegmentálásra. A számítási feladatok componensei több hálózaton is el vannak osztva anélkül, hogy társviszonyt létesítenének közöttük. Minden kommunikáció egy nyilvános hozzáférési pontként szolgáló közvetítőn keresztül történik. A számítási feladatokért felelős csapat az összes hálózat tulajdonosa.

A 2. minta elszigetelést biztosít, de összetettebbé teszi a virtuális hálózatok kezelését és méretezését. A két hálózat közötti kommunikáció a nyilvános interneten keresztül történik, ami kockázatot jelenthet. A nyilvános kapcsolatok késést is okozhatnak. A két hálózat azonban egy nagyobb szegmens létrehozásához csatlakoztatható, megszakítva a szegmentálást. A társviszony-létesítést akkor kell elvégezni, ha nincs szükség más nyilvános végpontokra.

Megfontolások 1. minta 2. minta
Kapcsolat és útválasztás: Az egyes szegmensek kommunikációja A rendszer útválasztása alapértelmezett kapcsolatot biztosít a számítási feladatok összetevőihez. Egyetlen külső összetevő sem tud kommunikálni a számítási feladattal. A virtuális hálózaton belül, az 1. mintával megegyező módon.
A hálózatok között a forgalom a nyilvános interneten halad át. Nincs közvetlen kapcsolat a hálózatok között.
Hálózati szintű forgalomszűrés A szegmensek közötti forgalom alapértelmezés szerint engedélyezett. A forgalom szűréséhez használjon NSG-ket vagy ASG-ket. A virtuális hálózaton belül, az 1. mintával megegyező módon.
A hálózatok között tűzfalon keresztül is szűrheti a bejövő és kimenő forgalmat.
Nem tervezett nyílt nyilvános végpontok A hálózati adapterek (NIC-k) nem kapnak nyilvános IP-címeket. A virtuális hálózatok nincsenek kitéve az internetes API-felügyeletnek. Ugyanaz, mint az 1. minta. Egy virtuális hálózaton tervezett nyilvános végpont, amely helytelenül konfigurálható, hogy több forgalmat fogadjon el.

Erőforrás-rendszerezés

Azure-erőforrások rendszerezése a tulajdonjogi felelősség alapján

Több számítási feladatot tartalmazó Azure-tulajdon diagramja.

Fontolja meg egy Azure-tulajdont, amely több számítási feladatot és megosztott szolgáltatásösszetevőt tartalmaz, például a központi virtuális hálózatokat, tűzfalakat, identitásszolgáltatásokat és biztonsági szolgáltatásokat, például a Microsoft Sentinelt. A tulajdonban lévő összetevőket funkcionális területük, számítási feladataik és tulajdonjoguk alapján kell csoportosítani. A megosztott hálózati erőforrásokat például egyetlen előfizetésbe kell csoportosítani, és egy hálózati csapat felügyeli. Az egyes számítási feladatokhoz dedikált összetevőknek a saját szegmensükben kell lenniük, és az alkalmazásszintek vagy más szervezeti alapelvek alapján tovább oszthatók.

Hozzáférés biztosítása az egyes szegmensekben lévő erőforrások kezeléséhez RBAC-szerepkör-hozzárendelések létrehozásával. Előfordulhat például, hogy a felhőhálózati csapat rendszergazdai hozzáférést kap az erőforrásokat tartalmazó előfizetéshez, az egyes számítási feladatokra vonatkozó előfizetésekhez azonban nem.

A jó szegmentálási stratégia lehetővé teszi az egyes szegmensek tulajdonosainak egyszerű azonosítását. Fontolja meg az Azure-erőforráscímkék használatát az erőforráscsoportok vagy előfizetések megjegyzéseinek a tulajdonosi csapattal való megjegyzéséhez.

Hozzáférés-vezérlés konfigurálása és áttekintése

Adjon megfelelő hozzáférést igény szerint az erőforrások szegmenseinek egyértelmű meghatározásával.

A hozzáférés-vezérlési szabályzatok meghatározásakor vegye figyelembe a minimális jogosultság elvét. Fontos különbséget tenni a vezérlősík műveletei (az erőforrás kezelése) és az adatsík műveletei (az erőforrás által tárolt adatokhoz való hozzáférés) között. Tegyük fel például, hogy olyan számítási feladattal rendelkezik, amely olyan adatbázist tartalmaz, amely bizalmas információkat tartalmaz az alkalmazottakról. Felügyeleti hozzáférést adhat néhány felhasználónak, akik olyan beállításokat kell konfigurálnia, mint az adatbázis biztonsági mentései vagy az adatbázis-kiszolgáló teljesítményét figyelő felhasználók. Ezeknek a felhasználóknak azonban nem szabad tudniuk lekérdezni az adatbázisban tárolt bizalmas adatokat. Válassza ki azokat az engedélyeket, amelyek a felhasználók feladatainak elvégzéséhez szükséges minimális hatókört biztosítják. Rendszeresen tekintse át az egyes szegmensek szerepkör-hozzárendeléseit, és távolítsa el a már nem szükséges hozzáférést.

Feljegyzés

Egyes kiemelt szerepkörök, például az RBAC tulajdonosi szerepköre lehetővé teszik a felhasználóknak, hogy más felhasználók számára hozzáférést biztosítsanak egy erőforráshoz. Korlátozza, hogy hány felhasználó vagy csoport legyen hozzárendelve a tulajdonosi szerepkörhöz, és rendszeresen tekintse át az auditnaplókat, hogy csak érvényes műveleteket hajtson végre.

Biztonsági ellenőrzőlista

Tekintse meg a javaslatok teljes készletét.

Biztonsági ellenőrzőlista