Megosztás:

Hálózatelkülönítés (Biztonságos jövő kezdeményezés)

Pillér neve: Hálózatok védelme
Minta neve: Hálózatelkülönítés

Környezet és probléma

A modern veszélyforrások kihasználják a gyenge hálózati határokat, hogy oldalirányban mozogjanak, és eszkalálják a jogosultságokat. A gyakori támadási útvonalak közé tartoznak az ellopott hitelesítő adatok, a protokollhasználat és a jogkivonatok visszajátszása. A támadók gyakran kihasználják a gyenge szegmentálást, a túlzottan megengedő engedélyeket vagy a megosztott infrastruktúrát a bizalmas számítási feladatok eléréséhez.  

A hagyományos lapos hálózatok megnehezítik a minimális jogosultsági hozzáférés kikényszerítését, és gyakran széles körben elérhetővé teszik az erőforrásokat. Egyértelmű elkülönítés nélkül a belső és a külső fenyegetések is gyorsan veszélybe sodorhatnak több rendszert. A feladat a hálózati szegmentálás szabványosítása, a szegélyek kényszerítése, valamint annak biztosítása, hogy a forgalom szigorúan szabályozva legyen az oldalirányú mozgás megakadályozása és a behatolások elkerülése érdekében.

Solution

A hálózatelkülönítés a hálózatok szegmensekre való felosztásával és elkülönítésével, valamint a hozzájuk való hálózati hozzáférés szabályozásával biztosítja a hálózatokat. Egyesíti az identitástudatos hálózati biztonsági megoldásokat és a láthatósági, monitorozási és észlelési képességek fejlesztését. Az alapvető eljárások a következők:

  • Hálózati szegmentálás és szoftver által meghatározott határok: Feltételezzük a behatolást, és korlátozza az oldalirányú mozgást a hálózat szegmentálásával és dinamikus, kockázatalapú hozzáféréssel. A minimális jogosultság kényszerítése hatóköralapú hozzáféréssel és explicit ellenőrzés identitásalapú hozzáférés-vezérléssel.

  • SASE és ZTNA: A biztonság és a hálózatkezelés integrálásához használja a Secure Access Service Edge (SASE) és a Zero Trust Network Access (ZTNA) architektúrákat. A Zero Trust elvek összehangolása azzal, hogy hozzáférést biztosítunk és korlátozunk a kontextus, az identitás és a feltételes hozzáférésvezérlők alapján.

  • Titkosítás és kommunikáció: Az átvitel közbeni adatok védelmével és az adatok illetéktelen módosítási kockázatának korlátozásával, erős, modern titkosítással és kommunikációval, valamint a gyenge protokollok blokkolásával feltételezheti a jogsértést.

  • Láthatóság és fenyegetésészlelés: A folyamatos láthatóság és figyelés, valamint a hálózati tevékenység naplózása esetén feltételezze a jogsértést . Kényszerítse ki a minimális jogosultságot és az ellenőrzést explicit módon a hozzáférés-vezérléssel és a fenyegetésészleléssel a rendellenességek megkereséséhez és felszínre hozásához. A zéró megbízhatóság kényszerítése a hálózati erőforrások és vezérlők nagy léptékű üzembe helyezésének, felügyeletének és lefoglalásának automatizálásával. Automatizálás nélkül a késések, az inkonzisztenciák és a hiányosságok gyorsan felmerülhetnek.

  • Szabályzatalapú vezérlők: Ellenőrizze explicit módon , és alkalmazza a Minimális jogosultságot részletes, adaptív identitásközpontú, feltételes hozzáférési házirend-vezérlőkkel. Tegyük fel a megsértést a deny-by-default elvvel, és folyamatosan újraértékeljük a kockázatot.

  • Felhő- és hibrid hálózati biztonság: Feltételezett megsértés és Kifejezetten ellenőrizzük a többfelhős és hibrid környezetekben, a felhőbeli munkafolyamatokat védett mikro-periméterbe izolálva, valamint identitástudatos proxyk és Felhő Biztonsági Hozzáférést Felügyelő (CASB) megoldások használatával SaaS- és PaaS-alkalmazásokhoz. A zéró megbízhatósági alapelvek alkalmazása egységes biztonsági szabályzatokkal a felhőben és a helyszínen, biztonságos hibrid kapcsolati mechanizmusok, a felhő-/hibrid biztonsági helyzet javítása és a központosított biztonsági monitorozás.

Útmutatás

A szervezetek a következő végrehajtható eljárásokkal alkalmazhatnak hasonló mintát:

Felhasználási eset Javasolt művelet Resource
Mikroszegmentálás
  • Hálózati biztonsági csoportok (NSG-k) és ACL-ek használatával kényszerítheti ki a minimális áttekintési jogosultsági hozzáférést a számítási feladatok között.
 Az Azure hálózati biztonsági csoportjainak áttekintése
Virtuális hálózatok elkülönítése
  • A Microsoft Defender biztonságirés-kezeléshez hasonló eszközök használata a rendszerek vizsgálatához és a CVE-k rangsorolásához
 VNets izolálása - Azure virtuális hálózatok
PaaS-erőforrások szegélyvédelme
  • Az Azure Network Security biztonságos hozzáférésének használata olyan szolgáltatásokhoz, mint a Storage, az SQL és a Key Vault.
 Mi a hálózati biztonsági szegély?
Virtuális gépek biztonságos csatlakoztatása
  • Az Azure Bastion használatával biztonságos RDP-/SSH-kapcsolatot létesíthet virtuális gépekhez anélkül, hogy erőforrásokat tárt fel az internetre.
 Az Azure Bastion ismertetése
Kimenő virtuális hozzáférés korlátozása
  • Távolítsa el az alapértelmezett kimenő internet-hozzáférést, és alkalmazza a minimális jogosultságú hálózatot a szolgáltatás kimenő forgalmára.
 Alapértelmezett kimenő hozzáférés az Azure-ban – Azure Virtual Network
Rétegzett szegélyvédelem
  • Tűzfalak, szolgáltatáscímkék, NSG-k és DDoS-védelem alkalmazása a többrétegű biztonság kikényszerítéséhez.
 Az Azure DDoS Protection áttekintése
Központosított szabályzatkezelés
  • Az Azure Virtual Network Managerrel biztonsági rendszergazdai szabályokkal központilag kezelheti a hálózatelkülönítési szabályzatokat.
 Biztonsági rendszergazdai szabályok az Azure Virtual Network Managerben

Eredmények

Előnyök

  • Rugalmasság: Korlátozza a behatolás robbanási sugarát.  
  • Méretezhetőség: A szabványosított hálózatelkülönítés támogatja a nagyvállalati szintű környezeteket.  
  • Láthatóság: A szolgáltatáscímkézés és a figyelés a forgalmi folyamatok egyértelműbb hozzárendelését biztosítja.  
  • Szabályozási igazítás: Támogatja a bizalmas erőforrások szigorú elkülönítését igénylő keretrendszereknek való megfelelést.  

Trade-offs

  • Működési többletterhelés: A szegmentált hálózatok tervezése és karbantartása tervezést és folyamatos frissítéseket igényel.
  • Összetettség: A szegmentálás további felügyeleti rétegeket eredményezhet, és automatizálást igényelhet a skálázáshoz.  
  • Teljesítménnyel kapcsolatos megfontolások: Egyes elkülönítési mértékek kismértékben növelhetik a késést.  

Főbb sikertényezők

A siker nyomon követéséhez mérje a következőket:

  • A közvetlen internetes kitettség nélküli izolált virtuális hálózatokban üzembe helyezett számítási feladatok száma.  
  • A központi biztonsági rendszergazdai szabályok által szabályozott szolgáltatások százalékos aránya.  
  • A vörös csapat tesztelése során azonosított oldalirányú mozgásvonalak csökkentése.  
  • A legkisebb jogosultsági szintű házirendeknek való megfelelés a környezetekben.  
  • Itt az ideje a rendellenes hálózati tevékenységek észlelésének és szervizelésének.  

Összefoglalás

A hálózatelkülönítés alapvető stratégia az oldalirányú mozgás megelőzésére és a bizalmas számítási feladatok védelmére. Az erőforrások szegmentálásával, a szegélyek kikényszerítésével és a rétegzett védelem alkalmazásával a szervezetek csökkentik a támadási felületüket, és rugalmasságot építenek ki a modern támadókkal szemben.

A hálózatok elkülönítése már nem választható, ez nélkülözhetetlen intézkedés a felhő- és hibrid környezetek védelméhez. A hálózatelkülönítési célkitűzés egyértelmű keretet biztosít az oldalirányú mozgás csökkentéséhez, a zéró megbízhatósághoz való igazodáshoz és a nagyvállalati szintű környezetek védelméhez.  

Emellett minden hálózati, identitás- és eszköztevékenységet folyamatosan figyelni kell. A naplózás központosítása és a biztonsági riasztások korrelálása kiterjesztett észlelési és válaszmegoldásokkal és SIEM-eszközökkel az anomáliák és fenyegetések hatékony észleléséhez. Kombinálja az észlelést a viselkedéselemzéssel, a mély csomagvizsgálattal és az automatikus fenyegetésreagálással, hogy gyorsan elszigeteljen gyanús tevékenységet, és támogassa a hatékony incidenskezelést.

Értékelje ki az aktuális hálózati topológiát, és implementálja a szegmentálási és szegélyvezérlőket a hálózatelkülönítési célkitűzésnek megfelelően.

  • Last updated on