Сегменттеу стратегиясын құру бойынша ұсыныстар
Power Platform Жақсы сәулеттелген қауіпсіздік бақылау тізімі ұсынысына қолданылады:
| SE: 04 | Архитектура дизайнында әдейі сегменттеу мен периметрлерді және платформадағы жұмыс жүктемесінің ізін жасаңыз. Сегменттеу стратегиясы желілерді, рөлдер мен жауапкершіліктерді, жұмыс жүктемесінің сәйкестіктерін және ресурстарды ұйымдастыруды қамтуы керек. |
|---|
Сегменттеу стратегиясы жұмыс жүктемелерін басқа жұмыс жүктемелерінен өздерінің қауіпсіздік талаптары мен шараларының жиынтығымен бөлу жолын анықтайды.
Бұл нұсқаулық бірыңғай сегменттеу стратегиясын құру бойынша ұсыныстарды сипаттайды. Жұмыс жүктемелеріндегі периметрлер мен оқшаулау шекараларын пайдалана отырып, сіз өзіңіз үшін жұмыс істейтін қауіпсіздік тәсілін жасай аласыз.
Анықтамалар
| Термин | Анықтама |
|---|---|
| Ұстау | Егер шабуылдаушы сегмент файлына қол жеткізсе, жарылыс радиусын ұстау әдісі. |
| Ең аз артықшылықты рұқсат | Жұмыс функциясын аяқтау үшін рұқсаттар жинағын азайтуға бағытталған Zero Trust принципі. |
| Периметр | сегмент айналасындағы сенім шекарасы. |
| Ресурсты ұйымдастыру | Қатысты ресурстарды сегмент ішіндегі ағындар бойынша топтау стратегиясы. |
| Рөл | Тапсырма функциясын аяқтау үшін қажет рұқсаттар жинағы. |
| Сегмент | Басқа нысандардан оқшауланған және қауіпсіздік шараларының жиынтығымен қорғалған логикалық бірлік. |
Негізгі дизайн стратегиялары
Сегменттеу тұжырымдамасы әдетте желілер үшін қолданылады. Дегенмен, басқару мақсаттары үшін ресурстарды сегменттеуді және қол жеткізуді басқаруды қоса алғанда, бірдей негізгі принцип бүкіл шешімде қолданылуы мүмкін.
Сегменттеу сізге Zero Trust үлгісінің принциптеріне негізделген терең қорғанысты қолданатын қауіпсіздік тәсілін жобалауға көмектеседі. Бір сегмент бұзған шабуылдаушы басқа идентификациялық басқару элементтерімен жұмыс жүктемелерін сегменттеу арқылы басқасына қол жеткізе алмайтынына көз жеткізіңіз. Қауіпсіз жүйеде рұқсатсыз кіруді блоктау және активтерді жасыру үшін желі және сәйкестік сияқты әртүрлі атрибуттар пайдаланылады.
Мұнда сегменттердің кейбір мысалдары берілген:
- Желі шекараларын анықтайтын платформалық басқару элементтері
- Ұйымның жұмыс жүктемесін оқшаулайтын орталар
- Жұмыс жүктемесінің активтерін оқшаулайтын шешімдер
- Орналастыруды кезеңдері бойынша оқшаулайтын орналастыру орталары
- Жұмыс жүктемесін әзірлеуге және басқаруға байланысты жұмыс функцияларын оқшаулайтын топтар мен рөлдер
- Жұмыс жүктемесінің қызметтік бағдарламасы арқылы оқшауланатын қолданба деңгейлері
- Бір қызметті екіншісінен оқшаулайтын микросервистер
Тереңдетілген қорғаныс стратегиясын жасап жатқаныңызға көз жеткізу үшін сегменттеудің осы негізгі элементтерін қарастырыңыз:
шекара немесе периметр қауіпсіздік басқару элементтерін қолданатын сегмент кіріс жиегі болып табылады. Периметрді басқару элементтері нақты рұқсат етілмесе, сегмент қатынасын блоктауы керек. Мақсат - шабуылдаушының периметрді бұзып, жүйені бақылауға алуына жол бермеу. Мысалы, пайдаланушының ортаға қатынасы болуы мүмкін, бірақ олардың рұқсаттары негізінде сол ортада арнайы қолданбаларды ғана іске қоса алады.
Контейнер жүйедегі бүйірлік қозғалысты болдырмайтын сегмент файлының шығу шеті. Тығыздаудың мақсаты - бұзушылықтың әсерін барынша азайту. Мысалы, виртуалды желі маршруттауды және желілік қауіпсіздік топтарын конфигурациялау үшін тек сіз күткен трафик үлгілеріне рұқсат беру үшін пайдаланылуы мүмкін, бұл кездейсоқ желі сегменттеріне трафикті болдырмайды.
Оқшаулау бұл ұқсас кепілдіктері бар субъектілерді шекарамен қорғау үшін топтастыру тәжірибесі. Мақсат - басқарудың қарапайымдылығы және ортадағы шабуылды тежеу. Мысалы, белгілі бір жұмыс жүктемесіне қатысты ресурстарды бір Power Platform ортаға немесе бір шешімге топтастыруыңызға болады, содан кейін тек арнайы жұмыс жүктемесі топтары ортаға қатынаса алатындай қатынасты басқаруды қолдануға болады.
Периметрлер мен оқшаулау арасындағы айырмашылықты атап өту маңызды. Периметр тексерілуі тиіс орналасу нүктелерін білдіреді. Оқшаулау топтастыруға қатысты. Осы ұғымдарды бірге қолдану арқылы шабуылды белсенді түрде ұстаңыз.
Оқшаулау ұйымда силос құру дегенді білдірмейді. Бірыңғай сегменттеу стратегиясы техникалық топтар арасындағы теңестіруді қамтамасыз етеді және жауапкершіліктің нақты сызықтарын белгілейді. Айқындық қауіпсіздіктің осалдығына, жұмыстың тоқтап қалуына немесе екеуіне де әкелуі мүмкін адам қатесі мен автоматтандыру ақауларының қаупін азайтады. Күрделі кәсіпорын жүйесінің құрамдас бөлігінде қауіпсіздіктің бұзылуы анықталды делік. Тиісті адамды триаж тобына қосу үшін бұл ресурс үшін кім жауапты екенін әркім түсінуі маңызды. Ұйым мен мүдделі тараптар жақсы сегменттеу стратегиясын жасау және құжаттау арқылы әртүрлі оқиғаларға қалай әрекет ету керектігін тез анықтай алады.
Tradeoff: Сегменттеу күрделілікті енгізеді, себебі басқаруда үстеме шығындар бар.
Тәуекел: ақылға қонымды шектен асатын микро сегменттеу оқшаулаудың пайдасын жоғалтады. Тым көп сегменттерді жасағанда, байланыс нүктелерін анықтау немесе сегмент ішінде жарамды байланыс жолдарына рұқсат беру қиынға соғады.
Периметр ретінде сәйкестік
Адамдар, бағдарламалық құрал құрамдастары немесе құрылғылар сияқты әртүрлі сәйкестіктер жұмыс жүктемесінің сегменттеріне қатынасады. Сәйкестік - бұл қорғаныстың негізгі сызығы болуы керек периметр аутентификация және оқшаулау шекаралары арқылы қол жеткізуге рұқсат беру, рұқсат сұрауы қай жерден шыққанына қарамастан. Периметр ретінде сәйкестікті пайдаланыңыз:
Рөл бойынша рұқсатты тағайындаңыз. Идентификаторларға тек өз жұмысын орындау үшін қажетті сегменттерге қол жеткізу қажет. сегмент рұқсатын сұрап отырған нысанды және қандай мақсатта екенін білу үшін сұрау салушы идентификацияның рөлдері мен жауапкершілігін түсіну арқылы анонимді қатынасты азайтыңыз.
Идентификатта әртүрлі сегменттерде әртүрлі кіру аумақтары болуы мүмкін. Әр кезең үшін бөлек сегменттері бар әдеттегі орта орнатуын қарастырыңыз. Әзірлеуші рөлімен байланысты сәйкестіктер әзірлеу ортасына оқу-жазу қатынасына ие. Орналастыру кезеңге көшкен сайын бұл рұқсаттар шектеледі. Жұмыс жүктемесі өндіріске көтерілген кезде, әзірлеушілерге арналған аумақ тек оқу үшін қолжетімділікке дейін азаяды.
Қолданба мен басқару сәйкестіктерін бөлек қарастырыңыз. Көптеген шешімдерде пайдаланушылар әзірлеушілерге немесе операторларға қарағанда басқа қолжетімділік деңгейіне ие. Кейбір қолданбаларда сәйкестендірудің әр түрі үшін әртүрлі сәйкестендіру жүйелерін немесе каталогтарды пайдалануыңыз мүмкін. Әрбір сәйкестік үшін бөлек рөлдерді жасауды қарастырыңыз.
Ең аз артықшылықты рұқсатты тағайындаңыз. Идентификаторға кіруге рұқсат етілсе, қатынас деңгейін анықтаңыз. Әрбір сегмент үшін ең аз артықшылықтан бастаңыз және қажет болғанда ғана бұл ауқымды кеңейтіңіз.
Ең аз артықшылықты қолдану арқылы жеке куәлік бұзылған жағдайда жағымсыз әсерлерді шектейсіз. Егер қол жеткізу уақытпен шектелсе, шабуыл беті одан әрі азаяды. Уақытпен шектелген қатынас әсіресе әкімшілер немесе сәйкестендіру деректері бұзылған бағдарламалық құрал құрамдастары сияқты маңызды тіркелгілерге қолданылады.
Сәйкестікті басқару элементтері туралы ақпарат алу үшін Идентификатор мен қатынасты басқаруға арналған ұсыныстарды қараңыз.
Желіге кіруді басқару элементтерінен айырмашылығы, сәйкестік қол жеткізу уақытында қол жеткізуді басқаруды тексереді. Критикалық әсер ету тіркелгілері үшін артықшылықтарды алу үшін тұрақты кіруді тексеру және бекіту жұмыс процесін талап ету ұсынылады.
Периметр ретіндегі желі
Сәйкестік периметрлері желі агностикалық болып табылады, ал желі периметрлері сәйкестендіруді арттырады, бірақ оны ешқашан ауыстырмайды. Желі периметрлері жарылыс радиусын басқару, күтпеген, тыйым салынған және қауіпті қол жеткізуді блоктау және жұмыс жүктемесінің ресурстарын жасыру үшін орнатылады.
Сәйкестендіру периметрінің негізгі фокусы ең аз артықшылық болса да, сіз желі периметрін жобалау кезінде бұзушылық болады деп болжауыңыз керек.
Power Platform және Azure қызметтері мен мүмкіндіктерін пайдаланып желілік ізде бағдарламалық құралмен анықталған периметрлерді жасаңыз. Жұмыс жүктемесі (немесе берілген жұмыс жүктемесінің бөліктері) бөлек сегменттерге орналастырылған кезде, байланыс жолдарын қорғау үшін сол сегменттерден келетін немесе сол сегменттерге трафикті басқарасыз. Егер сегмент бұзылса, ол қамтылады және желіңіздің қалған бөлігі арқылы бүйірлік таралуына жол бермейді.
Жұмыс жүктемесінің шегіне жету үшін шабуылдаушы сияқты ойлаңыз және одан әрі кеңейтуді азайту үшін басқару элементтерін орнатыңыз. Басқару элементтері шабуылдаушыларды анықтауы, қамтуы және бүкіл жұмыс жүктемесіне қол жеткізуін тоқтатуы керек. Мұнда периметр ретінде желіні басқарудың кейбір мысалдары берілген:
- Қоғамдық желілер мен жұмыс жүктемесі орналастырылған желі арасындағы шет периметрін анықтаңыз. Қоғамдық желілерден желіңізге көру мүмкіндігін барынша шектеңіз.
- Ниет негізінде шекараларды жасаңыз. Мысалы, сегмент операциялық желілерден функционалды желілерді жүктейді.
Рөлдер мен міндеттер
Шатасулар мен қауіпсіздік тәуекелдерін болдырмайтын сегменттеу жұмыс жүктемесі тобында жауапкершілік сызықтарын нақты анықтау арқылы қол жеткізіледі.
Жүйелілік жасау және байланысты жеңілдету үшін рөлдер мен функцияларды құжаттаңыз және бөлісіңіз. Негізгі функцияларға жауапты топтарды немесе жеке рөлдерді белгілеңіз. Нысандар үшін теңшелетін рөлдерді жасамас бұрын Power Platform ішіндегі кірістірілген рөлдерді қарастырыңыз.
сегмент үшін рұқсаттарды тағайындау кезінде бірнеше ұйымдық үлгілерді орналастыру кезінде жүйелілікті ескеріңіз. Бұл модельдер бір орталықтандырылған АТ тобынан негізінен тәуелсіз АТ және DevOps командаларына дейін болуы мүмкін.
Ресурсты ұйымдастыру
Сегменттеу жұмыс жүктемесі ресурстарын ұйымның басқа бөліктерінен немесе тіпті топ ішінде оқшаулауға мүмкіндік береді. Power Platform орталар мен шешімдер сияқты құрылымдар сегменттеуді ынталандыратын ресурстарды ұйымдастыру жолдары болып табылады.
Power Platform жеңілдету
Келесі бөлімдер сегменттеу стратегиясын жүзеге асыру үшін пайдалануға болатын Power Platform мүмкіндіктер мен мүмкіндіктерді сипаттайды.
Түпнұсқалық
Барлық Power Platform өнімдер сәйкестендіру және кіруді басқару үшін Microsoft Entra ID (бұрын Azure Active Directory немесе Azure AD) пайдаланады. Жеке куәлік периметрлерін анықтау үшін Entra ID ішінде кірістірілген қауіпсіздік рөлдерін, шартты қатынасты, артықшылықты сәйкестендіруді басқаруды және топтық қатынасты басқаруды пайдалануға болады.
Microsoft Dataverse артықшылықтар жинағын біріктіру үшін рөлге негізделген қауіпсіздікті пайдаланады. Бұл қауіпсіздік рөлдерін пайдаланушылармен тікелей байланыстыруға немесе оларды Dataverse топтарымен және бизнес бөлімшелермен байланыстыруға болады. Қосымша ақпаратты Қауіпсіздік тұжырымдамаларын Microsoft Dataverse бөлімінен қараңыз.
Желі құру
Power Platformүшін Azure Виртуалды Желінің қолдауымен сіз Power Platform виртуалды желіңіздің ішіндегі ресурстармен оларды жалпыға қолжетімді интернет арқылы ашпай біріктіре аласыз. Виртуалды желіні қолдау қызметі жұмыс уақытында Power Platform шығыс трафикті басқару үшін Azure ішкі желі делегациясын пайдаланады. Делегатты пайдалану Power Platform біріктіру үшін интернет арқылы саяхаттау үшін қорғалған ресурстар қажеттілігін болдырмайды. Виртуалды желі, Dataverse және Power Platform компоненттер Azure немесе жергілікті ішінде орналастырылғанына қарамастан, желіңіздегі кәсіпорынға тиесілі ресурстарға қоңырау шалып, қосылатын модульдер мен қосқыштарды пайдалана алады. шығыс қоңыраулар жасаңыз. Қосымша ақпаратты Power Platform шолу үшін виртуалды желіні қолдау бөлімін қараңыз.
орталарға арналған IP брандмауэр Power Platform тек рұқсат етілген IP орындарынан Dataverse қолданушының кіруін шектеу арқылы деректеріңізді қорғауға көмектеседі.
Microsoft Azure ExpressRoute жергілікті желісін жеке қосылым арқылы Microsoft бұлттық қызметтерге қосудың кеңейтілген әдісін ұсынады. Бір ExpressRoute қосылымын бірнеше онлайн қызметтерге қол жеткізу үшін пайдалануға болады; мысалы, Microsoft Power Platform, Dynamics 365, Microsoft 365 және Azure.
Қауіпсіздікті тексеру тізімі
Ұсыныстардың толық жинағын қараңыз.