Pastaba.
Prieigai prie šio puslapio reikalingas įgaliojimas. Galite bandyti prisijungti arba pakeisti katalogus.
Prieigai prie šio puslapio reikalingas įgaliojimas. Galite bandyti pakeisti katalogus.
Taikoma **gerai suprojektuoto saugumo** kontrolinio sąrašo rekomendacijai:** Power Platform
| SE:04 | Sukurkite sąmoningą segmentavimą ir perimetrus savo architektūros projekte ir darbo krūvio užimamoje platformoje. Segmentavimo strategija turi apimti tinklus, vaidmenis ir atsakomybes, darbo krūvio tapatybes ir išteklių organizavimą. |
|---|
Segmentavimo strategija apibrėžia, kaip atskiriate darbo krūvius nuo kitų darbo krūvių su savo saugumo reikalavimų ir priemonių rinkiniu.
Šiame vadove aprašomos rekomendacijos, kaip sukurti vieningą segmentavimo strategiją . Naudodami perimetrus ir izoliacijos ribas darbo krūviuose, galite sukurti jums tinkamą saugumo metodą.
Apibrėžimai
| Terminas | Apibrėžtis |
|---|---|
| Izoliavimas | Technika sprogimo spinduliui apriboti, jei užpuolikas gauna prieigą prie segmento. |
| Prieiga su mažiausiai privilegijomis | Nulinio pasitikėjimo principas, kuriuo siekiama sumažinti leidimų rinkinį, reikalingą darbo funkcijai atlikti. |
| Perimetras | Pasitikėjimo riba aplink segmentą. |
| Išteklių organizavimas | Strategija, skirta grupuoti susijusius išteklius pagal srautus segmento viduje. |
| Role | Leidimų rinkinys, reikalingas darbo funkcijai atlikti. |
| Segmentas | Loginis vienetas, izoliuotas nuo kitų objektų ir apsaugotas saugos priemonių rinkiniu. |
Pagrindinės projektavimo strategijos
Segmentavimo sąvoka dažniausiai naudojama tinklams. Tačiau tas pats pagrindinis principas gali būti naudojamas visame sprendime, įskaitant išteklių segmentavimą valdymo tikslais ir prieigos kontrolę.
Segmentavimas padeda sukurti saugumo metodą, kuris taiko gynimo priemones, remiantis nulinio pasitikėjimo modelio principais. Užtikrinkite, kad užpuolikas, pažeidęs vieną segmentą, negalėtų pasiekti kito, segmentuodamas darbo krūvius su skirtingais tapatybės valdikliais. Saugioje sistemoje skirtingi atributai, tokie kaip tinklas ir tapatybė, naudojami siekiant blokuoti neteisėtą prieigą ir paslėpti turtą nuo atskleidimo.
Štai keletas segmentų pavyzdžių:
- Platformos valdikliai, apibrėžiantys tinklo ribas
- Aplinkos, kurios izoliuoja organizacijos darbo krūvius
- Sprendimai, kurie izoliuoja darbo krūvio išteklius
- Diegimo aplinkos, kurios atskiria diegimą pagal etapus
- Komandos ir vaidmenys, kurie išskiria su darbo krūvio kūrimu ir valdymu susijusias darbo funkcijas
- Programų pakopos, kurios izoliuoja pagal darbo krūvį
- Mikropaslaugos, kurios izoliuoja vieną paslaugą nuo kitos
Atsižvelkite į šiuos pagrindinius segmentavimo elementus, kad įsitikintumėte, jog kuriate išsamią ir nuodugnią gynybos strategiją:
Riba arba perimetras yra segmento, kuriame taikomos apsaugos kontrolės priemonės, įėjimo kraštas. Perimetro valdikliai turėtų blokuoti prieigą prie segmento, nebent tai būtų aiškiai leidžiama. Tikslas – neleisti užpuolikui prasiveržti pro perimetrą ir perimti sistemos kontrolės. Pavyzdžiui, vartotojas gali turėti prieigą prie aplinkos, bet paleisti joje tik konkrečias programas, remdamasis savo leidimais.
Apsauga yra segmento išėjimo kraštas, kuris neleidžia sistemoje judėti šoniniu būdu. Apsaugos tikslas – kuo labiau sumažinti pažeidimo poveikį. Pavyzdžiui, virtualus tinklas gali būti naudojamas maršrutizavimo ir tinklo saugos grupėms konfigūruoti, kad būtų leidžiami tik numatomi srauto modeliai, vengiant srauto į savavališkus tinklo segmentus.
Izoliavimas – tai subjektų, turinčių panašias garantijas, grupavimo praktika, siekiant juos apsaugoti riba. Tikslas – paprastas valdymas ir atakos sulaikymas aplinkoje. Pavyzdžiui, galite sugrupuoti su konkrečiu darbo krūviu susijusius išteklius į vieną Power Platform aplinką arba vieną sprendimą ir tada pritaikyti prieigos kontrolę, kad prie aplinkos galėtų prisijungti tik tam tikros darbo krūvio komandos.
Svarbu atkreipti dėmesį į skirtumą tarp perimetrų ir izoliacijos. Perimetras reiškia taškus, kuriuos reikia patikrinti. Izoliacija yra susijusi su grupavimusi. Aktyviai suvaldyti ataką, naudojant šias sąvokas kartu.
Izoliacija nereiškia silosų kūrimo organizacijoje. Vieninga segmentavimo strategija užtikrina techninių komandų darną ir nustato aiškias atsakomybės ribas. Aiškumas sumažina žmogiškųjų klaidų ir automatizavimo gedimų, kurie gali sukelti saugumo pažeidžiamumus, veiklos prastovas arba abu šiuos sutrikimus, riziką. Tarkime, kad sudėtingos įmonės sistemos komponente aptinkamas saugumo pažeidimas. Svarbu, kad visi suprastų, kas yra atsakingas už tą išteklių, kad į triažo komandą būtų įtrauktas tinkamas asmuo. Organizacija ir suinteresuotosios šalys gali greitai nustatyti, kaip reaguoti į įvairių rūšių incidentus, sukurdamos ir dokumentuodamos gerą segmentavimo strategiją.
Kompromisas: Segmentavimas sukelia sudėtingumą, nes valdymas yra papildomas.
Rizika: Mikrosegmentacija, viršijanti pagrįstas ribas, praranda izoliacijos pranašumą. Kai sukuriate per daug segmentų, tampa sunku nustatyti ryšio taškus arba leisti galiojančius ryšio kelius segmente.
Tapatybė kaip perimetras
Įvairios tapatybės, pvz., žmonės, programinės įrangos komponentai arba įrenginiai, pasiekia darbo krūvio segmentus. Tapatybė yra perimetras, kuris turėtų būti pagrindinė gynybos linija autentifikuoti ir autorizuoti prieigą per izoliacijos ribas, nepriklausomai nuo to, iš kur gauta prieigos užklausa. Naudokite tapatybę kaip perimetrą, kad:
Priskirti prieigą pagal vaidmenį. Tapatybėms reikia prieigos tik prie tų segmentų, kurie reikalingi jų darbui atlikti. Sumažinkite anoniminės prieigos skaičių suprasdami prašančiosios tapatybės vaidmenis ir pareigas, kad žinotumėte, kuris subjektas prašo prieigos prie segmento ir kokiu tikslu.
Tapatybė gali turėti skirtingas prieigos aprėptis skirtinguose segmentuose. Apsvarstykite tipinę aplinkos konfigūraciją su atskirais kiekvieno etapo segmentais. Su kūrėjo vaidmeniu susietos tapatybės turi skaitymo ir rašymo prieigą prie kūrimo aplinkos. Diegimui pereinant į parengiamąjį etapą, šios teisės apribojamos. Kol darbo krūvis perkeliamas į gamybinę aplinką, kūrėjų galimybės sumažėja iki tik skaitymo prieigos.
Apsvarstykite programos ir valdymo tapatybes atskirai. Daugumoje sprendimų vartotojai turi skirtingą prieigos lygį nei kūrėjai ar operatoriai. Kai kuriose programose kiekvienam tapatybės tipui galite naudoti skirtingas tapatybės sistemas arba katalogus. Apsvarstykite galimybę sukurti atskirus vaidmenis kiekvienai tapatybei.
Priskirti prieigą su mažiausiais privilegijomis. Jei tapatybei leidžiama prieiga, nustatykite prieigos lygį. Pradėkite nuo mažiausių privilegijų kiekvienam segmentui ir išplėskite šią taikymo sritį tik tada, kai reikia.
Taikydami mažiausią privilegiją, apribojate neigiamą poveikį, jei tapatybė kada nors būtų pažeista. Jei prieiga ribojama laiko, atakos paviršius dar labiau sumažėja. Laikinai ribota prieiga ypač taikoma kritinėms paskyroms, pvz., administratoriams arba programinės įrangos komponentams, kurių tapatybė pažeista.
Informacijos apie tapatybės kontrolę žr. Tapatybės ir prieigos valdymo rekomendacijos.
Skirtingai nuo tinklo prieigos kontrolės, tapatybė patvirtina prieigos kontrolę prieigos metu. Labai rekomenduojama reguliariai peržiūrėti prieigą ir reikalauti patvirtinimo darbo eigos, kad būtų gautos privilegijos itin svarbioms paskyroms.
Tinklai kaip perimetras
Tapatybės perimetrai yra nepriklausomi nuo tinklo, o tinklo perimetrai papildo tapatybę, bet niekada jos nepakeičia. Tinklo perimetrai nustatomi siekiant kontroliuoti sprogimo spindulį, blokuoti netikėtą, draudžiamą ir nesaugią prieigą bei užmaskuoti darbo krūvio išteklius.
Nors pagrindinis tapatybės perimetro tikslas yra sumažinti privilegijų skaičių, projektuojant tinklo perimetrą reikėtų daryti prielaidą, kad bus pažeidimas.
Kurkite programinės įrangos apibrėžtus perimetrus savo tinklo aprėptyje naudodami Power Platform ir „Azure“ paslaugas bei funkcijas. Kai darbo krūvis (arba jo dalys) yra patalpinamas į atskirus segmentus, jūs kontroliuojate srautą iš tų segmentų arba į juos, kad apsaugotumėte ryšio kelius. Jei segmentas yra pažeistas, jis yra sulaikomas ir neleidžia jam plisti per likusį tinklą.
Mąstykite kaip užpuolikas, kad įsitvirtintumėte darbo krūvyje ir nustatytumėte kontrolės priemones, kurios sumažintų tolesnę plėtrą. Kontrolės priemonės turėtų aptikti, sulaikyti ir neleisti užpuolikams pasiekti viso darbo krūvio. Štai keli tinklo valdiklių, kaip perimetro, pavyzdžiai:
- Apibrėžkite savo krašto perimetrą tarp viešųjų tinklų ir tinklo, kuriame yra jūsų darbo krūvis. Kiek įmanoma apribokite tiesioginį matomumą nuo viešųjų tinklų iki savo tinklo.
- Sukurkite ribas, pagrįstas ketinimais. Pavyzdžiui, segmentuoti darbo krūvio funkcinius tinklus nuo operacinių tinklų.
Vaidmenys ir pareigos
Segmentavimas, kuris padeda išvengti painiavos ir saugumo rizikos, pasiekiamas aiškiai apibrėžiant atsakomybės ribas darbo krūvio komandoje.
Dokumentuokite ir bendrinkite vaidmenis bei funkcijas, kad būtų užtikrintas nuoseklumas ir palengvintas bendravimas. Paskirkite grupes arba individualius vaidmenis, kurie būtų atsakingi už pagrindines funkcijas. Prieš kurdami pasirinktinius objektų vaidmenis, apsvarstykite integruotus vaidmenis . Power Platform
Priskirdami segmento teises, atsižvelkite į nuoseklumą, atsižvelgdami į kelis organizacinius modelius. Šie modeliai gali būti nuo vienos centralizuotos IT grupės iki daugiausia nepriklausomų IT ir DevOps komandų.
Išteklių organizavimas
Segmentavimas leidžia izoliuoti darbo krūvio išteklius nuo kitų organizacijos dalių ar net komandos viduje. Power Platform Konstrukcijos, tokios kaip aplinkos ir sprendimai, yra jūsų išteklių organizavimo būdai, skatinantys segmentavimą.
Pavyzdžiui
Peržiūrėkite nuorodų architektūrą, kaip apsaugoti "Power Platform" prieigą prie išteklių virtualiame tinkle. Šiame straipsnyje pateikiamas scenarijaus pavyzdys ir apibendrintas architektūros pavyzdys, iliustruojantis, kaip apsaugoti Power Platform prieigą prie "Azure" išteklių naudojant "Azure" virtualųjį tinklą.
Power Platform palengvinimas
Šiuose skyriuose aprašomos Power Platform funkcijos ir galimybės, kurias galite naudoti segmentavimo strategijai įgyvendinti.
Tapatybė
Visuose **produktuose** tapatybės ir prieigos valdymui naudojamas **ID** (anksčiau **arba **a17> Power Platform ). Microsoft Entra Azure Active Directory Azure AD „Entra ID“ galite naudoti integruotus saugos vaidmenis, sąlyginę prieigą, privilegijuotą tapatybės valdymą ir grupės prieigos valdymą, kad apibrėžtumėte savo tapatybės perimetrus.
Microsoft Dataverse naudoja vaidmenimis pagrįstą saugumą, kad sugrupuotų privilegijų rinkinį. Šie saugos vaidmenys gali būti tiesiogiai susieti su vartotojais arba jie gali būti susieti su „Dataverse“ komandomis ir verslo padaliniais. Daugiau informacijos žr. Saugumo sąvokos Microsoft Dataverse.
Ryšių kūrimas
Naudodami „Azure“ virtualiojo tinklo palaikymą, galite integruotis su savo virtualiojo tinklo ištekliais neatskleisdami jų viešajame internete. Power Platform Power Platform Virtualaus tinklo palaikymas naudoja „Azure“ potinklio delegavimą, kad valdytų išeinantį srautą iš Power Platform vykdymo metu. Naudojant delegatą, apsaugotiems ištekliams nereikia keliauti internetu, kad būtų galima integruotis su Power Platform. Virtualus tinklas Dataverseir Power Platform komponentai gali iškviesti jūsų įmonei priklausančius išteklius jūsų tinkle, nesvarbu, ar jie talpinami „Azure“, ar vietoje, ir naudoti papildinius bei jungtis, kad atliktų išeinančius skambučius. Daugiau informacijos žr. **Virtualių tinklų palaikymo** apžvalgą.** Power Platform
IP užkarda, skirta aplinkoms Power Platform , padeda apsaugoti jūsų duomenis, apribodama vartotojų prieigą Dataverse tik iš leidžiamų IP adresų vietų.
„Microsoft“ Azure ExpressRoute suteikia pažangų būdą prijungti vietinį tinklą prie „Microsoft“ debesies paslaugų naudojant privatų ryšį. Vienas „ExpressRoute“ ryšys gali būti naudojamas norint pasiekti kelias internetines paslaugas, pavyzdžiui, Microsoft Power Platform, „Dynamics 365“, Microsoft 365 ir „Azure“.
Susijusi informacija
Saugos kontrolinis sąrašas
Žr. visą rekomendacijų rinkinį.