Kopīgot, izmantojot

Ieteikumi segmentācijas stratēģijas izveidei

Attiecas uz Power Platform labi arhitektūras drošības kontrolsaraksta ieteikumu:

SE:04 Izveidojiet apzinātu segmentāciju un perimetrus savā arhitektūras dizainā un darba slodzes nospiedumā platformā. Segmentācijas stratēģijā jāiekļauj tīkli, lomas un pienākumi, darba slodzes identitāte un resursu organizācija.

Segmentēšanas stratēģija nosaka, kā jūs atdalījat darba slodzes no citām darba slodzēm, izmantojot savu drošības prasību un pasākumu kopumu.

Šajā rokasgrāmatā ir aprakstīti ieteikumi vienotas segmentācijas stratēģijas izveidei. Izmantojot perimetrus un izolācijas robežas darba slodzēs, varat izstrādāt drošības pieeju, kas jums piemērota.

Definīcijas

Termins Definīcija
Ierobežošanas Paņēmiens, lai ierobežotu sprādziena rādiusu, ja uzbrucējs iegūst piekļuvi segmentam.
Piekļuve vismazākajām privilēģijām Nulles uzticēšanās princips, kura mērķis ir samazināt atļauju kopumu, lai pabeigtu darba funkciju.
Perimetrs Uzticības robeža ap segmentu.
Resursu organizācija Stratēģija, lai grupētu saistītos resursus pēc plūsmām segmentā.
Role Atļauju kopa, kas nepieciešama, lai pabeigtu darba funkciju.
Segments Loģiska vienība, kas ir izolēta no citām entītijām un aizsargāta ar drošības pasākumu kopumu.

Galvenās dizaina stratēģijas

Segmentācijas jēdzienu parasti izmanto tīkliem. Tomēr visā risinājumā var izmantot to pašu pamatprincipu, tostarp resursu segmentēšanu pārvaldības un piekļuves kontroles nolūkos.

Segmentācija palīdz izstrādāt drošības pieeju, kas padziļināti piemēro aizsardzību, pamatojoties uz nulles uzticamības modeļa principiem. Pārliecinieties, ka uzbrucējs, kurš pārkāpj vienu segmentu, nevar piekļūt citam, segmentējot darba slodzes ar dažādām identitātes vadīklām. Drošā sistēmā tiek izmantoti dažādi atribūti, piemēram, tīkls un identitāte, lai bloķētu nesankcionētu piekļuvi un paslēptu aktīvus no atklāšanas.

Tālāk ir norādīti daži segmentu piemēri.

  • Platformas vadīklas, kas definē tīkla robežas
  • Vide, kas izolē organizācijas darba slodzes
  • Risinājumi, kas izolē darba slodzes līdzekļus
  • Izvietošanas vides, kas izolē izvietošanu pa posmiem
  • Darba grupas un lomas, kas izolē darba funkcijas, kas saistītas ar darba slodzes izstrādi un pārvaldību
  • Lietojumprogrammu līmeņi, kas izolējas pēc darba slodzes lietderības
  • Mikropakalpojumi, kas izolē vienu pakalpojumu no cita

Apsveriet šos galvenos segmentācijas elementus, lai pārliecinātos, ka veidojat visaptverošu padziļinātas aizsardzības stratēģiju:

  • Robeža vai perimetrs ir segmenta ieejas mala, kurā tiek izmantotas drošības kontroles. Perimetra vadīklām jābloķē piekļuve segmentam, ja vien tas nav skaidri atļauts. Mērķis ir novērst uzbrucēja izlauzšanos cauri perimetram un sistēmas kontrolei. Piemēram, lietotājam var būt piekļuve videi, bet šajā vidē var palaist tikai noteiktas lietojumprogrammas, pamatojoties uz savām atļaujām.

  • Izolācija ir segmenta izejas mala, kas novērš sānu kustību sistēmā. Ierobežošanas mērķis ir samazināt pārkāpuma ietekmi. Piemēram, virtuālo tīklu var izmantot, lai konfigurētu maršrutēšanas un tīkla drošības grupas, lai atļautu tikai sagaidāmos datplūsmas modeļus, izvairoties no datplūsmas uz patvaļīgiem tīkla segmentiem.

  • Izolācija ir prakse, kurā vienības ar līdzīgām garantijām tiek grupētas kopā, lai aizsargātu tās ar robežu. Mērķis ir viegla pārvaldība un uzbrukuma ierobežošana vidē. Piemēram, varat grupēt resursus, kas saistīti ar konkrētu darba slodzi, vienā Power Platform vidē vai vienā risinājumā un pēc tam lietot piekļuves kontroli, lai videi varētu piekļūt tikai noteiktas darba slodzes komandas.

Ir svarīgi atzīmēt atšķirību starp perimetriem un izolāciju. Perimetrs attiecas uz atrašanās vietas punktiem, kas jāpārbauda. Izolācija ir par grupēšanu. Aktīvi ierobežojiet uzbrukumu, izmantojot šos jēdzienus kopā.

Izolācija nenozīmē tvertņu radīšanu organizācijā. Vienota segmentācijas stratēģija nodrošina saskaņošanu starp tehniskajām komandām un nosaka skaidras atbildības līnijas. Skaidrība samazina cilvēcisko kļūdu un automatizācijas kļūmju risku, kas var izraisīt drošības ievainojamību, darbības dīkstāvi vai abus. Pieņemsim, ka drošības pārkāpums tiek atklāts sarežģītas uzņēmuma sistēmas komponentā. Ir svarīgi, lai ikviens saprastu, kurš ir atbildīgs par šo resursu, lai atbilstošā persona tiktu iekļauta šķirošanas komandā. Organizācija un ieinteresētās personas var ātri identificēt, kā reaģēt uz dažāda veida incidentiem, izveidojot un dokumentējot labu segmentācijas stratēģiju.

Kompromiss: Segmentācija rada sarežģītību, jo vadībā ir pieskaitāmās izmaksas.

Risks: Mikrosegmentācija virs saprātīgas robežas zaudē izolācijas priekšrocības. Izveidojot pārāk daudz segmentu, kļūst grūti identificēt saziņas punktus vai atļaut derīgus saziņas ceļus segmentā.

Identitāte kā perimetrs

Dažādas identitātes, piemēram, cilvēki, programmatūras komponenti vai ierīces, piekļūst darba slodzes segmentiem. Identitāte ir perimetrs, kuram vajadzētu būt galvenajai aizsardzības līnijai, lai autentificētu un autorizētu piekļuvi pāri izolācijas robežām, neatkarīgi no piekļuves pieprasījuma izcelsmes. Izmantojiet identitāti kā perimetru, lai:

  • Piešķiriet piekļuvi pēc lomas. Identitātēm ir nepieciešama piekļuve tikai segmentiem, kas nepieciešami, lai veiktu savu darbu. Samaziniet anonīmu piekļuvi, izprotot pieprasījuma iesniedzējas identitātes lomas un pienākumus, lai zinātu entītiju, kas pieprasa piekļuvi segmentam un kādam nolūkam.

    Identitātei var būt atšķirīgs piekļuves tvērums dažādos segmentos. Apsveriet tipisku vides iestatīšanu ar atsevišķiem segmentiem katram posmam. Identitātēm, kas saistītas ar izstrādātāja lomu, ir lasīšanas/rakstīšanas piekļuve izstrādes videi. Izvietošanai pārejot uz iestāšanu, šīs atļaujas tiek ierobežotas. Līdz brīdim, kad darba slodze tiek pārvietota uz ražošanu, izstrādātājiem tiek samazināta tikai lasīšanas piekļuve.

  • Apsveriet lietojumprogrammas un pārvaldības identitātes atsevišķi. Lielākajā daļā risinājumu lietotājiem ir atšķirīgs piekļuves līmenis nekā izstrādātājiem vai operatoriem. Dažās lietojumprogrammās katram identitātes tipam var izmantot dažādas identitātes sistēmas vai direktorijus. Apsveriet iespēju izveidot atsevišķas lomas katrai identitātei.

  • Piešķiriet piekļuvi vismazākajām privilēģijām. Ja identitātei ir atļauta piekļuve, nosakiet piekļuves līmeni. Sāciet ar vismazākajām privilēģijām katram segmentam un paplašiniet šo tvērumu tikai tad, ja nepieciešams.

    Piemērojot vismazākās privilēģijas, jūs ierobežojat negatīvo ietekmi, ja identitāte kādreiz tiek apdraudēta. Ja piekļuve ir ierobežota ar laiku, uzbrukuma virsma tiek vēl vairāk samazināta. Ierobežota piekļuve ir īpaši piemērojama kritiskiem kontiem, piemēram, administratoriem vai programmatūras komponentiem, kuriem ir apdraudēta identitāte.

Kompromiss: uz lomām balstīta piekļuves kontrole (RBAC) rada pārvaldības pieskaitāmās izmaksas. Identitātes un to piekļuves tvērumu izsekošana var kļūt sarežģīta lomu piešķiršanā. Apsveriet iespēju piešķirt lomas drošības grupām, nevis atsevišķām identitātēm.

Risks: identitātes iestatījumi var būt sarežģīti. Nepareizas konfigurācijas var ietekmēt darba slodzes uzticamību. Piemēram, pieņemsim, ka ir nepareizi konfigurēta lomu piešķiršana, kurai tiek liegta piekļuve datu bāzei. Pieprasījumi sāk neizdoties, galu galā radot uzticamības problēmas, kuras citādi nevar noteikt līdz izpildlaikam.

Informāciju par identitātes vadīklām skatiet sadaļā Identitātes un piekļuves pārvaldības ieteikumi.

Atšķirībā no tīkla piekļuves vadīklām, identitāte apstiprina piekļuves kontroli piekļuves laikā. Ir ļoti ieteicams veikt regulāru piekļuves pārbaudi un pieprasīt apstiprināšanas darbplūsmu, lai iegūtu atļaujas kritiskās ietekmes kontiem.

Tīklošana kā perimetrs

Identitātes perimetri ir tīkla agnostiski, bet tīkla perimetri palielina identitāti, bet nekad to neaizstāj. Tīkla perimetri tiek izveidoti, lai kontrolētu sprādziena rādiusu, bloķētu negaidītu, aizliegtu un nedrošu piekļuvi un aizsegtu darba slodzes resursus.

Lai gan identitātes perimetra galvenais fokuss ir vismazākās privilēģijas, jums jāpieņem, ka, izstrādājot tīkla perimetru, notiks pārkāpums.

Izveidojiet programmatūras definētus perimetrus tīkla nospiedumā, izmantojot Power Platform Azure pakalpojumus un līdzekļus. Kad darba slodze (vai noteiktas darba slodzes daļas) tiek ievietotas atsevišķos segmentos, jūs kontrolējat datplūsmu no šiem segmentiem vai uz tiem, lai aizsargātu saziņas ceļus. Ja segments ir apdraudēts, tas tiek ierobežots un neļauj sāniski izplatīties visā pārējā tīklā.

Domājiet kā uzbrucējs, lai iegūtu pamatu darba slodzē un izveidotu kontroli, lai samazinātu turpmāku paplašināšanos. Vadīklām jāatklāj, jāierobežo un jāaptur uzbrucēju piekļuve visai darba slodzei. Tālāk ir norādīti daži tīkla vadīklu piemēri kā perimetrs.

  • Definējiet perimetru starp publiskajiem tīkliem un tīklu, kurā atrodas jūsu darba slodze. Cik vien iespējams, ierobežojiet redzamības līniju no publiskajiem tīkliem uz tīklu.
  • Izveidojiet robežas, pamatojoties uz nodomu. Piemēram, segmentējiet darba slodzes funkcionālos tīklus no operatīvajiem tīkliem.

Risks: tīkla vadīklas ir balstītas uz noteikumiem, un pastāv ievērojama nepareizas konfigurācijas iespējamība, kas rada uzticamības problēmas.

Lomas un pienākumi

Segmentācija, kas novērš neskaidrības un drošības riskus, tiek panākta, skaidri nosakot atbildības līnijas darba slodzes komandā.

Dokumentējiet un kopīgojiet lomas un funkcijas, lai radītu konsekvenci un atvieglotu komunikāciju. Norādiet grupas vai atsevišķas lomas, kas ir atbildīgas par galvenajām funkcijām. Apsveriet iebūvētās lomas Power Platform pirms objektu pielāgotu lomu izveides.

Piešķirot atļaujas segmentam, ņemiet vērā konsekvenci, pielāgojot vairākus organizācijas modeļus. Šie modeļi var būt no vienas centralizētas IT grupas līdz galvenokārt neatkarīgām IT un DevOps komandām.

Risks: dalība grupās laika gaitā var mainīties, kad darbinieki pievienojas vai atstāj komandas vai maina lomas. Lomu pārvaldība dažādos segmentos var izraisīt vadības pieskaitāmās izmaksas.

Resursu organizācija

Segmentācija ļauj izolēt darba slodzes resursus no citām organizācijas daļām vai pat komandā. Power Platform Konstrukcijas, piemēram, vide un risinājumi, ir resursu organizēšanas veidi, kas veicina segmentāciju.

Power Platform Atvieglošana

Nākamajās sadaļās ir aprakstīti Power Platform līdzekļi un iespējas, ko varat izmantot, lai ieviestu segmentēšanas stratēģiju.

Identitāte

Visi Power Platform produkti izmanto Microsoft Entra ID (agrāk Azure Active Directory vai Azure AD) identitātes un piekļuves pārvaldībai. Lai definētu identitātes perimetrus, varat izmantot iebūvētās drošības lomas, nosacītu piekļuvi, priviliģēto identitātes pārvaldību un grupas piekļuves pārvaldību programmā Entra ID.

Microsoft Dataverse Izmanto lomu drošību, lai grupētu atļauju kolekciju. Šīs drošības lomas var saistīt tieši ar lietotājiem, vai arī tās var saistīt ar Dataverse darba grupām un struktūrvienībām. Papildinformāciju skatiet sadaļā Drošības jēdzieni Microsoft Dataverse.

Tīklošana

Izmantojot Azure virtuālā tīkla atbalstu Power Platform, varat integrēt Power Platform resursus virtuālajā tīklā, nepakļaujot tos publiskajā internetā. Virtuālā tīkla atbalsts izmanto Azure apakštīkla deleģēšanu, lai pārvaldītu izejošo datplūsmu izpildlaikā Power Platform . Izmantojot pārstāvi, tiek izvairīts no nepieciešamības pēc aizsargātiem resursiem, lai ceļotu pa internetu, lai integrētos Power Platform. Virtuālais Dataverse tīkls un Power Platform komponenti var izsaukt jūsu uzņēmumam piederošos resursus tīklā neatkarīgi no tā, vai tie tiek viesoti Azure vai lokāli, un izmantot spraudņus un savienotājus, lai veiktu izejošos zvanus. Papildinformāciju skatiet sadaļā Virtuālā tīkla atbalsts pārskats Power Platform .

IP ugunsmūris videi Power Platform palīdz aizsargāt jūsu datus, ierobežojot lietotāju piekļuvi Dataverse tikai no atļautajām IP atrašanās vietām.

Microsoft Azure ExpressRoute nodrošina uzlabotu veidu, kā savienot lokālo tīklu ar Microsoft mākoņpakalpojumiem, izmantojot privāto savienojamību. Vienu ExpressRoute savienojumu var izmantot, lai piekļūtu vairākiem tiešsaistes pakalpojumiem; piemēram, Microsoft Power Platform Dynamics 365 Microsoft 365 un Azure.

Drošības kontrolsaraksts

Skatiet pilnu ieteikumu kopumu.

Drošības kontrolsaraksts