Zalecenia dotyczące tworzenia strategii segmentacji

  • Artykuł

Dotyczy zaleceń dotyczących listy kontrolnej zabezpieczeń platformy Well-Architected Framework:

SE:04 Tworzenie zamierzonych segmentacji i obwodów w projekcie architektury i śladu obciążenia na platformie. Strategia segmentacji musi obejmować sieci, role i obowiązki, tożsamości obciążeń i organizację zasobów.

Segment to logiczna sekcja rozwiązania, która musi być zabezpieczona jako jedna jednostka. Strategia segmentacji określa, w jaki sposób jedna jednostka powinna być oddzielona od innych jednostek własnym zestawem wymagań i środków dotyczących zabezpieczeń.

W tym przewodniku opisano zalecenia dotyczące tworzenia ujednoliconej strategii segmentacji. Przy użyciu obwodów i granic izolacji w obciążeniach można zaprojektować podejście zabezpieczeń, które działa dla Ciebie.

Definicje 

Okres Definicja
Zawieranie Technika, która ma zawierać promień wybuchu, jeśli atakujący uzyska dostęp do segmentu.
Dostęp z najniższymi uprawnieniami Zasada Zero Trust, która ma na celu zminimalizowanie zestawu uprawnień do ukończenia funkcji zadania.
Obwód Granica zaufania wokół segmentu.
Organizacja zasobów Strategia grupowania powiązanych zasobów według przepływów w ramach segmentu.
Rola Zestaw uprawnień potrzebnych do ukończenia funkcji zadania.
Segment Jednostka logiczna odizolowana od innych jednostek i chroniona przez zestaw środków zabezpieczeń.

Kluczowe strategie projektowania

Koncepcja segmentacji jest często używana w sieciach. Jednak ta sama podstawowa zasada może być używana w całym rozwiązaniu, w tym segmentowanie zasobów do celów zarządzania i kontroli dostępu.

Segmentacja pomaga zaprojektować podejście zabezpieczeń, które stosuje ochronę w głębi systemu w oparciu o zasady modelu Zero Trust. Upewnij się, że osoba atakująca, która narusza jeden segment sieci, nie może uzyskać dostępu do innego, segmentując obciążenia z różnymi mechanizmami kontroli tożsamości. W bezpiecznym systemie atrybuty tożsamości i sieci blokują nieautoryzowany dostęp i ukrywają ujawniane zasoby. Oto kilka przykładów segmentów:

  • Subskrypcje, które izoluje obciążenia organizacji
  • Grupy zasobów, które izolować zasoby obciążenia
  • Środowiska wdrażania, które izolować wdrożenie według etapów
  • Zespoły i role, które izolować funkcje zadań związane z programowaniem obciążeń i zarządzaniem nimi
  • Warstwy aplikacji, które izolowane według narzędzia obciążenia
  • Mikrousługi, które izoluje jedną usługę od innej

Rozważ następujące kluczowe elementy segmentacji, aby upewnić się, że tworzysz kompleksową strategię ochrony w głębi systemu:

  • Granica lub obwód to krawędź wejściowa segmentu, w którym są stosowane mechanizmy kontroli zabezpieczeń. Kontrolki obwodowe powinny blokować dostęp do segmentu, chyba że są jawnie dozwolone. Celem jest uniemożliwienie atakującemu włamania się przez obwód i uzyskanie kontroli nad systemem. Na przykład warstwa aplikacji może akceptować token dostępu użytkownika końcowego podczas przetwarzania żądania. Jednak warstwa danych może wymagać innego tokenu dostępu z określonym uprawnieniem, którego może zażądać tylko warstwa aplikacji.

  • Zawieranie to krawędź wyjścia segmentu, który uniemożliwia penetrację sieci w systemie. Celem powstrzymania jest zminimalizowanie wpływu naruszenia. Na przykład sieć wirtualna platformy Azure może służyć do konfigurowania grup zabezpieczeń routingu i sieci, aby zezwalać tylko na oczekiwane wzorce ruchu, unikając ruchu do dowolnych segmentów sieci.

  • Izolacja to praktyka grupowania jednostek z podobnymi gwarancjami, aby chronić je za pomocą granicy. Celem jest łatwość zarządzania i powstrzymywanie ataku w środowisku. Możesz na przykład pogrupować zasoby powiązane z określonym obciążeniem w jedną subskrypcję platformy Azure, a następnie zastosować kontrolę dostępu, aby tylko określone zespoły obciążeń mogły uzyskać dostęp do subskrypcji.

Należy pamiętać o rozróżnieniu między obwodami a izolacją. Obwód odnosi się do punktów lokalizacji, które powinny być sprawdzane. Izolacja dotyczy grupowania. Aktywnie zawierają atak przy użyciu tych pojęć.

Izolacja nie oznacza tworzenia silosów w organizacji. Ujednolicona strategia segmentacji zapewnia dopasowanie między zespołami technicznymi i określa jasne linie odpowiedzialności. Clarity zmniejsza ryzyko błędów ludzkich i błędów automatyzacji, które mogą prowadzić do luk w zabezpieczeniach, przestojów operacyjnych lub obu tych błędów. Załóżmy, że wykryto naruszenie zabezpieczeń w składniku złożonego systemu przedsiębiorstwa. Ważne jest, aby wszyscy rozumieli, kto jest odpowiedzialny za ten zasób, tak aby odpowiednia osoba została uwzględniona w zespole klasyfikacji. Organizacja i uczestnicy projektu mogą szybko zidentyfikować sposób reagowania na różne rodzaje zdarzeń, tworząc i dokumentując dobrą strategię segmentacji.

Kompromis: Segmentacja wprowadza złożoność, ponieważ zarządzanie jest związane z obciążeniem. Istnieje również kompromis w kosztach. Na przykład więcej zasobów jest aprowidowanych, gdy środowiska wdrażania uruchamiane obok siebie są segmentowane.

Ryzyko: Mikrosegmentacja poza rozsądnym limitem traci korzyść z izolacji. Podczas tworzenia zbyt wielu segmentów trudno jest zidentyfikować punkty komunikacji lub zezwolić na prawidłowe ścieżki komunikacyjne w ramach segmentu.

Tożsamość jako obwód

Różne tożsamości, takie jak osoby, składniki oprogramowania lub urządzenia uzyskują dostęp do segmentów obciążeń. Tożsamość to obwód, który powinien być główną linią obrony w celu uwierzytelniania i autoryzacji dostępu w granicach izolacji, niezależnie od tego, skąd pochodzi żądanie dostępu. Użyj tożsamości jako obwodu, aby:

  • Przypisz dostęp według roli. Tożsamości muszą mieć dostęp tylko do segmentów wymaganych do wykonania swojej pracy. Zminimalizuj dostęp anonimowy, poznając role i obowiązki żądającej tożsamości, aby znać jednostkę żądającą dostępu do segmentu i w jakim celu.

    Tożsamość może mieć różne zakresy dostępu w różnych segmentach. Rozważ typową konfigurację środowiska z oddzielnymi segmentami dla każdego etapu. Tożsamości skojarzone z rolą dewelopera mają dostęp do odczytu i zapisu w środowisku dewelopera. W miarę przejścia wdrożenia do etapu przejściowego te uprawnienia są ograniczane. Do czasu podwyższenia poziomu obciążenia do środowiska produkcyjnego zakres dla deweloperów jest ograniczony do dostępu tylko do odczytu.

  • Oddzielnie rozważ tożsamości aplikacji i zarządzania. W większości rozwiązań użytkownicy mają inny poziom dostępu niż deweloperzy lub operatorzy. W niektórych aplikacjach można używać różnych systemów tożsamości lub katalogów dla każdego typu tożsamości. Rozważ użycie zakresów dostępu i utworzenie oddzielnych ról dla każdej tożsamości.

  • Przypisz dostęp z najniższymi uprawnieniami. Jeśli tożsamość jest dozwolona, określ poziom dostępu. Zacznij od najniższych uprawnień dla każdego segmentu i rozszerz ten zakres tylko wtedy, gdy jest to konieczne.

    Stosując najmniejsze uprawnienia, ograniczasz negatywne skutki, jeśli tożsamość zostanie kiedykolwiek naruszona. Jeśli dostęp jest ograniczony przez czas, obszar narażony na ataki zostanie zmniejszony. Ograniczony czasowo dostęp jest szczególnie stosowany do kont krytycznych, takich jak administratorzy lub składniki oprogramowania, które mają naruszoną tożsamość.

Kompromis: wydajność obciążenia może mieć wpływ na obwody tożsamości. Jawne weryfikowanie każdego żądania wymaga dodatkowych cykli obliczeniowych i dodatkowych operacji we/wy sieci.

Kontrola dostępu oparta na rolach (RBAC) powoduje również obciążenie związane z zarządzaniem. Śledzenie tożsamości i ich zakresów dostępu może stać się złożone w przypisaniach ról. Obejście polega na przypisaniu ról do grup zabezpieczeń zamiast poszczególnych tożsamości.

Ryzyko: Ustawienia tożsamości mogą być złożone. Błędy konfiguracji mogą mieć wpływ na niezawodność obciążenia. Załóżmy na przykład, że istnieje nieprawidłowo skonfigurowane przypisanie roli, które nie zezwala na dostęp do bazy danych. Żądania kończą się niepowodzeniem, powodując ostatecznie problemy z niezawodnością, których nie można wykryć do momentu uruchomienia.

Aby uzyskać informacje o mechanizmach kontroli tożsamości, zobacz Zarządzanie tożsamościami i dostępem.

W przeciwieństwie do kontroli dostępu do sieci tożsamość weryfikuje kontrolę dostępu w czasie dostępu. Zdecydowanie zaleca się przeprowadzenie regularnego przeglądu dostępu i wymaganie przepływu pracy zatwierdzania w celu uzyskania uprawnień dla kont o krytycznym wpływie. Na przykład zobacz Identity segmentation patterns (Wzorce segmentacji tożsamości).

Sieć jako obwód

Obwody tożsamości są niezależne od sieci, podczas gdy obwody sieci rozszerzają tożsamość, ale nigdy jej nie zastępują. Obwody sieci są ustanawiane w celu kontrolowania promienia wybuchu, blokowania nieoczekiwanego, zabronionego i niebezpiecznego dostępu oraz zaciemniania zasobów obciążeń.

Chociaż głównym celem obwodu tożsamości jest najniższy poziom uprawnień, należy założyć, że podczas projektowania obwodu sieci dojdzie do naruszenia zabezpieczeń.

Tworzenie zdefiniowanych programowo obwodów w sieci przy użyciu usług i funkcji platformy Azure. Gdy obciążenie (lub części danego obciążenia) jest umieszczane w osobnych segmentach, kontrolujesz ruch z lub do tych segmentów w celu zabezpieczenia ścieżek komunikacyjnych. Jeśli naruszenie zabezpieczeń segmentu zostanie naruszone, zostanie ono zawarte i uniemożliwione późniejsze rozłożenie przez pozostałą część sieci.

Pomyśl, jak osoba atakująca, aby osiągnąć przyczółek w ramach obciążenia i ustanowić mechanizmy kontroli w celu zminimalizowania dalszej ekspansji. Kontrolki powinny wykrywać, zawierać i uniemożliwiać atakującym uzyskanie dostępu do całego obciążenia. Oto kilka przykładów kontrolek sieci jako obwodu:

  • Zdefiniuj obwód brzegowy między sieciami publicznymi a siecią, w której znajduje się obciążenie. Ogranicz zasięg wzroku z sieci publicznych do sieci możliwie jak najwięcej.
  • Zaimplementuj strefy zdemilitaryzowane (DMZ) przed aplikacją z odpowiednimi kontrolkami za pośrednictwem zapór.
  • Utwórz mikrosegmentację w sieci prywatnej, grupując części obciążenia na oddzielne segmenty. Ustanów ścieżki bezpiecznej komunikacji między nimi.
  • Tworzenie granic na podstawie intencji. Na przykład segmentuj sieci funkcjonalne obciążeń z sieci operacyjnych.

Typowe wzorce związane z segmentacją sieci można znaleźć w temacie Wzorce segmentacji sieci.

Kompromis: Mechanizmy kontroli zabezpieczeń sieci są często kosztowne, ponieważ są dołączone do jednostek SKU w warstwie Premium. Konfigurowanie reguł na zaporach często skutkuje przytłaczającą złożonością wymagającymi szerokich wyjątków.

Prywatna łączność zmienia projekt architektury, często dodając więcej składników, takich jak pola przesiadkowe na potrzeby prywatnego dostępu do węzłów obliczeniowych.

Ponieważ obwody sieci są oparte na punktach kontrolnych lub przeskokach, w sieci każdy przeskok może być potencjalnym punktem awarii. Te punkty mogą mieć wpływ na niezawodność systemu.

Ryzyko: Mechanizmy kontroli sieci są oparte na regułach i istnieje duża szansa na błędną konfigurację, co jest problemem z niezawodnością.

Aby uzyskać informacje na temat mechanizmów kontroli sieci, zobacz Sieć i łączność.

Role i obowiązki

Segmentacja zapobiegająca nieporozumianiu i zagrożeniom bezpieczeństwa jest osiągana przez wyraźne zdefiniowanie linii odpowiedzialności w zespole ds. obciążeń.

Dokumentowanie i udostępnianie ról i funkcji w celu zapewnienia spójności i ułatwienia komunikacji. Wyznaczanie grup lub poszczególnych ról odpowiedzialnych za kluczowe funkcje. Przed utworzeniem ról niestandardowych dla obiektów rozważ wbudowane role na platformie Azure.

Podczas przypisywania uprawnień dla segmentu należy wziąć pod uwagę spójność podczas przydzielania kilku modeli organizacyjnych. Modele te mogą obejmować od jednej scentralizowanej grupy IT do głównie niezależnych zespołów IT i DevOps.

Ryzyko: członkostwo grup może zmieniać się wraz z upływem czasu, gdy pracownicy dołączają do zespołów lub opuszczają zespoły lub zmieniają role. Zarządzanie rolami w różnych segmentach może spowodować obciążenie związane z zarządzaniem.

Organizacja zasobów

Segmentacja pozwala odizolować zasoby obciążenia od innych części organizacji , a nawet w zespole. Konstrukcje platformy Azure, takie jak grupy zarządzania, subskrypcje, środowiska i grupy zasobów, to sposoby organizowania zasobów, które promują segmentację. Oto kilka przykładów izolacji na poziomie zasobów:

  • Trwałość uniwersalna obejmuje kombinację technologii przechowywania danych zamiast jednego systemu bazy danych do obsługi segmentacji. Używaj trwałości wielolotowej do rozdzielenia przez różne modele danych, separacji funkcji, takich jak magazyn danych i analiza, lub do oddzielania według wzorców dostępu.
  • Przydziel jedną usługę dla każdego serwera podczas organizowania obliczeń. Ten poziom izolacji minimalizuje złożoność i może pomóc w ataku.
  • Platforma Azure zapewnia wbudowaną izolację niektórych usług, na przykład rozdzielenie zasobów obliczeniowych z magazynu. Aby zapoznać się z innymi przykładami, zobacz Izolacja w chmurze publicznej platformy Azure.

Kompromis: Izolacja zasobów może spowodować wzrost całkowitego kosztu posiadania (TCO). W przypadku magazynów danych może istnieć dodatkowa złożoność i koordynacja podczas odzyskiwania po awarii.

Ułatwienia dla platformy Azure

Niektóre usługi platformy Azure są dostępne do użycia w implementacji strategii segmentacji, jak opisano w poniższych sekcjach.

Tożsamość

Kontrola dostępu oparta na rolach platformy Azure obsługuje segmentację przez izolowanie dostępu przez funkcję zadania. Tylko niektóre akcje są dozwolone dla niektórych ról i zakresów. Na przykład funkcje zadań, które muszą obserwować tylko system, można przypisać uprawnienia czytelnika w porównaniu z uprawnieniami współautora, które umożliwiają tożsamości zarządzanie zasobami.

Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach.

Sieć

Diagram przedstawiający opcje sieci dla segmentacji.

Sieci wirtualne: sieci wirtualne zapewniają zawieranie zasobów na poziomie sieci bez dodawania ruchu między dwiema sieciami wirtualnymi. Sieci wirtualne są tworzone w prywatnych przestrzeniach adresowych w ramach subskrypcji

Sieciowe grupy zabezpieczeń: mechanizm kontroli dostępu do kontrolowania ruchu między zasobami w sieciach wirtualnych i sieciach zewnętrznych, takich jak Internet. Zaimplementuj trasy zdefiniowane przez użytkownika (UDR), aby kontrolować następny przeskok dla ruchu. Sieciowe grupy zabezpieczeń mogą przejąć strategię segmentacji na szczegółowy poziom, tworząc obwody dla podsieci, maszyny wirtualnej lub grupy maszyn wirtualnych. Aby uzyskać informacje o możliwych operacjach z podsieciami na platformie Azure, zobacz Podsieci.

Grupy zabezpieczeń aplikacji (ASG): grupy zabezpieczeń aplikacji umożliwiają grupowanie zestawu maszyn wirtualnych w ramach tagu aplikacji i definiowanie reguł ruchu, które są następnie stosowane do każdej z bazowych maszyn wirtualnych.

Azure Firewall: usługa natywna dla chmury, którą można wdrożyć w sieci wirtualnej lub we wdrożeniach usługi Azure Virtual WAN Hub. Użyj Azure Firewall do filtrowania ruchu przepływającego między zasobami w chmurze, Internetem i zasobami lokalnymi. Użyj Azure Firewall lub Azure Firewall Manager, aby utworzyć reguły lub zasady zezwalające na ruch lub odmawiające ruchu przy użyciu kontrolek warstwy 3 do warstwy 7. Filtruj ruch internetowy przy użyciu Azure Firewall i innych firm, kierując ruch przez dostawców zabezpieczeń innych firm w celu zaawansowanego filtrowania i ochrony użytkowników. Platforma Azure obsługuje wdrażanie wirtualnego urządzenia sieciowego, co ułatwia segmentację z zapór innych firm.

Przykład

Poniżej przedstawiono kilka typowych wzorców segmentowania obciążenia na platformie Azure. Wybierz wzorzec na podstawie Twoich potrzeb.

Ten przykład opiera się na środowisku technologii informatycznych (IT) utworzonym w punkcie odniesienia zabezpieczeń (SE:01). Na poniższym diagramie przedstawiono segmentację na poziomie grupy zarządzania wykonywaną przez organizację.

Diagram przedstawiający przykład strategii segmentacji organizacji dla różnych obciążeń.

Wzorce segmentacji tożsamości

Wzorzec 1. Grupowanie oparte na stanowiskach

Jednym ze sposobów organizowania grup zabezpieczeń jest stanowisko, takie jak inżynier oprogramowania, administrator bazy danych, inżynier niezawodności lokacji, inżynier kontroli jakości lub analityk zabezpieczeń. Takie podejście obejmuje tworzenie grup zabezpieczeń dla zespołu obciążeń na podstawie ich ról bez uwzględniania pracy, którą należy wykonać. Przyznaj grupom zabezpieczeń uprawnienia RBAC, stały lub just in time (JIT), zgodnie z ich obowiązkami w obciążeniu. Przypisz zasady dotyczące ludzi i usług do grup zabezpieczeń na podstawie ich dostępu zgodnie z potrzebami.

Członkostwo jest bardzo widoczne na poziomie przypisania roli, co ułatwia sprawdzenie, do czego ma dostęp rola . Każda osoba jest zwykle członkiem tylko jednej grupy zabezpieczeń, co ułatwia dołączanie i odłączanie. Jednak jeśli stanowiska idealnie pokrywają się z obowiązkami, grupowanie oparte na tytułach nie jest idealne w przypadku implementacji z najniższymi uprawnieniami. Może się skończyć połączenie implementacji z grupowaniem opartym na funkcjach.

Wzorzec 2. Grupowanie oparte na funkcjach

Grupowanie oparte na funkcjach to metoda organizacji grupy zabezpieczeń, która odzwierciedla dyskretną pracę, którą należy wykonać, a nie uwzględniając struktury zespołu. Za pomocą tego wzorca przydzielasz grupom zabezpieczeń uprawnienia RBAC, stan lub dostęp JIT zgodnie z potrzebami, zgodnie z ich wymaganą funkcją w obciążeniu.

Przypisz zasady dotyczące ludzi i usług do grup zabezpieczeń na podstawie ich dostępu zgodnie z potrzebami. Jeśli to możliwe, użyj istniejących homogenicznych grup jako członków grup opartych na funkcjach, takich jak te grupy ze wzorca 1. Przykłady grup opartych na funkcjach obejmują:

  • Operatory produkcyjnej bazy danych
  • Operatory bazy danych przedprodukcyjnej
  • Operatory rotacji certyfikatów produkcyjnych
  • Operatory rotacji certyfikatów przedprodukcyjnych
  • Produkcyjna lokacja/klasyfikacja na żywo
  • Cały dostęp przedprodukcyjny

Takie podejście utrzymuje najściślejszy dostęp do najniższych uprawnień i zapewnia grupy zabezpieczeń, w których zakres jest widoczny, co ułatwia inspekcję członkostw względem wykonywanych zadań. Często istnieje wbudowana rola platformy Azure zgodna z tą funkcją zadania.

Jednak członkostwo jest abstrakcją co najmniej jedną warstwę, co zmusza cię do przejścia do dostawcy tożsamości, aby zrozumieć, kto znajduje się w grupie, patrząc z perspektywy zasobu. Ponadto jedna osoba musi mieć wiele członkostw utrzymywanych w celu pełnego pokrycia. Macierz nakładających się grup zabezpieczeń może być złożona.

Wzorzec 2 zaleca się, aby wzorce dostępu skupiały się na wykresie organizacyjnym, a nie na wykresie organizacyjnym. Czasami zmieniają się schematy organizacyjne i role członków. Przechwytywanie tożsamości obciążenia i zarządzania dostępem z perspektywy funkcjonalnej umożliwia abstrahowanie organizacji zespołu od bezpiecznego zarządzania obciążeniem.

Wzorce segmentacji sieci

Wzorzec 1: Segmentacja w ramach obciążenia (granice miękkie)

Diagram przedstawiający jedną sieć wirtualną.

W tym wzorcu obciążenie jest umieszczane w jednej sieci wirtualnej, używając podsieci do oznaczania granic. Segmentacja jest osiągana przy użyciu dwóch podsieci: jednej dla bazy danych i jednej dla obciążeń internetowych. Należy skonfigurować sieciowe grupy zabezpieczeń, które zezwalają podsieci Subnet 1 na komunikowanie się tylko z podsiecią Subnet 2 i Subnet 2 tylko w celu komunikowania się z Internetem. Ten wzorzec zapewnia kontrolę na poziomie warstwy 3.

Wzorzec 2: Segmentacja w ramach obciążenia

Diagram przedstawiający wiele sieci wirtualnych.

Ten wzorzec jest przykładem segmentacji na poziomie platformy. Omponents obciążenia c są rozłożone między wieloma sieciami bez komunikacji równorzędnej między nimi. Cała komunikacja jest kierowana przez pośrednika, który służy jako publiczny punkt dostępu. Zespół ds. obciążeń jest właścicielem wszystkich sieci.

Wzorzec 2 zapewnia zawieranie, ale ma dodatkową złożoność zarządzania siecią wirtualną i ustalania rozmiaru. Komunikacja między dwiema sieciami odbywa się za pośrednictwem publicznego Internetu, co może być ryzykowne. Istnieje również opóźnienie z połączeniami publicznymi. Jednak dwie sieci mogą być połączone za pomocą komunikacji równorzędnej, dzieląc segmentację, łącząc je w celu utworzenia większego segmentu. Komunikacja równorzędna powinna być wykonywana, gdy nie są potrzebne żadne inne publiczne punkty końcowe.

Zagadnienia do rozważenia Wzorzec 1 Wzorzec 2
Łączność i routing: jak poszczególne segmenty komunikują się Routing systemowy zapewnia domyślną łączność ze składnikami obciążenia. Żaden składnik zewnętrzny nie może komunikować się z obciążeniem. W sieci wirtualnej, tak samo jak wzorzec 1.
Między sieciami ruch przechodzi przez publiczny Internet. Nie ma bezpośredniej łączności między sieciami.
Filtrowanie ruchu na poziomie sieci Ruch między segmentami jest domyślnie dozwolony. Użyj sieciowych grup zabezpieczeń lub grup zabezpieczeń do filtrowania ruchu. W sieci wirtualnej, tak samo jak wzorzec 1.
Między sieciami można filtrować ruch przychodzący i wychodzący przez zaporę.
Niezamierzone otwarte publiczne punkty końcowe Karty interfejsu sieciowego nie otrzymują publicznych adresów IP. Sieci wirtualne nie są uwidacznione w usłudze Internet API Management. Taki sam jak wzorzec 1. Zamierzony otwarty publiczny punkt końcowy w jednej sieci wirtualnej, który można błędnie skonfigurować w celu akceptowania większej liczby ruchu.

Organizacja zasobów

Organizowanie zasobów platformy Azure na podstawie odpowiedzialności za własność

Diagram majątku platformy Azure, który zawiera wiele obciążeń.

Weź pod uwagę majątek platformy Azure, który zawiera wiele obciążeń i składników usług udostępnionych, takich jak sieci wirtualne koncentratora, zapory, usługi tożsamości i usługi zabezpieczeń, takie jak Microsoft Sentinel. Składniki w całej infrastrukturze powinny być pogrupowane na podstawie ich obszarów funkcjonalnych, obciążeń i własności. Na przykład współużytkowane zasoby sieciowe powinny być grupowane w jedną subskrypcję i zarządzane przez zespół ds. sieci. Składniki przeznaczone dla poszczególnych obciążeń powinny znajdować się we własnym segmencie i mogą być dalej podzielone na podstawie warstw aplikacji lub innych zasad organizacyjnych.

Udzielanie dostępu do zarządzania zasobami w poszczególnych segmentach przez utworzenie przypisań ról RBAC. Na przykład zespół ds. sieci w chmurze może otrzymać dostęp administracyjny do subskrypcji zawierającej swoje zasoby, ale nie do poszczególnych subskrypcji obciążeń.

Dobra strategia segmentacji umożliwia łatwe identyfikowanie właścicieli poszczególnych segmentów. Rozważ użycie tagów zasobów platformy Azure do dodawania adnotacji do grup zasobów lub subskrypcji z zespołem właściciela.

Konfigurowanie i przeglądanie kontroli dostępu

Udziel odpowiedniego dostępu w zależności od potrzeb, jasno definiując segmenty dla zasobów.

Podczas definiowania zasad kontroli dostępu należy wziąć pod uwagę zasadę najniższych uprawnień. Ważne jest, aby odróżnić operacje płaszczyzny sterowania (zarządzanie samym zasobem) i operacje płaszczyzny danych (dostęp do danych przechowywanych przez zasób). Załóżmy na przykład, że masz obciążenie zawierające bazę danych z poufnymi informacjami o pracownikach. Możesz udzielić dostępu do zarządzania niektórym użytkownikom, którzy muszą skonfigurować ustawienia, takie jak kopie zapasowe bazy danych lub użytkownicy monitorujący wydajność serwera bazy danych. Jednak ci użytkownicy nie powinni mieć możliwości wykonywania zapytań dotyczących poufnych danych przechowywanych w bazie danych. Wybierz uprawnienia, które udzielają minimalnego zakresu wymaganego dla użytkowników do wykonywania swoich obowiązków. Regularnie przeglądaj przypisania ról dla każdego segmentu i usuwaj dostęp, który nie jest już wymagany.

Uwaga

Niektóre role o wysokim poziomie uprawnień, takie jak rola właściciela w kontroli dostępu opartej na rolach, umożliwiają użytkownikom przyznawanie innym użytkownikom dostępu do zasobu. Ogranicz liczbę użytkowników lub grup przypisanych do roli właściciela i regularnie przeglądaj dzienniki inspekcji, aby upewnić się, że wykonują tylko prawidłowe operacje.

Lista kontrolna zabezpieczeń

Zapoznaj się z pełnym zestawem zaleceń.

Lista kontrolna zabezpieczeń