Udostępnij za pośrednictwem

Zalecenia dotyczące tworzenia strategii segmentacji

  • Artykuł

Dotyczy rekomendacji listy kontrolnej dotyczącej zabezpieczeń dobrze zaprojektowanej struktury:

SE:04 Utwórz celowe segmentacje i obwody w projekcie architektury i ślad obciążenia na platformie. Strategia segmentacji musi obejmować sieci, role i obowiązki, tożsamości obciążeń i organizację zasobów.

Segment to logiczna sekcja rozwiązania, która musi być zabezpieczona jako jedna jednostka. Strategia segmentacji definiuje sposób oddzielenia jednej jednostki od innych jednostek własnym zestawem wymagań i środków zabezpieczeń.

W tym przewodniku opisano zalecenia dotyczące tworzenia ujednoliconej strategii segmentacji. Korzystając z obwodów i granic izolacji w obciążeniach, można zaprojektować podejście do zabezpieczeń, które działa dla Ciebie.

Definicje 

Okres Definicja
Zamknięcia Technika, która ma zawierać promień wybuchu, jeśli atakujący uzyska dostęp do segmentu.
Dostęp z najmniejszymi uprawnieniami Zasada zero trust, która ma na celu zminimalizowanie zestawu uprawnień do ukończenia funkcji zadania.
Obwód Granica zaufania wokół segmentu.
Organizacja zasobów Strategia grupowania powiązanych zasobów według przepływów w ramach segmentu.
Rola Zestaw uprawnień potrzebnych do ukończenia funkcji zadania.
Segment Jednostka logiczna odizolowana od innych jednostek i chroniona przez zestaw środków zabezpieczeń.

Kluczowe strategie projektowania

Koncepcja segmentacji jest często używana w sieciach. Jednak ta sama podstawowa zasada może być używana w całym rozwiązaniu, w tym segmentowanie zasobów do celów zarządzania i kontroli dostępu.

Segmentacja pomaga zaprojektować podejście zabezpieczeń, które stosuje ochronę w głębi systemu na podstawie zasad modelu Zero Trust. Upewnij się, że osoba atakująca, która narusza jeden segment sieci, nie może uzyskać dostępu do innego, segmentując obciążenia przy użyciu różnych mechanizmów kontroli tożsamości. W bezpiecznym systemie tożsamość i atrybuty sieciowe blokują nieautoryzowany dostęp i ukrywają ujawnione zasoby. Oto kilka przykładów segmentów:

  • Subskrypcje, które izoluje obciążenia organizacji
  • Grupy zasobów, które izoluje zasoby obciążenia
  • Środowiska wdrażania, które izolować wdrożenie według etapów
  • Zespoły i role, które izoluje funkcje zadań związane z programowaniem obciążeń i zarządzaniem nimi
  • Warstwy aplikacji izolowane przez narzędzie obciążenia
  • Mikrousługi, które odizolowają jedną usługę od innej

Rozważ następujące kluczowe elementy segmentacji, aby upewnić się, że tworzysz kompleksową strategię ochrony w głębi systemu:

  • Granica lub obwód to krawędź wejściowa segmentu, w którym są stosowane mechanizmy kontroli zabezpieczeń. Kontrolki obwodowe powinny blokować dostęp do segmentu, chyba że są jawnie dozwolone. Celem jest uniemożliwienie atakującemu włamania się przez obwód i uzyskanie kontroli nad systemem. Na przykład warstwa aplikacji może akceptować token dostępu użytkownika końcowego podczas przetwarzania żądania. Jednak warstwa danych może wymagać innego tokenu dostępu, który ma określone uprawnienie, które może zażądać tylko warstwa aplikacji.

  • Zawieranie to krawędź wyjścia segmentu, która uniemożliwia przenoszenie boczne w systemie. Celem powstrzymania jest zminimalizowanie wpływu naruszenia. Na przykład sieć wirtualna platformy Azure może służyć do konfigurowania grup zabezpieczeń routingu i sieci, aby zezwalać tylko na oczekiwane wzorce ruchu, unikając ruchu do dowolnych segmentów sieci.

  • Izolacja to praktyka grupowania jednostek z podobnymi zabezpieczeniami, aby chronić je za pomocą granicy. Celem jest łatwość zarządzania i powstrzymanie ataku w środowisku. Możesz na przykład pogrupować zasoby powiązane z określonym obciążeniem w jedną subskrypcję platformy Azure, a następnie zastosować kontrolę dostępu, aby tylko określone zespoły obciążeń mogły uzyskać dostęp do subskrypcji.

Należy pamiętać o różnicy między obwodami a izolacją. Obwód odnosi się do punktów lokalizacji, które należy sprawdzić. Izolacja dotyczy grupowania. Aktywnie zawierają atak przy użyciu tych pojęć.

Izolacja nie oznacza tworzenia silosów w organizacji. Ujednolicona strategia segmentacji zapewnia dopasowanie między zespołami technicznymi i określa jasne linie odpowiedzialności. Przejrzystość zmniejsza ryzyko błędów ludzkich i błędów automatyzacji, które mogą prowadzić do luk w zabezpieczeniach, przestojów operacyjnych lub obu tych błędów. Załóżmy, że w składniku złożonego systemu przedsiębiorstwa wykryto naruszenie zabezpieczeń. Ważne jest, aby wszyscy rozumieli, kto jest odpowiedzialny za ten zasób, tak aby odpowiednia osoba została uwzględniona w zespole klasyfikacji. Organizacja i uczestnicy projektu mogą szybko zidentyfikować sposób reagowania na różne rodzaje zdarzeń, tworząc i dokumentując dobrą strategię segmentacji.

Kompromis: segmentacja wprowadza złożoność, ponieważ w zarządzaniu występują obciążenia. Istnieje również kompromis w kosztach. Na przykład więcej zasobów jest aprowizowania, gdy środowiska wdrażania uruchamiane obok siebie są segmentowane.

Ryzyko: Mikrosegmentacja poza rozsądnym limitem traci korzyści z izolacji. Podczas tworzenia zbyt wielu segmentów trudno jest zidentyfikować punkty komunikacji lub zezwolić na prawidłowe ścieżki komunikacyjne w segmencie.

Ustanawianie tożsamości jako podstawowego obwodu zabezpieczeń

Różne tożsamości, takie jak osoby, składniki oprogramowania lub urządzenia uzyskują dostęp do segmentów obciążeń. Tożsamość to obwód, który powinien być główną linią obrony w celu uwierzytelniania i autoryzacji dostępu przez granice izolacji, niezależnie od tego, skąd pochodzą żądania dostępu. Użyj tożsamości jako obwodu, aby:

  • Przypisz dostęp według roli. Tożsamości muszą mieć dostęp tylko do segmentów wymaganych do wykonania swojej pracy. Zminimalizuj dostęp anonimowy, rozumiejąc role i obowiązki żądającej tożsamości, aby znać jednostkę żądającą dostępu do segmentu i w jakim celu.

    Tożsamość może mieć różne zakresy dostępu w różnych segmentach. Rozważ typową konfigurację środowiska z oddzielnymi segmentami dla każdego etapu. Tożsamości skojarzone z rolą dewelopera mają dostęp do odczytu i zapisu w środowisku dewelopera. W miarę przejścia wdrożenia do przemieszczania te uprawnienia są ograniczane. Po podwyższeniu poziomu obciążenia do środowiska produkcyjnego zakres dla deweloperów jest ograniczony do dostępu tylko do odczytu.

  • Oddzielnie rozważ tożsamości aplikacji i zarządzania. W większości rozwiązań użytkownicy mają inny poziom dostępu niż deweloperzy lub operatorzy. W niektórych aplikacjach można używać różnych systemów tożsamości lub katalogów dla każdego typu tożsamości. Rozważ użycie zakresów dostępu i utworzenie oddzielnych ról dla każdej tożsamości.

  • Przypisz dostęp z najniższymi uprawnieniami. Jeśli tożsamość jest dozwolona, określ poziom dostępu. Zacznij od najniższych uprawnień dla każdego segmentu i rozszerz ten zakres tylko wtedy, gdy jest to konieczne.

    Stosując najmniejsze uprawnienia, ograniczasz negatywne skutki, jeśli tożsamość zostanie kiedykolwiek naruszona. Jeśli dostęp jest ograniczony przez czas, powierzchnia ataku zostanie jeszcze zmniejszona. Ograniczony czasowo dostęp dotyczy szczególnie krytycznych kont, takich jak administratorzy lub składniki oprogramowania, które mają naruszoną tożsamość.

Kompromis: wydajność obciążenia może mieć wpływ na obwody tożsamości. Weryfikowanie każdego żądania jawnie wymaga dodatkowych cykli obliczeniowych i dodatkowych operacji we/wy sieci.

Kontrola dostępu oparta na rolach (RBAC) powoduje również obciążenie związane z zarządzaniem. Śledzenie tożsamości i ich zakresów dostępu może stać się złożone w przypadku przypisań ról. Obejściem jest przypisanie ról do grup zabezpieczeń zamiast poszczególnych tożsamości.

Ryzyko: Ustawienia tożsamości mogą być złożone. Błędy konfiguracji mogą mieć wpływ na niezawodność obciążenia. Załóżmy na przykład, że istnieje nieprawidłowo skonfigurowane przypisanie roli, które nie ma dostępu do bazy danych. Żądania kończą się niepowodzeniem, powodując ostatecznie problemy z niezawodnością, których nie można wykryć do czasu uruchomienia.

Aby uzyskać informacje na temat mechanizmów kontroli tożsamości, zobacz Zarządzanie tożsamościami i dostępem.

W przeciwieństwie do kontroli dostępu do sieci tożsamość weryfikuje kontrolę dostępu w czasie dostępu. Zdecydowanie zaleca się przeprowadzenie regularnego przeglądu dostępu i wymaganie przepływu pracy zatwierdzania w celu uzyskania uprawnień dla kont o krytycznym wpływie. Na przykład zobacz Identity segmentation patterns (Wzorce segmentacji tożsamości).

Ulepszanie sieci jako obwodu

Obwody tożsamości są niezależne od sieci, podczas gdy obwody sieci rozszerzają tożsamość, ale nigdy jej nie zastępują. Obwody sieci są ustanawiane w celu kontrolowania promienia wybuchu, blokowania nieoczekiwanych, zabronionych i niebezpiecznych dostępu oraz zaciemnianiania zasobów obciążeń.

Chociaż głównym celem obwodu tożsamości jest najniższy poziom uprawnień, należy założyć, że podczas projektowania obwodu sieci wystąpi naruszenie.

Tworzenie obwodów zdefiniowanych programowo w sieci przy użyciu usług i funkcji platformy Azure. Gdy obciążenie (lub części danego obciążenia) jest umieszczane w osobnych segmentach, kontrolujesz ruch z lub do tych segmentów w celu zabezpieczenia ścieżek komunikacyjnych. W przypadku naruszenia zabezpieczeń segmentu jest on zawarty i uniemożliwiony późniejsze rozprzestrzenianie się przez pozostałą część sieci.

Pomyśl jak osoba atakująca, aby osiągnąć przyczółek w obciążeniu i ustanowić mechanizmy kontroli w celu zminimalizowania dalszej ekspansji. Kontrolki powinny wykrywać, zawierać i uniemożliwiać atakującym uzyskanie dostępu do całego obciążenia. Oto kilka przykładów kontrolek sieci jako obwodu:

  • Zdefiniuj obwód krawędzi między sieciami publicznymi a siecią, w której znajduje się obciążenie. Ogranicz zasięg wzroku z sieci publicznych do sieci tak bardzo, jak to możliwe.
  • Zaimplementuj strefy zdemilitaryzowane (DMZ) przed aplikacją z odpowiednimi kontrolkami za pośrednictwem zapór.
  • Utwórz mikrosegmentację w sieci prywatnej, grupując części obciążenia na oddzielne segmenty. Ustanów bezpieczne ścieżki komunikacji między nimi.
  • Tworzenie granic na podstawie intencji. Na przykład segmentuj sieci funkcjonalne obciążeń z sieci operacyjnych.

Typowe wzorce związane z segmentacją sieci można znaleźć w temacie Wzorce segmentacji sieci.

Kompromis: Mechanizmy kontroli zabezpieczeń sieci są często kosztowne, ponieważ są one dołączone do jednostek SKU Premium. Konfigurowanie reguł zapory często skutkuje przytłaczającą złożonością wymagającymi szerokich wyjątków.

Prywatna łączność zmienia projekt architektury, często dodając więcej składników, takich jak pola przesiadkowe na potrzeby prywatnego dostępu do węzłów obliczeniowych.

Ponieważ obwody sieci są oparte na punktach kontrolnych lub przeskokach, w sieci każdy przeskok może być potencjalnym punktem awarii. Te punkty mogą mieć wpływ na niezawodność systemu.

Ryzyko: Mechanizmy kontroli sieci są oparte na regułach i istnieje duże prawdopodobieństwo błędnej konfiguracji, co jest problemem z niezawodnością.

Aby uzyskać informacje na temat mechanizmów kontroli sieci, zobacz Sieć i łączność.

Definiowanie ról i jasne wiersze odpowiedzialności

Segmentacja, która zapobiega nieporozumieniu i zagrożeniom bezpieczeństwa, jest osiągana przez wyraźne zdefiniowanie linii odpowiedzialności w zespole ds. obciążeń.

Dokumentowanie i udostępnianie ról i funkcji w celu zapewnienia spójności i ułatwienia komunikacji. Wyznaczanie grup lub poszczególnych ról odpowiedzialnych za kluczowe funkcje. Przed utworzeniem ról niestandardowych dla obiektów należy wziąć pod uwagę wbudowane role na platformie Azure.

Podczas przypisywania uprawnień do segmentu należy wziąć pod uwagę spójność podczas przydzielania kilku modeli organizacyjnych. Modele te mogą obejmować zarówno jedną scentralizowaną grupę IT, jak i głównie niezależne zespoły IT i DevOps.

Ryzyko: członkostwo w grupach może zmieniać się wraz z upływem czasu, gdy pracownicy dołączają do zespołów lub opuszczają zespoły lub zmieniają role. Zarządzanie rolami w różnych segmentach może spowodować obciążenie związane z zarządzaniem.

Organizowanie zasobów w celu podwyższenia poziomu segmentacji

Segmentacja umożliwia odizolowanie zasobów obciążeń od innych części organizacji , a nawet w zespole. Konstrukcje platformy Azure, takie jak grupy zarządzania, subskrypcje, środowiska i grupy zasobów, to sposoby organizowania zasobów, które promują segmentację. Oto kilka przykładów izolacji na poziomie zasobów:

  • Trwałość wielolotowa obejmuje kombinację technologii przechowywania danych zamiast pojedynczego systemu bazy danych do obsługi segmentacji. Używaj trwałości wielolotowej do rozdzielenia przez różne modele danych, separacji funkcji, takich jak magazyn danych i analiza, lub aby oddzielić się od wzorców dostępu.
  • Przydziel jedną usługę dla każdego serwera podczas organizowania obliczeń. Ten poziom izolacji minimalizuje złożoność i może pomóc w ataku.
  • Platforma Azure zapewnia wbudowaną izolację niektórych usług, na przykład rozdzielenie zasobów obliczeniowych z magazynu. Aby zapoznać się z innymi przykładami, zobacz Izolacja w chmurze publicznej platformy Azure.

Kompromis: Izolacja zasobów może spowodować wzrost całkowitego kosztu posiadania (TCO). W przypadku magazynów danych może istnieć dodatkowa złożoność i koordynacja podczas odzyskiwania po awarii.

Ułatwienia platformy Azure

Niektóre usługi platformy Azure są dostępne do użycia w implementacji strategii segmentacji, jak opisano w poniższych sekcjach.

Tożsamość

Kontrola dostępu oparta na rolach platformy Azure obsługuje segmentację przez izolowanie dostępu przez funkcję zadania. Tylko niektóre akcje są dozwolone dla niektórych ról i zakresów. Na przykład funkcje zadań, które muszą obserwować system, mogą mieć przypisane uprawnienia czytelnika w porównaniu z uprawnieniami współautora, które umożliwiają tożsamości zarządzanie zasobami.

Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach.

Sieć

Diagram przedstawiający opcje sieci dla segmentacji.

Sieci wirtualne: Sieci wirtualne zapewniają zawieranie zasobów na poziomie sieci bez dodawania ruchu między dwiema sieciami wirtualnymi. Sieci wirtualne są tworzone w prywatnych przestrzeniach adresowych w ramach subskrypcji

Sieciowe grupy zabezpieczeń: mechanizm kontroli dostępu do kontrolowania ruchu między zasobami w sieciach wirtualnych i sieciach zewnętrznych, takich jak Internet. Zaimplementuj trasy zdefiniowane przez użytkownika (UDR), aby kontrolować następny przeskok dla ruchu. Sieciowe grupy zabezpieczeń mogą przejąć strategię segmentacji na szczegółowy poziom, tworząc obwody dla podsieci, maszyny wirtualnej lub grupy maszyn wirtualnych. Aby uzyskać informacje o możliwych operacjach z podsieciami na platformie Azure, zobacz Podsieci.

Grupy zabezpieczeń aplikacji (ASG): grupy zabezpieczeń umożliwiają grupowanie zestawu maszyn wirtualnych w ramach tagu aplikacji i definiowanie reguł ruchu, które są następnie stosowane do każdej z bazowych maszyn wirtualnych.

Azure Firewall: usługa natywna dla chmury, którą można wdrożyć w sieci wirtualnej lub we wdrożeniach koncentratora usługi Azure Virtual WAN . Usługa Azure Firewall umożliwia filtrowanie ruchu przepływającego między zasobami w chmurze, Internetem i zasobami lokalnymi. Użyj usługi Azure Firewall lub Usługi Azure Firewall Manager , aby utworzyć reguły lub zasady zezwalające na ruch lub odmawiające ruchu przy użyciu kontrolek warstwy 3 do warstwy 7. Filtrowanie ruchu internetowego przy użyciu usługi Azure Firewall i innych firm przez kierowanie ruchu przez dostawców zabezpieczeń innych firm w celu uzyskania zaawansowanej ochrony użytkowników i filtrowania. pomoc techniczna platformy Azure wdrożenie wirtualnego urządzenia sieciowego, które ułatwia segmentację z zapór innych firm.

Przykład

Poniżej przedstawiono kilka typowych wzorców segmentowania obciążenia na platformie Azure. Wybierz wzorzec na podstawie Twoich potrzeb.

Ten przykład opiera się na środowisku technologii informatycznych (IT) ustanowionym w punkcie odniesienia zabezpieczeń (SE:01). Na poniższym diagramie przedstawiono segmentację na poziomie grupy zarządzania wykonywaną przez organizację.

Diagram przedstawiający przykład strategii segmentacji organizacji dla różnych obciążeń.

Wzorce segmentacji tożsamości

Wzorzec 1. Grupowanie oparte na tytułach zadań

Jednym ze sposobów organizowania grup zabezpieczeń jest stanowisko, takie jak inżynier oprogramowania, administrator bazy danych, inżynier niezawodności lokacji, inżynier kontroli jakości lub analityk zabezpieczeń. Takie podejście polega na tworzeniu grup zabezpieczeń dla zespołu obciążeń na podstawie ich ról bez uwzględniania pracy, która musi zostać wykonana. Przyznaj grupom zabezpieczeń uprawnienia RBAC, stojąc lub just in time (JIT), zgodnie z ich obowiązkami w obciążeniu. Przypisz zasady dotyczące człowieka i usługi do grup zabezpieczeń na podstawie ich dostępu zgodnie z potrzebami.

Członkostwo jest wysoce widoczne na poziomie przypisania roli, co ułatwia sprawdzenie, do czego ma dostęp rola . Każda osoba jest zwykle członkiem tylko jednej grupy zabezpieczeń, co ułatwia dołączanie i odłączanie. Jednak jeśli tytuły zadań idealnie pokrywają się z obowiązkami, grupowanie oparte na tytułach nie jest idealne w przypadku implementacji z najniższymi uprawnieniami. Może się skończyć połączenie implementacji z grupowaniem opartym na funkcjach.

Wzorzec 2. Grupowanie oparte na funkcjach

Grupowanie oparte na funkcjach to metoda organizacji grupy zabezpieczeń, która odzwierciedla dyskretną pracę, która musi zostać wykonana, a nie biorąc pod uwagę strukturę zespołu. Ten wzorzec umożliwia przyznawanie grup zabezpieczeń uprawnień RBAC, stanie lub JIT zgodnie z potrzebami zgodnie z ich wymaganą funkcją w obciążeniu.

Przypisz zasady dotyczące człowieka i usługi do grup zabezpieczeń na podstawie ich dostępu zgodnie z potrzebami. Jeśli to możliwe, użyj istniejących homogenicznych grup jako członków grup opartych na funkcjach, takich jak te grupy ze wzorca 1. Przykłady grup opartych na funkcjach obejmują:

  • Operatory produkcyjnej bazy danych
  • Operatory bazy danych przedprodukcyjnej
  • Operatory rotacji certyfikatów produkcyjnych
  • Operatory rotacji certyfikatów przedprodukcyjnych
  • Produkcyjna lokacja/klasyfikacja na żywo
  • Przedprodukcyjny cały dostęp

Takie podejście utrzymuje najściślejszy dostęp do najniższych uprawnień i zapewnia grupy zabezpieczeń, w których jest widoczny zakres, co ułatwia inspekcję członkostwa względem zadań wykonywanych. Często istnieje wbudowana rola platformy Azure zgodna z tą funkcją zadania.

Jednak członkostwo jest abstrakcją co najmniej jedną warstwę, zmuszając cię do przejścia do dostawcy tożsamości, aby zrozumieć, kto znajduje się w grupie, patrząc z perspektywy zasobu. Ponadto jedna osoba musi mieć wiele członkostw utrzymywanych w celu pełnego pokrycia. Macierz nakładających się grup zabezpieczeń może być złożona.

Wzorzec 2 jest zalecany do tworzenia wzorców dostępu fokusu, a nie schematu organizacyjnego. Czasami zmieniają się schematy organizacyjne i role członków. Przechwytywanie tożsamości obciążenia i zarządzania dostępem z perspektywy funkcjonalnej umożliwia abstrakcję organizacji zespołu z bezpiecznego zarządzania obciążeniem.

Wzorce segmentacji sieci

Wzorzec 1: Segmentacja w ramach obciążenia (granice miękkie)

Diagram przedstawiający jedną sieć wirtualną.

W tym wzorcu obciążenie jest umieszczane w jednej sieci wirtualnej, używając podsieci do oznaczania granic. Segmentacja jest osiągana przy użyciu dwóch podsieci: jednej dla bazy danych i jednej dla obciążeń internetowych. Należy skonfigurować sieciowe grupy zabezpieczeń, które umożliwiają podsieciom 1 komunikowanie się tylko z podsiecią Subnet 2 i Podsiecią 2 w celu komunikowania się tylko z Internetem. Ten wzorzec zapewnia kontrolę na poziomie warstwy 3.

Wzorzec 2: segmentacja w obciążeniu

Diagram przedstawiający wiele sieci wirtualnych.

Ten wzorzec jest przykładem segmentacji na poziomie platformy. Omponents obciążenia sąrozmieszczone w wielu sieciach bez komunikacji równorzędnej między nimi. Cała komunikacja jest kierowana przez pośrednika, który służy jako publiczny punkt dostępu. Zespół ds. obciążeń jest właścicielem wszystkich sieci.

Wzorzec 2 zapewnia zawieranie, ale ma dodatkową złożoność zarządzania siecią wirtualną i ustalania rozmiaru. Komunikacja między dwiema sieciami odbywa się za pośrednictwem publicznego Internetu, co może być zagrożeniem. Istnieje również opóźnienie z połączeniami publicznymi. Jednak dwie sieci mogą być połączone za pomocą komunikacji równorzędnej, dzieląc segmentację, łącząc je w celu utworzenia większego segmentu. Komunikacja równorzędna powinna być wykonywana, gdy nie są potrzebne żadne inne publiczne punkty końcowe.

Kwestie wymagające rozważenia Wzorzec 1 Wzorzec 2
Łączność i routing: jak poszczególne segmenty komunikują się Routing systemowy zapewnia domyślną łączność ze składnikami obciążenia. Żaden składnik zewnętrzny nie może komunikować się z obciążeniem. W sieci wirtualnej jest to samo, co wzorzec 1.
Między sieciami ruch przechodzi przez publiczny Internet. Nie ma bezpośredniej łączności między sieciami.
Filtrowanie ruchu na poziomie sieci Ruch między segmentami jest domyślnie dozwolony. Użyj sieciowych grup zabezpieczeń lub grup zabezpieczeń do filtrowania ruchu. W sieci wirtualnej jest to samo, co wzorzec 1.
Między sieciami można filtrować zarówno ruch przychodzący, jak i wychodzący przez zaporę.
Niezamierzone otwarte publiczne punkty końcowe Karty interfejsu sieciowego nie otrzymują publicznych adresów IP. Sieci wirtualne nie są uwidocznione w usłudze Internet API Management. Tak samo jak wzorzec 1. Zamierzony otwarty publiczny punkt końcowy w jednej sieci wirtualnej, który można błędnie skonfigurować w celu zaakceptowania większej liczby ruchu.

Organizacja zasobów

Organizowanie zasobów platformy Azure na podstawie odpowiedzialności za własność

Diagram majątku platformy Azure, który zawiera wiele obciążeń.

Rozważmy majątek platformy Azure, który zawiera wiele obciążeń i składników usług udostępnionych, takich jak sieci wirtualne koncentratora, zapory, usługi tożsamości i usługi zabezpieczeń, takie jak Microsoft Sentinel. Składniki w całym majątku powinny być pogrupowane na podstawie ich obszarów funkcjonalnych, obciążeń i własności. Na przykład współużytkowane zasoby sieciowe powinny być zgrupowane w jedną subskrypcję i zarządzane przez zespół ds. sieci. Składniki przeznaczone dla poszczególnych obciążeń powinny znajdować się we własnym segmencie i mogą być dalej podzielone na podstawie warstw aplikacji lub innych zasad organizacyjnych.

Udzielanie dostępu do zarządzania zasobami w poszczególnych segmentach przez utworzenie przypisań ról RBAC. Na przykład zespół ds. sieci w chmurze może otrzymać dostęp administracyjny do subskrypcji zawierającej swoje zasoby, ale nie do poszczególnych subskrypcji obciążeń.

Dobra strategia segmentacji umożliwia łatwe identyfikowanie właścicieli poszczególnych segmentów. Rozważ użycie tagów zasobów platformy Azure do dodawania adnotacji do grup zasobów lub subskrypcji z zespołem właściciela.

Konfigurowanie i przeglądanie kontroli dostępu

Udziel odpowiedniego dostępu w zależności od potrzeb, jasno definiując segmenty dla zasobów.

Podczas definiowania zasad kontroli dostępu należy wziąć pod uwagę zasadę najniższych uprawnień. Ważne jest, aby odróżnić operacje płaszczyzny sterowania (zarządzanie samym zasobem) i operacje płaszczyzny danych (dostęp do danych przechowywanych przez zasób). Załóżmy na przykład, że masz obciążenie zawierające bazę danych z poufnymi informacjami o pracownikach. Możesz udzielić dostępu do zarządzania niektórym użytkownikom, którzy muszą skonfigurować ustawienia, takie jak kopie zapasowe bazy danych lub użytkownicy monitorujący wydajność serwera bazy danych. Jednak ci użytkownicy nie powinni mieć możliwości wykonywania zapytań dotyczących poufnych danych przechowywanych w bazie danych. Wybierz uprawnienia, które udzielają minimalnego zakresu wymaganego dla użytkowników do wykonywania swoich obowiązków. Regularnie przeglądaj przypisania ról dla każdego segmentu i usuwaj dostęp, który nie jest już wymagany.

Uwaga

Niektóre wysoce uprzywilejowane role, takie jak rola właściciela w kontroli dostępu opartej na rolach, zapewniają użytkownikom możliwość udzielania innym użytkownikom dostępu do zasobu. Ogranicz liczbę użytkowników lub grup przypisanych do roli właściciela i regularnie przeglądaj dzienniki inspekcji, aby upewnić się, że wykonują tylko prawidłowe operacje.

Lista kontrolna zabezpieczeń

Zapoznaj się z pełnym zestawem zaleceń.

Lista kontrolna zabezpieczeń