Udostępnij przez

Izolacja sieci (bezpieczna inicjatywa przyszłości)

Nazwa filaru: Ochrona sieci
Nazwa wzorca: Izolacja sieci

Kontekst i problem

Nowoczesne podmioty zagrożeń wykorzystują słabe granice sieciowe, aby przemieszczać się lateralnie i eskalować uprawnienia. Typowe ścieżki ataków obejmują skradzione poświadczenia, nadużycie protokołu i odtwarzanie tokenu. W środku przeciwnicy często wykorzystują słabą segmentację, nadmiernie permisywne uprawnienia lub udostępnioną infrastrukturę w celu uzyskania dostępu do poufnych obciążeń.  

Tradycyjne sieci płaskie utrudniają wymuszanie zasady najmniejszych uprawnień i często pozostawiają zasoby powszechnie dostępne. Bez wyraźnej izolacji zarówno zagrożenia wewnętrzne, jak i zewnętrzne mogą szybko naruszyć bezpieczeństwo wielu systemów. Wyzwaniem jest standaryzacja segmentacji sieci, egzekwowanie obwodów i zapewnienie ścisłej kontroli przepływu ruchu sieciowego, aby zapobiec ruchom bocznym i powstrzymać naruszenia.

Rozwiązanie

Izolacja sieci zabezpiecza sieci, dzieląc i izolując sieci na segmenty i kontrolując dostęp do nich. Łączy ona rozwiązania zabezpieczające sieci świadome tożsamości oraz ulepszenia możliwości widoczności, monitorowania i wykrywania. Podstawowe rozwiązania obejmują:

  • Segmentacja sieci i perymetry zdefiniowane programowo: Zakładaj naruszenie i ogranicz ruch boczny za pomocą partycjonowania sieci i dynamicznego dostępu opartego na ryzyku. Wymuszaj przywileje najmniejszego zakresu za pomocą dostępu o określonym zakresie i weryfikuj w sposób jawny za pomocą kontroli dostępu opartej na tożsamości.

  • SASE i ZTNA: integrowanie zabezpieczeń i sieci za pomocą architektury Secure Access Service Edge (SASE) i Zero Trust Network Access (ZTNA). Dopasuj zasady zero trust, udzielając i ograniczając dostęp na podstawie kontekstu, tożsamości i kontroli dostępu warunkowego.

  • Szyfrowanie i komunikacja: Przyjmij naruszenie, chroniąc dane podczas przesyłania i ograniczania ryzyka naruszenia danych za pomocą silnego, nowoczesnego szyfrowania i komunikacji oraz blokowania słabych protokołów.

  • Widoczność i wykrywanie zagrożeń: przyjęcie założenia o naruszeniu z ciągłym wglądem, monitorowaniem i rejestrowaniem aktywności sieciowej. Egzekwuj najniższe uprawnienia i zweryfikuj jawnie za pomocą kontroli dostępu i wykrywania zagrożeń, aby znaleźć i ujawnić anomalie. Wymuszaj zero trust, automatyzując wdrażanie, zarządzanie i alokację zasobów sieciowych i kontrolek na dużą skalę. Bez automatyzacji, opóźnienia, niespójności i luki mogą szybko powstać.

  • Kontrolki oparte na zasadach: Sprawdź jawnie oraz zastosuj najmniejsze uprawnienia za pomocą szczegółowych, adaptacyjnych kontroli zasad dostępu warunkowego. Zakładaj przełamanie zabezpieczeń z zasadą domyślnego odrzucania i stale przeszacowuj ryzyko.

  • Zabezpieczenia chmury i sieci hybrydowej: Załóż naruszenie i Zweryfikuj jawnie w środowiskach wielochmurowych i hybrydowych, izolując obciążenia chmury w chronione mikroobwody oraz korzystając z serwerów proxy uwzględniających tożsamość i rozwiązań CASB (Cloud Security Access Broker) dla aplikacji SaaS i PaaS. Stosowanie zasad Zero Trust z ujednoliconymi zasadami zabezpieczeń w chmurze i lokalnie, bezpiecznymi mechanizmami połączenia hybrydowego, ulepszaniem stanu zabezpieczeń chmury/hybrydowego i scentralizowanym monitorowaniem zabezpieczeń.

Wskazówki

Organizacje mogą przyjąć podobny wzorzec, korzystając z następujących praktyk z możliwością działania:

Przypadek użycia Zalecana akcja Resource
Mikrosegmentacja
  • Użyj sieciowych grup zabezpieczeń (NSG) i list kontroli dostępu (ACL), aby wymusić najmniejszy przywilejowy dostęp między obciążeniami.
 Omówienie sieciowych grup zabezpieczeń platformy Azure
Izolowanie sieci wirtualnych
  • Użyj narzędzi takich jak Microsoft Defender for Vulnerability Management do skanowania systemów i nadawania priorytetów CVE.
 Izolowanie sieci wirtualnych — sieci wirtualne platformy Azure
Ochrona obwodowa zasobów PaaS
  • Użyj bezpiecznego dostępu zabezpieczeń sieci platformy Azure do usług, takich jak Storage, SQL i Key Vault.
 Co to jest obwód zabezpieczeń sieci
Zabezpieczanie łączności z maszynami wirtualnymi
  • Użyj usługi Azure Bastion, aby ustanowić bezpieczną łączność RDP/SSH z maszynami wirtualnymi bez uwidaczniania zasobów w Internecie.
 Informacje o usłudze Azure Bastion
Ograniczanie wychodzącego dostępu wirtualnego
  • Usuń domyślny wychodzący dostęp do Internetu i zastosuj najmniej uprzywilejowaną sieć dla ruchu wychodzącego usługi.
 Domyślny dostęp wychodzący na platformie Azure — Azure Virtual Network
Ochrona obwodowa warstwowa
  • Zastosuj zapory, tagi usług, sieciowe grupy zabezpieczeń i ochronę przed atakami DDoS, aby wymusić zabezpieczenia wielowarstwowe.
 Omówienie usługi Azure DDoS Protection
Scentralizowane zarządzanie zasadami
  • Użyj usługi Azure Virtual Network Manager z regułami administratora zabezpieczeń, aby centralnie zarządzać zasadami izolacji sieci.
 Reguły administratora zabezpieczeń w usłudze Azure Virtual Network Manager

Wyniki

Korzyści

  • Odporność: Ogranicza zasięg ataku włamania.  
  • Skalowalność: Standardowa izolacja sieci obsługuje środowiska w skali przedsiębiorstwa.  
  • Widoczność: tagowanie i monitorowanie usługi zapewniają jaśniejsze przypisywanie przepływów ruchu.  
  • Dostosowanie przepisów: obsługuje zgodność ze strukturami wymagającymi ścisłego podziału poufnych zasobów.  

Trade-offs

  • Obciążenie operacyjne: Projektowanie i utrzymywanie segmentowanych sieci wymaga planowania i bieżących aktualizacji.
  • Złożoność: Większa segmentacja może wprowadzać dodatkowe warstwy zarządzania i wymagać automatyzacji do skalowania.  
  • Zagadnienia dotyczące wydajności: Niektóre miary izolacji mogą nieznacznie zwiększyć opóźnienie.  

Kluczowe czynniki sukcesu

Aby śledzić powodzenie, zmierz następujące kwestie:

  • Liczba obciążeń roboczych wdrożonych w izolowanych sieciach wirtualnych bez bezpośredniej ekspozycji na internet.  
  • Procent usług podlegających scentralizowanym regułom administratora zabezpieczeń.  
  • Zmniejszenie ścieżek ruchu bocznego zidentyfikowane podczas testów red team.  
  • Zgodność z zasadami o najniższych uprawnieniach w różnych środowiskach.  
  • Czas wykrywania i korygowania nietypowych działań sieciowych.  

Podsumowanie

Izolacja sieci jest podstawową strategią zapobiegania ruchowi bocznemu i ochronie wrażliwych obciążeń. Segmentując zasoby, wymuszając obwody i stosując warstwowe zabezpieczenia, organizacje zmniejszają swoją powierzchnię ataków i tworzą odporność na nowoczesnych przeciwników.

Izolowanie sieci nie jest już opcjonalne---it jest niezbędną kontrolą w celu ochrony środowisk chmurowych i hybrydowych. Celem izolacji sieci jest dostarczenie jasnych ram do zmniejszenia ruchu bocznego, zgodnie z zasadą Zero Trust, oraz ochrony środowisk w rozmiarze przedsiębiorstwa.  

Ponadto wszystkie działania sieciowe, związane z tożsamością i urządzeniami, powinny być stale monitorowane. Scentralizowanie rejestrowania i korelowanie alertów zabezpieczeń przy użyciu rozwiązań rozszerzonego wykrywania i reagowania (XDR) oraz narzędzi SIEM w celu efektywnego wykrywania anomalii i zagrożeń. Wykrywanie zagrożeń z wykorzystaniem analizy behawioralnej, głębokiej inspekcji pakietów oraz automatycznej reakcji na zagrożenia, aby szybko ograniczać podejrzane działania i wspierać efektywną reakcję na incydenty.

Oceń bieżącą topologię sieci i zaimplementuj segmentację i kontrolki obwodowe, aby dopasować je do celu izolacji sieci.

  • Last updated on