Поделиться через

Сетевая изоляция (безопасная инициатива будущего)

Имя столпа: защита сетей
Имя шаблона: изоляция сети

Контекст и проблема

Современные субъекты угроз используют слабые сетевые границы для бокового перемещения и повышения привилегий. Распространенные пути атаки включают украденные учетные данные, злоупотребление протоколами и повторное использование токенов. Попадая внутрь, злоумышленники часто используют плохое сегментирование, слишком широкие права или общую инфраструктуру, чтобы получить доступ к чувствительным рабочим процессам.  

Традиционные плоские сети затрудняют применение доступа с минимально необходимыми привилегиями и часто оставляют ресурсы доступными в широком доступе. Без четкой изоляции как внутренние, так и внешние угрозы могут быстро компрометировать несколько систем. Задача заключается в стандартизации сегментации сети, принудительном применении периметров и обеспечении строгого контроля потоков трафика, чтобы предотвратить боковое перемещение и содержать нарушения.

Solution

Сетевая изоляция защищает сети путем разделения и изоляции сетей на сегменты и управления доступом к сети. Он объединяет решения сетевой безопасности с учетом идентификации и улучшения видимости, мониторинга и обнаружения. Основные методики включают:

  • Сегментация сети и периметры с программным управлением: предположение нарушения и ограничение перемещения с помощью секционирования сети и динамического, основанного на рисках доступа. Используйте принцип минимальных привилегий с ограниченным доступом и проверяйте явно с помощью контроля доступа на основе идентификации.

  • SASE и ZTNA: используйте архитектуры SASE и ZTNA, чтобы интегрировать безопасность и сеть. Согласование принципов нулевого доверия путем предоставления и ограничения доступа на основе контекста, идентификаций и управления условным доступом.

  • Шифрование и обмен данными. Предполагайте нарушение путем защиты данных при передаче и ограничении риска изменения данных с помощью строгого, современного шифрования и связи, а также блокирования слабых протоколов.

  • Видимость и обнаружение угроз, включая непрерывную видимость и мониторинг, а также логирование сетевых действий на основе принципа предположения о нарушении. Применение минимальных привилегий и явной проверки с использованием контроля доступа и системы обнаружения угроз для выявления аномалий. Обеспечение нулевого доверия путем автоматизации развертывания, управления и распределения сетевых ресурсов и элементов управления в масштабе. Без автоматизации быстро могут возникнуть задержки, несоответствия и пробелы.

  • Элементы управления, управляемые политикой: явно проверяйте и применяйте минимальные привилегии с помощью детализированного и адаптивного управления на основе удостоверений личности и политиками условного доступа. Предполагаемый взлом с политикой "запрещено по умолчанию" и постоянной переоценкой риска.

  • Облачная и гибридная сетевая безопасность: Предположим факт нарушения и проверяем явно в многоблочных и гибридных средах путем изоляции облачных нагрузок в защищенных микро-периметрах, а также с помощью идентификационных прокси-серверов и решений Cloud Security Access Broker (CASB) для приложений SaaS и PaaS. Применение принципов нулевого доверия с унифицированными политиками безопасности в облаке и локальной среде, механизмами безопасного гибридного подключения, улучшением состояния облачной и гибридной безопасности и централизованным мониторингом безопасности.

Руководство

Организации могут применять аналогичный шаблон, используя следующие практические методики:

Сценарий использования Рекомендуемое действие Resource
Микросегментация
  • Используйте группы безопасности сети (NSG) и списки управления доступом для обеспечения минимального уровня привилегий доступа между рабочими нагрузками.
 Общие сведения о группах безопасности сети Azure
Изоляция виртуальных сетей
  • Использование таких средств, как Управление уязвимостями Microsoft Defender для сканирования систем и приоритизации CVEs
 Изоляция виртуальных сетей — виртуальные сети Azure
Защита периметра для ресурсов PaaS
  • Используйте Azure Network Security для безопасного доступа к таким службам, как Azure Storage, SQL и Key Vault.
 Что такое периметр безопасности сети
Безопасное подключение к виртуальным машинам
  • Используйте Бастион Azure, чтобы установить безопасное подключение RDP/SSH к виртуальным машинам без предоставления ресурсов в Интернете.
 Сведения о Бастионе Azure
Ограничение исходящего виртуального доступа
  • Удалите исходящий доступ к Интернету по умолчанию и примените наименее привилегированную сеть для исходящего трафика службы.
 Исходящий доступ по умолчанию в Azure — виртуальная сеть Azure
Защита многоуровневого периметра
  • Применение брандмауэров, тегов служб, групп безопасности сети и защиты от атак DDoS для обеспечения многоуровневой безопасности.
 Общие сведения о защите от атак DDoS Azure
Централизованное управление политиками
  • Используйте Диспетчер виртуальных сетей Azure с правилами администратора безопасности для централизованного управления политиками сетевой изоляции.
 Правила администратора безопасности в Azure Virtual Network Manager

Результаты

Преимущества

  • Устойчивость: ограничивает радиус взрыва вторжения.  
  • Масштабируемость. Стандартизованная сетевая изоляция поддерживает среды корпоративного масштаба.  
  • Видимость: маркировка служб и мониторинг обеспечивают более четкое назначение потоков трафика.  
  • Выравнивание нормативных требований. Поддерживает соответствие платформам, требующим строгой сегрегации конфиденциальных ресурсов.  

Trade-offs

  • Операционные издержки. Проектирование и обслуживание сегментированных сетей требует планирования и текущих обновлений.
  • Сложность. Дополнительные сегментации могут вводить дополнительные уровни управления и требовать автоматизации для масштабирования.  
  • Рекомендации по производительности. Некоторые меры изоляции могут немного увеличить задержку.  

Ключевые факторы успеха

Чтобы отслеживать успешность, выполните следующие действия.

  • Количество рабочих нагрузок, развернутых в изолированных виртуальных сетях без прямого доступа к Интернету.  
  • Процент служб, управляемых централизованным правилами администратора безопасности.  
  • Сокращение путей бокового смещения, определенных во время тестирования красной команды.  
  • Соответствие наименее привилегированным политикам в разных средах.  
  • Время обнаружения и исправления аномальных сетевых действий.  

Сводка

Сетевая изоляция — это базовая стратегия предотвращения бокового перемещения и защиты конфиденциальных рабочих нагрузок. Сегментируя ресурсы, применяя периметры и применяя многоуровневую защиту, организации сокращают их область атаки и создают устойчивость к современным противникам.

Изоляция сетей больше не является необязательной---it — это необходимый элемент управления для защиты облачных и гибридных сред. Цель изоляции сети обеспечивает четкие рамки для уменьшения бокового перемещения, в соответствии с концепцией Zero Trust, и защиты корпоративных сред.  

Кроме того, все действия сети, идентификации и устройств должны постоянно отслеживаться. Централизация ведения журнала и корреляция оповещений системы безопасности с помощью решений расширенного обнаружения и ответа (XDR) и средств SIEM для эффективного обнаружения аномалий и угроз. Выявление угроз с помощью поведенческого анализа, глубокой инспекции пакетов и автоматизированного ответа на угрозы для быстрого сдерживания подозрительных действий и поддержки эффективного реагирования на инциденты.

Оцените текущую топологию сети и реализуйте элементы управления сегментацией и периметром, чтобы соответствовать цели сетевой изоляции.

  • Last updated on