Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Vzťahuje sa na odporúčanie kontrolného zoznamu Dobre navrhnutého zabezpečenia: Power Platform
| JV:04 | Vytvorte zámernú segmentáciu a perimetre vo svojom návrhu architektúry a v závislosti od miesta, ktoré pracovná záťaž zaujme na platforme. Stratégia segmentácie musí zahŕňať siete, role a zodpovednosti, identity pracovných záťaží a organizáciu zdrojov. |
|---|
Stratégia segmentácie definuje, ako oddelíte pracovné zaťaženia od iných pracovných zaťažení s ich vlastnou sadou bezpečnostných požiadaviek a opatrení.
Táto príručka popisuje odporúčania pre vytvorenie jednotnej stratégie segmentácie . Pomocou perimetrov a hraníc izolácie v pracovných zaťaženiach môžete navrhnúť bezpečnostný prístup, ktorý vám vyhovuje.
Definície
| Pojem | Definícia |
|---|---|
| Zadržiavanie | Technika na obmedzenie polomeru výbuchu, ak útočník získa prístup k segmentu. |
| Prístup s najnižšími oprávneniami | Princíp nulovej dôvery, ktorého cieľom je minimalizovať počet povolení potrebných na dokončenie pracovnej funkcie. |
| Perimeter | Hranica dôveryhodnosti okolo segmentu. |
| Organizácia zdrojov | Stratégia zoskupovania súvisiacich zdrojov podľa tokov v rámci segmentu. |
| Role | Sada oprávnení potrebných na dokončenie pracovnej funkcie. |
| Segment | Logická jednotka, ktorá je izolovaná od ostatných entít a chránená súborom bezpečnostných opatrení. |
Kľúčové dizajnérske stratégie
Koncept segmentácie sa bežne používa pre siete. Rovnaký základný princíp sa však dá použiť v celom riešení vrátane segmentácie zdrojov na účely správy a riadenia prístupu.
Segmentácia vám pomáha navrhnúť bezpečnostný prístup, ktorý uplatňuje hĺbkovú obranu založenú na princípoch modelu nulovej dôvery. Zabezpečte, aby útočník, ktorý naruší jeden segment, nemohol získať prístup k inému, segmentáciou pracovných záťaží s rôznymi kontrolami identity. V zabezpečenom systéme sa na blokovanie neoprávneného prístupu a skrytie aktív pred odhalením používajú rôzne atribúty, ako napríklad sieť a identita.
Tu je niekoľko príkladov segmentov:
- Ovládacie prvky platformy, ktoré definujú hranice siete
- Prostredia, ktoré izolujú pracovné zaťaženie organizácie
- Riešenia, ktoré izolujú zdroje pracovnej záťaže
- Prostredia nasadenia, ktoré izolujú nasadenie podľa fáz
- Tímy a role, ktoré izolujú pracovné funkcie súvisiace s vývojom a riadením pracovnej záťaže
- Úrovne aplikácií, ktoré izolujú podľa utility pracovnej záťaže
- Mikroslužby, ktoré izolujú jednu službu od druhej
Zvážte tieto kľúčové prvky segmentácie, aby ste sa uistili, že vytvárate komplexnú stratégiu hĺbkovej obrany:
Hranica alebo perimetr je vstupná hrana segmentu, kde sa uplatňujú bezpečnostné kontroly. Perimetrické kontroly by mali blokovať prístup k segmentu, pokiaľ to nie je výslovne povolené. Cieľom je zabrániť útočníkovi v preniknutí cez perimetr a získaní kontroly nad systémom. Napríklad, používateľ môže mať prístup k prostrediu, ale môže v tomto prostredí spúšťať iba konkrétne aplikácie na základe svojich povolení.
Ochranná vrstva je výstupná hrana segmentu, ktorá zabraňuje bočnému pohybu v systéme. Cieľom obmedzenia je minimalizovať vplyv narušenia. Napríklad virtuálna sieť sa môže použiť na konfiguráciu smerovania a skupín zabezpečenia siete tak, aby povoľovala iba očakávané vzorce prenosu, čím sa zabráni prenosu do ľubovoľných segmentov siete.
Izolácia je prax zoskupovania entít s podobnými zárukami s cieľom ich ochrany hranicou. Cieľom je jednoduchosť riadenia a obmedzenie útoku v danom prostredí. Napríklad môžete zoskupiť zdroje, ktoré sa týkajú konkrétnej pracovnej záťaže, do jedného prostredia alebo jedného riešenia a potom použiť riadenie prístupu tak, aby k prostrediu mali prístup iba konkrétne tímy s pracovnou záťažou. Power Platform
Je dôležité poznamenať rozdiel medzi perimetrami a izoláciou. Perimetr sa vzťahuje na body lokality, ktoré by sa mali skontrolovať. Izolácia je o zoskupovaní. Aktívne obmedzte útok spoločným využitím týchto konceptov.
Izolácia neznamená vytváranie oddelených priestorov v organizácii. Jednotná stratégia segmentácie zabezpečuje zosúladenie medzi technickými tímami a stanovuje jasné línie zodpovednosti. Jasnosť znižuje riziko ľudských chýb a zlyhaní automatizácie, ktoré môžu viesť k bezpečnostným zraniteľnostiam, prevádzkovým prestojom alebo obom. Predpokladajme, že v komponente komplexného podnikového systému sa zistí narušenie bezpečnosti. Je dôležité, aby každý rozumel, kto je zodpovedný za daný zdroj, aby bola do triediaceho tímu zahrnutá vhodná osoba. Organizácia a zainteresované strany môžu rýchlo identifikovať, ako reagovať na rôzne druhy incidentov, vytvorením a zdokumentovaním dobrej stratégie segmentácie.
Kompromis: Segmentácia prináša zložitosť, pretože v manažmente sú spojené režijné náklady.
Riziko: Mikrosegmentácia nad rámec rozumného limitu stráca výhodu izolácie. Keď vytvoríte príliš veľa segmentov, je ťažké identifikovať komunikačné body alebo povoliť platné komunikačné cesty v rámci segmentu.
Identita ako obvod
Rôzne identity, ako napríklad ľudia, softvérové komponenty alebo zariadenia, pristupujú k segmentom pracovnej záťaže. Identita je perimetr, ktorý by mal byť primárnou obrannou líniou overovať a autorizovať prístup cez hranice izolácie, bez ohľadu na to, odkiaľ žiadosť o prístup pochádza. Použite identitu ako hranicu na:
Priraďte prístup podľa roly. Identity potrebujú prístup iba k segmentom potrebným na vykonávanie svojej funkcie. Minimalizujte anonymný prístup pochopením úloh a zodpovedností žiadajúcej identity, aby ste vedeli, ktorá entita žiada o prístup k segmentu a na aký účel.
Identita môže mať v rôznych segmentoch rôzne rozsahy prístupu. Predstavte si typické nastavenie prostredia so samostatnými segmentmi pre každú fázu. Identity priradené k role vývojára majú prístup na čítanie aj zápis do vývojového prostredia. Keď sa nasadenie presunie do fázy prípravy, tieto povolenia sa obmedzia. V čase, keď sa pracovná záťaž povýši na produkčný režim, sa rozsah prístupu pre vývojárov zníži na prístup iba na čítanie.
Zvážte aplikačné a manažérske identity samostatne. Vo väčšine riešení majú používatelia inú úroveň prístupu ako vývojári alebo operátori. V niektorých aplikáciách môžete pre každý typ identity použiť rôzne systémy identity alebo adresáre. Zvážte vytvorenie samostatných rolí pre každú identitu.
Priraďte prístup s najnižšími oprávneniami. Ak má identita povolený prístup, určte úroveň prístupu. Začnite s najmenšími privilégiami pre každý segment a rozširujte tento rozsah iba v prípade potreby.
Použitím najmenších privilégií obmedzíte negatívne účinky, ak by bola identita niekedy ohrozená. Ak je prístup časovo obmedzený, plocha útoku sa ešte viac zníži. Časovo obmedzený prístup sa vzťahuje najmä na kritické účty, ako sú administrátori alebo softvérové komponenty, ktorých identita je ohrozená.
Informácie o kontrolách identity nájdete v časti Odporúčania pre správu identity a prístupu .
Na rozdiel od kontroly prístupu k sieti, identita overuje kontrolu prístupu v čase prístupu. Dôrazne sa odporúča vykonávať pravidelnú kontrolu prístupov a vyžadovať schvaľovací pracovný postup na získanie oprávnení pre účty s kritickým vplyvom.
Sieťovanie ako perimetr
Perimetre identity sú nezávislé od siete, zatiaľ čo sieťové perimetre identitu rozširujú, ale nikdy ju nenahrádzajú. Sieťové perimetre sú vytvorené na kontrolu polomeru výbuchu, blokovanie neočakávaného, zakázaného a nebezpečného prístupu a znejasňovanie zdrojov pracovnej záťaže.
Hoci primárnym zameraním perimetra identity je minimalizácia privilégií, pri navrhovaní sieťového perimetra by ste mali predpokladať, že dôjde k narušeniu.
Vytvorte softvérovo definované perimetre vo vašej sieťovej stope pomocou služieb a funkcií Azure. Power Platform Keď je pracovná záťaž (alebo časti danej pracovnej záťaže) umiestnená do samostatných segmentov, riadite prevádzku z týchto segmentov alebo do nich, aby ste zabezpečili komunikačné cesty. Ak je segment ohrozený, je obmedzený a zabráni sa jeho laterálnemu šíreniu po zvyšku siete.
Pre dosiahnutie fixácie v rámci pracovnej záťaže rozmýšľajte ako útočník a zavádzajte kontroly, ktoré minimalizujú ďalšie rozširovanie. Kontrolné mechanizmy by mali odhaliť, obmedziť a zabrániť útočníkom v prístupe k celej pracovnej záťaži. Tu je niekoľko príkladov sieťových kontrol ako perimetra:
- Definujte okrajovú oblasť medzi verejnými sieťami a sieťou, v ktorej je umiestnená vaša pracovná záťaž. Čo najviac obmedzte priamu viditeľnosť verejných sietí do vašej siete.
- Vytvorte si hranice na základe zámeru. Napríklad segmentácia pracovnej záťaže funkčných sietí od operačných sietí.
Roly a povinnosti
Segmentácia, ktorá zabraňuje nejasnostiam a bezpečnostným rizikám, sa dosahuje jasným definovaním línií zodpovednosti v rámci tímu pre pracovné zaťaženie.
Dokumentujte a zdieľajte úlohy a funkcie, aby ste vytvorili konzistentnosť a uľahčili komunikáciu. Určte skupiny alebo jednotlivé role, ktoré sú zodpovedné za kľúčové funkcie. Pred vytvorením vlastných rolí pre objekty zvážte vstavané role v časti Power Platform .
Pri prideľovaní povolení pre segment dbajte na konzistentnosť a zároveň zohľadňujte viacero organizačných modelov. Tieto modely sa môžu pohybovať od jednej centralizovanej IT skupiny až po prevažne nezávislé IT a DevOps tímy.
Organizácia zdrojov
Segmentácia umožňuje izolovať zdroje pracovnej záťaže od iných častí organizácie alebo dokonca v rámci tímu. Power Platform Konštrukty, ako sú prostredia a riešenia, sú spôsoby organizácie zdrojov, ktoré podporujú segmentáciu.
Power Platform uľahčenie
Nasledujúce časti opisujú funkcie a možnosti, ktoré môžete použiť na implementáciu stratégie segmentácie. Power Platform
Identita
Všetky produkty používajú ID (predtým ID) (predtým ID alebo ID ID) na správu identity a prístupu. Power Platform Microsoft Entra Azure Active Directory Azure AD V Entra ID môžete na definovanie perimetrov svojej identity použiť vstavané bezpečnostné roly, podmienený prístup, správu privilegovaných identít a správu skupinového prístupu.
Microsoft Dataverse používa zabezpečenie založené na rolách na zoskupenie kolekcie privilégií. Tieto role zabezpečenia môžu byť spojené priamo s používateľmi alebo môžu byť spojené s tímami a obchodnými jednotkami Dataverse. Viac informácií nájdete v časti Bezpečnostné koncepty v publikácii . Microsoft Dataverse
Siete
Vďaka podpore virtuálnej siete Azure pre Power Platform sa môžete integrovať Power Platform so zdrojmi vo vašej virtuálnej sieti bez toho, aby ste ich sprístupnili na verejnom internete. Podpora virtuálnej siete používa delegovanie podsiete Azure na správu odchádzajúcej prevádzky za behu. Power Platform Použitie delegáta eliminuje potrebu prenášania chránených zdrojov cez internet za účelom integrácie s Power Platform. Komponenty Virtuálna sieť Dataversea Power Platform môžu volať zdroje vo vlastníctve vášho podniku v rámci vašej siete, či už sú hostované v Azure alebo lokálne, a používať doplnky a konektory na uskutočňovanie odchádzajúcich hovorov. Viac informácií nájdete v časti Prehľad podpory virtuálnych sietí. Power Platform
IP firewall pre prostredia pomáha chrániť vaše údaje obmedzením prístupu používateľov iba na povolené IP adresy. Power Platform Dataverse
Spoločnosť Microsoft poskytuje pokročilý spôsob pripojenia vašej lokálnej siete ku cloudovým službám spoločnosti Microsoft pomocou súkromného pripojenia. Azure ExpressRoute Jedno pripojenie ExpressRoute možno použiť na prístup k viacerým online službám, napríklad Microsoft Power Platform, Dynamics 365, Microsoft 365 a Azure.
Kontrolný zoznam zabezpečenia
Pozrite si kompletný súbor odporúčaní.