Deli z drugimi prek


Priporočila za izgradnjo strategije segmentacije

Velja za Power Platform priporočilo dobro arhitekturnega varnostnega kontrolnega seznama:

SE:04 Ustvarite namerno segmentacijo in perimetre v svoji arhitekturni zasnovi in ​​odtis delovne obremenitve na platformi. Strategija segmentacije mora vključevati omrežja, vloge in odgovornosti, identitete delovne obremenitve in organizacijo virov.

Strategija segmentacije določa, kako ločite delovne obremenitve od drugih delovnih obremenitev z lastnim nizom varnostnih zahtev in ukrepov.

Ta vodnik opisuje priporočila za izgradnjo poenotene strategije segmentacije. Z uporabo perimetrov in izolacijskih meja v delovnih obremenitvah lahko oblikujete varnostni pristop, ki vam ustreza.

Definicije

Trajanje Definicija
Vsebovanje Tehnika za zadrževanje radija eksplozije, če napadalec pridobi dostop do segmenta.
Dostop z najmanjšimi pravicami Načelo ničelnega zaupanja, katerega cilj je zmanjšati nabor dovoljenj za dokončanje delovne funkcije.
Obseg Meja zaupanja okoli segmenta.
Organizacija virov Strategija združevanja povezanih virov po tokovih znotraj segmenta.
Vloga Niz dovoljenj, potrebnih za dokončanje delovne funkcije.
Segment Logična enota, ki je izolirana od drugih entitet in zaščitena z nizom varnostnih ukrepov.

Ključne strategije oblikovanja

Koncept segmentacije se pogosto uporablja za omrežja. Vendar pa je isto osnovno načelo mogoče uporabiti v celotni rešitvi, vključno s segmentacijo virov za namene upravljanja in nadzor dostopa.

Segmentacija vam pomaga oblikovati varnostni pristop, ki uporablja poglobljeno obrambo na podlagi načel modela Zero Trust. Zagotovite, da napadalec, ki vdre v en segment, ne more pridobiti dostopa do drugega, tako da segmentirate delovne obremenitve z različnimi kontrolami identitete. V varnem sistemu se za blokiranje nepooblaščenega dostopa in skrivanje sredstev pred razkritjem uporabljajo različni atributi, kot sta omrežje in identiteta.

Tukaj je nekaj primerov segmentov:

  • Kontrolniki platforme, ki določajo meje omrežja
  • Okolja, ki izolirajo delovne obremenitve organizacije
  • Rešitve, ki izolirajo sredstva delovne obremenitve
  • Okolja uvajanja, ki izolirajo uvajanje po stopnjah
  • Ekipe in vloge, ki izolirajo delovne funkcije, povezane z razvojem in upravljanjem delovne obremenitve
  • Aplikacijske ravni, ki se izolirajo glede na pripomoček za delovno obremenitev
  • Mikrostoritve, ki izolirajo eno storitev od druge

Upoštevajte te ključne elemente segmentacije, da zagotovite, da gradite celovito strategijo poglobljene obrambe:

  • Meja ali obod je vstopni rob segmenta, kjer uporabite varnostne kontrole. Nadzor perimetra bi moral blokirati dostop do segmenta, razen če je to izrecno dovoljeno. Cilj je preprečiti, da bi napadalec vdrl skozi perimeter in pridobil nadzor nad sistemom. Uporabnik ima lahko na primer dostop do okolja, vendar lahko v tem okolju zažene le določene aplikacije na podlagi svojih dovoljenj.

  • Zadrževanje je izstopni rob segmenta, ki preprečuje stransko gibanje v sistemu. Cilj zadrževanja je čim bolj zmanjšati učinek kršitve. Navidezno omrežje se lahko na primer uporabi za konfiguracijo usmerjanja in omrežnih varnostnih skupin, da dovolijo samo vzorce prometa, ki jih pričakujete, in se izognete prometu v poljubne omrežne segmente.

  • Izolacija je praksa združevanja subjektov s podobnimi zagotovili skupaj, da se zaščitijo z mejo. Cilj je enostavno upravljanje in zadrževanje napada v okolju. Vire, ki se nanašajo na določeno delovno obremenitev, lahko na primer združite v eno Power Platform okolje ali eno rešitev in nato uporabite nadzor dostopa, tako da lahko do okolja dostopajo samo skupine za določeno delovno obremenitev.

Pomembno je upoštevati razliko med obodi in izolacijo. Perimeter se nanaša na točke lokacije, ki jih je treba preveriti. Pri izolaciji gre za združevanje. Aktivno omejite napad s skupno uporabo teh konceptov.

Izolacija ne pomeni ustvarjanja silosov v organizaciji. Enotna strategija segmentacije zagotavlja usklajenost med tehničnimi ekipami in postavlja jasne meje odgovornosti. Jasnost zmanjšuje tveganje človeških napak in napak avtomatizacije, ki lahko povzročijo varnostne ranljivosti, izpad delovanja ali oboje. Recimo, da je v komponenti kompleksnega sistema podjetja odkrita kršitev varnosti. Pomembno je, da vsi razumejo, kdo je odgovoren za ta vir, tako da je ustrezna oseba vključena v triažno ekipo. Organizacija in zainteresirane strani lahko hitro ugotovijo, kako se odzvati na različne vrste incidentov, tako da ustvarijo in dokumentirajo dobro strategijo segmentacije.

Kompromis: Segmentacija uvaja zapletenost, ker pri upravljanju nastajajo dodatni stroški.

Tveganje: mikrosegmentacija, ki presega razumno mejo, izgubi prednost izolacije. Ko ustvarite preveč segmentov, postane težko prepoznati točke komunikacije ali omogočiti veljavne komunikacijske poti znotraj segmenta.

Identiteta kot perimeter

Različne identitete, kot so osebe, komponente programske opreme ali naprave, dostopajo do segmentov delovne obremenitve. Identiteta je perimeter, ki bi moral biti primarna obrambna linija avtentikacijo in avtorizacijo dostopa prek izolacijskih meja, ne glede na to, od kod izvira zahteva za dostop. Uporabite identiteto kot mejo za:

  • Dodeljevanje dostopa po vlogi. Identitete potrebujejo samo dostop do segmentov, ki so potrebni za opravljanje njihovega dela. Zmanjšajte anonimni dostop tako, da razumete vloge in odgovornosti zahtevajoče identitete, tako da poznate entiteto, ki zahteva dostop do segmenta in za kakšen namen.

    Identiteta ima lahko različne obsege dostopa v različnih segmentih. Razmislite o tipični postavitvi okolja z ločenimi segmenti za vsako stopnjo. Identitete, povezane z vlogo razvijalca, imajo dostop za branje in pisanje do razvojnega okolja. Ko se uvajanje premakne v uprizarjanje, so ta dovoljenja omejena. Do trenutka, ko je delovna obremenitev napredovana v produkcijo, se obseg za razvijalce zmanjša na dostop samo za branje.

  • Identitete aplikacij in upravljanja obravnavajte ločeno. Pri večini rešitev imajo uporabniki drugačno raven dostopa kot razvijalci ali operaterji. V nekaterih aplikacijah lahko uporabite različne sisteme identitete ali imenike za vsako vrsto identitete. Razmislite o ustvarjanju ločenih vlog za vsako identiteto.

  • Dodeli dostop z najmanjšimi pravicami. Če ima identiteta dovoljen dostop, določite raven dostopa. Začnite z najmanjšim privilegijem za vsak segment in razširite ta obseg samo, ko je to potrebno.

    Z uporabo najmanjšega privilegija omejite negativne učinke, če je identiteta kdaj ogrožena. Če je dostop časovno omejen, se napadalna površina še zmanjša. Časovno omejen dostop velja zlasti za kritične račune, kot so skrbniki ali komponente programske opreme, ki imajo ogroženo identiteto.

Kompromis : Nadzor dostopa na podlagi vlog (RBAC) povzroči dodatne stroške upravljanja. Spremljanje identitet in njihovih obsegov dostopa lahko postane zapleteno pri dodelitvah vlog. Razmislite o dodelitvi vlog varnostnim skupinam namesto posameznim identitetam.

Tveganje: Nastavitve identitete so lahko zapletene. Napačne konfiguracije lahko vplivajo na zanesljivost delovne obremenitve. Denimo, da obstaja napačno konfigurirana dodelitev vloge, ki ji je zavrnjen dostop do baze podatkov. Zahteve začnejo odpovedovati, kar sčasoma povzroči težave z zanesljivostjo, ki jih sicer ni mogoče zaznati do časa izvajanja.

Za informacije o nadzoru identitete glejte Priporočila za upravljanje identitete in dostopa.

V nasprotju z nadzorom dostopa do omrežja identiteta potrdi nadzor dostopa v času dostopa. Zelo priporočljivo je, da izvajate redne preglede dostopa in zahtevate potek dela za odobritev za pridobitev privilegijev za kritične račune.

Mreženje kot perimeter

Perimetri identitete so agnostični za omrežje, medtem ko omrežni perimetri povečujejo identiteto, vendar je nikoli ne nadomestijo. Območja omrežja so vzpostavljena za nadzor radija eksplozije, blokiranje nepričakovanega, prepovedanega in nevarnega dostopa ter zakrivanje virov delovne obremenitve.

Medtem ko je primarni fokus perimetra identitete najmanj privilegijev, morate domnevati, da bo prišlo do kršitve, ko načrtujete omrežni obseg.

Ustvarite programsko določene perimetre v vašem omrežnem odtisu z uporabo Power Platform in storitev in funkcij Azure. Ko je delovna obremenitev (ali deli dane delovne obremenitve) umeščena v ločene segmente, nadzorujete promet od ali do teh segmentov, da zaščitite komunikacijske poti. Če je segment ogrožen, je zaprt in preprečeno bočno širjenje po preostalem vašem omrežju.

Razmišljajte kot napadalec, da dosežete oporo znotraj delovne obremenitve in vzpostavite nadzor za zmanjšanje nadaljnje širitve. Kontrole morajo odkriti, zadržati in preprečiti napadalcem dostop do celotne delovne obremenitve. Tukaj je nekaj primerov nadzora omrežja kot perimetra:

  • Določite svoj robni obseg med javnimi omrežji in omrežjem, kjer je vaša delovna obremenitev. Čim bolj omejite vidno polje javnih omrežij na svoje omrežje.
  • Ustvarite meje na podlagi namena. Na primer, segmentirajte funkcionalna omrežja delovne obremenitve iz operativnih omrežij.

Tveganje: Omrežne kontrole temeljijo na pravilih in obstaja precejšnja možnost napačne konfiguracije, kar je skrb za zanesljivost.

Vloge in odgovornosti

Segmentacija, ki preprečuje zmedo in varnostna tveganja, je dosežena z jasno opredelitvijo linij odgovornosti znotraj delovne skupine.

Dokumentirajte in delite vloge in funkcije, da ustvarite doslednost in olajšate komunikacijo. Določite skupine ali posamezne vloge, ki so odgovorne za ključne funkcije. Upoštevajte vgrajene vloge v Power Platform pred ustvarjanjem vlog po meri za predmete.

Pri dodeljevanju dovoljenj za segment upoštevajte doslednost in upoštevajte več organizacijskih modelov. Ti modeli lahko segajo od ene same centralizirane IT skupine do večinoma neodvisnih IT in DevOps ekip.

Tveganje: Članstvo v skupinah se lahko sčasoma spremeni, ko se zaposleni pridružijo skupinam ali jih zapustijo ali zamenjajo vloge. Upravljanje vlog po segmentih lahko povzroči stroške upravljanja.

Organizacija virov

Segmentacija vam omogoča izolacijo delovnih virov od drugih delov organizacije ali celo znotraj ekipe. Power Platform konstrukti, kot so okolja in rešitve, so načini organiziranja vaših virov, ki spodbujajo segmentacijo.

Power Platform olajšanje

Naslednji razdelki opisujejo Power Platform funkcije in zmožnosti, ki jih lahko uporabite za izvajanje strategije segmentacije.

Identiteta

Vsi Power Platform izdelki uporabljajo Microsoft Entra ID (prej Azure Active Directory ali Azure AD) za upravljanje identitete in dostopa. V Entra ID lahko uporabite vgrajene varnostne vloge, pogojni dostop, upravljanje privilegirane identitete in upravljanje skupinskega dostopa, da določite svoje perimetre identitete.

Microsoft Dataverse uporablja varnost na podlagi vlog za združevanje zbirke privilegijev. Te varnostne vloge so lahko povezane neposredno z uporabniki ali pa so povezane z ekipami in poslovnimi enotami rešitve Dataverse. Za več informacij glejte Varnostni koncepti v Microsoft Dataverse.

Mreženje

S podporo za navidezno omrežje Azure za Power Platform se lahko integrirate Power Platform z viri znotraj svojega navideznega omrežja, ne da bi jih izpostavili javnemu internetu. Podpora za navidezno omrežje uporablja delegiranje podomrežja Azure za upravljanje odhodnega prometa iz Power Platform med izvajanjem. Z uporabo pooblaščenca se izognete potrebi po potovanju zaščitenih virov po internetu za integracijo z Power Platform. Komponente navideznega omrežja Dataverse in Power Platform lahko kličejo vire v lasti vašega podjetja znotraj vašega omrežja, ne glede na to, ali gostujejo v Azure ali na mestu uporabe, ter uporabljajo vtičnike in povezovalnike za opravljati odhodne klice. Za več informacij glejte Podpora za navidezno omrežje za Power Platform pregled.

Požarni zid IP za Power Platform okolja pomaga zaščititi vaše podatke z omejevanjem uporabniškega dostopa na Dataverse samo dovoljenih lokacij IP.

Microsoft Azure ExpressRoute ponuja napreden način povezovanja vašega na mestu uporabe omrežja z Microsoftovimi storitvami v oblaku z uporabo zasebne povezave. Ena sama povezava ExpressRoute se lahko uporablja za dostop do več spletnih storitev; na primer Microsoft Power Platform, Dynamics 365, Microsoft 365 in Azure.

Varnostni kontrolni seznam

Oglejte si celoten sklop priporočil.