Belešku
Pristup ovoj stranici zahteva autorizaciju. Možete pokušati da se prijavite ili da promenite direktorijume.
Pristup ovoj stranici zahteva autorizaciju. Možete pokušati da promenite direktorijume.
Odnosi se na Power Platform preporuku za proveru za dobro arhitektonsku bezbednost:
| SE:04 | Kreirajte namernu segmentaciju i perimetre u dizajnu arhitekture i otisak radnog opterećenja na platformi. Strategija segmentacije mora uključivati mreže, uloge i odgovornosti, identitete radnog opterećenja i organizaciju resursa. |
|---|
Strategija segmentacije definiše kako razdvajate radna opterećenja od drugih radnih opterećenja sa sopstvenim skupom bezbednosnih zahteva i mera.
Ovaj vodič opisuje preporuke za izgradnju jedinstvene strategije segmentacije. Koristeći perimetre i granice izolacije u radnim opterećenjima, možete dizajnirati bezbednosni pristup koji radi za vas.
Definicije
| Termin | Definicija |
|---|---|
| Suzbijanje | Tehnika koja sadrži radijus eksplozije ako napadač dobije pristup segmentu. |
| Pristup sa najmanjim privilegijama | Princip nultog poverenja koji ima za cilj minimiziranje skupa dozvola za završetak funkcije posla. |
| Perimetar | Granica poverenja oko segmenta. |
| Organizacija resursa | Strategija za grupisanje srodnih resursa po tokovima unutar segmenta. |
| Role | Skup dozvola potrebnih za završetak funkcije posla. |
| Segment | Logična jedinica koja je izolovana od drugih entiteta i zaštićena skupom bezbednosnih mera. |
Ključne strategije dizajna
Koncept segmentacije se obično koristi za mreže. Međutim, isti osnovni princip može se koristiti u celom rešenju, uključujući segmentaciju resursa za potrebe upravljanja i kontrolu pristupa.
Segmentacija vam pomaže da dizajnirate bezbednosni pristup koji primenjuje odbranu u dubini zasnovanu na principima modela nultog poverenja. Uverite se da napadač koji krši jedan segment ne može dobiti pristup drugom segmentiranjem radnih opterećenja sa različitim kontrolama identiteta. U sigurnom sistemu, različiti atributi, kao što su mreža i identitet, koriste se za blokiranje neovlašćenog pristupa i skrivanje imovine od izlaganja.
Evo nekoliko primera segmenata:
- Kontrole platforme koje definišu granice mreže
- Okruženja koja izoluju radna opterećenja organizacije
- Rešenja koja izoluju sredstva radnog opterećenja
- Okruženja za razmenu koja izoluju raspoređivanje po fazama
- Timovi i uloge koje izoluju funkcije posla vezane za razvoj i upravljanje radnim opterećenjem
- Nivoi aplikacija koji se izoluju radnim opterećenjem korisnosti
- Mikroservisi koji izoluju jednu uslugu od druge
Razmotrite ove ključne elemente segmentacije kako biste bili sigurni da gradite sveobuhvatnu strategiju dubinske odbrane:
Granica ili perimetar je ulazna ivica segmenta u kojem primenjujete bezbednosne kontrole. Kontrole perimetra treba da blokiraju pristup segmentu, osim ako to nije eksplicitno dozvoljeno. Cilj je da se spreči napadač da se probije kroz perimetar i stekne kontrolu nad sistemom. Na primer, korisnik može imati pristup okruženju, ali može pokrenuti samo određene aplikacije u tom okruženju na osnovu njihovih dozvola.
Zadržavanje je izlazna ivica segmenta koja sprečava bočno kretanje u sistemu. Cilj zadržavanja je da se minimizira efekat kršenja. Na primer, virtuelna mreža se može koristiti za konfigurisanje rutiranja i mrežnih bezbednosnih grupa kako bi se omogućili samo obrasci saobraćaja koje očekujete, izbegavajući saobraćaj na proizvoljne segmente mreže.
Izolacija je praksa grupisanja entiteta sa sličnim garancijama zajedno kako bi ih zaštitili granicom. Cilj je lakoća upravljanja i obuzdavanje napada u okruženju. Na primer, možete grupirati resurse koji se odnose na određeno radno opterećenje u jedno Power Platform okruženje ili jedno rešenje, a zatim primeniti kontrolu pristupa tako da samo određeni timovi za radno opterećenje mogu pristupiti okruženju.
Važno je napomenuti razliku između perimetra i izolacije. Perimetar se odnosi na tačke lokacije koje treba proveriti. Izolacija je o grupisanju. Aktivno sadrže napad koristeći ove koncepte zajedno.
Izolacija ne znači stvaranje silosa u organizaciji. Jedinstvena strategija segmentacije obezbeđuje usklađivanje između tehničkih timova i postavlja jasne linije odgovornosti. Jasnoća smanjuje rizik od ljudske greške i propusta automatizacije koji mogu dovesti do bezbednosnih propusta, operativnih zastoja ili oboje. Pretpostavimo da je bezbednosna povreda otkrivena u komponenti složenog sistema preduzeća. Važno je da svi razumeju ko je odgovoran za taj resurs, tako da odgovarajuća osoba bude uključena u trijažni tim. Organizacija i zainteresovane strane mogu brzo da identifikuju kako da odgovore na različite vrste incidenata kreiranjem i dokumentovanjem dobre strategije segmentacije.
Kompromis: Segmentacija uvodi složenost jer postoji režija u upravljanju.
Rizik: Mikro-segmentacija izvan razumne granice gubi korist od izolacije. Kada kreirate previše segmenata, postaje teško identifikovati tačke komunikacije ili omogućiti validne puteve komunikacije unutar segmenta.
Identitet kao perimetar
Različiti identiteti kao što su ljudi, softverske komponente ili uređaji pristupaju segmentima radnog opterećenja. Identitet je perimetar koji bi trebalo da bude primarna linija odbrane za autentifikaciju i autorizaciju pristupa preko granica izolacije, bez obzira na to odakle potiče zahtev za pristup. Koristite identitet kao perimetar za:
Dodelite pristup po ulozi. Identitetima je potreban pristup samo segmentima koji su potrebni za obavljanje svog posla. Minimizirajte anonimni pristup razumevanjem uloga i odgovornosti identiteta koji traži identitet, tako da znate entitet koji traži pristup segmentu i u koju svrhu.
Identitet može imati različite opsege pristupa u različitim segmentima. Razmotrite tipično podešavanje okruženja, sa odvojenim segmentima za svaku fazu. Identiteti povezani sa ulogom programera imaju pristup za čitanje i pisanje u razvojnom okruženju. Kako se raspoređivanje kreće na postavljanje, te dozvole su ograničene. Do trenutka kada se radno opterećenje promoviše u proizvodnju, prostor za programere se svodi na pristup samo za čitanje.
Razmotrite identitete aplikacija i upravljanja odvojeno. U većini rešenja, korisnici imaju drugačiji nivo pristupa od programera ili operatera. U nekim aplikacijama možete koristiti različite sisteme identiteta ili direktorijume za svaku vrstu identiteta. Razmislite o stvaranju zasebnih uloga za svaki identitet.
Dodelite pristup sa najmanjim privilegijama. Ako je identitetu dozvoljen pristup, odredite nivo pristupa. Počnite sa najmanjom privilegijom za svaki segment i proširite taj opseg samo kada je to potrebno.
Primenom najmanje privilegije, ograničavate negativne efekte ako je identitet ikada ugrožen. Ako je pristup ograničen vremenom, površina napada se dodatno smanjuje. Vremenski ograničen pristup je posebno primenljiv na kritične račune, kao što su administratori ili softverske komponente koje imaju kompromitovani identitet.
Za informacije o kontrolama identiteta, pogledajte Preporuke za upravljanje identitetom i pristupom.
Za razliku od kontrole pristupa mreži, identitet potvrđuje kontrolu pristupa u vreme pristupa. Preporučuje se redovni pregled pristupa i zahtevanje radnog toka odobrenja za dobijanje privilegija za račune kritičnog uticaja.
Umrežavanje kao perimetar
Perimetri identiteta su mrežni agnostički, dok mrežni perimetri povećavaju identitet, ali ga nikada ne zamenjuju. Mrežni perimetri su uspostavljeni da kontrolišu radijus eksplozije, blokiraju neočekivani, zabranjeni i nesigurni pristup i zamagljuju resurse radnog opterećenja.
Iako je primarni fokus perimetra identiteta najmanje privilegija, trebalo bi da pretpostavite da će doći do kršenja kada dizajnirate perimetar mreže.
Kreirajte softverski definisane perimetre u svom mrežnom otisku koristeći Power Platform Azure usluge i funkcije. Kada se radno opterećenje (ili delovi datog radnog opterećenja) stavi u odvojene segmente, kontrolišete saobraćaj iz ili do tih segmenata kako biste osigurali komunikacijske puteve. Ako je segment kompromitovan, on je sadržan i sprečen da se bočno širi kroz ostatak vaše mreže.
Razmislite kao napadač da biste postigli uporište u radnom opterećenju i uspostavili kontrole kako biste smanjili dalju ekspanziju. Kontrole treba da otkriju, sadrže i zaustave napadače da dobiju pristup celokupnom radnom opterećenju. Evo nekoliko primera mrežnih kontrola kao perimetra:
- Definišite perimetar između javnih mreža i mreže u kojoj se nalazi vaše radno opterećenje. Ograničite liniju vida sa javnih mreža na vašu mrežu što je više moguće.
- Stvorite granice na osnovu namere. Na primer, segmentirajte funkcionalne mreže radnog opterećenja iz operativnih mreža.
Uloge i odgovornosti
Segmentacija koja sprečava konfuziju i bezbednosne rizike postiže se jasnim definisanjem linija odgovornosti unutar tima za radno opterećenje.
Dokumentujte i delite uloge i funkcije kako biste stvorili konzistentnost i olakšali komunikaciju. Odredite grupe ili pojedinačne uloge koje su odgovorne za ključne funkcije. Razmotrite ugrađene uloge pre Power Platform kreiranja prilagođenih uloga za objekte.
Razmislite o doslednosti dok prilagođavate nekoliko organizacionih modela prilikom dodeljivanja dozvola za segment. Ovi modeli mogu da se kreću od jedne centralizovane IT grupe do uglavnom nezavisnih IT i DevOps timova.
Organizacija resursa
Segmentacija vam omogućava da izolujete resurse radnog opterećenja iz drugih delova organizacije ili čak unutar tima. Power Platform konstrukti, kao što su okruženja i rešenja, su načini organizovanja vaših resursa koji promovišu segmentaciju.
Primer
Pregledajte referentnu arhitekturu kako osigurati pristup Pover Platform-u resursima unutar vaše virtuelne mreže. Ovaj članak daje primer scenarija i generalizovanu arhitekturu primera kako bi ilustrovao kako osigurati Power Platform pristup Azure resursima pomoću Azure Virtual Netvork.
Power Platform Olakšavanju
Sledeći odeljci opisuju Power Platform funkcije i mogućnosti koje možete koristiti za implementaciju strategije segmentacije.
Identitet
Svi Power Platform proizvodi koriste Microsoft Entra ID (ranije Azure Active Directory ili Azure AD) za upravljanje identitetom i pristupom. Možete koristiti ugrađene sigurnosne uloge, uslovni pristup, upravljanje privilegovanim identitetom i upravljanje grupnim pristupom u Entra ID-u da biste definisali perimetre identiteta.
Microsoft Dataverse Koristi bezbednost zasnovanu na ulozi da grupiše kolekciju privilegija. Te bezbednosne uloge mogu se direktno povezati sa korisnicima ili se mogu povezati sa Dataverse timovima i poslovnim jedinicama. Za više informacija, pogledajte Bezbednosni koncepti u Microsoft Dataverse.
Umrežavanje
Sa podrškom Power Platform za Azure Virtual Netvork, možete se integrisati Power Platform sa resursima unutar vaše virtuelne mreže bez izlaganja preko javnog interneta. Podrška za virtuelnu mrežu koristi delegiranje podmreže Azure za upravljanje odlaznim saobraćajem iz Power Platform vremena izvođenja. Korišćenje delegata izbegava potrebu za zaštićenim resursima da putuju preko interneta da se integrišu sa. Power Platform Virtuelna mreža Dataverse i komponente mogu pozvati resurse Power Platform u vlasništvu vašeg preduzeća unutar vaše mreže, bez obzira da li su hostovani u Azure ili lokalno, i koriste dodatke i konektore za upućivanje odlaznih poziva. Za više informacija, pogledajte Podrška za virtuelnu mrežu za Power Platform pregled.
IP zaštitni zid za Power Platform okruženja pomaže u zaštiti vaših podataka ograničavanjem korisničkog pristupa Dataverse samo sa dozvoljenih IP lokacija.
Microsoft Azure ExpressRoute pruža napredan način povezivanja vaše lokalne mreže sa Microsoft cloud uslugama pomoću privatnog povezivanja. Jedna EkpressRoute veza može se koristiti za pristup više online usluga; na primer Microsoft Power Platform,, Dinamics 365, Microsoft 365, i Azure.
Srodne informacije
Bezbednosna kontrolna lista
Pogledajte kompletan set preporuka.