Segmenteringsstrategier

Segmentering syftar på isolering av resurser från andra delar av organisationen. Det är ett effektivt sätt att identifiera och innehålla angripares rörelser.

En metod för segmentering är nätverksisolering. Den här metoden rekommenderas inte eftersom olika tekniska team kanske inte är i linje med affärsanvändningsfallen och programarbetsbelastningarna. Ett resultat av ett sådant matchningsfel är komplexiteten, som särskilt kan ses med lokala nätverk, och kan leda till minskad hastighet, eller i värre fall, breda undantag i nätverksbrandväggen. Även om nätverkskontroll bör betraktas som en segmenteringsstrategi bör den ingå i en enhetlig segmenteringsstrategi.

Nätverkssäkerhet har varit den traditionella grundbulten i företagets säkerhetsinsatser. Molnbaserad databehandling har dock ökat kravet på att nätverksperimeter ska vara mer porösa och många angripare har behärskat konsten att attackera identitetssystemelement (som nästan alltid kringgår nätverkskontroller). Dessa faktorer har ökat behovet av att fokusera främst på identitetsbaserade åtkomstkontroller för att skydda resurser i stället för nätverksbaserade åtkomstkontroller.

En effektiv segmenteringsstrategi hjälper alla tekniska team (IT, säkerhet, program) att konsekvent isolera åtkomst med hjälp av nätverk, program, identiteter och andra åtkomstkontroller. Strategin bör syfta till att

  • Minimera driftsfriktion genom att anpassa till affärsmetoder och program
  • Begränsa risken genom att lägga till kostnader för angripare. Detta görs genom att:
    • Isolera känsliga arbetsbelastningar från att komprometteras av andra tillgångar.
    • Isolera system med hög exponering från att användas som en pivot till andra system.
  • Övervaka åtgärder som kan leda till potentiell överträdelse av segmentens integritet (kontoanvändning, oväntad trafik).

Här följer några rekommendationer för att skapa en enhetlig strategi:

  • Se till att tekniska team överensstämmer med en enda strategi baserat på utvärdering av affärsrisker.
  • Upprätta en modern perimeter baserad på nollförtroendeprinciper som fokuserar på identitet, enheter, program och andra signaler. På så sätt kan du undvika begränsningar i nätverkskontroller när det gäller att skydda mot nya resurser och angreppstyper.
  • Förstärka nätverkskontroller för äldre program genom att utforska strategier för mikrosegmentering.
  • Centralisera organisationens ansvar för hantering och säkerhet för kärnnätverksfunktioner som länkar mellan platser, virtuella nätverk, undernät och IP-adressscheman samt nätverkssäkerhetselement som virtuella nätverksinstallationer, kryptering av molnbaserad virtuell nätverksaktivitet och trafik mellan platser, nätverksbaserade åtkomstkontroller och andra traditionella nätverkssäkerhetskomponenter.

Referensmodell

Börja med den här referensmodellen och anpassa den efter organisationens behov. Den här modellen visar hur funktioner, resurser och team kan segmenteras.

Enterprise tenant

Exempelsegment

Överväg att isolera delade och enskilda resurser enligt föregående bild.

Segmentet Kärntjänster

Det här segmentet är värd för delade tjänster som används i hela organisationen. Dessa delade tjänster omfattar vanligtvis Active Directory Domain Services, DNS/DHCP och systemhanteringsverktyg som finns på virtuella IaaS-datorer (Infrastruktur som en tjänst) i Azure.

Ytterligare segment

Andra segment kan innehålla grupperade resurser baserat på vissa kriterier. Resurser som till exempel används av en specifik arbetsbelastning eller ett visst program kan finnas i ett separat segment. Du kan också segmentera eller undersegmentera efter livscykelsteg, till exempel utveckling, testning och produktion. Vissa resurser kan korsas, till exempel program, och kan använda virtuella nätverk för livscykelfaser.

Rensa ansvarslinjer

Det här är huvudfunktionerna för den här referensmodellen. Behörigheter för dessa funktioner beskrivs i Teamroller och ansvarsområden.

Funktion Omfång Ansvar
Principhantering (kärnsegment och enskilda segment) Vissa eller alla resurser. Övervaka och framtvinga efterlevnad av externa (eller interna) regler, standarder och säkerhetsprinciper tilldelar lämplig behörighet till dessa roller.
Centrala IT-åtgärder (Core) Över alla resurser. Bevilja behörigheter till den centrala IT-avdelningen (ofta infrastrukturteamet) för att skapa, ändra och ta bort resurser som virtuella datorer och lagring.
Central nätverksgrupp (kärnsegment och enskilda segment) Alla nätverksresurser. Centralisera nätverkshantering och säkerhet för att minska risken för inkonsekventa strategier som skapar potentiella sårbarhetsrisker för angripare. Eftersom alla avdelningar i IT- och utvecklingsorganisationer inte har samma nivå av kunskap och sofistikering inom nätverkshantering och säkerhet kan organisationer dra nytta av ett centraliserat nätverksteams expertis och verktyg.
Säkerställ konsekvens och undvik tekniska konflikter, tilldela nätverksresursansvar till en enda central nätverksorganisation. Dessa resurser bör omfatta virtuella nätverk, undernät, nätverkssäkerhetsgrupper (NSG) och de virtuella datorer som är värdar för virtuella nätverksinstallationer.
Resursrollsbehörigheter (Core) - För de flesta kärntjänster beviljas administratörsbehörigheter som krävs via programmet (Active Directory, DNS/DHCP, System Management Tools). Inga ytterligare Azure-resursbehörigheter krävs. Om din organisationsmodell kräver att dessa team hanterar sina egna virtuella datorer, lagring eller andra Azure-resurser kan du tilldela dessa behörigheter till dessa roller.
Säkerhetsåtgärder (kärnsegment och enskilda segment) Alla resurser. Utvärdera riskfaktorer, identifiera potentiella åtgärder och ge råd till organisationens intressenter som accepterar risken.
IT-åtgärder (enskilda segment) Alla resurser. Bevilja behörighet att skapa, ändra och ta bort resurser. Syftet med segmentet (och resulterande behörigheter) beror på organisationens struktur.
  • Segment med resurser som hanteras av en central IT-organisation kan ge den centrala IT-avdelningen (ofta infrastrukturteamet) behörighet att ändra dessa resurser.
  • Segment som hanteras av oberoende affärsenheter eller funktioner (till exempel ett PERSONAL-IT-team) kan ge dessa team behörighet till alla resurser i segmentet.
  • Segment med autonoma DevOps-team behöver inte bevilja behörigheter för alla resurser eftersom resursrollen (nedan) ger behörigheter till programteam. För nödsituationer använder du tjänstadministratörskontot (break-glass-konto).
Tjänstadministratör (kärnsegment och enskilda segment) Använd endast tjänstadministratörsrollen för nödsituationer (och inledande konfiguration om det behövs). Använd inte den här rollen för dagliga uppgifter.

Nästa steg

Börja med den här referensmodellen och hantera resurser i flera prenumerationer konsekvent och effektivt med hanteringsgrupper.