Rekommendationer för hur du skapar en segmenteringsstrategi
Gäller för checklisterekommendationen för Power Platform Välstrukturerad säkerhet:
| SE:04 | Skapa avsiktlig segmentering och perimeter i arkitekturdesignen och belastningens fotavtryck på plattformen. Segmenteringsstrategin måste innefatta nätverk, roller och ansvarsområden, arbetsbelastningsidentiteter och resursorganisation. |
|---|
En segmenteringsstrategi definierar hur du separerar arbetsbelastningen från andra arbetsbelastningar med deras egna uppsättning säkerhetskrav och åtgärder.
I den här guiden beskrivs rekommendationer för hur du skapar en enhetlig segmenteringsstrategi. Med perimeter och isoleringsgränserna i arbetsbelastningen kan du utforma en säkerhetsmetod som fungerar för dig.
Definitioner
| Begrepp | Definition |
|---|---|
| Inneslutning | En teknik för att begränsa omfattningen om en angripare får tillgång till ett segment. |
| Åtkomst med minsta privilegium | En Noll förtroende-princip som syftar till att minimera en uppsättning behörigheter för att slutföra en jobbfunktion. |
| Perimeter | Förtroendegränsen runt ett segment. |
| Resursorganisation | En strategi att gruppera relaterade resurser efter flöden inom ett segment. |
| Roll | En uppsättning behörigheter som krävs för att slutföra en jobbfunktion. |
| Segment | En logisk enhet som är isolerad från andra entiteter och som skyddas av en uppsättning säkerhetsåtgärder. |
Viktiga designstrategier
Konceptet med segmentering används ofta för nätverk. Men samma underliggande princip kan användas i hela en lösning, inklusive segmentering av resurser för hanteringssyften och åtkomstkontroll.
Med segmentering kan du utforma en säkerhetsmodell som använder djupgående försvar som bygger på principerna för Zero Trust-modellen. Se till att en angripare som bryter mot ett segment inte kan få åtkomst till ett annat genom att segmentera arbetsbelastningar med olika identitetskontroller. I ett säkert system används olika attribut, till exempel nätverk och identitet, för att blockera obehörig åtkomst och dölja tillgångar från att vara synliga.
Här följer några exempel på segment:
- Plattformskontroller som definierar nätverksgränserna
- Miljöer som isolerar arbetsbelastningen i en organisation
- Lösningar som isolerar arbetsbelastningens tillgångar
- Distributionsmiljöer som isolerar distributionen efter stadier
- Team och roller som isolerar jobbfunktioner relaterade till arbetsbelastningsutveckling och hantering
- Programnivåer som isoleras med hjälp av verktyget arbetsbelastning
- Mikrotjänster som isolerar en tjänst från en annan
Överväg dessa viktiga delar av segmenteringen för att säkerställa att du bygger upp en omfattande och detaljerad strategi:
Gränsen eller omkretsen är inträdeskanten för ett segment där du tillämpar säkerhetskontroller Perimeterkontroller bör blockera åtkomst till segment om det inte uttryckligen tillåts. Målet är att förhindra att angriparen bryter igenom perimetern och får kontroll över systemet. En användare kan till exempel ha åtkomst till en miljö men kan bara lansera specifika program i den miljön baserat på deras behörigheter.
Inneslutning är utmatningskanten för ett segment som förhindrar lateral rörelse i systemet. Målet med inneslutning är att minimera effekten av en överträdelse. Till exempel kan ett virtuellt nätverk användas för att konfigurera routing- och nätverkssäkerhetsgrupper för att endast tillåta trafikmönster som du förväntar dig, vilket undviker trafik till godtyckliga nätverkssegment.
Isolering är metoden att gruppera enheter med liknande garantier tillsammans för att skydda dem med en gräns. Målet är enkel hantering och inneslutning av ett angrepp i en miljö. Du kan till exempel gruppera resurser som relaterar till en specifik arbetsbelastning i en Power Platform-miljö eller en lösning och sedan tillämpa åtkomstkontroll så att endast specifika arbetsbelastningsteam kan komma åt miljön.
Det är viktigt att notera skillnaden mellan perimeter och isolering. Perimeter avser de platser som bör kontrolleras. Isolering handlar om att gruppera. Inneslut aktivt ett angrepp genom att använda dessa koncept tillsammans.
Isolering betyder inte att du skapar silor i organisationen. En enhetlig segmenteringsstrategi ger anpassning mellan de tekniska teamen och sätter upp tydlig ansvarsfördelning. Tydlighet minskar risken för fel och automatiserade fel som kan leda till säkerhetsproblem, driftsavbrott eller både och. Antag att en säkerhetsöverträdelse identifieras i en komponent i ett komplext företagssystem. Det är viktigt att alla förstår vem som är ansvarig för den resursen så att rätt person tas med i prioriteringsteamet. Organisationen och intressenterna kan snabbt identifiera hur de kan svara på olika typer av händelser genom att skapa och dokumentera en bra segmenteringsstrategi.
Avvägning: Segmentering ökar komplexiteten på grund av de inblandade hanteringskostnaderna.
Risk: Mikrosegmentering bortom en rimlig gräns förlorar fördelen med isolering. När du skapar för många segment blir det svårt att identifiera kommunikationspunkter eller tillåta giltiga kommunikationsvägar inom segmenten.
Identitet som perimeter
Olika identiteter, till exempel personer, programvarukomponenter eller enheter, kan komma åt arbetsbelastningssegmenten. Identitet är en omkrets som bör vara den primära försvarslinjen till autentisera och auktorisera åtkomst över isoleringsgränser, oavsett var åtkomstbegäran kommer från. Använd identitet som perimeter för att:
Tilldela åtkomst efter roll. Identiteter behöver bara åtkomst till de segment som krävs för att kunna göra sitt jobb. Minimera anonym åtkomst genom att förstå den som begär identitetens roller och ansvar, så att du vet vilken entitet som begär åtkomst till ett segment och för vilka syften.
En identitet kan ha olika åtkomstomfång i olika segment. Tänk på en typisk miljökonfiguration med separata segment för varje stadium. Identiteter som är associerade med utvecklarrollen har läsbehörighet till utvecklingsmiljön. När distributionen flyttas till testerna förs dessa behörigheter in. När arbetsbelastningen upphöjs till produktion reduceras utvecklares utrymme till skrivskyddad åtkomst.
Överväg program- och hanteringsidentiteter separat. I de flesta lösningar har användare en annan åtkomstnivå än utvecklare eller operatorer. I vissa program kan du använda olika identitetssystem eller kataloger för varje typ av identitet. Överväg att skapa separata roller för varje identitet.
Tilldela åtkomst med minst privilegier. Om identiteten tillåts ska du bestämma åtkomstnivån. Börja med det minsta privilegiet för varje segment och utvidga omfattningen endast när det behövs.
Genom att tillämpa det minsta privilegiet begränsar du de negativa effekterna om identiteten någonsin äventyras. Om åtkomsten begränsas av tid minskas angreppsytan ytterligare. Tidsbegränsad åtkomst är särskilt användbar för viktiga konton, t.ex. administratörer eller programvarukomponenter som har en identitet som inte fungerar.
Information om identitetskontroller finns i Rekommendationer för identitets- och åtkomsthantering.
Till skillnad från åtkomstkontroller för nätverk, validerar identitet åtkomstkontroll vid åtkomst. Vi rekommenderar att du genomför regelbundna åtkomstgranskningar och kräver ett godkännandearbetsflöde för att få privilegier för konton med allvarliga effekter.
Nätverk som en perimeter
Identitetsperimetrar är nätverksberoende medan nätverksperimeterer är identitet, men ersätter den aldrig. Nätverksperimetrar etableras för att kontrollera omfattning, blockera oväntad, förbjuden och osäker åtkomst, samt dölja arbetsbelastningsresurser.
Även om huvudfokus för identitetsperimetern är minsta privilegium, bör du anta att det kommer att finnas en överträdelse när du designar nätverksperimetern.
Skapa programvarudefinierade perimetrar i nätverksarbetet med hjälp av Power Platform och Azure-tjänster och -funktioner. När en arbetsbelastning (eller delar av en viss arbetsbelastning) placeras i separata segment kan du kontrollera trafik från eller till dessa segment för att säkra kommunikationsvägar. Om ett segment äventyras, innesluts det och förhindras från att spridas i sidled genom resten av ditt nätverk.
Tänk som en angripare för att få fäste inom arbetsbelastningen och etablera kontroller för att minimera ytterligare expansion. Kontrollerna bör identifiera, innehålla och stoppa angripare från att få åtkomst till hela arbetsbelastningen. Här är några exempel på nätverkskontroller som en perimeter:
- Definiera din kantgräns mellan offentliga nätverk och det nätverk där arbetsbelastningen placeras. Begränsa siktlinjen från offentliga nätverk till ditt nätverk i så stor utsträckning som möjligt.
- Skapa gränser baserat på avsikt. Segmentera till exempel arbetsbelastningens funktionsnätverk från operativa nätverk.
Roller och ansvar
Segmentering som förhindrar förvirring och säkerhetsrisker uppnås genom att tydligt definiera ansvarsområdet i ett arbetsbelastningsteam.
Dokumentera och dela roller och funktioner för att skapa enhetlighet och underlätta kommunikation. Utse grupper eller individuella roller som ansvarar för nyckelfunktioner. Överväg de inbyggda rollerna i Power Platform innan du skapar anpassade roller för objekt.
Se till att du är konsekvent samtidigt som du tar till dig flera organisationsmodeller när du tilldelar behörigheter för ett segment. Dessa modeller kan vara allt från en centraliserad IT-grupp till mestadels oberoende IT- och DevOps-team.
Resursorganisation
Med segmentering kan du isolera arbetsbelastningsresurser från andra delar av organisationen eller till och med i teamet. Power Platform-kontruktioner, t.ex. miljöer och lösningar, är olika sätt att organisera resurser för att främja segmentering.
Underlätta Power Platform
I följande avsnitt beskrivs de Power Platform-funktioner som du kan använda för att implementera en segmenteringsstrategi.
Identitet
Alla Power Platform-produkter använder Microsoft Entra ID (tidigare Azure Active Directory eller Azure AD) för identitets- och åtkomsthantering. Du kan använda inbyggda säkerhetsroller, villkorsstyrd åtkomst, identitetshantering och gruppåtkomsthantering i Entra ID för att definiera dina identitetsperimetrar.
Microsoft Dataverse använder rollbaserad säkerhet för att gruppera en samling med privilegier. De här säkerhetsrollerna kan associeras direkt med användare eller vara associerade med Dataverse team och affärsenheter. Mer information finns i Säkerhetskoncept i Microsoft Dataverse.
Nätverkande
Med Azure Virtual Network för Power Platform kan du integrera Power Platform med resurser i ditt virtuella nätverk utan att utsätter dem på offentliga Internet. Virtual Network-support använder Azure-undernätsdelegation för att hantera utgående trafik vid körning från Power Platform. Genom att använda en delegat undviks behovet av skyddade resurser att resa över Internet för integrering med Power Platform. Virtual Network och Dataverse och Power Platform-komponenter kan anropa resurser som ägs av ditt företag i nätverket, oavsett om de är värd för Azure eller lokal och använda plugin-program och anslutningar för att utgående samtal. Mer information finns i supporten för Virtual Network för en översikt av Power Platform.
IP-brandvägg för Power Platform-miljöer hjälper till att skydda dina data genom att begränsa användarnas åtkomst till Dataverse från endast tillåtna IP-platser.
Microsoft Azure ExpressRoute ger ett avancerat sätt att ansluta ditt lokala nätverk till Microsofts molntjänster genom att använda privat anslutning. En enda ExpressRoute-anslutning kan användas för att få åtkomst till flera onlinetjänster, till exempel Microsoft Power Platform, Dynamics 365, Microsoft 365 och Azure.
Checklista för säkerhet
Se den fullständiga uppsättningen rekommendationer.