Dela via

Nätverksisolering (Secure Future Initiative)

Pelarnamn: Skydda nätverk
Mönsternamn: Nätverksisolering

Kontext och problem

Moderna hotaktörer utnyttjar svaga nätverksgränser för att flytta i sidled och eskalera privilegier. Vanliga attackvägar är stulna autentiseringsuppgifter, protokollmissbruk och tokenrepris. Väl inne utnyttjar angripare ofta dålig segmentering, alltför tillåtande behörigheter eller delad infrastruktur för åtkomst till känsliga arbetsbelastningar.  

Traditionella platta nätverk gör det svårt att framtvinga åtkomst med lägsta behörighet och lämnar ofta resurser i stort sett åtkomliga. Utan tydlig isolering kan både interna och externa hot snabbt kompromettera flera system. Utmaningen är att standardisera nätverkssegmentering, tillämpa perimeterer och se till att trafikflöden kontrolleras strikt för att förhindra sidledes rörelse och begränsa intrång.

Lösning

Nätverksisolering skyddar nätverk genom att dela upp och isolera nätverk i segment och styra nätverksåtkomsten till dem. Den kombinerar identitetsmedvetna nätverkssäkerhetslösningar och förbättringar i funktionerna för synlighet, övervakning och identifiering. Grundläggande metoder är:

  • Nätverkssegmentering och programvarudefinierade perimeterr: Anta intrång och begränsa lateral förflyttning med nätverkspartitionering och dynamisk, riskbaserad åtkomst. Framtvinga lägsta behörighet med begränsad åtkomst och Verifiera explicit med identitetsbaserade åtkomstkontroller.

  • SASE och ZTNA: Använd arkitekturerna Secure Access Service Edge (SASE) och Zero Trust Network Access (ZTNA) för att integrera säkerhet och nätverk. Justera Zero Trust-principer genom att bevilja och begränsa åtkomst baserat på kontext, identitet och villkorliga åtkomstkontroller.

  • Kryptering och kommunikation: Anta intrång genom att skydda data under överföring och begränsa risken för datamanipulering med stark, modern kryptering och kommunikation samt blockering av svaga protokoll.

  • Synlighet och hotidentifiering: Anta intrång med kontinuerlig synlighet och övervakning samt loggning av nätverksaktivitet. Framtvinga lägsta behörighet och verifiera explicit med åtkomstkontroller och hotidentifiering för att hitta och visa avvikelser. Framtvinga noll förtroende genom att automatisera distribution, hantering och allokering av nätverksresurser och kontroller i stor skala. Utan automatisering kan fördröjningar, inkonsekvenser och luckor snabbt uppstå.

  • Principdrivna kontroller: Verifiera explicit och tillämpa lägsta behörighet med detaljerade, anpassningsbara identitetscentrerade principkontroller för villkorsstyrd åtkomst. Förutsätt intrång med neka som standard och ständigt omvärdera risken.

  • Moln- och hybridnätverkssäkerhet: Anta intrång och Verifiera explicit i multimoln- och hybridmiljöer genom att isolera molnarbetslaster i skyddade mikroperimetrar och genom att använda identitetsmedvetna proxyservrar och Cloud Security Access Broker (CASB) lösningar för SaaS- och PaaS-appar. Tillämpa Noll förtroendeprinciper med enhetliga säkerhetsprinciper i molnet och lokalt, säkra hybridanslutningsmekanismer, förbättring av moln-/hybridsäkerhetsstatus och centraliserad säkerhetsövervakning.

Vägledning

Organisationer kan använda ett liknande mönster med hjälp av följande användbara metoder:

Användningsfall Rekommenderad åtgärd Resource
Mikrosegmentering
  • Använd nätverkssäkerhetsgrupper (NSG:er) och ACL:er för att framtvinga åtkomst med minst översiktsbehörighet mellan arbetsbelastningar.
 Översikt över Azure-nätverkssäkerhetsgrupper
Isolera virtuella nätverk
  • Använda verktyg som Microsoft Defender Vulnerability Management för att genomsöka system och prioritera CVE:er
 Isolera virtuella nätverk – Virtuella Azure-nätverk
Perimeterskydd för PaaS-resurser
  • Använd säker åtkomst i Azure Network Security till tjänster som Storage, SQL och Key Vault.
 Vad är en nätverkssäkerhetsperimeter?
Säker anslutning till virtuella datorer
  • Använd Azure Bastion för att upprätta en säker RDP/SSH-anslutning till virtuella datorer utan att exponera resurser för Internet.
 Om Azure Bastion
Begränsa utgående virtuell åtkomst
  • Ta bort standardåtkomst till utgående Internet och tillämpa nätverket med lägsta behörighet för utgående tjänst.
 Standardåtkomst för utgående trafik i Azure – Azure Virtual Network
Skydd med skiktad perimeter
  • Tillämpa brandväggar, tjänsttaggar, NSG:er och DDoS-skydd för att framtvinga säkerhet i flera lager.
 Översikt över Azure DDoS Protection
Centraliserad principhantering
  • Använd Azure Virtual Network Manager med säkerhetsadministratörsregler för att centralt hantera nätverksisoleringsprinciper.
 Säkerhetsadministratörsregler i Azure Virtual Network Manager

Utfall

Fördelar

  • Motståndskraft: Begränsar explosionsradien vid ett intrång.  
  • Skalbarhet: Standardiserad nätverksisolering stöder miljöer i företagsskala.  
  • Synlighet: Tjänsttaggning och övervakning ger tydligare tilldelning av trafikflöden.  
  • Regelanpassning: Stöder efterlevnad av ramverk som kräver strikt uppdelning av känsliga resurser.  

Trade-offs

  • Driftkostnader: Utformning och underhåll av segmenterade nätverk kräver planering och löpande uppdateringar.
  • Komplexitet: Mer segmentering kan medföra ytterligare hanteringslager och kräva automatisering för skalning.  
  • Prestandaöverväganden: Vissa isoleringsåtgärder kan öka svarstiden något.  

Viktiga framgångsfaktorer

Mät följande för att spåra framgång:

  • Antal arbetsbelastningar som distribueras i isolerade virtuella nätverk utan direkt internetexponering.  
  • Procentandel av tjänster som styrs av centraliserade säkerhetsadministratörsregler.  
  • Minskning av laterala rörelsevägar som identifierats under red-team-testning.  
  • Efterlevnad av minst privilegierade principer i olika miljöer.  
  • Tid att identifiera och åtgärda avvikande nätverksaktivitet.  

Sammanfattning

Nätverksisolering är en grundläggande strategi för att förhindra lateral förflyttning och skydda känsliga arbetsbelastningar. Genom att segmentera resurser, framtvinga perimeterer och tillämpa lagerskydd minskar organisationer sin attackyta och skapar motståndskraft mot moderna angripare.

Det är inte längre valfritt att isolera nätverk---det är en nödvändig kontroll för att skydda moln- och hybridmiljöer. Syftet med nätverksisolering ger ett tydligt ramverk för att minska lateral förflyttning, anpassa till Zero Trust och skydda miljöer i företagsskala.  

Dessutom bör all nätverks-, identitets- och enhetsaktivitet övervakas kontinuerligt. Centralisera loggning och korrelera säkerhetsaviseringar med hjälp av XDR-lösningar (extended detection and response) och SIEM-verktyg för att effektivt identifiera avvikelser och hot. Paridentifiering med beteendeanalys, djup paketinspektion och automatiserat hotsvar för att snabbt begränsa misstänkt aktivitet och stödja effektiv incidenthantering.

Utvärdera din aktuella nätverkstopologi och implementera segmenterings- och perimeterkontroller så att de överensstämmer med målet för nätverksisolering.

  • Last updated on