Segmentasyon stratejisi oluşturmaya yönelik öneriler

  • Makale

Well-Architected Framework Güvenliği denetim listesi önerisi için geçerlidir:

SE:04 Mimari tasarımınızda ve platformda iş yükünün ayak izinde kasıtlı segmentasyon ve çevreler oluşturun. Segmentasyon stratejisi ağları, rolleri ve sorumlulukları, iş yükü kimliklerini ve kaynak düzenlemesini içermelidir.

Segment, çözümünüzün tek bir birim olarak güvenli hale getirilmesi gereken mantıksal bir bölümüdür. Segmentlere ayırma stratejisi, bir birimin kendi güvenlik gereksinimleri ve ölçüleri kümesiyle diğer birimlerden nasıl ayrılması gerektiğini tanımlar.

Bu kılavuzda birleşik bir segmentasyon stratejisi oluşturmaya yönelik öneriler açıklanmaktadır. İş yüklerinde çevre ve yalıtım sınırlarını kullanarak sizin için uygun bir güvenlik yaklaşımı tasarlayabilirsiniz.

Tanımlar 

Süre Tanım
Kapsama Bir saldırganın bir segmente erişim sağlaması durumunda patlama yarıçapını içerme tekniği.
En az ayrıcalıklı erişim bir iş işlevini tamamlamak için bir dizi izni en aza indirmeyi amaçlayan Sıfır Güven ilkesi.
Çevre Bir segmentin etrafındaki güven sınırı.
Kaynak düzenleme İlgili kaynakları bir segment içindeki akışlara göre gruplandırma stratejisi.
Rol bir iş işlevini tamamlamak için gereken izin kümesi.
Segment Diğer varlıklardan yalıtılmış ve bir dizi güvenlik önlemi tarafından korunan mantıksal birim.

Temel tasarım stratejileri

Segmentasyon kavramı genellikle ağlar için kullanılır. Ancak, yönetim amaçları ve erişim denetimi için kaynakları segmentlere ayırma dahil olmak üzere çözüm genelinde aynı temel ilke kullanılabilir.

Segmentlere ayırma, Sıfır Güven modelinin ilkelerine göre derinlemesine savunma uygulayan bir güvenlik yaklaşımı tasarlamanıza yardımcı olur. Bir ağ kesimini ihlal eden bir saldırganın farklı kimlik denetimlerine sahip iş yüklerini segmentlere ayırma yoluyla başka bir ağ kesimine erişim sağlayabilmesini sağlayın. Güvenli bir sistemde kimlik ve ağ öznitelikleri yetkisiz erişimi engeller ve varlıkların kullanıma sunulmamasını engeller. Aşağıda bazı segment örnekleri verilmiştir:

  • Bir kuruluşun iş yüklerini yalıtan abonelikler
  • İş yükü varlıklarını yalıtan kaynak grupları
  • Dağıtımı aşamalara göre yalıtan dağıtım ortamları
  • İş yükü geliştirme ve yönetimiyle ilgili iş işlevlerini yalıtan ekipler ve roller
  • İş yükü yardımcı programı tarafından yalıtılan uygulama katmanları
  • Bir hizmeti başka bir hizmetten yalıtan mikro hizmetler

Kapsamlı bir derinlemesine savunma stratejisi oluşturduğunuzdan emin olmak için segmentasyonun bu temel öğelerini göz önünde bulundurun:

  • Sınır veya çevre, güvenlik denetimlerini uyguladığınız bir segmentin giriş kenarıdır. Çevre denetimleri, açıkça izin verilmediği sürece kesime erişimi engellemelidir. Amaç, bir saldırganın çevreden geçmesini ve sistemin kontrolünü ele geçirmesini engellemektir. Örneğin, bir uygulama katmanı bir isteği işlerken son kullanıcının erişim belirtecini kabul edebilir. Ancak veri katmanı, yalnızca uygulama katmanının isteyebileceği belirli bir izne sahip farklı bir erişim belirteci gerektirebilir.

  • Kapsama , sistemde yanal hareketi engelleyen bir segmentin çıkış kenarıdır. Kapsamanın amacı bir ihlalin etkisini en aza indirmektir. Örneğin, yönlendirme ve ağ güvenlik gruplarını yalnızca beklediğiniz trafik desenlerine izin verecek şekilde yapılandırmak ve rastgele ağ kesimlerine giden trafikten kaçınmak için bir Azure sanal ağı kullanılabilir.

  • Yalıtım , benzer güvencelere sahip varlıkları bir sınırla korumak için gruplandırma uygulamasıdır. Amaç, yönetim kolaylığı ve bir ortamdaki bir saldırının engellenmesidir. Örneğin, belirli bir iş yüküyle ilgili kaynakları tek bir Azure aboneliğinde gruplandırabilir ve ardından yalnızca belirli iş yükü ekiplerinin aboneliğe erişebilmesi için erişim denetimi uygulayabilirsiniz.

Çevre ve yalıtım arasındaki ayrımı not etmek önemlidir. Çevre, denetlenmesi gereken konum noktalarını ifade eder. Yalıtım gruplandırma ile ilgili. Bu kavramları birlikte kullanarak etkin bir şekilde bir saldırı içerir.

Yalıtım, kuruluşta silo oluşturma anlamına gelmez. Birleşik bir segmentasyon stratejisi, teknik ekipler arasında hizalama sağlar ve net sorumluluk çizgileri belirler. Clarity güvenlik açıklarına, işletimsel kapalı kalma süresine veya her ikisine de yol açabilecek insan hatası ve otomasyon hatası riskini azaltır. Karmaşık bir kurumsal sistemin bir bileşeninde güvenlik ihlali algılandığından söz edin. Önceliklendirme ekibine uygun kişinin dahil edilmesi için herkesin bu kaynakta kimin sorumlu olduğunu anlaması önemlidir. Kuruluş ve paydaşlar, iyi bir segmentasyon stratejisi oluşturup belgeleyerek farklı olay türlerine nasıl yanıt verebileceğini hızla belirleyebilir.

Denge: Yönetimde ek yük olduğundan segmentlere ayırma karmaşıklık getirir. Ayrıca maliyette de bir denge vardır. Örneğin, yan yana çalışan dağıtım ortamları segmentlere ayrıldığında daha fazla kaynak sağlanır.

Risk: Makul bir sınırı aşan mikro segmentlere ayırma, yalıtım avantajını kaybeder. Çok fazla segment oluşturduğunuzda, iletişim noktalarını belirlemek veya segment içinde geçerli iletişim yollarına izin vermek zorlaşır.

Çevre birimi olarak kimlik

Kişiler, yazılım bileşenleri veya cihazlar gibi çeşitli kimlikler iş yükü segmentlerine erişir. Kimlik, erişim isteğinin nereden kaynaklandığına bakılmaksızın yalıtım sınırları boyunca erişimin kimliğini doğrulamak ve yetkilendirmek için birincil savunma hattı olması gereken bir çevredir. Kimliği çevre olarak kullanarak:

  • Role göre erişim atayın. Kimliklerin yalnızca işlerini yapmak için gereken kesimlere erişmesi gerekir. Bir segmente erişim isteyen varlığı ve ne amaçla olduğunu bilmeniz için istekte bulunan kimliğin rollerini ve sorumluluklarını anlayarak anonim erişimi en aza indirin.

    Kimliğin farklı segmentlerde farklı erişim kapsamları olabilir. Her aşama için ayrı segmentlere sahip tipik bir ortam kurulumu düşünün. Geliştirici rolüyle ilişkili kimliklerin geliştirme ortamına okuma-yazma erişimi vardır. Dağıtım hazırlamaya geçtikçe, bu izinler kıvrılır. İş yükü üretime yükseltildiğinde geliştiricilerin kapsamı salt okunur erişime indirgenir.

  • Uygulama ve yönetim kimliklerini ayrı ayrı düşünün. Çoğu çözümde, kullanıcılar geliştiricilerden veya işleçlerden farklı bir erişim düzeyine sahiptir. Bazı uygulamalarda, her kimlik türü için farklı kimlik sistemleri veya dizinler kullanabilirsiniz. Erişim kapsamlarını kullanmayı ve her kimlik için ayrı roller oluşturmayı göz önünde bulundurun.

  • En az ayrıcalık erişimi atayın. Kimliğe erişim izni veriliyorsa erişim düzeyini belirleyin. Her segment için en az ayrıcalıkla başlayın ve yalnızca gerektiğinde bu kapsamı genişletin.

    En düşük ayrıcalığı uygulayarak, kimliğin gizliliği ihlal edilirse olumsuz etkileri sınırlandırmış olursunuz. Erişim zamanla sınırlıysa saldırı yüzeyi daha da azaltılır. Zaman sınırlı erişim, özellikle güvenliği aşılmış bir kimliğe sahip yöneticiler veya yazılım bileşenleri gibi kritik hesaplar için geçerlidir.

Denge: İş yükünün performansı kimlik çevrelerinden etkilenebilir. Her isteğin açıkça doğrulanması için fazladan işlem döngüleri ve ek ağ GÇ gerekir.

Rol tabanlı erişim denetimi (RBAC) yönetim ek yüküne de neden olur. Kimlikleri ve erişim kapsamlarını izlemek rol atamalarında karmaşık hale gelebilir. Geçici çözüm, tek tek kimlikler yerine güvenlik gruplarına rol atamaktır.

Risk: Kimlik ayarları karmaşık olabilir. Yanlış yapılandırmalar iş yükünün güvenilirliğini etkileyebilir. Örneğin, bir veritabanına erişimi reddedilen yanlış yapılandırılmış bir rol ataması olduğunu varsayalım. İstekler başarısız olmaya başlar ve sonunda çalışma zamanına kadar algılanamaz güvenilirlik sorunlarına neden olur.

Kimlik denetimleri hakkında bilgi için bkz. Kimlik ve erişim yönetimi.

Kimlik, ağ erişim denetimlerinin aksine erişim zamanında erişim denetimini doğrular. Kritik etki hesapları için ayrıcalıklar elde etmek için düzenli erişim gözden geçirmesi yapılması ve bir onay iş akışı gerektirmeniz kesinlikle önerilir. Örneğin, bkz . Kimlik segmentasyon desenleri.

Çevre olarak ağ oluşturma

Kimlik çevreleri ağdan bağımsızdır, ancak ağ çevreleri kimliği genişletirken hiçbir zaman yerini değiştirmez. Ağ çevreleri, patlama yarıçapını denetlemek, beklenmeyen, yasaklanmış ve güvenli olmayan erişimi engellemek ve iş yükü kaynaklarını karartmak için kurulur.

Kimlik çevresinin birincil odağı en az ayrıcalık olsa da, ağ çevresini tasarlarken bir ihlal olacağını varsaymalısınız.

Azure hizmetlerini ve özelliklerini kullanarak ağ ayak izinizde yazılım tanımlı çevreler oluşturun. Bir iş yükü (veya belirli bir iş yükünün parçaları) ayrı segmentlere yerleştirildiğinde, iletişim yollarının güvenliğini sağlamak için bu segmentlerden gelen veya giden trafiği denetleyebilirsiniz. Bir kesimin güvenliği aşılırsa, bu segmentin ağınızın geri kalanına yayılımını engeller ve içerir.

bir saldırgan gibi düşünün iş yükü içinde bir ayak elde etmek ve daha fazla genişletmeyi en aza indirmek için denetimler oluşturmak. Denetimler saldırganların iş yükünün tamamına erişmesini algılamalı, içermeli ve durdurmalıdır. Aşağıda çevre olarak ağ denetimlerinin bazı örnekleri verilmiştir:

  • Genel ağlar ile iş yükünüzün yerleştirildiği ağ arasında uç çevrenizi tanımlayın. Genel ağlardan görüş hattını ağınızla mümkün olduğunca kısıtlayın.
  • Güvenlik duvarları aracılığıyla uygun denetimlerle uygulamanın önünde arındırılmış bölgeleri (DMZ' ler) uygulayın.
  • İş yükünün bölümlerini ayrı segmentler halinde gruplandırarak özel ağınızda mikro segmentlere ayırma oluşturun. Aralarında güvenli iletişim yolları oluşturun.
  • Amada göre sınırlar oluşturun. Örneğin, iş yükü işlevsel ağlarını işletimsel ağlardan segmentlere ayırma.

Ağ kesimlemeyle ilgili yaygın desenler için bkz. Ağ kesimleme desenleri.

Denge: Ağ güvenlik denetimleri genellikle premium SKU'lara dahil edildiğinden pahalıdır. Güvenlik duvarlarında kuralların yapılandırılması genellikle büyük karmaşıklıklara neden olur ve geniş özel durumlar gerektirir.

Özel bağlantı mimari tasarımı değiştirir ve genellikle işlem düğümlerine özel erişim için atlama kutuları gibi daha fazla bileşen ekler.

Ağ çevreleri, ağ üzerindeki denetim noktalarına veya atlamalara bağlı olduğundan, her atlama olası bir hata noktası olabilir. Bu noktaların sistemin güvenilirliği üzerinde bir etkisi olabilir.

Risk: Ağ denetimleri kural tabanlıdır ve güvenilirlik konusunda önemli bir yanlış yapılandırma olasılığı vardır.

Ağ denetimleri hakkında bilgi için bkz. Ağ ve bağlantı.

Roller ve sorumluluklar

Karışıklığı ve güvenlik risklerini önleyen segmentlere ayırma, bir iş yükü ekibinde sorumluluk çizgilerini net bir şekilde tanımlayarak elde edilir.

Tutarlılık oluşturmak ve iletişimi kolaylaştırmak için rolleri ve işlevleri belgeleyip paylaşın. Temel işlevlerden sorumlu grupları veya tek tek rolleri belirleyin. Nesneler için özel roller oluşturmadan önce Azure'daki yerleşik rolleri göz önünde bulundurun.

Bir segment için izinler atarken çeşitli kuruluş modellerini kullanırken tutarlılığı göz önünde bulundurun. Bu modeller tek bir merkezi BT grubundan çoğunlukla bağımsız BT ve DevOps ekiplerine kadar değişebilir.

Risk: Çalışanların ekiplere katılması veya ekiplerden ayrılması ya da rolleri değiştirmesi halinde grup üyeliği zaman içinde değişebilir. Segmentler arasında rollerin yönetimi yönetim yüküne neden olabilir.

Kaynak düzenleme

Segmentlere ayırma, iş yükü kaynaklarını kuruluşun diğer bölümlerinden ve hatta ekip içinden yalıtmanıza olanak tanır. Yönetim grupları, abonelikler, ortamlar ve kaynak grupları gibi Azure yapıları, kaynaklarınızı segmentlere ayırmayı teşvik eden düzenleme yöntemleridir. Aşağıda kaynak düzeyinde yalıtıma bazı örnekler verilmiştir:

  • Çok teknolojili kalıcılık, segmentlere ayırmayı desteklemek için tek bir veritabanı sistemi yerine veri depolama teknolojilerinin bir birleşimini içerir. Çeşitli veri modellerinin ayrılması, veri depolama ve analiz gibi işlevlerin ayrılması veya erişim desenlerine göre ayrılması için çok teknolojili kalıcılığı kullanın.
  • İşleminizi düzenlerken her sunucu için bir hizmet ayırın. Bu yalıtım düzeyi karmaşıklığı en aza indirir ve saldırı içermeye yardımcı olabilir.
  • Azure bazı hizmetler için yerleşik yalıtım sağlar, örneğin işlem depolamadan ayrımını sağlar. Diğer örnekler için bkz. Azure genel bulutunda yalıtım.

Denge: Kaynak yalıtımı toplam sahip olma maliyetinde (TCO) artışa neden olabilir. Veri depoları için olağanüstü durum kurtarma sırasında karmaşıklık ve koordinasyon eklenebilir.

Azure kolaylaştırma

Bazı Azure hizmetleri, aşağıdaki bölümlerde açıklandığı gibi bir segmentasyon stratejisi uygularken kullanılabilir.

Kimlik

Azure RBAC, erişimi iş işlevine göre yalıtarak segmentlere ayırmayı destekler. Belirli roller ve kapsamlar için yalnızca belirli eylemlere izin verilir. Örneğin, yalnızca sistemi gözlemlemek için gereken iş işlevlerine okuyucu izinleri ve kimliğin kaynakları yönetmesine izin veren katkıda bulunan izinlerine atanabilir.

Daha fazla bilgi için bkz. RBAC için en iyi yöntemler.

Segmentlere ayırma için ağ seçeneklerini gösteren diyagram.

Sanal ağlar: Sanal ağlar, iki sanal ağ arasına trafik eklemeden kaynakların ağ düzeyinde kapsamasını sağlar. Sanal ağlar bir abonelik içindeki özel adres alanlarında oluşturulur

Ağ güvenlik grupları (NSG): Sanal ağlardaki ve İnternet gibi dış ağlardaki kaynaklar arasındaki trafiği denetlemeye yönelik bir erişim denetim mekanizması. Trafiğin sonraki atlamasını denetlemek için kullanıcı tanımlı yollar (UDR) uygulayın. NSG'ler bir alt ağ, sanal makine (VM) veya vm grubu için çevreler oluşturarak segmentasyon stratejinizi ayrıntılı bir düzeye taşıyabilir. Azure'da alt ağlarla ilgili olası işlemler hakkında bilgi için bkz. Alt ağlar.

Uygulama güvenlik grupları (ASG'ler):ASG'ler bir dizi VM'yi bir uygulama etiketi altında gruplandırmanıza ve ardından temel alınan vm'lerin her birine uygulanan trafik kurallarını tanımlamanıza olanak sağlar.

Azure Güvenlik Duvarı: Sanal ağınızda veya Azure Sanal WAN hub dağıtımlarında dağıtılabilir buluta özel bir hizmettir. Bulut kaynakları, İnternet ve şirket içi kaynaklar arasında akan trafiği filtrelemek için Azure Güvenlik Duvarı kullanın. Katman 3 ile 7. katman denetimlerini kullanarak trafiğe izin veren veya trafiği reddeden kurallar veya ilkeler oluşturmak için Azure Güvenlik Duvarı veya Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Gelişmiş filtreleme ve kullanıcı koruması için trafiği üçüncü taraf güvenlik sağlayıcıları üzerinden yönlendirerek Azure Güvenlik Duvarı ve üçüncü tarafları kullanarak İnternet trafiğini filtreleyin. Azure, üçüncü taraf güvenlik duvarlarından segmentlere ayırmaya yardımcı olan ağ sanal gereci dağıtımlarını destekler.

Örnek

Azure'da iş yükünü segmentlere ayırmaya yönelik bazı yaygın desenler aşağıdadır. gereksinimlerinize göre bir desen seçin.

Bu örnek , güvenlik temelinde (SE:01) oluşturulan Bilgi Teknolojisi (BT) ortamını temel alır. Aşağıdaki diyagramda bir kuruluş tarafından yapılan yönetim grubu düzeyinde segmentasyon gösterilmektedir.

Bir kuruluşun çeşitli iş yükleri için segmentasyon stratejisinin bir örneğini gösteren diyagram.

Kimlik segmentasyon desenleri

Desen 1: İş unvanı tabanlı gruplandırma

Güvenlik gruplarını düzenlemenin bir yolu yazılım mühendisi, veritabanı yöneticisi, site güvenilirlik mühendisi, kalite güvencesi mühendisi veya güvenlik analisti gibi iş unvanına göredir. Bu yaklaşım, iş yükü ekibiniz için gerçekleştirilmesi gereken çalışmayı dikkate almadan rolleri temelinde güvenlik grupları oluşturmayı içerir. Güvenlik gruplarına iş yükündeki sorumluluklarına göre ayakta veya tam zamanında (JIT) RBAC izinleri verin. Güvenlik gruplarına gereken erişime göre insan ve hizmet ilkeleri atayın.

Üyelik, rol ataması düzeyinde yüksek oranda görünür olduğundan, bir rolün neye erişimi olduğunu kolayca görebilirsiniz. Her kişi genellikle yalnızca bir güvenlik grubunun üyesidir ve bu da ekleme ve çıkarma işlemini kolaylaştırır. Ancak, iş unvanları sorumluluklarla mükemmel bir şekilde çakışmadığı sürece, başlık tabanlı gruplandırma en az ayrıcalıklı uygulama için ideal değildir. Uygulamayı işlev tabanlı gruplandırma ile bir araya getirebilirsiniz.

Desen 2: İşlev tabanlı gruplandırma

İşlev tabanlı gruplandırma, ekip yapınızı hesaba katmak yerine gerçekleştirilmesi gereken ayrık işleri yansıtan bir güvenlik grubu kuruluş yöntemidir. Bu desenle, güvenlik gruplarına iş yükündeki gerekli işlevlerine göre gerektiğinde RBAC izinlerini veya JIT'yi verirsiniz.

Güvenlik gruplarına gereken erişime göre insan ve hizmet ilkeleri atayın. Mümkün olduğunda, mevcut homojen grupları, desen 1'den gelen gruplar gibi işlev tabanlı grupların üyeleri olarak kullanın. İşlev tabanlı gruplara örnek olarak şunlar verilebilir:

  • Üretim veritabanı işleçleri
  • Üretim öncesi veritabanı işleçleri
  • Üretim sertifikası döndürme işleçleri
  • Üretim öncesi sertifika döndürme işleçleri
  • Üretim canlı sitesi/önceliklendirme
  • Tüm erişim ön üretimleri

Bu yaklaşım en katı en düşük ayrıcalıklı erişimi korur ve kapsamın açık olduğu güvenlik grupları sağlar ve bu da gerçekleştirilen iş görevlerine göre üyelikleri denetlemeyi kolaylaştırır. Bu iş işleviyle eşleşmesi için genellikle yerleşik bir Azure rolü bulunur.

Ancak üyelik en az bir katman soyutlanır ve kaynak açısından bakıldığında grupta kimlerin olduğunu anlamak için kimlik sağlayıcısına gitmeniz gerekir. Ayrıca, bir kişinin tam kapsam için birden çok üyeliğin korunması gerekir. Çakışan güvenlik gruplarının matrisi karmaşık olabilir.

Erişim desenlerinin kuruluş şeması değil odak noktası olması için Desen 2 önerilir. Kuruluş şemaları ve üye rolleri bazen değişir. İş yükünüzün kimliğini ve erişim yönetimini işlevsel bir perspektiften yakalamak, ekip kuruluşunuzu iş yükünün güvenli yönetiminden soyutlamanıza olanak tanır.

Ağ kesimleme desenleri

Desen 1: bir iş yükü içinde segmentlere ayırma (geçici sınırlar)

Tek bir sanal ağı gösteren diyagram.

Bu düzende iş yükü, sınırları işaretlemek için alt ağlar kullanılarak tek bir sanal ağa yerleştirilir. Segmentlere ayırma işlemi, biri veritabanı ve diğeri web iş yükleri için olan iki alt ağ kullanılarak elde edilir. Alt Ağ 1'in yalnızca Alt Ağ 2 ve Alt Ağ 2 ile yalnızca İnternet ile iletişim kurmasına izin veren NSG'leri yapılandırmanız gerekir. Bu desen katman 3 düzeyi denetimi sağlar.

Desen 2: bir iş yükü içinde segmentlere ayırma

Birden çok sanal ağı gösteren diyagram.

Bu desen, platform düzeyinde segmentlere ayırma örneğidir. İş yükü component'leri, aralarında eşleme olmadan birden çok ağa yayılır. Tüm iletişim, genel erişim noktası olarak hizmet veren bir aracı aracılığıyla yönlendirilir. tüm ağların sahibi iş yükü ekibidir.

Desen 2 kapsama sağlar ancak sanal ağ yönetimi ve boyutlandırmanın karmaşıklığının artmasına neden olur. İki ağ arasındaki iletişim genel İnternet üzerinden gerçekleşir ve bu bir risk olabilir. Genel bağlantılarda gecikme süresi de vardır. Ancak, iki ağ eşlenebilir ve daha büyük bir kesim oluşturmak için bunları bağlayarak segmentlere ayırmayı bozabilir. Eşleme, başka genel uç nokta gerekmediğinde yapılmalıdır.

Dikkat edilmesi gerekenler Desen 1 Desen 2
Bağlantı ve yönlendirme: Her segmentin iletişim kurma şekli Sistem yönlendirme, iş yükü bileşenlerine varsayılan bağlantı sağlar. Hiçbir dış bileşen iş yüküyle iletişim kuramıyor. Sanal ağ içinde, desen 1 ile aynı.
Ağlar arasında trafik genel İnternet üzerinden gider. Ağlar arasında doğrudan bağlantı yoktur.
Ağ düzeyinde trafik filtreleme Segmentler arasındaki trafiğe varsayılan olarak izin verilir. Trafiği filtrelemek için NSG'leri veya ASG'leri kullanın. Sanal ağ içinde, desen 1 ile aynı.
Ağlar arasında, güvenlik duvarı üzerinden hem giriş hem de çıkış trafiğini filtreleyebilirsiniz.
İstenmeyen açık genel uç noktalar Ağ arabirim kartları (NIC' ler) genel IP'leri alamaz. Sanal ağlar internet API yönetimine açık değildir. Desen 1 ile aynı. Bir sanal ağda hedeflenen açık genel uç nokta, daha fazla trafiği kabul etmek için yanlış yapılandırılabilir.

Kaynak düzenleme

Azure kaynaklarını sahiplik sorumluluğuna göre düzenleme

Birden çok iş yükü içeren bir Azure varlığının diyagramı.

Birden çok iş yükü ve hub sanal ağları, güvenlik duvarları, kimlik hizmetleri ve Microsoft Sentinel gibi güvenlik hizmetleri gibi paylaşılan hizmet bileşenlerini içeren bir Azure varlığı düşünün. Varlık genelindeki bileşenler işlevsel alanlarına, iş yüklerine ve sahipliklerine göre gruplandırılmalıdır. Örneğin, paylaşılan ağ kaynakları tek bir abonelikte birlikte gruplandırılmalı ve bir ağ ekibi tarafından yönetilmelidir. Tek tek iş yüklerine ayrılmış bileşenler kendi segmentlerinde olmalıdır ve uygulama katmanlarına veya diğer kuruluş ilkelerine göre daha fazla bölünebilir.

RBAC rol atamaları oluşturarak tek tek segmentlerdeki kaynakları yönetme erişimi verme. Örneğin, bulut ağ ekibine kaynaklarını içeren aboneliğe yönetim erişimi verilebilir, ancak tek tek iş yükü aboneliklerine erişim sağlanamaz.

İyi bir segmentleme stratejisi, her segmentin sahiplerini kolayca tanımlamayı mümkün kılar. Kaynak gruplarına veya aboneliklere sahip ekiple açıklama eklemek için Azure kaynak etiketlerini kullanmayı göz önünde bulundurun.

Erişim denetimini yapılandırma ve gözden geçirme

Kaynaklarınız için segmentleri açıkça tanımlayarak ihtiyaç temelinde uygun erişim izni verin.

Erişim denetimi ilkelerini tanımlarken en az ayrıcalık ilkesini göz önünde bulundurun. Denetim düzlemi işlemleri (kaynağın kendisinin yönetimi) ile veri düzlemi işlemleri (kaynak tarafından depolanan verilere erişim) arasında ayrım yapmak önemlidir. Örneğin, çalışanlar hakkında hassas bilgiler içeren bir veritabanı içeren bir iş yükünüz olduğunu varsayalım. Veritabanı yedeklemeleri gibi ayarları yapılandırması gereken bazı kullanıcılara veya veritabanı sunucusunun performansını izleyen kullanıcılara yönetim erişimi verebilirsiniz. Ancak bu kullanıcıların veritabanında depolanan hassas verileri sorgulayamaması gerekir. Kullanıcıların görevlerini gerçekleştirmesi için gereken minimum kapsamı veren izinleri seçin. Her segment için rol atamalarını düzenli olarak gözden geçirin ve artık gerekli olmayan erişimi kaldırın.

Not

RBAC'deki sahip rolü gibi bazı yüksek ayrıcalıklı roller, kullanıcılara diğer kullanıcılara bir kaynağa erişim verme olanağı verir. Sahip rolüne kaç kullanıcı veya grup atanacaklarını sınırlayın ve denetim günlüklerini düzenli olarak gözden geçirerek yalnızca geçerli işlemleri gerçekleştirdiklerinden emin olun.

Güvenlik denetim listesi

Önerilerin tamamına bakın.

Güvenlik denetim listesi