Aracılığıyla paylaş

Segmentasyon stratejisi oluşturmaya yönelik öneriler

  • Makale

İyi Tasarlanmış Çerçeve Güvenliği denetim listesi önerisi için geçerlidir:

SE:04 Mimari tasarımınızda ve iş yükünün platformdaki ayak izinde kasıtlı segmentasyon ve çevreler oluşturun. Segmentasyon stratejisi ağları, rolleri ve sorumlulukları, iş yükü kimliklerini ve kaynak kuruluşunu içermelidir.

Kesim, çözümünüzün tek bir birim olarak güvenli hale getirilmesi gereken mantıksal bir bölümüdür. Segmentasyon stratejisi, bir birimin kendi güvenlik gereksinimleri ve ölçüleri kümesiyle diğer birimlerden nasıl ayrılması gerektiğini tanımlar.

Bu kılavuzda birleşik bir segmentasyon stratejisi oluşturmaya yönelik öneriler açıklanmaktadır. İş yüklerinde çevre ve yalıtım sınırlarını kullanarak, size uygun bir güvenlik yaklaşımı tasarlayabilirsiniz.

Tanımlar 

Süre Tanım
Kapsama Bir saldırganın bir segmente erişim sağlaması durumunda patlama yarıçapını içerme tekniği.
En az ayrıcalıklı erişim bir iş işlevini tamamlamak için izin kümesini en aza indirmeyi amaçlayan Sıfır Güven bir ilke.
Çevre Bir segmentin etrafındaki güven sınırı.
Kaynak düzenleme İlgili kaynakları bir segment içindeki akışlara göre gruplandırma stratejisi.
Role bir iş işlevini tamamlamak için gereken izin kümesi.
Segment Diğer varlıklardan yalıtılmış ve bir dizi güvenlik önlemi tarafından korunan mantıksal birim.

Temel tasarım stratejileri

Segmentasyon kavramı genellikle ağlar için kullanılır. Ancak, yönetim amaçları ve erişim denetimi için kaynakları segmentlere ayırma dahil olmak üzere çözüm genelinde aynı temel ilke kullanılabilir.

Segmentasyon, Sıfır Güven modelinin ilkelerine göre derinlemesine savunma uygulayan bir güvenlik yaklaşımı tasarlamanıza yardımcı olur. Bir ağ kesimini ihlal eden bir saldırganın farklı kimlik denetimleriyle iş yüklerini segmentlere ayırma yoluyla başka bir ağ kesimine erişim sağlayabilmesini sağlayın. Güvenli bir sistemde kimlik ve ağ öznitelikleri yetkisiz erişimi engeller ve varlıkların kullanıma sunulmamasını engeller. Aşağıda bazı segment örnekleri verilmiştir:

  • Bir kuruluşun iş yüklerini yalıtan abonelikler
  • İş yükü varlıklarını yalıtan kaynak grupları
  • Dağıtımı aşamalara göre yalıtan dağıtım ortamları
  • İş yükü geliştirme ve yönetimiyle ilgili iş işlevlerini yalıtan ekipler ve roller
  • İş yükü yardımcı programı tarafından yalıtılan uygulama katmanları
  • Bir hizmeti başka bir hizmetten yalıtan mikro hizmetler

Kapsamlı bir derinlemesine savunma stratejisi oluşturduğunuzdan emin olmak için segmentasyonun şu temel öğelerini göz önünde bulundurun:

  • Sınır veya çevre , güvenlik denetimleri uyguladığınız bir kesimin giriş kenarıdır. Çevre denetimleri, açıkça izin verilmediği sürece kesime erişimi engellemelidir. Amaç, saldırganın çevreden geçmesini ve sistemin kontrolünü ele geçirmesini engellemektir. Örneğin, bir uygulama katmanı bir isteği işlerken son kullanıcının erişim belirtecini kabul edebilir. Ancak veri katmanı, yalnızca uygulama katmanının isteyebileceği belirli bir izne sahip farklı bir erişim belirteci gerektirebilir.

  • Kapsama , sistemde yanal hareketi engelleyen bir segmentin çıkış kenarıdır. Kapsamanın amacı bir ihlalin etkisini en aza indirmektir. Örneğin, yönlendirme ve ağ güvenlik gruplarını yalnızca beklediğiniz trafik desenlerine izin verecek şekilde yapılandırmak ve rastgele ağ kesimlerine giden trafikten kaçınmak için bir Azure sanal ağı kullanılabilir.

  • Yalıtım , benzer güvencelere sahip varlıkları bir sınırla korumak için birlikte gruplandırma uygulamasıdır. Amaç, yönetim kolaylığı ve bir ortamdaki bir saldırının engellenmesidir. Örneğin, belirli bir iş yüküyle ilgili kaynakları tek bir Azure aboneliğinde gruplandırabilir ve ardından yalnızca belirli iş yükü ekiplerinin aboneliğe erişebilmesi için erişim denetimi uygulayabilirsiniz.

Çevre ve yalıtım arasındaki ayrımı not etmek önemlidir. Çevre, denetlenmesi gereken konum noktalarını ifade eder. Yalıtım gruplandırma ile ilgili. Bu kavramları birlikte kullanarak etkin bir şekilde bir saldırı içerir.

Yalıtım, kuruluşta silo oluşturma anlamına gelmez. Birleşik segmentasyon stratejisi, teknik ekipler arasında hizalama sağlar ve net sorumluluk satırları belirler. Netlik, güvenlik açıklarına, işletimsel kapalı kalma süresine veya her ikisine de yol açabilecek insan hatası ve otomasyon hatası riskini azaltır. Karmaşık bir kurumsal sistemin bileşeninde güvenlik ihlali algılandığından söz edin. Önceliklendirme ekibine uygun kişinin dahil edilmesi için herkesin bu kaynakta kimin sorumlu olduğunu anlaması önemlidir. Kuruluş ve paydaşlar, iyi bir segmentasyon stratejisi oluşturup belgeleyerek farklı olay türlerine nasıl yanıt verebileceğini hızla belirleyebilir.

Denge: Yönetimde ek yük olduğundan segmentasyon karmaşıklık getirir. Maliyette de bir denge vardır. Örneğin, yan yana çalışan dağıtım ortamları segmentlere ayrıldığında daha fazla kaynak sağlanır.

Risk: Makul bir sınırın ötesinde mikro segmentlere ayırma, yalıtım avantajını kaybeder. Çok fazla segment oluşturduğunuzda, iletişim noktalarını belirlemek veya segment içinde geçerli iletişim yollarına izin vermek zorlaşır.

Birincil güvenlik çevresi olarak kimlik oluşturma

Kişiler, yazılım bileşenleri veya cihazlar gibi çeşitli kimlikler iş yükü segmentlerine erişir. Kimlik, erişim isteğinin nereden kaynaklandığına bakılmaksızın yalıtım sınırları boyunca erişimin kimliğini doğrulamak ve yetkilendirmek için birincil savunma hattı olması gereken bir çevredir. Kimliği çevre olarak kullanarak:

  • Role göre erişim atayın. Kimliklerin yalnızca işlerini yapmak için gereken kesimlere erişmesi gerekir. Bir kesime erişim isteyen varlığı ve hangi amaçla erişim istediğinizi bilmeniz için istekte bulunan kimliğin rollerini ve sorumluluklarını anlayarak anonim erişimi en aza indirin.

    Bir kimliğin farklı kesimlerde farklı erişim kapsamları olabilir. Her aşama için ayrı segmentlere sahip tipik bir ortam kurulumu düşünün. Geliştirici rolüyle ilişkili kimliklerin geliştirme ortamına okuma-yazma erişimi vardır. Dağıtım hazırlamaya geçtikçe, bu izinler kıvrılır. İş yükü üretime yükseltildiğinde geliştiricilerin kapsamı salt okunur erişime indirilir.

  • Uygulama ve yönetim kimliklerini ayrı ayrı düşünün. Çoğu çözümde kullanıcılar, geliştiricilerden veya işleçlerden farklı bir erişim düzeyine sahiptir. Bazı uygulamalarda, her kimlik türü için farklı kimlik sistemleri veya dizinler kullanabilirsiniz. Erişim kapsamlarını kullanmayı ve her kimlik için ayrı roller oluşturmayı göz önünde bulundurun.

  • En az ayrıcalık erişimi atayın. Kimliğe erişim izni veriliyorsa erişim düzeyini belirleyin. Her segment için en az ayrıcalıkla başlayın ve yalnızca gerektiğinde bu kapsamı genişletin.

    En düşük ayrıcalığı uygulayarak, kimliğin gizliliğinin tehlikeye atılması durumunda olumsuz etkileri sınırlandırmış olursunuz. Erişim zamanla sınırlıysa saldırı yüzeyi daha da azalır. Zaman sınırlı erişim, özellikle güvenliği aşılmış bir kimliğe sahip yöneticiler veya yazılım bileşenleri gibi kritik hesaplar için geçerlidir.

Denge: İş yükünün performansı kimlik çevrelerinden etkilenebilir. Her isteğin açıkça doğrulanması fazladan işlem döngüleri ve ek ağ GÇ gerektirir.

Rol tabanlı erişim denetimi (RBAC) yönetim yüküne de neden olur. Kimlikleri ve erişim kapsamlarını izlemek rol atamalarında karmaşık hale gelebilir. Geçici çözüm, tek tek kimlikler yerine güvenlik gruplarına rol atamaktır.

Risk: Kimlik ayarları karmaşık olabilir. Yanlış yapılandırmalar iş yükünün güvenilirliğini etkileyebilir. Örneğin, bir veritabanına erişimi reddedilen yanlış yapılandırılmış bir rol ataması olduğunu varsayalım. İstekler başarısız olmaya başlar ve sonunda çalışma zamanına kadar algılanamaz güvenilirlik sorunlarına neden olur.

Kimlik denetimleri hakkında bilgi için bkz . Kimlik ve erişim yönetimi.

Ağ erişim denetimlerinin aksine, kimlik erişim zamanında erişim denetimini doğrular. Kritik etki hesapları için ayrıcalıklar elde etmek için düzenli erişim gözden geçirmesi yapılması ve onay iş akışı gerektirmesi kesinlikle önerilir. Örneğin, bkz . Kimlik segmentasyon desenleri.

Çevre olarak ağ ile geliştirme

Kimlik çevreleri ağdan bağımsızdır, ancak ağ çevreleri kimliği genişletirken asla değiştirmez. Ağ çevreleri, patlama yarıçapını denetlemek, beklenmeyen, yasaklanmış ve güvenli olmayan erişimi engellemek ve iş yükü kaynaklarını karartmak için kurulur.

Kimlik çevresinin birincil odağı en az ayrıcalık olsa da, ağ çevresini tasarlarken bir ihlal olacağını varsaymalısınız.

Azure hizmetlerini ve özelliklerini kullanarak ağ ayak izinizde yazılım tanımlı çevreler oluşturun. Bir iş yükü (veya belirli bir iş yükünün parçaları) ayrı segmentlere yerleştirildiğinde, iletişim yollarının güvenliğini sağlamak için bu segmentlerden gelen veya giden trafiği denetleyebilirsiniz. Bir kesimin güvenliği tehlikeye atılırsa, bu bölüm kapsama alınır ve ağınızın geri kalanına yayılımını engeller.

bir saldırgan gibi düşünün ve daha fazla genişletmeyi en aza indirmek için denetimler oluşturun. Denetimler saldırganların iş yükünün tamamına erişim elde etmelerini algılamalı, içermeli ve durdurmalıdır. Aşağıda çevre olarak ağ denetimlerinin bazı örnekleri verilmiştir:

  • Genel ağlar ile iş yükünüzün yerleştirildiği ağ arasında uç çevrenizi tanımlayın. Genel ağlardan gelen görüş hattını ağınızla mümkün olduğunca kısıtlayın.
  • Güvenlik duvarları aracılığıyla uygun denetimlerle uygulamanın önünde, demilitarized bölgeleri (DMZ) uygulayın.
  • İş yükünün bölümlerini ayrı segmentler halinde gruplandırarak özel ağınızda mikro segmentasyon oluşturun. Aralarında güvenli iletişim yolları oluşturun.
  • Amada göre sınırlar oluşturun. Örneğin, iş yükü işlevsel ağlarını işletimsel ağlardan segmentlere ayırma.

Ağ segmentasyonuyla ilgili yaygın desenler için bkz . Ağ kesimleme desenleri.

Denge: Ağ güvenlik denetimleri genellikle premium SKU'lara dahil edildiğinden pahalıdır. Güvenlik duvarlarında kuralların yapılandırılması genellikle büyük karmaşıklıklara neden olur ve geniş özel durumlar gerektirir.

Özel bağlantı mimari tasarımı değiştirir ve genellikle işlem düğümlerine özel erişim için atlama kutuları gibi daha fazla bileşen ekler.

Ağ çevreleri ağ üzerindeki denetim noktalarına veya atlamalara dayandığından, her atlama olası bir hata noktası olabilir. Bu noktaların sistemin güvenilirliği üzerinde etkisi olabilir.

Risk: Ağ denetimleri kural tabanlıdır ve hatalı yapılandırma olasılığı oldukça yüksektir ve bu da güvenilirlikle ilgili bir sorundur.

Ağ denetimleri hakkında bilgi için bkz . Ağ ve bağlantı.

Rolleri tanımlama ve sorumluluk çizgilerini temizleme

Karışıklığı ve güvenlik risklerini önleyen segmentasyon, bir iş yükü ekibinde sorumluluk hatlarını açıkça tanımlayarak elde edilir.

Tutarlılık oluşturmak ve iletişimi kolaylaştırmak için rolleri ve işlevleri belgeleyip paylaşın. Temel işlevlerden sorumlu grupları veya tek tek rolleri belirleyin. Nesneler için özel roller oluşturmadan önce Azure'daki yerleşik rolleri göz önünde bulundurun.

Bir segment için izinler atarken çeşitli kuruluş modellerini kabul ederken tutarlılığı göz önünde bulundurun. Bu modeller tek bir merkezi BT grubundan çoğunlukla bağımsız BT ve DevOps ekiplerine kadar değişebilir.

Risk: Çalışanlar ekiplere katıldığında veya ekiplerden ayrıldığında ya da rolleri değiştirdiğinizde grup üyeliği zaman içinde değişebilir. Segmentler arasında rollerin yönetimi yönetim yüküne neden olabilir.

Segmentasyonu yükseltmek için kaynakları düzenleme

Segmentlere ayırma, iş yükü kaynaklarını kuruluşun diğer bölümlerinden ve hatta ekip içinden yalıtmanıza olanak tanır. Yönetim grupları, abonelikler, ortamlar ve kaynak grupları gibi Azure yapıları, kaynaklarınızı segmentlere ayırmayı teşvik eden düzenleme yollarıdır. Kaynak düzeyinde yalıtıma bazı örnekler aşağıda verilmiştir:

  • Çok teknolojili kalıcılık, segmentasyonu desteklemek için tek bir veritabanı sistemi yerine veri depolama teknolojilerinin bir birleşimini içerir. Çeşitli veri modellerine göre ayrım yapmak, veri depolama ve analiz gibi işlevleri ayırmak veya erişim desenlerine göre ayırmak için çok teknolojili kalıcılığı kullanın.
  • İşleminizi düzenlerken her sunucu için bir hizmet ayırın. Bu yalıtım düzeyi karmaşıklığı en aza indirir ve bir saldırı içermesine yardımcı olabilir.
  • Azure, işlem depolamadan ayrım gibi bazı hizmetler için yerleşik yalıtım sağlar. Diğer örnekler için bkz . Azure genel bulutunda yalıtım.

Denge: Kaynak yalıtımı toplam sahip olma maliyetinde (TCO) artışa neden olabilir. Veri depoları için olağanüstü durum kurtarma sırasında karmaşıklık ve koordinasyon eklenebilir.

Azure kolaylaştırma

Bazı Azure hizmetleri, aşağıdaki bölümlerde açıklandığı gibi bir segmentasyon stratejisi uygulamak için kullanılabilir.

Kimlik

Azure RBAC, iş işlevine göre erişimi yalıtarak segmentlere ayırmayı destekler. Belirli roller ve kapsamlar için yalnızca belirli eylemlere izin verilir. Örneğin, yalnızca sistemi gözlemlemek için gereken iş işlevlerine, kimliğin kaynakları yönetmesine izin veren katkıda bulunan izinlerine karşı okuyucu izinleri atanabilir.

Daha fazla bilgi için bkz . RBAC için en iyi yöntemler.

Segmentlere ayırma için ağ seçeneklerini gösteren diyagram.

Sanal ağlar: Sanal ağlar, iki sanal ağ arasına trafik eklemeden kaynakların ağ düzeyinde kapsaması sağlar. Sanal ağlar abonelik içindeki özel adres alanlarında oluşturulur

Ağ güvenlik grupları (NSG): Sanal ağlardaki ve İnternet gibi dış ağlardaki kaynaklar arasındaki trafiği denetlemeye yönelik bir erişim denetimi mekanizması. Trafiğin sonraki atlamasını denetlemek için kullanıcı tanımlı yollar (UDR) uygulayın. NSG'ler bir alt ağ, sanal makine (VM) veya bir vm grubu için çevre oluşturarak segmentasyon stratejinizi ayrıntılı bir düzeye taşıyabilir. Azure'da alt ağlarla olası işlemler hakkında bilgi için bkz . Alt ağlar.

Uygulama güvenlik grupları (ASG): ASG'ler, bir vm kümesini bir uygulama etiketi altında gruplandırmanıza ve ardından temel alınan vm'lerin her birine uygulanan trafik kurallarını tanımlamanıza olanak sağlar.

Azure Güvenlik Duvarı: Sanal ağınızda veya Azure Sanal WAN hub dağıtımlarında dağıtabileceğiniz buluta özel bir hizmet. Bulut kaynakları, İnternet ve şirket içi kaynaklar arasında akan trafiği filtrelemek için Azure Güvenlik Duvarı kullanın. Katman 3 ile 7. katman denetimlerini kullanarak trafiğe izin veren veya trafiği reddeden kurallar veya ilkeler oluşturmak için Azure Güvenlik Duvarı veya Azure Güvenlik Duvarı Yöneticisi'ni kullanın. Gelişmiş filtreleme ve kullanıcı koruması için trafiği üçüncü taraf güvenlik sağlayıcıları aracılığıyla yönlendirerek Azure Güvenlik Duvarı ve üçüncü tarafları kullanarak İnternet trafiğini filtreleyin. Azure desteği, üçüncü taraf güvenlik duvarlarından segmentlere ayırmaya yardımcı olan ağ sanal gereci dağıtımıdır.

Örnek

Azure'da iş yükünü segmentlere ayırmaya yönelik bazı yaygın desenler aşağıdadır. gereksinimlerinize göre bir desen seçin.

Bu örnek, güvenlik temelinde (SE:01) oluşturulan Bilgi Teknolojisi (BT) ortamını temel alır. Aşağıdaki diyagramda bir kuruluş tarafından yapılan yönetim grubu düzeyinde segmentasyon gösterilmektedir.

Bir kuruluşun çeşitli iş yükleri için segmentasyon stratejisinin bir örneğini gösteren diyagram.

Kimlik segmentasyonu desenleri

Desen 1: İş unvanı tabanlı gruplandırma

Güvenlik gruplarını düzenlemenin bir yolu yazılım mühendisi, veritabanı yöneticisi, site güvenilirlik mühendisi, kalite güvencesi mühendisi veya güvenlik analisti gibi iş unvanına göredir. Bu yaklaşım, iş yükü ekibiniz için gerçekleştirilmesi gereken işi dikkate almadan rollerine göre güvenlik grupları oluşturmayı içerir. Güvenlik gruplarına iş yükündeki sorumluluklarına göre ayakta veya tam zamanında (JIT) RBAC izinleri verin. Güvenlik gruplarına gereken erişime göre insan ve hizmet ilkeleri atayın.

Üyelik, rol ataması düzeyinde yüksek oranda görünür olduğundan, bir rolün neye erişimi olduğunu kolayca görebilirsiniz. Her kişi genellikle yalnızca bir güvenlik grubunun üyesidir ve bu da ekleme ve çıkarma işlemini kolaylaştırır. Ancak, iş başlıkları sorumluluklarla mükemmel bir şekilde çakışmadığı sürece, başlık tabanlı gruplandırma en az ayrıcalıklı uygulama için ideal değildir. Uygulamayı işlev tabanlı gruplandırma ile bir araya getirebilirsiniz.

Desen 2: İşlev tabanlı gruplandırma

İşlev tabanlı gruplandırma, ekip yapınızı hesaba katarak değil, gerçekleştirilmesi gereken ayrık işleri yansıtan bir güvenlik grubu kuruluş yöntemidir. Bu düzende, güvenlik gruplarına iş yükündeki gerekli işlevlerine göre gerektiğinde ayakta veya JIT izinlerini verirsiniz.

Güvenlik gruplarına gereken erişime göre insan ve hizmet ilkeleri atayın. Mümkün olduğunda, desen 1'den gelen gruplar gibi işlev tabanlı grupların üyeleri olarak mevcut homojen grupları kullanın. İşlev tabanlı gruplara örnek olarak şunlar verilebilir:

  • Üretim veritabanı işleçleri
  • Üretim öncesi veritabanı işleçleri
  • Üretim sertifikası döndürme işleçleri
  • Üretim öncesi sertifika döndürme işleçleri
  • Üretim canlı sitesi/önceliklendirme
  • Üretim öncesi tüm erişim

Bu yaklaşım en katı en düşük ayrıcalıklı erişimi korur ve kapsamın belirgin olduğu güvenlik grupları sağlar ve bu da gerçekleştirilen iş görevlerine göre üyelikleri denetlemeyi kolaylaştırır. Bu iş işleviyle eşleşmesi için genellikle yerleşik bir Azure rolü bulunur.

Ancak üyelik en az bir katman soyutlanır ve kaynak açısından bakıldığında grupta kimlerin olduğunu anlamak için kimlik sağlayıcısına gitmeniz gerekir. Ayrıca, tam kapsam için bir kişinin birden çok üyeliğinin korunması gerekir. Çakışan güvenlik gruplarının matrisi karmaşık olabilir.

Erişim desenlerinin kuruluş şeması değil odak haline getirmesi için Desen 2 önerilir. Kuruluş şemaları ve üye rolleri bazen değişir. İş yükünüzün kimliğini ve erişim yönetimini işlevsel bir perspektiften yakalamak, ekip kuruluşunuzu iş yükünün güvenli yönetiminden soyutlamanıza olanak tanır.

Ağ kesimleme desenleri

Desen 1: İş yükü içinde segmentlere ayırma (geçici sınırlar)

Tek bir sanal ağı gösteren diyagram.

Bu düzende iş yükü, sınırları işaretlemek için alt ağlar kullanılarak tek bir sanal ağa yerleştirilir. Segmentlere ayırma işlemi, biri veritabanı ve diğeri web iş yükleri için olan iki alt ağ kullanılarak elde edilir. Alt Ağ 1'in yalnızca Alt Ağ 2 ve Alt Ağ 2 ile yalnızca İnternet ile iletişim kuracak şekilde iletişim kurmasına izin veren NSG'leri yapılandırmanız gerekir. Bu desen katman 3 düzeyi denetimi sağlar.

Desen 2: bir iş yükü içinde segmentlere ayırma

Birden çok sanal ağı gösteren diyagram.

Bu desen, platform düzeyinde segmentlere ayırma örneğidir. İş yükü component'leri, aralarında eşleme olmadan birden çok ağa yayılır. Tüm iletişim, genel erişim noktası olarak hizmet veren bir aracı aracılığıyla yönlendirilir. tüm ağların sahibi iş yükü ekibidir.

Desen 2 kapsama sağlar, ancak sanal ağ yönetimi ve boyutlandırmanın karmaşıklığının artmasına neden olur. İki ağ arasındaki iletişim, genel İnternet üzerinden gerçekleşir ve bu bir risk olabilir. Genel bağlantılarda da gecikme süresi vardır. Ancak, iki ağ eşlenebilir ve daha büyük bir kesim oluşturmak için bunları bağlayarak segmentlere ayırmayı bozabilir. Eşleme, başka genel uç nokta gerekmediğinde yapılmalıdır.

Dikkat edilmesi gereken noktalar Desen 1 Desen 2
Bağlantı ve yönlendirme: Her segmentin iletişim kurma şekli Sistem yönlendirme, iş yükü bileşenlerine varsayılan bağlantı sağlar. Hiçbir dış bileşen iş yüküyle iletişim kuramıyor. Sanal ağ içinde, desen 1 ile aynı.
Ağlar arasında trafik genel İnternet üzerinden gider. Ağlar arasında doğrudan bağlantı yoktur.
Ağ düzeyinde trafik filtreleme Segmentler arasındaki trafiğe varsayılan olarak izin verilir. Trafiği filtrelemek için NSG'leri veya ASG'leri kullanın. Sanal ağ içinde, desen 1 ile aynı.
Ağlar arasında, güvenlik duvarı üzerinden hem giriş hem de çıkış trafiğini filtreleyebilirsiniz.
İstenmeyen açık genel uç noktalar Ağ arabirim kartları (NIC' ler) genel IP'leri alamaz. Sanal ağlar İnternet API yönetimine açık değildir. Desen 1 ile aynı. Bir sanal ağda hedeflenen açık genel uç nokta, daha fazla trafik kabul etmek için yanlış yapılandırılabilir.

Kaynak düzenleme

Azure kaynaklarını sahiplik sorumluluğuna göre düzenleme

Birden çok iş yükü içeren bir Azure varlığının diyagramı.

Hub sanal ağları, güvenlik duvarları, kimlik hizmetleri ve Microsoft Sentinel gibi güvenlik hizmetleri gibi birden çok iş yükü ve paylaşılan hizmet bileşeni içeren bir Azure varlığını göz önünde bulundurun. Varlık genelindeki bileşenler işlevsel alanlarına, iş yüklerine ve sahipliklerine göre gruplandırılmalıdır. Örneğin, paylaşılan ağ kaynaklarının tek bir abonelikte gruplanması ve bir ağ ekibi tarafından yönetilmesi gerekir. Tek tek iş yüklerine ayrılmış bileşenler kendi segmentlerinde olmalıdır ve uygulama katmanlarına veya diğer kuruluş ilkelerine göre daha fazla bölünebilir.

RBAC rol atamaları oluşturarak tek tek segmentlerdeki kaynakları yönetme erişimi verin. Örneğin, bulut ağ ekibine kaynaklarını içeren aboneliğe yönetici erişimi verilebilir, ancak tek tek iş yükü aboneliklerine erişim sağlanamaz.

İyi bir segmentasyon stratejisi, her segmentin sahiplerini kolayca tanımlamayı mümkün kılar. Kaynak gruplarına veya aboneliklere sahip ekiple ek açıklama eklemek için Azure kaynak etiketlerini kullanmayı göz önünde bulundurun.

Erişim denetimini yapılandırma ve gözden geçirme

Kaynaklarınız için kesimleri açıkça tanımlayarak ihtiyaca göre uygun erişim verin.

Erişim denetimi ilkeleri tanımlarken en az ayrıcalık ilkesini göz önünde bulundurun. Denetim düzlemi işlemleri (kaynağın yönetimi) ve veri düzlemi işlemleri (kaynak tarafından depolanan verilere erişim) arasında ayrım yapmak önemlidir. Örneğin, çalışanlar hakkında hassas bilgiler içeren bir veritabanı içeren bir iş yükünüz olduğunu varsayalım. Veritabanı yedeklemeleri gibi ayarları yapılandırması gereken bazı kullanıcılara veya veritabanı sunucusunun performansını izleyen kullanıcılara yönetim erişimi verebilirsiniz. Ancak bu kullanıcıların veritabanında depolanan hassas verileri sorgulayamaması gerekir. Kullanıcıların görevlerini gerçekleştirmesi için gereken minimum kapsamı veren izinleri seçin. Her segment için rol atamalarını düzenli olarak gözden geçirin ve artık gerekli olmayan erişimi kaldırın.

Not

RBAC'deki sahip rolü gibi bazı yüksek ayrıcalıklı roller, kullanıcılara diğer kullanıcılara bir kaynağa erişim verme olanağı verir. Sahip rolüne kaç kullanıcı veya grup atanacaklarını sınırlayın ve yalnızca geçerli işlemleri gerçekleştirdiklerinden emin olmak için denetim günlüklerini düzenli olarak gözden geçirin.

Güvenlik denetim listesi

Öneriler kümesinin tamamına bakın.

Güvenlik denetim listesi