Aracılığıyla paylaş

Segmentasyon stratejisi oluşturma önerileri

Well-Architected Güvenlik denetim listesi önerisi için Power Platform geçerlidir:

SE:04 Mimari tasarımınızda ve platformdaki iş yükünün ayak izini kullanarak bilerek segmentlere ayırma ve çevre oluşturma. Segmentasyon stratejisi, ağları, rolleri ve sorumlulukları, iş yükü kimliklerini ve kaynak kuruluşunu içermelidir.

Segmentasyon stratejisi, iş yüklerini kendi güvenlik gereksinimleri ve ölçümleri kümesiyle diğer iş yüklerinden nasıl ayırabileceğinizi tanımlar.

Bu kılavuzda, bir birleştirilmiş segmentasyon stratejisi oluşturma önerileri anlatılmaktadır. İş yüklerinde çevre ve yalıtım sınırları kullanarak sizin için uygun bir güvenlik yaklaşımı tasarlayabilirsiniz.

Tanımlar

Terim Açıklama
Çevreleme Bir saldırgan bir bölüme erişim kazanırsa patlama radyusmesini içeren bir teknik.
En az ayrıcalık erişimi Bir iş işlevini tamamlamak için bir izin kümesini en aza indirmeyi amaçlayan Sıfır Güven ilkesi.
Çevre Bir kesimin etrafındaki güven sınırı.
Kaynak kuruluşu Bir kesim içindeki akışlara göre ilgili kaynakları gruplandırmak için bir strateji.
Rol Bir iş işlevini tamamlamak için gerekli olan izinler kümesi.
Segment Diğer varlıklardan ayrı olan ve bir dizi güvenlik önlemi ile korunan bir mantıksal birim.

Temel tasarım stratejileri

Segmentasyon kavramı genellikle ağlar için kullanılır. Bununla birlikte, aynı temel ilke, yönetim amaçları ve erişim denetimi için kaynakları segmentlere bölmek de dahil olmak üzere bir çözüm boyunca kullanılabilir.

Segmentasyon, Sıfır Güven modeli ilkelerine dayalı olarak savunma derinliği uygulayan bir güvenlik yaklaşımı belirlemenize yardımcı olur. Bir kesimi ihlal eden bir saldırganın, farklı kimlik denetimlerine sahip iş yüklerini segmentlere aktararak diğerine erişim sağlayamamasını sağlama. Güvenli bir sistemde, yetkisiz erişimi engellemek ve varlıkların açığa çıkarılmalarını gizlemek için ağ ve kimlik gibi farklı özellikler kullanılır.

Bazı segment örnekleri:

  • Ağ sınırları tanımlayan platform denetimleri
  • Bir kuruluşun iş yüklerini ayrıştıran ortamlar
  • İş yükü varlıklarını ayrıştıran çözümler
  • Dağıtımı aşamalara göre ayırın dağıtım ortamları
  • İş yükü geliştirme ve yönetimiyle ilgili iş işlevlerini ayrıştıran takımlar ve roller
  • İş yükü yardımcı programına göre ayrıştıran uygulama katmanları
  • Bir hizmeti bir diğer hizmetten ayrıştıran mikro hizmetler

Kapsamlı bir derinlik stratejisi oluşturduğunuzdan emin olmak için bu segmentasyon anahtar öğelerini dikkate alın:

  • Sınır veya çevre, güvenlik denetimleri uyguladığınız bir kesimin giriş kenarıdır. Çevre denetimleri, açıkça izin verilmediği sürece segmente erişimi engellemelidir. Hedef, bir saldırganın çevreyi bozmasını ve sistemin denetimini ele geçirmesini engellemektir. Örneğin, kullanıcının bir ortama erişimi olabilir, ancak izinlerine bağlı olarak bu ortamdaki belirli uygulamaları başlatabilir.

  • Muhafaza , sistemdeki yanal hareketi önleyen bir segmentin çıkış kenarıdır. Önlemenin amacı bir ihlal etkisini en aza indirmektir. Örneğin, sanal bir ağ yönlendirme ve ağ güvenlik gruplarını yalnızca beklediğiniz trafik düzenlerini izin verecek şekilde yapılandırmak ve rastgele ağ kesimlerine trafiği önlemek için kullanılabilir.

  • İzolasyon , benzer güvencelere sahip varlıkları bir sınırla korumak için bir araya getirme uygulamasıdır. Hedef, bir ortamda yapılan bir saldırının yönetim kolaylığı ve kapsamıdır. Örneğin, belirli bir iş yüküyle ilgili kaynakları bir Power Platform ortamına veya tek bir çözüme gruplandırabilir ve ardından yalnızca belirli iş yükü takımlarının ortama erişebilmesi için erişim denetimi uygulayabilirsiniz.

Çevreler ve yalıtım arasındaki ayrıma dikkat etmek önemlidir. Çevre, kontrol edilmesi gereken konum noktalarını gösterir. Yalıtım, gruplandırmayla ilgilidir. Bu kavramları birlikte kullanarak, etkin olarak bir saldırıyı içerir.

Yalıtım, organizasyonda silolar oluşturmak anlamına gelmez. Birleştirilmiş segmentasyon stratejisi teknik takımlar arasında hizalama sağlar ve açık sorumluluk alanları ayarlar. Netlik, güvenlik açıklarına, işletim kesinti süresine veya her ikisine de yol açabilecek insan hatası ve otomasyon hataları risklerini azaltır. Karmaşık kurumsal bir sistemin bileşeninde bir güvenlik ihlali olduğunu varsayalım. Triyaj takımına uygun kişinin eklenmesi için, herkesin bu kaynakla kimin sorumlu olduğunu anlaması önemlidir. Organizasyon ve paydaşlar, iyi bir segmentasyon stratejisi oluşturarak ve belgeleyerek, farklı olay türlerine nasıl yanıt vereceklerini hızlı bir şekilde belirleyebilirler.

Ödünleşim: Segmentasyon, yönetimde ek yük olduğu için karmaşıklığa neden olur.

Risk: Makul bir sınırın ötesindeki mikro segmentasyon, izolasyonun faydasını kaybeder. Çok fazla kesim oluşturduğunuzda, iletişim noktalarını belirlemek veya segment içindeki geçerli iletişim yollarına izin vermek zorlaşır.

Çevre olarak kimlik

Kişi, yazılım bileşeni veya aygıt gibi çeşitli kimlikler iş yükü kesimlerine erişir. Kimlik, erişim isteğinin nereden kaynaklandığına bakılmaksızın yalıtım sınırları boyunca erişimi doğrulamak ve yetkilendirmek için birincil savunma satırı olması gereken bir çevredir. Şunları yapmak için çevre olarak kimlik kullanın:

  • Erişimleri role göre atama. Kimliklerin yalnızca işini yapmak için gereken kesimlere erişmesi gerekir. Bir kesime ve hangi amaçla erişim isteyen varlığı bilebilmeniz için istekte bulunan kimliğin rol ve sorumluluklarını anlayarak anonim erişimi en aza indirin.

    Bir kimlik, farklı kesimlerde farklı erişim kapsamlarına sahip olabilir. Her aşama için ayrı kesimlere sahip tipik bir ortam kurulumunu dikkate alın. Geliştirici rolüyle ilişkili kimlikler, geliştirme ortamına okuma-yazma erişimine sahiptir. Dağıtım basamaklama konusuna geçerken, bu izinler curbedilir. İş yükü üretime yükseltilene kadar, geliştiricilerin kapsamı salt okunur erişime azaltılır.

  • Uygulama ve yönetim kimliklerini ayrı ayrı düşünün. Çoğu çözümde, kullanıcıların erişim düzeyi geliştiricilerden veya işleçlerden farklı olabilir. Bazı uygulamalarda, her bir kimlik türü için farklı kimlik sistemleri veya dizinler kullanabilirsiniz. Her kimlik için ayrı roller oluşturmayı düşünün.

  • En az ayrıcalık erişimi atayın. Kimliğe erişim izni verildiyse, erişim düzeyini belirleyin. Her kesim için en az ayrıcalıkla başlayın ve yalnızca gerektiğinde bu kapsamı genişletin.

    En düşük ayrıcalığı uygulayarak, kimliğin gizliliği ihlal edilirse olumsuz etkiler sınırlanır. Erişim zaman ile sınırlıysa, saldırı yüzeyine daha da azaltılır. Zaman sınırlı erişim özellikle, güvenliği aşılmış bir kimliğe sahip yöneticiler veya yazılım bileşenleri gibi kritik firmalar için geçerlidir.

Ödünleşim: Rol tabanlı erişim denetimi (RBAC), yönetim yüküne neden olur. Kimliklerin ve erişim kapsamlarının izlenmesi rol atamalarında karmaşık hale gelebilir. Rolleri ayrı kimlikler yerine güvenlik gruplarına atamayı düşünün.

Risk: Kimlik ayarları karmaşık olabilir. Yanlış yapılandırmalar iş yükünün güvenilirliğini etkileyebilir. Örneğin, bir veritabanına erişimin reddedildiği, yanlış yapılandırılmış bir rol ataması olduğunu varsayalım. İstekler başarısız olmaya başlar ve sonunda çalışma zamanına kadar algılanamadıği güvenilirlik sorunlarına neden olur.

Kimlik denetimleri hakkında bilgi için bkz Kimlik ve erişim yönetimi önerileri.

Ağ erişim denetimlerinin tersine kimlik, erişim sırasında erişim denetimini doğrular. Düzenli erişim gözden geçirmeniz ve kritik etki firmalarıyla ilgili ayrıcalıklar elde etmek için bir onay iş akışı gerektirmesi önemle önerilir.

Çevre olarak ağ oluşturma

Kimlik çevreleri ağ kimliği artırırken ağ agnostiğidir ancak kimliği hiçbir zaman değiştirmez. Ağ çevreleri, patlama radius, beklenmeyen, yasaklanmış ve güvenilmeyen erişimi engellemek ve iş yükü kaynaklarını belirsizleştirmek için oluşturulmuştur.

Kimlik alanının birincil odağı en düşük ayrıcalık olsa da, ağ çevresini tasarlarken bir ihlal olacağını varsayarsınız.

Ağ ayak izinizde yazılım tanımlı çevre oluşturma Power Platform ve Azure servis ve özellikleri kullanma. Bir iş yükü (veya belirli bir iş yükünün parçaları) ayrı kesimlere yerleştirildiğinde, iletişim yollarının güvenliğini sağlamak için trafiği bu kesimlerden veya bu kesimlere kadar denetlersiniz. Bir kesimin güvenliği sağlanmışsa, bölüm daha sonra ağınızın kalanına yayılması engellenir.

Bir saldırgan gibi düşünün ve iş yükü içinde bir dayanak elde etmek ve daha fazla genişlemeyi en aza indirmek için denetimler oluşturun. Denetimler, saldırganların iş yükünün tümüne erişmesini saptamalı, içermeli ve durdurmalıdır. Çevre olarak ağ kontrollerine ait bazı örnekler şunlardır:

  • Ortak ağlar ve iş yükünüzün yerleştirildiği ağ arasında kenar çevrenizi tanımlayın. Görüş çizgisini herkese açık ağlardan ağınızla mümkün olduğunca kısıtlayın.
  • Amaçlarına göre sınırları oluşturma. Örneğin, işletim ağlarından segment iş yükü işlevsel ağları.

Risk: Ağ denetimleri kural tabanlıdır ve önemli bir yanlış yapılandırma olasılığı vardır, bu da bir güvenilirlik sorunudur.

Roller ve sorumluluklar

Karmaşa ve güvenlik risklerine engel olan kesimler iş yükü ekibi içinde sorumluluk satırlarını açıkça tanımlayarak sağlanır.

Tutarlılık oluşturmak ve iletişimi kullanmak için rolleri ve işlevleri belgeleyin ve paylaşın. Temel işlevlerden sorumlu grupları veya tek tek rolleri belirleyin. Power Platform'da nesneler için özel roller oluşturmadan önce yerleşik rolleri düşünün.

Bir kesim için izinler atarken birkaç kuruluş modelini aklarken tutarlılığı göz önünde bulundurun. Bu modeller tek bir merkezi BT grubundan çoğunlukla bağımsız BT ve DevLama takımlarına kadar çeşitlilik gösterir.

Risk: Çalışanların ekiplere katılması veya ekiplerden ayrılması ya da rolleri değiştirmesi nedeniyle grupların üyeliği zaman içinde değişebilir. Rollerin kesimler arasında yönetimi, yönetim genel yüküne neden olabilir.

Kaynak kuruluşu

Segmentasyon, iş yükü kaynaklarını organizasyonun diğer parçalarından ve hatta takım içinden ayırmanıza olanak sağlar. Power Platform; ortamlar ve çözümler gibi yapılandırlar, segmentlere ayırmayı yükselten kaynaklarınızı düzenlemenin yollarıdır.

Power Platform kolaylaştırma

Aşağıdaki bölümlerde bir segmentasyon stratejisi uygulamak için kullanabileceğiniz Power Platform özelliklerini ve yeteneklerini açıklanmaktadır.

Kimlik

Tüm Power Platform ürünler kimlik ve erişim yönetimi için Microsoft Entra ID (eski Azure Active Directory veya Azure AD) kullanır. Kimlik çevrelerinizi tanımlamak için, Entra ID'de yerleşik güvenlik rolleri, koşullu erişim, ayrıcalıklı kimlik yönetimi ve grup erişim yönetimi kullanabilirsiniz.

Microsoft Dataverse, ayrıcalıklar koleksiyonunu bir araya gruplamak için rol tabanlı güvenlik kullanır. Bu güvenlik rolleri, doğrudan kullanıcılarla veya Dataverse takımları ve departmanlarıyla ilişkilendirilebilir. Daha fazla bilgi için bkz. Microsoft Dataverse'te güvenlik kavramları.

Sosyal İlişkiler Kurma

Power Platform için Azure Sanal Ağ desteğiyle, sanal ağınız içindeki kaynakları Power Platform'da genel internete açmadan tümleştirebilirsiniz. Sanal Ağ desteği, çalışma zamanında giden trafiği Power Platform'dan yönetmek için Azure alt ağ atamasını kullanır. Bir temsilci kullanılması, Power Platform ile tümleştirebilmek için korumalı kaynakların internet üzerinden seyahat etmesine olan gereksinimi önler. Sanal Ağ, Dataverse ve Power Platform bileşenleri, ister Azure'da veya ister şirket içinde barındırılırsın, ağınızda kuruluşunuzun sahibi olduğu kaynakları arayabilir ve giden aramalar yapmak için eklentiler ve bağlayıcılar kullanabilir. Daha fazla bilgi için bkz Power Platform için Sanal Ağ desteği genel bakışı.

Ortamlar için IP güvenlik duvarı Power Platform , kullanıcı erişimini Dataverse yalnızca izin verilen IP konumlarından sınırlayarak verilerinizi korumaya yardımcı olur.

Microsoft Azure ExpressRoute Özel bağlantı kullanarak yerinde ağınızı bulut hizmetlerine bağlamak için Microsoft gelişmiş bir yol sağlar. Birden çok çevrimiçi hizmete (örneğin Microsoft Power Platform, Dynamics 365, Microsoft 365 ve Azure) erişmek için tek bir ExpressRoute bağlantısı kullanılabilir.

Güvenlik denetim listesi

Eksiksiz bir öneri kümesine bakın.

Güvenlik kontrol listesi