Aracılığıyla paylaş

Ağ yalıtımı (Güvenli Gelecek Girişimi)

Sütun adı: Ağları koruma
Desen adı: Ağ yalıtımı

Bağlam ve sorun

Günümüzün tehdit aktörleri, zayıf ağ sınırlarından yararlanarak yatay hareket eder ve ayrıcalıkları artırır. Yaygın saldırı yolları arasında çalınan kimlik bilgileri, protokol kötüye kullanımı ve token tekrarlama yer alır. Saldırganlar içeri girdikten sonra genellikle hassas iş yüklerine erişmek için düşük segmentasyondan, fazla izinli izinlerden veya paylaşılan altyapıdan yararlanıyor.  

Geleneksel düz ağlar En Az Ayrıcalıklı erişimi zorunlu kılmayı zorlar ve genellikle kaynakları geniş çapta erişilebilir hale getirir. Net yalıtım olmadan hem iç hem de dış tehditler birden çok sistemi hızla tehlikeye atabilir. Zorluk, ağ bölümlendirmesini standartlaştırmak, çevre güvenliğini sağlamak ve trafik akışlarının yatay hareketi önlemek ve ihlalleri sınırlamak için sıkı bir şekilde kontrol edilmesini sağlamaktır.

Çözüm

Ağ yalıtımı, ağları bölümlere ayırıp yalıtarak ve bunlara ağ erişimini denetleyerek ağların güvenliğini sağlar. Kimlik algılamalı ağ güvenlik çözümlerini ve görünürlük, izleme ve algılama özelliklerindeki iyileştirmeleri birleştirir. Temel uygulamalar şunlardır:

  • Ağ segmentasyonu ve yazılım tanımlı çevreler: İhlali varsayın ve ağ bölümlendirme ile dinamik, risk tabanlı erişim sağlayarak yanal hareketi sınırlayın. Kapsamlı erişimle En Az Ayrıcalık uygula ve kimlik tabanlı erişim denetimleriyle Açıkça Doğrula.

  • SASE ve ZTNA: Güvenlik ve ağı tümleştirmek için Güvenli Erişim Hizmeti Edge (SASE) ve Sıfır Güven Ağ Erişimi (ZTNA) mimarilerini kullanın. Bağlam, kimlik ve koşullu erişim denetimlerine göre erişimi vererek ve kısıtlayarak Sıfır Güven ilkelerini benimseyin ve uyarlayın.

  • Şifreleme ve iletişim: Aktarımdaki verileri koruyarak ve güçlü, modern şifreleme ve iletişim ile veri kurcalama riskini sınırlayarak ve zayıf protokolleri engelleyerek İhlal varsayın.

  • Görünürlük ve tehdit algılama: Sürekli görünürlük, izleme ve ağ etkinliğini günlüğe kaydetme ile İhlal varsayın . Anomalileri bulmak ve ortaya çıkarabilmek için erişim denetimleri ve tehdit algılama ile En Az Ayrıcalık Uygula ve Açıkça Doğrula . Büyük ölçekte ağ kaynaklarının ve denetimlerinin dağıtımını, yönetimini ve ayırmasını otomatikleştirerek Sıfır Güven'i zorunlu kılın. Otomasyon olmadan gecikmeler, tutarsızlıklar ve boşluklar hızla ortaya çıkabilir.

  • İlke temelli denetimler: Ayrıntılı, uyarlamalı kimlik odaklı, koşullu erişim ilkesi denetimleriyle açıkça doğrulayın ve En Az Ayrıcalık uygulayın. İhlal varsayımını benimseyin, varsayılan olarak reddetme ilkesiyle ve riskin sürekli olarak yeniden değerlendirilmesiyle.

  • Bulut ve hibrit ağ güvenliği: Bulut iş yüklerini korumalı mikro çevrelere izole ederek ve SaaS ile PaaS uygulamaları için Kimlik farkında proxy'ler ve Bulut Güvenlik Erişim Aracısı (CASB) çözümlerini kullanarak çoklu bulut ve karma ortamlarda İhlali Varsay ve Açıkça Doğrula. Bulut ve şirket içinde birleşik güvenlik ilkeleri, güvenli karma bağlantı mekanizmaları, bulut/hibrit güvenlik duruşunun geliştirilmesi ve merkezi güvenlik izleme ile Sıfır Güven ilkelerini uygulayın.

Guidance

Kuruluşlar aşağıdaki eyleme dönüştürülebilir uygulamaları kullanarak benzer bir desen benimseyebilir:

Kullanım örneği Önerilen eylem Resource
Mikro segmentasyon
  • İş yükleri arasında en az genel bakış ayrıcalığı erişimini zorunlu kılmak için ağ güvenlik gruplarını (NSG) ve ACL'leri kullanın.
 Azure ağ güvenlik gruplarına genel bakış
Sanal ağları yalıtma
  • Sistemleri taramak ve CVE'lere öncelik vermek için Microsoft Defender Güvenlik Açığı Yönetimi gibi araçları kullanın
 VNet'leri İzole Etme - Azure Sanal Ağlar
PaaS kaynakları için çevre koruması
  • Depolama, SQL ve Key Vault gibi hizmetlere Azure Ağ Güvenliği güvenli erişimi kullanın.
 Ağ güvenlik çevresi nedir?
Sanal makinelere güvenli bağlantı
  • Kaynakları İnternet'e göstermeden sanal makinelere güvenli RDP/SSH bağlantısı kurmak için Azure Bastion'ı kullanın.
 Azure Bastion hakkında
Giden sanal erişimi kısıtlama
  • Varsayılan giden İnternet erişimini kaldırın ve hizmet çıkışı için en az ayrıcalıklı Ağ'ı uygulayın.
 Azure'da Varsayılan Giden Erişim - Azure Sanal Ağı
Katmanlı çevre savunması
  • Çok katmanlı güvenliği zorunlu kılmak için güvenlik duvarları, hizmet etiketleri, NSG'ler ve DDoS koruması uygulayın.
 Azure DDoS Korumasına Genel Bakış
Merkezi ilke yönetimi
  • Ağ yalıtım ilkelerini merkezi olarak yönetmek için Azure Virtual Network Manager'ı güvenlik yöneticisi kurallarıyla birlikte kullanın.
 Azure Virtual Network Manager'da güvenlik yöneticisi kuralları

Sonuçlar

Fayda -ları

  • Dayanıklılık: İzinsiz girişin patlama yarıçapını sınırlar.  
  • Ölçeklenebilirlik: Standartlaştırılmış ağ yalıtımı, kurumsal ölçekli ortamları destekler.  
  • Görünürlük: Hizmet etiketleme ve izleme, trafik akışlarının daha net bir şekilde atfını sağlar.  
  • Mevzuat uyumluluğu: Hassas kaynakların sıkı ayrıştırmasını gerektiren çerçevelerle uyumluluğu destekler.  

Trade-offs

  • operasyonel ek yük: Segmentlere ayrılmış ağların tasarlanması ve bakımının yapılması için planlama ve devam eden güncelleştirmeler gerekir.
  • Karmaşıklık: Daha fazla segmentasyon ek yönetim katmanlarına neden olabilir ve ölçeklendirme için otomasyon gerektirebilir.  
  • Performansla ilgili dikkat edilmesi gerekenler: Bazı yalıtım ölçüleri gecikme süresini biraz artırabilir.  

Önemli başarı faktörleri

Başarıyı izlemek için aşağıdakileri ölçün:

  • Doğrudan İnternet'e açık olmadan yalıtılmış sanal ağlara dağıtılan iş yüklerinin sayısı.  
  • Merkezi güvenlik yönetici kuralları tarafından yönetilen hizmetlerin yüzdesi.  
  • Kırmızı takım testi sırasında tanımlanan yanal hareket yollarında azalma.  
  • Ortamlar arasında en az ayrıcalıklı ilkelerle uyumluluk.  
  • Anormal ağ etkinliğini algılama ve düzeltme zamanı.  

Özet

Ağ yalıtımı, yanal hareketi önlemeye ve hassas iş yüklerini korumaya yönelik temel bir stratejidir. Kuruluşlar kaynakları segmentlere ayırmak, çevre uygulamak ve katmanlı savunma uygulamak suretiyle saldırı yüzeylerini azaltır ve modern saldırganlara karşı dayanıklılık sağlar.

Ağları yalıtma artık isteğe bağlı değildir--- bu, bulut ve hibrit ortamların korunması için gerekli bir denetimdir. Ağ yalıtımı hedefi, yanal hareketi azaltmaya, Sıfır Güven ile uyumlu hale getirmeye ve kurumsal ölçekli ortamları korumaya yönelik net bir çerçeve sağlar.  

Ayrıca tüm ağ, kimlik ve cihaz etkinlikleri sürekli izlenmelidir. Anomalileri ve tehditleri etkili bir şekilde algılamak için genişletilmiş algılama ve yanıt (XDR) çözümleriyle SIEM araçlarını kullanarak günlüğe kaydetmeyi merkezileştirin ve güvenlik uyarılarını ilişkilendirin. Algılamayı davranış analizi, derin paket incelemesi ve otomatik tehdit yanıtıyla eşleştirerek şüpheli etkinlikleri hızla içerir ve etkili olay yanıtlarını destekler.

Geçerli ağ topolojinizi değerlendirin ve ağ yalıtımı hedefiyle uyumlu hale getirmek için segmentasyon ve çevre denetimleri uygulayın.

  • Last updated on