Strategie segmentace

  • Článek
  • 4 min ke čtení

Segmentace označuje izolaci prostředků od ostatních částí organizace. Je to efektivní způsob, jak detekovat a obsahovat protichůdné pohyby.

Jedním z přístupů k segmentaci je izolace sítě. Tento přístup se nedoporučuje, protože různé technické týmy nemusí být v souladu s případy obchodního použití a úlohami aplikací. Jedním z výsledků takové neshody je složitost, jak je vidět zejména u místních sítí, a může vést ke snížení rychlosti nebo v nejhorších případech k výjimce rozsáhlé síťové brány firewall. I když by řízení sítě mělo být považováno za strategii segmentace, mělo by být součástí jednotné strategie segmentace.

Zabezpečení sítě je tradičním základem úsilí o zabezpečení podniku. Společnost cloud computing ale zvýšila požadavek, aby hranice sítě byly pomůcnější, a mnoho útočníků zvládlo útoky na prvky systému identit (které téměř vždy obcházejí síťové kontroly). Tyto faktory zvýšily potřebu zaměřit se primárně na řízení přístupu na základě identity, aby se chránily prostředky, a ne na řízení přístupu na základě sítě.

Efektivní strategie segmentace provede všechny technické týmy (IT, zabezpečení, aplikace) k konzistentní izolaci přístupu pomocí sítí, aplikací, identit a dalších řízení přístupu. Strategie by se měla zaměřit na:

  • Minimalizace provozních třecích plochy sladění s obchodními postupy a aplikacemi
  • Podržte rizika přidáním nákladů útočníkům. To provádí:
    • Izolování citlivých úloh před ohrožením jinými prostředky
    • Izolování systémů s vysokou vystavením od použití jako pivotu do jiných systémů.
  • Monitorujte operace, které můžou vést k potenciálnímu porušení integrity segmentů (využití účtu, neočekávaný provoz).

Tady je několik doporučení pro vytvoření sjednocené strategie:

  • Zajištění souladu technických týmů s jedinou strategií na základě posouzení obchodních rizik
  • Vytvořte moderní hraniční síť založenou na principech nulové důvěryhodnosti se zaměřením na identitu, zařízení, aplikace a další signály. To pomáhá překonat omezení síťových kontrol při ochraně před novými prostředky a typy útoků.
  • Prozkoumání strategií mikrosegmentace posiluje síťové ovládací prvky pro starší verze aplikací.
  • Centralizujte organizační zodpovědnost za správu a zabezpečení základních síťových funkcí, jako jsou propojení mezi místními sítěmi, virtuální sítě, podsítě a schémata IP adres, a také prvky zabezpečení sítě, jako jsou virtuální síťová zařízení, šifrování aktivit cloudových virtuálních sítí a přenosy mezi místními sítěmi, řízení přístupu na základě sítě a další tradiční komponenty zabezpečení sítě.

Referenční model

Začněte s tímto referenčním modelem a přizpůsobte ho potřebám vaší organizace. Tento model ukazuje, jak lze segmentovat funkce, prostředky a týmy.

Enterprise tenanta

Příklady segmentů

Zvažte izolování sdílených a jednotlivých prostředků, jak je znázorněno na předchozím obrázku.

Segment základních služeb

Tento segment hostuje sdílené služby využité v celé organizaci. Mezi tyto sdílené služby obvykle patří Active Directory Domain Services, DNS/DHCP a nástroje pro správu systému hostované na virtuálních počítačích Azure IaaS (Infrastruktura jako služba).

Další segmenty

Jiné segmenty mohou obsahovat seskupené prostředky na základě určitých kritérií. Například prostředky používané jednou konkrétní úlohou nebo aplikací mohou být obsaženy v samostatném segmentu. Můžete také segmentovat nebo dílčí segmentovat podle fáze životního cyklu, jako je vývoj, testování a produkce. Některé prostředky se můžou protnout, například aplikace, a můžou používat virtuální sítě pro fáze životního cyklu.

Jasné řádky odpovědnosti

Toto jsou hlavní funkce tohoto referenčního modelu. Oprávnění pro tyto funkce jsou popsaná v části Role a zodpovědnosti týmu.

Funkce Obor Odpovědnost
Správa zásad (základní a individuální segmenty) Některé nebo všechny prostředky. Monitorovat a vynucovat dodržování externích (nebo interních) předpisů, standardů a zásad zabezpečení přiřaďte příslušná oprávnění k příslušnými rolím.
Centrální provoz IT (jádro) Napříč všemi prostředky. Udělte centrálnímu oddělení IT (často týmu infrastruktury) oprávnění vytvářet, upravovat a odstraňovat prostředky, jako jsou virtuální počítače a úložiště.
Centrální skupina sítí (základní a jednotlivé segmenty) Všechny síťové prostředky. Centralizujte správu a zabezpečení sítě, abyste snížili potenciál nekonzistentních strategií, které vytvářejí potenciální bezpečnostní rizika zneužitelná útočníkem. Vzhledem k tomu, že všechny divize IT a vývojových organizací nemají stejnou úroveň správy sítě a znalostí a sofistikovanosti zabezpečení, těží organizace z využívání odborných znalostí a nástrojů centralizovaného síťového týmu.
Zajistěte konzistenci a vyhněte se technickým konfliktům, přiřaďte odpovědnost za síťové prostředky jedné centrální síťové organizaci. Tyto prostředky by měly zahrnovat virtuální sítě, podsítě, skupiny zabezpečení sítě (NSG) a virtuální počítače hostující virtuální síťová zařízení.
Oprávnění role prostředku (Core) - U většiny základních služeb se požadovaná oprávnění správce uděluje prostřednictvím aplikace (Active Directory, DNS/DHCP, Nástroje pro správu systému). Nejsou vyžadována žádná další oprávnění k prostředkům Azure. Pokud váš model organizace vyžaduje, aby tyto týmy spravují své vlastní virtuální počítače, úložiště nebo jiné prostředky Azure, můžete těmto rolím přiřadit tato oprávnění.
Operace zabezpečení (základní a jednotlivé segmenty) Všechny prostředky. Vyhodnoťte rizikové faktory, identifikujte potenciální zmírnění rizik a poradit zúčastněným stranám v organizaci, které toto riziko přijmou.
Provoz IT (jednotlivé segmenty) Všechny prostředky. Udělte oprávnění k vytváření, úpravám a odstraňování prostředků. Účel segmentu (a výsledných oprávnění) bude záviset na struktuře vaší organizace.
  • Segmenty s prostředky spravovanými centralizovanou IT organizací mohou centrálnímu ODDĚLENÍ IT (často týmu infrastruktury) udělit oprávnění k úpravám těchto prostředků.
  • Segmenty spravované nezávislými obchodními jednotkami nebo funkcemi (například IT týmem lidských zdrojů) mohou podniku udělit oprávnění ke všem prostředkům v segmentu.
  • Segmenty s autonomními DevOps týmy nemusí udělovat oprávnění napříč všemi prostředky, protože role prostředků (níže) uděluje oprávnění týmům aplikací. V případě nouzových situací použijte účet správce služby (prolomení účtu).
Správce služeb (základní a individuální segmenty) Roli správce služby používejte jenom pro nouzové situace (a v případě potřeby i při počátečním nastavení). Tuto roli nepoužívejte pro každodenní úlohy.

Další kroky

Začněte s tímto referenčním modelem a spravujte prostředky v různých předplatných konzistentně a efektivně pomocí skupin pro správu.

Skupiny pro správu