Doporučení pro vytvoření strategie segmentace

  • Článek

Platí pro doporučení kontrolního seznamu zabezpečení Well-Architected Framework:

Z:04 Vytvořte záměrnou segmentaci a perimetry v návrhu architektury a využití úloh na platformě. Strategie segmentace musí zahrnovat sítě, role a odpovědnosti, identity úloh a organizaci prostředků.

Segment je logická část vašeho řešení, kterou je potřeba zabezpečit jako jednu jednotku. Strategie segmentace definuje, jak by měla být jedna jednotka oddělena od ostatních jednotek pomocí vlastní sady požadavků na zabezpečení a opatření.

Tato příručka popisuje doporučení pro vytvoření sjednocené strategie segmentace. Pomocí hraničních a izolovaných hranic v úlohách můžete navrhnout přístup k zabezpečení, který vám bude vyhovovat.

Definice 

Období Definice
Členství ve skupině Technika, která obsahuje poloměr výbuchu, pokud útočník získá přístup k segmentu.
Přístup s nejnižšími oprávněními Princip nulová důvěra (Zero Trust), jehož cílem je minimalizovat sadu oprávnění k dokončení funkce úlohy.
Hranice Hranice důvěryhodnosti kolem segmentu.
Organizace prostředků Strategie seskupení souvisejících prostředků podle toků v rámci segmentu.
Role Sada oprávnění potřebná k dokončení funkce úlohy.
Segment Logická jednotka, která je izolovaná od jiných entit a chráněná sadou bezpečnostních opatření.

Klíčové strategie návrhu

Koncept segmentace se běžně používá pro sítě. Stejný základní princip ale můžete použít v celém řešení, včetně segmentace prostředků pro účely správy a řízení přístupu.

Segmentace vám pomůže navrhnout přístup k zabezpečení, který do hloubky aplikuje ochranu na základě principů nulová důvěra (Zero Trust) modelu. Ujistěte se, že útočník, který prolomí jeden segment sítě, nemůže získat přístup k jinému segmentování úloh s různými ovládacími prvky identity. V zabezpečeném systému blokují atributy identity a sítě neoprávněný přístup a skrývají zveřejnění prostředků. Tady je několik příkladů segmentů:

  • Předplatná, která izolují úlohy organizace
  • Skupiny prostředků, které izolují prostředky úloh
  • Prostředí nasazení, která izolují nasazení po fázích
  • Týmy a role, které izoluje pracovní funkce související s vývojem a správou úloh
  • Aplikační vrstvy, které izolují pomocí nástroje pro úlohy
  • Mikroslužby, které izolují jednu službu od jiné

Zvažte tyto klíčové prvky segmentace, abyste měli jistotu, že vytváříte komplexní strategii hloubkové obrany:

  • Hranice nebo perimetr je vstupní hrana segmentu, ve kterém používáte bezpečnostní prvky. Hraniční kontroly by měly blokovat přístup k segmentu, pokud to není explicitně povolené. Cílem je zabránit útočníkovi v prolomení hranice a získání kontroly nad systémem. Aplikační vrstva může například při zpracování požadavku přijmout přístupový token koncového uživatele. Datová vrstva ale může vyžadovat jiný přístupový token, který má konkrétní oprávnění, o které může požádat jenom aplikační vrstva.

  • Uzavření je výstupní hrana segmentu, která zabraňuje laterálnímu pohybu v systému. Cílem omezení je minimalizovat dopad porušení zabezpečení. Virtuální síť Azure se může například použít ke konfiguraci skupin zabezpečení sítě a směrování tak, aby povolovali pouze očekávané vzorce provozu a vyhnuli se tak provozu do libovolných segmentů sítě.

  • Izolace je postup seskupení entit s podobnými zárukami za účelem jejich ochrany s určitou hranicí. Cílem je snadná správa a omezení útoku v rámci prostředí. Můžete například seskupit prostředky, které souvisejí s konkrétní úlohou, do jednoho předplatného Azure a pak použít řízení přístupu, aby k předplatnému mohly přistupovat jenom týmy konkrétních úloh.

Je důležité si uvědomit rozdíl mezi perimetry a izolací. Perimetr označuje body umístění, které by se měly zkontrolovat. Izolace je o seskupování. Aktivní zahrnutí útoku pomocí těchto konceptů společně.

Izolace neznamená vytváření sil v organizaci. Jednotná strategie segmentace zajišťuje soulad mezi technickými týmy a stanoví jasné čáry odpovědnosti. Clarity snižuje riziko lidských chyb a selhání automatizace, které můžou vést k ohrožení zabezpečení, provoznímu výpadku nebo obojímu. Předpokládejme, že je v komponentě složitého podnikového systému zjištěno narušení zabezpečení. Je důležité, aby všichni pochopili, kdo je za daný prostředek zodpovědný, aby příslušná osoba byla zahrnuta do týmu pro třídění. Organizace a zúčastněné strany můžou rychle zjistit, jak reagovat na různé druhy incidentů vytvořením a dokumentováním vhodné strategie segmentace.

Kompromis: Segmentace přináší složitost, protože správa má režii. Je tu také kompromis v nákladech. Například více prostředků se zřídí, když jsou prostředí nasazení, která běží vedle sebe, segmentovaná.

Riziko: Mikrosegmentace nad rozumnou mez ztrácí výhodu izolace. Když vytvoříte příliš mnoho segmentů, bude obtížné identifikovat komunikační body nebo povolit platné komunikační cesty v rámci segmentu.

Identita jako vnější hranice

K segmentům úloh přistupují různé identity, jako jsou lidé, softwarové komponenty nebo zařízení. Identita je perimetr, který by měl být primární obrannou linií pro ověřování a autorizaci přístupu přes hranice izolace bez ohledu na to, odkud žádost o přístup pochází. Použijte identitu jako hraniční síť pro:

  • Přiřaďte přístup podle role. Identity potřebují přístup jenom k segmentům potřebným k jejich práci. Minimalizujte anonymní přístup tím, že budete rozumět rolím a zodpovědnostem žádající identity, abyste věděli o entitě, která žádá o přístup k segmentu, a k jakému účelu.

    Identita může mít různé obory přístupu v různých segmentech. Představte si typické nastavení prostředí se samostatnými segmenty pro každou fázi. Identity přidružené k roli vývojáře mají přístup pro čtení i zápis do vývojového prostředí. S přesunem nasazení do přípravného prostředí se tato oprávnění omezí. V době, kdy je úloha povýšena do produkčního prostředí, je rozsah pro vývojáře omezen na přístup jen pro čtení.

  • Zvažte identity aplikací a správy odděleně. Ve většině řešení mají uživatelé jinou úroveň přístupu než vývojáři nebo operátoři. V některých aplikacích můžete pro každý typ identity použít různé systémy identit nebo adresáře. Zvažte použití oborů přístupu a vytvoření samostatných rolí pro každou identitu.

  • Přiřaďte přístup s nejnižšími oprávněními. Pokud je identitě povolený přístup, určete úroveň přístupu. Začněte s nejnižšími oprávněními pro každý segment a rozšiřte tento rozsah pouze v případě potřeby.

    Použitím nejnižšího oprávnění omezíte negativní účinky, pokud je identita někdy ohrožena. Pokud je přístup omezený časově, prostor pro útok se dále zmenší. Časově omezený přístup se vztahuje zejména na kritické účty, jako jsou správci nebo softwarové komponenty, které mají ohroženou identitu.

Kompromis: Výkon úlohy může být ovlivněn hraničními sítěmi identit. Ověření každého požadavku explicitně vyžaduje další výpočetní cykly a další vstupně-výstupní operace sítě.

Řízení přístupu na základě role (RBAC) také vede k režijním nákladům na správu. Udržování přehledu o identitách a jejich rozsahech přístupu může být při přiřazení rolí složité. Alternativním řešením je přiřazovat role skupinám zabezpečení místo k jednotlivým identitám.

Riziko: Nastavení identity může být složité. Chybné konfigurace můžou ovlivnit spolehlivost úlohy. Předpokládejme například, že existuje chybně nakonfigurované přiřazení role, které má odepřený přístup k databázi. Požadavky začnou selhát, což nakonec způsobí problémy se spolehlivostí, které jinak nelze zjistit až do běhu.

Informace o ovládacích prvcích identit najdete v tématu Správa identit a přístupu.

Na rozdíl od řízení přístupu k síti identita ověřuje řízení přístupu v době přístupu. Důrazně doporučujeme provádět pravidelné kontroly přístupu a vyžadovat pracovní postup schválení, abyste získali oprávnění pro účty s kritickým dopadem. Podívejte se například na téma Vzory segmentace identit.

Sítě jako hraniční síť

Hranice identit jsou nezávislé na síti, zatímco hraniční sítě rozšiřují identitu, ale nikdy ji nenahrazuje. Hraniční sítě jsou zřízeny za účelem řízení poloměru výbuchu, blokování neočekávaného, zakázaného a nebezpečného přístupu a obfuskace prostředků úloh.

I když je primárním cílem hraniční sítě nejnižší úroveň oprávnění, měli byste předpokládat, že při návrhu hraniční sítě dojde k porušení zabezpečení.

Vytváření softwarově definovaných perimetrů ve vašich síťových prostorech pomocí služeb a funkcí Azure Když je úloha (nebo části dané úlohy) umístěna do samostatných segmentů, řídíte provoz z těchto segmentů nebo do těchto segmentů, abyste zajistili komunikační cesty. Pokud dojde k ohrožení zabezpečení segmentu, je obsažený a zabrání tomu, aby se laterálně rozšířil do zbytku vaší sítě.

Představte si jako útočníka, který má v rámci úlohy získat oporu a zavést kontrolní mechanismy pro minimalizaci dalšího rozšíření. Ovládací prvky by měly detekovat, obsahovat a bránit útočníkům v získání přístupu k celé úloze. Tady je několik příkladů řízení sítě jako hraniční sítě:

  • Definujte hraniční hraniční síť mezi veřejnými sítěmi a sítí, ve které je vaše úloha umístěná. Omezte viditelnost z veřejných sítí na vaši síť co nejvíce.
  • Implementujte demilitarizované zóny (DMZ) před aplikací se správnými ovládacími prvky prostřednictvím bran firewall.
  • Vytvořte mikrosegmentaci v rámci privátní sítě seskupením částí úloh do samostatných segmentů. Vytvořte mezi nimi zabezpečené komunikační cesty.
  • Vytvořit hranice na základě záměru. Například segmentace funkčních sítí úloh od provozních sítí.

Běžné vzory související se segmentací sítí najdete v tématu Vzorce segmentace sítí.

Kompromis: Kontrolní mechanismy zabezpečení sítě jsou často nákladné, protože jsou součástí prémiových skladových položek. Konfigurace pravidel pro brány firewall často vede k zahlcení složitosti, která vyžaduje rozsáhlé výjimky.

Privátní připojení mění návrh architektury a často přidávají další komponenty, jako jsou jumpboxy pro privátní přístup k výpočetním uzlům.

Vzhledem k tomu, že obvody sítě jsou založeny na řídicích bodech nebo segmentech směrování v síti, může být každý segment směrování potenciálním bodem selhání. Tyto body můžou mít vliv na spolehlivost systému.

Riziko: Síťové ovládací prvky jsou založené na pravidlech a existuje velká pravděpodobnost chybné konfigurace, což je problém se spolehlivostí.

Informace o ovládacích prvcích sítě najdete v tématu Sítě a připojení.

Role a povinnosti

Segmentace, která zabraňuje nejasnostem a bezpečnostním rizikům, se dosahuje jasným definováním zodpovědností v rámci týmu úloh.

Dokumentace a sdílení rolí a funkcí za účelem vytvoření konzistence a usnadnění komunikace Určete skupiny nebo jednotlivé role, které jsou zodpovědné za klíčové funkce. Před vytvořením vlastních rolí pro objekty zvažte předdefinované role v Azure.

Při přiřazování oprávnění segmentu zvažte konzistenci při přiřazování několika organizačních modelů. Tyto modely můžou mít rozsah od jedné centralizované skupiny IT až po většinou nezávislé TÝMY IT a DevOps.

Riziko: Členství ve skupinách se může v průběhu času měnit s tím, jak se zaměstnanci připojují k týmům, opouštějí je nebo mění role. Správa rolí napříč segmenty může mít za následek režijní náklady na správu.

Organizace prostředků

Segmentace umožňuje izolovat prostředky úloh od jiných částí organizace nebo dokonce v rámci týmu. Konstrukce Azure, jako jsou skupiny pro správu, předplatná, prostředí a skupiny prostředků, představují způsoby uspořádání prostředků, které podporují segmentaci. Tady je několik příkladů izolace na úrovni prostředků:

  • Polyglotní trvalost zahrnuje kombinaci technologií ukládání dat místo jediného databázového systému pro podporu segmentace. Použijte polyglotní trvalost k oddělení podle různých datových modelů, oddělení funkcí, jako je úložiště dat a analýza, nebo k oddělení podle vzorů přístupu.
  • Při uspořádání výpočetních prostředků přidělte pro každý server jednu službu. Tato úroveň izolace minimalizuje složitost a může pomoct útok omezit.
  • Azure poskytuje pro některé služby integrovanou izolaci, například oddělení výpočetních prostředků od úložiště. Další příklady najdete v tématu Izolace ve veřejném cloudu Azure.

Kompromis: Izolace prostředků může vést ke zvýšení celkových nákladů na vlastnictví. U úložišť dat může docházet ke složitosti a koordinaci při zotavení po havárii.

Usnadnění Azure

Některé služby Azure jsou k dispozici pro implementaci strategie segmentace, jak je uvedeno v následujících částech.

Identita

Azure RBAC podporuje segmentaci tím, že izoluje přístup podle funkcí úloh. Pro určité role a obory jsou povolené jenom určité akce. Například funkcím úloh, které potřebují jenom sledovat systém, je možné přiřadit oprávnění čtenáře oproti oprávněním přispěvatele, která identitě umožňují spravovat prostředky.

Další informace najdete v tématu Osvědčené postupy pro řízení přístupu na základě role.

Sítě

Diagram znázorňující možnosti sítě pro segmentaci

Virtuální sítě: Virtuální sítě poskytují omezení prostředků na úrovni sítě bez přidání provozu mezi dvěma virtuálními sítěmi. Virtuální sítě se vytvářejí v privátních adresních prostorech v rámci předplatného.

Skupiny zabezpečení sítě (NSG): Mechanismus řízení přístupu pro řízení provozu mezi prostředky ve virtuálních sítích a externími sítěmi, například internetem. Implementace tras definovaných uživatelem (UDR) pro řízení dalšího segmentu směrování provozu Skupiny zabezpečení sítě můžou vaši strategii segmentace přesunout na odstupňovanou úroveň vytvořením hraničních sítí pro podsíť, virtuální počítač nebo skupinu virtuálních počítačů. Informace o možných operacích s podsítěmi v Azure najdete v tématu Podsítě.

Skupiny zabezpečení aplikací (ASG): Skupiny zabezpečení aplikací umožňují seskupit sadu virtuálních počítačů pod značkou aplikace a definovat pravidla provozu, která se pak použijí na každý ze základních virtuálních počítačů.

Azure Firewall: Služba nativní pro cloud, kterou je možné nasadit ve virtuální síti nebo v nasazeních Azure Virtual WAN Hub. Pomocí Azure Firewall můžete filtrovat provoz mezi cloudovými prostředky, internetem a místními prostředky. Pomocí Azure Firewall nebo Azure Firewall Manageru můžete vytvořit pravidla nebo zásady, které povolí nebo zamítnou provoz pomocí ovládacích prvků vrstvy 3 až 7. Filtrujte internetový provoz pomocí Azure Firewall a třetích stran směrováním provozu přes poskytovatele zabezpečení třetích stran pro pokročilé filtrování a ochranu uživatelů. Azure podporuje nasazení síťových virtuálních zařízení, které pomáhá segmentovat brány firewall třetích stran.

Příklad

Tady jsou některé běžné vzory pro segmentování úloh v Azure. Vyberte si vzor podle svých potřeb.

Tento příklad vychází z prostředí informačních technologií (IT) vytvořeného ve standardních hodnotách zabezpečení (SE:01). Následující diagram znázorňuje segmentaci na úrovni skupiny pro správu prováděnou organizací.

Diagram znázorňující příklad strategie segmentace organizace pro různé úlohy

Vzory segmentace identit

Vzor 1: Seskupení na základě pozice

Jedním ze způsobů, jak uspořádat skupiny zabezpečení, je pracovní pozice, jako je softwarový inženýr, správce databází, technik spolehlivosti lokality, inženýr zajištění kvality nebo analytik zabezpečení. Tento přístup zahrnuje vytvoření skupin zabezpečení pro tým úloh na základě jejich rolí, aniž byste museli brát v úvahu práci, kterou je potřeba provést. Udělte skupinám zabezpečení oprávnění RBAC, ve stavu nebo jen v čase (JIT), a to podle jejich odpovědnosti v rámci úlohy. Přiřaďte skupinám zabezpečení principy člověka a služeb na základě jejich potřebného přístupu.

Členství je dobře viditelné na úrovni přiřazení role, takže snadno zjistíte, k čemu má role přístup. Každá osoba je obvykle členem pouze jedné skupiny zabezpečení, což usnadňuje onboarding a offboarding. Pokud se ale názvy pracovních pozic dokonale nepřekrývají s odpovědnostmi, není seskupení na základě názvu ideální pro implementaci s nejnižšími oprávněními. Možná zkombinujete implementaci se seskupením na základě funkcí.

Vzor 2: Seskupování na základě funkcí

Seskupování na základě funkcí je metoda organizace skupin zabezpečení, která odráží samostatnou práci, kterou je potřeba provést, a nebere v úvahu strukturu týmu. Díky tomuto vzoru udělíte skupinám zabezpečení oprávnění RBAC, podle potřeby stojící nebo JIT, a to podle jejich požadované funkce v úloze.

Přiřaďte skupinám zabezpečení principy člověka a služeb na základě jejich potřebného přístupu. Pokud je to možné, použijte existující homogenní skupiny jako členy skupin založených na funkcích, například skupiny ze vzoru 1. Mezi příklady skupin založených na funkcích patří:

  • Operátory produkční databáze
  • Předprodukční databázové operátory
  • Operátory obměně produkčních certifikátů
  • Operátory obměně certifikátů předprodukčními verzemi
  • Produkční živé pracoviště / třídění
  • Předprodukční veškerý přístup

Tento přístup udržuje nejpřísnější přístup s nejnižšími oprávněními a poskytuje skupiny zabezpečení tam, kde je rozsah zřejmý, což usnadňuje audit členství ve vztahu k plnění pracovních povinností. Často existuje předdefinované role Azure, která odpovídá této funkci úlohy.

Členství se ale abstrahuje alespoň v jedné vrstvě, abyste přešli na zprostředkovatele identity, abyste při pohledu z hlediska prostředků pochopili, kdo je ve skupině. Kromě toho musí mít jedna osoba více členů, aby bylo plně pokryto. Matice překrývajících se skupin zabezpečení může být složitá.

Vzor 2 se doporučuje, aby se fokus zaměřil na vzory přístupu, nikoli na organizační diagram. Organizační diagramy a role členů se někdy mění. Zachycení správy identit a přístupu úloh z funkčního hlediska vám umožní abstrahovat týmovou organizaci od zabezpečené správy úloh.

Vzory segmentace sítí

Vzor 1: Segmentace v rámci úlohy (měkké hranice)

Diagram znázorňující jednu virtuální síť

V tomto modelu se úloha umístí do jedné virtuální sítě pomocí podsítí k označení hranic. Segmentace se dosahuje pomocí dvou podsítí, jedné pro databázi a jedné pro webové úlohy. Musíte nakonfigurovat skupiny zabezpečení sítě, které umožňují podsíti 1 komunikovat pouze s podsítí 2 a podsítí 2, aby komunikovali pouze s internetem. Tento model poskytuje řízení úrovně 3.

Vzor 2: Segmentace v rámci úlohy

Diagram znázorňující více virtuálních sítí

Tento model je příkladem segmentace na úrovni platformy. Omponenti úloh c jsou rozloženi do více sítí, aniž by mezi nimi museli být partnerský vztah. Veškerá komunikace je směrována přes zprostředkovatele, který slouží jako veřejný přístupový bod. Tým úloh vlastní všechny sítě.

Model 2 poskytuje omezení, ale má větší složitost správy a velikosti virtuální sítě. Komunikace mezi těmito dvěma sítěmi probíhá přes veřejný internet, což může být riziko. U veřejných připojení je také latence. Tyto dvě sítě však mohou být v partnerském vztahu, které přeruší segmentaci tím, že je propojí, aby se vytvořil větší segment. Peering by se měl provádět, pokud nejsou potřeba žádné další veřejné koncové body.

Požadavky Vzor 1 Vzor 2
Připojení a směrování: Způsob komunikace jednotlivých segmentů Systémové směrování poskytuje výchozí připojení ke komponentám úloh. S úlohou nemůže komunikovat žádná externí komponenta. V rámci virtuální sítě, stejně jako vzor 1.
Mezi sítěmi prochází provoz přes veřejný internet. Mezi sítěmi není žádné přímé připojení.
Filtrování provozu na úrovni sítě Provoz mezi segmenty je ve výchozím nastavení povolený. K filtrování provozu použijte skupiny zabezpečení sítě nebo skupiny zabezpečení sítě. V rámci virtuální sítě, stejně jako vzor 1.
Mezi sítěmi můžete filtrovat příchozí i výchozí provoz přes bránu firewall.
Nechtěně otevřené veřejné koncové body Síťové karty nezískujou veřejné IP adresy. Virtuální sítě nejsou vystavené službě Internet API Management. Stejné jako vzor 1. Zamýšlený otevřený veřejný koncový bod v jedné virtuální síti, který může být nesprávně nakonfigurovaný tak, aby přijímal více přenosů.

Organizace prostředků

Uspořádání prostředků Azure na základě odpovědnosti za vlastnictví

Diagram majetku Azure, který obsahuje více úloh

Představte si aktiva Azure, která obsahuje více úloh a součástí sdílených služeb, jako jsou virtuální sítě centra, brány firewall, služby identit a služby zabezpečení, jako je Microsoft Sentinel. Komponenty v rámci majetku by měly být seskupené podle jejich funkčních oblastí, úloh a vlastnictví. Například sdílené síťové prostředky by měly být seskupeny do jednoho předplatného a spravovány síťovým týmem. Komponenty, které jsou vyhrazené pro jednotlivé úlohy, by měly být ve vlastním segmentu a mohly by být dále rozdělené na základě aplikačních úrovní nebo jiných organizačních principů.

Udělte přístup ke správě prostředků v jednotlivých segmentech vytvořením přiřazení rolí RBAC. Například tým pro cloudové sítě může mít přístup pro správu k předplatnému, které obsahuje jeho prostředky, ale ne k jednotlivým předplatným úloh.

Dobrá strategie segmentace umožňuje snadno identifikovat vlastníky jednotlivých segmentů. Zvažte použití značek prostředků Azure k přidávání poznámek ke skupinám prostředků nebo předplatným s týmem vlastníka.

Konfigurace a kontrola řízení přístupu

Udělte odpovídající přístup na základě potřeby tím, že jasně definujete segmenty pro vaše prostředky.

Při definování zásad řízení přístupu zvažte princip nejnižších oprávnění. Je důležité rozlišovat mezi operacemi řídicí roviny (správa samotného prostředku) a operacemi roviny dat (přístup k datům uloženým prostředkem). Předpokládejme například, že máte úlohu, která obsahuje databázi s citlivými informacemi o zaměstnanech. Přístup ke správě můžete udělit některým uživatelům, kteří potřebují konfigurovat nastavení, jako jsou zálohování databází, nebo uživatelům, kteří monitorují výkon databázového serveru. Tito uživatelé by ale neměli mít možnost dotazovat se na citlivá data uložená v databázi. Vyberte oprávnění, která uživatelům udělují minimální rozsah potřebný k plnění jejich povinností. Pravidelně kontrolujte přiřazení rolí pro každý segment a odeberte přístup, který už není potřeba.

Poznámka

Některé vysoce privilegované role, jako je role vlastníka v RBAC, umožňují uživatelům udělit přístup k prostředku jiným uživatelům. Omezte počet uživatelů nebo skupin, kteří mají přiřazenou roli vlastníka, a pravidelně kontrolujte protokoly auditu, abyste měli jistotu, že provádějí pouze platné operace.

Kontrolní seznam zabezpečení

Projděte si kompletní sadu doporučení.

Kontrolní seznam zabezpečení