Segmentatiestrategieën

  • Artikel
  • 4 minuten om te lezen

Segmentatie verwijst naar de isolatie van resources van andere onderdelen van de organisatie. Het is een effectieve manier om aanvallende verplaatsingen te detecteren en te bevatten.

Een benadering van segmentering is netwerkisolatie. Deze aanpak wordt niet aanbevolen omdat verschillende technische teams mogelijk niet zijn afgestemd op de zakelijke use cases en toepassingsworkloads. Een van de resultaten van een dergelijke niet-overeenkomende netwerkverbinding is complexiteit, zoals met name bij on-premises netwerken, en kan leiden tot lagere snelheid, of in slechtere gevallen, brede netwerkfirewalluitzonderingen. Hoewel netwerkbeheer moet worden beschouwd als een segmentatiestrategie, moet het deel uitmaken van een geïntegreerde segmentatiestrategie.

Netwerkbeveiliging is de traditionele spil van zakelijke beveiligingsinspanningen. Cloud-computing heeft echter de behoefte aan netwerkperimeters vergroot en veel aanvallers hebben de kunst van aanvallen op elementen van het identiteitssysteem onder de knie (waardoor netwerkbesturingselementen bijna altijd worden overgeslagen). Door deze factoren is het meer nodig om zich voornamelijk te richten op toegangsbesturingselementen op basis van identiteit om resources te beveiligen in plaats van toegangsbesturingselementen op basis van het netwerk.

Een effectieve segmentatiestrategie helpt alle technische teams (IT, beveiliging, toepassingen) om de toegang consistent te isoleren met behulp van netwerken, toepassingen, identiteit en andere toegangsbesturingselementen. De strategie moet zijn gericht op:

  • Operationele frictie minimaliseren door af te stemmen op zakelijke procedures en toepassingen
  • Risico's beperken door kosten toe te voegen aan aanvallers. Dit wordt gedaan door:
    • Gevoelige workloads isoleren tegen schendingen door andere assets.
    • Het isoleren van systemen met hoge blootstelling van het gebruik als draaipunt naar andere systemen.
  • Bemonitor bewerkingen die kunnen leiden tot mogelijke schending van de integriteit van de segmenten (accountgebruik, onverwacht verkeer).

Hier volgen enkele aanbevelingen voor het maken van een geïntegreerde strategie:

  • Zorg voor afstemming van technische teams op één strategie op basis van het beoordelen van bedrijfsrisico's.
  • Stel een moderne perimeter tot stand op basis van zero trust-principes, gericht op identiteit, apparaten, toepassingen en andere signalen. Dit helpt bij het omzeilen van beperkingen van netwerkbesturingselementen bij de bescherming tegen nieuwe resources en aanvalstypen.
  • Netwerkbesturingselementen voor oudere toepassingen versterken door microsegmentatiestrategieën te verkennen.
  • Centraliseer de verantwoordelijkheid van de organisatie voor het beheer en de beveiliging van kernnetwerkfuncties, zoals cross-premises koppelingen, virtuele netwerken, subnetten en IP-adresschema's, evenals netwerkbeveiligingselementen zoals virtuele netwerkapparaten, versleuteling van virtuele netwerkactiviteit in de cloud en cross-premises verkeer, toegangsbeheer op basis van het netwerk en andere traditionele netwerkbeveiligingsonderdelen.

Referentiemodel

Begin met dit referentiemodel en pas het aan de behoeften van uw organisatie aan. Dit model laat zien hoe functies, resources en teams kunnen worden gesegmenteerd.

Enterprise-tenant

Voorbeeldsegmenten

Overweeg om gedeelde en afzonderlijke resources te isoleren, zoals wordt weergegeven in de voorgaande afbeelding.

Segment Core Services

Dit segment host gedeelde services die in de hele organisatie worden gebruikt. Deze gedeelde services omvatten doorgaans Active Directory Domain Services, DNS/DHCP en systeembeheerprogramma's die worden gehost op virtuele IaaS-machines (Infrastructure as a Service).

Aanvullende segmenten

Andere segmenten kunnen gegroepeerde resources bevatten op basis van bepaalde criteria. Resources die worden gebruikt door een specifieke workload of toepassing, kunnen bijvoorbeeld worden opgenomen in een afzonderlijk segment. U kunt ook segmenteren of subsegmenteren op levenscyclusfase, zoals ontwikkeling, testen en productie. Sommige resources kunnen elkaar kruisen, zoals toepassingen, en kunnen virtuele netwerken gebruiken voor levenscyclusfasen.

Duidelijke regels van verantwoordelijkheid

Dit zijn de belangrijkste functies voor dit referentiemodel. Machtigingen voor deze functies worden beschreven in Teamrollen en verantwoordelijkheden.

Functie Bereik Verantwoordelijkheid
Beleidsbeheer (kernsegmenten en afzonderlijke segmenten) Sommige of alle resources. Controleer en dwing naleving van externe (of interne) voorschriften, standaarden en beveiligingsbeleid af en wijs de juiste machtigingen toe aan deze rollen.
Centrale IT-activiteiten (Core) Voor alle resources. Verleen machtigingen aan de centrale IT-afdeling (vaak het infrastructuurteam) om resources zoals virtuele machines en opslag te maken, te wijzigen en te verwijderen.
Centrale netwerkgroep (kernsegmenten en afzonderlijke segmenten) Alle netwerkbronnen. Centraliseer netwerkbeheer en -beveiliging om de kans op inconsistente strategieën te verminderen die potentiële misbruikbare beveiligingsrisico's voor aanvallers tot zich meebrengen. Omdat alle afdelingen van de IT- en ontwikkelingsorganisaties niet hetzelfde niveau van netwerkbeheer en beveiligingskennis en verfijning hebben, profiteren organisaties van het gebruik van de expertise en hulpprogramma's van een gecentraliseerd netwerkteam.
Zorg voor consistentie en voorkom technische conflicten en wijs de verantwoordelijkheden van netwerkresources toe aan één centrale netwerkorganisatie. Deze resources moeten virtuele netwerken, subnetten, netwerkbeveiligingsgroepen (NSG's) en de virtuele machines bevatten die virtuele netwerkapparaten hosten.
Machtigingen voor resourcerol (Core) - Voor de meeste kernservices worden beheerdersbevoegdheden verleend via de toepassing (Active Directory, DNS/DHCP, Systeembeheerprogramma's). Er zijn geen extra Azure-resourcemachtigingen vereist. Als uw organisatiemodel vereist dat deze teams hun eigen VM's, opslag of andere Azure-resources beheren, kunt u deze machtigingen toewijzen aan deze rollen.
Beveiligingsbewerkingen (kernsegmenten en afzonderlijke segmenten) Alle resources. Evalueer risicofactoren, identificeer mogelijke oplossingen en adviseer belanghebbenden binnen de organisatie die het risico accepteren.
IT-bewerkingen (afzonderlijke segmenten) Alle resources. Verleen machtigingen voor het maken, wijzigen en verwijderen van resources. Het doel van het segment (en de resulterende machtigingen) is afhankelijk van de structuur van uw organisatie.
  • Segmenten met resources die worden beheerd door een gecentraliseerde IT-organisatie kunnen de centrale IT-afdeling (vaak het infrastructuurteam) toestemming geven om deze resources te wijzigen.
  • Segmenten die worden beheerd door onafhankelijke bedrijfseenheden of functies (zoals een HUMAN Resources IT-team) kunnen deze teams toestemming geven voor alle resources in het segment.
  • Segmenten met autonome DevOps-teams hoeven geen machtigingen te verlenen voor alle resources, omdat de resourcerol (hieronder) machtigingen verleent aan toepassingsteams. Gebruik voor noodsituaties het servicebeheerdersaccount (break-glass-account).
Servicebeheerder (Core en afzonderlijke segmenten) Gebruik de servicebeheerdersrol alleen voor noodsituaties (en de initiële installatie indien nodig). Gebruik deze rol niet voor dagelijkse taken.

Volgende stappen

Begin met dit referentiemodel en beheer resources in meerdere abonnementen consistent en efficiënt met beheergroepen.

Beheergroepen