Segmenteringsstrategier

  • Artikel
  • 4 minuter för att läsa

Segmentering syftar på isolering av resurser från andra delar av organisationen. Det är ett effektivt sätt att identifiera och innehålla angripares rörelser.

En metod för segmentering är nätverksisolering. Den här metoden rekommenderas inte eftersom olika tekniska team kanske inte är anpassade till företagsanvändningsfall och programarbetsbelastningar. Ett resultat av en sådan matchningsfel är komplexitet, som särskilt ses med lokala nätverk, och kan leda till minskad hastighet, eller i värsta fall, breda undantag i nätverksbrandväggen. Även om nätverkskontrollen bör betraktas som en segmenteringsstrategi bör den ingå i en enhetlig segmenteringsstrategi.

Nätverkssäkerhet har varit den traditionella grundpelaren i företagets säkerhetsarbete. Molnbaserad databehandling har dock ökat kravet på att nätverks perimeterer ska vara mer sporadiska och många angripare har bemästrat hur attacker på identitetssystemelement kan angripas (som nästan alltid kringgår nätverkskontroller). Dessa faktorer har ökat behovet av att fokusera främst på identitetsbaserade åtkomstkontroller för att skydda resurser i stället för nätverksbaserade åtkomstkontroller.

En effektiv segmenteringsstrategi hjälper alla tekniska team (IT, säkerhet, program) att konsekvent isolera åtkomst med hjälp av nätverk, program, identiteter och andra åtkomstkontroller. Strategin bör ha som mål att:

  • Minimera friktionen i verksamheten genom att anpassa till affärsmetoder och program
  • Begränsa risken genom att lägga till kostnader för angripare. Detta görs genom att:
    • Isolera känsliga arbetsbelastningar från kompromettering av andra tillgångar.
    • Isolera system med hög exponering från att användas som en pivot i andra system.
  • Övervaka åtgärder som kan leda till potentiella överträdelser av segmentens integritet (kontoanvändning, oväntad trafik).

Här är några rekommendationer för att skapa en enhetlig strategi:

  • Se till att tekniska team kan anpassa sig till en enda strategi baserat på utvärdering av affärsrisker.
  • Upprätta en modern perimeter baserat på nollförtroendeprinciper som fokuserar på identitet, enheter, program och andra signaler. Detta hjälper dig att lösa begränsningar i nätverkskontroller för att skydda mot nya resurser och angreppstyper.
  • Förstärka nätverkskontroller för äldre program genom att utforska mikrosegmenteringsstrategier.
  • Centralisera organisationens ansvar för hantering och säkerhet av kärnnätverksfunktioner, till exempel korslokala länkar, virtuella nätverk, undernät och IP-adressscheman samt nätverkssäkerhetselement som virtuella nätverksenheter, kryptering av aktivitet för virtuellt molnnätverk och trafik mellan platser, nätverksbaserade åtkomstkontroller och andra traditionella nätverkssäkerhetskomponenter.

Referensmodell

Börja med den här referensmodellen och anpassa den efter organisationens behov. Den här modellen visar hur funktioner, resurser och team kan segmenteras.

Företagsklientorganisation

Exempelsegment

Överväg att isolera delade och enskilda resurser som visas i föregående bild.

Segment för Kärntjänster

Det här segmentet är värd för delade tjänster som används i hela organisationen. Dessa delade tjänster omfattar vanligtvis Active Directory Domain Services, DNS/DHCP och systemhanteringsverktyg som finns på virtuella IaaS-datorer (Infrastruktur som en tjänst) i Azure.

Ytterligare segment

Andra segment kan innehålla grupperade resurser baserat på vissa kriterier. Resurser som används av en viss arbetsbelastning eller ett program kan till exempel finnas i ett separat segment. Du kan också segmentera eller undersegment efter livscykelfas, till exempel utveckling,testoch produktion. Vissa resurser kan överse med varandra, till exempel program, och kan använda virtuella nätverk för livscykelfaser.

Rensa ansvarsrader

Det här är huvudfunktionerna för den här referensmodellen. Behörigheter för dessa funktioner beskrivs i Teamroller och ansvarsområden.

Funktion Omfång Ansvar
Principhantering (kärnsegment och enskilda segment) Vissa eller alla resurser. Övervaka och framtvinga efterlevnad av externa (eller interna) föreskrifter, standarder och säkerhetspolicyer och tilldela lämplig behörighet till dessa roller.
Central IT-drift (Kärna) För alla resurser. Bevilja behörigheter till den centrala IT-avdelningen (ofta infrastrukturteamet) för att skapa, ändra och ta bort resurser som virtuella datorer och lagring.
Central nätverksgrupp (kärnsegment och enskilda segment) Alla nätverksresurser. Centralisera nätverkshantering och säkerhet för att minska risken för inkonsekventa strategier som skapar potentiella säkerhetsrisker som angriparen kan utnyttja. Eftersom alla avdelningar inom IT och utveckling inte har samma nivå av nätverkshantering och kunskap om säkerhet och kunskap om säkerhet, drar organisationer nytta av att utnyttja ett centraliserat nätverksteams expertis och verktyg.
Säkerställ konsekvens och undvik tekniska konflikter och tilldela nätverksresursansvar till en enda central nätverksorganisation. Dessa resurser bör omfatta virtuella nätverk, undernät, nätverkssäkerhetsgrupper (NSG) och virtuella datorer som är värdar för virtuella nätverksutrustning.
Behörigheter för resursroller (kärna) - För de flesta kärntjänster beviljas administrativa behörigheter som krävs via programmet (Active Directory, DNS/DHCP, System Management Tools). Inga ytterligare Azure-resursbehörigheter krävs. Om din organisationsmodell kräver att dessa team hanterar sina egna virtuella datorer, lagring eller andra Azure-resurser kan du tilldela dessa behörigheter till dessa roller.
Säkerhetsåtgärder (kärnsegment och enskilda segment) Alla resurser. Utvärdera riskfaktorer, identifiera potentiella åtgärder och ge råd till organisationens intressenter som accepterar risken.
IT-drift (enskilda segment) Alla resurser. Bevilja behörighet att skapa, ändra och ta bort resurser. Syftet med segmentet (och resulterande behörigheter) beror på din organisationsstruktur.
  • Segment med resurser som hanteras av en central IT-organisation kan ge den centrala IT-avdelningen (ofta infrastrukturteamet) behörighet att ändra dessa resurser.
  • Segment som hanteras av oberoende affärsenheter eller funktioner (till exempel ett IT-team för personalavdelningen) kan ge dessa team behörighet till alla resurser i segmentet.
  • Segment med autonoma DevOps-team behöver inte bevilja behörigheter för alla resurser eftersom resursrollen (nedan) ger behörighet till programteamen. Använd tjänstadministratörskontot (nödkonto) för att få hjälp.
Tjänstadministratör (kärnsegment och enskilda segment) Använd endast tjänstadministratörsrollen för fjärrer (och inledande konfiguration om det behövs). Använd inte den här rollen för dagliga uppgifter.

Nästa steg

Börja med den här referensmodellen och hantera resurser över flera prenumerationer konsekvent och effektivt med hanteringsgrupper.

Hanteringsgrupper