Segmentasyon stratejileri
Segmentleme, kuruluşun diğer parçalarından kaynakların yalıtımına başvurur. Bu, reklam taşımalarını algılayarak ve kapsayan etkili bir yoldur.
Kesimlemeye yönelik bir yaklaşım, ağ yalıtımıdır. Farklı teknik takımlar iş kullanım örnekleri ve uygulama iş yükleri ile hizalanamadığından, bu yaklaşım önerilmez. Bu tür uyuşmazlığın bir sonucu, özellikle de şirket içi ağlarda görülen karmaşıklıklardır ve daha az hız veya daha kötü durumlarda ağ güvenlik duvarı özel durumları olabilir. Ağ denetimi bir segmentasyon stratejisi olarak değerlendirilmelidir, ancak birleştirilmiş bir segmentasyon stratejisinin bir parçası olmalıdır.
Ağ güvenliği, kurumsal güvenlik çabalarının geleneksel linkipin 'i oldu. Ancak, bulut bilgi işlem, ağ duvarlar 'ın daha fazla bağlantı noktası olması gereksinimini artırmıştır ve birçok saldırganlar, kimlik sistemi öğelerinde (neredeyse her zaman ağ denetimlerini atlayarak) saldırı sanatı için ana bilgisayar sağlar. Bu faktörler, ağ tabanlı erişim denetimleri yerine kaynakları korumak için öncelikle kimlik tabanlı erişim denetimlerine odaklanma ihtiyacını artırmıştır.
Etkili bir segmentasyon stratejisi, Tüm teknik TAKıMLARıN (BT, güvenlik, uygulamalar) ağ, uygulamalar, kimlik ve diğer erişim denetimleri kullanarak erişimi tutarlı bir şekilde yalıtmak için kılavuzluk eder. Strateji şunları hedeflemelidir:
- İş uygulamalarına ve uygulamalarına göre işlemsel savunma 'yı en aza indirin
- Saldırganlar için maliyet ekleyerek risk içerir. Bu işlem şu şekilde yapılır:
- Gizli iş yüklerini diğer varlıklar tarafından tehlikeye ayırarak yalıtma.
- Yüksek pozlama sistemlerini diğer sistemlere bir Özet olarak kullanılmak üzere yalıtma.
- Parçaların bütünlüğünden (hesap kullanımı, beklenmeyen trafik) olası ihlaline neden olabilecek işlemleri izleyin.
Birleşik strateji oluşturmaya yönelik bazı öneriler aşağıda verilmiştir:
- Teknik takımların iş risklerini değerlendirmesine göre tek bir stratejiye hizalanmasına emin olun.
- Kimlik, cihaz, uygulama ve diğer sinyallere odaklanan, sıfır güvenine dayalı ilkeleri temel alan modern bir çevre oluşturun. Bu, yeni kaynaklardan ve saldırı türlerinden korumaya yönelik ağ denetimlerinin sınırlamalarını ortadan kaldırmanıza yardımcı olur.
- Mikro segmentleme stratejilerini inceleyerek, eski uygulamalar için ağ denetimlerini tekrar zorlayın.
- Şirket içi bağlantılar, sanal ağ, alt ağ oluşturma ve IP adresi şemaları gibi çekirdek ağ işlevlerinin yanı sıra sanal ağ gereçleri, bulut sanal ağ etkinliği ve şirket içi trafik, ağ tabanlı erişim denetimleri ve diğer geleneksel ağ güvenliği bileşenleri gibi ağ güvenlik öğelerinin yönetimi ve güvenliği için kuruluş sorumluluğunu merkezileştirin.
Başvuru modeli
Bu başvuru modeliyle başlayın ve kuruluşunuzun ihtiyaçlarına uygun hale gelir. Bu model işlevleri, kaynakları ve takımları nasıl segmentlenebilir gösterir.
Örnek segmentler
Önceki görüntüde gösterildiği gibi paylaşılan ve bireysel kaynakları yalıtmayı göz önünde bulundurun.
Çekirdek Hizmetleri segmenti
Bu segment, kuruluş genelinde kullanılan paylaşılan hizmetleri barındırır. Bu paylaşılan hizmetler genellikle Azure hizmet olarak altyapı (IaaS) sanal makinelerinde barındırılan Active Directory Domain Services, DNS/DHCP ve sistem yönetim araçlarını içerir.
Ek segmentler
Diğer segmentler, belirli ölçütlere göre gruplandırılmış kaynaklar içerebilir. Örneğin, belirli bir iş yükü veya uygulama tarafından kullanılan Kaynaklar ayrı bir kesimde bulunabilir. Geliştirme, Testve Üretimgibi yaşam döngüsü aşamasına göre de segmenti veya alt segmenti de seçebilirsiniz. Bazı kaynaklar, uygulamalar gibi olabilir ve yaşam döngüsü aşamaları için sanal ağları kullanabilir.
Sorumluluk satırlarını temizle
Bunlar, bu başvuru modeli için ana işlevlerdir. Bu işlevlerin izinleri ekip rolleri ve sorumluluklarıbölümünde açıklanmıştır.
| İşlev | Kapsam | Ğuna |
|---|---|---|
| İlke yönetimi (çekirdek ve bireysel segmentler) | Kaynakların bazıları veya tümü. | Dış (veya dahili) yönetmelikler, standartları ve güvenlik ilkesiyle uyumluluğu izleyin ve uygulayın, bu rollere uygun izinleri atayın. |
| Merkezi BT işlemleri (çekirdek) | Tüm kaynaklar üzerinde. | Sanal makineler ve depolama gibi kaynakları oluşturmak, değiştirmek ve silmek için merkezi BT departmanına (genellikle altyapı ekibi) izin verin. |
| Merkezi ağ grubu (çekirdek ve bireysel segmentler) | Tüm ağ kaynakları. | Potansiyel olarak kötü niyetli saldırgan güvenlik riskleri oluşturan tutarsız stratejilerin potansiyelini azaltmak için ağ yönetimi ve güvenliğini merkezileştirin. BT ve geliştirme kuruluşlarının tüm bölümleri aynı ağ yönetimi ve güvenlik bilgisi ve gelişmiş algoritmaların mümkündür sahip olmadığından, kuruluşlar merkezi bir ağ ekibinin uzmanlığını ve araçlarını kullanmanın avantajlarından yararlanır. Tutarlılık sağlayın ve teknik çakışmaları önleyin, ağ kaynak sorumluluklarını tek bir merkezi ağ kuruluşuna atayın. Bu kaynaklar sanal ağları, alt ağları, ağ güvenlik gruplarını (NSG) ve sanal ağ gereçlerini barındıran sanal makineleri içermelidir. |
| Kaynak rolü izinleri (çekirdek) | - | Çoğu çekirdek hizmeti için, gerekli yönetim ayrıcalıkları uygulama (Active Directory, DNS/DHCP, sistem yönetim araçları) aracılığıyla verilir. Ek Azure Kaynak izinleri gerekli değildir. Kuruluş modeliniz bu takımların kendi VM 'lerini, depolamayı veya diğer Azure kaynaklarını yönetmesini gerektiriyorsa, bu izinleri bu rollere atayabilirsiniz. |
| Güvenlik işlemleri (çekirdek ve bireysel segmentler) | Tüm kaynaklar. | Risk etmenlerini değerlendirin, olası azaltmaları yapın ve riski kabul eden kurumsal katılımcıları izleyin. |
| BT işlemleri (bireysel segmentler) | Tüm kaynaklar. | Kaynakları oluşturmak, değiştirmek ve silmek için izin verin. Segmentin amacı (ve sonuçta elde edilen izinler), kuruluşunuzun yapısına bağlı olacaktır.
|
| Hizmet Yöneticisi (çekirdek ve bağımsız segmentler) | Hizmet Yöneticisi rolünü yalnızca acil durumlar için (gerekirse ilk kurulum) kullanın. Günlük görevler için bu rolü kullanmayın. |
Sonraki adımlar
Yönetim gruplarıyla, bu başvuru modeliyle başlayın ve kaynakları birden çok abonelik genelinde tutarlı ve verimli bir şekilde yönetin.