Начало работы с проектированием архитектуры безопасности

Безопасность является одним из наиболее важных аспектов любой архитектуры. Эффективные меры безопасности защищают конфиденциальность, целостность и доступность данных и систем от преднамеренного нападения и злоупотреблений.

Azure предоставляет множество средств и возможностей безопасности, включая следующие ключевые службы:

• Microsoft Defender для облака обеспечивает управление безопасностью в облаке (CSPM) и защиту облачных рабочих нагрузок (CWP). Он оценивает ваши ресурсы для соответствия требованиям безопасности, предоставляет индекс безопасности для отслеживания состояния и предлагает защиту от угроз в Azure, на локальных и рабочих нагрузках в многоблачной среде.

• Microsoft Entra ID — это Microsoft облачная служба управления удостоверениями и доступом (IAM). Он предоставляет единый вход (SSO), многофакторную проверку подлинности (MFA) и условный доступ для защиты от атак на основе удостоверений.

• Azure Front Door — это глобальная точка входа для веб-приложений. Он предоставляет встроенный брандмауэр веб-приложения (WAF) для защиты от распространенных эксплойтов и уязвимостей, защиты от атак DDoS и окончания TLS на границе сети.

• Брандмауэр Azure — это брандмауэр облачной сети, поддерживающий фильтрацию на основе аналитики угроз, обнаружение и предотвращение вторжений (IDPS) на уровне Premium, проверку TLS и полное доменное имя (FQDN).

• Azure Key Vault обеспечивает централизованное управление секретами, управление ключами и управление сертификатами. Уровень "Премиум" предлагает аппаратный модуль безопасности (HSM), защищенный ключами, проверенными в соответствии со стандартами федеральной обработки информации (FIPS) 140-3 уровня 3.

• Приватный канал Azure позволяет получать доступ к решениям Azure как услуга (PaaS) через частную конечную точку в виртуальной сети. Этот подход сохраняет трафик в магистральной сети Microsoft и устраняет воздействие общего Интернета.

• Шлюз приложений Azure — это региональная подсистема балансировки нагрузки веб-трафика, которая включает межсетевой экран (WAF), защищающий от 10 наиболее значимых уязвимостей по версии Open Worldwide Application Security Project (OWASP), смягчение бот-угроз и пользовательские правила.

• Политика Azure позволяет применять стандарты организации, оценивать соответствие по масштабу и применять сторожевые средства, которые предотвращают несоответствующие конфигурации ресурсов.

Дополнительные сведения о средствах и возможностях системы безопасности Azure см. в разделе Сквозная безопасность в Azure.

Architecture

Скачайте файл Visio для этой архитектуры.

На предыдущей схеме показана типичная базовая реализация безопасности. Архитектура демонстрирует, как сервисы безопасности Azure взаимодействуют для защиты рабочих нагрузок при помощи удостоверений, сетей, данных и приложений. Реальные решения, которые можно создавать в Azure, см. в разделе Example solutions.

Сведения о безопасности Azure

Microsoft Learn предоставляет бесплатный онлайн-обучение для технологий безопасности Azure. Платформа предлагает видео, учебники и интерактивные лаборатории для конкретных продуктов и служб, а также пути обучения, организованные по роли задания.

Следующие ресурсы предоставляют базовые знания для реализации безопасности на Azure.

Основы безопасности: Следующие учебные пути охватывают основные понятия безопасности и функции безопасности Azure:

• Общие сведения о безопасности, соответствии и концепции удостоверений
• Introduction to Microsoft Entra
• Введение в решения безопасности Microsoft

Безопасность сети: Следующий путь обучения охватывает безопасность виртуальной сети, сегментацию сети и безопасное подключение.

• Настройте безопасный доступ к рабочим нагрузкам с помощью виртуальной сети Azure

Защита данных: Следующий путь обучения охватывает шифрование, управление ключами и безопасность приложений:

• Обеспечьте безопасность ваших облачных приложений в Azure

Защита от угроз: Следующий путь обучения охватывает обнаружение угроз, исследование и ответ:

• Уменьшите угрозы с помощью Microsoft Defender для облака

Пути обучения по роли

Microsoft Learn предлагает пути сертификации на основе ролей для специалистов по безопасности:

• Сертифицированный Microsoft: Инженер по безопасности Azure (AZ-500)

  Note

  Сертификация AZ-500 прекращена 31 августа 2026 года. Проверьте страницу сертификации для получения последних сведений.

• Сертифицированный специалист Microsoft: аналитик по операциям безопасности (SC-200)

• Сертифицированный эксперт Microsoft: архитектор кибербезопасности (SC-100)

Готовность организации

Организации, начинающие внедрение облака, могут использовать Cloud Adoption Framework для Azure, чтобы получить доступ к проверенным рекомендациям, которые ускоряют внедрение облака. Методология Cloud Adoption Framework Secure обеспечивает структурированный подход для защиты Azure облачных активов. Он предоставляет рекомендации по обеспечению безопасности в рамках стратегии, планирования, готовности, внедрения, управления и операций.

Azure система управления устанавливает средства, необходимые для поддержки управления облаком, аудита соответствия требованиям и автоматической защиты. Дополнительные сведения см. в руководстве по проектированию управления в Azure.

Чтобы обеспечить качество решения для обеспечения безопасности в Azure, следуйте инструкциям Azure Well-Architected Framework. Платформа Well-Architected дает рекомендации для организаций, стремящихся к достижению архитектурного совершенства, и описывает, как проектировать, предоставлять и отслеживать оптимизированные по затратам решения Azure. Дополнительные сведения см. в разделе Well-Architected Framework, столп безопасности.

Инструкции по обеспечению безопасности см. в следующих руководствах по службе Well-Architected Framework:

• Брандмауэр Azure
• Шлюз приложений Azure
• Azure Front Door

Лучшие практики

Следуйте приведенным ниже рекомендациям по повышению безопасности, надежности, производительности и производительности рабочих нагрузок безопасности в Azure:

• принципы проектирования Security: руководящие принципы, которые помогут вам разработать безопасные рабочие нагрузки на Azure, основываясь на модели "Никому не доверяй" и триаде ЦРУ конфиденциальности, целостности и доступности.

• Краткие ссылки на безопасность: основная страница для пилона безопасности Well-Architected Framework, которая содержит ссылки на рекомендации и передовой опыт в области безопасности, шаблоны проектирования.

• Контрольный список для проверки проектирования безопасности: контрольный список рекомендаций по проектированию безопасности, охватывающий идентификацию, сеть, защиту данных и управление.

• Брандмауэр Azure и Шлюз приложений Azure для виртуальных сетей. Руководство по защите рабочих нагрузок приложений Azure с помощью уровней проверки подлинности, шифрования и сетевой безопасности с помощью Брандмауэр Azure и Шлюз приложений Azure.

• Реализуйте сеть "Никому не доверяй" для веб-приложений с помощью Брандмауэр Azure и Шлюз приложений Azure: проактивный, интегрированный подход к безопасности на всех уровнях с использованием принципов "Никому не доверяй" и сквозного шифрования TLS и инспекции.

• Эталон безопасности облака Microsoft: Предписывающие лучшие практики и рекомендации по улучшению безопасности рабочих нагрузок, данных и услуг на Azure и в многооблачных средах.

Оставайтесь в курсе безопасности

Azure службы безопасности развиваются для решения современных проблем безопасности. Следите за последними обновлениями и функциями.

Сведения о том, как оставаться в курсе ключевых служб безопасности, см. в следующих статьях:

• Новые возможности Microsoft Defender для облака
• Выпуски и объявления Microsoft Entra
• Что нового в Azure Key Vault
• Новые возможности Microsoft Sentinel
• Что нового в Брандмауэр Azure
• Что нового в Шлюз приложений Azure

Другие ресурсы

Категория безопасности охватывает ряд решений. Следующие ресурсы помогут вам узнать больше о Azure.

Примеры решений

Следующие решения архитектуры демонстрируют шаблоны безопасности и реализации в Azure:

• Доступ с повышенной безопасностью к веб-приложениям Служба приложений Azure из локальной сети
• Безопасно управляемые веб-приложения
• Базовое зонально-резервируемое веб-приложение с высокой доступностью
• Обзор всех архитектур безопасности

Документация по продукту

• Сквозная безопасность в Azure. Общие сведения о службах безопасности в Azure, организованы с помощью возможностей защиты, обнаружения и реагирования.

• Microsoft эталонные архитектуры кибербезопасности: схемы, описывающие интеграцию возможностей безопасности Microsoft с платформами Microsoft и партнерскими платформами с помощью принципов "Никому не доверяй".

Гибридные и многооблачные решения

Большинству организаций нужен гибридный подход к безопасности, так как рабочие нагрузки, идентификации и данные охватывают локальные центры обработки данных, Azure и другие облачные платформы. Политики безопасности, обнаружение угроз и элементы управления соответствием должны распространяться во всех этих средах, чтобы избежать пробелов, которые злоумышленники могут использовать. Организации обычно расширяют локальные решения безопасности для работы в облаке и используют Azure Arc, чтобы интегрировать ресурсы, не относящиеся к Azure, в плоскость управления Azure для централизованного управления. Для подключения сред организации должны выбрать архитектуру гибридной сети.

Ознакомьтесь со следующими ключевыми сценариями гибридной и многооблачной безопасности:

• Реализация безопасной гибридной сети: эталонная архитектура, которая расширяет локальную сеть в Azure. В нем используется сеть периметра (также известная как DMZ, демилитаризованная зона и экранированная подсеть) и Брандмауэр Azure для управления входящим и исходящим трафиком между локальными и Azure средами.

• Соедините локальную сеть с Azure: сравнение вариантов гибридного сетевого подключения, включая Azure VPN Gateway, Azure ExpressRoute и Azure ExpressRoute с возможностью переключения на VPN при сбоях, которые создают основу безопасной сети для гибридных развертываний.

• проектирование архитектуры Hybrid: центральная страница для гибридных архитектур в Azure, которая охватывает гибридное сетевое подключение, рекомендации и эталонные архитектуры для запуска рабочих нагрузок в локальных и Azure средах.

• Создайте гибридное решение DNS с помощью Azure: эталонная архитектура, реализующая гибридное решение системы доменных имен (DNS), которое разрешает имена рабочих нагрузок, размещенных локально и в Azure. В этой архитектуре используется приватный резолвер Azure DNS и Брандмауэр Azure.

• Внедрение гибридных и многооблачных решений с использованием Azure Arc и Azure landing zones: Руководство по подключению локальных серверов, кластеров Kubernetes и многооблачных служб в плоскость управления Azure с помощью Azure Arc. Эта архитектура использует Microsoft Defender для облака для централизованного применения политик, мониторинга и защиты от угроз.

• Интеграция служб безопасности Azure и Microsoft Defender XDR: концепция решения, которая интегрирует Microsoft Sentinel, Microsoft Defender для облака и Microsoft Defender XDR для унификации мониторинга безопасности и реагирования на угрозы в локальных и облачных инфраструктурах.

Управление удостоверениями и доступом

Удостоверение является основным периметром безопасности в облачных средах. В Azure IAM сосредотачивается на Microsoft Entra ID как облачном поставщике удостоверений личности. Условный доступ Microsoft Entra служит подсистемой политики "Никому не доверяй". В следующих архитектурах и руководствах рассматриваются шаблоны проектирования IAM для Azure и многооблачных сред:

• Планирование топологий облачной синхронизации Microsoft Entra: руководство по интеграции локальной службы Active Directory с Microsoft Entra ID для облачной проверки подлинности удостоверений с помощью Microsoft Entra Connect Sync и облачной синхронизации Microsoft Entra.

• проектирование архитектуры Identity: центральная страница архитектуры удостоверений в Azure, которая охватывает пути обучения, параметры проектирования, рекомендации по реализации и базовые реализации удостоверений.

• Создание леса ресурсов доменные службы Active Directory (AD DS) в Azure: эталонная архитектура, которая создает отдельный домен Active Directory в Azure, которому доверяют домены в локальном (on-premises) лесу Active Directory.

• Deploy AD DS в виртуальной сети Azure: эталонная архитектура, которая расширяет домен локальная служба Active Directory для Azure для предоставления распределенных служб проверки подлинности.

Защита от угроз

Защита от угроз включает средства, шаблоны и методики, которые обнаруживают, предотвращают и реагируют на угрозы безопасности в Azure рабочих нагрузок. Azure обеспечивает многоуровневую защиту от угроз через такие службы, как Microsoft Defender для облака, Microsoft Sentinel и Защита Microsoft Entra ID. Эти службы используют аналитику поведения, машинное обучение и аналитику угроз для обнаружения угроз в разных уровнях вычислений, хранилища, сети, удостоверений и приложений.

Следующие архитектуры и руководства касаются шаблонов защиты от угроз в Azure:

• Многоуровневая защита доступа к виртуальной машине (VM) в Azure: решение, обеспечивающее защиту глубиной, которое объединяет в себе Microsoft Entra управление привилегированными пользователями (PIM), функцию JIT-доступа к виртуальной машине в Microsoft Defender для облака, Бастион Azure и пользовательские роли управления доступом на основе ролей Azure (Azure RBAC), чтобы минимизировать уязвимости для управления виртуальными машинами.

• Создайте первый уровень защиты с помощью служб безопасности Azure: идея решения, которая сопоставляет службы безопасности Azure с ресурсами и типами угроз с помощью MITRE ATT&CK. В этой статье организованы службы безопасности Azure по уровням: сети, инфраструктура, приложения, данные и идентификация.

• Сопоставьте угрозы с вашей ИТ-средой: руководство, которое помогает создавать диаграммы вашей ИТ-среды и создавать карту угроз с использованием платформы MITRE ATT&CK. Он охватывает локальные, Azure и Microsoft 365 среды.

• Интеграция Azure и служб безопасности Microsoft Defender XDR: идея решения, которая демонстрирует, как интегрировать Microsoft Sentinel, Microsoft Defender для облака и Microsoft Defender XDR для унифицированного мониторинга безопасности и реагирования на угрозы в локальных и облачных средах.

• Microsoft Sentinel автоматизированные ответы: идея решения, использующая сборники схем Microsoft Sentinel и Azure Logic Apps для автоматизации реагирования на угрозы, включая блокировку скомпрометированных пользователей и изоляцию конечных точек.

• Примените принципы "Никому не доверяй" к виртуальным машинам в Azure: Пошаговое руководство по применению принципов "Никому не доверяй" для виртуальных машин Azure, включая логическую изоляцию, RBAC, безопасную загрузку, шифрование, безопасный доступ с помощью Бастион Azure и продвинутое обнаружение угроз с помощью Microsoft Defender для серверов.

• Azure защита от угроз: обзор служб Azure защиты от угроз, включая Microsoft Defender для облака, Microsoft Sentinel, Защита Microsoft Entra ID, Microsoft Defender for Cloud Apps и Брандмауэр Azure.

Amazon Web Services (AWS) или Google Cloud эксперты

Чтобы быстро приступить к работе, следующие статьи сравнивают параметры безопасности Azure с другими облачными службами.

Сравнение служб

• Решения для управления удостоверениями AWS и Azure: сравнение: подробное сравнение служб удостоверений AWS и Azure, включая основные удостоверения, проверку подлинности, управление доступом, управление привилегированным доступом и шаблоны удостоверений приложений.

• AWS для сравнения служб Azure — безопасность, идентификация и доступ: сравнение служб безопасности AWS и Azure, включая IAM, шифрование, брандмауэры, обнаружение угроз, управление сведениями о безопасности и событиями (SIEM) и защита от атак DDoS.

• Сравнение сервисов Google Cloud и Azure — безопасность и управление доступом: сравнение сервисов безопасности Google Cloud и Azure. Она охватывает проверку подлинности, шифрование, управление ключами, обнаружение угроз, SIEM, безопасность контейнеров и защиту от потери данных (DLP).

• Microsoft Entra идентификация и управление доступом для AWS: Руководство по развертыванию решений IAM Microsoft Entra для AWS, включая SSO, MFA, Условный доступ Microsoft Entra и Microsoft Entra PIM для учетных записей AWS.

Руководство по миграции

Если вы мигрируете с другой облачной платформы, ознакомьтесь со следующими статьями:

• Migrate security services from AWS. Руководство по переносу служб безопасности AWS в Azure, включая миграцию SIEM в Microsoft Sentinel и миграцию удостоверений клиентов в Внешняя идентификация Microsoft Entra.

• Миграция рабочих нагрузок на Azure с других облачных платформ: Обзор полного процесса миграции рабочих нагрузок из AWS и Google Cloud на Azure, включая этапы планирования, подготовки и выполнения.