Создание первого уровня защиты с помощью служб безопасности Azure

Для создания полной ИТ-инфраструктуры для организации можно использовать различные службы Azure. Azure также предоставляет службы безопасности, помогающие защитить эту инфраструктуру. С помощью решений безопасности Azure вы можете повысить уровень безопасности вашей среды, устранить уязвимости и снизить риск нарушений с помощью хорошо спроектированного решения на основе рекомендаций Майкрософт.

Хотя некоторые службы безопасности несут связанные расходы, многие из них доступны без дополнительной платы. Бесплатные службы включают группы безопасности сети (NSG), шифрование хранилища, TLS/SSL, маркеры подписи общего доступа и многое другое. В этой статье рассматриваются эти бесплатные службы.

Эта статья является третьей в серии из пяти. Чтобы ознакомиться с предыдущими двумя статьями в этой серии, включая введение и обзор того, как можно сопоставить угрозы с ИТ-средой, см. в следующей статье:

• Сопоставление угроз с ИТ-средой

Потенциальные варианты использования

Эта статья упорядочивает службы безопасности Azure по ресурсу Azure, чтобы сосредоточиться на конкретных угрозах, предназначенных для таких ресурсов, как виртуальные машины, операционные системы, сети Azure или приложения, а также атаки, которые могут компрометировать пользователей и пароли. На следующей схеме можно определить службы безопасности Azure, которые помогают защитить ресурсы и удостоверения пользователей от этих угроз.

Архитектура

Скачайте файл Visio для этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

Уровень безопасности Azure на этой схеме основан на Azure Security Benchmark (ASB) версии 3, который представляет собой набор правил безопасности, реализованных с помощью политик Azure. ASB основан на сочетании правил из Центра БЕЗОПАСНОСТИ в Интернете и Национального института стандартов и технологий. Дополнительные сведения об ASB см. в разделе "Обзор Azure Security Benchmark версии 3".

Схема не включает каждую доступную службу безопасности Azure, но она выделяет службы, которые используются чаще всего. Все службы безопасности, показанные на схеме архитектуры, можно объединить и настроить для совместной работы с ИТ-средой и конкретными потребностями вашей организации.

Рабочий процесс

В этом разделе описываются компоненты и службы, которые отображаются на схеме. Многие из них помечены своими кодами управления ASB в дополнение к их сокращенным меткам. Коды элементов управления соответствуют доменам элементов управления, перечисленным в элементах управления.

1. Тесты производительности системы безопасности Azure

   Каждый элемент управления безопасностью ссылается на одну или несколько конкретных служб безопасности Azure. Справочник по архитектуре в этой статье показывает некоторые из них и их контрольные номера в соответствии с документацией ASB. К элементам управления относятся:

   • Безопасность сети
   • Управление удостоверениями
   • Привилегированный доступ
   • Защита данных
   • Управление активами
   • Ведение журнала и обнаружение угроз
   • Реагирование на инциденты
   • Управление состоянием безопасности и уязвимостями
   • безопасность конечных точек.
   • Резервное копирование и восстановление
   • Безопасность DevOps
   • Система управления и стратегия

   Дополнительные сведения об элементах управления безопасностью см. в разделе "Обзор Azure Security Benchmark (версия 3)".

2. Сеть

   В следующей таблице описаны сетевые службы на схеме.

   Этикетка	Описание	Документация
   Группа безопасности сети (NSG)	Бесплатная служба, присоединенная к сетевому интерфейсу или подсети. Группа безопасности сети позволяет фильтровать трафик протокола TCP или UDP с помощью диапазонов IP-адресов и портов для входящих и исходящих подключений.	Группы безопасности сети
   VPN	Шлюз виртуальной частной сети (VPN), который обеспечивает туннелирование с защитой IPSEC (IKE версии 1/2).	VPN-шлюз
   Брандмауэр Azure	Платформа как услуга (PaaS), которая обеспечивает защиту на уровне 4 и подключена ко всей виртуальной сети.	Что такое Брандмауэр Azure?
   Приложение GW + WAF	Шлюз приложений Azure с Брандмауэр веб-приложений (WAF). Шлюз приложений — это подсистема балансировки нагрузки для веб-трафика, который работает на уровне 7 и добавляет WAF для защиты приложений, использующих ПРОТОКОЛ HTTP и HTTPS.	What is Azure Application Gateway? (Что собой представляет шлюз приложений Azure)
   NVA	Виртуальный сетевой модуль (NVA). Виртуальная служба безопасности из Marketplace, подготовленная на виртуальных машинах в Azure.	Сетевые виртуальные модули
   DDOS	Защита от атак DDoS, реализованная в виртуальной сети, помогает устранить различные типы атак DDoS.	Общие сведения о защите сети от атак DDoS Azure
   TLS/SSL	TLS/SSL обеспечивает шифрование во время передачи для большинства служб Azure, которые обмениваются информацией, например служба хранилища Azure и веб-приложения.	Настройка сквозного TLS с помощью Шлюз приложений с помощью PowerShell
   Приватный канал	Служба, позволяющая создать частную сеть для службы Azure, которая изначально предоставляется в Интернете.	Что собой представляет Приватный канал Azure?
   Частная конечная точка	Создает сетевой интерфейс и подключает его к службе Azure. Частная конечная точка является частью Приватный канал. Эта конфигурация позволяет службе стать частью виртуальной сети через частную конечную точку.	Что собой представляет частная конечная точка?

3. Инфраструктура и конечные точки

   В следующей таблице описаны службы инфраструктуры и конечных точек, отображаемые на схеме.

   Этикетка	Описание	Документация
   Бастион	Бастион предоставляет функциональные возможности сервера перехода. Эта служба позволяет получать доступ к виртуальным машинам через протокол удаленного рабочего стола (RDP) или SSH, не предоставляя виртуальные машины в Интернете.	Что такое Бастион Azure
   Защита от вредоносных программ	Microsoft Defender предоставляет службу защиты от вредоносных программ и входит в состав Windows 10, Windows 11, Windows Server 2016 и Windows Server 2019.	антивирусная программа в Microsoft Defender в Windows
   Шифрование диска	Шифрование дисков позволяет шифровать диск виртуальной машины.	Шифрование дисков Azure для виртуальных машин Windows
   Key Vault	Key Vault, служба для хранения ключей, секретов и сертификатов с FIPS 140-2 уровня 2 или 3.	Основные понятия Azure Key Vault
   RDP Short	Краткий путь к виртуальному рабочему столу Azure RDP. Эта функция позволяет удаленным пользователям подключаться к службе виртуального рабочего стола из частной сети.	Shortpath виртуального рабочего стола Azure для управляемых сетей
   Обратное подключение	Встроенная функция безопасности из Виртуального рабочего стола Azure. Обратное подключение гарантирует, что удаленные пользователи получают только потоки пикселей и не достигают виртуальных машин узла.	Общие сведения о сетевом подключении к Виртуальному рабочему столу Azure

4. Приложение и данные

   В следующей таблице описаны службы приложений и данных, отображаемые на схеме.

   Этикетка	Описание	Документация
   Frontdoor + WAF	Сеть доставки содержимого (CDN). Front Door объединяет несколько точек присутствия, чтобы обеспечить лучшее подключение для пользователей, которые обращаются к службе и добавляют WAF.	Что такое Azure Front Door?
   Управление API	Служба, которая обеспечивает безопасность вызовов API и управляет API в разных средах.	Сведения о службе "Управление API"
   PenTest	Набор рекомендаций по выполнению теста на проникновение в вашей среде, включая ресурсы Azure.	Выполнение тестов на проникновение
   Маркер SAS хранилища	Общий маркер доступа с помощью политик истечения срока действия, позволяющий другим пользователям получать доступ к учетной записи хранения Azure.	Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS)
   Частная конечная точка	Создайте сетевой интерфейс и подключите его к учетной записи хранения, чтобы настроить ее в частной сети в Azure.	Использование частных конечных точек для службы хранилища Azure
   Брандмауэр хранилища	Брандмауэр, позволяющий задать диапазон IP-адресов, которые могут получить доступ к учетной записи хранения.	Настройка брандмауэров службы хранилища Azure и виртуальных сетей
   Шифрование (служба хранилища Azure)	Защищает учетную запись хранения с помощью шифрования неактивных данных.	Шифрование службы хранилища Azure для неактивных данных
   Аудит SQL	Отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure. Для сценариев аналитики, использующих хранилища Microsoft Fabric или lakehouse, используйте журналы действий рабочей области Fabric и Microsoft Purview (при включении) для мониторинга доступа и классификации.	Аудит базы данных SQL Azure Обзор Microsoft Purview
   Оценка уязвимостей	Служба, которая помогает обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных.	Оценка уязвимостей SQL помогает выявлять уязвимости базы данных
   Шифрование (Sql Azure)	Прозрачное шифрование данных (TDE) шифрует неактивных данных для служб базы данных SQL Azure. Данные Microsoft Fabric, хранящиеся в OneLake, шифруются в состоянии покоя по умолчанию с помощью платформой управляемого шифрования, в соответствии с принципами безопасности Fabric.	Прозрачное шифрование данных для Базы данных SQL и Управляемого экземпляра SQL Безопасность в Microsoft Fabric

5. Идентичность

   В следующей таблице описаны службы удостоверений, отображаемые на схеме.

   Этикетка	Описание	Документация
   RBAC	Управление доступом на основе ролей Azure (Azure RBAC) помогает управлять доступом к службам Azure с помощью подробных разрешений, основанных на учетных данных Microsoft Entra пользователей.	Что такое управление доступом на основе ролей в Azure (RBAC)?
   МИД	Многофакторная проверка подлинности обеспечивает дополнительные типы проверки подлинности за пределами имен пользователей и паролей.	Как это работает: многофакторная проверка подлинности Microsoft Entra
   Защита идентификаторов	Защита идентификации, служба безопасности от идентификатора Microsoft Entra ID, анализирует триллионы сигналов в день для выявления и защиты пользователей от угроз.	Что собой представляет защита идентификации?
   PIM	управление привилегированными пользователями (PIM), служба безопасности из идентификатора Microsoft Entra. Это помогает временно предоставлять права суперпользователя для идентификатора Microsoft Entra (например, администратора пользователей) и подписок Azure (например, администратор на контроль доступа основе ролей или администратора Key Vault).	Что такое управление привилегированными пользователями Microsoft Entra?
   Cond Acc	Условный доступ — это интеллектуальная служба безопасности, которая использует политики, которые определяются для различных условий для блокировки или предоставления доступа пользователям.	Что такое условный доступ?

Компоненты

• Идентификатор Microsoft Entra — это служба управления удостоверениями и доступом. В этой архитектуре он управляет удостоверениями пользователей и доступом к внешним ресурсам, таким как Microsoft 365 и портал Azure, а также внутренним ресурсам, таким как приложения в корпоративной сети интрасети.

• Виртуальная сеть Azure — это сетевая служба, которая обеспечивает безопасный обмен данными между ресурсами Azure, Интернетом и локальными сетями. В этой архитектуре она предоставляет инфраструктуру частной сети, которая поддерживает безопасное подключение и изоляцию для рабочих нагрузок.

• Azure Load Balancer — это служба балансировки нагрузки уровня 4 с низкой задержкой для трафика UDP и TCP. Load Balancer — это служба с избыточностью между зонами, которая может обрабатывать миллионы параллельных потоков. В этой архитектуре обеспечивается высокий уровень доступности и масштабируемости путем распределения входящего и исходящего трафика между ресурсами в виртуальной сети.

• Виртуальные машины Azure — это инфраструктура как услуга (IaaS), которая предоставляет масштабируемые вычислительные ресурсы. В этой архитектуре виртуальные машины размещают рабочие нагрузки, требующие прямого контроля над конфигурациями операционной системы и безопасности.

• Служба Azure Kubernetes (AKS) — это служба оркестрации управляемых контейнеров, которая упрощает развертывание кластеров Kubernetes и управление ими. В этой архитектуре AKS запускает контейнерные приложения и предоставляет встроенные функции для обеспечения безопасности, управления и непрерывной интеграции и непрерывной доставки (CI/CD).

• Виртуальный рабочий стол — это служба виртуализации рабочих столов и приложений, которая поставляет удаленные рабочие столы из облака. В этой архитектуре он обеспечивает безопасный доступ к корпоративным рабочим столам для удаленных пользователей и включает встроенные функции, такие как RDP Shortpath и обратное подключение.

• Функция веб-приложений службы приложений содержит веб-приложения , REST API и мобильные серверные серверы. В этой архитектуре веб-приложения размещаются HTTP-приложения и предоставляют такие функции безопасности, как TLS и частные конечные точки. Вы можете развиваться на выбранном языке. Приложения выполняются и масштабируются в средах под управлением Windows и Linux.

• Служба хранилища Azure — это масштабируемое и безопасное решение для хранения различных типов данных, включая большие двоичные объекты, файлы, очереди и таблицы. В этой архитектуре он хранит данные приложения и системы с шифрованием неактивных данных и поддерживает безопасный доступ через маркеры SAS и частные конечные точки.

• База данных SQL — это управляемая реляционная служба базы данных, которая автоматизирует исправление, резервное копирование и мониторинг. В этой архитектуре она обеспечивает безопасное и совместимое хранилище данных с помощью таких функций, как прозрачное шифрование данных, аудит и оценки уязвимостей.

• Microsoft Fabric — это единая платформа аналитики SaaS, которая объединяет проектирование данных, хранение данных, аналитику в режиме реального времени и бизнес-аналитику. В этой архитектуре можно внедрить Fabric для аналитических рабочих нагрузок, которым требуются безопасные рабочие пространства, шифрование данных OneLake на месте хранения, ролевой доступ на уровне элементов и централизованное ведение журнала действий, до тех пор пока операционные данные остаются в службах, таких как база данных Azure SQL.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

• Руднеи Оливейра | Старший инженер по безопасности Azure

Другие участники:

• Гэри Мур | Программист или писатель
• Эндрю Натан | Старший менеджер по проектированию клиентов
• Филипе Морейра | Архитектор облачных решений

Следующие шаги

Корпорация Майкрософт содержит дополнительную документацию, которая поможет вам защитить ИТ-среду, а следующие статьи могут быть особенно полезными.

• Безопасность в Microsoft Cloud Adoption Framework для Azure. Cloud Adoption Framework предоставляет рекомендации по безопасности для вашего облачного пути, уточняя процессы, рекомендации, модели и опыт.
• Microsoft Azure Well-Architected Framework. Azure Well-Architected Framework — это набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Платформа основана на пяти основных принципах: надежности, безопасности, оптимизации затрат, эффективности работы и эффективности производительности.
• Рекомендации по обеспечению безопасности Майкрософт. Рекомендации по обеспечению безопасности Майкрософт (ранее известные как Компас безопасности Azure или Microsoft Security Compass) — это коллекция рекомендаций, которые предоставляют четкие и практические рекомендации по принятию решений, связанных с безопасностью.
• Эталонные архитектуры Microsoft Cybersecurity (MCRA). MCRA — это компиляция различных эталонных архитектур безопасности Майкрософт.

В следующих ресурсах можно найти дополнительные сведения о службах, технологиях и терминологиях, упомянутых в этой статье:

• Что такое общедоступные, частные и гибридные облака?
• Обзор Azure Security Benchmark (v3)
• Профилактический подход к безопасности на основе модели "Никому не доверяй"
• Сведения о подписке Microsoft 365
• Microsoft Defender XDR

Связанные ресурсы

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии:

• Часть 1. Сопоставлять угрозы с ИТ-средой
• Часть 3. создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender
• Часть 4. Интеграция служб безопасности Azure и Microsoft Defender XDR