Поделиться через


Область проектирования: безопасность

Эта область проектирования создает основу для обеспечения безопасности в среде Azure, гибридной и многооблачной средах. Вы можете улучшить эту основу позже, используя рекомендации по безопасности, изложенные в Методологии безопасного внедрения облачных технологий Cloud Adoption Framework.

Проверка области проектирования

Вовлеченные роли или функции: эта область проектирования связана с группой безопасности облака, а особенно с архитекторами безопасности в этой группе. Облачная платформа и облачный центр инноваций должны проанализировать решения по сети и идентификации. Для определения и реализации технических требований, которые будут получены в этом упражнении, могут потребоваться объединенные роли. Для более сложных систем безопасности также может потребоваться поддержка группы управления облаком.

Область действия: целью этого упражнения является анализ требований к безопасности и их единообразное внедрение во всех рабочих нагрузках на облачной платформе. В основном это упражнение посвящено средствам обеспечения безопасности и управлению доступом. Эта область включает нулевое доверие и расширенную сетевую безопасность.

Вне области: это упражнение посвящено основам современного центра операций безопасности в облаке. Для упрощения обсуждений некоторые дисциплины защищенной методологии КАФ оставлены за рамками этого упражнения. Операции безопасности, защита активов и безопасность инноваций будут основываться на развертывании целевой зоны в Azure. Но они выходят за рамки этого обсуждения по области проектирования.

Обзор зоны проектирования

Безопасность является важным приоритетом для всех клиентов в любой среде. При проектировании и реализации целевой зоны Azure безопасность должна учитываться на всех этапах процесса.

В области разработки системы безопасности основное внимание уделяется вопросам и рекомендациям по принятию решений о целевой зоне. Методология Secure в Cloud Adoption Framework также предоставляет дополнительные подробные рекомендации по целостным процессам и средствам безопасности.

Новая облачная среда (greenfield): для начала работы с облаком с небольшим набором подписок, см. статью «Создание ваших начальных подписок Azure». Рассмотрите также возможность использования шаблонов развертывания Bicep при создании ваших посадочных зон Azure. Для получения дополнительной информации см. Зоны приземления Azure Bicep — поток развертывания.

Существующая облачная среда (brownfield): рассмотрите возможность использования следующих служб удостоверений и доступа Microsoft Entra, если вы заинтересованы в применении принципов из области проектирования безопасности к существующим средам Azure:

  • Разверните облачную синхронизацию Microsoft Entra Connect, чтобы предоставить локальным пользователям службы домен Active Directory (AD DS) безопасный единый вход (SSO) в приложения, поддерживаемые идентификатором Microsoft Entra. Дополнительным преимуществом настройки гибридного удостоверения является применение многофакторной проверки подлинности (MFA) Microsoft Entra и Microsoft Entra Password Protection для дальнейшей защиты этих удостоверений.
  • Рассмотрим условный доступ Microsoft Entra, чтобы обеспечить безопасную проверку подлинности в облачных приложениях и ресурсах Azure.
  • Реализуйте Microsoft Entra управление привилегированными идентификациями, чтобы обеспечить доступ с минимально необходимыми привилегиями и полные отчёты во всей вашей среде Azure. Командам следует начать повторяющиеся проверки доступа, чтобы убедиться, что соответствующие лица и принципы службы имеют текущие и правильные уровни авторизации.
  • Используйте рекомендации, оповещения и возможности исправления Microsoft Defender для облака. Ваша команда безопасности также может интегрировать Microsoft Defender для облака в Microsoft Sentinel, если им необходимо более надежное решение SIEM/SOAR с централизованным управлением для гибридной и многооблачной среды.

Репозиторий Azure Landing Zones Bicep — процесс потока развертывания содержит ряд шаблонов развертывания Bicep, которые могут ускорить развертывание зон приземления Azure в новых (гринфилд) и существующих (браунфилд) средах. Эти шаблоны уже содержат интегрированные рекомендации по безопасности от корпорации Майкрософт, основанные на проверенных практиках.

Дополнительные сведения о работе в облачных средах Браунфилда см. Рекомендации.

Эталон безопасности облака Microsoft

Тест безопасности microsoft cloud security включает рекомендации по обеспечению безопасности с высоким уровнем влияния, которые помогут защитить большинство служб, используемых в Azure. Эти рекомендации можно рассматривать как общие или организационные, так как они применимы к большинству служб Azure. Затем для каждой службы Azure настраиваются рекомендации по эталонным тестам безопасности Microsoft Cloud Security. Эти индивидуальные рекомендации содержатся в статьях с рекомендациями по услугам.

В документации по microsoft cloud security benchmark указываются элементы управления безопасностью и рекомендации по службам.

  • Элементы управления безопасностью: рекомендации по эталонным тестам безопасности Microsoft cloud security классифицируются по элементам управления безопасностью. Средства управления безопасностью определяют независимые от поставщика высокоуровневые требования к безопасности, такие как безопасность сети и защита данных. Каждый элемент управления безопасностью дает набор рекомендаций по безопасности с инструкции по их внедрению.
  • Рекомендации по службам: При наличии рекомендации по эталонным показателям для служб Azure будут включать рекомендации Microsoft Cloud Security Benchmark, которые специально предназначены для этой службы.

Аттестация Azure

Аттестация Azure является средством, которое помогает обеспечить безопасность и целостность вашей платформы и бинарных файлов, которые выполняются внутри них. Это особенно полезно для предприятий, требующих высокомасштабируемых вычислительных ресурсов и бескомпромиссного доверия с возможностью удаленной аттестации.

Рекомендации по проектированию безопасности

Организация должна иметь возможность видеть, что происходит в ее технических облачных ресурсах. Мониторинг безопасности и ведение журнала аудита для служб на платформе Azure — это ключевой компонент масштабируемой платформы.

Рекомендации по проектированию операций безопасности

Область Контекст
Оповещения безопасности Каким командам требуются уведомления об оповещениях системы безопасности?
Существуют ли группы служб, из которых оповещения нужно направлять разным командам?
Бизнес-требования для мониторинга и оповещений в реальном времени.
— Сведения о безопасности и интеграция управления событиями с Microsoft Defender для облака и Microsoft Sentinel.
Журналы безопасности — Сроки хранения для данных аудита. Отчеты Microsoft Entra ID P1 или P2 имеют 30-дневный срок хранения.
— Долгосрочное архивирование журналов, таких как журналы действий Azure, журналы виртуальных машин и журналы PaaS (платформа как услуга).
Средства контроля безопасности — Настройка базовой конфигурации безопасности с помощью политики гостевой виртуальной машины Azure.
— Подумайте о том, как контроль безопасности будет согласовываться с нормативными ограничителями.
Управление уязвимостями — Аварийное исправление для критических уязвимостей.
— Применение исправлений для виртуальных машин, которые находятся в автономном режиме длительное время.
— Оценка уязвимостей виртуальных машин.
Общая ответственность — Где происходит передача ответственности между командами? Эти обязанности необходимо учитывать при отслеживании событий безопасности или реагировании на них.
— Изучите рекомендации по методикам безопасности для операций безопасности.
Шифрование и ключи — Кому требуется доступ к ключам в среде?
— Кто будет отвечать за управление ключами?
Узнайте больше о шифровании и ключах.
Аттестация — Будет ли использоваться доверенный запуск для виртуальных машин и требуется аттестация целостности всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов)?
— Вы хотите воспользоваться преимуществами шифрования конфиденциальных дисков для конфиденциальных виртуальных машин?
— Требуется ли вашим рабочим нагрузкам подтверждение того, что они выполняются в доверенной среде?

Рекомендации по проектированию операций безопасности

  • Используйте возможности отчетности Microsoft Entra ID для создания отчетов аудита управления доступом.

  • Экспортируйте журналы действий Azure в журналы Azure Monitor для долгосрочного хранения данных. Экспортируйте данные в службу хранилища Azure, если потребуется долгосрочное хранение (свыше двух лет).

  • Включите Microsoft Defender для облака ценовой категории "Стандартный" для всех подписок и используйте Политику Azure для обеспечения соответствия.

  • Отслеживайте отклонение в обновлении базовой операционной системы с помощью журналов Azure Monitor и Microsoft Defender для облака.

  • Используйте политики Azure для автоматического развертывания конфигураций программного обеспечения с помощью расширений виртуальных машин и принудительного применения подходящей базовой конфигурации для виртуальной машины.

  • Отслеживайте сдвиг конфигураций безопасности для виртуальных машин с помощью Политики Azure.

  • Подключите конфигурации ресурсов по умолчанию к централизованной рабочей области Log Analytics в Azure Monitor.

  • Используйте решение на основе Сетки событий Azure для ориентированных на журналы оповещений в режиме реального времени.

  • Используйте Azure Attestation для проведения аттестации:

    • Целостность всей цепочки загрузки виртуальной машины. Для получения дополнительной информации см. обзор мониторинга целостности загрузки.
    • Безопасный выпуск ключей шифрования конфиденциальных дисков для конфиденциальной виртуальной машины. Дополнительные сведения см. в разделе "Шифрование дисков конфиденциальной ОС".
    • Различные типы доверенных сред выполнения рабочей нагрузки. Дополнительные сведения см. в разделе "Варианты использования".

Рекомендации по проектированию управления доступом

Современные границы безопасности более сложны, чем в традиционном центре обработки данных. Ваши активы больше не ограничиваются стенами дата-центра. Поэтому теперь для управления доступом недостаточно держать пользователей в пределах защищенной сети. В облаке периметр состоит из двух частей: элементов управления безопасностью сети и управления доступом нулевого доверия.

Дополнительные параметры безопасности

Область Контекст
Планирование входящего и исходящего подключения к Интернету Описывает рекомендуемые модели подключения для входящего и исходящего подключения к общедоступному Интернету.
Планирование сетевого сегментирования в зоне высадки Изучает ключевые рекомендации по эффективной сегментации внутренних сетей с высокой безопасностью в зоне посадки. Эти рекомендации управляют реализацией сети нулевого доверия..
Определение требований к шифрованию сети Рассматривает основные рекомендации по шифрованию сети между локальной средой и Azure, а также между регионами Azure.
Планирование проверки трафика Рассматривает ключевые моменты и рекомендуемые подходы к зеркальному отображению или перехвату трафика в виртуальной сети Azure.

Концепция "Нулевое доверие"

Для доступа по принципу Zero Trust с идентификацией следует учитывать следующее:

  • Какие команды или лица нуждаются в доступе к службам в целевой зоне? Какие роли они выполняют?
  • Кто должен авторизовать запросы на доступ?
  • Кто должен получать уведомления при активации привилегированных ролей?
  • Кто должен иметь доступ к журналу аудита?

Дополнительные сведения см. в Microsoft Entra Privileged Identity Management.

Реализация нулевого доверия может выйти за рамки простого управления удостоверениями и доступом. Следует учитывать, необходимо ли организации реализовать методики нулевого доверия в нескольких основных аспектах, таких как инфраструктура, данные и сети. Дополнительные сведения см. в разделе "Внедрение методик нулевого доверия в лендинг-зоне"

Рекомендации по проектированию управления доступом

  • В контексте ваших основных требований проведите совместное изучение каждой необходимой услуги. Если вы хотите использовать собственные ключи, они могут не поддерживаться всеми рассматриваемыми службами. Реализуйте соответствующие меры по устранению рисков, чтобы несогласованность не ухудшала результаты. Выберите соответствующие пары регионов и регионы аварийного восстановления с минимальной задержкой.

  • Разработайте план безопасности для списка разрешенных служб, который описывает настройки безопасности, мониторинг и оповещения. Затем создайте план по их интеграции с существующими системами.

  • Определите план реагирования на инциденты для служб Azure, прежде чем перемещать их в рабочую среду.

  • Согласуйте ваши требования к безопасности с дорожными картами платформы Azure, чтобы оставаться в курсе новейших средств управления безопасностью.

  • Реализуйте подход с к предоставлению доступа к платформе Azure на принципах нулевого доверия, если это уместно.

Безопасность в ускорителе начальной зоны Azure

Безопасность является основой для ускорителя начальной зоны Azure. В рамках реализации развертываются многие средства и элементы управления, которые помогут организациям быстро достичь базового уровня безопасности.

Например, включены следующие:

Инструменты:

  • Microsoft Defender для облака ценовой категории "Стандартный" или "Бесплатный"
  • Microsoft Sentinel
  • Защита сети от атак DDoS Azure (необязательно)
  • Брандмауэр Azure
  • Web Application Firewall (WAF)
  • Управление привилегированными пользователями (PIM)

Политики для онлайн и корпоративно-связанных зон посадки

  • Обеспечьте безопасный доступ, например по протоколу HTTPS, к учетным записям хранения
  • Внедрение аудита для базы данных Azure SQL
  • Принудительное шифрование для Базы данных SQL Azure
  • Запрет IP-переадресации
  • Запрет входящих подключений по протоколу удаленного рабочего стола из Интернета
  • Обязательная связь подсетей с группами безопасности сети

Следующие шаги

Узнайте, как защитить привилегированный доступ для гибридных и облачных развертываний в идентификаторе Microsoft Entra.