Включите практики нулевого доверия в вашу посадочную зону.

Нулевое доверие — это стратегия безопасности, в которой вы включаете продукты и службы в разработку и реализацию, чтобы соответствовать следующим принципам безопасности:

• Проверяйте явно: всегда проверяйте подлинность и авторизуйте доступ на основе всех доступных точек данных.

• Используйте доступ с минимальными привилегиями: предоставьте пользователям только необходимый минимум доступа и применяйте инструменты для предоставления доступа "по требованию" с учётом адаптивных политик на основе рисков.

• Допустите возможность взлома: минимизируйте радиус влияния и сегментируйте доступ, проактивно ищите угрозы и постоянно улучшайте защиту.

Если ваша организация придерживается стратегии Zero Trust, при проектировании целевой зоны следует включать цели развертывания, связанные с Zero Trust. Посадочная зона является основой рабочих нагрузок в Azure, поэтому важно подготовить вашу посадочную зону для внедрения принципов Zero Trust.

В этой статье приводятся рекомендации по интеграции методик нулевого доверия в целевую зону и объясняется, где соблюдение принципов нулевого доверия требует решений за пределами целевой зоны.

«Столпы» нулевого доверия и области проектирования «целевой зоны»

При внедрении принципов нулевого доверия в развертывании целевой зоны Azure следует начать с рассмотрения рекомендаций по нулевому доверию для каждой области проектирования целевой зоны.

Рекомендации по проектированию целевой зоны и рекомендации по принятию критических решений в каждой области см. в разделах проектирования целевой зоны Azure.

Модель "Нулевое доверие" имеет основные принципы и цели развертывания. Дополнительные сведения см. в разделе "Развертывание решений нулевого доверия".

Эти основные принципы предоставляют конкретные цели развертывания, которые помогают организациям соответствовать принципам нулевого доверия. Эти цели выходят за рамки технических конфигураций. Например, сетевой компонент имеет цель развертывания для сегментации сети. Цель не содержит сведения о настройке изолированных сетей в Azure, но вместо этого предлагает рекомендации по созданию шаблона архитектуры. Существуют и другие решения по проектированию, которые следует учитывать при реализации цели развертывания.

На следующей схеме показаны области разработки зоны высадки.

В следующей таблице сопоставляются основные принципы нулевого доверия с областями проектирования, показанными в архитектуре.

Легенда	Область дизайна зоны высадки	Нулевая основа доверия
	Выставление счетов Azure и клиент Microsoft Entra	Основополагающий принцип идентичности
	Управление удостоверениями и доступом	Столп идентичности Столп приложений Столбь данных
	Организация ресурсов	Столп идентификации
	Система управления	Столп видимости, автоматизации и оркестрации
	Управление	Столп конечных точек Столп приложений Столбь данных, Компонент инфраструктуры
	Топология сети и подключения	Столп сетей
	Безопасность	Все основные принципы нулевого доверия
	Автоматизация платформы и DevOps	Столп видимости, автоматизации и оркестрации

Не все цели развертывания "Нулевое доверие" являются частью целевой зоны. Многие цели развертывания Zero Trust предназначены для разработки и выпуска отдельных рабочих процессов в Azure.

В следующих разделах рассматриваются все основные принципы и рекомендации по реализации целей развертывания.

Безопасное удостоверение

Информацию о целях развертывания для защиты идентичности см. в разделе Защита идентичности с использованием нулевого доверия. Для реализации этих целей развертывания можно применить федерацию удостоверений, условный доступ, управление удостоверениями и операции данных в режиме реального времени.

Вопросы идентификации

• Вы можете использовать эталонные реализации целевой зоны Azure для развертывания ресурсов, расширяющих существующую платформу удостоверений в Azure, и управлять платформой удостоверений, реализуя рекомендации Azure.

• Вы можете настроить множество элементов управления для практики нулевого доверия в клиенте Microsoft Entra. Вы также можете управлять доступом к Microsoft 365 и другим облачным службам, используюющим идентификатор Microsoft Entra.

• Необходимо планировать требования к конфигурации, выходящие за рамки того, что находится в вашей целевой зоне Azure.

Рекомендации по идентификации

• Разработайте план управления удостоверениями в Microsoft Entra ID, который выходит за рамки ресурсов Azure. Например, вы можете использовать:

  • Федерация с внутренними системами идентификации.
  • политик условного доступа;
  • Сведения о пользователе, устройстве, расположении или поведении для авторизации.

• Разверните зону развертывания Azure с отдельными подписками для ресурсов удостоверения личности, таких как контроллеры домена, чтобы обеспечить более безопасный доступ к ресурсам.

• Используйте управляемые удостоверения Microsoft Entra, где это возможно.

Безопасные конечные точки

Сведения о целях развертывания для защиты конечных точек см. в разделе "Безопасные конечные точки с нулевой доверием". Для реализации этих целей развертывания можно:

• Регистрация конечных точек с помощью поставщиков облачных удостоверений для предоставления доступа к ресурсам исключительно через облачные управляемые конечные точки и приложения.

• Обеспечьте защиту от потери данных (DLP) и управление доступом как для корпоративных устройств, так и для персональных устройств, зарегистрированных в программах bring your own device (BYOD).

• Отслеживайте риск устройства для аутентификации с помощью детектирования угроз на конечной точке.

Вопросы, связанные с конечными точками

• Цели развертывания конечных точек предназначены для вычислительных устройств конечных пользователей, таких как ноутбуки, настольные компьютеры и мобильные устройства.

• При внедрении методик нулевого доверия для конечных точек необходимо реализовать решения в Azure и за пределами Azure.

• Для реализации целей развертывания можно использовать такие средства, как Microsoft Intune и другие решения по управлению устройствами.

• Если у вас есть конечные точки в Azure, например в Виртуальном рабочем столе Azure, вы можете зарегистрировать взаимодействие с клиентом в Intune и применить политики и элементы управления Azure для ограничения доступа к инфраструктуре.

Рекомендации по точкам подключения

• Разработайте план для управления конечными точками с помощью методик нулевого доверия, помимо планов реализации целевой зоны Azure.

• Дополнительные сведения о устройствах и серверах см. в разделе "Безопасная инфраструктура".

Защита приложений

Сведения о целях развертывания для защиты приложений см. в разделе "Безопасность приложений с нулевым доверием". Для реализации этих целей развертывания можно:

• Используйте API для получения видимости приложений.

• Применение политик для защиты конфиденциальной информации.

• Применение адаптивных элементов управления доступом.

• Ограничьте использование теневого ИТ.

Учитываемые факторы при применении

• Цели развертывания для приложений сосредоточены на управлении как сторонними, так и внутренними приложениями в вашей организации.

• Цели не устраняют защиту инфраструктуры приложений. Вместо этого они обращаются к защите потребления приложений, особенно облачных приложений.

• Методики посадочной зоны Azure не предоставляют подробные элементы управления для задач приложения. Эти элементы управления настраиваются как часть конфигурации приложения.

Рекомендации по приложению

• Используйте Microsoft Defender для облачных приложений для управления доступом к приложениям.

• Используйте стандартные политики, включенные в Defender for Cloud Apps, чтобы методично применять ваши практики.

• Разработайте план по интеграции ваших приложений в ваши практики доступа к приложениям. Не доверяйте приложениям, размещаемым вашей организацией, больше, чем сторонним приложениям.

Защита данных

Сведения о целях развертывания для защиты данных, см. в разделе "Безопасные данные с нулевым доверием". Для реализации этих целей можно:

• Классификация и метка данных.
• Включите управление доступом.
• Реализуйте защиту от потери данных.

Для получения информации о логировании и управлении ресурсами данных см. в эталонных реализациях посадочных зон Azure.

Подход "Нулевое доверие" включает в себя обширные элементы управления для данных. С точки зрения реализации Microsoft Purview предоставляет средства для управления данными, защиты и управления рисками. Microsoft Purview можно использовать в рамках развертывания облачной аналитики, чтобы предоставить решение, которое можно реализовать с возможностью масштабирования.

Рекомендации в отношении данных

• В соответствии с принципом демократизации подписки посадочной зоны можно создать доступ и сетевую изоляцию для ресурсов данных, а также установить ведение журналов.

  Существуют политики в эталонных реализациях для ведения журнала и управления ресурсами данных.

• Для удовлетворения целей развертывания требуются другие элементы управления, кроме защиты ресурсов Azure. Безопасность данных нулевого доверия включает классификацию данных, их маркировку для конфиденциальности и управление доступом к данным. Она также выходит за рамки баз данных и файловых систем. Необходимо рассмотреть возможность защиты данных в Microsoft Teams, группах Microsoft 365 и SharePoint.

Рекомендации по данным

• Microsoft Purview предоставляет средства для управления данными, защиты и управления рисками.

• Реализуйте Microsoft Purview в рамках развертывания аналитики облачного масштаба для масштабируемой обработки вашей рабочей нагрузки.

Безопасная инфраструктура

Сведения о целях развертывания для защиты инфраструктуры см. в разделе "Безопасная инфраструктура с нулевой доверием". Для реализации этих целей можно:

• Отслеживайте ненормальное поведение в рабочих нагрузках.
• Управление удостоверениями инфраструктуры.
• Ограничить доступ людей.
• Сегментирование ресурсов.

Рекомендации по инфраструктуре

• К целям развертывания инфраструктуры относятся:

  • Управление ресурсами Azure.
  • Управление средами операционной системы.
  • Доступ к системам.
  • Применение контролей, специфичных для рабочей нагрузки.

• Вы можете использовать модель подписки зоны размещения, чтобы создавать четкие границы безопасности для ресурсов Azure и назначать ограниченные разрешения по мере необходимости на уровне ресурсов.

• Организациям необходимо упорядочить рабочие нагрузки для управления.

Рекомендации по инфраструктуре

• Используйте стандартные политики целевой зоны Azure , чтобы блокировать несоответствующие развертывания и ресурсы, а также применять шаблоны ведения журнала.

• Настройте управление привилегированными удостоверениями в Microsoft Entra ID, чтобы обеспечить доступ по запросу к высокопривилегированным ролям.

• Настройте доступ по требованию в Defender for Cloud для вашей зоны высадки, чтобы ограничить доступ к виртуальным машинам.

• Создайте план для мониторинга отдельных рабочих нагрузок, развернутых в Azure и управления ими.

Защита сетей

Сведения о целях развертывания для защиты сетей см. в разделе "Безопасные сети с нулевой доверием". Для реализации этих целей можно:

• Реализуйте сегментацию сети.
• Используйте облачную фильтрацию.
• Реализуйте права минимального доступа.

Рекомендации по сети

• Чтобы гарантировать, что ресурсы платформы поддерживают модель безопасности "Нулевое доверие", необходимо развернуть брандмауэры, способные проверять трафик HTTPS и изолировать сетевые ресурсы удостоверения и управления из центрального концентратора.

• Помимо сетевых ресурсов в подписке на подключение, необходимо создать планы для микросегментирования индивидуальных рабочих нагрузок в периферийных виртуальных сетях. Например, можно определить шаблоны трафика и создать подробные группы безопасности сети для каждой сети рабочей нагрузки.

Рекомендации по сети

• Используйте следующие руководства по развертыванию в контексте нулевого доверия для настройки вашей ландинговой зоны Azure.

  • Развертывание акселератора портала посадочной зоны Azure с использованием принципов сети "Нулевое доверие"
  • Развертывание сети с помощью принципов сети "Нулевое доверие"
  • Развертывание зоны приземления Azure Terraform с принципами сети 'нулевого доверия'

• Сведения о применении принципов нулевого доверия к доставке приложений см. в разделе "Сеть нулевого доверия" для веб-приложений.

• Сведения о создании плана сетевого обеспечения рабочей нагрузки см. в планах развертывания Zero Trust с Azure.

Видимость, автоматизация и оркестрация

Сведения о целях развертывания для видимости, автоматизации и оркестрации см. в разделе Видимость, автоматизация и оркестрация с нулевым доверием. Для реализации этих целей можно:

• Обеспечение видимости.
• Обеспечение автоматизации.
• Включите дополнительные элементы управления, практикуя постоянное улучшение.

Рекомендации по видимости, автоматизации и оркестрации

• Эталонные реализации посадочной зоны Azure содержат развертыванияMicrosoft Sentinel, которые можно использовать для быстрого установления видимости в вашей среде Azure.

• Эталонные реализации предоставляют политики для ведения журнала Azure, но для других служб требуется дополнительная интеграция.

• Для отправки сигналов следует настроить такие средства автоматизации, как Azure DevOps и GitHub.

Рекомендации по видимости, автоматизации и оркестрации

• Разверните Microsoft Sentinel в рамках целевой зоны Azure.

• Создайте план по интеграции сигналов от Microsoft Entra ID и инструментов в Microsoft 365 в рабочую область Microsoft Sentinel.

• Создайте план проведения учений по поиску угроз и постоянных улучшений безопасности.

Дальнейшие действия

• Безопасность в Microsoft Cloud Adoption Framework для Azure
• применение принципов нулевого доверия к службам Azure
• Оцените свою безопасность в контексте нулевого доверия