Поделиться через

Подготовка безопасного облачного имущества

  • Статья

На этапе подготовки к внедрению облака основное внимание уделяется созданию основы недвижимости. Подход к целевой зоне Microsoft Azure предоставляет предприятиям и крупным организациям более безопасный, масштабируемый, модульный шаблон проектирования, который следует при реализации своих активов. Небольшие организации и стартапы могут не нуждаться в уровне организации, которую обеспечивает подход целевой зоны, но понимание философии целевой зоны может помочь любой организации стратегизировать базовый дизайн и получить высокую степень безопасности и масштабируемости.

Определив стратегию и план внедрения облака, можно начать этап реализации, создав основу. Используйте рекомендации, приведенные в этом руководстве, чтобы обеспечить приоритеты безопасности в структуре и реализации.

Эта статья является вспомогательным руководством по методологии готовности. В нем описываются области оптимизации безопасности, которые следует учитывать при переходе на этот этап в пути.

Модернизация системы безопасности

Первые шаги по модернизации системы безопасности создают целевую зону или облачную основу и создают или модернизируют удостоверение, авторизацию и платформу доступа.

  • Внедрение подхода к целевой зоне: внедрение подхода к целевой зоне или включение принципов проектирования подхода целевой зоны к степени практического использования позволяет начать реализацию оптимизированным способом. По мере развития облачного имущества сохранение различных доменов вашего имущества, разделенных, помогает сохранить все имущество более безопасным и управляемым.

    • Если вы не планируете внедрить полную целевую зону предприятия, вам по-прежнему необходимо понять области проектирования и применить рекомендации, относящиеся к вашему облачному поместью. Вам нужно подумать обо всех этих областях проектирования и реализовать элементы управления, относящиеся к каждой области, независимо от того, как ваш фундамент архитектор. Например, использование групп управления может помочь вам управлять облачным имуществом, даже если оно состоит только из нескольких подписок.

Разработка безопасных масштабируемых целевых зон, которые предоставляют управляемые среды для развертывания облачных ресурсов. Эти зоны помогают обеспечить согласованное применение политик безопасности и разделение ресурсов в соответствии с требованиями безопасности. Подробные инструкции по этому разделу см. в области проектирования безопасности.

  • Современное удостоверение, авторизация и доступ: на основе принципов нулевого доверия современный подход к идентификации, авторизации и доступу по умолчанию переходит от доверия к исключению по умолчанию. В соответствии с этими принципами пользователи, устройства, системы и приложения должны иметь доступ только к ресурсам, которым они требуются, и только до тех пор, пока они необходимы для удовлетворения своих потребностей. То же руководство относится к базовым элементам вашего имущества: жестко контролировать разрешения на подписки, сетевые ресурсы, решения управления, платформу управления удостоверениями и клиентами, следуя тем же рекомендациям, которые вы используете для выполняемых рабочих нагрузок. Подробные рекомендации по этому разделу см. в области проектирования управления удостоверениями и доступом.

Упрощение функций Azure

  • Акселераторы целевой зоны Azure: Корпорация Майкрософт поддерживает несколько акселераторов целевой зоны, которые являются предварительно упакованными развертываниями заданного типа рабочей нагрузки, которые можно легко развернуть в целевой зоне, чтобы быстро приступить к работе. К ним относятся акселераторы для служб Azure Integration Services, Служба Azure Kubernetes (AKS), Azure Управление API и других. Ознакомьтесь с разделом "Современный сценарий платформы приложений" в документации по Cloud Adoption Framework для Azure, чтобы получить полный список акселераторов и других разделов, связанных с современными рекомендациями по приложениям.

  • Модуль Terraform целевых зон Azure: вы можете оптимизировать развертывания целевой зоны с помощью модуля Terraform целевых зон Azure. С помощью конвейера непрерывной интеграции и непрерывного развертывания (CI/CD) для развертывания целевых зон можно убедиться, что все целевые зоны развертываются одинаково со всеми механизмами безопасности.

  • Microsoft Entra: Microsoft Entra — это семейство продуктов для идентификации и доступа к сети. Он позволяет организациям реализовать стратегию безопасности нулевого доверия и создать структуру доверия, которая проверяет удостоверения, проверяет условия доступа, проверяет разрешения, шифрует каналы подключения и отслеживает компромисс.

Подготовка к подготовке и реагированию на инциденты

После определения стратегии и разработки плана подготовки и реагирования на инциденты можно начать реализацию. Независимо от того, принимаете ли вы полный проект целевой зоны предприятия или меньший базовый дизайн, разделение сети имеет решающее значение для поддержания высокой степени безопасности.

Сегментация сети. Разработка сетевой архитектуры с надлежащей сегментацией и изоляцией, чтобы минимизировать поверхности атак и содержать потенциальные нарушения. Используйте такие методы, как виртуальные частные облака ,подсети и группы безопасности для управления трафиком и управления ими. Подробные рекомендации по этому разделу см. в статье "План сегментации сети". Обязательно просмотрите остальные руководства по безопасности сети целевой зоны Azure. В этом руководстве содержатся рекомендации по входящего и исходящему подключению, шифрованию сети и проверке трафика.

Упрощение функций Azure

  • Azure Виртуальная глобальная сеть. Azure Виртуальная глобальная сеть — это сетевая служба, которая объединяет множество функций сети, безопасности и маршрутизации для предоставления единого операционного интерфейса. Проект — это архитектура концентратора и периферийной архитектуры, которая имеет масштабируемую и производительность, встроенную для ветвей (устройства VPN/SD-WAN), пользователей (клиенты Azure VPN/OpenVPN/IKEv2), каналы Azure ExpressRoute и виртуальные сети. При реализации целевых зон Azure Виртуальная глобальная сеть поможет оптимизировать сеть с помощью механизмов сегментации и безопасности.

Подготовка к конфиденциальности

На этапе готовности подготовка к рабочим нагрузкам с точки зрения конфиденциальности — это процесс обеспечения реализации и применения политик IAM. Эта подготовка гарантирует, что при развертывании рабочих нагрузок данные будут защищены по умолчанию. Обязательно должны иметь хорошо управляемые политики и стандарты для:

  • Принцип наименьшей привилегии. Предоставьте пользователям минимальный доступ, необходимый для выполнения своих задач.

  • Управление доступом на основе ролей (RBAC). Назначение ролей и разрешений на основе обязанностей задания. Это помогает эффективно управлять доступом и снижает риск несанкционированного доступа.

  • Многофакторная проверка подлинности (MFA). Реализуйте MFA для добавления дополнительного уровня безопасности.

  • Элементы управления условным доступом. Средства управления условным доступом обеспечивают дополнительную безопасность, применяя политики на основе определенных условий. Политики могут включать применение MFA, блокировку доступа на основе географического региона и многих других сценариев. При выборе платформы IAM убедитесь, что условный доступ поддерживается и что реализация соответствует вашим требованиям.

Упрощение функций Azure

  • Условный доступ Microsoft Entra — это подсистема политики microsoft Zero Trust. Он принимает сигналы из различных источников в учет при применении решений политики.

Подготовка к целостности

Как и при подготовке к конфиденциальности, убедитесь, что у вас есть хорошо управляемые политики и стандарты для целостности данных и системы, чтобы вы развертывали рабочие нагрузки с улучшенной безопасностью по умолчанию. Определите политики и стандарты для следующих областей.

Рекомендации по управлению данными

  • Классификация данных. Создайте платформу классификации данных и таксономию меток конфиденциальности, которая определяет высокоуровневые категории рисков безопасности данных. Эту таксономию можно использовать для упрощения всего процесса инвентаризации данных или аналитических сведений о действиях, а также для управления политиками до определения приоритетов. Подробные рекомендации по этому разделу см. в статье "Создание хорошо разработанной платформы классификации данных".

  • Проверка и проверка данных: инвестируйте в средства, которые автоматизируют проверку и проверку данных, чтобы снизить нагрузку на инженеров и администраторов данных, а также снизить риск человеческой ошибки.

  • Политики резервного копирования: политики резервного копирования Кодифицируются, чтобы обеспечить регулярное резервное копирование всех данных. Регулярно тестируйте резервные копии и восстанавливайте их, чтобы обеспечить успешность резервного копирования и согласованность данных. Выравнивайте эти политики с целевыми целями времени восстановления вашей организации (RTO) и целевой точкой восстановления (RPO).

  • Надежное шифрование. Убедитесь, что поставщик облачных служб шифрует неактивные данные и передает данные по умолчанию. В Azure данные шифруются в конце. Дополнительные сведения см. в Центре управления безопасностью Майкрософт. Для служб, используемых в рабочих нагрузках, убедитесь, что строгое шифрование поддерживается и настроено соответствующим образом в соответствии с вашими бизнес-требованиями.

Шаблоны проектирования целостности системы

  • Мониторинг безопасности. Чтобы обнаружить несанкционированные изменения в облачных системах, создайте надежную платформу мониторинга безопасности в рамках общей стратегии мониторинга и наблюдения. Подробные рекомендации см. в разделе "Управление методологией мониторинга". Рекомендации по мониторингу безопасности см. в руководстве по видимости нулевого доверия, автоматизации и оркестрации.

    • SIEM и обнаружение угроз: используйте средства управления безопасностью и событиями (SIEM) и оркестрацию безопасности, автоматизацию и реагирование (SOAR) и средства обнаружения угроз для обнаружения подозрительных действий и потенциальных угроз в инфраструктуре.

  • Автоматическое управление конфигурацией. Кодифицируйте использование инструментов для автоматизации управления конфигурацией. Автоматизация помогает гарантировать, что все конфигурации системы согласованы, свободны от человеческой ошибки и применяются автоматически.

  • Автоматическое управление исправлениями. Кодифицируйте использование инструментов для управления обновлениями для виртуальных машин и управления ими. Автоматическое исправление помогает обеспечить регулярное исправление всех систем и согласованность системных версий.

  • Автоматизированные развертывания инфраструктуры. Кодифицируйте использование инфраструктуры в качестве кода (IaC) для всех развертываний. Разверните IaC в составе конвейеров CI/CD. Примените те же методы безопасного развертывания для развертываний IaC, что и для развертываний программного обеспечения.

Упрощение функций Azure

  • Политика Azure и Microsoft Defender для облака совместно работать, чтобы определить и применить политики безопасности в облаке. Оба решения поддерживают управление основными элементами и ресурсами рабочей нагрузки.

  • Azure Update Manager — это собственное решение для управления обновлениями и исправлениями Azure. Его можно расширить на локальные системы и системы с поддержкой Arc.

  • Microsoft Sentinel — это решение Microsoft SIEM и SOAR. Он обеспечивает обнаружение, расследование и реагирование, упреждающее охоту и комплексное представление по всей организации.

Подготовка к доступности

Проектирование рабочих нагрузок для обеспечения устойчивости помогает гарантировать, что бизнес может противостоять сбоям и инцидентам безопасности, и что операции могут продолжаться в то время как проблемы с затронутыми системами устраняются. Следующие рекомендации, которые соответствуют принципам Cloud Adoption Framework, помогут вам разработать устойчивые рабочие нагрузки:

  • Реализуйте устойчивый дизайн приложения. Внедряйте шаблоны проектирования приложений, которые повышают устойчивость как от инфраструктуры, так и от инцидентов, не относящихся к инфраструктуре, в соответствии с более широкими принципами Cloud Adoption Framework. Стандартизируйте проекты, которые включают механизмы самовосстановления и самосохранения, чтобы обеспечить непрерывную операцию и быстрое восстановление. Подробные рекомендации по устойчивым шаблонам проектирования см. в разделе "Надежность хорошо архитекторированной платформы".

  • Внедрение бессерверной архитектуры. Используйте бессерверные технологии, включая платформу как службу (PaaS), программное обеспечение как услугу (SaaS) и функцию как службу (FaaS), чтобы сократить затраты на управление серверами, автоматически масштабироваться с помощью спроса и повысить доступность. Этот подход поддерживает cloud Adoption Framework, ориентированный на модернизацию рабочих нагрузок и оптимизацию эффективности работы.

  • Используйте микрослужбы и контейнеризацию. Реализуйте микрослужбы и контейнеризацию, чтобы избежать монолитных приложений, разбив их на небольшие независимые службы, которые можно развертывать и масштабировать независимо. Этот подход соответствует принципам гибкости и масштабируемости в облачных средах Cloud Adoption Framework.

  • Отделять службы. Стратегически изолируйте службы друг от друга, чтобы уменьшить радиус взрыва инцидентов. Эта стратегия помогает гарантировать, что сбои в одном компоненте не влияют на всю систему. Она поддерживает модель управления Cloud Adoption Framework, повышая надежные границы служб и устойчивость к работе.

  • Включите автоматическое масштабирование. Убедитесь, что архитектура приложения поддерживает автоматическое масштабирование для обработки различных нагрузок, чтобы обеспечить доступность во время пиков трафика. Эта практика соответствует рекомендациям Cloud Adoption Framework по созданию масштабируемых и адаптивных облачных сред и помогает поддерживать управление затратами и прогнозируемость.

  • Реализуйте изоляцию сбоя. Разработка приложения для изоляции сбоев для отдельных задач или функций. Это может помочь предотвратить широко распространенные сбои и повысить устойчивость. Этот подход поддерживает Cloud Adoption Framework, ориентированный на создание надежных и отказоустойчивых систем.

  • Обеспечение высокой доступности. Включите встроенные механизмы избыточности и аварийного восстановления для поддержания непрерывной работы. Этот подход поддерживает рекомендации Cloud Adoption Framework для планирования высокого уровня доступности и непрерывности бизнес-процессов.

  • Планирование автоматической отработки отказа. Развертывание приложений в нескольких регионах для поддержки простой отработки отказа и непрерывной службы. Этот подход соответствует стратегии Cloud Adoption Framework для географического избыточности и аварийного восстановления.

Подготовка к поддержанию безопасности

На этапе готовности подготовка к долгосрочной поддержке безопасности включает в себя обеспечение того, чтобы базовые элементы вашего имущества придерживались рекомендаций по обеспечению безопасности для начальных рабочих нагрузок, но также масштабируются. Это поможет вам убедиться, что по мере роста и развития вашего имущества ваша безопасность не будет скомпрометирована, и управление вашей безопасностью не станет слишком сложной и обременительной. Это, в свою очередь, помогает избежать теневого ИТ-поведения. Для этого на этапе готовности подумайте о том, как ваши бизнес-цели в долгосрочной перспективе можно достичь без крупных архитектурных перепроектов или крупных капитальных ремонтов в операционных практиках. Даже если вы решили создать гораздо более простой фундамент, чем проект целевой зоны, убедитесь, что вы можете перейти к корпоративной архитектуре, не требуя повторного развертывания основных элементов вашего имущества, таких как сеть и критически важные рабочие нагрузки. Создание дизайна, которое может расти по мере роста вашего имущества, но по-прежнему оставаться безопасным, является важной для успеха вашего облачного путешествия.

Сведения о переносе существующей среды Azure в концептуальную архитектуру целевой зоны Azure см. в рекомендациях по перемещению существующего пространства Azure в архитектуру целевой зоны.

Следующий шаг

Внедрение в облако с помощью повышенной безопасности