Общие сведения о примере базовой схемы для Azure Security Benchmark
Внимание
11 июля 2026 г. схемы (предварительная версия) будут устарели. Перенос существующих определений схемы и назначений в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Сведения о создании артефакта в качестве ресурса ARM см. в статье:
Пример базовой схемы для Azure Security Benchmark содержит набор основных шаблонов инфраструктуры, которые помогут вам создать безопасную и соответствующую требованиям среду Azure. С помощью этой схемы вы можете развертывать облачную архитектуру, которая предоставляет решения для сценариев с определенными требованиями к аккредитации или соответствию. Оно позволяет развернуть и настроить границы сети, мониторинг, а также другие ресурсы в соответствии с политиками и ограничениями, определенными в Azure Security Benchmark.
Архитектура
В основе архитектуры базовой среды, создаваемой с помощью этого примера схемы, лежит звездообразная модель. Схема позволяет развернуть центральную виртуальную сеть, которая содержит общие ресурсы, службы и артефакты, такие как Бастион Azure, шлюз и брандмауэр. Эти ресурсы обеспечивают подключение и управление, а также работу переходных подсетей для размещения дополнительной инфраструктуры управления, обслуживания, администрирования и подключения. Для размещения таких рабочих нагрузок приложений, как веб-службы и службы баз данных развертываются одна или более периферийных виртуальных сетей. Периферийные виртуальные сети подключаются к центральной путем пиринга между виртуальными сетями Azure. Это позволяет установить простое и безопасное подключение. Можно добавлять дополнительные периферийные сети. Для этого переназначьте пример схемы или вручную создайте виртуальную сеть Azure и установите пиринг между ней и центральной виртуальной сетью. Все внешние подключения к периферийным сетям и подсетям настраиваются для маршрутизации через центральную виртуальную сеть с использованием брандмауэра, шлюза и переходных сред управления.
Схема позволяет развернуть несколько служб Azure, чтобы создать безопасную и отслеживаемую базовую среду, готовую к работе на предприятии. Эта среда включает следующие компоненты:
- Журналы Azure Monitor и учетную запись Azure, которые позволяют хранить журналы ресурсов и действий, а также метрики и потоки трафика в центральном расположении для простой подачи запросов, аналитики, архивации и отправки оповещений.
- Центр безопасности Azure (стандартная версия) для защиты ресурсов Azure от угроз.
- Виртуальную сеть Azure в подсетях, поддерживающих центр, для обратного подключения к локальной сети и возможности подключения для передачи входящего и исходящего интернет-трафика, а также в дополнительных подсетях для развертывания дополнительных служб администрирования и управления. Виртуальная сеть в звездообразной архитектуре содержит подсети для размещения рабочих нагрузок приложений. После развертывания можно по мере необходимости создавать дополнительные подсети для поддержки применимых сценариев.
- Брандмауэр Azure для маршрутизации всего исходящего интернет-трафика и включения входящего интернет-трафика с помощью переходной среды (правила брандмауэра по умолчанию блокируют весь входящий и исходящий интернет-трафик, поэтому после развертывания нужно настроить правила, если это применимо).
- Группы безопасности сети (NSG), назначенные всем подсетям (за исключением подсетей, принадлежащих таким службам, как Бастион Azure, Шлюз приложений и Брандмауэр Azure), которые настроены для блокировки всего входящего и исходящего интернет-трафика.
- Группы безопасности приложений, которые обеспечивают группирование виртуальных машин Azure для применения общих политик безопасности сети.
- Таблицы маршрутизации для маршрутизации всего исходящего интернет-трафика из подсетей через брандмауэр (после развертывания нужно будет настроить Брандмауэр Azure и правила NSG, чтобы установить подключение).
- Наблюдатель за сетями для мониторинга, диагностики и просмотра метрик ресурсов в виртуальной сети Azure.
- Защита от атак DDoS Azure для защиты ресурсов Azure от атак DDoS.
- Бастион Azure для простого и безопасного подключения к виртуальной машине без необходимости в общедоступном IP-адресе, агенте или специальном клиентском программном обеспечении.
- VPN-шлюз Azure для передачи зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет.
Примечание.
В базовой схеме для Azure Security Benchmark представлена основная архитектура для рабочих нагрузок. Приведенная выше схема архитектуры включает несколько значимых ресурсов для демонстрации возможного использования подсетей. Вам потребуется развернуть рабочие нагрузки на основе этой базовой архитектуры.
Следующие шаги
Вы ознакомились с общими сведениями о примере базовой схемы для Azure Security Benchmark и его архитектурой.
Дополнительные статьи о схемах и способах их использования:
- Ознакомьтесь со сведениями о жизненном цикле схем.
- Узнайте, как использовать статические и динамические параметры.
- Научитесь настраивать последовательность схемы.
- Узнайте, как применять блокировку ресурсов схемы.
- Узнайте, как обновлять существующие назначения.