Применение принципов нулевого доверия к виртуальной сети концентратора в Azure

Сводка. Чтобы применить принципы нулевого доверия к центральной виртуальной сети в Azure, необходимо защитить Брандмауэр Azure Premium, развернуть Службу защиты от атак DDoS Уровня "Стандартный", настроить маршрутизацию сетевого шлюза в брандмауэр и настроить защиту от угроз.

Лучший способ развернуть для "Никому не доверяй" централизованную виртуальную сеть на базе Azure (virtual network) — использовать материалы Azure Landing Zone для развертывания полнофункциональной централизованной виртуальной сети, а затем адаптировать её под ваши конкретные требования к конфигурации.

В этой статье описаны шаги, которые помогут взять существующую транзитную виртуальную сеть и убедиться, что она готова к применению методологии "Никому не доверяй". Предполагается, что вы использовали модуль ALZ-Bicep hubNetworking для быстрого развертывания виртуальной сети концентратора или развертывания другой виртуальной сети концентратора с аналогичными ресурсами. Использование отдельного сетевого концентратора, подключенного к изолированным рабочим местам, является якорным шаблоном в безопасной сети Azure и помогает поддерживать принципы нулевого доверия.

В этой статье описывается, как развернуть виртуальную сеть-концентратор для реализации модели "Никому не доверяй", сопоставляя принципы "Никому не доверяй" следующим образом.

Принцип нулевого доверия Определение Встречена
Явная проверка Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Используйте Брандмауэр Azure с инспекцией TLS для проверки риска и угроз на основе всех доступных данных.
Использование доступа с минимальными привилегиями Ограничьте доступ пользователей с помощью технологий Just-In-Time и Just-Enough-Access (JIT/JEA), адаптивных политик на основе риска и защиты данных. Ни одна спицевая виртуальная сеть не имеет доступа к другим спицевым виртуальным сетям, если трафик не проходит через брандмауэр. Брандмауэр по умолчанию запрещает только трафик, разрешенный указанными правилами.
Предполагайте наличие бреши в системе безопасности Минимизируйте радиус поражения и ограничьте доступ к сегментам. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. В случае компрометации или нарушения одного приложения или рабочей нагрузки возможность его распространения ограничена, так как Брандмауэр Azure выполняет проверку трафика и перенаправляет только разрешенный трафик. Только ресурсы в той же рабочей нагрузке будут подвержены нарушению в том же приложении.

Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия в среде в Azure. В этой статье содержатся сведения о настройке виртуальной сети концентратора для поддержки рабочей нагрузки IaaS в периферийной виртуальной сети. Дополнительные сведения см. в разделе "Принципы применения нулевого доверия к Azure IaaS".

Эталонная архитектура

На следующей схеме показана эталонная архитектура. Виртуальная сеть концентратора выделена красным цветом. Дополнительные сведения об этой архитектуре см. в разделе "Принципы применения нулевого доверия к Azure IaaS".

Схема эталонной архитектуры компонентов виртуальной сети концентратора с примененными принципами нулевого доверия.

Для этой эталонной архитектуры существует множество способов развертывания ресурсов в подписке Azure. Эталонная архитектура показывает рекомендацию по изоляции всех ресурсов для виртуальной сети концентратора в выделенной группе ресурсов. Ресурсы виртуальной сети spokes также отображаются для сравнения. Эта модель хорошо работает, если разные команды отвечают за эти различные области.

На схеме виртуальная сеть концентратора включает компоненты для поддержки доступа к другим приложениям и службам в среде Azure. К этим ресурсам относятся:

  • Брандмауэр Azure категории "Премиум"
  • Бастион Azure
  • VPN-шлюз
  • Защита от атак DDOS, которая также должна быть развернута в периферийных виртуальных сетях.

Виртуальная сеть концентратора предоставляет доступ из этих компонентов к приложению на основе IaaS, размещенного на виртуальных машинах в периферийной виртуальной сети.

Рекомендации по организации внедрения облака см. в статье "Управление выравниванием организации" в Cloud Adoption Framework.

Ресурсы, развернутые для виртуальной сети концентратора, :

  • Виртуальная сеть Azure.
  • Брандмауэр Azure с политикой Брандмауэр Azure и общедоступным IP-адресом
  • Бастион
  • VPN-шлюз с общедоступным IP-адресом и таблицей маршрутов

На следующей схеме показаны компоненты группы ресурсов для виртуальной сети концентратора в подписке Azure отдельно от подписки для периферийной виртуальной сети. Это один из способов организации этих элементов в подписке. Ваша организация может упорядочить их по-другому.

Схема логической архитектуры применения модели

На схеме:

  • Ресурсы для виртуальной сети концентратора содержатся в выделенной группе ресурсов. Если вы развертываете план DDoS Azure как часть ресурсов, необходимо включить его в группу ресурсов.
  • Ресурсы в периферийной виртуальной сети содержатся в отдельной выделенной группе ресурсов.

В зависимости от вашей среды развертывания вы также можете заметить, что может использоваться набор частных зон DNS для разрешения DNS для Приватный канал. Они используются для защиты ресурсов PaaS с помощью частных конечных точек, которые подробно описаны в следующем разделе. Обратите внимание, что он развертывает как VPN-шлюз, так и шлюз ExpressRoute. Возможно, вам не потребуется оба варианта, поэтому вы можете удалить любой из них, который не нужен для вашего сценария или отключить его во время развертывания.

Что такое в этой статье?

В этой статье приведены рекомендации по защите компонентов виртуальной сети концентратора в соответствии с принципами "Никому не доверяй". В следующей таблице описаны рекомендации по защите этой архитектуры.

Шаг Задача Применены принципы нулевого доверия
1 Брандмауэр Azure Premium - защищенная версия. Проверить явно
Использование минимально привилегированного доступа
Предполагайте наличие бреши в системе безопасности
2 Разверните службу защиты от атак DDoS Azure уровня "Стандартный". Проверить явно
Использование минимально привилегированного доступа
Предполагайте наличие бреши в системе безопасности
3 Настройте маршрутизацию сетевого шлюза в брандмауэр. Проверить явно
Использование минимально привилегированного доступа
Предполагайте наличие бреши в системе безопасности
4 Настройте защиту от угроз. Предполагайте наличие бреши в системе безопасности

В рамках развертывания необходимо сделать определенные выборки, которые не являются значениями по умолчанию для автоматизированных развертываний из-за дополнительных затрат. Перед развертыванием необходимо проверить затраты.

Работа узла связи в развернутом состоянии по-прежнему обеспечивает значимую пользу для изоляции и проверки. Если ваша организация не готова нести расходы на эти расширенные функции, вы можете развернуть центр ограниченной функциональности и внести эти корректировки позже.

Шаг 1. Защита Брандмауэр Azure Premium

Брандмауэр Azure Premium играет важную роль в обеспечении безопасности инфраструктуры Azure для нулевого доверия.

В рамках развертывания используйте Брандмауэр Azure Premium. Для этого необходимо развернуть созданную политику управления в качестве политики уровня "Премиум". Переход на Брандмауэр Azure Premium включает в себя пересоздание брандмауэра и часто также требует пересоздания политики. В результате начните с Брандмауэр Azure, если это возможно, или подготовитесь к повторному развертыванию действий для замены существующего брандмауэра.

Почему премиум-брандмауэр Azure?

Брандмауэр Azure Premium предоставляет расширенные функции для проверки трафика. Наиболее важными являются следующие варианты проверки TLS:

  • Проверка исходящего ПРОТОКОЛА TLS защищает от вредоносного трафика, который отправляется из внутреннего клиента в Интернет. Это помогает определить, когда клиент был нарушен, и если он пытается отправить данные за пределы сети или установить подключение к удаленному компьютеру.
  • Проверка TLS на востоке Запада защищает от вредоносного трафика, отправляемого из Azure в другие части Azure или в сети, отличные от Azure. Это помогает выявить попытки расширения и распространения радиуса взрыва.
  • Входящая проверка TLS защищает ресурсы в Azure от вредоносных запросов, поступающих извне сети Azure. Шлюз приложений Azure с межсетевым экраном веб-приложений обеспечивает эту защиту.

По возможности следует использовать проверку входящего TLS для ресурсов. Шлюз приложений Azure обеспечивает защиту только для трафика HTTP и HTTPS. Его нельзя использовать для некоторых сценариев, таких как те, которые используют трафик SQL или RDP. Другие службы часто имеют собственные параметры защиты от угроз, которые можно использовать для предоставления явных средств контроля проверки для этих служб. Вы можете просмотреть базовые показатели безопасности для Azure, чтобы понять параметры защиты от угроз для этих служб.

Шлюз приложений Azure не рекомендуется использовать для виртуальной сети концентратора. Вместо этого он должен размещаться в спицевой виртуальной сети или в выделенной виртуальной сети. Дополнительные сведения см. в статье Применение принципов нулевого доверия к периферийной виртуальной сети в Azure с рекомендациями по периферийной виртуальной сети или в статье Сеть с нулевым доверием для веб-приложений.

Эти сценарии имеют конкретные рекомендации по цифровым сертификатам. Подробнее см. на странице Сертификаты Брандмауэра Azure ценовой категории "Премиум".

Без проверки TLS Брандмауэр Azure не имеет видимости в данных, которые передаются по зашифрованному туннелю TLS, и поэтому он менее защищён.

Например, виртуальный рабочий стол Azure не поддерживает завершение SSL. Чтобы понять, как обеспечить проверку TLS, необходимо ознакомиться с конкретными рабочими нагрузками.

Помимо определенных клиентом правил разрешения и запрета, Брандмауэр Azure по-прежнему может применять фильтрацию на основе аналитики угроз. Фильтрация на основе аналитики угроз использует известные плохие IP-адреса и домены для идентификации трафика, который представляет риск. Эта фильтрация возникает до любых других правил, что означает, что даже если доступ был разрешен определенными правилами, Брандмауэр Azure может остановить трафик.

Брандмауэр Azure Premium также имеет расширенные параметры фильтрации URL-адресов и фильтрации веб-категорий, что позволяет более точно настроить роли.

Вы можете настроить анализ угроз так, чтобы получать уведомления об этих событиях, когда этот трафик возникает, но разрешать его прохождение. Однако для "Никому не доверяй" установите "Запретить".

Настройка Брандмауэр Azure Premium для нулевого доверия

Чтобы настроить Брандмауэр Azure Premium в конфигурацию нулевого доверия, внесите следующие изменения.

  1. Включите аналитику угроз в режиме оповещения и запрета:

    1. Перейдите к политике брандмауэра и выберите "Аналитика угроз".
    2. В режиме аналитики угроз выберите "Оповещение" и "Запретить".
    3. Выберите Сохранить.

    Снимок экрана: включение режима аналитики угроз и оповещения и запрета.

  2. Включение проверки TLS:

    1. Подготовьте сертификат для хранения в Key Vault или запланируйте автоматическое создание сертификата с помощью управляемого удостоверения. Вы можете просмотреть эти параметры для сертификатов Брандмауэр Azure Premium, чтобы выбрать подходящий вариант для вашей ситуации.
    2. Перейдите к политике брандмауэра и выберите проверку TLS.
    3. Щелкните Включено.
    4. Выберите управляемое удостоверение для создания сертификатов или выберите хранилище ключей и сертификат.
    5. Затем выберите Сохранить.

    Снимок экрана: включение проверки TLS.

  3. Включите систему обнаружения и предотвращения вторжений (IDPS):

    1. Перейдите к политике брандмауэра и выберите IDPS.
    2. Выберите "Оповещение" и "Запретить".
    3. Затем выберите Применить.

    Снимок экрана: включение системы обнаружения и предотвращения вторжений (IDPS).

  4. Затем необходимо создать правило приложения для трафика.

    1. В политике брандмауэра перейдите к правилам приложений.
    2. Щелкните Добавить коллекцию правил.
    3. Создайте правило приложения с источником подсети Шлюз приложений и назначением доменного имени защищенного веб-приложения.
    4. Убедитесь, что вы включите инспекцию TLS.

    Снимок экрана: шаги по созданию правила приложения.

Дополнительная настройка

После настройки Брандмауэр Azure Premium теперь можно выполнить следующую конфигурацию:

  • Настройте Шлюз приложений для маршрутизации трафика в Брандмауэр Azure, назначив соответствующие таблицы маршрутов и следуя этим рекомендациям.
  • Создайте оповещения для событий и метрик брандмауэра, следуя этим инструкциям.
  • Разверните рабочую книгу Брандмауэр Azure для визуализации событий.
  • При необходимости настройте фильтрацию URL-адресов и веб-категорий. Потому что Брандмауэр Azure по умолчанию блокирует, эта конфигурация необходима только в том случае, если Брандмауэру Azure необходимо предоставить исходящий доступ к Интернету в широком масштабе. Это можно использовать в качестве дополнительной проверки, чтобы определить, должны ли быть разрешены подключения.

Шаг 2. Развертывание защиты от атак DDoS Azure уровня "Стандартный"

В рамках развертывания необходимо развернуть стандартную политику защиты от атак DDoS Azure. Это повышает защиту нулевого доверия, предоставляемую на платформе Azure.

Так как вы можете развернуть созданную политику в существующих ресурсах, эту защиту можно добавить после первоначального развертывания, не требуя повторного развертывания ресурсов.

Почему стандартная защита от DDoS-атак Azure?

Стандартная защита от атак DDoS Azure предоставляет больше преимуществ по сравнению с защитой от атак DDoS по умолчанию. Для нулевого доверия можно использовать следующее:

  • Доступ к отчетам по устранению рисков, журналам потоков и метрикам.
  • Политики устранения рисков на основе приложений.
  • Доступ к поддержке быстрого реагирования DDoS при возникновении атаки DDoS.

Хотя автоматическое обнаружение и автоматическое устранение рисков являются частью DDoS Protection Basic, которая включена по умолчанию, эти функции доступны только в DDoS Standard.

Настройка защиты от атак DDoS Azure уровня "Стандартный"

Поскольку для защиты от атак DDoS стандартного уровня нет конфигураций, связанных с нулевым доверием, вы можете следовать руководствам, связанным с ресурсами, для этого решения.

В текущей версии Azure DDoS Protection необходимо настраивать Azure DDoS Protection для каждой виртуальной сети. Дополнительные инструкции см. в кратком руководстве по DDoS.

Кроме того, защитите следующие общедоступные IP-адреса:

  • общедоступные IP-адреса Брандмауэра Azure
  • Общедоступные IP-адреса Бастиона Azure
  • Общедоступные IP-адреса шлюза сети Azure
  • Шлюз приложений общедоступные IP-адреса

Шаг 3. Настройка маршрутизации сетевого шлюза в брандмауэр

После развертывания необходимо настроить таблицы маршрутов в различных подсетях, чтобы убедиться, что трафик между периферийными виртуальными сетями и локальными сетями проверяется Брандмауэр Azure. Это действие можно выполнить в существующей среде без необходимости повторного развертывания, но необходимо создать необходимые правила брандмауэра, чтобы разрешить доступ.

Если вы настраиваете только одну сторону, либо только периферийные подсети или подсети шлюза, то у вас есть асинхронная маршрутизация, которая предотвращает работу подключений.

Почему маршрутизировать трафик сетевого шлюза в брандмауэр?

Ключевым элементом нулевого доверия является принцип не предполагать, что если что-то находится в вашей среде, оно автоматически должно иметь доступ к другим ресурсам в этой среде. Конфигурация по умолчанию часто разрешает маршрутизацию между ресурсами в Azure в локальные сети, контролируемые только группами безопасности сети.

Путем маршрутизации трафика в брандмауэр вы увеличиваете уровень проверки и повышаете безопасность вашей среды. Вы также оповещены о подозрительном действии и можете предпринять действия.

Настройка маршрутизации шлюза

Существует два основных способа, чтобы обеспечить маршрутизацию трафика шлюза в брандмауэр Azure:

  • Разверните сетевой шлюз Azure (для подключений VPN или ExpressRoute) в выделенной виртуальной сети (часто называемой транзитной виртуальной сетью или виртуальной сетью шлюза), настройте пиринг с центральной виртуальной сетью, а затем создайте общее правило маршрутизации, охватывающее запланированные адресные пространства сети Azure, чтобы направлять трафик через брандмауэр.
  • Разверните сетевой шлюз Azure в центральной виртуальной сети, настройте маршрутизацию в подсети шлюза, а затем настройте маршрутизацию в подсетях периферийной виртуальной сети.

В этом руководстве описан второй вариант, так как он более совместим с эталонной архитектурой.

Примечание.

Менеджер виртуальной сети Azure — это служба, которая упрощает этот процесс. Если эта служба общедоступна, она используется для управления маршрутизацией.

Настройка маршрутизации подсети шлюза

Чтобы настроить таблицу маршрутов подсети шлюза для пересылки внутреннего трафика в Брандмауэр Azure, создайте и настройте новую таблицу маршрутов:

  1. Перейдите в Создать таблицу маршрутов на портале Microsoft Azure.

  2. Поместите таблицу маршрутов в группу ресурсов, выберите регион и укажите имя.

  3. Выберите Обзор + Создание, а затем Создать.

    Снимок экрана: создание таблицы маршрутов.

  4. Перейдите к новой таблице маршрутов и выберите "Маршруты".

    Снимок экрана: выбор таблицы маршрутов.

  5. Выберите " Добавить " и добавьте маршрут в одну из периферийных виртуальных сетей:

    1. В имени маршрута укажите имя поля маршрута.
    2. Выберите IP-адреса в раскрывающемся списке назначения префикса адреса.
    3. Укажите адресное пространство периферийной виртуальной сети в поле "Ip-адреса назначения" или "Диапазоны CIDR ".
    4. Выберите виртуальное устройство в раскрывающемся списке типа следующего перехода.
    5. Укажите частный IP-адрес Брандмауэр Azure в поле адреса следующего прыжка.
    6. Выберите Добавить.

Связывание таблицы маршрутов с подсетью шлюза

  1. Перейдите к подсетям, и выберите Связать.
  2. Выберите виртуальную сеть Концентратора в раскрывающемся списке "Виртуальная сеть ".
  3. Выберите GatewaySubnet в раскрывающемся списке Subnet.
  4. Нажмите ОК.

Рассмотрим пример.

Снимок экрана: связывание подсетей.

Теперь шлюз перенаправит трафик, предназначенный для спицевых виртуальных сетей, в брандмауэр Azure.

Настройка маршрутизации спицевой подсети

В этом процессе предполагается, что у вас уже есть таблица маршрутов, подключенная к подсетям периферийной виртуальной сети, с маршрутом по умолчанию для пересылки трафика в Брандмауэр Azure. Чаще всего это достигается с помощью правила, которое пересылает трафик для диапазона CIDR 0.0.0.0/0 и часто называется "четырехнулевым маршрутом".

Рассмотрим пример.

Снимок экрана настройки маршрутизации спицевой подсети для трафика маршрутов по умолчанию.

Этот процесс отключает распространение маршрутов из шлюза, что позволяет маршруту по умолчанию принимать трафик, предназначенный для локальных сетей.

Примечание.

Ресурсы, такие как Шлюз приложений, для которых требуется доступ к функциям через Интернет, не должны получать эту таблицу маршрутов. Они должны иметь собственную таблицу маршрутов, чтобы поддерживать свои необходимые функции, такие как описано в статье "Сеть с нулевым доверием для веб-приложений с использованием Брандмауэр Azure и Application Gateway".

Чтобы настроить маршрутизацию спицевой подсети, следуйте этим шагам.

  1. Перейдите в таблицу маршрутов, связанную с подсетью, и выберите "Конфигурация".
  2. Для параметра распространения маршрутов шлюза выберите вариант Нет.
  3. Выберите Сохранить.

Скриншот настройки параметра маршрутизации шлюза на

Теперь маршрут по умолчанию перенаправит трафик, предназначенный для шлюза, в Брандмауэр Azure.

Шаг 4. Настройка защиты от угроз

Microsoft Defender для облака может защитить виртуальную сеть концентратора, созданную на Azure, как и другие ресурсы из ит-среды, работающей в Azure или локальной среде.

Microsoft Defender для облачных служб — это служба управления безопасностью облачной инфраструктуры (CSPM) и защиты облачных рабочих нагрузок (CWP), которая предлагает систему оценки безопасности, помогающую вашей компании создавать ИТ-среду с улучшенной безопасностью. Она также включает функции для защиты сетевой среды от угроз.

В этой статье Microsoft Defender для облака не рассматривается подробно. Однако важно понимать, что Microsoft Defender для облака работает на основе политик Azure и журналов, которые он получает в рабочей области Log Analytics.

Политики Azure в нотации объектов JavaScript (JSON) записываются для проведения различных анализа свойств ресурсов Azure, включая сетевые службы и ресурсы. Тем не менее, Microsoft Defender для облака легко может проверить параметры в сетевом ресурсе и предоставить вашей подписке рекомендации о том, защищены ли вы или подвержены угрозе.

Как проверить все сетевые рекомендации, доступные через Microsoft Defender для облака

Чтобы просмотреть все политики Azure, предоставляющие сетевые рекомендации, используемые Microsoft Defender для облака:

Снимок экрана: пример рекомендуемых политик Azure в Microsoft Defender для облака.

  1. Откройте Microsoft Defender для облака, выбрав значок Microsoft Defender для облака в меню слева.

  2. Выберите параметры среды.

  3. Выберите политику безопасности.

  4. При выборе в ASC Default вы сможете просмотреть все доступные политики, включая политики, которые оценивают сетевые ресурсы.

  5. Кроме того, сетевые ресурсы оцениваются другими стандартами соответствия нормативным требованиям, включая PCI, ISO и тест Microsoft облачной безопасности. Вы можете включить любой из них и отслеживать рекомендации сети.

Рекомендации по сети

Выполните следующие действия, чтобы просмотреть некоторые из сетевых рекомендаций на основе теста безопасности microsoft cloud security:

Снимок экрана: пример сетевых рекомендаций в Microsoft Defender для облака.

  1. Откройте Microsoft Defender для облака.

  2. Выберите соответствие нормативным требованиям.

  3. Выберите microsoft cloud security benchmark.

  4. Разверните NS. Сетевой безопасности для проверки рекомендуемого сетевого контроля.

Важно понимать, что Microsoft Defender для облака предоставляют другие сетевые рекомендации для различных ресурсов Azure, таких как виртуальные машины и хранилище. Эти рекомендации можно просмотреть в меню слева в разделе "Рекомендации".

В меню слева на портале Microsoft Defender для облака выберите Security Alerts для просмотра оповещений на основе сетевых ресурсов, чтобы избежать некоторых типов угроз. Эти оповещения создаются автоматически Microsoft Defender для облака на основе журналов, принятых в рабочей области Log Analytics и отслеживаемых Microsoft Defender для облака.

Сопоставление и защита сетевой среды Azure с помощью Microsoft Defender для облака

Вы также можете рассмотреть варианты для улучшения безопасности, укрепляя сетевую среду легко и без дополнительных усилий, сопоставляя ее для полного понимания топологии сети. Эти рекомендации выполняются с помощью параметра защиты рабочей нагрузки в меню слева, как показано здесь.

Снимок экрана примера картирования сети Azure с помощью Microsoft Defender для Azure.

Управление политиками Брандмауэр Azure с помощью Microsoft Defender для облака

Брандмауэр Azure рекомендуется использовать для виртуальной сети концентратора, как описано в этой статье. Microsoft Defender для облака может централизованно управлять несколькими политиками Брандмауэр Azure. Помимо политик Брандмауэр Azure вы сможете управлять другими функциями, связанными с Брандмауэр Azure, как показано здесь.

Снимок экрана: управление политиками брандмауэра Azure с помощью Microsoft Defender для облака.

Дополнительные сведения о том, как Microsoft Defender для облака защищает сетевую среду от угроз, см. в статье "Что такое Microsoft Defender для облака?"

Технические иллюстрации

Эти иллюстрации являются репликами эталонных иллюстраций в этих статьях. Скачайте и настройте их для вашей организации и клиентов. Замените логотип Contoso собственным.

Элемент Описание
Эскиз рисунка 1 Скачать Visio
Обновлено за октябрь 2024 г.		 Применение принципов нулевого доверия к Azure IaaS
Используйте эти иллюстрации со следующими статьями:
- Обзор
- Служба хранилища Azure
- Виртуальные машины
- Спицевые виртуальные сети Azure
- Виртуальные сети Центра Azure
миниатюра изображения 2 Скачать Visio
Обновлено за октябрь 2024 г.		 Применение принципов нутелевого доверия к Azure IaaS — на одном постере
Обзор процесса применения принципов нулевого доверия к средам IaaS Azure.

Дополнительные технические иллюстрации см. в разделе "Нулевое доверие" для ИТ-архитекторов и разработчиков.

Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
Безопасность в Azure | Microsoft Learn

Дальнейшие шаги

Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:

Ссылки

Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.

  • Last updated on