Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сводка. Чтобы применить принципы нулевого доверия к компонентам и инфраструктуре Azure IaaS, необходимо сначала понять общую эталонную архитектуру и компоненты хранилища Azure, виртуальных машин и периферийных виртуальных сетей и концентраторов.
Эта серия статей поможет применить принципы нулевого доверия к рабочим нагрузкам в Microsoft Azure IaaS на основе многодисциплинарного подхода к применению принципов нулевого доверия. "Никому не доверяй" — это стратегия безопасности. Это не продукт или услуга, но подход к проектированию и реализации следующего набора принципов безопасности:
- Явная проверка
- Использование доступа с минимальными привилегиями
- Предполагайте наличие бреши в системе безопасности
Реализация мышления нулевого доверия для "предполагать нарушение, никогда не доверять, всегда проверять" требует изменений в облачной инфраструктуре, стратегии развертывания и реализации.
В этой первоначальной серии пяти статей (включая это введение) показано, как применить подход нулевого доверия к общему бизнес-сценарию ИТ-бизнеса на основе служб инфраструктуры. Работа разбивается на модули, которые можно настроить таким образом:
- Служба хранилища Azure
- Виртуальные машины
- Спицевые виртуальные сети (VNets) для нагрузок, основанных на виртуальных машинах
- Виртуальные сети концентратора для обеспечения доступа к многочисленным рабочим нагрузкам в Azure
Дополнительные сведения см. в статье "Применение принципов нулевого доверия к виртуальному рабочему столу Azure".
Примечание.
Дополнительные статьи будут добавлены в эту серию в будущем, в том числе способы применения организациями подхода нулевого доверия к приложениям, сетям, данным и службам DevOps на основе реальных ИТ-сред.
Внимание
В этом руководстве по нулю доверия описывается использование и настройка нескольких решений и функций безопасности, доступных в Azure для эталонной архитектуры. Некоторые другие ресурсы также предоставляют рекомендации по обеспечению безопасности для этих решений и функций, в том числе:
Чтобы описать применение подхода "Никому не доверяй", это руководство предназначено для общего шаблона, используемого в рабочей среде многих организаций: приложение на основе виртуальных машин, размещенное в виртуальной сети (и приложение IaaS). Это распространенный шаблон для организаций, переносирующих локальные приложения в Azure, который иногда называется "lift-and-shift". Эталонная архитектура включает все компоненты, необходимые для поддержки этого приложения, включая службы хранилища и виртуальную сеть концентратора.
Эталонная архитектура отражает общий шаблон развертывания в рабочих средах. Она не основана на зонах развертывания корпоративного масштаба, рекомендуемых в Cloud Adoption Framework (CAF), хотя многие из лучших практик CAF включены в эталонную архитектуру, например использование выделенной виртуальной сети для размещения компонентов, которые обеспечивают посреднический доступ к приложению (виртуальной сети-концентратора).
Если вы хотите узнать о рекомендациях, рекомендуемых в целевых зонах Azure Cloud Adoption Framework, ознакомьтесь с этими ресурсами:
Эталонная архитектура
На следующем рисунке показана эталонная архитектура для этого руководства по нулю доверия.
Эта архитектура содержит следующее:
- Несколько компонентов и элементов IaaS, включая различные типы пользователей и ИТ-потребителей, обращающиеся к приложению с разных сайтов. Например, Azure, интернет, локальные среды и филиальные офисы.
- Общее трехуровневое приложение, содержащее интерфейсный уровень, уровень приложений и уровень данных. Все уровни выполняются на виртуальных машинах в виртуальной сети с именем SPOKE. Доступ к приложению защищен другой виртуальной сетью с именем HUB, которая содержит дополнительные службы безопасности.
- Некоторые из наиболее используемых служб PaaS в Azure, которые поддерживают приложения IaaS, включая управление доступом на основе ролей (RBAC) и идентификатор Microsoft Entra, которые способствуют подходу к безопасности нулевого доверия.
- Блоки хранилища и файлы в хранилище, предоставляющие объектное хранилище для приложений и файлов, которыми делятся пользователи.
В этой серии статей рассматриваются рекомендации по реализации нулевого доверия для эталонной архитектуры, обращаясь к каждой из этих крупных частей, размещенных в Azure, как показано здесь.
Схема описывает более крупные области архитектуры, которые рассматриваются каждой статьей в этой серии:
Важно отметить, что рекомендации в этой серии статей более специфичны для данного типа архитектуры, чем рекомендации, предоставленные в Cloud Adoption Framework и архитектурах целевых зон Azure. Если вы применили рекомендации в любом из этих ресурсов, обязательно ознакомьтесь с этой серией статей для получения дополнительных рекомендаций.
Общие сведения о компонентах Azure
Схема эталонной архитектуры предоставляет топологическое представление среды. Кроме того, важно понять, как можно упорядочить каждый из компонентов в среде Azure. На следующей схеме представлен способ упорядочивания подписок и групп ресурсов. Подписки Azure могут быть организованы по-разному.
На этой схеме инфраструктура Azure содержится в клиенте Идентификатора Microsoft Entra. В следующей таблице описаны различные разделы, показанные на схеме.
Подписки Azure
Ресурсы можно распределять в нескольких подписках, где каждая подписка может содержать разные роли, такие как сетевая подписка или подписка на безопасность. Это описано в документации по Cloud Adoption Framework и опорной зоне Azure, ранее упомянутой. Различные подписки также могут содержать различные среды, такие как рабочие, разработки и тестовые среды. Это зависит от того, как вы хотите разделить среду и количество ресурсов, которые будут иметься в каждом из них. Одну или несколько подписок можно управлять вместе с помощью группы управления. Это дает возможность применять разрешения с помощью управления доступом на основе ролей (RBAC) и политик Azure к группе подписок, а не настраивать каждую подписку по отдельности.
Microsoft Defender для облака и Azure Monitor
Для каждой подписки Azure доступен набор решений Azure Monitor и Defender для облака. Если вы управляете этими подписками через группу управления, вы можете объединить функции Azure Monitor и Defender для облака в одном портале. Например, оценка безопасности, предоставляемая Defender для облака, объединяется для всех подписок, используя группу управления в качестве области.
Группа ресурсов хранилища (1)
Аккаунт хранения расположен в выделенной группе ресурсов. Вы можете изолировать каждую учетную запись хранения в другой группе ресурсов для более детального управления разрешениями. Службы хранилища Azure содержатся в выделенной учетной записи хранения. Вы можете иметь одну учетную запись хранения для каждого типа рабочей нагрузки хранения, например хранилище объектов (также называемое хранилищем BLOB-объектов) и Файлы Azure. Это обеспечивает более детализированный контроль доступа и может повысить производительность.
Группа ресурсов виртуальных машин (2)
Виртуальные машины содержатся в одной группе ресурсов. Кроме того, можно использовать каждый тип виртуальной машины для уровней рабочей нагрузки, таких как интерфейсная часть, приложение и данные в разных группах ресурсов, чтобы изолировать управление доступом.
Группы ресурсов виртуальных сетей spoke (3) и hub (4) в отдельных подписках
Сеть и другие ресурсы для каждой из виртуальных сетей в эталонной архитектуре изолированы в выделенных группах ресурсов для периферийных и центральных виртуальных сетей. Эта организация хорошо функционирует, когда ответственность за эти задачи распределена между разными командами. Другой вариант — упорядочить эти компоненты, помещая все сетевые ресурсы в одну группу ресурсов и ресурсы безопасности в другую. Это зависит от того, как ваша организация настроена для управления этими ресурсами.
Защита от угроз с помощью Microsoft Defender для облака
Microsoft Defender для облака — это расширенное решение для обнаружения и реагирования (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из вашей среды. Defender для облака предназначен для использования вместе с Microsoft Defender XDR для обеспечения более расширенной коррелированной защиты вашей среды, как показано на следующей схеме.
На схеме:
- Defender для облака включена для группы управления, включающей несколько подписок Azure.
- XDR в Microsoft Defender активирован для приложений и данных Microsoft 365, SaaS приложений, интегрированных с Microsoft Entra ID, и серверов доменных служб Active Directory (AD DS) локально.
Дополнительные сведения о настройке групп управления и включении Defender для облака см. в следующем разделе:
- Упорядочение подписок в группы управления и назначение ролей пользователям
- Включение Defender для облака для всех подписок в группе управления
Решения по безопасности в этой серии статей
Нулевое доверие включает применение нескольких дисциплин безопасности и защиты информации вместе. В этой серии статей этот многодисциплинарный подход применяется к каждому из единиц работы для компонентов инфраструктуры следующим образом:
Применение принципов нулевого доверия к хранилищу Azure
- Защита данных во всех трех режимах: неактивных данных, передачи данных и используемых данных
- Проверка доступа пользователей и управление доступом к данным хранилища с минимальными привилегиями
- Логически отделять критически важные данные или разделять их с помощью сетевых элементов управления
- Используйте Defender для хранения данных для автоматического обнаружения и защиты от угроз.
Применение принципов нулевого доверия к виртуальным машинам в Azure
- Настройка логической изоляции для виртуальных машин
- Использование управления доступом на основе ролей (RBAC)
- Безопасные компоненты загрузки виртуальной машины
- Включение ключей, управляемых клиентом, и двойное шифрование
- Управление приложениями, установленными на виртуальных машинах
- Настройка безопасного доступа
- Настройка безопасного обслуживания виртуальных машин
- Включение расширенного обнаружения угроз и защиты
Применение принципов нулевого доверия к периферийной виртуальной сети в Azure
- Использование Microsoft Entra RBAC или настройка пользовательских ролей для сетевых ресурсов
- Изолируйте инфраструктуру в отдельную группу ресурсов
- Создание группы безопасности сети для каждой подсети
- Создание группы безопасности приложений для каждой роли виртуальной машины
- Защита трафика и ресурсов в виртуальной сети
- Безопасный доступ к виртуальной сети и приложению
- Включение расширенного обнаружения угроз и защиты
Применение принципов нулевого доверия к виртуальной сети концентратора в Azure
- Премиум-брандмауэр Azure с высокой степенью безопасности
- Развертывание защиты от атак DDoS Azure уровня "Стандартный"
- Настройка маршрутизации сетевого шлюза в брандмауэр
- Настройка защиты от угроз
Технические иллюстрации
Эти иллюстрации являются репликами эталонных иллюстраций в этих статьях. Скачайте и настройте их для вашей организации и клиентов. Замените логотип Contoso собственным.
| Элемент | Описание |
|---|---|
|
Обновлено за октябрь 2024 г. |
Применение принципов нулевого доверия к Azure IaaS Используйте эти иллюстрации со следующими статьями: - Обзор - Служба хранилища Azure - Виртуальные машины - Спицевые виртуальные сети Azure - Виртуальные сети Центра Azure |
|
Обновлено за октябрь 2024 г. |
Применение принципов нутелевого доверия к Azure IaaS — на одном постере Обзор процесса применения принципов нулевого доверия к средам IaaS Azure. |
Дополнительные технические иллюстрации см. в разделе "Нулевое доверие" для ИТ-архитекторов и разработчиков.
Рекомендуемое обучение по концепции "Никому не доверяй"
Ниже приведены рекомендуемые учебные модули для нулевого доверия.
Управление и контроль Azure
| Обучение | Описание управления и корпоративного сопровождения Azure |
|---|---|
|
"Основы Microsoft Azure" включают три схемы обучения: "Описание принципов облачных технологий", "Описание архитектуры и служб Azure" и "Описание контроля и системы управления Azure". Схема обучения "Основы Microsoft Azure. Описание контроля и системы управления Azure" является третьей по счету в курсе "Основы Microsoft Azure". В этой схеме обучения описаны доступные ресурсы для контроля и системы управления, которые помогут вам управлять облачными и локальными ресурсами. Эта схема обучения помогает подготовить вас к экзамену AZ-900: Основы Microsoft Azure. |
Настройка Политики Azure
| Обучение | Настройка политики Azure |
|---|---|
|
Узнайте, как настроить Политику Azure для реализации соответствия требованиям. В этом модуле вы узнаете, как: |
Управление операцией безопасности
| Обучение | Управление операцией безопасности |
|---|---|
|
После развертывания среды Azure и обеспечения ее защиты узнайте, как обеспечить мониторинг, эксплуатацию и непрерывное повышение безопасности своих решений. Эта схема обучения помогает подготовить вас к экзамену AZ-500: технологии безопасности Microsoft Azure. |
Настройка безопасности хранилища
| Обучение | Настройка безопасности хранилища |
|---|---|
|
Научитесь настраивать общие функции безопасности служба хранилища Azure, такие как подписи доступа к хранилищу. Из этого модуля вы узнаете, как выполнять следующие задачи: |
Настройка брандмауэра Azure
| Обучение | Настройка Брандмауэр Azure |
|---|---|
|
Вы узнаете, как настроить брандмауэр Azure, включая правила брандмауэра. По завершении этого модуля вы сможете: |
Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
Безопасность в Azure | Microsoft Learn
Дальнейшие шаги
Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:
- Для Azure IaaS:
- Виртуальный рабочий стол Azure
- Виртуальная глобальная сеть Azure
- Приложения IaaS в Amazon Web Services
- Microsoft Sentinel и Microsoft Defender XDR
Дополнительные статьи о применении принципов нулевого доверия к сети Azure см. в следующих статьях:
- Шифрование
- Сегментация
- Обеспечьте видимость сетевого трафика
- Прекращение устаревшей технологии безопасности сети
Ссылки
Ознакомьтесь со следующими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.
- Что такое Azure — Microsoft Облачные службы
- Инфраструктура Azure как услуга (IaaS)
- Виртуальные машины (ВМ) для Linux и Windows
- Введение в хранилище Azure
- Виртуальная сеть Azure
- Общие сведения о системе безопасности Azure
- Руководство по реализации нулевого доверия
- Общие сведения о тесте безопасности microsoft cloud security
- Общие сведения о базовых показателях безопасности для Azure
- Создание первого уровня защиты с помощью служб безопасности Azure
- Эталонная архитектура кибербезопасности корпорации Майкрософт