Поделиться через

Обзор. Применение принципов нулевого доверия к Azure IaaS

  • Статья

Примечание.

Предстоящее присоединение команды Azure FastTrack к Livestream , как они обсуждают эту статью. 23 октября 2024 г. | 10:00 – 11:00 (UTC-07:00) Тихоокеанское время (США и Канада). Зарегистрируйтесь здесь.

Сводка. Чтобы применить принципы нулевого доверия к компонентам и инфраструктуре Azure IaaS, необходимо сначала понять общую эталонную архитектуру и компоненты хранилища Azure, виртуальных машин и периферийных виртуальных сетей и концентраторов.

Эта серия статей поможет применить принципы нулевого доверия к рабочим нагрузкам в Microsoft Azure IaaS на основе многодисциплинарного подхода к применению принципов нулевого доверия. "Никому не доверяй" — это стратегия безопасности. Это не продукт или услуга, но подход к проектированию и реализации следующего набора принципов безопасности:

  • Прямая проверка
  • Использование доступа с минимальными привилегиями
  • Предполагайте наличие бреши в системе безопасности

Реализация мышления нулевого доверия для "предполагать нарушение, никогда не доверять, всегда проверять" требует изменений в облачной инфраструктуре, стратегии развертывания и реализации.

В этой первоначальной серии пяти статей (включая это введение) показано, как применить подход нулевого доверия к общему бизнес-сценарию ИТ-бизнеса на основе служб инфраструктуры. Работа разбивается на единицы, которые можно настроить вместе следующим образом:

Дополнительные сведения см. в статье "Применение принципов нулевого доверия к виртуальному рабочему столу Azure".

Примечание.

Дополнительные статьи будут добавлены в эту серию в будущем, в том числе способы применения организациями подхода нулевого доверия к приложениям, сетям, данным и службам DevOps на основе реальных ИТ-сред.

Внимание

В этом руководстве по нулю доверия описывается использование и настройка нескольких решений и функций безопасности, доступных в Azure для эталонной архитектуры. Некоторые другие ресурсы также предоставляют рекомендации по обеспечению безопасности для этих решений и функций, в том числе:

Чтобы описать применение подхода нулевого доверия, это руководство предназначено для общего шаблона, используемого в рабочей среде многими организациями: приложение на основе виртуальных машин, размещенное в виртуальной сети (и приложении IaaS). Это распространенный шаблон для организаций, переносирующих локальные приложения в Azure, который иногда называется "lift-and-shift". Эталонная архитектура включает все компоненты, необходимые для поддержки этого приложения, включая службы хранилища и виртуальную сеть концентратора.

Эталонная архитектура отражает общий шаблон развертывания в рабочих средах. Он не основан на целевых зонах корпоративного масштаба, рекомендуемых в Cloud Adoption Framework (CAF), хотя многие из рекомендаций в CAF включены в эталонную архитектуру, например использование выделенной виртуальной сети для размещения компонентов, которые брокер доступа к приложению (центральной виртуальной сети).

Если вы хотите узнать о рекомендациях, рекомендуемых в целевых зонах Azure Cloud Adoption Framework, ознакомьтесь с этими ресурсами:

Эталонная архитектура

На следующем рисунке показана эталонная архитектура для этого руководства по нулю доверия.

Схема эталонной архитектуры для применения нулевого доверия к Azure IaaS, которая содержит различные типы пользователей, распространенные приложения, работающие на виртуальных машинах, службах PaaS и хранилище.

Эта архитектура содержит следующее:

  • Несколько компонентов и элементов IaaS, включая различные типы пользователей и ИТ-потребителей, обращающиеся к приложению с разных сайтов. Например, Azure, Интернет, локальные и филиалы.
  • Общее трехуровневое приложение, содержащее интерфейсный уровень, уровень приложений и уровень данных. Все уровни выполняются на виртуальных машинах в виртуальной сети с именем SPOKE. Доступ к приложению защищен другой виртуальной сетью с именем HUB, которая содержит дополнительные службы безопасности.
  • Некоторые из наиболее используемых служб PaaS в Azure, которые поддерживают приложения IaaS, включая управление доступом на основе ролей (RBAC) и идентификатор Microsoft Entra, которые способствуют подходу к безопасности нулевого доверия.
  • Большие двоичные объекты хранилища и файлы хранилища, предоставляющие хранилище объектов для приложений и файлов, которыми поделились пользователи.

В этой серии статей рассматриваются рекомендации по реализации нулевого доверия для эталонной архитектуры, обращаясь к каждой из этих крупных частей, размещенных в Azure, как показано здесь.

Схема эталонной архитектуры для применения нулевого доверия к Azure IaaS, которая показывает сгруппированные компоненты для хранилища, виртуальных машин и периферийных виртуальных сетей и концентраторов.

Схема описывает более крупные области архитектуры, которые рассматриваются каждой статьей в этой серии:

  1. службы служба хранилища Azure
  2. Виртуальные машины
  3. Периферийные виртуальные сети
  4. Виртуальные сети концентратора

Важно отметить, что руководство в этой серии статей более конкретно для этого типа архитектуры, чем руководство, предоставленное в архитектуре облачной платформы и целевой зоны Azure. Если вы применили рекомендации в любом из этих ресурсов, обязательно ознакомьтесь с этой серией статей для получения дополнительных рекомендаций.

Общие сведения о компонентах Azure

Схема эталонной архитектуры предоставляет топологическое представление среды. Кроме того, важно понять, как можно упорядочить каждый из компонентов в среде Azure. На следующей схеме представлен способ упорядочивания подписок и групп ресурсов. Подписки Azure могут быть организованы по-разному.

Схема логической архитектуры для применения нулевого доверия к Azure IaaS с подписками, Microsoft Defender для облака и Azure Monitor и группами ресурсов в клиенте Идентификатора Microsoft Entra.

На этой схеме инфраструктура Azure содержится в клиенте Идентификатора Microsoft Entra. В следующей таблице описаны различные разделы, показанные на схеме.

  • Подписки Azure

    Ресурсы можно распространять в нескольких подписках, где каждая подписка может содержать разные роли, такие как сетевая подписка или подписка безопасности. Это описано в документации по Cloud Adoption Framework и Целевой зоне Azure, на которые ранее ссылались. Различные подписки также могут содержать различные среды, такие как рабочие, разработки и тестовые среды. Это зависит от того, как вы хотите разделить среду и количество ресурсов, которые будут иметься в каждом из них. Одну или несколько подписок можно управлять вместе с помощью группы управления. Это дает возможность применять разрешения с помощью управления доступом на основе ролей (RBAC) и политик Azure к группе подписок, а не настраивать каждую подписку по отдельности.

  • Microsoft Defender для облака и Azure Monitor

    Для каждой подписки Azure доступен набор решений Azure Monitor и Defender для облака. Если вы управляете этими подписками с помощью группы управления, вы сможете консолидироваться на одном портале для всех функций Azure Monitor и Defender для облака. Например, оценка безопасности, предоставляемая Defender для облака, объединяется для всех подписок, используя группу управления в качестве области.

  • Группа ресурсов хранилища (1)

    Учетная запись хранения содержится в выделенной группе ресурсов. Вы можете изолировать каждую учетную запись хранения в другой группе ресурсов для более детального управления разрешениями. Службы хранилища Azure содержатся в выделенной учетной записи хранения. Вы можете иметь одну учетную запись хранения для каждого типа рабочей нагрузки хранения, например хранилище объектов (также называемое хранилищем BLOB-объектов) и Файлы Azure. Это обеспечивает более детализированный контроль доступа и может повысить производительность.

  • Группа ресурсов виртуальных машин (2)

    Виртуальные машины содержатся в одной группе ресурсов. Кроме того, можно использовать каждый тип виртуальной машины для уровней рабочей нагрузки, таких как интерфейсная часть, приложение и данные в разных группах ресурсов, чтобы изолировать управление доступом.

  • Группы ресурсов виртуальной сети (3) и концентратора (4) в отдельных подписках

    Сеть и другие ресурсы для каждой из виртуальных сетей в эталонной архитектуре изолированы в выделенных группах ресурсов для периферийных и центральных виртуальных сетей. Эта организация хорошо работает, когда ответственность за эти живут в разных командах. Другой вариант — упорядочить эти компоненты, помещая все сетевые ресурсы в одну группу ресурсов и ресурсы безопасности в другую. Это зависит от того, как ваша организация настроена для управления этими ресурсами.

Защита от угроз с помощью Microsoft Defender для облака

Microsoft Defender для облака — это расширенное решение для обнаружения и реагирования (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из вашей среды. Defender для облака предназначено для использования вместе с XDR в Microsoft Defender для обеспечения большей ширины сопоставленной защиты среды, как показано на следующей схеме.

Схема логической архитектуры Microsoft Defender для облака и XDR в Microsoft Defender, которая обеспечивает защиту от угроз для компонентов IaaS Azure.

На схеме:

  • Defender для облака включена для группы управления, включающей несколько подписок Azure.
  • XDR в Microsoft Defender включен для приложений и данных Microsoft 365, приложений SaaS, интегрированных с идентификатором Microsoft Entra ID, и локальная служба Active Directory серверов доменных служб (AD DS).

Дополнительные сведения о настройке групп управления и включении Defender для облака см. в следующем разделе:

Решения по безопасности в этой серии статей

Нулевое доверие включает применение нескольких дисциплин безопасности и защиты информации вместе. В этой серии статей этот многодисциплинарный подход применяется к каждому из единиц работы для компонентов инфраструктуры следующим образом:

Применение принципов нулевого доверия к хранилищу Azure

  1. Защита данных во всех трех режимах: неактивных данных, передачи данных и используемых данных
  2. Проверка доступа пользователей и управление доступом к данным хранилища с минимальными привилегиями
  3. Логически отделять критически важные данные или разделять их с помощью сетевых элементов управления
  4. Использование Defender для хранилища для автоматического обнаружения угроз и защиты

Применение принципов нулевого доверия к виртуальным машинам в Azure

  1. Настройка логической изоляции для виртуальных машин
  2. Использование контроль доступа на основе ролей (RBAC)
  3. Безопасные компоненты загрузки виртуальной машины
  4. Включение ключей, управляемых клиентом, и двойное шифрование
  5. Управление приложениями, установленными на виртуальных машинах
  6. Настройка безопасного доступа
  7. Настройка безопасного обслуживания виртуальных машин
  8. Включение расширенного обнаружения угроз и защиты

Применение принципов нулевого доверия к периферийной виртуальной сети в Azure

  1. Использование Microsoft Entra RBAC или настройка пользовательских ролей для сетевых ресурсов
  2. Изоляция инфраструктуры в собственной группе ресурсов
  3. Создание группы безопасности сети для каждой подсети
  4. Создание группы безопасности приложений для каждой роли виртуальной машины
  5. Защита трафика и ресурсов в виртуальной сети
  6. Безопасный доступ к виртуальной сети и приложению
  7. Включение расширенного обнаружения угроз и защиты

Применение принципов нулевого доверия к виртуальной сети концентратора в Azure

  1. Безопасный Брандмауэр Azure Premium
  2. Развертывание защиты от атак DDoS Azure уровня "Стандартный"
  3. Настройка маршрутизации сетевого шлюза в брандмауэр
  4. Настройка защиты от угроз

Технические иллюстрации

Эти иллюстрации являются репликами эталонных иллюстраций в этих статьях. Скачайте и настройте их для вашей организации и клиентов. Замените логотип Contoso собственным.

Позиция Description
Эскиз рисунка 1Скачать Visio
Обновлено за октябрь 2024 г.		 Применение принципов нулевого доверия к Azure IaaS
Используйте эти иллюстрации со следующими статьями:
- Обзор
- Служба хранилища Azure
- Виртуальные машины
- Периферийные виртуальные сети Azure
- Виртуальные сети Центра Azure
эскиз 2Скачать Visio
Обновлено за октябрь 2024 г.		 Применение принципов нулевого доверия к Azure IaaS — на одной странице
Обзор процесса применения принципов нулевого доверия к средам IaaS Azure.

Дополнительные технические иллюстрации см. в разделе "Нулевое доверие" для ИТ-архитекторов и разработчиков.

Ниже приведены рекомендуемые учебные модули для нулевого доверия.

Управление и контроль Azure

Обучение Описание управления и управления Azure
"Основы Microsoft Azure" включают три схемы обучения: "Описание принципов облачных технологий", "Описание архитектуры и служб Azure" и "Описание контроля и системы управления Azure". Схема обучения "Основы Microsoft Azure. Описание контроля и системы управления Azure" является третьей по счету в курсе "Основы Microsoft Azure". В этой схеме обучения описаны доступные ресурсы для контроля и системы управления, которые помогут вам управлять облачными и локальными ресурсами.
Эта схема обучения помогает подготовить вас к экзамену AZ-900: Основы Microsoft Azure.

Начало >

Настройка Политики Azure

Обучение Настройка Политика Azure
Узнайте, как настроить Политику Azure для реализации соответствия требованиям.
В этом модуле вы узнаете, как:
  • Создавать группы управления для целевых политик и расходных бюджетов.
  • Реализовывать Политику Azure с помощью определений политики и инициатив.
  • Определять область действия политик Azure и их соответствие требованиям.
    		•

    Начало >

    Управление операцией безопасности

    Обучение Управление операцией безопасности
    После развертывания среды Azure и обеспечения ее защиты узнайте, как обеспечить мониторинг, эксплуатацию и непрерывное повышение безопасности своих решений.
    Эта схема обучения помогает подготовить вас к экзамену AZ-500: технологии безопасности Microsoft Azure.

    Начало >

    Настройка безопасности хранилища

    Обучение Настройка безопасности хранилища
    Научитесь настраивать общие возможности обеспечения безопасности службы хранилища Azure, такие как подписанные URL-адреса.
    Из этого модуля вы узнаете, как выполнять следующие задачи:
  • Настройте подписанный URL-адрес (SAS), включая универсальный идентификатор ресурса (URI) и параметры SAS.
  • Настройте шифрование служба хранилища Azure.
  • Внедрять управляемые клиентом ключи.
  • Рекомендуется улучшить служба хранилища Azure безопасность.
    		•

    Начало >

    Настройка брандмауэра Azure

    Обучение Настройка Брандмауэр Azure
    Вы узнаете, как настроить брандмауэр Azure, включая правила брандмауэра.
    По завершении этого модуля вы сможете:
  • Определять, когда следует использовать Брандмауэр Azure.
  • Реализовывать брандмауэр Azure, включая правила брандмауэра.
    		•

    Начало >

    Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
    Безопасность в Azure | Microsoft Learn

    Next Steps

    Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:

    Дополнительные статьи о применении принципов нулевого доверия к сети Azure см. в следующих статьях:

    Ссылки

    Ознакомьтесь со следующими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.