Обзор. Применение принципов нулевого доверия к Azure IaaS

Сводка. Чтобы применить принципы нулевого доверия к компонентам и инфраструктуре Azure IaaS, необходимо сначала понять общую эталонную архитектуру и компоненты хранилища Azure, виртуальных машин и периферийных виртуальных сетей и концентраторов.

Эта серия статей поможет применить принципы нулевого доверия к рабочим нагрузкам в Microsoft Azure IaaS на основе многодисциплинарного подхода к применению принципов нулевого доверия. "Никому не доверяй" — это стратегия безопасности. Это не продукт или услуга, но подход к проектированию и реализации следующего набора принципов безопасности:

  • Явная проверка
  • Использование доступа с минимальными привилегиями
  • Предполагайте наличие бреши в системе безопасности

Реализация мышления нулевого доверия для "предполагать нарушение, никогда не доверять, всегда проверять" требует изменений в облачной инфраструктуре, стратегии развертывания и реализации.

В этой первоначальной серии пяти статей (включая это введение) показано, как применить подход нулевого доверия к общему бизнес-сценарию ИТ-бизнеса на основе служб инфраструктуры. Работа разбивается на модули, которые можно настроить таким образом:

Дополнительные сведения см. в статье "Применение принципов нулевого доверия к виртуальному рабочему столу Azure".

Примечание.

Дополнительные статьи будут добавлены в эту серию в будущем, в том числе способы применения организациями подхода нулевого доверия к приложениям, сетям, данным и службам DevOps на основе реальных ИТ-сред.

Внимание

В этом руководстве по нулю доверия описывается использование и настройка нескольких решений и функций безопасности, доступных в Azure для эталонной архитектуры. Некоторые другие ресурсы также предоставляют рекомендации по обеспечению безопасности для этих решений и функций, в том числе:

Чтобы описать применение подхода "Никому не доверяй", это руководство предназначено для общего шаблона, используемого в рабочей среде многих организаций: приложение на основе виртуальных машин, размещенное в виртуальной сети (и приложение IaaS). Это распространенный шаблон для организаций, переносирующих локальные приложения в Azure, который иногда называется "lift-and-shift". Эталонная архитектура включает все компоненты, необходимые для поддержки этого приложения, включая службы хранилища и виртуальную сеть концентратора.

Эталонная архитектура отражает общий шаблон развертывания в рабочих средах. Она не основана на зонах развертывания корпоративного масштаба, рекомендуемых в Cloud Adoption Framework (CAF), хотя многие из лучших практик CAF включены в эталонную архитектуру, например использование выделенной виртуальной сети для размещения компонентов, которые обеспечивают посреднический доступ к приложению (виртуальной сети-концентратора).

Если вы хотите узнать о рекомендациях, рекомендуемых в целевых зонах Azure Cloud Adoption Framework, ознакомьтесь с этими ресурсами:

Эталонная архитектура

На следующем рисунке показана эталонная архитектура для этого руководства по нулю доверия.

Схема эталонной архитектуры для применения нулевого доверия к Azure IaaS, которая содержит различные типы пользователей, распространенные приложения, работающие на виртуальных машинах, службах PaaS и хранилище.

Эта архитектура содержит следующее:

  • Несколько компонентов и элементов IaaS, включая различные типы пользователей и ИТ-потребителей, обращающиеся к приложению с разных сайтов. Например, Azure, интернет, локальные среды и филиальные офисы.
  • Общее трехуровневое приложение, содержащее интерфейсный уровень, уровень приложений и уровень данных. Все уровни выполняются на виртуальных машинах в виртуальной сети с именем SPOKE. Доступ к приложению защищен другой виртуальной сетью с именем HUB, которая содержит дополнительные службы безопасности.
  • Некоторые из наиболее используемых служб PaaS в Azure, которые поддерживают приложения IaaS, включая управление доступом на основе ролей (RBAC) и идентификатор Microsoft Entra, которые способствуют подходу к безопасности нулевого доверия.
  • Блоки хранилища и файлы в хранилище, предоставляющие объектное хранилище для приложений и файлов, которыми делятся пользователи.

В этой серии статей рассматриваются рекомендации по реализации нулевого доверия для эталонной архитектуры, обращаясь к каждой из этих крупных частей, размещенных в Azure, как показано здесь.

Схема эталонной архитектуры для применения

Схема описывает более крупные области архитектуры, которые рассматриваются каждой статьей в этой серии:

  1. Службы хранилища Azure
  2. Виртуальные машины
  3. Спицевые виртуальные сети
  4. Hub VNet

Важно отметить, что рекомендации в этой серии статей более специфичны для данного типа архитектуры, чем рекомендации, предоставленные в Cloud Adoption Framework и архитектурах целевых зон Azure. Если вы применили рекомендации в любом из этих ресурсов, обязательно ознакомьтесь с этой серией статей для получения дополнительных рекомендаций.

Общие сведения о компонентах Azure

Схема эталонной архитектуры предоставляет топологическое представление среды. Кроме того, важно понять, как можно упорядочить каждый из компонентов в среде Azure. На следующей схеме представлен способ упорядочивания подписок и групп ресурсов. Подписки Azure могут быть организованы по-разному.

Схема логической архитектуры применения

На этой схеме инфраструктура Azure содержится в клиенте Идентификатора Microsoft Entra. В следующей таблице описаны различные разделы, показанные на схеме.

  • Подписки Azure

    Ресурсы можно распределять в нескольких подписках, где каждая подписка может содержать разные роли, такие как сетевая подписка или подписка на безопасность. Это описано в документации по Cloud Adoption Framework и опорной зоне Azure, ранее упомянутой. Различные подписки также могут содержать различные среды, такие как рабочие, разработки и тестовые среды. Это зависит от того, как вы хотите разделить среду и количество ресурсов, которые будут иметься в каждом из них. Одну или несколько подписок можно управлять вместе с помощью группы управления. Это дает возможность применять разрешения с помощью управления доступом на основе ролей (RBAC) и политик Azure к группе подписок, а не настраивать каждую подписку по отдельности.

  • Microsoft Defender для облака и Azure Monitor

    Для каждой подписки Azure доступен набор решений Azure Monitor и Defender для облака. Если вы управляете этими подписками через группу управления, вы можете объединить функции Azure Monitor и Defender для облака в одном портале. Например, оценка безопасности, предоставляемая Defender для облака, объединяется для всех подписок, используя группу управления в качестве области.

  • Группа ресурсов хранилища (1)

    Аккаунт хранения расположен в выделенной группе ресурсов. Вы можете изолировать каждую учетную запись хранения в другой группе ресурсов для более детального управления разрешениями. Службы хранилища Azure содержатся в выделенной учетной записи хранения. Вы можете иметь одну учетную запись хранения для каждого типа рабочей нагрузки хранения, например хранилище объектов (также называемое хранилищем BLOB-объектов) и Файлы Azure. Это обеспечивает более детализированный контроль доступа и может повысить производительность.

  • Группа ресурсов виртуальных машин (2)

    Виртуальные машины содержатся в одной группе ресурсов. Кроме того, можно использовать каждый тип виртуальной машины для уровней рабочей нагрузки, таких как интерфейсная часть, приложение и данные в разных группах ресурсов, чтобы изолировать управление доступом.

  • Группы ресурсов виртуальных сетей spoke (3) и hub (4) в отдельных подписках

    Сеть и другие ресурсы для каждой из виртуальных сетей в эталонной архитектуре изолированы в выделенных группах ресурсов для периферийных и центральных виртуальных сетей. Эта организация хорошо функционирует, когда ответственность за эти задачи распределена между разными командами. Другой вариант — упорядочить эти компоненты, помещая все сетевые ресурсы в одну группу ресурсов и ресурсы безопасности в другую. Это зависит от того, как ваша организация настроена для управления этими ресурсами.

Защита от угроз с помощью Microsoft Defender для облака

Microsoft Defender для облака — это расширенное решение для обнаружения и реагирования (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из вашей среды. Defender для облака предназначен для использования вместе с Microsoft Defender XDR для обеспечения более расширенной коррелированной защиты вашей среды, как показано на следующей схеме.

Схема логической архитектуры Microsoft Defender для облака и XDR в Microsoft Defender, которая обеспечивает защиту от угроз для компонентов IaaS Azure.

На схеме:

  • Defender для облака включена для группы управления, включающей несколько подписок Azure.
  • XDR в Microsoft Defender активирован для приложений и данных Microsoft 365, SaaS приложений, интегрированных с Microsoft Entra ID, и серверов доменных служб Active Directory (AD DS) локально.

Дополнительные сведения о настройке групп управления и включении Defender для облака см. в следующем разделе:

Решения по безопасности в этой серии статей

Нулевое доверие включает применение нескольких дисциплин безопасности и защиты информации вместе. В этой серии статей этот многодисциплинарный подход применяется к каждому из единиц работы для компонентов инфраструктуры следующим образом:

Применение принципов нулевого доверия к хранилищу Azure

  1. Защита данных во всех трех режимах: неактивных данных, передачи данных и используемых данных
  2. Проверка доступа пользователей и управление доступом к данным хранилища с минимальными привилегиями
  3. Логически отделять критически важные данные или разделять их с помощью сетевых элементов управления
  4. Используйте Defender для хранения данных для автоматического обнаружения и защиты от угроз.

Применение принципов нулевого доверия к виртуальным машинам в Azure

  1. Настройка логической изоляции для виртуальных машин
  2. Использование управления доступом на основе ролей (RBAC)
  3. Безопасные компоненты загрузки виртуальной машины
  4. Включение ключей, управляемых клиентом, и двойное шифрование
  5. Управление приложениями, установленными на виртуальных машинах
  6. Настройка безопасного доступа
  7. Настройка безопасного обслуживания виртуальных машин
  8. Включение расширенного обнаружения угроз и защиты

Применение принципов нулевого доверия к периферийной виртуальной сети в Azure

  1. Использование Microsoft Entra RBAC или настройка пользовательских ролей для сетевых ресурсов
  2. Изолируйте инфраструктуру в отдельную группу ресурсов
  3. Создание группы безопасности сети для каждой подсети
  4. Создание группы безопасности приложений для каждой роли виртуальной машины
  5. Защита трафика и ресурсов в виртуальной сети
  6. Безопасный доступ к виртуальной сети и приложению
  7. Включение расширенного обнаружения угроз и защиты

Применение принципов нулевого доверия к виртуальной сети концентратора в Azure

  1. Премиум-брандмауэр Azure с высокой степенью безопасности
  2. Развертывание защиты от атак DDoS Azure уровня "Стандартный"
  3. Настройка маршрутизации сетевого шлюза в брандмауэр
  4. Настройка защиты от угроз

Технические иллюстрации

Эти иллюстрации являются репликами эталонных иллюстраций в этих статьях. Скачайте и настройте их для вашей организации и клиентов. Замените логотип Contoso собственным.

Элемент Описание
Эскиз рисунка 1 Скачать Visio
Обновлено за октябрь 2024 г.
Применение принципов нулевого доверия к Azure IaaS
Используйте эти иллюстрации со следующими статьями:
- Обзор
- Служба хранилища Azure
- Виртуальные машины
- Спицевые виртуальные сети Azure
- Виртуальные сети Центра Azure
миниатюра изображения 2 Скачать Visio
Обновлено за октябрь 2024 г.
Применение принципов нутелевого доверия к Azure IaaS — на одном постере
Обзор процесса применения принципов нулевого доверия к средам IaaS Azure.

Дополнительные технические иллюстрации см. в разделе "Нулевое доверие" для ИТ-архитекторов и разработчиков.

Ниже приведены рекомендуемые учебные модули для нулевого доверия.

Управление и контроль Azure

Обучение Описание управления и корпоративного сопровождения Azure
"Основы Microsoft Azure" включают три схемы обучения: "Описание принципов облачных технологий", "Описание архитектуры и служб Azure" и "Описание контроля и системы управления Azure". Схема обучения "Основы Microsoft Azure. Описание контроля и системы управления Azure" является третьей по счету в курсе "Основы Microsoft Azure". В этой схеме обучения описаны доступные ресурсы для контроля и системы управления, которые помогут вам управлять облачными и локальными ресурсами.
Эта схема обучения помогает подготовить вас к экзамену AZ-900: Основы Microsoft Azure.

Настройка Политики Azure

Обучение Настройка политики Azure
Узнайте, как настроить Политику Azure для реализации соответствия требованиям.
В этом модуле вы узнаете, как:
  • Создавать группы управления для целевых политик и расходных бюджетов.
  • Реализовывать Политику Azure с помощью определений политики и инициатив.
  • Задайте область действия политик Azure и определите соответствие требованиям.
  • Управление операцией безопасности

    Обучение Управление операцией безопасности
    После развертывания среды Azure и обеспечения ее защиты узнайте, как обеспечить мониторинг, эксплуатацию и непрерывное повышение безопасности своих решений.
    Эта схема обучения помогает подготовить вас к экзамену AZ-500: технологии безопасности Microsoft Azure.

    Настройка безопасности хранилища

    Обучение Настройка безопасности хранилища
    Научитесь настраивать общие функции безопасности служба хранилища Azure, такие как подписи доступа к хранилищу.
    Из этого модуля вы узнаете, как выполнять следующие задачи:
  • Настройте подпись общего доступа (SAS), включая универсальный идентификатор ресурса (URI) и параметры SAS.
  • Настройте шифрование хранилища Azure.
  • Внедрять управляемые клиентом ключи.
  • Рекомендуется определить возможности для улучшения безопасности Azure хранилища.
  • Настройка брандмауэра Azure

    Обучение Настройка Брандмауэр Azure
    Вы узнаете, как настроить брандмауэр Azure, включая правила брандмауэра.
    По завершении этого модуля вы сможете:
  • Определять, когда следует использовать Брандмауэр Azure.
  • Реализовывать брандмауэр Azure, включая правила брандмауэра.
  • Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
    Безопасность в Azure | Microsoft Learn

    Дальнейшие шаги

    Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:

    Дополнительные статьи о применении принципов нулевого доверия к сети Azure см. в следующих статьях:

    Ссылки

    Ознакомьтесь со следующими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.