Обзор. Применение принципов нулевого доверия к сети Azure
Эта серия статей поможет применить принципы нулевого доверия к сетевой инфраструктуре в Microsoft Azure на основе многодисциплинарного подхода. "Никому не доверяй" — это стратегия безопасности. Это не продукт или услуга, но подход к проектированию и реализации следующего набора принципов безопасности:
- Прямая проверка
- Использование доступа с минимальными привилегиями
- Предполагайте наличие бреши в системе безопасности
Реализация мышления "Нулевого доверия" позволяет "предполагать нарушение, никогда не доверять, всегда проверять" требует изменений в инфраструктуре облачных сетей, стратегии развертывания и реализации.
В следующих статьях показано, как применить подход нулевого доверия к сети для часто развернутых служб инфраструктуры Azure:
- Шифрование
- Сегментация
- Получение видимости сетевого трафика
- Прекращение устаревшей технологии безопасности сети
Внимание
В этом руководстве по нулю доверия описывается использование и настройка нескольких решений и функций безопасности, доступных в Azure для эталонной архитектуры. Некоторые другие ресурсы также предоставляют рекомендации по обеспечению безопасности для этих решений и функций, в том числе:
Чтобы описать применение подхода нулевого доверия, это руководство предназначено для общего шаблона, используемого в рабочей среде многими организациями: приложение на основе виртуальных машин, размещенное в виртуальной сети (и приложении IaaS). Это распространенный шаблон для организаций, переносирующих локальные приложения в Azure, который иногда называется "lift-and-shift".
Защита от угроз с помощью Microsoft Defender для облака
Для принципа "Предполагать нарушение нулевого доверия" для сети Azure Microsoft Defender для облака — это расширенное решение для обнаружения и ответа (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из вашей среды. Defender для облака предназначено для использования вместе с XDR в Microsoft Defender для обеспечения большей ширины сопоставленной защиты среды, как показано на следующей схеме.
На схеме:
- Defender для облака включена для группы управления, включающей несколько подписок Azure.
- XDR в Microsoft Defender включен для приложений и данных Microsoft 365, приложений SaaS, интегрированных с идентификатором Microsoft Entra ID, и локальная служба Active Directory серверов доменных служб (AD DS).
Дополнительные сведения о настройке групп управления и включении Defender для облака см. в следующем разделе:
- Упорядочение подписок в группы управления и назначение ролей пользователям
- Включение Defender для облака для всех подписок в группе управления
Дополнительные ресурсы
Дополнительные статьи о применении принципов нулевого доверия к Azure IaaS см. в следующих статьях: