تحرير

بناء الطبقة الأولى من الدفاع باستخدام خدمات أمان Azure

Azure
معرف Microsoft Entra

أفكار الحل

هذه المقالة هي فكرة حل. إذا كنت ترغب في توسيع المحتوى بمزيد من المعلومات، مثل حالات الاستخدام المحتملة أو الخدمات البديلة أو اعتبارات التنفيذ أو إرشادات التسعير، فقم بإعلامنا من خلال تقديم ملاحظات GitHub.

يمكنك إنشاء بنية أساسية كاملة لتهيئة تكنولوجيا المعلومات لتشغيل مؤسستك باستخدام خدمات Azure المختلفة. يقدم Azure أيضا خدمات الأمان لحماية البنية الأساسية الخاصة بك. باستخدام خدمات أمان Azure، يمكنك تحسين وضع الأمان لبيئة تكنولوجيا المعلومات الخاصة بك. يمكنك التخفيف من الثغرات الأمنية وتجنب الخروقات من خلال تنفيذ حل جيد التصميم يتبع توصيات من Microsoft.

تتحمل بعض خدمات الأمان رسوما بينما لا تفرض خدمات أخرى رسوما إضافية. تتضمن الخدمات المجانية مجموعات أمان الشبكة (NSGs) وتشفير التخزين وTLS/SSL ورمز توقيع الوصول المشترك والعديد من الرموز الأخرى. تتناول هذه المقالة هذه الخدمات.

هذه المقالة هي الثالثة في سلسلة من خمسة. لمراجعة المقالتين السابقتين في هذه السلسلة، بما في ذلك مقدمة ومراجعة كيفية تعيين التهديدات ضد بيئة تكنولوجيا المعلومات، راجع المقالات التالية:

حالات الاستخدام المحتملة

تقدم هذه المقالة خدمات أمان Azure وفقا لكل خدمة Azure. بهذه الطريقة، يمكنك التفكير في تهديد معين ضد المورد - جهاز ظاهري (VM) أو نظام تشغيل أو شبكة Azure أو تطبيق - أو هجوم قد يعرض المستخدمين وكلمات المرور للخطر. ثم استخدم الرسم التخطيطي في هذه المقالة لمساعدتك على فهم خدمات أمان Azure التي يجب استخدامها لحماية الموارد وهويات المستخدمين من هذا النوع من التهديدات.

بناء الأنظمة

رسم تخطيطي للموارد المحلية والخدمات من Microsoft 365 وAzure و16 نوعا من التهديدات حسب تصنيف مصفوفة MITRE ATTACK.

قم بتنزيل ملف Visio لهذه البنية.

©2021 شركة MITRE. يتم إعادة إنتاج هذا العمل وتوزيعه بإذن من شركة MITRE.

تستند طبقة أمان Azure في هذا الرسم التخطيطي إلى الإصدار 3 من معيار أمان Azure (ASB)، وهي مجموعة من قواعد الأمان التي يتم تنفيذها من خلال نهج Azure. ويستند ASB على مجموعة من القواعد من مركز CIS لأمن الإنترنت والمعهد الوطني للمعايير والتكنولوجيا. لمزيد من المعلومات حول ASB، راجع نظرة عامة على معيار أمان Azure الإصدار 3.

لا يحتوي الرسم التخطيطي على جميع خدمات أمان Azure المتوفرة، ولكنه يعرض خدمات الأمان الأكثر استخداما من قبل المؤسسات. يمكن لجميع خدمات الأمان التي تم تحديدها في الرسم التخطيطي المعماري العمل معا في أي تركيبة وفقا لبيئة تكنولوجيا المعلومات ومتطلبات الأمان الخاصة بمؤسستك.

‏‏سير العمل‬

يصف هذا القسم المكونات والخدمات التي تظهر في الرسم التخطيطي. يتم تسمية العديد من هذه مع رموز التحكم ASB الخاصة بهم، بالإضافة إلى تسمياتهم المختصرة. تتوافق رموز التحكم مع مجالات التحكم المدرجة في عناصر التحكم.

  1. معيار أمان AZURE

    يشير كل عنصر تحكم أمان إلى واحد أو أكثر من خدمات أمان Azure المحددة. يعرض مرجع البنية في هذه المقالة بعضها وأرقام عناصر التحكم الخاصة بها وفقا لوثائق ASB. تتضمن عناصر التحكم ما يلي:

    • أمن الشبكة
    • إدارة الهوية
    • الوصول المتميز
    • حماية البيانات
    • إدارة الأصول
    • التسجيل والكشف عن التهديدات
    • الاستجابة للحدث
    • إدارة التوافق والثغرات الأمنية
    • أمان نقطة النهاية
    • النسخ الاحتياطي والاسترداد.
    • أمان DevOps
    • الحوكمة والاستراتيجية

    لمزيد من المعلومات حول عناصر التحكم في الأمان، راجع نظرة عامة على معيار أمان Azure (v3).

  2. NETWORK

    يصف الجدول التالي خدمات الشبكة في الرسم التخطيطي.

    التسمية ‏‏الوصف الوثائق
    NSG خدمة مجانية تقوم بإرفاقها بواجهة شبكة أو شبكة فرعية. تسمح لك NSG بتصفية حركة مرور بروتوكول TCP أو UDP باستخدام نطاقات عناوين IP والمنافذ للاتصالات الواردة والصادرة. مجموعات أمان الشبكة
    Vpn بوابة شبكة ظاهرية خاصة (VPN) توفر نفقا مع حماية IPSEC (IKE v1/v2). بوابة VPN
    جدار حماية AZURE نظام أساسي كخدمة (PaaS) يوفر الحماية في الطبقة 4 ويرفق بشبكة ظاهرية بأكملها. ما هو Azure Firewall؟
    APP GW + WAF بوابة تطبيق Azure مع جدار حماية تطبيق الويب (WAF). بوابة التطبيق هي موازن تحميل لحركة مرور الويب التي تعمل في الطبقة 7 وتضيف WAF لحماية التطبيقات التي تستخدم HTTP وHTTPS. ما هي Azure Application Gateway؟
    NVA الأجهزة الظاهرية للشبكة (NVA)، وهي خدمات أمان ظاهرية من السوق يتم توفيرها على الأجهزة الظاهرية على Azure. الأجهزة الظاهرية للشبكة
    دوس تم تنفيذ حماية DDoS على الشبكة الظاهرية لمساعدتك في التخفيف من أنواع مختلفة من هجمات DDoS. نظرة عامة على حماية شبكة Azure DDoS
    TLS/SSL توفر TLS/SSL التشفير أثناء النقل لمعظم خدمات Azure التي تتبادل المعلومات، مثل Azure Storage وWeb Apps. تكوين TLS من طرف إلى طرف باستخدام بوابة التطبيق مع PowerShell
    PRIVATE LINK الخدمة التي تسمح لك بإنشاء شبكة خاصة لخدمة Azure التي تتعرض في البداية للإنترنت. ما هو Azure Private Link؟
    نقطة نهاية خاصة إنشاء واجهة شبكة وإرفاقها بخدمة Azure. نقطة النهاية الخاصة هي جزء من Private Link. يتيح هذا التكوين للخدمة، باستخدام نقطة نهاية خاصة، أن تكون جزءا من شبكتك الظاهرية. ما هي نقطة النهاية الخاصة؟

  3. البنية الأساسية ونقاط النهاية

    يصف الجدول التالي خدمات البنية الأساسية ونقطة النهاية التي تظهر في الرسم التخطيطي.

    التسمية ‏‏الوصف الوثائق
    معقل يوفر Bastion وظيفة خادم الانتقال السريع. تسمح لك هذه الخدمة بالوصول إلى الأجهزة الظاهرية الخاصة بك من خلال بروتوكول سطح المكتب البعيد (RDP) أو SSH دون تعريض الأجهزة الظاهرية الخاصة بك إلى الإنترنت. ما هو Azure Bastion؟
    مكافحة البرامج الضارة يوفر Microsoft Defender خدمة مكافحة البرامج الضارة وهو جزء من Windows 10 وWindows 11 وWindows Server 2016 وWindows Server 2019. برنامج الحماية من الفيروسات من Microsoft Defender في Windows
    تشفير القرص يسمح لك تشفير القرص بتشفير قرص الجهاز الظاهري. ⁧⁩تشفير قرص Azure لأجهزة Windows⁧ الظاهرية
    KEYVAULT Key Vault، خدمة لتخزين المفاتيح والأسرار والشهادات باستخدام FIPS 140-2 المستوى 2 أو 3. المفاهيم الأساسية ل Azure Key Vault
    RDP SHORT مسار قصير ل Azure Virtual Desktop RDP. تسمح هذه الميزة للمستخدمين البعيدين بالاتصال بخدمة سطح المكتب الظاهري من شبكة خاصة. مسار قصير ل Azure Virtual Desktop RDP للشبكات المدارة
    الاتصال العكسي ميزة أمان مضمنة من Azure Virtual Desktop. يضمن الاتصال العكسي أن يتلقى المستخدمون البعيدون تدفقات بكسل فقط ولا يصلون إلى الأجهزة الظاهرية المضيفة. فهم اتصال شبكة Azure Virtual Desktop

  4. التطبيق والبيانات

    يصف الجدول التالي خدمات التطبيقات والبيانات التي تظهر في الرسم التخطيطي.

    التسمية ‏‏الوصف الوثائق
    FRONTDOOR + WAF شبكة تسليم المحتوى (CDN). يجمع Front Door بين نقاط حضور متعددة لتقديم اتصال أفضل للمستخدمين الذين يصلون إلى الخدمة ويضيف WAF. ماذا يُقصد بـ Azure Front Door؟
    إدارة واجهة برمجة التطبيقات خدمة توفر الأمان لمكالمات واجهة برمجة التطبيقات وتدير واجهات برمجة التطبيقات عبر البيئات. نبذة عن APIM
    PENTEST مجموعة من أفضل الممارسات لتنفيذ اختبار الاختراق في بيئتك، بما في ذلك موارد Azure. اختبار الاختراق
    رمز SAS المميز للتخزين رمز وصول مشترك للسماح للآخرين بالوصول إلى حساب تخزين Azure الخاص بك. منح وصول محدود إلى موارد Azure Storage باستخدام توقيعات الوصول المشترك (SAS)
    نقطة نهاية خاصة إنشاء واجهة شبكة وإرفاقها بحساب التخزين الخاص بك لتكوينها داخل شبكة خاصة على Azure. استخدام نقاط نهاية خاصة لـ Azure Storage
    جدار حماية التخزين جدار الحماية الذي يسمح لك بتعيين مجموعة من عناوين IP التي يمكنها الوصول إلى حساب التخزين الخاص بك. تكوين جدران حماية Azure Storage والشبكات الظاهرية
    التشفير
    (Azure Storage)    		 يحمي حساب التخزين الخاص بك باستخدام التشفير الثابت. تشفير Azure Storage للبيانات الثابتة
    تدقيق SQL يتعقب أحداث قاعدة البيانات ويكتبها في سجل تدقيق في حساب تخزين Azure الخاص بك. التدقيق في قاعدة بيانات Azure SQL وAzure Synapse Analytics
    تقييم الثغرات الأمنية الخدمة التي تساعدك على اكتشاف الثغرات الأمنية المحتملة في قاعدة البيانات وتتبعها ومعالجتها. يساعدك تقييم الثغرات الأمنية في SQL على تحديد الثغرات الأمنية في قاعدة البيانات
    التشفير
    (Azure SQL)    		 يساعد تشفير البيانات الشفاف (TDE) على حماية خدمات قاعدة بيانات Azure SQL عن طريق تشفير البيانات الثابتة. تشفير البيانات الشفاف لقاعدة بيانات SQL ومثيل SQL المدار وتحليلات Azure Synapse

  5. الهويه

    يصف الجدول التالي خدمات الهوية التي تظهر في الرسم التخطيطي.

    التسمية ‏‏الوصف الوثائق
    Rbac يساعدك التحكم في الوصول المستند إلى الدور (Azure RBAC) في إدارة الوصول إلى خدمات Azure باستخدام أذونات دقيقة تستند إلى بيانات اعتماد Microsoft Entra للمستخدمين. ما المقصود بالتحكم في الوصول استناداً إلى الدور في Azure ‏(Azure RBAC)؟
    مصادقة متعددة العوامل (MFA توفر المصادقة متعددة العوامل أنواعا إضافية من المصادقة تتجاوز أسماء المستخدمين وكلمات المرور. كيف يعمل: مصادقة Microsoft Entra متعددة العوامل
    حماية المعرف تقوم Identity Protection، وهي خدمة أمان من Microsoft Entra ID، بتحليل تريليونات الإشارات يوميا لتحديد المستخدمين وحمايتهم من التهديدات. ماذا يُقصد بحماية الهوية؟
    Pim إدارة الهويات المتميزة (PIM)، وهي خدمة أمان من Microsoft Entra ID. يساعدك على توفير امتيازات المستخدم الفائق مؤقتا لمعرف Microsoft Entra (على سبيل المثال، مسؤول العمومي) واشتراكات Azure (على سبيل المثال، المالك أو المساهم). ما هو Microsoft Entra إدارة الهويات المتميزة؟
    COND ACC الوصول المشروط هو خدمة أمان ذكية تستخدم النهج التي تحددها لشروط مختلفة لحظر المستخدمين أو منحهم حق الوصول. ما هو الوصول المشروط؟

المكونات

يستخدم مثال البنية في هذه المقالة مكونات Azure التالية:

  • معرف Microsoft Entra هو خدمة إدارة الهوية والوصول المستندة إلى السحابة. يساعد معرف Microsoft Entra المستخدمين على الوصول إلى الموارد الخارجية، مثل Microsoft 365 ومدخل Azure والآلاف من تطبيقات SaaS الأخرى. كما أنه يساعدهم على الوصول إلى الموارد الداخلية، مثل التطبيقات على شبكة إنترانت شركتك.

  • شبكة Azure الظاهرية هي اللبنة الأساسية لشبكتك الخاصة في Azure. تمكن الشبكة الظاهرية العديد من أنواع موارد Azure من التواصل بأمان مع بعضها البعض والإنترنت والشبكات المحلية. توفر الشبكة الظاهرية شبكة ظاهرية تستفيد من البنية الأساسية ل Azure، مثل المقياس والتوافر والعزل.

  • Azure Load Balancer هي خدمة موازنة تحميل الطبقة 4 عالية الأداء وذات زمن انتقال منخفض (الواردة والصادرة) لجميع بروتوكولات UDP وTCP. تم تصميمها لمعالجة ملايين الطلبات في الثانية مع ضمان قابلية الوصول عالية التوفر للحل. Azure Load Balancer تكون متكررة، ممّا يضمن توفّراً بدرجة كبيرة عبر Availability Zones.

  • الأجهزة الظاهرية هي واحدة من عدة أنواع من موارد الحوسبة القابلة للتطوير عند الطلب التي تقدمها Azure. يمنحك جهاز Azure الظاهري (VM) مرونة الظاهرية دون الحاجة إلى شراء وصيانة الأجهزة المادية التي تقوم بتشغيله.

  • خدمة Azure Kubernetes (AKS) هي خدمة Kubernetes مدارة بالكامل لنشر التطبيقات المعبأة في حاويات وإدارتها. توفر AKS Kubernetes بلا خادم والتكامل المستمر/التسليم المستمر (CI/CD) والأمان والحوكمة على مستوى المؤسسة.

  • Azure Virtual Desktop هي خدمة افتراضية لسطح المكتب والتطبيقات تعمل على السحابة لتوفير أسطح مكتب للمستخدمين البعيدين.

  • App Service Web Apps هي خدمة مستندة إلى HTTP لاستضافة تطبيقات الويب وواجهات برمجة تطبيقات REST والنهايات الخلفية للأجهزة المحمولة. يمكنك التطوير بلغتك المفضلة، وتشغيل التطبيقات وتوسيع نطاقها بسهولة على كل من البيئات المستندة إلى Windows وLinux.

  • يتوفر Azure Storage بشكل كبير وقابل للتطوير بشكل كبير ودائم وآمن لعناصر البيانات المختلفة في السحابة، بما في ذلك الكائن والكائنات الثنائية كبيرة الحجم والملف والقرص وقائمة الانتظار وتخزين الجدول. يتم تشفير كل البيانات المكتوبة إلى حساب تخزين Azure بواسطة الخدمة. يوفر لك تخزين Azure تحكمًا دقيقًا فيمَن لديه حق الوصول إلى بياناتك.

  • قاعدة بيانات Azure SQL هي محرك قاعدة بيانات PaaS مدار بالكامل يعالج معظم وظائف إدارة قاعدة البيانات مثل الترقية والتصحيح والنسخ الاحتياطي والمراقبة. يوفر هذه الدالات دون مشاركة المستخدم. توفر قاعدة بيانات SQL مجموعة من ميزات الأمان والتوافق المضمنة لمساعدة تطبيقك على تلبية متطلبات الأمان والتوافق.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

مساهمون آخرون:

الخطوات التالية

لدى Microsoft المزيد من الوثائق التي يمكن أن تساعدك على تأمين بيئة تكنولوجيا المعلومات الخاصة بك، ويمكن أن تكون المقالات التالية مفيدة بشكل خاص:

  • الأمان في Microsoft Cloud Adoption Framework ل Azure. يوفر Cloud Adoption Framework إرشادات أمان لرحلتك السحابية من خلال توضيح العمليات وأفضل الممارسات والنماذج والخبرة.
  • Microsoft Azure Well-Architected Framework. يعد Azure Well-Architected Framework مجموعة من المبادئ التوجيهية التي يمكنك استخدامها لتحسين جودة حمل العمل. ويستند الإطار إلى خمس ركائز: الموثوقية والأمان وتحسين التكلفة والتميز التشغيلي وكفاءة الأداء.
  • أفضل ممارسات أمان Microsoft. أفضل ممارسات أمان Microsoft (المعروفة سابقا باسم Azure Security Compass أو Microsoft Security Compass) هي مجموعة من أفضل الممارسات التي توفر إرشادات واضحة وقابلة للتنفيذ للقرارات المتعلقة بالأمان.
  • بنيات مرجعية للأمان عبر الإنترنت من Microsoft (MCRA). MCRA هو تجميع لمختلف بنيات مرجع أمان Microsoft.

في الموارد التالية، يمكنك العثور على مزيد من المعلومات حول الخدمات والتقنيات والمصطلحات المذكورة في هذه المقالة:

لمزيد من التفاصيل حول هذه البنية المرجعية، راجع المقالات الأخرى في هذه السلسلة: