منطقة التصميم: الأمان

تنشئ منطقة التصميم هذه أساسا للأمان عبر بيئات Azure والمختلطة ومتعددة السحابات. يمكنك تحسين هذا الأساس لاحقا من خلال إرشادات الأمان الموضحة في المنهجية الآمنة لإطار عمل اعتماد السحابة.

مراجعة منطقة التصميم

الأدوار أو الوظائف المعنية: تقود منطقة التصميم هذه أمان السحابة، وتحديدا مهندسو الأمان داخل هذا الفريق. مطلوب النظام الأساسي السحابيومركز التميز السحابي لمراجعة قرارات الشبكات والهوية. وقد تكون الأدوار الجماعية مطلوبة لتحديد وتنفيذ المتطلبات التقنية الواردة من هذه العملية. قد تحتاج حواجز الأمان الأكثر تقدما أيضا إلى دعم من إدارة السحابة.

نطاق: الهدف من هذا التمرين هو فهم متطلبات الأمان وتنفيذها باستمرار عبر جميع أحمال العمل في النظام الأساسي السحابي الخاص بك. يركز النطاق الأساسي لهذا التمرين على أدوات عمليات الأمان والتحكم في الوصول. يتضمن هذا النطاق عدم الثقة والأمان المتقدم للشبكة.

خارج النطاق: يركز هذا التمرين على أساس مركز عمليات أمان حديث في السحابة. لتبسيط المحادثة، لا يعالج هذا التمرين بعض التخصصات في منهجية CAF Secure. ستبني عمليات الأمان وحماية الأصول وأمان الابتكار على نشر منطقة هبوط Azure. ومع ذلك، فهي خارج نطاق مناقشة منطقة التصميم هذه.

نظرة عامة على منطقة التصميم

يعد الأمان أحد الاعتبارات الأساسية لجميع العملاء، في كل بيئة. عند تصميم منطقة هبوط Azure وتنفيذها، يجب أن يكون الأمان أحد الاعتبارات طوال العملية.

تركز منطقة تصميم الأمان على الاعتبارات والتوصيات الخاصة بقرارات منطقة الهبوط. توفر المنهجية الآمنة ل Cloud Adoption Framework أيضا المزيد من الإرشادات المتعمقة لعمليات وأدوات الأمان الشاملة.

بيئة سحابية جديدة (greenfield): لبدء رحلتك السحابية بمجموعة صغيرة من الاشتراكات، راجع إنشاء اشتراكات Azure الأولية. ضع في اعتبارك أيضا استخدام قوالب توزيع Bicep في إنشاء مناطق هبوط Azure. لمزيد من المعلومات، راجع مناطق هبوط Azure Bicep - تدفق النشر.

بيئة سحابية موجودة (brownfield): ضع في اعتبارك استخدام خدمات الهوية والوصول Microsoft Entra التالية إذا كنت مهتما بتطبيق المبادئ من منطقة تصميم الأمان إلى بيئات Azure الحالية:

  • الاستفادة من أفضل 10 ممارسات أمان Azure من Microsoft. يلخص هذا التوجيه الإرشادات المثبتة ميدانيا من مهندسي حلول السحابة من Microsoft (CSAs) بالإضافة إلى شركاء Microsoft.
  • انشر Azure AD Connect cloud sync لتزويد مستخدمي خدمات مجال Active Directory المحليين (AD DS) بتسجيل الدخول الأحادي الآمن (SSO) إلى تطبيقاتك المدعومة Azure AD. فائدة إضافية لتكوين الهوية المختلطة هي أنه يمكنك فرض مصادقة Azure متعددة العوامل (MFA)وحماية كلمة المرور Azure AD لمزيد من حماية هذه الهويات
  • ضع في اعتبارك Azure AD الوصول المشروط لتوفير مصادقة آمنة لتطبيقات السحابة وموارد Azure.
  • تنفيذ Azure AD إدارة الهويات المتميزة لضمان الوصول الأقل امتيازا وإعداد التقارير العميقة في بيئة Azure بأكملها. يجب أن تبدأ الفرق في مراجعات صلاحية الوصول المتكررة لضمان حصول الأشخاص ومبادئ الخدمة المناسبة على مستويات تخويل حالية وصحيحة.
  • الاستفادة من التوصيات والتنبيه وقدرات المعالجة Microsoft Defender للسحابة. يمكن لفريق الأمان أيضا دمج Microsoft Defender للسحابة في Microsoft Sentinel إذا كانوا بحاجة إلى حل إدارة أحداث معلومات الأمان المختلطة والمتعددة السحابة (SIEM)/تنسيق الأمان والاستجابة (SOAR) أكثر قوة وإدارتها مركزيا.

يحتوي مستودع Azure Landing Zones Bicep - Deployment Flow على عدد من قوالب توزيع Bicep التي يمكنها تسريع عمليات توزيع منطقة Azure المنتقل إليها في greenfield و brownfield. تحتوي هذه القوالب بالفعل على إرشادات أمان مثبتة الممارسة من Microsoft مدمجة داخلها.

لمزيد من المعلومات حول العمل في بيئات سحابة brownfield، راجع اعتبارات بيئة Brownfield.

Microsoft cloud security benchmark

يتضمن معيار أمان السحابة من Microsoft توصيات أمان عالية التأثير لمساعدتك على تأمين معظم الخدمات التي تستخدمها في Azure. يمكنك التفكير في هذه التوصيات على أنها عامة أو تنظيمية، لأنها قابلة للتطبيق على معظم خدمات Azure. ثم يتم تخصيص توصيات معيار أمان السحابة من Microsoft لكل خدمة من خدمات Azure. يتم تضمين هذه الإرشادات المخصصة في مقالات توصيات الخدمة.

تحدد وثائق معيار أمان السحابة من Microsoft عناصر التحكم في الأمان وتوصيات الخدمة.

  • عناصر التحكم في الأمان: يتم تصنيف توصيات معيار أمان السحابة من Microsoft حسب عناصر التحكم في الأمان. تمثل عناصر التحكم في الأمان متطلبات أمان عالية المستوى من البائعين، مثل أمان الشبكة وحماية البيانات. يحتوي كل عنصر تحكم في الأمان على مجموعة من توصيات وإرشادات الأمان التي تساعدك في تنفيذ تلك التوصيات.
  • توصيات الخدمة: عند توفرها، ستتضمن توصيات المعيار لخدمات Azure توصيات معيار أمان السحابة من Microsoft التي تم تصميمها خصيصا لتلك الخدمة.

اعتبارات تصميم الأمان

يجب أن يكون لدى المؤسسة رؤية لما يحدث داخل ملكية السحابة التقنية الخاصة بها. مراقبة الأمان وتسجيل التدقيق لخدمات النظام الأساسي لـ Azure هي المكونات الرئيسية لإطار عمل قابل للتطوير.

اعتبارات تصميم عمليات الأمان

النطاق السياق
تنبيهات الأمان - ما الفرق التي تتطلب إعلامات لتنبيهات الأمان؟
- هل هناك مجموعات من الخدمات التي تتطلب التنبيهات التوجيه إلى فرق مختلفة؟
- متطلبات العمل للمراقبة والتنبيه في الوقت الحقيقي.
- تكامل معلومات الأمان وإدارة الأحداث مع Microsoft Defender للسحابة وMicrosoft Sentinel.
سجلات الأمان - فترات استبقاء البيانات لبيانات التدقيق. تتمتع تقارير Premium Azure Active Directory (Azure AD) بفترة استبقاء لمدة 30 يوماً.
- أرشفة طويلة الأجل لسجلات مثل سجلات نشاط Azure وسجلات الجهاز الظاهري (VM) وسجلات النظام الأساسي كخدمة (PaaS).
عناصر التحكم في الأمان - تكوين أمان الأساس عبر نهج جهاز Azure الظاهري داخل الضيف.
- ضع في اعتبارك كيف ستتوافق عناصر التحكم الأمنية الخاصة بك مع حواجز حماية الحوكمة.
إدارة الثغرات الأمنية - التصحيح في حالات الطوارئ للثغرات الأمنية الحرجة.
- التصحيح للأجهزة الظاهرية غير المتصلة لفترات طويلة من الوقت.
- تقييم الثغرات الأمنية للأجهزة الظاهرية.
المسؤولية المشتركة - أين هي التسليمات لمسؤوليات الفريق؟ تحتاج هذه المسؤوليات إلى النظر عند مراقبة الأحداث الأمنية أو الاستجابة لها.
- ضع في اعتبارك الإرشادات الواردة في منهجية الأمان للعمليات الأمنية.
التشفير والمفاتيح - من الذي يتطلب الوصول إلى المفاتيح في البيئة؟
- من سيكون مسؤولا عن إدارة المفاتيح؟
- استكشف التشفير والمفاتيح بشكل أكبر.

توصيات تصميم عمليات الأمان

  • استخدم قدرات إعداد التقارير Azure AD لإنشاء تقارير تدقيق التحكم في الوصول.

  • تصدير سجلات نشاط Azure إلى Azure Monitor Logs لاستبقاء البيانات على المدى الطويل. التصدير إلى Azure Storage للتخزين طويل الأجل بعد عامين، إذا لزم الأمر.

  • قم بتمكين معيار Defender for Cloud لجميع الاشتراكات، واستخدم Azure Policy لضمان التوافق.

  • مراقبة انحراف التحديث الجزئي لنظام التشغيل الأساسي عبر Azure Monitor Logs وMicrosoft Defender for Cloud.

  • استخدم نُهُج Azure لتوزيع تكوينات البرامج تلقائياً من خلال ملحقات الجهاز الظاهري وفرض تكوين جهاز ظاهري أساسي متوافق.

  • راقب انحراف تكوين أمان الجهاز الظاهري عبر Azure Policy.

  • قم بتوصيل تكوينات الموارد الافتراضية بمساحة عمل مركزية لـ Azure Monitor Log Analytics.

  • استخدم حلاً يستند إلى Azure Policy للتنبيهات الموجهة نحو السجل في الوقت الحقيقي.

اعتبارات تصميم التحكم في الوصول

حدود الأمان الحديثة أكثر تعقيدا من الحدود في مركز البيانات التقليدي. لم تعد جدران مركز البيانات الأربعة تحتوي على أصولك. لم يعد الاحتفاظ بالمستخدمين خارج الشبكة المحمية كافيا للتحكم في الوصول. في السحابة، يتكون محيطك من جزأين: عناصر التحكم في أمان الشبكة وعناصر التحكم في الوصول إلى الثقة المعدومة.

أمان الشبكة المتقدم

النطاق السياق
التخطيط لاتصال الإنترنت الداخلي والخارجي يصف نماذج الاتصال الموصى بها للاتصال الوارد والصادر من وإلى الإنترنت العام.
التخطيط لتجزئة شبكة المنطقة المنتقل إليها يستكشف التوصيات الرئيسية لتقديم تجزئة شبكة داخلية آمنة للغاية داخل منطقة هبوط. تدفع هذه التوصيات تنفيذ الثقة المعدومة للشبكة.
تحديد متطلبات تشفير الشبكة يستكشف التوصيات الرئيسية لتحقيق تشفير الشبكة بين أماكن العمل وAzure وعبر مناطق Azure.
خطة لفحص نسبة استخدام الشبكة يستكشف الاعتبارات الرئيسية والنهج الموصى بها لعكس أو الاستفادة من نسبة استخدام الشبكة داخل شبكة Azure الظاهرية.

صفر ثقة

  • ما الفرق أو الأفراد الذين يحتاجون إلى الوصول إلى الخدمات داخل المنطقة المنتقل إليها؟ ما الأدوار التي يقومون بها؟
  • من الذي يجب أن يأذن بطلبات الوصول؟
  • من يجب أن يتلقى الإعلامات عند تنشيط الأدوار المتميزة؟
  • من الذي يجب أن يكون لديه حق الوصول إلى محفوظات التدقيق؟

لمزيد من المعلومات، راجع إدارة الهويات المتميزة في Azure AD.

توصيات تصميم التحكم في الوصول

  • في سياق متطلباتك الأساسية، قم بإجراء فحص مشترك لكل خدمة مطلوبة. إذا كنت ترغب في إحضار المفاتيح الخاصة بك، فقد لا يتم دعمها عبر جميع الخدمات المدروسة. تنفيذ التخفيف ذي الصلة بحيث لا تعوق حالات عدم التناسق النتائج المطلوبة. اختر أزواج المناطق المناسبة ومناطق الإصلاح بعد كارثة التي تقلل من زمن الانتقال.

  • تطوير خطة قائمة السماح الأمنية لتقييم الخدمات مثل تكوين الأمان والمراقبة والتنبيهات. ثم قم بإنشاء خطة لدمجها مع الأنظمة الموجودة.

  • حدد خطة الاستجابة للحوادث لخدمات Azure قبل نقلها إلى الإنتاج.

  • قم بمحاذاة متطلبات الأمان الخاصة بك مع مخططات النظام الأساسي ل Azure للبقاء على اطلاع بعناصر التحكم في الأمان التي تم إصدارها حديثا.

  • تنفيذ نهج ثقة معدومة للوصول إلى النظام الأساسي Azure عند الاقتضاء.

الأمان في مسرّع منطقة الهبوط Azure

الأمان هو جوهر مسرّع منطقة هبوط Azure. كجزء من التنفيذ، يتم نشر العديد من الأدوات وعناصر التحكم لمساعدة المؤسسات على تحقيق أساس أمان بسرعة.

على سبيل المثال، يتم تضمين ما يلي:

الأدوات:

  • Microsoft Defender for Cloud، المستوى القياسي أو المجاني
  • Microsoft Sentinel
  • حماية شبكة Azure DDoS (اختياري)
  • جدار حماية Azure
  • جدار حماية تطبيقات الويب (WAF)
  • إدارة الهويات المتميزة (PIM)

سياسات مناطق الهبوط المتصلة بالشركات وعبر الإنترنت:

  • فرض الوصول الآمن، مثل HTTPS، إلى حسابات التخزين
  • فرض التدقيق لقاعدة بيانات Azure SQL
  • فرض التشفير لقاعدة بيانات Azure SQL
  • منع إعادة توجيه IP
  • منع الوارد من RDP من الإنترنت
  • تأكد من أن الشبكات الفرعية مقترنة بـ NSG

الخطوات التالية

تعرف على كيفية تأمين الوصول المتميز لعمليات التوزيع المختلطة والسحابات في Azure AD.