Sdílet prostřednictvím

Přehled – Použití principů nulová důvěra (Zero Trust) na Azure IaaS

  • Článek

Poznámka:

Připravte se na livestream , připojte se k týmu Azure FastTrack, který probírá tento článek. 23. října 2024 | 10:00–11:00 (UTC-07:00) Tichomoří (USA a Kanada). Zaregistrujte se tady.

Shrnutí: Pokud chcete použít principy nulová důvěra (Zero Trust) pro komponenty a infrastrukturu Azure IaaS, musíte nejprve porozumět společné referenční architektuře a komponentám úložiště Azure, virtuálním počítačům a hvězdicovým a hvězdicovým virtuálním sítím.

Tato série článků vám pomůže aplikovat principy nulová důvěra (Zero Trust) na úlohy v Microsoft Azure IaaS na základě multidiscipárního přístupu k uplatňování principů nulová důvěra (Zero Trust). nulová důvěra (Zero Trust) je strategie zabezpečení. Nejedná se o produkt nebo službu, ale o přístup při navrhování a implementaci následujících zásad zabezpečení:

  • Explicitní ověření
  • Použití nejméně privilegovaného přístupu
  • Předpokládat porušení zabezpečení

Implementace nulová důvěra (Zero Trust) myšlení "předpokládat porušení zabezpečení, nikdy nedůvěřovat, vždy ověřit" vyžaduje změny cloudové infrastruktury, strategie nasazení a implementace.

Tyto úvodní série pěti článků (včetně tohoto úvodu) ukazují, jak použít nulová důvěra (Zero Trust) přístup k běžnému obchodnímu scénáři IT na základě služeb infrastruktury. Práce je rozdělená do jednotek, které je možné konfigurovat společně následujícím způsobem:

Další informace najdete v tématu Použití principů nulová důvěra (Zero Trust) pro Azure Virtual Desktop.

Poznámka:

Do této série se v budoucnu přidají další články, včetně toho, jak mohou organizace využít nulová důvěra (Zero Trust) přístup k aplikacím, sítím, datům a službám DevOps na základě skutečných obchodních prostředí IT.

Důležité

Tato nulová důvěra (Zero Trust) pokyny popisuje, jak používat a konfigurovat několik řešení zabezpečení a funkcí dostupných v Azure pro referenční architekturu. Několik dalších zdrojů informací také poskytuje pokyny k zabezpečení pro tato řešení a funkce, mezi které patří:

Pokud chcete popsat, jak použít přístup nulová důvěra (Zero Trust), tento návod cílí na běžný vzor používaný v produkčním prostředí mnoha organizacemi: aplikace založená na virtuálním počítači hostovaná ve virtuální síti (a aplikaci IaaS). To je běžný vzor pro organizace, které migrují místní aplikace do Azure, což se někdy označuje jako "lift-and-shift". Referenční architektura zahrnuje všechny komponenty nezbytné pro podporu této aplikace, včetně služeb úložiště a virtuální sítě centra.

Referenční architektura odráží běžný model nasazení v produkčních prostředích. Není založená na cílových zónách na podnikové úrovni doporučených v architektuře přechodu na cloud (CAF), přestože mnoho osvědčených postupů v CAF je součástí referenční architektury, jako je použití vyhrazené virtuální sítě k hostování komponent, které zprostředkují přístup k aplikaci (virtuální síť centra).

Pokud se chcete dozvědět o doprovodných materiálech doporučených v cílových zónách Azure přechodu na cloud, projděte si tyto zdroje informací:

Referenční architektura

Následující obrázek ukazuje referenční architekturu pro tuto nulová důvěra (Zero Trust) pokyny.

Diagram referenční architektury pro použití nulová důvěra (Zero Trust) na Azure IaaS, který obsahuje různé typy uživatelů, běžné aplikace běžící na virtuálních počítačích, služby PaaS a úložiště

Tato architektura obsahuje:

  • Několik komponent a prvků IaaS, včetně různých typů uživatelů a uživatelů IT, kteří k aplikaci přistupují z různých webů. jako Azure, internet, místní a firemní pobočky.
  • Běžná třívrstvé aplikace obsahující front-endovou vrstvu, aplikační vrstvu a datovou vrstvu. Všechny úrovně běží na virtuálních počítačích v rámci virtuální sítě s názvem SPOKE. Přístup k aplikaci je chráněný jinou virtuální sítí s názvem HUB, která obsahuje další služby zabezpečení.
  • Některé z nejčastěji používaných služeb PaaS v Azure, které podporují aplikace IaaS, včetně řízení přístupu na základě role (RBAC) a Microsoft Entra ID, které přispívají k přístupu nulová důvěra (Zero Trust) zabezpečení.
  • Objekty blob úložiště a soubory úložiště, které poskytují úložiště objektů pro aplikace a soubory sdílené uživateli.

Tato série článků obsahuje doporučení pro implementaci nulová důvěra (Zero Trust) referenční architektury tím, že řeší všechny tyto větší části hostované v Azure, jak je znázorněno zde.

Diagram referenční architektury pro použití nulová důvěra (Zero Trust) na Azure IaaS, který znázorňuje seskupené komponenty pro úložiště, virtuální počítače a hvězdicové virtuální sítě a hvězdicové virtuální sítě

Diagram popisuje větší oblasti architektury, které jsou řešeny jednotlivými články v této řadě:

  1. Služby Azure Storage
  2. Virtual Machines
  3. Paprskové virtuální sítě
  4. Virtuální sítě centra

Je důležité si uvědomit, že pokyny v této sérii článků jsou konkrétnější pro tento typ architektury než pokyny uvedené v architektuře přechodu na cloud a architektury cílových zón Azure. Pokud jste použili pokyny v některém z těchto prostředků, nezapomeňte si také projít tuto řadu článků, kde najdete další doporučení.

Principy komponent Azure

Diagram referenční architektury poskytuje topologické zobrazení prostředí. Je také užitečné vidět logicky, jak můžou být jednotlivé komponenty uspořádané v rámci prostředí Azure. Následující diagram poskytuje způsob, jak uspořádat předplatná a skupiny prostředků. Vaše předplatná Azure můžou být uspořádaná jinak.

Diagram logické architektury pro použití nulová důvěra (Zero Trust) na Azure IaaS zobrazující předplatná, Microsoft Defender for Cloud a Azure Monitor a skupiny prostředků v rámci tenanta Microsoft Entra ID

V tomto diagramu je infrastruktura Azure obsažená v tenantovi Microsoft Entra ID. Následující tabulka popisuje různé části znázorněné v diagramu.

  • Předplatná Azure

    Prostředky můžete distribuovat ve více než jednom předplatném, kde každé předplatné může obsahovat různé role, například předplatné sítě nebo předplatné zabezpečení. Toto je popsáno v dokumentaci k rozhraní přechodu na cloud a cílové zóně Azure, na které jsme dříve odkazovali. Různá předplatná můžou obsahovat také různá prostředí, jako jsou produkční, vývojová a testovací prostředí. Záleží na tom, jak chcete oddělit prostředí a počet prostředků, které budete mít v každém z nich. Jedno nebo více předplatných je možné spravovat společně pomocí skupiny pro správu. Díky tomu máte možnost používat oprávnění s řízením přístupu na základě role (RBAC) a zásadami Azure pro skupinu předplatných místo individuálního nastavení jednotlivých předplatných.

  • Microsoft Defender pro cloud a Azure Monitor

    Pro každé předplatné Azure je k dispozici sada řešení Azure Monitor a Defender for Cloud. Pokud tato předplatná spravujete prostřednictvím skupiny pro správu, můžete konsolidovat na jednom portálu pro všechny funkce služby Azure Monitor a Defender pro cloud. Například skóre zabezpečení, které poskytuje Defender for Cloud, se konsoliduje pro všechna vaše předplatná pomocí skupiny pro správu jako rozsahu.

  • Skupina prostředků úložiště (1)

    Účet úložiště je součástí vyhrazené skupiny prostředků. Jednotlivé účty úložiště můžete izolovat v jiné skupině prostředků, abyste měli podrobnější řízení oprávnění. Služby Úložiště Azure jsou obsažené ve vyhrazeném účtu úložiště. Pro každý typ úlohy úložiště můžete mít jeden účet úložiště, například Object Storage (označovaný také jako Blob Storage) a Soubory Azure. To poskytuje podrobnější řízení přístupu a může zlepšit výkon.

  • Skupina prostředků virtuálních počítačů (2)

    Virtuální počítače jsou obsažené v jedné skupině prostředků. Každý typ virtuálního počítače můžete mít také pro vrstvy úloh, jako je front-end, aplikace a data v různých skupinách prostředků, a izolovat tak řízení přístupu.

  • Paprsky (3) a skupiny prostředků virtuální sítě (4) v samostatných předplatných

    Síť a další prostředky pro každou virtuální síť v referenční architektuře jsou izolované v rámci vyhrazených skupin prostředků pro paprskové a centrální virtuální sítě. Tato organizace funguje dobře, když za tyto aktivity žijeme v různých týmech. Další možností je uspořádat tyto komponenty umístěním všech síťových prostředků do jedné skupiny prostředků a prostředků zabezpečení do jiné. Záleží na tom, jak je vaše organizace nastavená pro správu těchto prostředků.

Ochrana před internetovými útoky pomocí Microsoft Defenderu pro cloud

Microsoft Defender for Cloud je rozšířené řešení detekce a reakce (XDR), které automaticky shromažďuje, koreluje a analyzuje signály, hrozby a upozorňují data z celého vašeho prostředí. Program Defender for Cloud je určený k použití společně s XDR v programu Microsoft Defender k zajištění větší šířky korelované ochrany vašeho prostředí, jak je znázorněno na následujícím diagramu.

Diagram logické architektury Microsoft Defenderu pro cloud a XDR v programu Microsoft Defender, která poskytuje ochranu před hrozbami pro komponenty Azure IaaS

V diagramu:

  • Defender pro cloud je povolený pro skupinu pro správu, která zahrnuje více předplatných Azure.
  • XDR v programu Microsoft Defender je povolený pro aplikace a data Microsoftu 365, aplikace SaaS integrované s MICROSOFT Entra ID a servery místní Active Directory Domain Services (AD DS).

Další informace o konfiguraci skupin pro správu a povolení defenderu pro cloud najdete tady:

Řešení zabezpečení v této sérii článků

nulová důvěra (Zero Trust) zahrnuje použití více disciplín zabezpečení a ochrany informací najednou. V této sérii článků se tento přístup s více disciplínami uplatňuje na každou z jednotek práce pro komponenty infrastruktury následujícím způsobem:

Použití principů nulová důvěra (Zero Trust) na úložiště Azure

  1. Ochrana dat ve všech třech režimech: neaktivní uložená data, přenášená data a data, která se používají
  2. Ověření přístupu uživatelů a řízení přístupu k datům úložiště s nejnižšími oprávněními
  3. Logické oddělení nebo oddělení důležitých dat pomocí síťových ovládacích prvků
  4. Použití Defenderu pro úložiště pro automatizované zjišťování a ochranu před hrozbami

Použití principů nulová důvěra (Zero Trust) na virtuální počítače v Azure

  1. Konfigurace logické izolace pro virtuální počítače
  2. Využití řízení přístupu na základě role (RBAC)
  3. Zabezpečení komponent spouštění virtuálních počítačů
  4. Povolení klíčů spravovaných zákazníkem a dvojitého šifrování
  5. Řízení aplikací nainstalovaných na virtuálních počítačích
  6. Konfigurace zabezpečeného přístupu
  7. Nastavení zabezpečené údržby virtuálních počítačů
  8. Povolení rozšířené detekce a ochrany před hrozbami

Použití principů nulová důvěra (Zero Trust) u paprskové virtuální sítě v Azure

  1. Využití Řízení přístupu na základě role (RBAC) Od Microsoftu nebo nastavení vlastních rolí pro síťové prostředky
  2. Izolace infrastruktury do vlastní skupiny prostředků
  3. Vytvoření skupiny zabezpečení sítě pro každou podsíť
  4. Vytvoření skupiny zabezpečení aplikace pro každou roli virtuálního počítače
  5. Zabezpečení provozu a prostředků v rámci virtuální sítě
  6. Zabezpečený přístup k virtuální síti a aplikaci
  7. Povolení rozšířené detekce a ochrany před hrozbami

Použití principů nulová důvěra (Zero Trust) na virtuální síť centra v Azure

  1. Zabezpečení služby Azure Firewall Premium
  2. Nasazení služby Azure DDoS Protection úrovně Standard
  3. Konfigurace směrování síťové brány do brány firewall
  4. Konfigurace ochrany před hrozbami

Technické ilustrace

Tyto ilustrace jsou repliky referenčních ilustrací v těchto článcích. Stáhněte a přizpůsobte si je pro vlastní organizaci a zákazníky. Logo Contoso nahraďte vlastním logem.

Položka Popis
thumbnail picture 1Stáhnout Visio
Aktualizováno říjen 2024		 Použití principů nulová důvěra (Zero Trust) na Azure IaaS
Tyto ilustrace použijte v těchto článcích:
- Přehled
- Úložiště Azure
- Virtual Machines
- Virtuální sítě paprskové architektury Azure
- Virtuální sítě Azure Hubu
thumbnail picture 2Stáhnout Visio
Aktualizováno říjen 2024		 Použití principů nulová důvěra (Zero Trust) na Azure IaaS – plakát na jedné stránce
Jednostráňový přehled procesu použití principů nulová důvěra (Zero Trust) v prostředích Azure IaaS

Další technické ilustrace najdete v nulová důvěra (Zero Trust) ilustracích pro IT architekty a implementátory.

Níže jsou uvedené doporučené školicí moduly pro nulová důvěra (Zero Trust).

Správa a zásady správného řízení Azure

Školení Popis správy a zásad správného řízení Azure
Školení Základy Microsoft Azure se skládá ze tří studijních programů: Základy Microsoft Azure: Popis konceptů cloudu, popis architektury a služeb Azure a popis správy a zásad správného řízení Azure. Základy Microsoft Azure: Popis správy a zásad správného řízení Azure je třetí studijní program v Microsoft Azure Fundamentals. V tomto studijním programu se seznámíte s dostupnými prostředky pro správu a zásady správného řízení, které vám pomůžou spravovat cloudové a místní prostředky.
Tento studijní program vám pomůže připravit se na zkoušku AZ-900: Základy Microsoft Azure.

Začínat >

Konfigurace služby Azure Policy

Školení Konfigurace služby Azure Policy
Zjistěte, jak nakonfigurovat Azure Policy pro implementaci požadavků na dodržování předpisů.
V tomto modulu se naučíte:
  • Vytvořte skupiny pro správu, které budou cílit na zásady a rozpočty útraty.
  • Implementujte Azure Policy s definicemi zásad a iniciativ.
  • Určení rozsahu zásad Azure a určení dodržování předpisů
    		•

    Začínat >

    Správa operace zabezpečení

    Školení Správa operace zabezpečení
    Jakmile nasadíte a zabezpečíte prostředí Azure, naučte se monitorovat, provozovat a průběžně zlepšovat zabezpečení vašich řešení.
    Tento studijní program vám pomůže připravit se na zkoušku AZ-500: Microsoft Azure Security Technologies.

    Začínat >

    Konfigurace zabezpečení úložiště

    Školení Konfigurace zabezpečení úložiště
    Zjistěte, jak nakonfigurovat běžné funkce zabezpečení služby Azure Storage, jako jsou přístupové podpisy úložiště.
    V tomto modulu se naučíte:
  • Nakonfigurujte sdílený přístupový podpis (SAS), včetně identifikátoru URI (Uniform Resource Identifier) a parametrů SAS.
  • Nakonfigurujte šifrování služby Azure Storage.
  • Implementujte klíče spravované zákazníkem.
  • Doporučte příležitosti ke zlepšení zabezpečení služby Azure Storage.
    		•

    Začínat >

    Konfigurace služby Azure Firewall

    Školení Konfigurace služby Azure Firewall
    Dozvíte se, jak nakonfigurovat bránu Azure Firewall včetně pravidel brány firewall.
    Po dokončení modulu budete schopni:
  • Určete, kdy použít Azure Firewall.
  • Implementujte službu Azure Firewall včetně pravidel brány firewall.
    		•

    Začínat >

    Další školení o zabezpečení v Azure najdete v těchto materiálech v katalogu Microsoftu:
    Zabezpečení v Azure | Microsoft Learn

    Další kroky

    Projděte si tyto další články týkající se uplatňování principů nulová důvěra (Zero Trust) v Azure:

    Další články o použití principů nulová důvěra (Zero Trust) sítí Azure najdete v těchto dalších článcích:

    Reference

    Informace o různých službách a technologiích uvedených v tomto článku najdete na následujících odkazech.