Návrh architektury zabezpečení

Zabezpečení informací bylo vždy složitým předmětem a rychle se vyvíjí s kreativními nápady a implementacemi útočníků a bezpečnostních výzkumníků.

Zabezpečení je nejdůležitějším aspektem jakékoli architektury. Dobré zabezpečení poskytuje důvěrnost, integritu a záruky dostupnosti proti záměrným útokům a zneužití cenných dat a systémů. Ztráta těchto záruk může poškodit vaše obchodní operace a výnosy a pověst vaší organizace.

Tady je několik širokých kategorií, které je potřeba vzít v úvahu při návrhu systému zabezpečení:

Azure poskytuje širokou škálu nástrojů a možností zabezpečení. Toto jsou jen některé klíčové služby zabezpečení, které jsou k dispozici v Azure:

• Microsoft Defender for Cloud. Jednotný systém pro správu zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datacenter. Poskytuje také rozšířenou ochranu před hrozbami napříč hybridními úlohami v cloudu a v místním prostředí.
• Microsoft Entra ID. Cloudová služba Microsoftu pro správu identit a přístupu.
• Azure Front Door. Globální škálovatelný vstupní bod, který používá globální hraniční síť Microsoftu k vytváření rychlých, vysoce zabezpečených a široce škálovatelných webových aplikací.
• Azure Firewall. Cloudově nativní inteligentní služba zabezpečení brány firewall sítě, která poskytuje ochranu před hrozbami pro cloudové úlohy spuštěné v Azure.
• Azure Key Vault. Vysoce zabezpečené úložiště tajných kódů pro tokeny, hesla, certifikáty, klíče rozhraní API a další tajné kódy. Službu Key Vault můžete také použít k vytvoření a řízení šifrovacích klíčů používaných k šifrování dat.
• Azure Private Link. Služba, která umožňuje přístup ke službám Azure PaaS, službám hostovaným v Azure, které vlastníte, nebo partnerským službám přes privátní koncový bod ve vaší virtuální síti.
• Aplikace Azure Gateway. Pokročilý nástroj pro vyrovnávání zatížení webového provozu, který umožňuje spravovat provoz do webových aplikací.
• Azure Policy. Služba, která pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů.

Podrobnější popis nástrojů a možností zabezpečení Azure najdete v tématu Komplexní zabezpečení v Azure.

Úvod do zabezpečení v Azure

Pokud s zabezpečením v Azure začínáte, nejlepším způsobem, jak se dozvědět více, je školení k Microsoft Learn. Tato bezplatná online platforma poskytuje interaktivní školení pro produkty Microsoftu a další.

Tady jsou dva studijní programy, které vám pomůžou začít:

• Základy Microsoft Azure: Popis obecných funkcí zabezpečení a zabezpečení sítě

• Základy zabezpečení, dodržování předpisů a identit Od Microsoftu: Popis možností řešení zabezpečení Microsoftu

Cesta k produkčnímu prostředí

• K zabezpečení úloh aplikací Azure používáte ochranná opatření, jako je ověřování a šifrování v samotných aplikacích. Do sítí virtuálních počítačů, které hostují aplikace, můžete také přidat vrstvy zabezpečení. Přehled najdete v tématu Brána firewall a Application Gateway pro virtuální sítě .
• nulová důvěra (Zero Trust) je proaktivní integrovaný přístup k zabezpečení napříč všemi vrstvami digitálních aktiv. Explicitně a nepřetržitě ověřuje každou transakci, uplatňuje nejnižší oprávnění a spoléhá na inteligenci, pokročilou detekci a reakci na hrozby v reálném čase.
  • Strategii implementace webových aplikací najdete v tématu nulová důvěra (Zero Trust) síť pro webové aplikace se službou Azure Firewall a službou Application Gateway.
  • Architektura, která ukazuje, jak začlenit funkce identit a přístupu Microsoft Entra do celkové strategie zabezpečení nulová důvěra (Zero Trust), najdete v tématu Microsoft Entra IDaaS v operacích zabezpečení.
• Zásady správného řízení Azure vytvářejí nástroje potřebné k podpoře zásad správného řízení v cloudu, auditování dodržování předpisů a automatizovaných mantinely. Informace o řízení prostředí Azure najdete v pokynech k návrhu oblasti zásad správného řízení Azure.

Osvědčené postupy

Dobře navržená architektura Azure je sada hlavních principů založených na pěti pilířích, které můžete použít ke zlepšení kvality architektur. Informace najdete v tématu Přehled principů zabezpečení a návrhu zabezpečení v Azure.

Dobře navržená architektura také poskytuje tyto kontrolní seznamy:

• Důležité informace o správě identit a přístupu v Azure
• Zabezpečení sítě
• Aspekty ochrany dat
• Zásady správného řízení, rizika a dodržování předpisů

Informace o zabezpečení citlivých úloh IaaS najdete v tématu Důležité informace o zabezpečení vysoce citlivých aplikací IaaS v Azure.

Architektury zabezpečení

Správa identit a přístupu

• Zabezpečení obnovovacích tokenů OAuth 2.0 On-Behalf-Of pro webové služby
• Odolná správa identit a přístupu pomocí Microsoft Entra ID
• Správa identit Microsoft Entra a správa přístupu pro AWS

Ochrana před hrozbami

• Indikátory hrozeb pro analýzu kybernetických hrozeb v Microsoft Sentinelu
• Vícevrstá ochrana pro přístup k virtuálním počítačům Azure
• Zjišťování možných podvodů v reálném čase

Ochrana informací

• Důvěrné výpočetní operace na zdravotnické platformě
• Homomorfní šifrování pomocí FUNKCE SEAL
• Spravovaná instance SQL s klíči spravovanými zákazníkem
• Integrované bezserverové mikroslužby virtuální sítě

Zjišťování a reakce

• Dlouhodobé uchovávání protokolů zabezpečení pomocí Azure Data Exploreru

Udržování aktuálního stavu se zabezpečením

Získejte nejnovější aktualizace o službách a funkcích zabezpečení Azure.

Další materiály

Ukázková řešení

• Hybridní monitorování zabezpečení s využitím Microsoft Defenderu pro cloud a Microsoft Sentinel
• Vylepšený přístup k víceklientských webovým aplikacím z místní sítě
• Omezení komunikace mezi službami
• Bezpečně spravované webové aplikace
• Zabezpečení robota kanálu Microsoft Teams a webové aplikace za bránou firewall
• Privátní připojení webové aplikace k databázi Azure SQL

Projděte si všechny naše architektury zabezpečení.

Odborníci na AWS nebo Google Cloud

• Zabezpečení a identita s využitím Azure a AWS
• Porovnání služeb AWS do Azure – Zabezpečení
• Porovnání služeb Google Cloud do Azure – Zabezpečení

Další kroky

Architektura zabezpečení je součástí komplexní sady pokynů zabezpečení, které zahrnují také:

• Zabezpečení v rámci architektury přechodu na cloud od Microsoftu pro Azure: Základní přehled koncového stavu zabezpečení cloudu.
• Dobře navržená architektura Azure: Pokyny k zabezpečení úloh v Azure
• Srovnávací testy zabezpečení Azure: Doporučené osvědčené postupy a kontrolní mechanismy pro zabezpečení Azure
• Kompletní zabezpečení v Azure: Dokumentace, která vás seznámí se službami zabezpečení v Azure.
• Nejlepších 10 osvědčených postupů zabezpečení pro Azure: Nejlepší osvědčené postupy zabezpečení Azure, které Microsoft doporučuje na základě poznatků získaných napříč zákazníky a našimi vlastními prostředími.
• Architektury kybernetické bezpečnosti Microsoftu: Diagramy popisují, jak se možnosti zabezpečení Microsoftu integrují s platformami Microsoftu a platformami třetích stran.