Přehled ukázky podrobného plánu Azure Security Benchmark Foundation
Důležité
11. července 2026 se podrobné plány (Preview) přestanou používat. Migrujte existující definice a přiřazení podrobného plánu do šablonových specifikací a zásobníků nasazení. Artefakty podrobného plánu se mají převést na šablony JSON ARM nebo soubory Bicep používané k definování zásobníků nasazení. Informace o vytváření artefaktu jako prostředku ARM najdete tady:
Ukázka podrobného plánu Azure Security Benchmark Foundation poskytuje sadu vzorů základní infrastruktury, které vám pomůžou vytvořit zabezpečené a vyhovující prostředí Azure. Podrobný plán vám pomůže nasadit cloudovou architekturu, která nabízí řešení pro scénáře s požadavky na akreditaci nebo dodržování předpisů. Nasadí a nakonfiguruje hranice sítě, monitorování a další prostředky v souladu se zásadami a dalšími mantinely definovanými v srovnávacím testu zabezpečení Azure.
Základní prostředí vytvořené touto ukázkou podrobného plánu je založeno na objektech architektury hvězdicového modelu. Podrobný plán nasadí virtuální síť centra, která obsahuje běžné a sdílené prostředky, služby a artefakty, jako je Azure Bastion, brána a brána firewall pro připojení, správu a jump box podsítě pro hostování dalších/volitelných správě, údržby, správy a infrastruktury připojení. Jedna nebo více paprskových virtuálních sítí se nasadí do hostitelských aplikačních úloh, jako jsou webové a databázové služby. Paprskové virtuální sítě jsou připojené k centrální virtuální síti pomocí partnerského vztahu virtuálních sítí Azure pro bezproblémové a zabezpečené připojení. Další paprsky je možné přidat opětovným přiřazením ukázkového podrobného plánu nebo ručním vytvořením virtuální sítě Azure a jejím vytvořením partnerského vztahu s virtuální sítí centra. Všechna externí připojení k paprskovým virtuálním sítím a podsítím jsou nakonfigurované tak, aby směrovaly přes virtuální síť centra a přes bránu firewall, bránu a jump boxy pro správu.
Tento podrobný plán nasadí několik služeb Azure pro zajištění zabezpečeného, monitorovaného základu připraveného pro podniky. Toto prostředí tvoří:
- Protokoly služby Azure Monitor a účet úložiště Azure, které zajišťují, že se protokoly prostředků, protokoly aktivit, metriky a toky provozu sítí ukládají do centrálního umístění pro snadné dotazování, analýzu, archivaci a upozorňování.
- Azure Security Center (standardní verze) pro zajištění ochrany před hrozbami pro prostředky Azure
- Virtuální síť Azure v centru podporující podsítě pro připojení zpět k místní síti, zásobník příchozího a výchozího přenosu dat do/pro připojení k internetu a volitelné podsítě pro nasazení dalších služeb pro správu nebo správu. Virtuální síť v paprsku obsahuje podsítě pro hostování úloh aplikací. Další podsítě je možné vytvořit po nasazení podle potřeby pro podporu příslušných scénářů.
- Azure Firewall umožňuje směrovat veškerý odchozí internetový provoz a povolit příchozí internetový provoz přes jump box. (Výchozí pravidla brány firewall blokují veškerý internetový příchozí a odchozí provoz a pravidla musí být nakonfigurovaná po nasazení podle potřeby.)
- Skupiny zabezpečení sítě (NSG) přiřazené ke všem podsítím (s výjimkou podsítí vlastněných službou, jako je Azure Bastion, Brána a Azure Firewall), které jsou nakonfigurované tak, aby blokovaly veškerý příchozí a odchozí provoz internetu.
- Skupiny zabezpečení aplikací umožňující seskupování virtuálních počítačů Azure za účelem použití běžných zásad zabezpečení sítě
- Směrujte tabulky tak, aby směrovat veškerý odchozí internetový provoz z podsítí přes bránu firewall. (Po nasazení je potřeba nakonfigurovat pravidla brány Azure Firewall a NSG, aby bylo možné otevřít připojení.)
- Azure Network Watcher umožňuje monitorovat, diagnostikovat a zobrazovat metriky prostředků ve virtuální síti Azure.
- Azure DDoS Protection za účelem ochrany prostředků Azure před útoky DDoS
- Azure Bastion poskytuje bezproblémové a zabezpečené připojení k virtuálnímu počítači, který nevyžaduje veřejnou IP adresu, agenta nebo speciální klientský software.
- Azure VPN Gateway umožňuje šifrovaný provoz mezi virtuální sítí Azure a místním umístěním přes veřejný internet.
Poznámka
Základy srovnávacích testů zabezpečení Azure stanoví základní architekturu pro úlohy. Diagram architektury výše obsahuje několik notenčních prostředků, které demonstrují potenciální použití podsítí. V této základní architektuře stále potřebujete nasadit úlohy.
Prozkoumali jste přehled a architekturu ukázky podrobného plánu Azure Security Benchmark Foundation.
Další články věnované podrobným plánům a postupu jejich využití:
- Další informace o životním cyklu podrobného plánu
- Principy použití statických a dynamických parametrů
- Další informace o přizpůsobení pořadí podrobných plánů
- Použití zamykání prostředků podrobného plánu
- Další informace o aktualizaci existujících přiřazení