Číst v angličtině

Sdílet prostřednictvím


Přehled ukázky podrobného plánu Azure Security Benchmark Foundation

Důležité

11. července 2026 se podrobné plány (Preview) přestanou používat. Migrujte existující definice a přiřazení podrobného plánu do šablonových specifikací a zásobníků nasazení. Artefakty podrobného plánu se mají převést na šablony JSON ARM nebo soubory Bicep používané k definování zásobníků nasazení. Informace o vytváření artefaktu jako prostředku ARM najdete tady:

Ukázka podrobného plánu Azure Security Benchmark Foundation poskytuje sadu vzorů základní infrastruktury, které vám pomůžou vytvořit zabezpečené a vyhovující prostředí Azure. Podrobný plán vám pomůže nasadit cloudovou architekturu, která nabízí řešení pro scénáře s požadavky na akreditaci nebo dodržování předpisů. Nasadí a nakonfiguruje hranice sítě, monitorování a další prostředky v souladu se zásadami a dalšími mantinely definovanými v srovnávacím testu zabezpečení Azure.

Architektura

Základní prostředí vytvořené touto ukázkou podrobného plánu je založeno na objektech architektury hvězdicového modelu. Podrobný plán nasadí virtuální síť centra, která obsahuje běžné a sdílené prostředky, služby a artefakty, jako je Azure Bastion, brána a brána firewall pro připojení, správu a jump box podsítě pro hostování dalších/volitelných správě, údržby, správy a infrastruktury připojení. Jedna nebo více paprskových virtuálních sítí se nasadí do hostitelských aplikačních úloh, jako jsou webové a databázové služby. Paprskové virtuální sítě jsou připojené k centrální virtuální síti pomocí partnerského vztahu virtuálních sítí Azure pro bezproblémové a zabezpečené připojení. Další paprsky je možné přidat opětovným přiřazením ukázkového podrobného plánu nebo ručním vytvořením virtuální sítě Azure a jejím vytvořením partnerského vztahu s virtuální sítí centra. Všechna externí připojení k paprskovým virtuálním sítím a podsítím jsou nakonfigurované tak, aby směrovaly přes virtuální síť centra a přes bránu firewall, bránu a jump boxy pro správu.

Diagram ukázkové architektury podrobného plánu Azure Security Benchmark Foundation

Tento podrobný plán nasadí několik služeb Azure pro zajištění zabezpečeného, monitorovaného základu připraveného pro podniky. Toto prostředí tvoří:

  • Protokoly služby Azure Monitor a účet úložiště Azure, které zajišťují, že se protokoly prostředků, protokoly aktivit, metriky a toky provozu sítí ukládají do centrálního umístění pro snadné dotazování, analýzu, archivaci a upozorňování.
  • Azure Security Center (standardní verze) pro zajištění ochrany před hrozbami pro prostředky Azure
  • Virtuální síť Azure v centru podporující podsítě pro připojení zpět k místní síti, zásobník příchozího a výchozího přenosu dat do/pro připojení k internetu a volitelné podsítě pro nasazení dalších služeb pro správu nebo správu. Virtuální síť v paprsku obsahuje podsítě pro hostování úloh aplikací. Další podsítě je možné vytvořit po nasazení podle potřeby pro podporu příslušných scénářů.
  • Azure Firewall umožňuje směrovat veškerý odchozí internetový provoz a povolit příchozí internetový provoz přes jump box. (Výchozí pravidla brány firewall blokují veškerý internetový příchozí a odchozí provoz a pravidla musí být nakonfigurovaná po nasazení podle potřeby.)
  • Skupiny zabezpečení sítě (NSG) přiřazené ke všem podsítím (s výjimkou podsítí vlastněných službou, jako je Azure Bastion, Brána a Azure Firewall), které jsou nakonfigurované tak, aby blokovaly veškerý příchozí a odchozí provoz internetu.
  • Skupiny zabezpečení aplikací umožňující seskupování virtuálních počítačů Azure za účelem použití běžných zásad zabezpečení sítě
  • Směrujte tabulky tak, aby směrovat veškerý odchozí internetový provoz z podsítí přes bránu firewall. (Po nasazení je potřeba nakonfigurovat pravidla brány Azure Firewall a NSG, aby bylo možné otevřít připojení.)
  • Azure Network Watcher umožňuje monitorovat, diagnostikovat a zobrazovat metriky prostředků ve virtuální síti Azure.
  • Azure DDoS Protection za účelem ochrany prostředků Azure před útoky DDoS
  • Azure Bastion poskytuje bezproblémové a zabezpečené připojení k virtuálnímu počítači, který nevyžaduje veřejnou IP adresu, agenta nebo speciální klientský software.
  • Azure VPN Gateway umožňuje šifrovaný provoz mezi virtuální sítí Azure a místním umístěním přes veřejný internet.

Poznámka

Základy srovnávacích testů zabezpečení Azure stanoví základní architekturu pro úlohy. Diagram architektury výše obsahuje několik notenčních prostředků, které demonstrují potenciální použití podsítí. V této základní architektuře stále potřebujete nasadit úlohy.

Další kroky

Prozkoumali jste přehled a architekturu ukázky podrobného plánu Azure Security Benchmark Foundation.

Další články věnované podrobným plánům a postupu jejich využití: