Přehled ukázky podrobného plánu Azure Security Benchmark Foundation

Důležité

11. července 2026 budou plány Blueprints (Preview) zastaralé. Migrujte existující definice a přiřazení podrobných plánů do specifikací šablon a zásobníků nasazení. Artefakty podrobného plánu se mají převést na šablony ARM JSON nebo soubory Bicep používané k definování zásobníků nasazení. Informace o tom, jak vytvořit artefakt jako prostředek ARM, najdete tady:

• Zásady
• RBAC
• Nasazení

Ukázka podrobného plánu Azure Security Benchmark Foundation poskytuje sadu vzorů základní infrastruktury, které vám pomůžou vytvořit zabezpečené a vyhovující prostředí Azure. Podrobný plán vám pomůže nasadit cloudovou architekturu, která nabízí řešení pro scénáře s požadavky na akreditaci nebo dodržování předpisů. Nasazuje a konfiguruje hranice sítě, monitorování a další prostředky v souladu se zásadami a dalšími mantinely definovanými ve srovnávacím testu zabezpečení Azure.

Architektura

Základní prostředí vytvořené touto ukázkou podrobného plánu je založené na objektech architektury hvězdicového modelu. Podrobný plán nasadí centrální virtuální síť, která obsahuje společné a sdílené prostředky, služby a artefakty, jako je azure Bastion, brána a brána firewall pro připojení, správu a podsítě jump boxu k hostování další nebo volitelné infrastruktury správy, údržby, správy a připojení. Jedna nebo více paprskových virtuálních sítí se nasadí k hostování aplikačních úloh, jako jsou webové a databázové služby. Paprskové virtuální sítě jsou připojené k centrální virtuální síti pomocí peeringu virtuálních sítí Azure pro bezproblémové a zabezpečené připojení. Další paprsky je možné přidat opětovným přiřazením ukázkového podrobného plánu nebo ručním vytvořením virtuální sítě Azure a jejím partnerským vztahem s virtuální sítí centra. Všechna externí připojení k paprskovým virtuálním sítím a podsítím jsou nakonfigurovaná tak, aby směrovala přes virtuální síť centra a přes bránu firewall, bránu a jumpboxy správy.

Tento podrobný plán nasadí několik služeb Azure, které poskytují zabezpečený, monitorovaný základ připravený pro podniky. Toto prostředí tvoří:

• Protokoly Služby Azure Monitor a účet úložiště Azure, aby se zajistilo, že se protokoly prostředků, protokoly aktivit, metriky a toky provozu sítí ukládají v centrálním umístění pro snadné dotazování, analýzu, archivaci a upozorňování.
• Azure Security Center (standardní verze) k zajištění ochrany prostředků Azure před hrozbami.
• Azure Virtual Network v centru s podporou podsítí pro připojení zpět k místní síti, zásobník příchozího a výchozího přenosu dat do a pro připojení k internetu a volitelné podsítě pro nasazení dalších služeb správy nebo správy. Virtual Network v paprsku obsahuje podsítě pro hostování aplikačních úloh. Po nasazení je možné podle potřeby vytvořit další podsítě, které podporují příslušné scénáře.
• Azure Firewall směrovat veškerý odchozí internetový provoz a povolit příchozí internetový provoz prostřednictvím jump boxu. (Výchozí pravidla brány firewall blokují veškerý internetový příchozí a odchozí provoz a pravidla se musí podle potřeby nakonfigurovat po nasazení.)
• Skupiny zabezpečení sítě (NSG) přiřazené ke všem podsítím (s výjimkou podsítí vlastněných službou, jako jsou Azure Bastion, Brána a Azure Firewall) nakonfigurované tak, aby blokovaly veškerý internetový příchozí a odchozí provoz.
• Skupiny zabezpečení aplikací umožňující seskupování virtuálních počítačů Azure pro použití běžných zásad zabezpečení sítě
• Směrovací tabulky pro směrování veškerého odchozího internetového provozu z podsítí přes bránu firewall. (Azure Firewall a pravidla NSG bude potřeba nakonfigurovat po nasazení, aby se otevřelo připojení.)
• Azure Network Watcher k monitorování, diagnostice a zobrazení metrik prostředků ve virtuální síti Azure.
• Azure DDoS Protection k ochraně prostředků Azure před útoky DDoS.
• Azure Bastion poskytuje bezproblémové a zabezpečené připojení k virtuálnímu počítači, který nevyžaduje veřejnou IP adresu, agenta ani speciální klientský software.
• Azure VPN Gateway umožňující šifrovaný provoz mezi virtuální sítí Azure a místním umístěním přes veřejný internet.

Poznámka

Azure Security Benchmark Foundation stanoví základní architekturu pro úlohy. Výše uvedený diagram architektury obsahuje několik pomyslných prostředků, které demonstrují možné využití podsítí. Na této základní architektuře stále potřebujete nasadit úlohy.

Další kroky

Prostudovali jste si přehled a architekturu ukázky podrobného plánu Azure Security Benchmark Foundation.

Podrobný plán Azure Security Benchmark Foundation – kroky nasazení

Další články věnované podrobným plánům a postupu jejich využití:

• Další informace o životním cyklu podrobného plánu
• Principy použití statických a dynamických parametrů
• Další informace o přizpůsobení pořadí podrobných plánů
• Použití zamykání prostředků podrobného plánu
• Další informace o aktualizaci existujících přiřazení