Přehled – Použití principů nulová důvěra (Zero Trust) na Azure IaaS

Shrnutí: Pokud chcete použít principy nulová důvěra (Zero Trust) pro komponenty a infrastrukturu Azure IaaS, musíte nejprve porozumět společné referenční architektuře a komponentám úložiště Azure, virtuálním počítačům a hvězdicovým a hvězdicovým virtuálním sítím.

Tato série článků vám pomůže aplikovat principy nulová důvěra (Zero Trust) na úlohy v Microsoft Azure IaaS na základě multidiscipárního přístupu k uplatňování principů nulová důvěra (Zero Trust). nulová důvěra (Zero Trust) je strategie zabezpečení. Nejedná se o produkt nebo službu, ale o přístup při navrhování a implementaci následujících zásad zabezpečení:

• Explicitní ověření
• Použití nejméně privilegovaného přístupu
• Předpokládat porušení zabezpečení

Implementace myšlení Zero Trust „předpokládat porušení zabezpečení, nikdy nedůvěřovat, vždy ověřit“ vyžaduje změny v cloudové infrastruktuře, strategii nasazení a způsobu implementace.

Tyto úvodní série pěti článků (včetně tohoto úvodu) ukazují, jak použít nulová důvěra (Zero Trust) přístup k běžnému obchodnímu scénáři IT na základě služeb infrastruktury. Práce je rozdělená do jednotek, které je možné konfigurovat společně následujícím způsobem:

• Úložiště Azure
• Virtual Machines
• Paprskové virtuální sítě (VNet) pro úlohy založené na virtuálních počítačích
• Centrální virtuální sítě umožňující přístup k mnohým úlohám v Azure

Další informace najdete v tématu Použití principů nulová důvěra (Zero Trust) pro Azure Virtual Desktop.

Poznámka:

Do této série se v budoucnu přidají další články, včetně toho, jak mohou organizace využít nulová důvěra (Zero Trust) přístup k aplikacím, sítím, datům a službám DevOps na základě skutečných obchodních prostředí IT.

Důležité

Toto vedení Zero Trust popisuje, jak používat a konfigurovat několik řešení zabezpečení a funkcí dostupných na Azure pro referenční architekturu. Několik dalších zdrojů informací také poskytuje pokyny k zabezpečení pro tato řešení a funkce, mezi které patří:

• Referenční kritérium Microsoft Cloud Security
• Standardní hodnoty zabezpečení cloudu Microsoftu

Pokud chcete popsat, jak použít přístup nulová důvěra (Zero Trust), tento návod cílí na běžný vzor používaný v produkčním prostředí mnoha organizacemi: aplikace založená na virtuálním počítači hostovaná ve virtuální síti (a aplikaci IaaS). To je běžný vzor pro organizace, které migrují místní aplikace do Azure, což se někdy označuje jako "lift-and-shift". Referenční architektura zahrnuje všechny komponenty nezbytné pro podporu této aplikace, včetně služeb úložiště a virtuální sítě centra.

Referenční architektura odráží běžný model nasazení v produkčních prostředích. Není založená na cílových zónách na podnikové úrovni doporučených v architektuře přechodu na cloud (CAF), přestože mnoho osvědčených postupů v CAF je součástí referenční architektury, jako je použití vyhrazené virtuální sítě k hostování komponent, které zprostředkují přístup k aplikaci (virtuální síť centra).

Pokud se chcete dozvědět o doprovodných materiálech doporučených v cílových zónách Azure přechodu na cloud, projděte si tyto zdroje informací:

• Začínáme s architekturou přechodu na cloud
• Co je cílová zóna Azure?

Referenční architektura

Následující obrázek ukazuje referenční architekturu pro těchto pokynů Zero Trust.

Tato architektura obsahuje:

• Několik komponent a prvků IaaS, včetně různých typů uživatelů a uživatelů IT, kteří k aplikaci přistupují z různých webů. včetně Azure, internetu, lokální infrastruktury a firemních poboček.
• Běžná třívrstvé aplikace obsahující front-endovou vrstvu, aplikační vrstvu a datovou vrstvu. Všechny úrovně běží na virtuálních počítačích v rámci virtuální sítě s názvem SPOKE. Přístup k aplikaci je chráněný jinou virtuální sítí s názvem HUB, která obsahuje další služby zabezpečení.
• Některé z nejčastěji používaných služeb PaaS v Azure, které podporují aplikace IaaS, včetně řízení přístupu na základě rolí (RBAC) a Microsoft Entra ID, které přispívají k zabezpečení na principu Zero Trust.
• Objekty blob úložiště a soubory úložiště, které poskytují úložiště objektů pro aplikace a soubory sdílené uživateli.

Tato série článků poskytuje doporučení pro implementaci architektury Zero Trust pro referenční architekturu tím, že řeší každou z těchto větších částí hostovaných v Azure, jak je zde znázorněno.

Diagram popisuje větší oblasti architektury, které jsou řešeny jednotlivými články v této řadě:

1. Služby Azure Storage
2. Virtual Machines
3. Spoke VNets
4. Virtuální sítě centra

Je důležité si uvědomit, že pokyny v této sérii článků jsou konkrétnější pro tento typ architektury než pokyny uvedené v architektuře přechodu na cloud a architektury cílových zón Azure. Pokud jste použili pokyny v některém z těchto prostředků, nezapomeňte si také projít tuto řadu článků, kde najdete další doporučení.

Porozumění komponentám Azure

Diagram referenční architektury poskytuje topologické zobrazení prostředí. Je také užitečné vidět logicky, jak můžou být jednotlivé komponenty uspořádané v rámci prostředí Azure. Následující diagram poskytuje způsob, jak uspořádat předplatná a skupiny prostředků. Vaše předplatná Azure můžou být uspořádaná jinak.

V tomto diagramu je infrastruktura Azure obsažená v tenantovi Microsoft Entra ID. Následující tabulka popisuje různé části znázorněné v diagramu.

• Předplatná Azure

  Prostředky můžete distribuovat ve více než jednom předplatném, kde každé předplatné může obsahovat různé role, například předplatné sítě nebo předplatné zabezpečení. Toto je popsáno v dokumentaci k rozhraní přechodu na cloud a cílové zóně Azure, na které jsme dříve odkazovali. Různá předplatná můžou obsahovat také různá prostředí, jako jsou produkční, vývojová a testovací prostředí. Záleží na tom, jak chcete oddělit prostředí a počet prostředků, které budete mít v každém z nich. Jedno nebo více předplatných je možné spravovat společně pomocí skupiny pro správu. Díky tomu máte možnost používat oprávnění s řízením přístupu na základě role (RBAC) a zásadami Azure pro skupinu předplatných místo individuálního nastavení jednotlivých předplatných.

• Microsoft Defender pro cloud a Azure Monitor

  Pro každé předplatné Azure je k dispozici sada řešení Azure Monitor a Defender for Cloud. Pokud tato předplatná spravujete prostřednictvím skupiny pro správu, můžete konsolidovat na jednom portálu pro všechny funkce služby Azure Monitor a Defender pro cloud. Například skóre zabezpečení, které poskytuje Defender for Cloud, je konsolidováno pro všechna vaše předplatná s použitím skupiny pro správu jako oboru působnosti.

• Skupina prostředků úložiště (1)

  Účet úložiště je součástí vyhrazené skupiny prostředků. Jednotlivé účty úložiště můžete izolovat v jiné skupině prostředků, abyste měli podrobnější řízení oprávnění. Služby Úložiště Azure jsou obsažené ve vyhrazeném účtu úložiště. Pro každý typ úlohy úložiště můžete mít jeden účet úložiště, například Object Storage (označovaný také jako Blob Storage) a Soubory Azure. To poskytuje podrobnější řízení přístupu a může zlepšit výkon.

• Skupina prostředků virtuálních počítačů (2)

  Virtuální počítače jsou obsažené v jedné skupině prostředků. Každý typ virtuálního počítače můžete mít také pro vrstvy úloh, jako je front-end, aplikace a data v různých skupinách prostředků, a izolovat tak řízení přístupu.

• Paprskové (3) a centrální (4) skupiny prostředků virtuální sítě v samostatných předplatných

  Síť a další prostředky pro každou virtuální síť v referenční architektuře jsou izolované v rámci vyhrazených skupin prostředků pro paprskové a centrální virtuální sítě. Tato organizace funguje dobře, když odpovědnost za tyto záležitosti leží na různých týmech. Další možností je uspořádat tyto komponenty umístěním všech síťových prostředků do jedné skupiny prostředků a prostředků zabezpečení do jiné. Záleží na tom, jak je vaše organizace nastavená pro správu těchto prostředků.

Ochrana před internetovými útoky pomocí Microsoft Defenderu pro cloud

Microsoft Defender for Cloud je rozšířené řešení detekce a reakce (XDR), které automaticky shromažďuje, koreluje a analyzuje signály, hrozby a upozorňují data z celého vašeho prostředí. Program Defender for Cloud je určený k použití společně s XDR v programu Microsoft Defender k zajištění větší šířky korelované ochrany vašeho prostředí, jak je znázorněno na následujícím diagramu.

V diagramu:

• Defender pro cloud je povolený pro skupinu pro správu, která zahrnuje více předplatných Azure.
• XDR programu Microsoft Defender je povolený pro aplikace a data Microsoft 365, SaaS aplikace integrované s Microsoft Entra ID a servery místního Active Directory Domain Services (AD DS).

Další informace o konfiguraci skupin pro správu a povolení defenderu pro cloud najdete tady:

• Uspořádání předplatných do skupin pro správu a přiřazování rolí uživatelům
• Povolení defenderu pro cloud ve všech předplatných ve skupině pro správu

Řešení zabezpečení v této sérii článků

nulová důvěra (Zero Trust) zahrnuje použití více disciplín zabezpečení a ochrany informací najednou. V této sérii článků se tento přístup s více disciplínami uplatňuje na každou z jednotek práce pro komponenty infrastruktury následujícím způsobem:

Použití principů nulová důvěra (Zero Trust) na úložiště Azure

1. Ochrana dat ve všech třech režimech: data v klidovém stavu, přenášená data a data v používání
2. Ověření přístupu uživatelů a řízení přístupu k datům úložiště s nejnižšími oprávněními
3. Logické oddělení nebo oddělení důležitých dat pomocí síťových ovládacích prvků
4. Použití Defenderu pro úložiště pro automatizované zjišťování a ochranu před hrozbami

Použití principů nulová důvěra (Zero Trust) na virtuální počítače v Azure

1. Konfigurace logické izolace pro virtuální počítače
2. Využití řízení přístupu na základě role (RBAC)
3. Zabezpečení komponent spouštění virtuálních počítačů
4. Povolení klíčů spravovaných zákazníkem a dvojitého šifrování
5. Řízení aplikací nainstalovaných na virtuálních počítačích
6. Konfigurace zabezpečeného přístupu
7. Nastavení zabezpečené údržby virtuálních počítačů
8. Povolení rozšířené detekce a ochrany před hrozbami

Použití principů nulová důvěra (Zero Trust) u paprskové virtuální sítě v Azure

1. Využijte RBAC Microsoft Entra nebo nastavte vlastní role pro síťové prostředky
2. Izolujte infrastrukturu do samostatné skupiny prostředků
3. Vytvoření skupiny zabezpečení sítě pro každou podsíť
4. Vytvoření skupiny zabezpečení aplikace pro každou roli virtuálního počítače
5. Zabezpečení provozu a prostředků v rámci virtuální sítě
6. Zabezpečený přístup k virtuální síti a aplikaci
7. Povolení rozšířené detekce a ochrany před hrozbami

Použití principů nulová důvěra (Zero Trust) na virtuální síť centra v Azure

1. Zabezpečení služby Azure Firewall Premium
2. Nasazení služby Azure DDoS Protection úrovně Standard
3. Konfigurace směrování síťové gateway do firewallu
4. Konfigurace ochrany před hrozbami

Technické ilustrace

Tyto ilustrace jsou repliky referenčních ilustrací v těchto článcích. Stáhněte a přizpůsobte si je pro vlastní organizaci a zákazníky. Logo Contoso nahraďte vlastním logem.

Položka	Popis
Stáhnout Visio Aktualizováno říjen 2024	Použití principů nulová důvěra (Zero Trust) na Azure IaaS Tyto ilustrace použijte v těchto článcích: - Přehled - Úložiště Azure - Virtual Machines - Virtuální sítě typu spoke Azure - Virtuální sítě Azure Hubu
Stáhnout Visio Aktualizováno říjen 2024	Použití principů nulová důvěra (Zero Trust) na Azure IaaS – plakát na jedné stránce Jednostráňový přehled procesu použití principů nulová důvěra (Zero Trust) v prostředích Azure IaaS

Další technické ilustrace najdete v ilustracích Zero Trust pro IT architekty a implementátory.

Doporučené školení pro Zero Trust

Níže jsou uvedené doporučené školicí moduly pro nulová důvěra (Zero Trust).

Správa a zásady správného řízení Azure

Školení

Popis správy a zásad správného řízení Azure

Školení Základy Microsoft Azure se skládá ze tří studijních programů: Základy Microsoft Azure: Popis konceptů cloudu, popis architektury a služeb Azure a popis správy a zásad správného řízení Azure. Základy Microsoft Azure: Popis správy a zásad správného řízení Azure je třetí studijní program v Microsoft Azure Fundamentals. V tomto studijním programu se seznámíte s dostupnými prostředky pro správu a zásady správného řízení, které vám pomůžou spravovat cloudové a místní prostředky. Tento studijní program vám pomůže připravit se na zkoušku AZ-900: Základy Microsoft Azure.

Začínat >

Konfigurace služby Azure Policy

Školení	Konfigurace služby Azure Policy
	Zjistěte, jak nakonfigurovat Azure Policy pro implementaci požadavků na dodržování předpisů. V tomto modulu se naučíte: Vytvořte skupiny pro správu, které budou cílit na zásady a rozpočty útraty. Implementujte Azure Policy s definicemi zásad a iniciativ. Určení rozsahu zásad Azure a určení dodržování předpisů

Začínat >

Správa operace zabezpečení

Školení	Správa operace zabezpečení
	Jakmile nasadíte a zabezpečíte prostředí Azure, naučte se monitorovat, provozovat a průběžně zlepšovat zabezpečení vašich řešení. Tento studijní program vám pomůže připravit se na zkoušku AZ-500: Microsoft Azure Security Technologies.

Začínat >

Konfigurace zabezpečení úložiště

Školení

Konfigurace zabezpečení úložiště

Zjistěte, jak nakonfigurovat běžné funkce zabezpečení služby Azure Storage, jako jsou přístupové podpisy úložiště. V tomto modulu se naučíte: Nakonfigurujte sdílený přístupový podpis (SAS), včetně identifikátoru URI (Uniform Resource Identifier) a parametrů SAS. Nakonfigurujte šifrování služby Azure Storage. Implementujte klíče spravované zákazníkem. Doporučte příležitosti ke zlepšení zabezpečení služby Azure Storage.

Začínat >

Konfigurace služby Azure Firewall

Školení	Konfigurace služby Azure Firewall
	Dozvíte se, jak nakonfigurovat bránu Azure Firewall včetně pravidel brány firewall. Po dokončení modulu budete schopni: Určete, kdy použít Azure Firewall. Implementujte službu Azure Firewall včetně pravidel brány firewall.

Začínat >

Další školení o zabezpečení v Azure najdete v těchto materiálech v katalogu Microsoftu:
Zabezpečení v Azure | Microsoft Learn

Další kroky

Projděte si tyto další články týkající se uplatňování principů nulová důvěra (Zero Trust) v Azure:

• Pro Azure IaaS:
  • Úložiště Azure
  • Virtual Machines
  • Virtuální sítě typu paprsku
  • Virtuální sítě centra
  • Virtuální paprskové sítě se službami Azure PaaS
• Azure Virtual Desktop
• Azure Virtual WAN
• Aplikace IaaS ve službě Amazon Web Services
• Microsoft Sentinel a Microsoft Defender XDR

Další články o použití principů nulová důvěra (Zero Trust) sítí Azure najdete v těchto dalších článcích:

• Šifrování
• Segmentace
• Získání přehledu o síťovém provozu
• Ukončení starší verze technologie zabezpečení sítě

Reference

Informace o různých službách a technologiích uvedených v tomto článku najdete na následujících odkazech.

• Co je Azure – Microsoft Cloud Services
• Infrastruktura jako služba Azure (IaaS)
• Virtuální počítače pro Linux a Windows
• Seznámení se službou Azure Storage
• Azure Virtual Network
• Úvod do zabezpečení Azure
• Pokyny k implementaci Zero Trust
• Přehled srovnávacího testu zabezpečení cloudu Microsoftu
• Přehled standardních hodnot zabezpečení pro Azure
• Vytvoření první vrstvy obrany pomocí služeb zabezpečení Azure
• Referenční architektury kyberbezpečnosti Microsoftu