Použití principů nulová důvěra (Zero Trust) na paprskovou virtuální síť se službami Azure PaaS
Tento článek vám pomůže použít principy modelu zabezpečení nulová důvěra (Zero Trust) na úlohu PaaS pomocí virtuálních sítí Azure a privátních koncových bodů následujícími způsoby:
| princip nulová důvěra (Zero Trust) | Definice | Met by |
|---|---|---|
| Explicitní ověření | Vždy ověřovat a autorizovat na základě všech dostupných datových bodů. | Pomocí detekce hrozeb ve službě Azure Firewall a Aplikace Azure lication Gateway ověřte provoz a ověřte, jestli je provoz přijatelný. |
| Použití nejméně privilegovaného přístupu | Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat. | Snižte příchozí a výchozí přenos dat ze služeb Azure do privátní sítě. Skupiny zabezpečení sítě použijte k povolení pouze konkrétního příchozího přenosu dat z vaší virtuální sítě. Pomocí centrální instance služby Azure Firewall udělte jiným než virtuálním sítím přístup ke službě Azure. |
| Předpokládat porušení zabezpečení | Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany. | Omezte zbytečnou komunikaci mezi prostředky. Ujistěte se, že se přihlašujete ze skupin zabezpečení sítě a že máte správný přehled o neobvyklém provozu. Sledujte změny skupin zabezpečení sítě. |
Další informace o použití principů nulová důvěra (Zero Trust) v prostředí Azure IaaS najdete v přehledu Použití principů nulová důvěra (Zero Trust) v Azure IaaS.
nulová důvěra (Zero Trust) samostatné nebo paprskové sítě pro služby Azure PaaS
Mnoho služeb PaaS obsahuje vlastní funkce řízení příchozího a výchozího přenosu dat nativní pro službu. Pomocí těchto ovládacích prvků můžete zabezpečit síťový přístup k prostředkům služby PaaS bez nutnosti infrastruktury, jako jsou virtuální sítě. Příklad:
- Azure SQL Database má vlastní bránu firewall, která se dá použít k povolení konkrétních IP adres klientů, které potřebují přístup k databázovému serveru.
- Účty úložiště Azure mají možnost konfigurace, která umožňuje připojení z konkrétní virtuální sítě nebo blokovat přístup k veřejné síti.
- Aplikace Azure Služba podporuje omezení přístupu k definování seznamu povolených a odepření seřazených podle priority, který řídí síťový přístup k vaší aplikaci.
U nulová důvěra (Zero Trust) implementací s asistencí však tyto kontroly přístupu nativní pro službu často nedostačují. Tím se vytvoří difúze řízení přístupu a protokolování, které může zvýšit správu a snížit viditelnost.
Kromě toho můžou služby PaaS používat plně kvalifikované názvy domén (FQDN), které se přeloží na dynamicky přiřazenou veřejnou IP adresu přidělenou z fondu veřejných IP adres v konkrétní oblasti pro určitý typ služby. Z tohoto důvodu nebudete moct povolit provoz z konkrétní služby PaaS ani do konkrétní služby PaaS pomocí jejich veřejné IP adresy, která se může změnit.
Microsoft doporučuje používat privátní koncové body. Privátní koncový bod je rozhraní virtuální sítě, které používá privátní IP adresu z vaší virtuální sítě. Toto síťové rozhraní vás privátně a zabezpečeně připojí ke službě využívající službu Azure Private Link. Povolením privátního koncového bodu přenesete službu do virtuální sítě.
V závislosti na vašem scénáři řešení možná budete potřebovat veřejný příchozí přístup ke službám PaaS. Pokud to ale neuděláte, Microsoft doporučuje, aby veškerý provoz zůstal soukromý, aby se vyloučila potenciální bezpečnostní rizika.
Tato příručka obsahuje pokyny pro konkrétní referenční architekturu, ale principy a metody lze podle potřeby použít na jiné architektury.
Referenční architektura
Následující diagram znázorňuje běžnou referenční architekturu pro úlohy založené na PaaS.
V diagramu:
- Paprsková virtuální síť obsahuje komponenty pro podporu aplikace PaaS.
- Aplikace PaaS je dvouvrstvá aplikace využívající Aplikace Azure lication Services pro webovou aplikaci nebo front-end a Azure SQL Database pro relační databáze.
- Každá úroveň je obsažena v rámci vyhrazené podsítě pro příchozí přenos dat s vyhrazenou skupinou zabezpečení sítě.
- Webová vrstva obsahuje vyhrazenou podsíť pro výchozí přenos dat.
- Přístup k aplikaci je poskytován prostřednictvím služby Application Gateway obsažené ve vlastní podsíti.
Následující diagram znázorňuje logickou architekturu těchto komponent v rámci předplatného Azure.
V diagramu jsou všechny komponenty paprskové virtuální sítě obsažené ve vyhrazené skupině prostředků:
- Jedna virtuální síť
- Jedna Aplikace Azure lication Gateway (App GW), včetně firewallu webových aplikací (WAF)
- Tři skupiny zabezpečení sítě (pojmenované pomocí skupiny zabezpečení sítě v diagramu) pro databáze, aplikace a front-endové vrstvy
- Dvě skupiny zabezpečení aplikací (pojmenované pomocí asg v diagramu)
- Dva privátní koncové body
Prostředky pro virtuální síť centra se navíc nasazují v příslušném předplatném připojení.
Co je v tomto článku
nulová důvěra (Zero Trust) principy se použijí napříč architekturou, od tenanta a adresáře až po přiřazení virtuálních počítačů ke skupinám zabezpečení aplikací. Následující tabulka popisuje doporučení pro zabezpečení této architektury.
| Krok | Úloha |
|---|---|
| 0 | Využijte Microsoft Entra RBAC nebo nastavte vlastní role pro síťové prostředky. |
| 2 | Izolujte infrastrukturu do vlastní skupiny prostředků. |
| 3 | Vytvořte skupinu zabezpečení sítě pro každou podsíť. |
| 4 | Zabezpečení provozu a prostředků ve virtuální síti:
|
| 5 | Zabezpečení příchozího a výchozího přenosu dat pro služby Azure PaaS |
| 6 | Zabezpečený přístup k virtuální síti a aplikaci. |
| 7 | Povolte pokročilou detekci hrozeb, upozorňování a ochranu. |
V této příručce se předpokládá, že už máte službu Aplikace Azure lication a službu Azure SQL Database nasazenou ve vlastních skupinách prostředků.
Krok 1: Využití Microsoft Entra RBAC nebo nastavení vlastních rolí pro síťové prostředky
Pro přispěvatele sítě můžete využít předdefinované role Microsoft Entra RBAC. Dalším přístupem je ale využití vlastních rolí. Hvězdicoví správci sítě virtuální sítě nepotřebují úplný přístup k síťovým prostředkům uděleným rolí Přispěvatel sítě Microsoft Entra RBAC, ale potřebují více oprávnění než jiné běžné role. Vlastní roli je možné použít k určení rozsahu přístupu jenom k tomu, co je potřeba.
Jedním ze snadných způsobů implementace je nasazení vlastních rolí nalezených v referenční architektuře cílové zóny Azure.
Konkrétní role, kterou lze použít, je vlastní role Správa sítě, která má následující oprávnění:
- Čtení všech v oboru
- Všechny akce se zprostředkovatelem sítě
- Všechny akce s poskytovatelem podpory
- Všechny akce s poskytovatelem prostředků
Tuto roli je možné vytvořit pomocí skriptů v úložišti GitHub Referenční architektura cílové zóny Azure nebo ji můžete vytvořit prostřednictvím ID Microsoft Entra s vlastními rolemi Azure.
Krok 2: Izolace infrastruktury do vlastní skupiny prostředků
Izolováním síťových prostředků z výpočetních prostředků, dat nebo prostředků úložiště snížíte pravděpodobnost, že dojde k přesahu oprávnění. Kromě toho tím, že zajistíte, aby všechny související prostředky byly v jedné skupině prostředků, můžete pro tyto prostředky vytvořit jedno přiřazení zabezpečení a lépe spravovat protokolování a monitorování.
Místo toho, aby paprskové síťové prostředky byly dostupné v několika kontextech ve sdílené skupině prostředků, vytvořte vyhrazenou skupinu prostředků. Následující diagram architektury znázorňuje tuto konfiguraci.
V diagramu jsou prostředky a komponenty v referenční architektuře rozdělené do vyhrazených skupin prostředků pro aplikační služby, databáze Azure SQL, účty úložiště, prostředky virtuální sítě centra a prostředky paprskové virtuální sítě.
Pomocí vyhrazené skupiny prostředků můžete přiřadit vlastní roli pomocí kurzu Udělení přístupu uživatelů k prostředkům Azure pomocí webu Azure Portal .
Další doporučení:
- Odkazujte na skupinu zabezpečení pro roli místo pojmenovaných jednotlivců.
- Správa přístupu ke skupině zabezpečení prostřednictvím postupů správy podnikových identit
Pokud nepoužíváte zásady, které vynucují předávání protokolů u skupin prostředků, nakonfigurujte to v protokolu aktivit pro skupinu prostředků:
- Najděte skupinu prostředků na webu Azure Portal.
- Přejděte do protokolu aktivit –> Export protokolů aktivit a pak vyberte + Přidat nastavení diagnostiky.
- Na obrazovce Nastavení diagnostiky vyberte všechny kategorie protokolů (zejména Zabezpečení) a odešlete je do příslušných zdrojů protokolování, jako je pracovní prostor služby Log Analytics pro pozorovatelnost nebo účet úložiště pro dlouhodobé úložiště. Tady je příklad:
Informace o kontrole těchto protokolů a jejich upozorňování najdete v nastavení diagnostiky.
Demokratizace předplatných
I když přímo nesouvisí se sítěmi, měli byste plánovat řízení přístupu na základě role na základě role v předplatném podobným způsobem. Kromě logického izolování prostředků podle skupiny prostředků byste také měli izolovat předplatné na základě obchodních oblastí a vlastníků portfolia. Předplatné jako jednotka pro správu by mělo být úzce vymezeno.
Další informace najdete v tématu Principy návrhu cílových zón Azure.
Krok 3: Vytvoření skupiny zabezpečení sítě pro každou podsíť
Skupiny zabezpečení sítě Azure slouží k filtrování síťového provozu mezi prostředky Azure ve virtuální síti Azure. Doporučujeme pro každou podsíť použít skupinu zabezpečení sítě. To se ve výchozím nastavení vynucuje prostřednictvím zásad Azure při nasazování cílových zón Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení umožňující povolit nebo odepřít příchozí nebo odchozí síťový provoz několika typů prostředků Azure. Pro každé pravidlo můžete zadat zdrojové a cílové IP adresy, protokol (například TCP nebo UDP) a port.
U vícevrstvých aplikací doporučujeme vytvořit vyhrazenou skupinu zabezpečení sítě (NSG v následujícím diagramu) pro každou podsíť, která je hostitelem síťové komponenty.
V diagramu:
- Každá vrstva aplikace má vyhrazenou podsíť příchozího přenosu dat, například jednu pro webovou vrstvu a druhou pro datovou vrstvu.
- Aplikace Azure lication Services má vyhrazenou podsíť výchozího přenosu dat pro konkrétní aplikační službu.
- Pro každou z těchto podsítí je nakonfigurovaná skupina zabezpečení sítě.
Konfigurace skupin zabezpečení sítě jiným způsobem než v diagramu může vést k nesprávné konfiguraci některých nebo všech skupin zabezpečení sítě a může způsobovat problémy při řešení potíží. Může také ztížit monitorování a protokolování.
Informace o správě nastavení skupin zabezpečení sítě najdete v tématu Vytvoření, změna nebo odstranění skupiny zabezpečení sítě Azure.
Přečtěte si další informace o skupinách zabezpečení sítě, abyste pochopili, jak se dají použít k zabezpečení vašich prostředí.
Krok 4: Zabezpečení provozu a prostředků ve virtuální síti
Tato část popisuje následující doporučení:
- Nasazení pravidel standardního zamítnutí pro skupiny zabezpečení sítě
- Nasazení pravidel specifických pro aplikaci
- Plánování provozu správy ve virtuální síti
- Nasazení protokolování toku skupiny zabezpečení sítě
Nasazení pravidel standardního zamítnutí pro skupiny zabezpečení sítě
Klíčovým prvkem nulová důvěra (Zero Trust) je použití nejnižší potřebné úrovně přístupu. Ve výchozím nastavení mají skupiny zabezpečení sítě povolená pravidla. Přidáním směrného plánu pravidel zamítnutí můžete vynutit nejnižší úroveň přístupu. Po zřízení vytvořte ve všech příchozích a odchozích pravidlech všechny pravidlo odepření s prioritou 4096. Jedná se o poslední dostupnou vlastní prioritu, což znamená, že stále máte zbývající rozsah pro konfiguraci povolených akcí.
Uděláte to tak, že ve skupině zabezpečení sítě přejdete na Pravidla zabezpečení odchozích přenosů a vyberete Přidat. Zadejte tyto informace:
- Zdroj: Libovolný
- Rozsahy zdrojových portů: *
- Cíl: Jakýkoli
- Služba: Vlastní
- Rozsahy cílových portů: *
- Protokol: Libovolný
- Akce: Odepřít
- Priorita: 4096
- Název: DenyAllOutbound
- Popis: Odmítne veškerý odchozí provoz, pokud není výslovně povolený.
Následuje příklad.
Tento proces opakujte s příchozími pravidly, podle potřeby upravte název a popis.
Na kartě Příchozí pravidla zabezpečení se zobrazí u pravidla upozornění. Následuje příklad.
Klikněte na pravidlo a posuňte se dolů, abyste zobrazili další podrobnosti. Tady je příklad:
Tato zpráva obsahuje následující dvě upozornění:
- Azure Load Balancers ve výchozím nastavení nebude mít přístup k prostředkům pomocí této skupiny zabezpečení sítě.
- Ostatní prostředky v této virtuální síti ve výchozím nastavení nebudou mít přístup k prostředkům pomocí této skupiny zabezpečení sítě.
Pro náš účel v nulová důvěra (Zero Trust) by to mělo být. To znamená, že jen proto, že něco je v této virtuální síti, neznamená, že bude mít okamžitý přístup k vašim prostředkům. Pro každý vzor provozu vytvořte pravidlo, které ho explicitně povoluje, a měli byste to udělat s nejmenším množstvím oprávnění.
Pokud máte specifická odchozí připojení pro správu, jako jsou řadiče domény služby DOMÉNA SLUŽBY ACTIVE DIRECTORY Services (AD DS), privátní virtuální počítače DNS nebo konkrétní externí weby, musí se tady řídit.
Alternativní pravidla zamítnutí
Poznámka:
Doporučení v této části platí jenom pro podsíť webového výchozího přenosu dat.
Pokud ke správě odchozích připojení používáte Azure Firewall, můžete místo provádění odchozích připojení vytvořit alternativní pravidla pro odchozí připojení. Jako součást implementace služby Azure Firewall nastavíte směrovací tabulku, která odesílá do brány firewall výchozí provoz (0.0.0.0.0/0). Tím se zpracovává provoz mimo virtuální síť.
Pak můžete buď vytvořit odepření všech odchozích pravidel virtuální sítě, nebo povolit všechna odchozí pravidla, ale zabezpečit položky pomocí jejich příchozích pravidel.
Informace o tom, jak je můžete použít k dalšímu zvýšení zabezpečení prostředí, najdete v Azure Firewallu a směrovacích tabulkách .
Nasazení pravidel specifických pro aplikaci
Definujte vzory provozu s nejnižším množstvím oprávnění a pouze podle explicitně povolených cest. Pomocí podsítí jako zdrojů definujte vzory sítí ve skupinách zabezpečení sítě. Následuje příklad.
Použijte spravovat skupiny zabezpečení sítě: Vytvořte proces pravidla zabezpečení pro přidání pravidel do skupin zabezpečení sítě.
Pokud chcete tento scénář zabezpečit, přidejte následující pravidla:
| Skupina zabezpečení sítě pro podsíť | Směr | Zdroj | Podrobnosti zdroje | Zdrojový port | Cíl | Podrobnosti o cíli | Služba | Název skupiny zabezpečení sítě | Popis skupiny zabezpečení sítě |
|---|---|---|---|---|---|---|---|---|---|
| Podsíť služby App Service | Příchozí | IP adresy | Rozsah privátních IP adres vaší podsítě služby Application Gateway | 443 | IP adresy | Explicitní IP adresa privátního koncového bodu vaší služby App Service | MS SQL | AllowGWtoAppInbound | Povolí příchozí přístup ke službě App Service ze služby Application Gateway. |
| Podsíť integrace služby App Service | Odchozí | IP adresy | Rozsah IP adres podsítě integrace vaší služby App Service | 1433 | IP adresy | Explicitní IP adresa privátního koncového bodu vaší databáze SQL | MS SQL | AllowApptoSQLDBOutbound | Umožňuje odchozí přístup k privátnímu koncovému bodu SQL z podsítě integrace služby App Service. |
| Podsíť Azure SQL | Příchozí | IP adresy | Rozsah IP adres podsítě integrace vaší služby App Service | 1433 | IP adresy | Explicitní IP adresa privátního koncového bodu vaší databáze SQL | MS SQL | AllowApptoSQLDBInbound | Umožňuje příchozí přístup k privátnímu koncovému bodu SQL z podsítě integrace služby App Service. |
Poznámka:
Někdy může zdrojový provoz pocházet z různých portů a pokud k tomuto vzoru dojde, můžete přidat rozsahy zdrojových portů do *, aby bylo možné povolit libovolný zdrojový port. Cílový port je významnější a některá doporučení pro zdrojový port vždy používají "*".
Poznámka:
Pro prioritu použijte hodnotu mezi 100 a 4000. Můžete začít na 105.
To je navíc k pravidlům skupiny zabezpečení sítě v podsíti služby Application Gateway.
Pomocí těchto pravidel jste definovali model připojení nulová důvěra (Zero Trust) pro jednu aplikační vrstvu. Tento proces můžete opakovat podle potřeby pro další toky.
Plánování provozu správy ve virtuální síti
Kromě provozu specifického pro aplikaci naplánujte provoz správy. Vzhledem k tomu, že provoz správy obvykle pochází mimo paprskovou virtuální síť, vyžadují se další pravidla. Nejprve porozumíte konkrétním portům a zdrojům, ze které bude provoz správy pocházet. Obvykle by veškerý provoz správy měl proudit z brány firewall nebo jiného síťového virtuálního zařízení umístěného v centrální síti paprsku.
Úplný přehled referenční architektury najdete v tématu Použití principů nulová důvěra (Zero Trust) na Azure IaaS.
Vaše konfigurace se bude lišit v závislosti na vašich konkrétních potřebách správy. Měli byste však použít pravidla pro zařízení brány firewall a pravidla ve skupině zabezpečení sítě, abyste explicitně povolili připojení na straně sítě platformy i sítě úloh.
Plánování nasazení
Vzhledem k tomu, že vaše aplikační služby a databáze teď používají privátní sítě, naplánujte nasazení kódu a dat do těchto prostředků. Přidejte pravidla, která umožňují serverům privátního sestavení přístup k těmto koncovým bodům.
Nasazení protokolování toku skupiny zabezpečení sítě
I když vaše skupina zabezpečení sítě blokuje nepotřebný provoz, neznamená to, že jsou splněny vaše cíle. Pokud chcete zjistit útok, musíte stále sledovat provoz, ke kterému dochází mimo explicitní vzory.
Provoz do privátních koncových bodů se nezaprotokoluje , ale pokud se do podsítí nasadí další služby později, pomůže vám to zjistit aktivity.
Pokud chcete povolit protokolování toku skupiny zabezpečení sítě, postupujte podle kurzu: Protokolování toku síťového provozu do a z virtuálního počítače pro existující skupinu zabezpečení sítě pro privátní koncové body.
Poznámka:
Mějte na paměti tato doporučení:
Podle potřeby byste měli omezit přístup k protokolům.
Protokoly by se měly podle potřeby přecházet do Log Analytics a Microsoft Sentinelu.
Krok 5: Zabezpečení příchozího a výchozího přenosu dat pro služby Azure PaaS
Tato část obsahuje dva kroky potřebné k zabezpečení příchozího a výchozího přenosu dat pro služby PaaS:
- Nasaďte privátní koncové body pro příchozí přenos dat do vašich služeb.
- Nasaďte integraci virtuální sítě, aby služba Application Service mohla komunikovat s vaší virtuální sítí.
Kromě toho byste měli zvážit také konfiguraci DNS, která umožňuje překlad názvů.
Nasazení privátních koncových bodů pro příchozí přenos dat
Řada služeb umožňuje vytvářet privátní koncové body z okna specifického pro prostředky na webu Azure Portal, ale konzistentnější prostředí spočívá v vytvoření privátního koncového bodu z vlastního prostředku. K tomu by už měly být nasazeny prostředky. Po nasazení můžete vytvořit privátní koncový bod.
Při nasazování privátních koncových bodů je nakonfigurujte následujícím způsobem:
- Umístěte je do konkrétní skupiny prostředků, ve které jsou nadřazené prostředky, aby byly prostředky s podobným životním cyklem pohromadě a poskytovaly centrální přístup.
- Umístěte je do příslušné podsítě ve virtuální síti na základě jejich role.
- Pro službu Aplikace Azure lication Můžete nakonfigurovat privátní koncové body pro normální front-end i koncový bod SCM, který se používá pro nasazení a správu.
V rámci tohoto nasazení byste také měli zajistit, aby brána firewall specifická pro službu byla nastavená tak, aby odepřela příchozí provoz. Tím se zamítnou všechny pokusy o veřejný příchozí přenos dat.
Pro databázi Azure SQL spravujte pravidla brány firewall protokolu IP na úrovni serveru. Ujistěte se, že je na webu Azure Portal nastavený přístup k veřejné síti na zakázání síťového panelu.
U služby Aplikace Azure lication Service přidání privátního koncového bodu nastaví bránu firewall na úrovni služby tak, aby ve výchozím nastavení blokovala příchozí přístup. Další informace najdete v tématu Použití privátních koncových bodů pro aplikace služby App Service.
Nasazení integrace virtuální sítě pro výchozí přenos dat
Kromě privátních koncových bodů pro příchozí přenos dat povolte integraci virtuální sítě. Každý plán služby App Service může mít povolenou integraci virtuální sítě a přiděluje tak celou podsíť pro službu App Service. Další informace najdete v tématu Integrace aplikace s virtuální sítí Azure.
Informace o konfiguraci služby App Service najdete v tématu Povolení integrace virtuální sítě ve službě Aplikace Azure Service. Ujistěte se, že ho umístíte do podsítě určené pro výchozí přenos dat.
Důležité informace o DNS
V rámci používání privátních koncových bodů povolte překlad DNS plně kvalifikovaných názvů domén prostředků na nové privátní IP adresy. Pokyny k implementaci tohoto postupu najdete v tématu Konfigurace DNS privátního koncového bodu.
Poznámka:
Překlad DNS se musí použít pro veškerý provoz. Prostředky ve stejné virtuální síti se nebudou moct přeložit, pokud nepoužívají správné zóny DNS.
Krok 6: Zabezpečení přístupu k virtuální síti a aplikaci
Zabezpečení přístupu k virtuální síti a aplikacím zahrnuje:
- Zabezpečení provozu v rámci prostředí Azure do aplikace
- Použití vícefaktorového ověřování (MFA) a zásad podmíněného přístupu pro přístup uživatelů k aplikacím
Následující diagram znázorňuje oba režimy přístupu v referenční architektuře.
Zabezpečení provozu v prostředí Azure pro virtuální síť a aplikaci
Většina práce s provozem zabezpečení v rámci prostředí Azure je už hotová. Viz Použití principů nulová důvěra (Zero Trust) v úložišti Azure ke konfiguraci zabezpečených připojení mezi prostředky úložiště a virtuálními počítači.
Viz Použití principů nulová důvěra (Zero Trust) pro virtuální síť centra v Azure pro zabezpečení přístupu z prostředků centra do virtuální sítě.
Použití zásad vícefaktorového ověřování a podmíněného přístupu pro přístup uživatelů k aplikacím
Článek Apply nulová důvěra (Zero Trust) principles to virtual machines doporučuje, jak chránit žádosti o přístup přímo na virtuální počítače pomocí vícefaktorového ověřování a podmíněného přístupu. Tyto požadavky jsou nejpravděpodobnější od správců a vývojářů. Dalším krokem je zabezpečení přístupu k aplikacím pomocí vícefaktorového ověřování a podmíněného přístupu. To platí pro všechny uživatele, kteří k aplikaci přistupují.
Nejprve pokud aplikace ještě není integrovaná s ID Microsoft Entra, přečtěte si téma Typy aplikací pro platformu Microsoft Identity Platform.
Dále přidejte aplikaci do oboru zásad přístupu k identitám a zařízením.
Při konfiguraci vícefaktorového ověřování pomocí podmíněného přístupu a souvisejících zásad použijte jako vodítko doporučenou sadu zásad pro nulová důvěra (Zero Trust). To zahrnuje zásady výchozího bodu , které nevyžadují správu zařízení. V ideálním případě se spravují zařízení, která přistupují k virtuálním počítačům, a můžete implementovat úroveň Enterprise, která se doporučuje pro nulová důvěra (Zero Trust). Další informace najdete v tématu Běžné zásady identit nulová důvěra (Zero Trust) a přístupu zařízení.
Následující diagram znázorňuje doporučené zásady pro nulová důvěra (Zero Trust).
Krok 7: Povolení rozšířené detekce a ochrany před hrozbami
Vaše paprsková virtuální síť založená na Azure může být chráněná programem Microsoft Defender for Cloud jako další prostředky z vašeho it firemního prostředí běžícího v Azure nebo místně.
Jak už jsme zmínili v dalších článcích z této série, Defender for Cloud je nástroj CWP (Cloud Security Health Management) a Cloud Workload Protection (CWP), který nabízí doporučení zabezpečení, výstrahy a pokročilé funkce, jako je adaptivní posílení zabezpečení sítě, které vám pomůžou v průběhu cesty zabezpečení cloudu.
Tento článek podrobně nepopisuje Defender for Cloud, ale je důležité pochopit, že Defender for Cloud funguje na základě zásad Azure a protokolů přijatých v pracovním prostoru služby Log Analytics. Po povolení předplatných s paprskovou virtuální sítí a přidruženými prostředky můžete zobrazit doporučení ke zlepšení stavu zabezpečení. Tato doporučení můžete dál filtrovat podle taktiky MITRE, skupiny prostředků a dalších. Zvažte stanovení priority, abyste vyřešili doporučení, která mají větší dopad na bezpečnostní skóre vaší organizace. Následuje příklad.
Existují plány Defenderu pro cloud, které nabízejí pokročilou ochranu úloh, která zahrnují doporučení adaptivního posílení zabezpečení sítě, aby se zlepšila stávající pravidla skupin zabezpečení sítě. Následuje příklad.
Doporučení můžete přijmout výběrem možnosti Vynucení, které buď vytvoří nové pravidlo skupiny zabezpečení sítě, nebo upraví existující pravidlo.
Doporučené školení
- Zabezpečení prostředků Azure pomocí řízení přístupu na základě role v Azure (Azure RBAC)
- Konfigurace a správa služby Azure Monitor
- Konfigurace skupin zabezpečení sítě
- Návrh a implementace zabezpečení sítě
- Návrh a implementace privátního přístupu ke službám Azure
Další kroky
Projděte si tyto další články týkající se uplatňování principů nulová důvěra (Zero Trust) v Azure:
- Pro Azure IaaS:
- Azure Virtual Desktop
- Azure Virtual WAN
- Aplikace IaaS ve službě Amazon Web Services
- Microsoft Sentinel a XDR v programu Microsoft Defender
Reference
- Proaktivní zabezpečení s využitím nulová důvěra (Zero Trust)
- Zabezpečení sítí pomocí nulová důvěra (Zero Trust)
- Síť s nulovou důvěryhodností pro webové aplikace s využitím služby Azure Firewall a služby Application Gateway
- Zásady cílové zóny Azure
- Běžná identita nulová důvěra (Zero Trust) a zařízení napříč zásadami
- Co je privátní koncový bod?
- Konfigurace DNS privátního koncového bodu
- Integrace aplikace s virtuální sítí Azure
- Použití privátních koncových bodů pro aplikace App Service
- Připojení k serveru Azure SQL pomocí privátního koncového bodu Azure
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro