Shrnutí

Dokončeno

V tomto modulu jste se dozvěděli, jak naplánovat a implementovat pokročilá bezpečnostní opatření pro výpočetní prostředky Azure, které chrání před ohroženími zabezpečení a vyvíjejícími se bezpečnostními hrozbami.

Klíčové poznatky

Prozkoumali jste komplexní strategie zabezpečení napříč několika výpočetními službami Azure:

Zabezpečení vzdáleného přístupu

• Azure Bastion poskytuje zabezpečený přístup RDP/SSH bez vystavení virtuálních počítačů na veřejný internet se čtyřmi úrovněmi SKU:
  • SKU pro vývojáře: Nákladově efektivní volba pro scénáře vývoje/testování (dvě souběžná připojení)
  • Základní skladová položka: Standardní zabezpečený vzdálený přístup (bez podpory nativního klienta)
  • Standardní skladová položka: Vylepšené funkce, včetně nativní podpory klienta a odkazů ke sdílení
  • Prémiové SKU: Pokročilé možnosti, včetně nahrávání relací, pouze privátní nasazení a podporou vlastního portu
• Přístup k virtuálním počítačům za běhu (JIT) zkracuje přístup k útokům tím, že poskytuje časově omezený přístup k virtuálním počítačům.

Zabezpečení služby Azure Kubernetes Service (AKS)

• Identita úloh s federací OIDC zajišťuje zabezpečené ověřování prostředků Azure (nahrazuje zastaralou identitu spravovanou podem).
• Izolace sítě prostřednictvím zásad sítě řídí komunikaci mezi pody
• Standardy zabezpečení podů vynucují zásady zabezpečení na úrovni podů.
• AKS Automatic nabízí zjednodušenou konfiguraci clusteru připravenou pro produkci
• Azure Linux 3 by měl být používán, protože podpora Azure Linux 2.0 končí 30. listopadu 2025

Zabezpečení a monitorování kontejnerů

• Microsoft Defender for Containers poskytuje komplexní ochranu před hrozbami napříč pěti základními doménami:
  • Správa stavu zabezpečení cloudu
  • Hodnocení zranitelností s využitím správy zranitelností Microsoft Defender (MDVM)
  • Detekce hrozeb během běhové doby
  • Posílení zabezpečení prostředí Kubernetes
  • Ochrana dodavatelského řetězce softwaru
• Container Insights (funkce služby Azure Monitor) poskytuje monitorování výkonu a stavu pro úlohy kontejnerů.
• Chráněné nasazení (GA) brání nasazení ohrožených imagí do produkčního prostředí.
• Kontrola kontejnerů modulu runtime (GA) poskytuje průběžné posouzení ohrožení zabezpečení.

Zabezpečení registru kontejnerů

• Azure Container Registry (ACR) podporuje sedm předdefinovaných rolí RBAC pro podrobné řízení přístupu.
• Metody ověřování zahrnují identity Microsoft Entra, oprávnění v oboru úložiště a účty správců.
• Integrace s Microsoft Entra ID umožňuje centralizovanou správu identit.

Ochrana dat

• Azure Disk Encryption (ADE) k šifrování disků virtuálních počítačů používá BitLocker (Windows) a dm-crypt (Linux).
• Šifrování na hostiteli poskytuje komplexní šifrování dat virtuálních počítačů.
• Šifrování důvěrných disků chrání citlivé úlohy pomocí hardwarového zabezpečení.
• Azure Key Vault slouží jako centralizovaná správa klíčů a certifikátů.
• Šifrování obálky s hierarchií DEK/KEK poskytuje vrstvenou ochranu dat

Zabezpečení rozhraní API

• Standardní hodnoty zabezpečení služby Azure API Management odpovídají srovnávacímu testu Microsoft Cloud Security (k dispozici verze 2 Preview)
• Integrace virtuální sítě umožňuje konfiguraci interní nebo externí sítě.
• Privátní koncové body poskytují zabezpečený přístup bez veřejného ohrožení.
• Integrace s Microsoft Entra ID umožňuje ověřování OAuth 2.0 pro rozhraní API.
• Spravované identity zjednodušují zabezpečený přístup k prostředkům Azure, jako je Key Vault

Použité osvědčené postupy

V tomto modulu jste se naučili používat osvědčené postupy zabezpečení:

• Použijte identitu zátěže místo zastaralé identity spravované pody pro ověřování AKS
• Povolení ověřování Microsoft Entra ID přes místní metody ověřování, kdykoli je to možné
• Implementace přístupu s nejnižšími oprávněními pomocí Azure RBAC pro podrobné řízení oprávnění
• Použití spravovaných identit k zabránění ukládání přihlašovacích údajů v kódu nebo konfiguraci
• Povolení šifrování neaktivních uložených dat a šifrování při přenosu pro všechna citlivá data
• Nasazení privátních koncových bodů pro zachování provozu mimo veřejný internet
• Monitorování pomocí Microsoft Defenderu pro kontejnery a přehledy kontejnerů za účelem komplexní viditelnosti
• Použijte zásady sítě k vynucení mikrosegmentace v clusterech AKS
• Ukládání tajných kódů a klíčů ve službě Azure Key Vault místo kódu aplikace
• Použití Azure Policy k vynucení konfigurací zabezpečení napříč prostředky

Další kroky

Pokud chcete pokračovat v posilování odborných znalostí zabezpečení Azure:

• Prozkoumejte Microsoft Defender pro Cloud pro jednotnou správu zabezpečení
• Projděte si standardní hodnoty zabezpečení Azure a projděte si pokyny pro konkrétní služby.
• Implementace kontrolních mechanismů srovnávacích testů Microsoft Cloud Security ve vašem prostředí
• Informace o důvěrných výpočetních prostředcích Azure pro ochranu dat, která se používají
• Konfigurace služby Azure Policy pro vynucování standardů zabezpečení organizace