Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Während der Phase „Bereit“ der Journey zur Cloudeinführung konzentrieren Sie sich auf die Schaffung der Grundlage des Bestands. Der Ansatz der Microsoft Azure landing zone bietet Unternehmen und großen Organisationen ein sichereres, skalierbares, modulares Entwurfsmuster, dem sie folgen können, wenn sie ihre Infrastrukturen implementieren. Kleinere Organisationen und Startups benötigen möglicherweise nicht die Organisationsebene, die der Ansatz für die Zielzone bietet, aber ein Verständnis der Zielzonenphilosophie kann jeder Organisation helfen, ein grundlegendes Design zu strategisieren und ein hohes Maß an Sicherheit und Skalierbarkeit zu gewinnen.
Nachdem Sie Ihre Strategie und Ihren Plan für die Cloudakzeptanz definiert haben, können Sie mit der Implementierungsphase beginnen, indem Sie die Grundlage entwerfen. Verwenden Sie die Empfehlungen in diesem Leitfaden, um sicherzustellen, dass Ihr Foundation-Design und Ihre Implementierung Sicherheit priorisieren.
Dieser Artikel ist ein unterstützender Leitfaden zur Ready-Methodik . Es beschreibt Bereiche der Sicherheitsoptimierung, die Sie berücksichtigen sollten, während Sie diese Phase in Ihrer Reise durchlaufen.
Modernisierung des Sicherheitsstatus
Die ersten Implementierungsschritte bei der Modernisierung Ihres Sicherheitsstatus sind das Erstellen Ihrer Landungszone oder Cloud-Foundation und das Erstellen oder Modernisieren Ihrer Identität, Autorisierung und Zugriffsplattform.
Einführung des Ansatzs für die Zielzone: Die Einführung des Landungszonenansatzes oder die Einbeziehung der Designprinzipien des Landungszonenansatzes in dem Umfang, der für Ihren Anwendungsfall praktisch ist, ermöglicht es Ihnen, Ihre Implementierung optimiert zu starten. Während sich Ihre Cloud-Umgebung weiterentwickelt, hilft die Trennung verschiedener Domänen Ihrer Umgebung, die gesamte Umgebung sicherer und überschaubarer zu halten.
- Wenn Sie nicht beabsichtigen, eine vollständige Landezone für Unternehmen einzuführen, müssen Sie die Entwurfsbereiche dennoch verstehen und Anleitungen anwenden, die für Ihre Cloud-Umgebung relevant sind. Sie müssen über alle diese Entwurfsbereiche nachdenken und Steuerelemente implementieren, die für jeden Bereich spezifisch sind, unabhängig davon, wie Ihre Stiftung erstellt wird. Die Verwendung von Verwaltungsgruppen kann Ihnen beispielsweise helfen, Ihre Cloud-Umgebung zu steuern, auch wenn sie nur aus einigen Abonnements besteht.
Entwickeln Sie sichere, skalierbare Landezonen, die kontrollierte Umgebungen für die Bereitstellung von Cloudressourcen bereitstellen. Diese Zonen helfen Ihnen, sicherzustellen, dass Sicherheitsrichtlinien konsistent angewendet werden und dass Ressourcen nach ihren Sicherheitsanforderungen getrennt werden. Ausführliche Anleitungen zu diesem Thema finden Sie im Sicherheitsentwurfsbereich .
- Moderne Identität, Autorisierung und Zugriff: Basierend auf den Prinzipien von Zero Trust wechselt der moderne Ansatz für Identität, Autorisierung und Zugriff von "Trust"-by-Default zu "Trust by Exception". Es folgt aus diesen Prinzipien, dass Benutzer, Geräte, Systeme und Apps nur auf ressourcen zugreifen dürfen, die sie benötigen, und nur so lange wie erforderlich, um ihre Anforderungen zu erfüllen. Derselbe Leitfaden gilt für die grundlegenden Elemente Ihres Nachlasses: Streng kontrollieren Sie Berechtigungen für Abonnements, Netzwerkressourcen, Governance-Lösungen, die Identitäts- und Zugriffsverwaltungsplattform (IAM) und Mandanten, indem Sie die gleichen Empfehlungen befolgen, die Sie für die von Ihnen ausgeführten Workloads befolgen. Ausführliche Anleitungen zu diesem Thema finden Sie im Entwurfsbereich "Identitäts- und Zugriffsverwaltung".
Azure-Unterstützung
Azure Landing Zone Accelerators: Microsoft verwaltet mehrere Landing Zone Accelerators, die vorab verpackte Bereitstellungen eines bestimmten Workloadtyps sind, die einfach in einer Landing Zone bereitgestellt werden können, um Sie schnell einsatzfähig zu machen. Sie umfassen Beschleuniger für Azure Integration Services, Azure Kubernetes Service (AKS), Azure API Management und andere. Eine vollständige Liste der Beschleuniger und anderer Themen zu modernen Anwendungsaspekten finden Sie im Abschnitt des "Szenario für moderne Anwendungsplattform" des Cloud Adoption Framework für Azure.
Azure-Landezonen Terraform-Modul: Sie können Ihre Landungszonenbereitstellungen mit Automatisierung optimieren, indem Sie das Azure Landezonen Terraform-Modul verwenden. Durch die Verwendung Ihrer kontinuierlichen Integrations- und fortlaufenden Bereitstellungspipeline (CI/CD) zur Bereitstellung von Landungszonen können Sie sicherstellen, dass alle Landezonen identisch bereitgestellt werden, wobei alle Sicherheitsmechanismen vorhanden sind.
Microsoft Entra:Microsoft Entra ist eine Familie von Identitäts- und Netzwerkzugriffsprodukten. Es ermöglicht Organisationen, eine Zero Trust-Sicherheitsstrategie zu implementieren und eine Vertrauensstruktur zu erstellen, die Identitäten überprüft, Zugriffsbedingungen überprüft, Berechtigungen überprüft, Verbindungskanäle verschlüsselt und auf Kompromittierung überwacht.
Vorbereiten der Bereitschaft und Reaktion auf Vorfälle
Nachdem Sie Ihre Strategie definiert und Ihren Plan für die Bereitschaft und Reaktion auf Vorfälle entwickelt haben, können Sie mit der Implementierung beginnen. Unabhängig davon, ob Sie ein vollständiges Design für die Zielzone des Unternehmens oder ein kleineres grundlegendes Design einführen, ist die Netzwerktrennung für die Aufrechterhaltung eines hohen Sicherheitsgrads von entscheidender Bedeutung.
Netzwerksegmentierung: Entwerfen Sie eine Netzwerkarchitektur mit ordnungsgemäßer Segmentierung und Isolation, um Angriffsflächen zu minimieren und potenzielle Sicherheitsverletzungen zu enthalten. Verwenden Sie Techniken wie virtuelle private Clouds (VPCs), Subnetze und Sicherheitsgruppen zum Verwalten und Steuern des Datenverkehrs. Ausführliche Anleitungen zu diesem Thema finden Sie im Artikel "Plan for network segmentation ". Überprüfen Sie unbedingt die restlichen Sicherheitsleitfäden für das Azure Landing Zone-Netzwerk. Die Anleitung enthält Empfehlungen für eingehende und ausgehende Konnektivität, Netzwerkverschlüsselung und Datenverkehrsüberprüfung.
Azure-Unterstützung
- Azure Virtual WAN:Azure Virtual WAN ist ein Netzwerkdienst, der viele Netzwerk-, Sicherheits- und Routingfunktionen konsolidiert, um eine einzige betriebsfähige Schnittstelle bereitzustellen. Das Design ist eine Hub-and-Spoke-Architektur, die Skalierung und Leistung für Zweigstellen (VPN/SD-WAN-Geräte), Benutzer (Azure VPN/OpenVPN/IKEv2-Clients), Azure ExpressRoute-Schaltkreise und virtuelle Netzwerke integriert hat. Wenn Sie Ihre Zielzonen implementieren, kann Azure Virtual WAN Ihnen dabei helfen, Ihr Netzwerk durch Segmentierungs- und Sicherheitsmechanismen zu optimieren.
Vorbereiten der Vertraulichkeit
In der Phase "Bereit" ist die Vorbereitung ihrer Workloads aus Vertraulichkeitsgründen ein Prozess der Sicherstellung, dass Ihre IAM-Richtlinien und -Standards implementiert und durchgesetzt werden. Durch diese Vorbereitung wird sichergestellt, dass Ihre Daten bei der Bereitstellung von Workloads standardmäßig gesichert werden. Achten Sie darauf, dass Sie über gut geregelte Richtlinien und Standards verfügen für:
Das Prinzip der geringsten Rechte. Gewähren Sie Benutzern den minimalen Zugriff, der zum Ausführen ihrer Aufgaben erforderlich ist.
Rollenbasierte Zugriffssteuerung (RBAC). Weisen Sie Rollen und Berechtigungen basierend auf den Aufgabenaufgaben zu. Auf diese Weise können Sie den Zugriff effizient verwalten und das Risiko eines nicht autorisierten Zugriffs verringern.
Multi-Faktor-Authentifizierung (MFA). Implementieren Sie MFA, um eine zusätzliche Sicherheitsebene hinzuzufügen.
Steuerelemente für bedingten Zugriff. Steuerelemente für bedingten Zugriff bieten zusätzliche Sicherheit durch Erzwingen von Richtlinien basierend auf bestimmten Bedingungen. Richtlinien können das Erzwingen von MFA, das Blockieren des Zugriffs basierend auf der Geografie und viele andere Szenarien umfassen. Achten Sie beim Auswählen einer IAM-Plattform darauf, dass der bedingte Zugriff unterstützt wird und dass die Implementierung Ihre Anforderungen erfüllt.
Azure-Unterstützung
- Microsoft Entra Conditional Access ist das Microsoft Zero Trust-Richtlinienmodul. Beim Erzwingen von Richtlinienentscheidungen werden Signale aus verschiedenen Quellen berücksichtigt.
Auf Integrität vorbereiten
Stellen Sie wie bei Ihren Vertraulichkeitsvorbereitungen sicher, dass Sie über gut geregelte Richtlinien und Standards für Die Daten- und Systemintegrität verfügen, damit Sie Workloads standardmäßig mit verbesserter Sicherheit bereitstellen. Definieren Sie Richtlinien und Standards für die folgenden Bereiche.
Verfahren zur Datenverwaltung
Datenklassifizierung: Erstellen Sie ein Datenklassifizierungsframework und eine Taxonomie mit Vertraulichkeitsbezeichnungen, die allgemeine Kategorien von Datensicherheitsrisiken definiert. Sie verwenden diese Taxonomie, um alles zu vereinfachen, von der Bestandsaufnahme und Aktivitätseinblicken über die Richtlinienverwaltung bis hin zur Priorisierung von Untersuchungen. Ausführliche Anleitungen zu diesem Thema finden Sie unter Erstellen eines gut gestalteten Datenklassifizierungsframeworks .
Datenüberprüfung und -validierung: Investieren Sie in Tools, mit denen die Datenüberprüfung und -validierung automatisiert wird, um die Belastung Ihrer Datentechniker und Administratoren zu verringern und das Risiko von menschlichem Fehler zu verringern.
Sicherungsrichtlinien: Codifizieren Sie Sicherungsrichtlinien, um sicherzustellen, dass alle Daten regelmäßig gesichert werden. Testen Sie Sicherungen und Wiederherstellungen regelmäßig, um sicherzustellen, dass Sicherungen erfolgreich sind und dass Daten korrekt und konsistent sind. Richten Sie diese Richtlinien an die Ziele für Wiederherstellungszeit (Recovery Time Objective, RTO) und Wiederherstellungspunktziel (Recovery Point Objective, RPO) Ihrer Organisation aus.
Starke Verschlüsselung: Stellen Sie sicher, dass Ihr Cloudanbieter Ihre Ruhe- und Übertragungsdaten standardmäßig verschlüsselt. In Azure werden Ihre Daten am Ende verschlüsselt. Details finden Sie im Microsoft Trust Center . Stellen Sie für die Dienste, die Sie in Ihren Workloads verwenden, sicher, dass eine starke Verschlüsselung unterstützt und entsprechend konfiguriert wird, um Ihre Geschäftlichen Anforderungen zu erfüllen.
Entwurfsmuster für Systemintegrität
Sicherheitsüberwachung: Um nicht autorisierte Änderungen an Ihren Cloudsystemen zu erkennen, entwerfen Sie eine robuste Sicherheitsüberwachungsplattform als Teil Ihrer gesamtüberwachungs- und observability-Strategie. Detaillierte allgemeine Anleitungen finden Sie im Abschnitt „Verwalten von Methodenüberwachung“. Empfehlungen zur Sicherheitsüberwachung finden Sie im Zero Trust Visibility-, Automatisierungs- und Orchestrierungshandbuch .
- SIEM und Bedrohungserkennung: Verwenden Sie sicherheitsrelevante Informationen und Ereignisverwaltung (SIEM) und Sicherheits-Orchestrierung, Automatisierungs- und Reaktionstools (SOAR) und Bedrohungserkennungstools, um verdächtige Aktivitäten und potenzielle Bedrohungen für Ihre Infrastruktur zu erkennen.
Automatisierte Konfigurationsverwaltung: Codifizieren Sie die Verwendung von Tools zum Automatisieren der Konfigurationsverwaltung. Die Automatisierung hilft Ihnen sicherzustellen, dass alle Systemkonfigurationen konsistent sind, ohne menschliche Fehler und automatisch erzwungen werden.
Automatisierte Patchverwaltung: Kodifizieren Sie die Nutzung von Tools zum Verwalten und Steuern von Updates für virtuelle Computer. Durch automatisiertes Patchen wird sichergestellt, dass alle Systeme regelmäßig gepatcht werden und dass Systemversionen konsistent sind.
Automatisierte Infrastrukturbereitstellungen: Codifizieren sie die Verwendung der Infrastruktur als Code (IaC) für alle Bereitstellungen. Stellen Sie IaC als Teil Ihrer CI/CD-Pipelines bereit. Wenden Sie die gleichen sicheren Bereitstellungsmethoden für IaC-Bereitstellungen wie für Softwarebereitstellungen an.
Azure-Unterstützung
Azure-Richtlinie und Microsoft Defender für Cloud arbeiten zusammen, um Sicherheitsrichtlinien für Ihre Cloud-Umgebung zu definieren und durchzusetzen. Beide Lösungen unterstützen die Governance Ihrer grundlegenden Elemente und Ihrer Workloadressourcen.
Azure Update Manager ist die systemeigene Azure Update- und Patchverwaltungslösung. Sie können es auf lokale Systeme und Arc-fähige Systeme erweitern.
Microsoft Sentinel ist die Microsoft SIEM- und SOAR-Lösung. Es bietet Cyberthreat-Erkennung, Untersuchung und Reaktion, proaktive Suche und eine umfassende Übersicht über Ihr Unternehmen.
Verfügbarkeit vorbereiten
Wenn Sie Ihre Workloads für Resilienz entwerfen, können Sie sicherstellen, dass Ihr Unternehmen Fehlfunktionen und Sicherheitsvorfälle aushalten kann, und dass die Vorgänge fortgesetzt werden können, während Probleme mit betroffenen Systemen behoben werden. Die folgenden Empfehlungen, die den Prinzipien des Cloud Adoption Framework entsprechen, können Ihnen helfen, robuste Workloads zu entwerfen:
Implementieren Sie ein robustes Anwendungsdesign. Übernehmen Sie Anwendungsentwurfsmuster, die die Resilienz sowohl gegenüber Infrastruktur- als auch nicht-Infrastrukturvorfällen verbessern, und richten Sie sich an die breiteren Prinzipien des Cloud Adoption Framework. Standardisieren Sie Designs, die Selbstheilungs- und Selbsterhaltungsmechanismen enthalten, um einen kontinuierlichen Betrieb und eine schnelle Wiederherstellung sicherzustellen. Ausführliche Anleitungen zu robusten Entwurfsmustern finden Sie in der Zuverlässigkeitssäule des Well-Architected Framework.
Übernehmen Sie serverlose Architektur. Verwenden Sie serverlose Technologien, einschließlich Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS) und Function-as-a-Service (FaaS), um den Serververwaltungsaufwand zu reduzieren, automatisch mit der Nachfrage zu skalieren und die Verfügbarkeit zu verbessern. Dieser Ansatz unterstützt den Schwerpunkt des Cloud Adoption Framework auf die Modernisierung von Workloads und die Optimierung der betrieblichen Effizienz.
Verwenden Sie Microservices und Containerisierung. Implementieren Sie Microservices und Containerisierung, um monolithische Anwendungen zu vermeiden, indem Sie sie in kleinere, unabhängige Dienste aufteilen, die Sie unabhängig bereitstellen und skalieren können. Dieser Ansatz richtet sich an die Prinzipien des Cloud Adoption Frameworks von Agilität und Skalierbarkeit in Cloudumgebungen.
Dienste entkoppeln Isolieren Sie Dienste strategisch voneinander, um den Strahlradius von Vorfällen zu reduzieren. Diese Strategie trägt dazu bei, sicherzustellen, dass Fehler in einer Komponente nicht das gesamte System betreffen. Es unterstützt das Governancemodell des Cloud Adoption Framework, indem robuste Dienstgrenzen und operative Resilienz gefördert werden.
Aktivieren Sie die automatische Skalierung. Stellen Sie sicher, dass ihre Anwendungsarchitektur die automatische Skalierung unterstützt, um unterschiedliche Lasten zu verarbeiten, damit sie die Verfügbarkeit während der Datenverkehrsspitzen beibehalten kann. Diese Vorgehensweise richtet sich an die Richtlinien für das Cloud Adoption Framework zum Erstellen skalierbarer und reaktionsfähiger Cloudumgebungen und kann Ihnen helfen, die Kosten überschaubar und vorhersehbar zu halten.
Implementieren der Fehlerisolation. Entwerfen Sie Ihre Anwendung so, dass Fehler in einzelne Aufgaben oder Funktionen isoliert werden. Dies kann dazu beitragen, weit verbreitete Ausfälle zu verhindern und resilienz zu verbessern. Dieser Ansatz unterstützt das Cloud Adoption Framework, das sich auf die Erstellung zuverlässiger und fehlertoleranter Systeme konzentriert.
Hohe Verfügbarkeit sicherstellen. Integrieren Sie integrierte Redundanz- und Notfallwiederherstellungsmechanismen, um den kontinuierlichen Betrieb aufrechtzuerhalten. Dieser Ansatz unterstützt bewährte Methoden für Cloud Adoption Framework für die Planung von hoher Verfügbarkeit und Geschäftskontinuität.
Planen Sie für automatisches Failover. Stellen Sie Anwendungen in mehreren Regionen bereit, um einen nahtlosen Failover und unterbrechungsfreien Dienst zu unterstützen. Dieser Ansatz richtet sich an die Strategie des Cloud Adoption Framework für geografische Redundanz und Notfallwiederherstellung.
Vorbereitung auf die Aufrechterhaltung der Sicherheit
In der Phase „Bereit“ wird im Zuge Vorbereitung auf eine langfristige vorbeugende Wartung zur Sicherheit sichergestellt, dass die grundlegenden Elemente Ihres Bestands den bewährten Methoden für die ersten Workloads entsprechen, aber auch skalierbar sind. Auf diese Weise können Sie sicherstellen, dass Ihre Sicherheit, wenn Ihr Vermögen wächst und sich weiterentwickelt, nicht kompromittiert wird und die Verwaltung Ihrer Sicherheit nicht zu komplex und belastend wird. Dies wiederum hilft Ihnen, Schatten-IT-Verhaltensweisen zu vermeiden. Denken Sie zu diesem Zweck in der Phase "Ready" darüber nach, wie Ihre Geschäftsziele langfristig ohne wichtige Architekturdesigns oder größere Überholungen an betriebliche Praktiken erreicht werden können. Selbst wenn Sie eine wesentlich einfachere Grundlage als eine Landing Zone aufbauen möchten, stellen Sie sicher, dass Sie Ihr grundlegendes Design auf eine Unternehmensarchitektur umstellen können, ohne wichtige Bestandteile Ihres Setups wie Netzwerk- und kritische Workloads erneut bereitzustellen. Das Erstellen eines Designs, das wachsen kann, während Ihr Anwesen wächst, aber dennoch sicher bleibt, ist entscheidend für den Erfolg Ihrer Cloud-Reise.
Weitere Informationen zur Überführung einer vorhandenen Azure-Umgebung in die konzeptionelle Architektur der Azure-Landungszone und Empfehlungen zur Umstellung eines bestehenden Azure-Footprints auf eine Zielzonenarchitektur finden Sie unter Übergang einer vorhandenen Azure-Umgebung zur konzeptionellen Architektur.