Tervezési terület: Biztonság
Ez a tervezési terület az Azure-beli, hibrid és többfelhős környezetek biztonságának alapjait hozza létre. Ezt az alaprendszert később továbbfejlesztheti a felhőadaptálási keretrendszer biztonságos módszertanában ismertetett biztonsági útmutatással.
Tervezési terület áttekintése
Érintett szerepkörök vagy funkciók: Ezt a tervezési területet a felhőbiztonság, különösen a csapat biztonsági tervezői vezetik. A hálózatkezelési és identitáskezelési döntések áttekintéséhez a felhőplatformra és a felhőbeli kiválósági központra van szükség. Előfordulhat, hogy a kollektív szerepkörök szükségesek a gyakorlatból eredő technikai követelmények meghatározásához és végrehajtásához. A fejlettebb biztonsági védőkorlátok a felhőszabályozás támogatását is igényelhetik.
Hatókör: A gyakorlat célja, hogy megértse a biztonsági követelményeket, és következetesen implementálja őket a felhőplatform összes számítási feladatában. A gyakorlat elsődleges hatóköre a biztonsági műveletek eszközkezelésére és a hozzáférés-vezérlésre összpontosít. Ez a hatókör magában foglalja a Teljes felügyelet és a speciális hálózati biztonságot.
Hatókörön kívül: Ez a gyakorlat a modern felhőbeli biztonsági üzemeltetési központ alapjait mutatja be. A beszélgetés egyszerűsítése érdekében ez a gyakorlat nem foglalkozik a CAF Secure módszertan néhány szemléletével. A biztonsági műveletek, az eszközvédelem és az innovációs biztonság az Azure-beli célzóna üzembe helyezésére épül. A tervezési területről szóló vitafórum hatóköre azonban nem terjed ki rájuk.
Tervezési terület áttekintése
A biztonság minden ügyfél számára alapvető szempont, minden környezetben. Az Azure-beli célzóna tervezésekor és megvalósításakor a biztonságnak a folyamat során figyelembe kell vennie a biztonságot.
A biztonsági tervezési terület a célzóna-döntésekre vonatkozó megfontolásokra és javaslatokra összpontosít. A felhőadaptálási keretrendszer biztonságos módszertana további részletes útmutatást nyújt a holisztikus biztonsági folyamatokhoz és eszközökhöz.
Új (zöldmezős) felhőkörnyezet: Ha kis előfizetésekkel szeretné elindítani a felhőbeli utazást, olvassa el a kezdeti Azure-előfizetések létrehozása című témakört. Érdemes lehet bicep-alapú üzembehelyezési sablonokat is használni az Azure-beli célzónák létrehozásához. További információ: Azure Landing Zones Bicep – Deployment Flow.
Meglévő (barnamezős) felhőkörnyezet: Fontolja meg a következő Microsoft Entra identitás- és hozzáférési szolgáltatások használatát, ha a biztonsági tervezési terület alapelveit szeretné alkalmazni meglévő Azure-környezetekre:
- Használja ki a Microsoft 10 legfontosabb Azure-biztonsági ajánlott eljárását. Ez az útmutató a Microsoft felhőmegoldás-tervezőinek (CSA-k) és a Microsoft-partnereknek a már bevált útmutatásait foglalja össze.
- Telepítse a Microsoft Entra Csatlakozás felhőszinkronizálást, hogy a helyi Active Directory tartományi szolgáltatások (AD DS)-felhasználók számára biztonságos egyszeri bejelentkezést (SSO) biztosítson a Microsoft Entra ID-alapú alkalmazásaihoz. A hibrid identitás konfigurálásának további előnye, hogy kényszerítheti a Microsoft Entra többtényezős hitelesítést (MFA) és a Microsoft Entra Password Protectiont az identitások további védelme érdekében
- Fontolja meg a Microsoft Entra feltételes hozzáférését a felhőalkalmazások és az Azure-erőforrások biztonságos hitelesítésének biztosításához.
- A Microsoft Entra Privileged Identity Management implementálása a minimális jogosultsági szintű hozzáférés és a mély jelentéskészítés biztosítása érdekében a teljes Azure-környezetben. A teamsnek ismétlődő hozzáférési felülvizsgálatokat kell kezdenie, hogy a megfelelő személyek és szolgáltatási alapelvek rendelkezzenek a jelenlegi és helyes engedélyezési szintekkel.
- Használja ki a Felhőhöz készült Microsoft Defender javaslatait, riasztási és szervizelési képességeit. A biztonsági csapat akkor is integrálhatja a Felhőhöz készült Microsoft Defender a Microsoft Sentinelbe, ha robusztusabb, központilag felügyelt hibrid és többfelhős Biztonsági információ eseménykezelésre (SIEM)/Security Orchestration and Response (SOAR) megoldásra van szükségük.
Az Azure Landing Zones Bicep – Deployment Flow-adattár számos Olyan Bicep-üzembehelyezési sablont tartalmaz, amelyek felgyorsíthatják a zöldmezős és barnamezős Azure-beli kezdőzónák üzembe helyezését. Ezek a sablonok már beépített microsoftos bevált biztonsági útmutatóval rendelkeznek.
További információ a barnamezős felhőkörnyezetekben való munkáról: Brownfield environment considerations.
Microsoft cloud security benchmark
A Microsoft felhőbiztonsági referenciamutatója nagy hatású biztonsági javaslatokat tartalmaz az Azure-ban használt szolgáltatások többségének biztonságossá tételéhez. Ezeket a javaslatokat általánosnak vagy szervezetinek tekintheti, mivel azok a legtöbb Azure-szolgáltatásra alkalmazhatók. A Microsoft felhőbiztonsági referenciajavaslatai ezután testre vannak szabva az egyes Azure-szolgáltatásokhoz. Ez a testre szabott útmutató a szolgáltatásjavaslatokkal kapcsolatos cikkekben található.
A Microsoft felhőbiztonsági referenciadokumentációja meghatározza a biztonsági vezérlőket és a szolgáltatásra vonatkozó javaslatokat.
- Biztonsági vezérlők: A Microsoft felhőbiztonsági referenciajavaslatait biztonsági vezérlők kategorizálják. A biztonsági vezérlők magas szintű szállítói biztonsági követelményeket képviselnek, például a hálózati biztonságot és az adatvédelemet. Minden biztonsági vezérlő biztonsági javaslatokkal és útmutatásokkal rendelkezik, amelyek segítenek ezeknek a javaslatoknak a megvalósításában.
- Szolgáltatásjavaslatok: Ha elérhető, az Azure-szolgáltatásokra vonatkozó referenciajavaslatok a Kifejezetten az adott szolgáltatásra szabott Microsoft felhőbiztonsági referenciajavaslatokat tartalmazzák.
Azure Attestation
Az Azure-igazolás egy olyan eszköz, amely segít biztosítani a benne futó platform és bináris fájlok biztonságát és integritását. Különösen hasznos azoknak a vállalatoknak, amelyek nagy mértékben méretezhető számítási erőforrásokat igényelnek, és a távoli igazolási képességgel megalkosíthatatlan megbízhatóságot igényelnek.
Biztonsági tervezési szempontok
A szervezetnek be kelllátnia, hogy mi történik a műszaki felhőbeli birtokán belül. Az Azure platformszolgáltatások biztonsági monitorozása és naplózása a méretezhető keretrendszer kulcsfontosságú összetevője.
Biztonsági műveletek tervezési szempontjai
| Scope | Környezet |
|---|---|
| Biztonsági riasztások | – Mely csapatoknak van szükségük biztonsági riasztásokra vonatkozó értesítésekre? – Vannak olyan szolgáltatáscsoportok, amelyekhez a riasztások különböző csapatokhoz való útválasztást igényelnek? - A valós idejű monitorozás és riasztás üzleti követelményei. - Biztonsági információk és eseménykezelési integráció a Felhőhöz készült Microsoft Defender és a Microsoft Sentinel használatával. |
| Biztonsági naplók | - Naplózási adatok adatmegőrzési időtartama. A Microsoft Entra ID P1 vagy P2 jelentései 30 napos megőrzési idővel rendelkeznek. - Naplók, például Azure-tevékenységnaplók, virtuálisgép-naplók és szolgáltatásként nyújtott platformnaplók (PaaS) hosszú távú archiválása. |
| Biztonsági vezérlők | – Alapkonfiguráció a vendég azure-beli virtuálisgép-szabályzaton keresztül. – Gondolja át, hogy a biztonsági vezérlők hogyan igazodnak a szabályozási védőkorlátokhoz. |
| Biztonságirés-kezelés | - Kritikus biztonsági rések vészhelyzeti javítása. – Hosszabb ideig offline állapotban lévő virtuális gépek javítása. – Virtuális gépek sebezhetőségi felmérése. |
| Megosztott feladatkörök | - Hol vannak a csapat feladatainak átadása? Ezeket a felelősségeket figyelembe kell venni a biztonsági események monitorozásakor vagy megválaszolásakor. – Tekintse át a biztonsági műveletek biztonságos módszertanának útmutatását. |
| Titkosítás és kulcsok | - Kinek van szüksége a kulcsokhoz való hozzáférésre a környezetben? - Ki lesz felelős a kulcsok kezeléséért? – A titkosítás és a kulcsok további megismerésében. |
| Igazolás | – Megbízható indítást fog használni a virtuális gépekhez, és igazolnia kell a virtuális gép teljes rendszerindítási láncának integritását (UEFI, operációs rendszer, rendszer és illesztőprogramok)? – Kihasználja a bizalmas virtuális gépek bizalmas lemeztitkosításának előnyeit? – A számítási feladatok megkövetelik az igazolást arról, hogy megbízható környezetben futnak? |
Biztonsági műveletek tervezési javaslatai
Hozzáférés-vezérlési naplózási jelentések létrehozásához használja a Microsoft Entra ID jelentéskészítési képességeit.
Azure-tevékenységnaplók exportálása az Azure Monitor-naplókba hosszú távú adatmegőrzés céljából. Szükség esetén exportáljon az Azure Storage-ba hosszú távú tárolás céljából, ha szükséges.
Engedélyezze Felhőhöz készült Defender szabványt minden előfizetéshez, és az Azure Policy használatával biztosítsa a megfelelőséget.
Az alap operációs rendszer eltéréseinek monitorozása az Azure Monitor-naplókon és Felhőhöz készült Microsoft Defender keresztül.
Az Azure-szabályzatok használatával automatikusan üzembe helyezhet szoftverkonfigurációkat virtuálisgép-bővítményeken keresztül, és kikényszerítheti a megfelelő alapkonfigurációt.
A virtuális gépek biztonsági konfigurációjának eltérésének monitorozása az Azure Policy használatával.
Csatlakozás központi Azure Monitor Log Analytics-munkaterület alapértelmezett erőforrás-konfigurációit.
Azure Event Grid-alapú megoldás használata naplóorientált, valós idejű riasztásokhoz.
Az Azure-igazolás használata a következő igazolások igazolásához:
- A virtuális gép teljes rendszerindítási láncának integritása. További információ: Rendszerindítási integritás monitorozásának áttekintése.
- Bizalmas virtuális gépek bizalmas lemeztitkosítási kulcsainak biztonságos kiadása. További információ: Bizalmas operációsrendszer-lemeztitkosítás.
- A számítási feladatok különböző típusú megbízható végrehajtási környezetei. További információ: Használati esetek.
Hozzáférés-vezérlés tervezési szempontjai
A modern biztonsági határok összetettebbek, mint a hagyományos adatközpontok határai. Az adatközpont négy fala már nem tartalmazza az eszközeit. A felhasználók védett hálózatból való kitartása már nem elegendő a hozzáférés szabályozásához. A felhőben a szegély két részből áll: hálózati biztonsági vezérlőkből és Teljes felügyelet hozzáférési vezérlőkből.
Speciális hálózati biztonság
| Scope | Környezet |
|---|---|
| Bejövő és kimenő internetkapcsolat tervezése | Az ajánlott kapcsolati modelleket ismerteti a nyilvános internetre és a nyilvános internetről érkező és kimenő kapcsolatokhoz. |
| A célzóna-hálózat szegmentálásának megtervezése | Feltárja a fő javaslatokat, amelyek magas szintű biztonságos belső hálózati szegmentálást biztosítanak a célzónán belül. Ezek a javaslatok a hálózat zéró megbízhatósági implementációját hajtják. |
| Hálózati titkosítási követelmények meghatározása | A helyszíni és az Azure- és az Azure-régiók közötti hálózati titkosítás elérésére vonatkozó főbb javaslatokat ismerteti. |
| Forgalomvizsgálati terv | Az Azure Virtual Networken belüli forgalom tükrözésével vagy koppintásával kapcsolatos főbb szempontokat és ajánlott megközelítéseket ismerteti. |
Teljes felügyelet
Az identitásokkal való Teljes felügyelet hozzáféréshez a következő szempontokat kell figyelembe vennie:
- Mely csapatok vagy személyek igényelnek hozzáférést a célzónán belüli szolgáltatásokhoz? Milyen szerepköröket töltenek be?
- Kinek kell engedélyeznie a hozzáférési kérelmeket?
- Ki kapja meg az értesítéseket a kiemelt szerepkörök aktiválásakor?
- Kinek kell hozzáféréssel rendelkeznie az auditelőzményekhez?
További információ: Microsoft Entra Privileged Identity Management.
A Teljes felügyelet megvalósítása túlmutat az identitás- és hozzáférés-kezelésen. Érdemes megfontolnia, hogy a szervezetnek Teljes felügyelet gyakorlatokat kell-e implementálnia több pilléren, például az infrastruktúrán, az adatokon és a hálózatkezelésen. További információ: Teljes felügyelet gyakorlatok beépítése a célzónában
Hozzáférés-vezérlési tervezési javaslatok
Az alapul szolgáló követelmények kontextusában végezze el az egyes szükséges szolgáltatások közös vizsgálatát. Ha saját kulcsokat szeretne használni, előfordulhat, hogy az nem támogatott az összes megfontolt szolgáltatásban. Alkalmazzon megfelelő kockázatcsökkentést, hogy az inkonzisztenciák ne akadályozzák a kívánt eredményeket. Válassza ki a megfelelő régiópárokat és vészhelyreállítási régiókat, amelyek minimalizálják a késést.
Biztonsági engedélyezésilista-terv kidolgozása olyan szolgáltatások értékelésére, mint a biztonsági konfiguráció, a figyelés és a riasztások. Ezután hozzon létre egy tervet, amely integrálja őket a meglévő rendszerekkel.
Az Azure-szolgáltatások incidenskezelési tervének meghatározása az éles környezetbe való áthelyezés előtt.
A biztonsági követelmények és az Azure platform ütemterveinek összehangolása az újonnan kiadott biztonsági vezérlőkkel való naprakészség érdekében.
Szükség esetén implementáljon egy nulla megbízhatósági megközelítést az Azure-platformhoz való hozzáféréshez .
Biztonság az Azure-beli célzónagyorsítóban
A biztonság az Azure-beli célzónagyorsító központi eleme. A megvalósítás részeként számos eszköz és vezérlő van üzembe helyezve, hogy a szervezetek gyorsan elérjék a biztonsági alapkonfigurációt.
A következők például a következők:
Eszközök:
- Felhőhöz készült Microsoft Defender, standard vagy ingyenes szint
- Microsoft Sentinel
- Azure DDoS Network Protection (nem kötelező)
- Azure Firewall
- Webalkalmazási tűzfal (WAF)
- Privileged Identity Management (PIM)
Az online és a vállalathoz csatlakoztatott célzónákra vonatkozó szabályzatok:
- Biztonságos hozzáférés (például HTTPS) kényszerítése tárfiókokhoz
- Naplózás kényszerítése az Azure SQL Database-hez
- Titkosítás kényszerítése az Azure SQL Database-hez
- IP-továbbítás megakadályozása
- Bejövő RDP megakadályozása az internetről
- Győződjön meg arról, hogy az alhálózatok az NSG-hez vannak társítva
További lépések
Megtudhatja, hogyan biztosíthat emelt szintű hozzáférést a hibrid és felhőbeli üzemelő példányokhoz a Microsoft Entra ID-ban.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: