Teljes felügyelet gyakorlatok beépítése a célzónában

Teljes felügyelet egy biztonsági stratégia, amelyben termékeket és szolgáltatásokat épít be a tervezésbe és a megvalósításba, hogy betartsa az alábbi biztonsági alapelveket:

• Ellenőrizze explicit módon: mindig hitelesítse és engedélyezze a hozzáférést az összes elérhető adatpont alapján.

• A minimális jogosultsági szintű hozzáférés használata: a felhasználók megfelelő hozzáférésre való korlátozása, valamint eszközök használata az igény szerinti hozzáférés biztosításához, figyelembe véve az adaptív kockázatalapú szabályzatokat.

• Feltételezzük, hogy a behatolás minimalizálja a sugár- és szegmenshozzáférést, proaktívan keresi a fenyegetéseket, és folyamatosan fejleszti a védelmet.

Ha a szervezet betartja a Teljes felügyelet stratégiát, Teljes felügyelet-specifikus üzembehelyezési célkitűzéseket kell beépítenie a célzóna tervezési területeibe. A célzóna az Azure-beli számítási feladatok alapja, ezért fontos, hogy felkészítse a célzónát Teljes felügyelet bevezetésére.

Ez a cikk útmutatást nyújt a Teljes felügyelet gyakorlatoknak a célzónába való integrálásához, és ismerteti, hogy a Teljes felügyelet alapelvek betartásához hol van szükség a célzónán kívüli megoldásokra.

Teljes felügyelet pillérek és célzóna-tervezési területek

Amikor Teljes felügyelet gyakorlatokat implementál az Azure-beli célzóna-üzembe helyezésben, először figyelembe kell vennie az egyes célzónák tervezési területeire vonatkozó Teljes felügyelet útmutatást.

A célzóna tervezésével kapcsolatos szempontokért és az egyes területek kritikus döntéseihez kapcsolódó útmutatásért tekintse meg az Azure célzóna tervezési területeit.

A Teljes felügyelet modell alappillérei fogalmak és üzembehelyezési célkitűzések szerint vannak rendszerezve. További információ: Teljes felügyelet-megoldások üzembe helyezése.

Ezek a pillérek konkrét üzembehelyezési célkitűzéseket biztosítanak, amelyek segítenek a szervezeteknek igazodni Teljes felügyelet alapelveihez. Ezek a célkitűzések túlmutatnak a technikai konfigurációkon. A hálózatkezelési pillér például a hálózatszegmentálás üzembehelyezési célkitűzésével rendelkezik. A cél nem nyújt információt arról, hogyan konfigurálható az izolált hálózatok az Azure-ban, hanem útmutatást nyújt az architektúraminta létrehozásához. Más tervezési döntéseket is figyelembe kell venni egy üzembehelyezési célkitűzés megvalósításakor.

Az alábbi ábrán a kezdőzóna tervezési területei láthatók.

Az alábbi táblázat a Teljes felügyelet pilléreket az architektúra tervezési területeihez fűzi össze.

Jelmagyarázat	Kezdőzóna tervezési területe	Teljes felügyelet pillér
	Azure-számlázás és Microsoft Entra-bérlő	Identitás pillére
	Identitás- és hozzáférés-kezelés	Identitás pillére, Alkalmazások pillére, Adatoszlop
	Erőforrás-szervezet	Identitás pillére
	Cégirányítás	Láthatósági, automatizálási és vezénylési pillér
	Felügyelet	Végpontok pillére, Alkalmazások pillére, Adatoszlop, Infrastruktúra pillére
	Hálózati topológia és kapcsolat	Hálózatok pillére
	Biztonság	Minden Teljes felügyelet pillér
	Platformautomatizálás és DevOps	Láthatósági, automatizálási és vezénylési pillér

Nem minden Teljes felügyelet üzembehelyezési célkitűzés része a célzónának. Számos Teljes felügyelet üzembe helyezési célkitűzés az egyes számítási feladatok Azure-ba való tervezésére és kiadására szolgál.

A következő szakaszok áttekintik az egyes pilléreket, és megfontolandó szempontokat és javaslatokat nyújtanak az üzembehelyezési célkitűzések megvalósításához.

Biztonságos identitás

Az identitás biztonságossá tételével kapcsolatos üzembehelyezési célkitűzésekről további információt az identitás biztonságossá tétele Teljes felügyelet című témakörben talál. Ezeknek az üzembehelyezési célkitűzéseknek a megvalósításához alkalmazhat identitásösszevonást, feltételes hozzáférést, identitásszabályozást és valós idejű adatműveleteket.

Identitással kapcsolatos szempontok

• Az Azure-beli célzóna-referencia-implementációkkal olyan erőforrásokat helyezhet üzembe, amelyek kibővítik a meglévő identitásplatformot az Azure-ban, és az Azure ajánlott eljárásainak alkalmazásával kezelheti az identitásplatformot.

• Számos vezérlőt konfigurálhat a Microsoft Entra-bérlő Teljes felügyelet gyakorlatához. A Microsoft 365-höz és a Microsoft Entra-azonosítót használó egyéb felhőszolgáltatásokhoz való hozzáférést is szabályozhatja.

• A konfigurációs követelményeket az Azure-beli célzónán kívül kell megterveznie.

Identitásjavaslatok

• Az Azure-erőforrásokon túlmutató identitások kezelésére szolgáló terv kidolgozása a Microsoft Entra-azonosítóban. Használhatja például a következőt:

  • Összevonás helyszíni identitásrendszerekkel.
  • Feltételes hozzáférési szabályzatok.
  • Felhasználói, eszköz-, hely- vagy viselkedési információk az engedélyezéshez.

• Az Azure-beli célzónát különálló előfizetésekkel helyezheti üzembe identitáserőforrásokhoz, például tartományvezérlőkhöz, így hatékonyabban férhet hozzá az erőforrásokhoz.

• Ha lehetséges, használja a Microsoft Entra által felügyelt identitásokat.

Biztonságos végpontok

A végpontok biztonságossá tételéhez szükséges üzembehelyezési célkitűzésekről további információt a végpontok biztonságossá tétele Teljes felügyelet című témakörben talál. Az üzembehelyezési célkitűzések megvalósításához a következőkre van lehetőség:

• Regisztrálja a végpontokat a felhőbeli identitásszolgáltatókkal, hogy az erőforrásokhoz kizárólag a felhőalapúan felügyelt megfelelő végpontokon és alkalmazásokon keresztül férhessen hozzá.

• Az adatveszteség-megelőzés (DLP) és a hozzáférés-vezérlés kényszerítése mind a vállalati, mind a személyes eszközök esetében, amelyek regisztrálva vannak a saját eszköz (BYOD) programjaival.

• A végpontfenyegetések észlelésével történő hitelesítés eszközkockázatának monitorozása.

Végpontokkal kapcsolatos szempontok

• A végpont üzembe helyezési célkitűzései végfelhasználói számítási eszközökre, például laptopokra, asztali számítógépekre és mobileszközökre irányulnak.

• A végpontok Teljes felügyelet gyakorlatának bevezetésekor megoldásokat kell implementálnia az Azure-ban és az Azure-on kívül.

• Az üzembehelyezési célkitűzések megvalósításához eszközöket, például a Microsoft Intune-t és más eszközfelügyeleti megoldásokat használhat.

• Ha az Azure-ban (például az Azure Virtual Desktopban) vannak végpontjai, regisztrálhatja az ügyfélélményt az Intune-ban, és Azure-szabályzatokat és vezérlőket alkalmazhat az infrastruktúrához való hozzáférés korlátozásához.

Végpontjavaslatok

• Dolgozzon ki egy tervet a végpontok kezelésére Teljes felügyelet gyakorlatokkal, az Azure-beli célzóna implementálására vonatkozó tervek mellett.

• Az eszközökről és kiszolgálókról további információt a Biztonságos infrastruktúra című témakörben talál.

Biztonságos alkalmazások

Az alkalmazások biztonságossá tételével kapcsolatos üzembehelyezési célkitűzésekről további információt az alkalmazások biztonságossá tétele Teljes felügyelet című témakörben talál. Az üzembehelyezési célkitűzések megvalósításához a következőkre van lehetőség:

• API-k használatával betekintést nyerhet az alkalmazásokba.

• Szabályzatok alkalmazása a bizalmas információk védelméhez.

• Adaptív hozzáférés-vezérlők alkalmazása.

• Az árnyék informatikai elérésének korlátozása.

Alkalmazásokkal kapcsolatos szempontok

• Az alkalmazások üzembehelyezési célkitűzései a külső és a belső alkalmazások szervezeten belüli kezelésére összpontosítanak.

• A célkitűzések nem foglalkoznak az alkalmazásinfrastruktúra biztonságossá tételével. Ehelyett az alkalmazások, különösen a felhőalkalmazások felhasználásának biztonságossá tételével foglalkoznak.

• Az Azure-beli célzóna-eljárások nem nyújtanak részletes vezérlőket az alkalmazás célkitűzéseihez. Ezek a vezérlők az alkalmazáskonfiguráció részeként vannak konfigurálva.

Alkalmazásokkal kapcsolatos javaslatok

• Az alkalmazásokhoz való hozzáférés kezelése Felhőhöz készült Microsoft Defender-alkalmazások használatával.

• Az Felhőhöz készült Defender-alkalmazásokban található szabványosított szabályzatokkal kényszerítheti ki a gyakorlatait.

• Tervezze meg az alkalmazások alkalmazáshoz való hozzáféréssel kapcsolatos eljárásainak előkészítését. Ne bízzon a szervezet által üzemeltetett alkalmazásokban, mint a külső alkalmazásokban.

Adatok védelme

Az adatok biztonságossá tételével kapcsolatos üzembehelyezési célkitűzésekről további információt az adatok biztonságossá tétele Teljes felügyelet című témakörben talál. A célkitűzések megvalósítása érdekében a következőkre van lehetőség:

• Adatok osztályozása és címkézése.
• Hozzáférés-vezérlés engedélyezése.
• Adatveszteség-védelem megvalósítása.

Az adaterőforrások naplózásáról és kezeléséről további információt az Azure célzóna referencia-implementációiban talál.

A Teljes felügyelet megközelítés az adatok széles körű vezérlését foglalja magában. Implementálási szempontból a Microsoft Purview eszközöket biztosít az adatszabályozáshoz, a védelemhez és a kockázatkezeléshez. A Microsoft Purview-t egy felhőalapú elemzési üzembe helyezés részeként használhatja, hogy olyan megoldást biztosítson, amelyet nagy léptékben implementálhat.

Adatkezelési szempontok

• A célzóna-előfizetés demokratizálási elvének megfelelően létrehozhat hozzáférést és hálózatelkülönítést az adaterőforrásokhoz, és naplózási eljárásokat is létrehozhat.

  Az adaterőforrások naplózására és kezelésére vonatkozó referencia-implementációkban szabályzatok találhatók.

• Az üzembehelyezési célkitűzések teljesítéséhez az Azure-erőforrások védelmén kívül más vezérlőkre is szükség van. Teljes felügyelet adatbiztonság magában foglalja az adatok besorolását, bizalmassági címkézését és az adathozzáférés szabályozását. Emellett az adatbázison és a fájlrendszeren túl is kiterjed. Meg kell fontolnia, hogyan védheti meg az adatokat a Microsoft Teamsben, a Microsoft 365-csoportok és a SharePointban.

Adatjavaslatok

• A Microsoft Purview eszközöket biztosít az adatszabályozáshoz, a védelemhez és a kockázatkezeléshez.

• A Microsoft Purview implementálása egy felhőalapú elemzési üzembe helyezés részeként a számítási feladatok nagy léptékű implementálásához.

Biztonságos infrastruktúra

Az infrastruktúra biztonságossá tételével kapcsolatos üzembehelyezési célkitűzésekről további információt az infrastruktúra biztonságossá tétele Teljes felügyelet című témakörben talál. A célkitűzések megvalósítása érdekében a következőkre van lehetőség:

• A számítási feladatok rendellenes viselkedésének monitorozása.
• Infrastruktúra-identitások kezelése.
• Korlátozza az emberi hozzáférést.
• Erőforrások szegmentálása.

Infrastruktúra-szempontok

• Az infrastruktúra üzembehelyezési célkitűzései a következők:

  • Azure-erőforrások kezelése.
  • Operációsrendszer-környezetek kezelése.
  • Hozzáférés a rendszerekhez.
  • Számítási feladatspecifikus vezérlők alkalmazása.

• A célzóna-előfizetési modell használatával egyértelmű biztonsági határokat hozhat létre az Azure-erőforrásokhoz, és szükség szerint korlátozott engedélyeket rendelhet hozzá az erőforrás szintjén.

• A szervezeteknek rendszerezniük kell a számítási feladatokat a felügyelethez.

Infrastruktúra-javaslatok

• A szabványos Azure-beli célzóna-szabályzatokkal letilthatja a nem megfelelő üzemelő példányokat és erőforrásokat, és kényszerítheti a naplózási mintákat.

• Konfigurálja a Privileged Identity Managementet a Microsoft Entra ID-ban, hogy időben hozzáférést biztosítson a magas jogosultsági szintű szerepkörökhöz.

• A virtuális gépek hozzáférésének korlátozásához konfiguráljon igény szerint hozzáférést Felhőhöz készült Defender a célzónához.

• Hozzon létre egy tervet az Azure-ban üzembe helyezett egyes számítási feladatok monitorozására és kezelésére.

Biztonságos hálózatok

A hálózatok biztonságossá tételével kapcsolatos üzembehelyezési célkitűzésekről további információt a hálózatok biztonságossá tétele Teljes felügyelet című témakörben talál. A célkitűzések megvalósítása érdekében a következőkre van lehetőség:

• Hálózati szegmentálás implementálása.
• Használjon natív felhőbeli szűrést.
• Minimális hozzáférésű jogosultság implementálása.

Hálózati szempontok

• Annak biztosítása érdekében, hogy a platformerőforrások támogatják a Teljes felügyelet biztonsági modellt, olyan tűzfalakat kell telepítenie, amelyek képesek HTTPS-forgalomvizsgálatra, és elkülönítik az identitás- és felügyeleti hálózati erőforrásokat a központi központtól.

• A kapcsolati előfizetésben található hálózati erőforrások mellett terveket kell létrehoznia az egyes számítási feladatok mikroszegmentálására a küllős virtuális hálózataikban. Meghatározhatja például a forgalmi mintákat, és részletes hálózati biztonsági csoportokat hozhat létre az egyes számítási feladatok hálózataihoz.

Hálózatokra vonatkozó javaslatok

• Az Azure-beli célzóna üzembe helyezéséhez használja az alábbi Teljes felügyelet-specifikus üzembe helyezési útmutatókat:

  • Azure-beli célzóna-portálgyorsító üzembe helyezése Teljes felügyelet hálózati alapelvekkel
  • Hálózatkezelés üzembe helyezése Teljes felügyelet hálózati alapelvekkel
  • Azure-beli célzóna Terraform-üzembe helyezése Teljes felügyelet hálózati alapelvekkel

• A Teljes felügyelet elvek alkalmazásának alkalmazásával kapcsolatos információkért lásd Teljes felügyelet webalkalmazások hálózatát.

• A számítási feladatok hálózatkezelési tervének létrehozásáról további információt Teljes felügyelet azure-beli üzembehelyezési tervekben talál.

Láthatóság, automatizálás és vezénylés

A láthatóságra, automatizálásra és vezénylésre vonatkozó üzembehelyezési célkitűzésekről további információt a láthatóság, az automatizálás és a vezénylés Teljes felügyelet című témakörben talál. A célkitűzések megvalósítása érdekében a következőkre van lehetőség:

• Láthatóság létrehozása.
• Automatizálás engedélyezése.
• További vezérlők engedélyezése folyamatos fejlesztéssel.

Láthatósági, automatizálási és vezénylési szempontok

• Az Azure-beli kezdőzóna referencia-implementációi a Microsoft Sentinel üzembe helyezését tartalmazzák, amelyekkel gyorsan áttekinthető az Azure-környezetben.

• A referencia-implementációk szabályzatokat biztosítanak az Azure-naplózáshoz, de más szolgáltatások esetében további integrációra van szükség.

• A jelek küldéséhez olyan automatizálási eszközöket kell konfigurálnia, mint az Azure DevOps és a GitHub.

Láthatósági, automatizálási és vezénylési javaslatok

• A Microsoft Sentinel üzembe helyezése az Azure-beli célzóna részeként.

• Hozzon létre egy tervet, amely integrálja a Microsoft Entra ID és az eszközök jelzéseit a Microsoft 365-be a Microsoft Sentinel-munkaterületre.

• Hozzon létre egy tervet a fenyegetésvadász gyakorlatok elvégzésére és a folyamatos biztonsági fejlesztésekre.

Következő lépések

• Biztonság az Azure-hoz készült Microsoft felhőadaptálási keretrendszer
• Teljes felügyelet alapelvek alkalmazása az Azure-szolgáltatásokra
• A Teljes felügyelet biztonsági helyzetének kiértékelése