Áttekintés – Teljes felügyelet alapelvek alkalmazása az Azure IaaS-re

  • Cikk

Összefoglalás: Ahhoz, hogy Teljes felügyelet alapelveket alkalmazzon az Azure IaaS-összetevőkre és -infrastruktúrára, először ismernie kell az Azure Storage, a virtuális gépek, valamint a küllős és központi virtuális hálózatok közös referenciaarchitektúráját és összetevőit.

Ez a cikksorozat segít a Teljes felügyelet alapelveinek alkalmazásában a Microsoft Azure IaaS számítási feladataira a Teljes felügyelet alapelvek alkalmazásának multidiszciplináris megközelítése alapján. Teljes felügyelet biztonsági stratégia. Ez nem termék vagy szolgáltatás, hanem a következő biztonsági alapelvek tervezésének és megvalósításának megközelítése:

  • Explicit ellenőrzés
  • A legkevésbé kiemelt hozzáférés használata
  • A szabálysértés feltételezése

A Teljes felügyelet gondolkodásmód implementálásához a felhőinfrastruktúra, az üzembe helyezési stratégia és az implementáció módosítása szükséges.

Ez az öt cikkből álló kezdeti sorozat (beleértve ezt a bevezetőt) bemutatja, hogyan alkalmazhat Teljes felügyelet megközelítést egy általános, infrastruktúra-szolgáltatásokon alapuló informatikai üzleti forgatókönyvre. A munka egységekre van bontva, amelyek az alábbiak szerint konfigurálhatók együtt:

További információ: Teljes felügyelet alapelvek alkalmazása az Azure Virtual Desktopra.

Feljegyzés

A jövőben további cikkek is megjelennek ebben a sorozatban, többek között arról, hogy a szervezetek hogyan alkalmazhatnak Teljes felügyelet megközelítést az alkalmazásokra, a hálózatkezelésre, az adatokra és a DevOps-szolgáltatásokra valós informatikai üzleti környezeteken alapuló módon.

Fontos

Ez a Teljes felügyelet útmutató az Azure-ban elérhető számos biztonsági megoldás és szolgáltatás referenciaarchitektúrához való használatát és konfigurálását ismerteti. Számos más erőforrás is nyújt biztonsági útmutatást ezekhez a megoldásokhoz és funkciókhoz, például:

Az Teljes felügyelet megközelítés alkalmazásának leírásához ez az útmutató egy olyan gyakori mintát céloz meg, amelyet számos szervezet használ éles környezetben: egy virtuális hálózaton (és IaaS-alkalmazásban) üzemeltetett virtuálisgép-alapú alkalmazásra. Ez egy gyakori minta a helyszíni alkalmazásokat az Azure-ba migráló szervezeteknél, amelyet néha "átemelésnek" is neveznek. A referenciaarchitektúra tartalmazza az alkalmazás támogatásához szükséges összes összetevőt, beleértve a tárolási szolgáltatásokat és a központi virtuális hálózatot.

A referenciaarchitektúra az éles környezetek gyakori üzembehelyezési mintáját tükrözi. Ez nem a felhőadaptálási keretrendszer (CAF) által ajánlott nagyvállalati szintű célzónákon alapul, bár a CAF számos ajánlott eljárása szerepel a referenciaarchitektúrában, például dedikált virtuális hálózat használata az alkalmazáshoz való hozzáférést közvetítő összetevők üzemeltetéséhez (központi virtuális hálózat).

Ha szeretné megismerni a felhőadaptálási keretrendszer Azure-beli célzónákban ajánlott útmutatást, tekintse meg az alábbi forrásokat:

Referenciaarchitektúra

Az alábbi ábra a Teljes felügyelet útmutató referenciaarchitektúráját mutatja be.

Az Azure IaaS Teljes felügyelet alkalmazásának referenciaarchitektúrája, amely különböző típusú felhasználókat, virtuális gépeken futó gyakori alkalmazásokat, PaaS-szolgáltatásokat és tárolókat tartalmaz.

Ez az architektúra a következőket tartalmazza:

  • Több IaaS-összetevő és elem, beleértve a különböző típusú felhasználókat és az alkalmazást különböző webhelyekről elérő informatikai felhasználókat. például az Azure, az internet, a helyszíni és a fiókirodák.
  • Egy közös háromrétegű alkalmazás, amely előtérszintet, alkalmazásszintet és adatszintet tartalmaz. Az összes szint egy KÜLLŐ nevű virtuális hálózaton belül fut a virtuális gépeken. Az alkalmazáshoz való hozzáférést egy másik, HUB nevű virtuális hálózat védi, amely további biztonsági szolgáltatásokat tartalmaz.
  • Az Azure-ban leggyakrabban használt PaaS-szolgáltatások, amelyek támogatják az IaaS-alkalmazásokat, beleértve a szerepköralapú hozzáférés-vezérlést (RBAC) és a Microsoft Entra ID-t, amelyek hozzájárulnak a Teljes felügyelet biztonsági megközelítéshez.
  • Tárolóblobok és tárfájlok, amelyek objektumtárolót biztosítanak a felhasználók által megosztott alkalmazásokhoz és fájlokhoz.

Ez a cikksorozat végigvezeti a referenciaarchitektúra Teljes felügyelet implementálására vonatkozó javaslatokat az Azure-ban üzemeltetett nagyobb darabok mindegyikével, ahogyan az itt látható.

Az Azure IaaS Teljes felügyelet alkalmazásának referenciaarchitektúrája, amely a tárolók, virtuális gépek, küllős és központi virtuális hálózatok csoportosított összetevőit jeleníti meg.

A diagram az architektúra nagyobb területeit mutatja be, amelyeket a sorozat egyes cikkei kezelnek:

  1. Azure Storage Services
  2. Virtuális gépek
  3. Küllős virtuális hálózatok
  4. Központi virtuális hálózatok

Fontos megjegyezni, hogy az ebben a cikksorozatban szereplő útmutatók az ilyen típusú architektúrákra jellemzőbbek, mint a felhőadaptálási keretrendszer és az Azure célzóna architektúráiban megadott útmutatás. Ha ezen erőforrások bármelyikében alkalmazta az útmutatót, mindenképpen tekintse át ezt a cikksorozatot további javaslatokért.

Az Azure-összetevők ismertetése

A referenciaarchitektúra-diagram a környezet topológiai nézetét nyújtja. Azt is érdemes logikusan látni, hogy az egyes összetevők hogyan rendszerezhetők az Azure-környezetben. Az alábbi ábra módot kínál az előfizetések és erőforráscsoportok rendszerezésére. Előfordulhat, hogy az Azure-előfizetések másképpen lesznek rendszerezve.

Az Azure IaaS-Teljes felügyelet alkalmazásának logikai architektúrája, amely egy Entra ID-bérlőn belüli előfizetéseket, Felhőhöz készült Microsoft Defender és Azure Monitort, valamint erőforráscsoportokat jelenít meg.

Ebben a diagramban az Azure-infrastruktúra egy Entra-azonosító bérlőn belül található. Az alábbi táblázat a diagram különböző szakaszait ismerteti.

  • Azure-előfizetések

    Az erőforrásokat több előfizetésben is eloszthatja, ahol az egyes előfizetések különböző szerepkörökhöz( például hálózati előfizetéshez vagy biztonsági előfizetéshez) vezethetnek. Ezt a korábban hivatkozott felhőadaptálási keretrendszer és Azure Landing Zone dokumentációja ismerteti. A különböző előfizetések különböző környezeteket is tartalmazhatnak, például éles, fejlesztési és tesztelési környezeteket. Ez attól függ, hogyan szeretné elkülöníteni a környezetet és az egyes erőforrások számát. Egy vagy több előfizetés kezelhető együtt egy felügyeleti csoport használatával. Ez lehetővé teszi, hogy az egyes előfizetések egyéni beállítása helyett szerepköralapú hozzáférés-vezérléssel (RBAC) és Azure-szabályzatokkal rendelkező engedélyeket alkalmazzon az előfizetések egy csoportjára.

  • Felhőhöz készült Microsoft Defender és Az Azure Monitor

    Minden Azure-előfizetéshez elérhető Azure Monitor-megoldások és Felhőhöz készült Defender. Ha ezeket az előfizetéseket egy felügyeleti csoporton keresztül kezeli, egyetlen portálon összesítheti az Azure Monitor és Felhőhöz készült Defender minden funkcióját. A Felhőhöz készült Defender által biztosított biztonságos pontszám például összesítve lesz az összes előfizetéshez, hatókörként egy felügyeleti csoport használatával.

  • Tárolási erőforráscsoport (1)

    A tárfiók egy dedikált erőforráscsoportban található. A részletesebb engedélyvezérlés érdekében elkülönítheti az egyes tárfiókokat egy másik erőforráscsoportban. Az Azure Storage-szolgáltatások egy dedikált tárfiókban találhatók. Minden tárolási számítási feladathoz rendelkezhet egy tárfiókmal, például egy Objektumtárolóval (más néven Blob Storage- és Azure Files-fájlokkal). Ez részletesebb hozzáférés-vezérlést biztosít, és javíthatja a teljesítményt.

  • Virtuális gépek erőforráscsoportja (2)

    A virtuális gépeket egy erőforráscsoport tartalmazza. A hozzáférés-vezérlés további elkülönítéséhez az egyes virtuálisgép-típusokkal is rendelkezhet a számítási feladatok szintjeihez, például az előtérhez, az alkalmazáshoz és az adatokhoz különböző erőforráscsoportokban.

  • Küllős (3) és központi (4) virtuális hálózati erőforráscsoportok külön előfizetésekben

    A referenciaarchitektúra egyes virtuális hálózatainak hálózata és egyéb erőforrásai a küllős és központi virtuális hálózatok dedikált erőforráscsoportjaiban vannak elkülönítve. Ez a szervezet akkor működik jól, ha ezekért különböző csapatok felelősek. Egy másik lehetőség az összetevők rendszerezése úgy, hogy az összes hálózati erőforrást egy erőforráscsoportba helyezi, a biztonsági erőforrásokat pedig egy másikba. Ez attól függ, hogy szervezete hogyan van beállítva ezeknek az erőforrásoknak a kezelésére.

Veszélyforrások elleni védelem Felhőhöz készült Microsoft Defender

Felhőhöz készült Microsoft Defender egy kiterjesztett észlelési és válaszmegoldás (XDR), amely automatikusan gyűjti, korrelálja és elemzi a különböző környezetekből származó jel-, fenyegetés- és riasztási adatokat. A Felhőhöz készült Defender a Microsoft Defender XDR-sel együtt használható a környezet korrelált védelmének szélesebb körű biztosításához, ahogyan az az alábbi ábrán is látható.

A Felhőhöz készült Microsoft Defender és a Microsoft Defender XDR logikai architektúrája, amely fenyegetésvédelmet biztosít az Azure IaaS-összetevők számára.

A diagramon:

  • Felhőhöz készült Defender több Azure-előfizetést tartalmazó felügyeleti csoport esetén engedélyezve van.
  • A Microsoft Defender XDR engedélyezve van a Microsoft 365-alkalmazások és -adatok, a Microsoft Entra ID-val integrált SaaS-alkalmazások és helyi Active Directory Tartományi szolgáltatások (AD DS) kiszolgálók esetében.

További információ a felügyeleti csoportok konfigurálásáról és a Felhőhöz készült Defender engedélyezéséről:

Biztonsági megoldások ebben a cikksorozatban

Teljes felügyelet magában foglalja a biztonság és az információvédelem több szemléletének együttes alkalmazását. Ebben a cikksorozatban ezt a több szemléletű megközelítést alkalmazzuk az infrastruktúra-összetevők egyes munkaegységeire az alábbiak szerint:

Teljes felügyelet alapelvek alkalmazása az Azure Storage-ra

  1. Az adatok védelme mindhárom módban: inaktív adatok, átvitt adatok és használatban lévő adatok
  2. A felhasználók ellenőrzése és a tárolási adatokhoz való hozzáférés szabályozása a legkisebb jogosultságokkal
  3. Kritikus adatok logikai elkülönítése vagy elkülönítése hálózati vezérlőkkel
  4. A Defender for Storage használata az automatikus fenyegetésészleléshez és -védelemhez

Teljes felügyelet alapelvek alkalmazása az Azure-beli virtuális gépekre

  1. Logikai elkülönítés konfigurálása virtuális gépekhez
  2. Szerepköralapú hozzáférés-vezérlés (RBAC) használata
  3. Virtuális gép rendszerindítási összetevőinek védelme
  4. Ügyfél által felügyelt kulcsok és dupla titkosítás engedélyezése
  5. A virtuális gépekre telepített alkalmazások szabályozása
  6. Biztonságos hozzáférés konfigurálása
  7. Virtuális gépek biztonságos karbantartásának beállítása
  8. Speciális fenyegetésészlelés és -védelem engedélyezése

Teljes felügyelet alapelvek alkalmazása küllős virtuális hálózatokra az Azure-ban

  1. A Microsoft Entra RBAC kihasználása vagy egyéni szerepkörök beállítása hálózati erőforrásokhoz
  2. Infrastruktúra elkülönítése saját erőforráscsoportba
  3. Hálózati biztonsági csoport létrehozása minden alhálózathoz
  4. Alkalmazásbiztonsági csoport létrehozása minden virtuálisgép-szerepkörhöz
  5. A virtuális hálózaton belüli forgalom és erőforrások védelme
  6. Biztonságos hozzáférés a virtuális hálózathoz és az alkalmazáshoz
  7. Speciális fenyegetésészlelés és -védelem engedélyezése

Teljes felügyelet alapelvek alkalmazása az Azure-beli központi virtuális hálózatokra

  1. Az Azure Firewall Premium biztonságossá tétele
  2. Az Azure DDoS Protection Standard üzembe helyezése
  3. Hálózati átjáró tűzfalhoz való útválasztásának konfigurálása
  4. Veszélyforrások elleni védelem konfigurálása

Az alábbiakban a Teljes felügyelet ajánlott betanítási moduljai találhatók.

Azure-felügyelet és -irányítás

Oktatás Az Azure felügyeletének és szabályozásának ismertetése
A Microsoft Azure alapjai képzés három képzési tervből áll: a Microsoft Azure alapjai: A felhőfogalmak ismertetése, az Azure architektúrájának és szolgáltatásainak ismertetése, valamint az Azure felügyeletének és szabályozásának ismertetése. A Microsoft Azure alapjai: Az Azure felügyeletének és szabályozásának ismertetése a Harmadik képzési terv a Microsoft Azure alapjaiban. Ez a képzési terv a felhőbeli és a helyszíni erőforrások kezeléséhez rendelkezésre álló felügyeleti és szabályozási erőforrásokat ismerteti.
Ez a képzési terv segít felkészülni az AZ-900: Microsoft Azure alapjai vizsgára.

Elkezd >

Az Azure Policy konfigurálása

Oktatás Az Azure Policy konfigurálása
Megtudhatja, hogyan konfigurálhatja az Azure Policyt a megfelelőségi követelmények megvalósításához.
Ebben a modulban megtanulhatja, hogyan:
  • Felügyeleti csoportokat hozhat létre a szabályzatok és a költségkeretek megcélzásához.
  • Az Azure Policy megvalósítása szabályzat- és kezdeményezésdefiníciókkal.
  • Az Azure-szabályzatok hatóköre és a megfelelőség meghatározása.
    		•

    Elkezd >

    Biztonsági művelet kezelése

    Oktatás Biztonsági művelet kezelése
    Miután üzembe helyezte és biztosította az Azure-környezetet, megtanulhatja monitorozni, működtetni és folyamatosan javítani a megoldások biztonságát.
    Ez a képzési terv segít felkészülni az AZ-500: Microsoft Azure Security Technologies vizsgára.

    Elkezd >

    A tárterület biztonságának konfigurálása

    Oktatás A Storage biztonságának konfigurálása
    Megtudhatja, hogyan konfigurálhatja az Azure Storage gyakori biztonsági funkcióit, például a tárelérési aláírásokat.
    Ebben a modulban megtanulhatja, hogyan:
  • Konfiguráljon egy közös hozzáférésű jogosultságkódot (SAS), beleértve az egységes erőforrás-azonosítót (URI) és az SAS-paramétereket.
  • Konfigurálja az Azure Storage-titkosítást.
  • Ügyfél által felügyelt kulcsok implementálása.
  • Az Azure Storage biztonságának javításához javasolt lehetőségek.
    		•

    Elkezd >

    Az Azure Firewall konfigurálása

    Oktatás Az Azure Firewall konfigurálása
    Megtudhatja, hogyan konfigurálhatja az Azure Firewallt, beleértve a tűzfalszabályokat is.
    A modul befejezését követően az alábbiakra lesz képes:
  • Határozza meg, hogy mikor érdemes használni az Azure Firewallt.
  • Implementálja az Azure Firewallt, beleértve a tűzfalszabályokat is.
    		•

    Elkezd >

    Az Azure-beli biztonságra vonatkozó további képzéseket a Microsoft katalógusában talál:
    Biztonság az Azure-ban | Microsoft Learn

    Következő lépések

    A Teljes felügyelet alapelveinek az Azure-ra való alkalmazásával kapcsolatos további cikkek:

    Technikai illusztrációk

    Ez a plakát egyoldalas, áttekintő áttekintést nyújt az Azure IaaS összetevőiről mint referencia- és logikai architektúrákról, valamint azokat a lépéseket, amelyek biztosítják, hogy ezek az összetevők rendelkezzenek az alkalmazott Teljes felügyelet modell "soha nem megbízható, mindig ellenőrizze" alapelveivel.

    Elem Kapcsolódó megoldási útmutatók
    Miniatűr ábra az Azure IaaS-infrastruktúra-plakát Teljes felügyelet alkalmazásához.
    PDF | Visio
    Frissítve: 2024. március

    Ez a plakát az Azure IaaS-hez készült Teljes felügyelet különálló összetevőinek referencia- és logikai architektúráit, valamint részletes konfigurációit tartalmazza. A plakát oldalait külön informatikai részlegekhez vagy szakterületekhez használhatja, vagy a fájl Microsoft Visio-verziójával testre szabhatja az infrastruktúra diagramjait.

    Elem Kapcsolódó megoldási útmutatók
    Miniatűr ábra a Teljes felügyelet Azure IaaS-infrastruktúra plakátra való alkalmazásához.
    PDF | Visio
    Frissítve: 2024. március

    További technikai illusztrációkért kattintson ide.

    Hivatkozások

    A cikkben említett szolgáltatások és technológiák megismeréséhez tekintse meg az alábbi hivatkozásokat.