Áttekintés – Teljes felügyelet alapelvek alkalmazása az Azure IaaS-re
Összefoglalás: Ahhoz, hogy Teljes felügyelet alapelveket alkalmazzon az Azure IaaS-összetevőkre és -infrastruktúrára, először ismernie kell az Azure Storage, a virtuális gépek, valamint a küllős és központi virtuális hálózatok közös referenciaarchitektúráját és összetevőit.
Ez a cikksorozat segít a Teljes felügyelet alapelveinek alkalmazásában a Microsoft Azure IaaS számítási feladataira a Teljes felügyelet alapelvek alkalmazásának multidiszciplináris megközelítése alapján. Teljes felügyelet biztonsági stratégia. Ez nem termék vagy szolgáltatás, hanem a következő biztonsági alapelvek tervezésének és megvalósításának megközelítése:
- Explicit ellenőrzés
- A legkevésbé kiemelt hozzáférés használata
- A szabálysértés feltételezése
A Teljes felügyelet gondolkodásmód implementálásához a felhőinfrastruktúra, az üzembe helyezési stratégia és az implementáció módosítása szükséges.
Ez az öt cikkből álló kezdeti sorozat (beleértve ezt a bevezetőt) bemutatja, hogyan alkalmazhat Teljes felügyelet megközelítést egy általános, infrastruktúra-szolgáltatásokon alapuló informatikai üzleti forgatókönyvre. A munka egységekre van bontva, amelyek az alábbiak szerint konfigurálhatók együtt:
- Azure Storage
- Virtuális gépek
- Küllős virtuális hálózatok (VNetek) virtuálisgép-alapú számítási feladatokhoz
- Központi virtuális hálózatok az Azure-beli számítási feladatokhoz való hozzáférés támogatásához
További információ: Teljes felügyelet alapelvek alkalmazása az Azure Virtual Desktopra.
Feljegyzés
A jövőben további cikkek is megjelennek ebben a sorozatban, többek között arról, hogy a szervezetek hogyan alkalmazhatnak Teljes felügyelet megközelítést az alkalmazásokra, a hálózatkezelésre, az adatokra és a DevOps-szolgáltatásokra valós informatikai üzleti környezeteken alapuló módon.
Fontos
Ez a Teljes felügyelet útmutató az Azure-ban elérhető számos biztonsági megoldás és szolgáltatás referenciaarchitektúrához való használatát és konfigurálását ismerteti. Számos más erőforrás is nyújt biztonsági útmutatást ezekhez a megoldásokhoz és funkciókhoz, például:
Az Teljes felügyelet megközelítés alkalmazásának leírásához ez az útmutató egy olyan gyakori mintát céloz meg, amelyet számos szervezet használ éles környezetben: egy virtuális hálózaton (és IaaS-alkalmazásban) üzemeltetett virtuálisgép-alapú alkalmazásra. Ez egy gyakori minta a helyszíni alkalmazásokat az Azure-ba migráló szervezeteknél, amelyet néha "átemelésnek" is neveznek. A referenciaarchitektúra tartalmazza az alkalmazás támogatásához szükséges összes összetevőt, beleértve a tárolási szolgáltatásokat és a központi virtuális hálózatot.
A referenciaarchitektúra az éles környezetek gyakori üzembehelyezési mintáját tükrözi. Ez nem a felhőadaptálási keretrendszer (CAF) által ajánlott nagyvállalati szintű célzónákon alapul, bár a CAF számos ajánlott eljárása szerepel a referenciaarchitektúrában, például dedikált virtuális hálózat használata az alkalmazáshoz való hozzáférést közvetítő összetevők üzemeltetéséhez (központi virtuális hálózat).
Ha szeretné megismerni a felhőadaptálási keretrendszer Azure-beli célzónákban ajánlott útmutatást, tekintse meg az alábbi forrásokat:
Referenciaarchitektúra
Az alábbi ábra a Teljes felügyelet útmutató referenciaarchitektúráját mutatja be.
Ez az architektúra a következőket tartalmazza:
- Több IaaS-összetevő és elem, beleértve a különböző típusú felhasználókat és az alkalmazást különböző webhelyekről elérő informatikai felhasználókat. például az Azure, az internet, a helyszíni és a fiókirodák.
- Egy közös háromrétegű alkalmazás, amely előtérszintet, alkalmazásszintet és adatszintet tartalmaz. Az összes szint egy KÜLLŐ nevű virtuális hálózaton belül fut a virtuális gépeken. Az alkalmazáshoz való hozzáférést egy másik, HUB nevű virtuális hálózat védi, amely további biztonsági szolgáltatásokat tartalmaz.
- Az Azure-ban leggyakrabban használt PaaS-szolgáltatások, amelyek támogatják az IaaS-alkalmazásokat, beleértve a szerepköralapú hozzáférés-vezérlést (RBAC) és a Microsoft Entra ID-t, amelyek hozzájárulnak a Teljes felügyelet biztonsági megközelítéshez.
- Tárolóblobok és tárfájlok, amelyek objektumtárolót biztosítanak a felhasználók által megosztott alkalmazásokhoz és fájlokhoz.
Ez a cikksorozat végigvezeti a referenciaarchitektúra Teljes felügyelet implementálására vonatkozó javaslatokat az Azure-ban üzemeltetett nagyobb darabok mindegyikével, ahogyan az itt látható.
A diagram az architektúra nagyobb területeit mutatja be, amelyeket a sorozat egyes cikkei kezelnek:
Fontos megjegyezni, hogy az ebben a cikksorozatban szereplő útmutatók az ilyen típusú architektúrákra jellemzőbbek, mint a felhőadaptálási keretrendszer és az Azure célzóna architektúráiban megadott útmutatás. Ha ezen erőforrások bármelyikében alkalmazta az útmutatót, mindenképpen tekintse át ezt a cikksorozatot további javaslatokért.
Az Azure-összetevők ismertetése
A referenciaarchitektúra-diagram a környezet topológiai nézetét nyújtja. Azt is érdemes logikusan látni, hogy az egyes összetevők hogyan rendszerezhetők az Azure-környezetben. Az alábbi ábra módot kínál az előfizetések és erőforráscsoportok rendszerezésére. Előfordulhat, hogy az Azure-előfizetések másképpen lesznek rendszerezve.
Ebben a diagramban az Azure-infrastruktúra egy Entra-azonosító bérlőn belül található. Az alábbi táblázat a diagram különböző szakaszait ismerteti.
Azure-előfizetések
Az erőforrásokat több előfizetésben is eloszthatja, ahol az egyes előfizetések különböző szerepkörökhöz( például hálózati előfizetéshez vagy biztonsági előfizetéshez) vezethetnek. Ezt a korábban hivatkozott felhőadaptálási keretrendszer és Azure Landing Zone dokumentációja ismerteti. A különböző előfizetések különböző környezeteket is tartalmazhatnak, például éles, fejlesztési és tesztelési környezeteket. Ez attól függ, hogyan szeretné elkülöníteni a környezetet és az egyes erőforrások számát. Egy vagy több előfizetés kezelhető együtt egy felügyeleti csoport használatával. Ez lehetővé teszi, hogy az egyes előfizetések egyéni beállítása helyett szerepköralapú hozzáférés-vezérléssel (RBAC) és Azure-szabályzatokkal rendelkező engedélyeket alkalmazzon az előfizetések egy csoportjára.
Felhőhöz készült Microsoft Defender és Az Azure Monitor
Minden Azure-előfizetéshez elérhető Azure Monitor-megoldások és Felhőhöz készült Defender. Ha ezeket az előfizetéseket egy felügyeleti csoporton keresztül kezeli, egyetlen portálon összesítheti az Azure Monitor és Felhőhöz készült Defender minden funkcióját. A Felhőhöz készült Defender által biztosított biztonságos pontszám például összesítve lesz az összes előfizetéshez, hatókörként egy felügyeleti csoport használatával.
Tárolási erőforráscsoport (1)
A tárfiók egy dedikált erőforráscsoportban található. A részletesebb engedélyvezérlés érdekében elkülönítheti az egyes tárfiókokat egy másik erőforráscsoportban. Az Azure Storage-szolgáltatások egy dedikált tárfiókban találhatók. Minden tárolási számítási feladathoz rendelkezhet egy tárfiókmal, például egy Objektumtárolóval (más néven Blob Storage- és Azure Files-fájlokkal). Ez részletesebb hozzáférés-vezérlést biztosít, és javíthatja a teljesítményt.
Virtuális gépek erőforráscsoportja (2)
A virtuális gépeket egy erőforráscsoport tartalmazza. A hozzáférés-vezérlés további elkülönítéséhez az egyes virtuálisgép-típusokkal is rendelkezhet a számítási feladatok szintjeihez, például az előtérhez, az alkalmazáshoz és az adatokhoz különböző erőforráscsoportokban.
Küllős (3) és központi (4) virtuális hálózati erőforráscsoportok külön előfizetésekben
A referenciaarchitektúra egyes virtuális hálózatainak hálózata és egyéb erőforrásai a küllős és központi virtuális hálózatok dedikált erőforráscsoportjaiban vannak elkülönítve. Ez a szervezet akkor működik jól, ha ezekért különböző csapatok felelősek. Egy másik lehetőség az összetevők rendszerezése úgy, hogy az összes hálózati erőforrást egy erőforráscsoportba helyezi, a biztonsági erőforrásokat pedig egy másikba. Ez attól függ, hogy szervezete hogyan van beállítva ezeknek az erőforrásoknak a kezelésére.
Veszélyforrások elleni védelem Felhőhöz készült Microsoft Defender
Felhőhöz készült Microsoft Defender egy kiterjesztett észlelési és válaszmegoldás (XDR), amely automatikusan gyűjti, korrelálja és elemzi a különböző környezetekből származó jel-, fenyegetés- és riasztási adatokat. A Felhőhöz készült Defender a Microsoft Defender XDR-sel együtt használható a környezet korrelált védelmének szélesebb körű biztosításához, ahogyan az az alábbi ábrán is látható.
A diagramon:
- Felhőhöz készült Defender több Azure-előfizetést tartalmazó felügyeleti csoport esetén engedélyezve van.
- A Microsoft Defender XDR engedélyezve van a Microsoft 365-alkalmazások és -adatok, a Microsoft Entra ID-val integrált SaaS-alkalmazások és helyi Active Directory Tartományi szolgáltatások (AD DS) kiszolgálók esetében.
További információ a felügyeleti csoportok konfigurálásáról és a Felhőhöz készült Defender engedélyezéséről:
- Előfizetések rendezése felügyeleti csoportokba és szerepkörök hozzárendelése a felhasználókhoz
- Felhőhöz készült Defender engedélyezése egy felügyeleti csoport összes előfizetésén
Biztonsági megoldások ebben a cikksorozatban
Teljes felügyelet magában foglalja a biztonság és az információvédelem több szemléletének együttes alkalmazását. Ebben a cikksorozatban ezt a több szemléletű megközelítést alkalmazzuk az infrastruktúra-összetevők egyes munkaegységeire az alábbiak szerint:
Teljes felügyelet alapelvek alkalmazása az Azure Storage-ra
- Az adatok védelme mindhárom módban: inaktív adatok, átvitt adatok és használatban lévő adatok
- A felhasználók ellenőrzése és a tárolási adatokhoz való hozzáférés szabályozása a legkisebb jogosultságokkal
- Kritikus adatok logikai elkülönítése vagy elkülönítése hálózati vezérlőkkel
- A Defender for Storage használata az automatikus fenyegetésészleléshez és -védelemhez
Teljes felügyelet alapelvek alkalmazása az Azure-beli virtuális gépekre
- Logikai elkülönítés konfigurálása virtuális gépekhez
- Szerepköralapú hozzáférés-vezérlés (RBAC) használata
- Virtuális gép rendszerindítási összetevőinek védelme
- Ügyfél által felügyelt kulcsok és dupla titkosítás engedélyezése
- A virtuális gépekre telepített alkalmazások szabályozása
- Biztonságos hozzáférés konfigurálása
- Virtuális gépek biztonságos karbantartásának beállítása
- Speciális fenyegetésészlelés és -védelem engedélyezése
Teljes felügyelet alapelvek alkalmazása küllős virtuális hálózatokra az Azure-ban
- A Microsoft Entra RBAC kihasználása vagy egyéni szerepkörök beállítása hálózati erőforrásokhoz
- Infrastruktúra elkülönítése saját erőforráscsoportba
- Hálózati biztonsági csoport létrehozása minden alhálózathoz
- Alkalmazásbiztonsági csoport létrehozása minden virtuálisgép-szerepkörhöz
- A virtuális hálózaton belüli forgalom és erőforrások védelme
- Biztonságos hozzáférés a virtuális hálózathoz és az alkalmazáshoz
- Speciális fenyegetésészlelés és -védelem engedélyezése
Teljes felügyelet alapelvek alkalmazása az Azure-beli központi virtuális hálózatokra
- Az Azure Firewall Premium biztonságossá tétele
- Az Azure DDoS Protection Standard üzembe helyezése
- Hálózati átjáró tűzfalhoz való útválasztásának konfigurálása
- Veszélyforrások elleni védelem konfigurálása
Ajánlott betanítás Teljes felügyelet
Az alábbiakban a Teljes felügyelet ajánlott betanítási moduljai találhatók.
Azure-felügyelet és -irányítás
Oktatás | Az Azure felügyeletének és szabályozásának ismertetése |
---|---|
A Microsoft Azure alapjai képzés három képzési tervből áll: a Microsoft Azure alapjai: A felhőfogalmak ismertetése, az Azure architektúrájának és szolgáltatásainak ismertetése, valamint az Azure felügyeletének és szabályozásának ismertetése. A Microsoft Azure alapjai: Az Azure felügyeletének és szabályozásának ismertetése a Harmadik képzési terv a Microsoft Azure alapjaiban. Ez a képzési terv a felhőbeli és a helyszíni erőforrások kezeléséhez rendelkezésre álló felügyeleti és szabályozási erőforrásokat ismerteti. Ez a képzési terv segít felkészülni az AZ-900: Microsoft Azure alapjai vizsgára. |
Az Azure Policy konfigurálása
Oktatás | Az Azure Policy konfigurálása |
---|---|
Megtudhatja, hogyan konfigurálhatja az Azure Policyt a megfelelőségi követelmények megvalósításához. Ebben a modulban megtanulhatja, hogyan: |
Biztonsági művelet kezelése
Oktatás | Biztonsági művelet kezelése |
---|---|
Miután üzembe helyezte és biztosította az Azure-környezetet, megtanulhatja monitorozni, működtetni és folyamatosan javítani a megoldások biztonságát. Ez a képzési terv segít felkészülni az AZ-500: Microsoft Azure Security Technologies vizsgára. |
A tárterület biztonságának konfigurálása
Oktatás | A Storage biztonságának konfigurálása |
---|---|
Megtudhatja, hogyan konfigurálhatja az Azure Storage gyakori biztonsági funkcióit, például a tárelérési aláírásokat. Ebben a modulban megtanulhatja, hogyan: |
Az Azure Firewall konfigurálása
Oktatás | Az Azure Firewall konfigurálása |
---|---|
Megtudhatja, hogyan konfigurálhatja az Azure Firewallt, beleértve a tűzfalszabályokat is. A modul befejezését követően az alábbiakra lesz képes: |
Az Azure-beli biztonságra vonatkozó további képzéseket a Microsoft katalógusában talál:
Biztonság az Azure-ban | Microsoft Learn
Következő lépések
A Teljes felügyelet alapelveinek az Azure-ra való alkalmazásával kapcsolatos további cikkek:
- Azure IaaS esetén:
- Azure Virtual Desktop
- Azure Virtual WAN
- IaaS-alkalmazások az Amazon Web Servicesben
- Microsoft Sentinel és Microsoft Defender XDR
Technikai illusztrációk
Ez a plakát egyoldalas, áttekintő áttekintést nyújt az Azure IaaS összetevőiről mint referencia- és logikai architektúrákról, valamint azokat a lépéseket, amelyek biztosítják, hogy ezek az összetevők rendelkezzenek az alkalmazott Teljes felügyelet modell "soha nem megbízható, mindig ellenőrizze" alapelveivel.
Elem | Kapcsolódó megoldási útmutatók |
---|---|
PDF | Visio Frissítve: 2024. március |
Ez a plakát az Azure IaaS-hez készült Teljes felügyelet különálló összetevőinek referencia- és logikai architektúráit, valamint részletes konfigurációit tartalmazza. A plakát oldalait külön informatikai részlegekhez vagy szakterületekhez használhatja, vagy a fájl Microsoft Visio-verziójával testre szabhatja az infrastruktúra diagramjait.
Elem | Kapcsolódó megoldási útmutatók |
---|---|
PDF | Visio Frissítve: 2024. március |
További technikai illusztrációkért kattintson ide.
Hivatkozások
A cikkben említett szolgáltatások és technológiák megismeréséhez tekintse meg az alábbi hivatkozásokat.
- Az Azure bemutatása – Microsoft Cloud Services
- Azure-infrastruktúra szolgáltatásként (IaaS)
- Linux és Windows rendszerű virtuális gépek
- A Microsoft Azure Storage bemutatása
- Azure Virtual Network
- Bevezetés az Azure biztonsági megoldásaiba
- Teljes felügyelet megvalósítási útmutató
- A Microsoft felhőbiztonsági referenciamutatójának áttekintése
- Az Azure biztonsági alapkonfigurációinak áttekintése
- Az első védelmi réteg kiépítése az Azure biztonsági szolgáltatásaival
- A Microsoft kiberbiztonsági referenciaarchitektúrái
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: