Overzicht: Zero Trust-principes toepassen op Azure IaaS

Samenvatting: Als u Zero Trust-principes wilt toepassen op Azure IaaS-onderdelen en -infrastructuur, moet u eerst de algemene referentiearchitectuur en de onderdelen van Azure-opslag, virtuele machines en virtuele spoke- en hubnetwerken begrijpen.

Deze reeks artikelen helpt u bij het toepassen van de principes van Zero Trust op uw workloads in Microsoft Azure IaaS op basis van een multidisciplinaire benadering voor het toepassen van de Zero Trust-principes. Zero Trust is een beveiligingsstrategie. Het is geen product of een service, maar een benadering bij het ontwerpen en implementeren van de volgende set beveiligingsprincipes:

• Expliciet verifiëren
• Toegang met minimale bevoegdheden gebruiken
• Stel dat er sprake is van een schending

Het implementeren van de Zero Trust-mindset om 'uit te gaan van inbreuk, nooit vertrouwen, altijd verifiëren' vereist wijzigingen in de cloudinfrastructuur, implementatiestrategie en implementatie.

Deze eerste reeks van vijf artikelen (inclusief deze inleiding) laat zien hoe u Zero Trust-benadering toepast op een gemeenschappelijk IT-bedrijfsscenario op basis van infrastructuurservices. Het werk wordt onderverdeeld in eenheden die als volgt kunnen worden geconfigureerd:

• Azure Storage
• Virtuele machines
• Virtuele spoke-netwerken (VNets) voor workloads op basis van virtuele machines
• Hub-VNets ter ondersteuning van toegang tot veel workloads in Azure

Zie Zero Trust-principes toepassen op Azure Virtual Desktop voor meer informatie.

Notitie

Aanvullende artikelen worden in de toekomst toegevoegd aan deze reeks, waaronder hoe organisaties een Zero Trust-benadering kunnen toepassen op toepassingen, netwerken, gegevens en DevOps-services op basis van echte IT-bedrijfsomgevingen.

Belangrijk

In deze Zero Trust-richtlijnen wordt beschreven hoe u verschillende beveiligingsoplossingen en -functies gebruikt en configureert die beschikbaar zijn in Azure voor een referentiearchitectuur. Verschillende andere resources bieden ook beveiligingsrichtlijnen voor deze oplossingen en functies, waaronder:

• Microsoft Cloud Security Benchmark
• Microsoft Cloud Security-basislijn

Om te beschrijven hoe u een Zero Trust-benadering toepast, is deze richtlijnen gericht op een gemeenschappelijk patroon dat wordt gebruikt in productie door veel organisaties: een toepassing op basis van virtuele machines die wordt gehost in een VNet (en IaaS-toepassing). Dit is een algemeen patroon voor organisaties die on-premises toepassingen migreren naar Azure, ook wel 'lift-and-shift' genoemd. De referentiearchitectuur bevat alle onderdelen die nodig zijn om deze toepassing te ondersteunen, inclusief opslagservices en een hub-VNet.

De referentiearchitectuur weerspiegelt een gemeenschappelijk implementatiepatroon in productieomgevingen. Het is niet gebaseerd op de landingszones op ondernemingsniveau die worden aanbevolen in het Cloud Adoption Framework (CAF), hoewel veel van de aanbevolen procedures in CAF zijn opgenomen in de referentiearchitectuur, zoals het gebruik van een toegewezen VNet om onderdelen te hosten die brokertoegang tot de toepassing (hub-VNet) bieden.

Als u meer wilt weten over de richtlijnen die worden aanbevolen in de Azure-landingszones van het Cloud Adoption Framework, raadpleegt u de volgende resources:

• Aan de slag met het Cloud Adoption Framework
• Wat is een Azure-landingszone?

Referentiearchitectuur

In de volgende afbeelding ziet u de referentiearchitectuur voor deze Zero Trust-richtlijnen.

Deze architectuur bevat:

• Meerdere IaaS-onderdelen en -elementen, waaronder verschillende typen gebruikers en IT-consumenten die toegang hebben tot de app vanaf verschillende sites. zoals Azure, internet, on-premises en filialen.
• Een algemene toepassing met drie lagen die een front-endlaag, toepassingslaag en gegevenslaag bevat. Alle lagen worden uitgevoerd op virtuele machines binnen een VNet met de naam SPOKE. Toegang tot de app wordt beveiligd door een ander VNet met de naam HUB dat aanvullende beveiligingsservices bevat.
• Enkele van de meest gebruikte PaaS-services in Azure die IaaS-toepassingen ondersteunen, waaronder op rollen gebaseerd toegangsbeheer (RBAC) en Microsoft Entra ID, die bijdragen aan de Zero Trust-beveiligingsbenadering.
• Opslagblobs en opslagbestanden die objectopslag bieden voor de toepassingen en bestanden die worden gedeeld door gebruikers.

In deze reeks artikelen worden de aanbevelingen beschreven voor het implementeren van Zero Trust voor de referentiearchitectuur door elk van deze grotere onderdelen in Azure aan te pakken, zoals hier wordt weergegeven.

In het diagram worden de grotere gebieden van de architectuur beschreven die in elk artikel in deze reeks worden behandeld:

1. Azure Storage Services
2. Virtuele machines
3. Spoke-VNets
4. Hub-VNets

Het is belangrijk om te weten dat de richtlijnen in deze reeks artikelen specifieker zijn voor dit type architectuur dan de richtlijnen die worden geboden in de architectuur van het Cloud Adoption Framework en de Azure-landingszone. Als u de richtlijnen in een van deze resources hebt toegepast, moet u deze reeks artikelen ook bekijken voor aanvullende aanbevelingen.

Informatie over Azure-onderdelen

Het diagram met referentiearchitectuur biedt een topologische weergave van de omgeving. Het is ook waardevol om logisch te zien hoe elk van de onderdelen kan worden georganiseerd in de Azure-omgeving. Het volgende diagram biedt een manier om uw abonnementen en resourcegroepen te organiseren. Uw Azure-abonnementen zijn mogelijk anders ingedeeld.

In dit diagram bevindt de Azure-infrastructuur zich in een Entra ID-tenant. In de volgende tabel worden de verschillende secties in het diagram beschreven.

• Azure-abonnementen

  U kunt de resources in meer dan één abonnement distribueren, waarbij elk abonnement verschillende rollen kan hebben, zoals netwerkabonnement of beveiligingsabonnement. Dit wordt beschreven in de documentatie van Cloud Adoption Framework en Azure Landing Zone waarnaar eerder werd verwezen. De verschillende abonnementen kunnen ook verschillende omgevingen bevatten, zoals productie-, ontwikkelings- en testomgevingen. Het hangt af van hoe u uw omgeving wilt scheiden en het aantal resources dat u in elke omgeving hebt. Een of meer abonnementen kunnen samen worden beheerd met behulp van een beheergroep. Hiermee kunt u machtigingen toepassen met op rollen gebaseerd toegangsbeheer (RBAC) en Azure-beleid voor een groep abonnementen in plaats van elk abonnement afzonderlijk in te stellen.

• Microsoft Defender voor Cloud en Azure Monitor

  Voor elk Azure-abonnement is een set Azure Monitor-oplossingen en Defender voor Cloud beschikbaar. Als u deze abonnementen beheert via een beheergroep, kunt u samenvoegen in één portal voor alle functionaliteit van Azure Monitor en Defender voor Cloud. Secure Score, geleverd door Defender voor Cloud, worden bijvoorbeeld geconsolideerd voor al uw abonnementen, met behulp van een beheergroep als bereik.

• Opslagresourcegroep (1)

  Het opslagaccount bevindt zich in een toegewezen resourcegroep. U kunt elk opslagaccount in een andere resourcegroep isoleren voor gedetailleerder machtigingsbeheer. Azure Storage-services bevinden zich in een toegewezen opslagaccount. U kunt één opslagaccount hebben voor elk type opslagworkload, bijvoorbeeld een objectopslag (ook wel Blob Storage genoemd) en Azure Files. Dit biedt gedetailleerder toegangsbeheer en kan de prestaties verbeteren.

• Resourcegroep voor virtuele machines (2)

  Virtuele machines bevinden zich in één resourcegroep. U kunt ook elk type virtuele machine voor workloadlagen, zoals front-end, toepassing en gegevens in verschillende resourcegroepen, hebben om toegangsbeheer verder te isoleren.

• Spoke (3) en hub (4) VNet-resourcegroepen in afzonderlijke abonnementen

  Het netwerk en andere resources voor elk van de VNets in de referentiearchitectuur worden geïsoleerd binnen toegewezen resourcegroepen voor spoke- en hub-VNets. Deze organisatie werkt goed wanneer de verantwoordelijkheid voor deze teams actief is. Een andere optie is om deze onderdelen te ordenen door alle netwerkresources in de ene resourcegroep en beveiligingsresources in een andere te plaatsen. Dit hangt af van hoe uw organisatie is ingesteld om deze resources te beheren.

Threat Protection met Microsoft Defender voor Cloud

Microsoft Defender voor Cloud is een XDR-oplossing (Extended Detection and Response) die automatisch signaal-, bedreigings- en waarschuwingsgegevens verzamelt, correleert en analyseert vanuit uw omgeving. Defender voor Cloud is bedoeld om samen met Microsoft Defender XDR te worden gebruikt om een grotere breedte van gecorreleerde bescherming van uw omgeving te bieden, zoals wordt weergegeven in het volgende diagram.

In het diagram:

• Defender voor Cloud is ingeschakeld voor een beheergroep met meerdere Azure-abonnementen.
• Microsoft Defender XDR is ingeschakeld voor Microsoft 365-apps en -gegevens, SaaS-apps die zijn geïntegreerd met Microsoft Entra ID en on-premises Active Directory-domein Services -servers (AD DS).

Zie voor meer informatie over het configureren van beheergroepen en het inschakelen van Defender voor Cloud:

• Abonnementen organiseren in beheergroepen en rollen toewijzen aan gebruikers
• Defender voor Cloud inschakelen voor alle abonnementen in een beheergroep

Beveiligingsoplossingen in deze reeks artikelen

Zero Trust omvat het toepassen van meerdere disciplines van beveiliging en gegevensbescherming. In deze reeks artikelen wordt deze benadering met meerdere discipline als volgt toegepast op elk van de werkeenheden voor infrastructuuronderdelen:

Zero Trust-principes toepassen op Azure Storage

1. Gegevens in alle drie de modi beveiligen: data-at-rest, gegevens in transit en gegevens die in gebruik zijn
2. Gebruikers verifiëren en de toegang tot opslaggegevens beheren met de minste bevoegdheden
3. Kritieke gegevens logisch scheiden of scheiden met netwerkbesturingselementen
4. Defender for Storage gebruiken voor geautomatiseerde detectie en beveiliging van bedreigingen

Zero Trust-principes toepassen op virtuele machines in Azure

1. Logische isolatie voor virtuele machines configureren
2. Op rollen gebaseerd toegangsbeheer (RBAC) gebruiken
3. Opstartonderdelen van virtuele machines beveiligen
4. Door de klant beheerde sleutels en dubbele versleuteling inschakelen
5. De toepassingen beheren die op virtuele machines zijn geïnstalleerd
6. Beveiligde toegang configureren
7. Veilig onderhoud van virtuele machines instellen
8. Geavanceerde detectie en beveiliging van bedreigingen inschakelen

Zero Trust-principes toepassen op een spoke-VNet in Azure

1. Microsoft Entra RBAC gebruiken of aangepaste rollen instellen voor netwerkresources
2. Infrastructuur isoleren in een eigen resourcegroep
3. Een netwerkbeveiligingsgroep maken voor elk subnet
4. Een toepassingsbeveiligingsgroep maken voor elke virtuele-machinerol
5. Verkeer en resources in het VNet beveiligen
6. Beveiligde toegang tot het VNet en de toepassing
7. Geavanceerde detectie en beveiliging van bedreigingen inschakelen

Zero Trust-principes toepassen op een hub-VNet in Azure

1. Azure Firewall Premium beveiligen
2. Azure DDoS Protection Standard implementeren
3. Netwerkgatewayroutering naar de firewall configureren
4. Bedreigingsbeveiliging configureren

Aanbevolen training voor Zero Trust

Hieronder volgen de aanbevolen trainingsmodules voor Zero Trust.

Azure-beheer en -governance

Training

Azure-beheer en -governance beschrijven

De Microsoft Azure Fundamentals-training bestaat uit drie leertrajecten: Microsoft Azure Fundamentals: Cloudconcepten beschrijven, Azure-architectuur en -services beschrijven en Azure-beheer en -governance beschrijven. Basisinformatie over Microsoft Azure: Azure-beheer en -governance beschrijven is het derde leertraject in Microsoft Azure Fundamentals. In dit leertraject worden de beheer- en governanceresources verkend die beschikbaar zijn om u te helpen bij het beheren van uw cloud- en on-premises resources. Met dit leertraject kunt u zich voorbereiden op examen AZ-900: Basisinformatie over Microsoft Azure.

Start >

Azure Policy configureren

Training	Azure Policy configureren
	Meer informatie over het configureren van Azure Policy om nalevingsvereisten te implementeren. In deze module leert u het volgende: Maak beheergroepen om beleid en uitgavenbudgetten te richten. Implementeer Azure Policy met beleids- en initiatiefdefinities. Bereik azure-beleid en bepaal naleving.

Start >

Beveiligingsbewerking beheren

Training	Beveiligingsbewerking beheren
	Zodra u uw Azure-omgeving hebt geïmplementeerd en beveiligd, leert u hoe u de beveiliging van uw oplossingen bewaakt, gebruikt en continu verbetert. Met dit leertraject kunt u zich voorbereiden op examen AZ-500: Microsoft Azure Security Technologies.

Start >

Opslagbeveiliging configureren

Training

Opslagbeveiliging configureren

Meer informatie over het configureren van algemene Azure Storage-beveiligingsfuncties, zoals handtekeningen voor opslagtoegang. In deze module leert u het volgende: Configureer een Shared Access Signature (SAS), inclusief de URI(Uniform Resource Identifier) en SAS-parameters. Configureer Azure Storage-versleuteling. Door de klant beheerde sleutels implementeren. Bevelen mogelijkheden aan om azure Storage-beveiliging te verbeteren.

Start >

Azure Firewall configureren

Training	Azure Firewall configureren
	U leert hoe u de Azure Firewall configureert, inclusief firewallregels. Na het voltooien van deze module kunt u: Bepaal wanneer u Azure Firewall moet gebruiken. Implementeer Azure Firewall, inclusief firewallregels.

Start >

Zie deze resources in de Microsoft-catalogus voor meer training over beveiliging in Azure:
Beveiliging in Azure | Microsoft Learn

Volgende stappen

Zie deze aanvullende artikelen voor het toepassen van Zero Trust-principes op Azure:

• Voor Azure IaaS:
  • Azure Storage
  • Virtuele machines
  • Virtuele spoke-netwerken
  • Virtuele hubnetwerken
  • Virtuele spoke-netwerken met Azure PaaS-services
• Azure Virtual Desktop
• Azure Virtual WAN
• IaaS-toepassingen in Amazon Web Services
• Microsoft Sentinel en Microsoft Defender XDR

Technische illustraties

Deze poster biedt in één oogopslag een overzicht van de onderdelen van Azure IaaS als referentie- en logische architecturen, samen met de stappen om ervoor te zorgen dat voor deze onderdelen de principes 'nooit vertrouwen, altijd verifiëren' van het Zero Trust-model worden toegepast.

Artikel	Verwante oplossingsgidsen
PDF | Visio Bijgewerkt in maart 2024	Azure Storage-services Virtuele machines Spoke-VNets Hub-VNets

Deze poster bevat de referentie- en logische architecturen en de gedetailleerde configuraties van de afzonderlijke onderdelen van Zero Trust voor Azure IaaS. Gebruik de pagina's van deze poster voor afzonderlijke IT-afdelingen of specialiteiten of pas met de Microsoft Visio-versie van het bestand de diagrammen voor uw infrastructuur aan.

Artikel	Verwante oplossingsgidsen
PDF | Visio Bijgewerkt in maart 2024	Azure Storage-services Virtuele machines Spoke-VNets Hub-VNets

Klik hier voor aanvullende technische illustraties.

Verwijzingen

Raadpleeg de volgende koppelingen voor meer informatie over de verschillende services en technologieën die in dit artikel worden genoemd.

• Wat is Azure - Microsoft Cloud Services?
• Azure Infrastructure as a Service (IaaS)
• Virtuele machines (VM's) voor Linux en Windows
• Kennismaking met Azure Storage
• Azure Virtual Network
• Inleiding tot Azure-beveiliging
• Richtlijnen voor zero Trust-implementatie
• Overzicht van de Microsoft-cloudbeveiligingsbenchmark
• Overzicht van beveiligingsbasislijnen voor Azure
• De eerste beveiligingslaag bouwen met Azure-beveiligingsservices
• Naslagarchitecturen voor Microsoft Cybersecurity