Bezpieczeństwo informacji zawsze było złożonym tematem i szybko ewoluuje dzięki kreatywnym pomysłom i implementacjom osób atakujących i badaczom ds. zabezpieczeń.
Bezpieczeństwo to jeden z najważniejszych aspektów każdej architektury. Dobre zabezpieczenia zapewniają poufność, integralność i dostępność przed celowymi atakami i nadużyciami cennych danych i systemów. Utrata tych gwarancji może zaszkodzić twoim operacjom biznesowym i przychodom oraz reputacji organizacji.
Uwaga
Dowiedz się, jak zabezpieczenia w chmurze to ciągła podróż po przyrostowym postępie i dojrzałości, w temacie Zabezpieczenia w usłudze Microsoft Cloud Adoption Framework for Azure. Dowiedz się, jak tworzyć zabezpieczenia w rozwiązaniu, w przewodniku Azure Well-Architected Framework Overview of the security pillar (Omówienie platformy Azure Well-Architected Framework).
Poniżej przedstawiono kilka szerokich kategorii, które należy wziąć pod uwagę podczas projektowania systemu zabezpieczeń:
Platforma Azure oferuje szeroką gamę narzędzi i możliwości zabezpieczeń. Są to tylko niektóre z kluczowych usług zabezpieczeń dostępnych na platformie Azure:
- Microsoft Defender dla chmury. Ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia stan zabezpieczeń centrów danych. Zapewnia również zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze i lokalnie.
- Azure Active Directory (Azure AD). chmurowa usługa zarządzania tożsamościami i dostępem firmy Microsoft.
- Azure Front Door. Globalny, skalowalny punkt wejścia, który używa globalnej sieci brzegowej firmy Microsoft do tworzenia szybkich, wysoce bezpiecznych i szeroko skalowalnych aplikacji internetowych.
- Azure Firewall. Natywna dla chmury, inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze uruchamianych na platformie Azure.
- Azure Key Vault. Magazyn wpisów tajnych o wysokim poziomie zabezpieczeń dla tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych. Można również użyć Key Vault do tworzenia i kontrolowania kluczy szyfrowania używanych do szyfrowania danych.
- Azure Private Link. Usługa, która umożliwia dostęp do usług PaaS platformy Azure, usług hostowanych przez platformę Azure lub usług partnerskich za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.
- Azure Application Gateway. Zaawansowany moduł równoważenia obciążenia ruchu internetowego, który umożliwia zarządzanie ruchem do aplikacji internetowych.
- Azure Policy. Usługa, która pomaga wymusić standardy organizacyjne i ocenić zgodność.
Aby uzyskać bardziej kompleksowy opis narzędzi i możliwości zabezpieczeń platformy Azure, zobacz Kompleksowe zabezpieczenia na platformie Azure.
Wprowadzenie do zabezpieczeń na platformie Azure
Jeśli dopiero zaczynasz korzystać z zabezpieczeń na platformie Azure, najlepszym sposobem, aby dowiedzieć się więcej, jest szkolenie w usłudze Microsoft Learn. Ta bezpłatna platforma online zapewnia interaktywne szkolenia dla produktów firmy Microsoft i nie tylko.
Poniżej przedstawiono dwie ścieżki szkoleniowe, które ułatwiają rozpoczęcie pracy:
Ścieżka do środowiska produkcyjnego
- Aby zabezpieczyć obciążenia aplikacji platformy Azure, należy użyć środków ochronnych, takich jak uwierzytelnianie i szyfrowanie w samych aplikacjach. Warstwy zabezpieczeń można również dodać do sieci maszyn wirtualnych hostujących aplikacje. Zobacz Zapora i Application Gateway dla sieci wirtualnych, aby zapoznać się z omówieniem.
- Zero Trust jest proaktywnym, zintegrowanym podejściem do zabezpieczeń we wszystkich warstwach majątku cyfrowego. Jawnie i stale weryfikuje każdą transakcję, zapewnia najmniejsze uprawnienia i opiera się na inteligencji, zaawansowanym wykrywaniu i reagowaniu w czasie rzeczywistym na zagrożenia.
- Aby uzyskać strategię implementacji aplikacji internetowych, zobacz Zero Trust sieć dla aplikacji internetowych z Azure Firewall i Application Gateway.
- Aby zapoznać się z architekturą, która pokazuje, jak włączyć Azure AD możliwości tożsamości i dostępu do ogólnej strategii zabezpieczeń Zero Trust, zobacz Azure Active Directory IDaaS w operacjach zabezpieczeń.
- Ład platformy Azure ustanawia narzędzia potrzebne do obsługi ładu w chmurze, inspekcji zgodności i zautomatyzowanych poręczy. Aby uzyskać informacje na temat zarządzania środowiskiem platformy Azure, zobacz Wskazówki dotyczące obszaru projektowania ładu na platformie Azure.
Najlepsze rozwiązania
Platforma Azure Well-Architected Framework to zestaw podstawowych zestawów opartych na pięciu filarach, których można użyć do poprawy jakości architektur. Aby uzyskać informacje, zobacz Omówienie filaru zabezpieczeń i zasad projektowania zabezpieczeń na platformie Azure.
Platforma Well-Architected zawiera również następujące listy kontrolne:
- Zagadnienia dotyczące zarządzania tożsamościami i dostępem na platformie Azure
- Bezpieczeństwo sieci
- Zagadnienia dotyczące ochrony danych
- Zarządzanie, ryzyko i zgodność
Aby uzyskać informacje na temat zabezpieczeń poufnych obciążeń IaaS, zobacz Zagadnienia dotyczące zabezpieczeń dla wysoce poufnych aplikacji IaaS na platformie Azure.
Architektury zabezpieczeń
Zarządzanie tożsamościami i dostępem
- Bezpieczne tokeny odświeżania uwierzytelniania OAuth 2.0 On-Behalf-Of dla usług internetowych
- Odporne zarządzanie tożsamościami i dostępem przy użyciu Azure AD
- Zarządzanie tożsamościami w usłudze Azure Active Directory i zarządzanie dostępem dla platformy AWS
Ochrona przed zagrożeniami
- Wskaźniki zagrożeń dla analizy zagrożeń cybernetycznych w usłudze Microsoft Sentinel
- Ochrona wielowarstwowa na potrzeby dostępu do maszyny wirtualnej platformy Azure
- Wykrywanie oszustw w czasie rzeczywistym
Ochrona informacji
- Poufne przetwarzanie na platformie opieki zdrowotnej
- Szyfrowanie homomorficzne przy użyciu biblioteki SEAL
- SQL Managed Instance za pomocą kluczy zarządzanych przez klienta
- Mikrousługi zintegrowane z siecią wirtualną bezserwerową
Odnajdywanie i reagowanie
Bądź na bieżąco z zabezpieczeniami
Uzyskaj najnowsze aktualizacje usług i funkcji zabezpieczeń platformy Azure.
Dodatkowe zasoby
Przykładowe rozwiązania
- Monitorowanie zabezpieczeń hybrydowych przy użyciu Microsoft Defender dla chmury i usługi Microsoft Sentinel
- Ulepszony dostęp zabezpieczeń do wielodostępnych aplikacji internetowych z sieci lokalnej
- Ograniczanie komunikacji międzyusługowej
- Bezpiecznie zarządzane aplikacje internetowe
- Zabezpieczanie bota kanału usługi Microsoft Teams i aplikacji internetowej za zaporą
- Prywatna łączność aplikacji internetowej z bazą danych Azure SQL
Przeglądaj wszystkie nasze architektury zabezpieczeń.
Specjaliści ds. usług AWS lub Google Cloud
- Zabezpieczenia i tożsamość za pomocą platformy Azure i platformy AWS
- Porównanie usług AWS z usługami platformy Azure — zabezpieczenia
- Porównanie usług Google Cloud to Azure — Zabezpieczenia
Następne kroki
Architektura zabezpieczeń jest częścią kompleksowego zestawu wskazówek dotyczących zabezpieczeń, które obejmują również:
- Zabezpieczenia w usłudze Microsoft Cloud Adoption Framework dla platformy Azure: ogólny przegląd stanu końcowego zabezpieczeń w chmurze.
- Azure Well-Architected Framework: wskazówki dotyczące zabezpieczania obciążeń na platformie Azure.
- Testy porównawcze zabezpieczeń platformy Azure: normatywne najlepsze rozwiązania i mechanizmy kontroli dotyczące zabezpieczeń platformy Azure.
- Kompleksowe zabezpieczenia na platformie Azure: dokumentacja przedstawiająca usługi zabezpieczeń na platformie Azure.
- 10 najlepszych rozwiązań w zakresie zabezpieczeń dla platformy Azure: najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure, które firma Microsoft zaleca w oparciu o wnioski zdobyte przez klientów i własne środowiska.
- Architektury cyberbezpieczeństwa firmy Microsoft: diagramy opisują sposób integracji możliwości zabezpieczeń firmy Microsoft z platformami firmy Microsoft i platformami innych firm.