Omówienie przykładu strategii Azure Security Benchmark Foundation
Ważne
11 lipca 2026 r. strategia (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do szablonów specyfikacji i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:
Przykład strategii Azure Security Benchmark Foundation zawiera zestaw wzorców infrastruktury bazowej, które ułatwiają tworzenie bezpiecznego i zgodnego środowiska platformy Azure. Strategia pomaga wdrożyć architekturę opartą na chmurze, która oferuje rozwiązania dla scenariuszy, które mają wymagania dotyczące akredytacji lub zgodności. Wdraża i konfiguruje granice sieci, monitorowanie i inne zasoby zgodnie z zasadami i innymi zabezpieczeniami zdefiniowanymi w te testy porównawcze zabezpieczeń platformy Azure.
Architektura
Podstawowe środowisko utworzone przez ten przykład strategii opiera się na jednostkach architektury modelu piasty i szprych. Strategia wdraża sieć wirtualną koncentratora, która zawiera wspólne i współużytkowane zasoby, usługi i artefakty, takie jak usługa Azure Bastion, brama i zapora na potrzeby łączności, zarządzania i podsieci przesiadkowych do hostowania dodatkowego/opcjonalnego zarządzania, konserwacji, administrowania i infrastruktury łączności. Co najmniej jedna sieć wirtualna szprych jest wdrażana w celu hostowania obciążeń aplikacji, takich jak usługi sieci Web i bazy danych. Sieci wirtualne szprych są połączone z siecią wirtualną piasty przy użyciu komunikacji równorzędnej sieci wirtualnej platformy Azure w celu zapewnienia bezproblemowej i bezpiecznej łączności. Dodatkowe szprychy można dodać przez ponowne przypisanie przykładowej strategii lub ręczne utworzenie sieci wirtualnej platformy Azure i komunikację równorzędną z siecią wirtualną koncentratora. Wszystkie zewnętrzne połączenia z sieciami wirtualnymi szprych i podsieciami są skonfigurowane do kierowania przez sieć wirtualną koncentratora oraz za pośrednictwem zapory, bramy i pól przesiadkowych zarządzania.
Ta strategia wdraża kilka usług platformy Azure w celu zapewnienia bezpiecznej, monitorowanej, gotowej do użycia w przedsiębiorstwie podstawy. To środowisko zawiera następujące składniki:
- Dzienniki usługi Azure Monitor i konto usługi Azure Storage w celu zapewnienia, że dzienniki zasobów, dzienniki aktywności, metryki i przepływy ruchu sieciowego są przechowywane w centralnej lokalizacji, aby ułatwić wykonywanie zapytań, analizę, archiwizowanie i alerty.
- Azure Security Center (wersja standardowa) w celu zapewnienia ochrony przed zagrożeniami dla zasobów platformy Azure.
- Usługa Azure Virtual Network w podsieciach pomocniczych dla łączności z siecią lokalną, stosem ruchu przychodzącego i wychodzącego do/w celu łączności z Internetem oraz opcjonalnymi podsieciami do wdrożenia dodatkowych usług administracyjnych lub usług zarządzania. Virtual Network w szprychy zawiera podsieci do hostowania obciążeń aplikacji. Dodatkowe podsieci można utworzyć po wdrożeniu zgodnie z potrzebami w celu obsługi odpowiednich scenariuszy.
- Azure Firewall kierować cały wychodzący ruch internetowy i włączyć przychodzący ruch internetowy za pośrednictwem przesiadki. (Domyślne reguły zapory blokują cały ruch przychodzący i wychodzący oraz reguły ruchu wychodzącego muszą być skonfigurowane po wdrożeniu, zgodnie z tym, co ma zastosowanie).
- Sieciowe grupy zabezpieczeń przypisane do wszystkich podsieci (z wyjątkiem podsieci należących do usługi, takich jak Usługa Azure Bastion, brama i Azure Firewall) skonfigurowane do blokowania całego ruchu przychodzącego i wychodzącego w Internecie.
- Grupy zabezpieczeń aplikacji umożliwiające grupowanie maszyn wirtualnych platformy Azure w celu zastosowania typowych zasad zabezpieczeń sieci.
- Kierowanie tabel do kierowania całego ruchu internetowego wychodzącego z podsieci przez zaporę. (Azure Firewall i reguły sieciowej grupy zabezpieczeń należy skonfigurować po wdrożeniu w celu otwarcia łączności).
- Usługa Azure Network Watcher do monitorowania, diagnozowania i wyświetlania metryk zasobów w sieci wirtualnej platformy Azure.
- Usługa Azure DDoS Protection w celu ochrony zasobów platformy Azure przed atakami DDoS.
- Usługa Azure Bastion zapewnia bezproblemową i bezpieczną łączność z maszyną wirtualną, która nie wymaga publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego.
- Usługa Azure VPN Gateway umożliwia szyfrowanie ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu.
Uwaga
Platforma Azure Security Benchmark Foundation określa podstawową architekturę obciążeń. Powyższy diagram architektury zawiera kilka zasobów notional, aby zademonstrować potencjalne użycie podsieci. Nadal musisz wdrożyć obciążenia w tej architekturze podstawowej.
Następne kroki
Zapoznaliśmy się z omówieniem i architekturą przykładu strategii Azure Security Benchmark Foundation.
Dodatkowe artykuły na temat strategii i sposobu ich używania:
- Uzyskaj informacje na temat cyklu życia strategii.
- Dowiedz się, jak używać parametrów statycznych i dynamicznych.
- Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
- Dowiedz się, jak używać blokowania zasobów strategii.
- Dowiedz się, jak zaktualizować istniejące przypisania.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla