Omówienie — stosowanie zasad zero trustu do usługi IaaS platformy Azure

Podsumowanie: Aby zastosować zasady Zero Trust do składników i infrastruktury usługi Azure IaaS, musisz najpierw zrozumieć wspólną architekturę referencyjną oraz składniki usługi Azure Storage, maszyn wirtualnych i sieci wirtualnych typu hub-spoke.

Ta seria artykułów ułatwia stosowanie zasad zerowego zaufania do obciążeń w usłudze Microsoft Azure IaaS w oparciu o wielodyscyplinarne podejście do stosowania zasad zero trust. Zero Trust to strategia zabezpieczeń. Nie jest to produkt ani usługa, ale podejście do projektowania i implementowania następującego zestawu zasad zabezpieczeń:

  • Zweryfikować jawnie
  • Używanie dostępu z jak najmniejszą liczbą uprawnień
  • Zakładanie naruszeń zabezpieczeń

Zaimplementowanie myślenia zero trust, czyli zasady "zakładaj naruszenie, nigdy nie ufaj, zawsze weryfikuj", wymaga zmian w infrastrukturze chmury, strategii wdrażania i realizacji.

W tej początkowej serii pięciu artykułów (w tym tego wprowadzenia) pokazano, jak zastosować podejście Zero Trust do typowego scenariusza biznesowego IT opartego na usługach infrastruktury. Praca jest podzielona na jednostki, które można skonfigurować razem w następujący sposób:

Aby uzyskać więcej informacji, zobacz Apply Zero Trust principles to Azure Virtual Desktop (Stosowanie zasad zero trustu do usługi Azure Virtual Desktop).

Uwaga

Dodatkowe artykuły zostaną dodane do tej serii w przyszłości, w tym sposób, w jaki organizacje mogą zastosować podejście Zero Trust do aplikacji, sieci, danych i usług DevOps opartych na rzeczywistych środowiskach biznesowych IT.

Ważne

W tym przewodniku Zero Trust opisano sposób używania i konfigurowania kilku rozwiązań zabezpieczeń i funkcji dostępnych na platformie Azure na potrzeby architektury referencyjnej. Kilka innych zasobów zawiera również wskazówki dotyczące zabezpieczeń dla tych rozwiązań i funkcji, w tym:

Aby opisać sposób stosowania podejścia zero trust, te wskazówki dotyczą wspólnego wzorca używanego w środowisku produkcyjnym przez wiele organizacji: aplikacji opartej na maszynie wirtualnej hostowanej w sieci wirtualnej (i aplikacji IaaS). Jest to typowy wzorzec dla organizacji migrujących aplikacje lokalne do platformy Azure, który jest czasami określany jako "lift-and-shift" (przeniesienie i modernizacja). Architektura referencyjna obejmuje wszystkie składniki niezbędne do obsługi tej aplikacji, w tym usługi przechowywania i sieć wirtualną hub.

Architektura referencyjna odzwierciedla typowy wzorzec wdrażania w środowiskach produkcyjnych. Nie jest ona oparta na strefach docelowych na skalę przedsiębiorstwa zalecanych w przewodniku Cloud Adoption Framework (CAF), chociaż wiele najlepszych rozwiązań w CAF jest uwzględnionych w architekturze referencyjnej, takich jak używanie dedykowanej sieci wirtualnej do hostowania składników, które brokerują dostęp do aplikacji (sieci wirtualnej centrum).

Jeśli interesuje Cię zapoznanie się ze wskazówkami zalecanymi w strefach docelowych platformy Azure w przewodniku Cloud Adoption Framework, zobacz następujące zasoby:

Architektura odwołań

Na poniższej ilustracji przedstawiono architekturę wzorcową dla tych wytycznych dotyczących Zero Trust.

Diagram architektury referencyjnej do stosowania modelu Zero Trust do usługi Azure IaaS, który zawiera różne typy użytkowników, typowe aplikacje uruchomione na maszynach wirtualnych, usługach PaaS i magazynie.

Ta architektura zawiera:

  • Wiele składników i elementów IaaS, w tym różnych typów użytkowników i użytkowników IT, którzy uzyskują dostęp do aplikacji z różnych witryn. takich jak Azure, Internet, lokalne serwery i oddziały.
  • Wspólna aplikacja trójwarstwowa zawierająca warstwę frontonu, warstwę aplikacji i warstwę danych. Wszystkie warstwy działają na maszynach wirtualnych w sieci wirtualnej o nazwie SPOKE. Dostęp do aplikacji jest chroniony przez inną sieć wirtualną o nazwie HUB, która zawiera dodatkowe usługi zabezpieczeń.
  • Niektóre z najczęściej używanych usług PaaS na platformie Azure, które obsługują aplikacje IaaS, w tym kontrolę dostępu opartą na rolach (RBAC) i identyfikator Entra firmy Microsoft, które przyczyniają się do podejścia zabezpieczeń Zero Trust.
  • Obiekty Blob i Pliki magazynowe, które zapewniają przechowywanie obiektów dla aplikacji i plików udostępnianych przez użytkowników.

W tej serii artykułów przedstawiono zalecenia dotyczące implementowania modelu Zero Trust dla architektury referencyjnej, zwracając się do każdego z tych większych elementów hostowanych na platformie Azure, jak pokazano tutaj.

Diagram architektury referencyjnej do wdrażania modelu Zero Trust w usłudze Azure IaaS, który pokazuje pogrupowane składniki dla magazynowania, maszyn wirtualnych oraz sieci wirtualnych typu szprycha i piasta.

Diagram przedstawia większe obszary architektury, które zostały omówione w poszczególnych artykułach z tej serii:

  1. Usługi Azure Storage
  2. Maszyny wirtualne
  3. Połączenie VNets w układzie szprychowym
  4. Huba VNets

Należy pamiętać, że wskazówki przedstawione w tej serii artykułów są bardziej szczegółowe dla tego typu architektury niż wskazówki zawarte w przewodniku Cloud Adoption Framework i architekturach strefy docelowej platformy Azure. Jeśli zastosowano wskazówki w jednym z tych zasobów, zapoznaj się również z tą serią artykułów, aby uzyskać dodatkowe zalecenia.

Omówienie składników platformy Azure

Diagram architektury referencyjnej zawiera topologiczny widok środowiska. Warto również zobaczyć logicznie, jak poszczególne składniki mogą być zorganizowane w środowisku platformy Azure. Poniższy diagram przedstawia sposób organizowania subskrypcji i grup zasobów. Subskrypcje platformy Azure mogą być zorganizowane inaczej.

Diagram architektury logicznej do zastosowania modelu Zero Trust w usłudze IaaS na platformie Azure przedstawiający subskrypcje, Microsoft Defender for Cloud, Azure Monitor oraz grupy zasobów w dzierżawie Microsoft Entra ID.

Na tym diagramie infrastruktura platformy Azure jest zawarta w dzierżawie usługi Microsoft Entra ID. W poniższej tabeli opisano różne sekcje przedstawione na diagramie.

  • Subskrypcje platformy Azure

    Zasoby można dystrybuować w więcej niż jednej subskrypcji, w której każda subskrypcja może przechowywać różne role, takie jak subskrypcja sieciowa lub subskrypcja zabezpieczeń. Opisano to wcześniej w dokumentacji przewodnika Cloud Adoption Framework i strefy docelowej platformy Azure. Różne subskrypcje mogą również przechowywać różne środowiska, takie jak środowiska produkcyjne, programistyczne i testowe. Zależy to od tego, jak chcesz oddzielić środowisko i liczbę zasobów, które będziesz mieć w każdym środowisku. Co najmniej jedna subskrypcja może być zarządzana razem przy użyciu grupy zarządzania. Dzięki temu można stosować uprawnienia z kontrolą dostępu opartą na rolach (RBAC) i zasadami platformy Azure do grupy subskrypcji, zamiast konfigurować poszczególne subskrypcje osobno.

  • Microsoft Defender w Chmurze i Azure Monitor

    Dla każdej subskrypcji platformy Azure jest dostępny zestaw rozwiązań usługi Azure Monitor i Defender dla Chmury. Jeśli zarządzasz tymi subskrypcjami za pośrednictwem grupy zarządzania, możesz skonsolidować wszystkie funkcje usług Azure Monitor i Defender for Cloud w jednym portalu. Na przykład wskaźnik bezpieczeństwa udostępniany przez Defender dla Chmury jest konsolidowany dla wszystkich subskrypcji przy użyciu grupy zarządzania jako zakresu.

  • Grupa zasobów magazynu (1)

    Konto pamięci masowej znajduje się w dedykowanej grupie zasobów. Możesz odizolować każde konto magazynu w innej grupie zasobów, aby uzyskać bardziej szczegółową kontrolę uprawnień. Usługi Azure Storage znajdują się na dedykowanym koncie magazynowym. Możesz mieć jedno konto magazynu dla każdego typu obciążenia magazynu, na przykład magazyn obiektów (nazywany również magazynem obiektów blob) i usługą Azure Files. Zapewnia to bardziej szczegółową kontrolę dostępu i może zwiększyć wydajność.

  • Grupa zasobów maszyn wirtualnych (2)

    Maszyny wirtualne znajdują się w jednej grupie zasobów. Można również mieć każdy typ maszyny wirtualnej dla warstw obciążeń, takich jak front end, aplikacja i dane, w różnych grupach zasobów, aby dodatkowo izolować kontrolę dostępu.

  • Grupy zasobów szprychowej sieci (3) i centralnej sieci VNet (4) w oddzielnych subskrypcjach

    Sieć i inne zasoby dla każdej z sieci wirtualnych w architekturze referencyjnej są izolowane w ramach dedykowanych grup zasobów dla sieci wirtualnych oddziałów i centrum. Ta organizacja funkcjonuje dobrze, gdy odpowiedzialność za nie jest przypisana różnym zespołom. Inną opcją jest zorganizowanie tych składników przez umieszczenie wszystkich zasobów sieciowych w jednej grupie zasobów i zasobach zabezpieczeń w innej. Zależy to od tego, jak organizacja jest skonfigurowana do zarządzania tymi zasobami.

Ochrona przed zagrożeniami za pomocą Microsoft Defender dla Chmury

Microsoft Defender dla Chmury to rozszerzone rozwiązanie do wykrywania i reagowania (XDR), które automatycznie zbiera, koreluje i analizuje dane sygnałów, zagrożeń i alertów z całego środowiska. Defender dla Chmury ma być używana razem z usługą Microsoft Defender XDR, aby zapewnić większą szerokość skorelowanej ochrony środowiska, jak pokazano na poniższym diagramie.

Diagram architektury logicznej Microsoft Defender dla Chmury i usługi Microsoft Defender XDR, która zapewnia ochronę przed zagrożeniami dla składników IaaS platformy Azure.

Na schemacie:

  • Defender dla Chmury jest włączona dla grupy zarządzania obejmującej wiele subskrypcji platformy Azure.
  • Usługa Microsoft Defender XDR jest włączona dla aplikacji i danych platformy Microsoft 365, aplikacji SaaS zintegrowanych z Microsoft Entra ID oraz serwerów usługi Active Directory Domain Services (AD DS) działających lokalnie.

Aby uzyskać więcej informacji na temat konfigurowania grup zarządzania i włączania Defender dla Chmury, zobacz:

Rozwiązania zabezpieczeń w tej serii artykułów

Zero Trust obejmuje stosowanie wielu dyscyplin zabezpieczeń i ochrony informacji razem. W tej serii artykułów to podejście wielodyscyplinowe jest stosowane do każdej jednostki pracy dla składników infrastruktury w następujący sposób:

Stosowanie zasad zero trust do usługi Azure Storage

  1. Ochrona danych we wszystkich trzech trybach: dane magazynowane, dane przesyłane i używane dane
  2. Weryfikowanie użytkowników i kontrolowanie dostępu do danych przechowywanych zgodnie z zasadą najmniejszych uprawnień
  3. Logiczne oddzielenie lub segregowanie krytycznych danych za pomocą kontrolek sieci
  4. Używanie usługi Defender for Storage do automatycznego wykrywania zagrożeń i ochrony

Stosowanie zasad zero trust do maszyn wirtualnych na platformie Azure

  1. Konfigurowanie izolacji logicznej dla maszyn wirtualnych
  2. Korzystanie z kontroli dostępu opartej na rolach (RBAC)
  3. Zabezpieczanie składników rozruchu maszyny wirtualnej
  4. Włączanie kluczy zarządzanych przez klienta i podwójne szyfrowanie
  5. Kontrolowanie aplikacji zainstalowanych na maszynach wirtualnych
  6. Konfigurowanie bezpiecznego dostępu
  7. Konfigurowanie bezpiecznej konserwacji maszyn wirtualnych
  8. Włączanie zaawansowanego wykrywania zagrożeń i ochrony

Stosuj zasady Zero Trust w spoke VNet w Azure

  1. Wykorzystanie Microsoft Entra RBAC lub skonfigurowanie ról niestandardowych dla zasobów sieciowych
  2. Izolowanie infrastruktury do własnej grupy zasobów
  3. Tworzenie sieciowej grupy zabezpieczeń dla każdej podsieci
  4. Tworzenie grupy zabezpieczeń aplikacji dla każdej roli maszyny wirtualnej
  5. Zabezpieczanie ruchu i zasobów w sieci wirtualnej
  6. Zabezpieczanie dostępu do sieci wirtualnej i aplikacji
  7. Włączanie zaawansowanego wykrywania zagrożeń i ochrony

Stosowanie zasad Zero Trust do wirtualnej sieci hub na platformie Azure

  1. Zabezpieczanie usługi Azure Firewall — wersja Premium
  2. Wdrażanie Standardowej ochrony DDoS Azure
  3. Konfigurowanie routingu bramy sieciowej do zapory
  4. Konfigurowanie ochrony przed zagrożeniami

Ilustracje techniczne

Te ilustracje są replikami ilustracji referencyjnych w tych artykułach. Pobierz i dostosuj je dla własnej organizacji i klientów. Zastąp logo firmy Contoso własnym.

Produkt opis
miniaturowy obraz 1 Pobieranie programu Visio
Zaktualizowano październik 2024 r.		 Stosowanie zasad zero trust do usługi IaaS platformy Azure
Użyj tych ilustracji z następującymi artykułami:
- Omówienie
- Przechowywanie Azure
- Maszyny wirtualne
- Sieci wirtualne typu 'spoke' platformy Azure
- Wirtualne sieci koncentratora Azure
miniaturowy obraz 2 Pobieranie programu Visio
Zaktualizowano październik 2024 r.		 Stosowanie zasad Zero Trust do usługi Azure IaaS — plakat jednostronicowy
Jednostronicowy przegląd procesu stosowania zasad zero trust do środowisk IaaS platformy Azure.

Aby uzyskać dodatkowe ilustracje techniczne, zobacz Ilustracje Zero Trust dla architektów IT i implementatorów.

Poniżej przedstawiono zalecane moduły szkoleniowe dla modelu Zero Trust.

Zarządzanie platformą Azure i nadzór

Szkolenia Opis zarządzania i zarządzania zasobami na platformie Azure
Szkolenie Podstawy platformy Microsoft Azure składa się z trzech ścieżek szkoleniowych: Podstawy platformy Microsoft Azure: Opis pojęć związanych z chmurą, Opis architektury i usług platformy Azure oraz Opis zarządzania i ładu na platformie Azure. Podstawy platformy Microsoft Azure: Opisanie zarządzania i ładu platformy Azure to trzecia ścieżka szkoleniowa Microsoft Azure Fundamentals. Ta ścieżka szkoleniowa zawiera informacje na temat zasobów do zarządzania i zarządzania dostępnych, aby pomóc w zarządzaniu zasobami w chmurze i na miejscu.
Ta ścieżka szkoleniowa ułatwia przygotowanie do egzaminu AZ-900: Podstawy platformy Microsoft Azure.

Początek >

Konfigurowanie usługi Azure Policy

Szkolenia Konfigurowanie usługi Azure Policy
Dowiedz się, jak skonfigurować usługę Azure Policy w celu zaimplementowania wymagań dotyczących zgodności.
Z tego modułu dowiesz się, jak wykonywać następujące czynności:
  • Tworzenie grup zarządzania w celu określania docelowych zasad i budżetów wydatków.
  • Zaimplementuj usługę Azure Policy przy użyciu definicji zasad i inicjatyw.
  • Określanie zakresu zasad platformy Azure i określanie zgodności.
    		•

    Początek >

    Zarządzanie operacją zabezpieczeń

    Szkolenia Zarządzanie operacją zabezpieczeń
    Po wdrożeniu i zabezpieczeniu środowiska platformy Azure dowiedz się, jak monitorować, obsługiwać i stale poprawiać bezpieczeństwo rozwiązań.
    Ta ścieżka szkoleniowa ułatwia przygotowanie do egzaminu AZ-500: Microsoft Azure Security Technologies.

    Początek >

    Konfigurowanie zabezpieczeń magazynu

    Szkolenia Konfigurowanie zabezpieczeń magazynu
    Dowiedz się, jak skonfigurować typowe funkcje zabezpieczeń usługi Azure Storage, takie jak sygnatury dostępu do magazynu.
    Z tego modułu dowiesz się, jak wykonywać następujące czynności:
  • Skonfiguruj sygnaturę dostępu współdzielonego (SAS), w tym identyfikator URI (Uniform Resource Identifier) i parametry sygnatury dostępu współdzielonego.
  • Konfigurowanie szyfrowania usługi Azure Storage.
  • Zaimplementuj klucze zarządzane przez klienta.
  • Zalecamy możliwości poprawy zabezpieczeń usługi Azure Storage.
    		•

    Początek >

    Konfigurowanie usługi Azure Firewall

    Szkolenia Konfigurowanie usługi Azure Firewall
    Dowiesz się, jak skonfigurować usługę Azure Firewall, w tym reguły zapory.
    Po zakończeniu tego modułu będziesz w stanie:
  • Określ, kiedy należy używać usługi Azure Firewall.
  • Wdrożenie usługi Azure Firewall, uwzględniając reguły zapory.
    		•

    Początek >

    Aby uzyskać więcej szkoleń dotyczących zabezpieczeń na platformie Azure, zobacz następujące zasoby w katalogu firmy Microsoft:
    Zabezpieczenia na platformie Azure | Microsoft Learn

    Następne kroki

    Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi stosowania zasad zero trust do platformy Azure:

    Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi stosowania zasad zero trust do sieci platformy Azure:

    Bibliografia

    Skorzystaj z poniższych linków, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.

    • Last updated on