Omówienie — stosowanie zasad zero trustu do usługi IaaS platformy Azure
Artykuł
Uwaga
Nadchodzące dołączanie do zespołu usługi Azure FastTrack na żywo podczas omawiania tego artykułu. 23 października 2024 r. | 10:00–11:00 (UTC-07:00) Czas pacyficzny (USA i Kanada). Zarejestruj się tutaj.
Podsumowanie: Aby zastosować zasady zero trustu do składników i infrastruktury usługi Azure IaaS, musisz najpierw zrozumieć wspólną architekturę referencyjną i składniki usługi Azure Storage, maszyn wirtualnych i sieci wirtualnych szprych i piasty.
Ta seria artykułów ułatwia stosowanie zasad zerowego zaufania do obciążeń w usłudze Microsoft Azure IaaS w oparciu o wielodyscyplinarne podejście do stosowania zasad zero trust. Zero Trust to strategia zabezpieczeń. Nie jest to produkt ani usługa, ale podejście do projektowania i implementowania następującego zestawu zasad zabezpieczeń:
Jawną weryfikację
Używanie dostępu z jak najmniejszą liczbą uprawnień
Zakładanie naruszeń zabezpieczeń
Zaimplementowanie myślenia zero trust w celu "zakładania naruszenia, nigdy zaufania, zawsze weryfikowania" wymaga zmian w infrastrukturze chmury, strategii wdrażania i implementacji.
W tej początkowej serii pięciu artykułów (w tym tego wprowadzenia) pokazano, jak zastosować podejście Zero Trust do typowego scenariusza biznesowego IT opartego na usługach infrastruktury. Praca jest podzielona na jednostki, które można skonfigurować razem w następujący sposób:
Dodatkowe artykuły zostaną dodane do tej serii w przyszłości, w tym sposób, w jaki organizacje mogą zastosować podejście Zero Trust do aplikacji, sieci, danych i usług DevOps opartych na rzeczywistych środowiskach biznesowych IT.
Ważne
W tym przewodniku Zero Trust opisano sposób używania i konfigurowania kilku rozwiązań zabezpieczeń i funkcji dostępnych na platformie Azure na potrzeby architektury referencyjnej. Kilka innych zasobów zawiera również wskazówki dotyczące zabezpieczeń dla tych rozwiązań i funkcji, w tym:
Aby opisać sposób stosowania podejścia zero trust, te wskazówki dotyczą wspólnego wzorca używanego w środowisku produkcyjnym przez wiele organizacji: aplikacji opartej na maszynie wirtualnej hostowanej w sieci wirtualnej (i aplikacji IaaS). Jest to typowy wzorzec dla organizacji migrujących aplikacje lokalne na platformę Azure, który jest czasami określany jako "lift-and-shift". Architektura referencyjna obejmuje wszystkie składniki niezbędne do obsługi tej aplikacji, w tym usługi magazynu i sieć wirtualną piasty.
Architektura referencyjna odzwierciedla typowy wzorzec wdrażania w środowiskach produkcyjnych. Nie jest ona oparta na strefach docelowych w skali przedsiębiorstwa zalecanych w przewodniku Cloud Adoption Framework (CAF), chociaż wiele najlepszych rozwiązań w caF jest uwzględnionych w architekturze referencyjnej, takich jak używanie dedykowanej sieci wirtualnej do hostowania składników, które brokerują dostęp do aplikacji (sieci wirtualnej koncentratora).
Jeśli interesuje Cię zapoznanie się ze wskazówkami zalecanymi w strefach docelowych platformy Azure w przewodniku Cloud Adoption Framework, zobacz następujące zasoby:
Na poniższej ilustracji przedstawiono architekturę referencyjną dla tych wskazówek dotyczących relacji Zero Trust.
Ta architektura zawiera:
Wiele składników i elementów IaaS, w tym różnych typów użytkowników i użytkowników IT, którzy uzyskują dostęp do aplikacji z różnych witryn. takich jak Platforma Azure, Internet, lokalne i biura oddziałów.
Wspólna aplikacja trójwarstwowa zawierająca warstwę frontonu, warstwę aplikacji i warstwę danych. Wszystkie warstwy działają na maszynach wirtualnych w sieci wirtualnej o nazwie SPOKE. Dostęp do aplikacji jest chroniony przez inną sieć wirtualną o nazwie HUB, która zawiera dodatkowe usługi zabezpieczeń.
Niektóre z najczęściej używanych usług PaaS na platformie Azure, które obsługują aplikacje IaaS, w tym kontrolę dostępu opartą na rolach (RBAC) i identyfikator Entra firmy Microsoft, które przyczyniają się do podejścia zabezpieczeń Zero Trust.
Magazyn obiektów blob i pliki magazynu, które zapewniają magazyn obiektów dla aplikacji i plików udostępnionych przez użytkowników.
W tej serii artykułów przedstawiono zalecenia dotyczące implementowania modelu Zero Trust dla architektury referencyjnej, zwracając się do każdego z tych większych elementów hostowanych na platformie Azure, jak pokazano tutaj.
Diagram przedstawia większe obszary architektury, które zostały omówione w poszczególnych artykułach z tej serii:
Należy pamiętać, że wskazówki przedstawione w tej serii artykułów są bardziej szczegółowe dla tego typu architektury niż wskazówki zawarte w przewodniku Cloud Adoption Framework i architekturach strefy docelowej platformy Azure. Jeśli zastosowano wskazówki w jednym z tych zasobów, zapoznaj się również z tą serią artykułów, aby uzyskać dodatkowe zalecenia.
Omówienie składników platformy Azure
Diagram architektury referencyjnej zawiera topologiczny widok środowiska. Warto również zobaczyć logicznie, jak poszczególne składniki mogą być zorganizowane w środowisku platformy Azure. Poniższy diagram przedstawia sposób organizowania subskrypcji i grup zasobów. Subskrypcje platformy Azure mogą być zorganizowane inaczej.
Na tym diagramie infrastruktura platformy Azure jest zawarta w dzierżawie identyfikatora entra firmy Microsoft. W poniższej tabeli opisano różne sekcje przedstawione na diagramie.
Subskrypcje platformy Azure
Zasoby można dystrybuować w więcej niż jednej subskrypcji, w której każda subskrypcja może przechowywać różne role, takie jak subskrypcja sieciowa lub subskrypcja zabezpieczeń. Opisano to wcześniej w dokumentacji przewodnika Cloud Adoption Framework i strefy docelowej platformy Azure. Różne subskrypcje mogą również przechowywać różne środowiska, takie jak środowiska produkcyjne, programistyczne i testowe. Zależy to od tego, jak chcesz oddzielić środowisko i liczbę zasobów, które będziesz mieć w każdym środowisku. Co najmniej jedna subskrypcja może być zarządzana razem przy użyciu grupy zarządzania. Dzięki temu można stosować uprawnienia z kontrolą dostępu opartą na rolach (RBAC) i zasadami platformy Azure do grupy subskrypcji, zamiast konfigurować poszczególne subskrypcje osobno.
Microsoft Defender dla Chmury i Azure Monitor
Dla każdej subskrypcji platformy Azure jest dostępny zestaw rozwiązań usługi Azure Monitor i Defender dla Chmury. Jeśli zarządzasz tymi subskrypcjami za pośrednictwem grupy zarządzania, możesz skonsolidować w jednym portalu dla wszystkich funkcji usługi Azure Monitor i Defender dla Chmury. Na przykład wskaźnik bezpieczeństwa udostępniany przez Defender dla Chmury jest konsolidowany dla wszystkich subskrypcji przy użyciu grupy zarządzania jako zakresu.
Grupa zasobów magazynu (1)
Konto magazynu znajduje się w dedykowanej grupie zasobów. Możesz odizolować każde konto magazynu w innej grupie zasobów, aby uzyskać bardziej szczegółową kontrolę uprawnień. Usługi Azure Storage znajdują się na dedykowanym koncie magazynu. Możesz mieć jedno konto magazynu dla każdego typu obciążenia magazynu, na przykład magazyn obiektów (nazywany również magazynem obiektów blob) i usługą Azure Files. Zapewnia to bardziej szczegółową kontrolę dostępu i może zwiększyć wydajność.
Grupa zasobów maszyn wirtualnych (2)
Maszyny wirtualne znajdują się w jednej grupie zasobów. Można również mieć każdy typ maszyny wirtualnej dla warstw obciążeń, takich jak fronton, aplikacja i dane w różnych grupach zasobów, aby dodatkowo odizolować kontrolę dostępu.
Grupy zasobów sieci wirtualnej szprych (3) i piasty (4) w oddzielnych subskrypcjach
Sieć i inne zasoby dla każdej z sieci wirtualnych w architekturze referencyjnej są izolowane w ramach dedykowanych grup zasobów dla sieci wirtualnych szprych i piasty. Ta organizacja działa dobrze, gdy odpowiedzialność za te zespoły działa na żywo w różnych zespołach. Inną opcją jest zorganizowanie tych składników przez umieszczenie wszystkich zasobów sieciowych w jednej grupie zasobów i zasobach zabezpieczeń w innej. Zależy to od tego, jak organizacja jest skonfigurowana do zarządzania tymi zasobami.
Ochrona przed zagrożeniami za pomocą Microsoft Defender dla Chmury
Microsoft Defender dla Chmury to rozszerzone rozwiązanie do wykrywania i reagowania (XDR), które automatycznie zbiera, koreluje i analizuje dane sygnałów, zagrożeń i alertów z całego środowiska. Defender dla Chmury ma być używana razem z usługą Microsoft Defender XDR, aby zapewnić większą szerokość skorelowanej ochrony środowiska, jak pokazano na poniższym diagramie.
Na diagramie:
Defender dla Chmury jest włączona dla grupy zarządzania obejmującej wiele subskrypcji platformy Azure.
Usługa Microsoft Defender XDR jest włączona dla aplikacji i danych platformy Microsoft 365, aplikacji SaaS zintegrowanych z identyfikatorem Entra firmy Microsoft i serwerów lokalna usługa Active Directory Domain Services (AD DS).
Aby uzyskać więcej informacji na temat konfigurowania grup zarządzania i włączania Defender dla Chmury, zobacz:
Zero Trust obejmuje stosowanie wielu dyscyplin zabezpieczeń i ochrony informacji razem. W tej serii artykułów to podejście wielodyscyplinowe jest stosowane do każdej jednostki pracy dla składników infrastruktury w następujący sposób:
Zabezpieczanie usługi Azure Firewall — wersja Premium
Wdrażanie usługi Azure DDoS Protection w warstwie Standardowa
Konfigurowanie routingu bramy sieciowej do zapory
Konfigurowanie ochrony przed zagrożeniami
Ilustracje techniczne
Te ilustracje są replikami ilustracji referencyjnych w tych artykułach. Pobierz i dostosuj je dla własnej organizacji i klientów. Zastąp logo firmy Contoso własnym.
Szkolenie Podstawy platformy Microsoft Azure składa się z trzech ścieżek szkoleniowych: Podstawy platformy Microsoft Azure: Opis pojęć związanych z chmurą, Opis architektury i usług platformy Azure oraz Opis zarządzania i ładu na platformie Azure. Podstawy platformy Microsoft Azure: Opis zarządzania i ładu platformy Azure to trzecia ścieżka szkoleniowa w temacie Podstawy platformy Microsoft Azure. Ta ścieżka szkoleniowa zawiera informacje na temat zasobów zarządzania i ładu dostępnych w celu ułatwienia zarządzania zasobami w chmurze i lokalnymi. Ta ścieżka szkoleniowa ułatwia przygotowanie do egzaminu AZ-900: Podstawy platformy Microsoft Azure.
Dowiedz się, jak skonfigurować usługę Azure Policy w celu zaimplementowania wymagań dotyczących zgodności. Z tego modułu dowiesz się, jak wykonywać następujące czynności:
Tworzenie grup zarządzania w celu określania docelowych zasad i budżetów wydatków.
Zaimplementuj usługę Azure Policy przy użyciu definicji zasad i inicjatyw.
Określanie zakresu zasad platformy Azure i określanie zgodności.
Po wdrożeniu i zabezpieczeniu środowiska platformy Azure dowiedz się, jak monitorować, obsługiwać i stale poprawiać bezpieczeństwo rozwiązań. Ta ścieżka szkoleniowa ułatwia przygotowanie do egzaminu AZ-500: Microsoft Azure Security Technologies.
Dowiedz się, jak skonfigurować typowe funkcje zabezpieczeń usługi Azure Storage, takie jak sygnatury dostępu do magazynu. Z tego modułu dowiesz się, jak wykonywać następujące czynności:
Skonfiguruj sygnaturę dostępu współdzielonego (SAS), w tym identyfikator URI (Uniform Resource Identifier) i parametry sygnatury dostępu współdzielonego.
Konfigurowanie szyfrowania usługi Azure Storage.
Zaimplementuj klucze zarządzane przez klienta.
Zalecamy możliwości poprawy zabezpieczeń usługi Azure Storage.
Ta ścieżka szkoleniowa dotyczy zabezpieczania zasobów platformy Azure. Po ukończeniu tej ścieżki szkoleniowej będziesz w stanie określić, czy obciążenia IaaS platformy Azure mają luki w zabezpieczeniach, i skorygować te potencjalne luki w zabezpieczeniach.
Pokazuj umiejętności potrzebne do zaimplementowania mechanizmów kontroli zabezpieczeń, utrzymania stanu zabezpieczeń organizacji oraz identyfikowania i korygowania luk w zabezpieczeniach.