Omówienie — stosowanie zasad zero trust do sieci platformy Azure

Ta seria artykułów ułatwia stosowanie zasad zerowego zaufania do infrastruktury sieciowej na platformie Microsoft Azure w oparciu o wielodyscyplinarne podejście. Zero Trust to strategia zabezpieczeń. Nie jest to produkt ani usługa, ale podejście do projektowania i implementowania następującego zestawu zasad zabezpieczeń:

• Zweryfikować jawnie
• Używanie dostępu z jak najmniejszą liczbą uprawnień
• Zakładanie naruszeń zabezpieczeń

Zaimplementowanie podejścia zero trust polegającego na "zakładaniu naruszenia, braku zaufania, zawsze weryfikowaniu" wymaga zmian w infrastrukturze sieci w chmurze, strategii wdrażania i wdrożeniu.

W poniższych artykułach pokazano, jak zastosować podejście Zero Trust do sieci dla powszechnie wdrożonych usług infrastruktury platformy Azure:

• Szyfrowanie
• Segmentacja
• Uzyskiwanie wglądu w ruch sieciowy
• Zaprzestanie starszej technologii zabezpieczeń sieci

Ważne

W tym przewodniku Zero Trust opisano sposób używania i konfigurowania kilku rozwiązań zabezpieczeń i funkcji dostępnych na platformie Azure na potrzeby architektury referencyjnej. Kilka innych zasobów zawiera również wskazówki dotyczące zabezpieczeń dla tych rozwiązań i funkcji, w tym:

• Test porównawczy zabezpieczeń w chmurze firmy Microsoft
• Punkt odniesienia zabezpieczeń w chmurze firmy Microsoft

Aby opisać sposób stosowania podejścia zero trust, te wskazówki dotyczą wspólnego wzorca używanego w środowisku produkcyjnym przez wiele organizacji: aplikacji opartej na maszynie wirtualnej hostowanej w sieci wirtualnej (i aplikacji IaaS). Jest to typowy wzorzec dla organizacji migrujących aplikacje lokalne do Azure, co jest czasami określane jako "lift-and-shift".

Ochrona przed zagrożeniami za pomocą Microsoft Defender dla Chmury

W przypadku zasady Przyjmij naruszenie Zero Trust dla sieci Azure, Microsoft Defender dla Chmury to rozwiązanie XDR (rozszerzonego wykrywania i reagowania), które automatycznie zbiera, koreluje i analizuje dane sygnałów, zagrożeń i alertów w całym środowisku. Defender dla Chmury ma być używana razem z usługą Microsoft Defender XDR, aby zapewnić większą szerokość skorelowanej ochrony środowiska, jak pokazano na poniższym diagramie.

Na schemacie:

• Defender dla Chmury jest włączona dla grupy zarządzania obejmującej wiele subskrypcji platformy Azure.
• Usługa Microsoft Defender XDR jest włączona dla aplikacji i danych platformy Microsoft 365, aplikacji SaaS zintegrowanych z Microsoft Entra ID oraz serwerów usługi Active Directory Domain Services (AD DS) działających lokalnie.

Aby uzyskać więcej informacji na temat konfigurowania grup zarządzania i włączania Defender dla Chmury, zobacz:

• Porządkuj subskrypcje w grupy zarządzania i przypisuj role użytkownikom
• Włącz Defender dla Chmury na wszystkich subskrypcjach w grupie zarządzającej

Dodatkowe zasoby

Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi stosowania zasad zero trust do usługi IaaS platformy Azure:

• W przypadku usługi IaaS platformy Azure:
  • Storage Azure
  • Maszyny wirtualne
  • Sieci wirtualne typu szprychowego
  • Sieci wirtualne węzła centralnego
  • Sieci wirtualne jako szprychy z usługami PaaS w Azure
• Azure Virtual Desktop
• Azure Virtual WAN
• Aplikacje IaaS w usługach Amazon Web Services
• Microsoft Sentinel i Microsoft Defender XDR