Создание первого уровня защиты с помощью служб безопасности Azure

Вы можете создать всю ИТ-инфраструктуру для запуска организации с помощью различных служб Azure. Azure также предлагает службы безопасности для защиты инфраструктуры. С помощью служб безопасности Azure вы можете повысить уровень безопасности ит-среды. Вы можете устранить уязвимости и избежать нарушений, реализуя хорошо спроектированное решение, которое следует рекомендациям корпорации Майкрософт.

Некоторые службы безопасности несут плату, в то время как другие не имеют дополнительных расходов. Бесплатные службы включают группы безопасности сети (NSG), шифрование хранилища, TLS/SSL, маркеры подписи общего доступа и многие другие. В этой статье рассматриваются такие службы.

Эта статья является третьей в серии из пяти. Чтобы ознакомиться с предыдущими двумя статьями в этой серии, включая введение и обзор способа сопоставления угроз с ИТ-средой, ознакомьтесь со следующими статьями:

• Интеграция компонентов безопасности с помощью мониторинга Azure
• Сопоставление угроз с ИТ-средой

Потенциальные варианты использования

В этой статье представлены службы безопасности Azure в соответствии с каждой службой Azure. Таким образом, можно подумать о конкретной угрозе для ресурса — виртуальной машины, операционной системы, сети Azure, приложения или атаки, которые могут компрометации пользователей и паролей. Затем используйте схему в этой статье, чтобы понять, какие службы безопасности Azure следует использовать для защиты ресурсов и удостоверений пользователей от этой угрозы.

Архитектура

Скачайте файл Visio для этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

Уровень безопасности Azure на этой схеме основан на Azure Security Benchmark (ASB) версии 3, который представляет собой набор правил безопасности, реализованных с помощью политик Azure. ASB основан на сочетании правил из Центра БЕЗОПАСНОСТИ в Интернете и Национального института стандартов и технологий. Дополнительные сведения об ASB см. в разделе "Обзор Azure Security Benchmark версии 3".

Схема не содержит всех доступных служб безопасности Azure, но показывает службы безопасности, которые чаще всего используются организациями. Все службы безопасности, определенные на схеме архитектуры, могут работать вместе в любом сочетании в соответствии с ИТ-средой и требованиями к безопасности вашей организации.

Рабочий процесс

В этом разделе описываются компоненты и службы, которые отображаются на схеме. Многие из них помечены своими кодами управления ASB в дополнение к их сокращенным меткам. Коды элементов управления соответствуют доменам элементов управления, перечисленным в элементах управления.

1. AZURE SECURITY BENCHMARK

   Каждый элемент управления безопасностью ссылается на одну или несколько конкретных служб безопасности Azure. Справочник по архитектуре в этой статье показывает некоторые из них и их контрольные номера в соответствии с документацией ASB. К элементам управления относятся:

   • Безопасность сети
   • Управление удостоверениями
   • Привилегированный доступ
   • Защита данных
   • Управление активами
   • Ведение журнала и обнаружение угроз
   • Реагирование на инциденты
   • Управление состоянием безопасности и уязвимостями
   • безопасность конечных точек.
   • Резервное копирование и восстановление
   • Безопасность DevOps
   • Система управления и стратегия

   Дополнительные сведения об элементах управления безопасностью см. в разделе "Обзор Azure Security Benchmark (версия 3)".

2. Сеть

   В следующей таблице описаны сетевые службы на схеме.

   Label	Description	Документация
   Группа безопасности сети (NSG)	Бесплатная служба, присоединенная к сетевому интерфейсу или подсети. Группа безопасности сети позволяет фильтровать трафик протокола TCP или UDP с помощью диапазонов IP-адресов и портов для входящих и исходящих подключений.	Группы безопасности сети
   VPN	Шлюз виртуальной частной сети (VPN), который обеспечивает туннелирование с защитой IPSEC (IKE версии 1/2).	VPN-шлюз
   БРАНДМАУЭР AZURE	Платформа как услуга (PaaS), которая обеспечивает защиту на уровне 4 и подключена ко всей виртуальной сети.	Что такое Брандмауэр Azure?
   APP GW + WAF	Шлюз приложений Azure с Брандмауэр веб-приложений (WAF). Шлюз приложений — это подсистема балансировки нагрузки для веб-трафика, который работает на уровне 7 и добавляет WAF для защиты приложений, использующих ПРОТОКОЛ HTTP и HTTPS.	What is Azure Application Gateway? (Что собой представляет шлюз приложений Azure)
   NVA	Сетевое виртуальное устройство (NVA) — виртуальные службы безопасности из Marketplace, подготовленной на виртуальных машинах в Azure.	Виртуальные сетевые модули
   DDOS	Защита от атак DDoS, реализованная в виртуальной сети, помогает устранить различные типы атак DDoS.	Общие сведения о защите сети от атак DDoS Azure
   TLS/SSL	TLS/SSL обеспечивает шифрование во время передачи для большинства служб Azure, которые обмениваются информацией, например служба хранилища Azure и веб-приложения.	Настройка сквозного TLS с помощью Шлюз приложений с помощью PowerShell
   ПРИВАТНЫЙ КАНАЛ	Служба, позволяющая создать частную сеть для службы Azure, которая изначально предоставляется в Интернете.	Что собой представляет Приватный канал Azure?
   ЧАСТНАЯ КОНЕЧНАЯ ТОЧКА	Создает сетевой интерфейс и подключает его к службе Azure. Частная конечная точка является частью Приватный канал. Эта конфигурация позволяет службе, используя частную конечную точку, быть частью виртуальной сети.	Что собой представляет частная конечная точка?

3. ИНФРАСТРУКТУРА И КОНЕЧНЫЕ ТОЧКИ

   В следующей таблице описаны службы инфраструктуры и конечных точек, отображаемые на схеме.

   Label	Description	Документация
   БАСТИОН	Бастион предоставляет функциональные возможности сервера перехода. Эта служба позволяет получать доступ к виртуальным машинам через протокол удаленного рабочего стола (RDP) или SSH, не предоставляя виртуальные машины в Интернете.	Что такое Бастион Azure
   ANTIMALWARE	Microsoft Defender предоставляет службу защиты от вредоносных программ и входит в состав Windows 10, Windows 11, Windows Server 2016 и Windows Server 2019.	антивирусная программа в Microsoft Defender в Windows
   ШИФРОВАНИЕ ДИСКА	Шифрование дисков позволяет шифровать диск виртуальной машины.	Шифрование дисков Azure для виртуальных машин Windows
   KEYVAULT	Key Vault, служба для хранения ключей, секретов и сертификатов с FIPS 140-2 уровня 2 или 3.	Основные понятия Azure Key Vault
   RDP SHORT	Краткий путь к виртуальному рабочему столу Azure RDP. Эта функция позволяет удаленным пользователям подключаться к службе виртуального рабочего стола из частной сети.	Shortpath виртуального рабочего стола Azure для управляемых сетей
   ОБРАТНОЕ ПОДКЛЮЧЕНИЕ	Встроенная функция безопасности из Виртуального рабочего стола Azure. Обратное подключение гарантирует, что удаленные пользователи получают только потоки пикселей и не достигают виртуальных машин узла.	Общие сведения о сетевом подключении к Виртуальному рабочему столу Azure

4. ПРИЛОЖЕНИЕ И ДАННЫЕ

   В следующей таблице описаны службы приложений и данных, отображаемые на схеме.

   Label	Description	Документация
   FRONTDOOR + WAF	Сеть доставки содержимого (CDN). Front Door объединяет несколько точек присутствия, чтобы обеспечить лучшее подключение для пользователей, которые обращаются к службе и добавляют WAF.	Что такое Azure Front Door?
   УПРАВЛЕНИЕ API	Служба, которая обеспечивает безопасность вызовов API и управляет API в разных средах.	Сведения о службе "Управление API"
   PENTEST	Набор рекомендаций по выполнению теста на проникновение в вашей среде, включая ресурсы Azure.	Выполнение тестов на проникновение
   МАРКЕР SAS ХРАНИЛИЩА	Общий маркер доступа, позволяющий другим пользователям получать доступ к учетной записи хранения Azure.	Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS)
   ЧАСТНАЯ КОНЕЧНАЯ ТОЧКА	Создайте сетевой интерфейс и подключите его к учетной записи хранения, чтобы настроить ее в частной сети в Azure.	Использование частных конечных точек для службы хранилища Azure
   БРАНДМАУЭР ХРАНИЛИЩА	Брандмауэр, позволяющий задать диапазон IP-адресов, которые могут получить доступ к учетной записи хранения.	Настройка брандмауэров службы хранилища Azure и виртуальных сетей
   ШИФРОВАНИЯ (служба хранилища Azure)	Защищает учетную запись хранения с помощью шифрования неактивных данных.	Шифрование службы хранилища Azure для неактивных данных
   АУДИТ SQL	Отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure.	Аудит для Базы данных SQL Azure и Azure Synapse Analytics
   ОЦЕНКА УЯЗВИМОСТЕЙ	Служба, которая помогает обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных.	Оценка уязвимостей SQL помогает выявлять уязвимости базы данных
   ШИФРОВАНИЯ (Azure SQL)	Прозрачное шифрование данных (TDE) помогает защитить службы баз данных SQL Azure путем шифрования неактивных данных.	Прозрачное шифрование данных для базы данных SQL, SQL Управляемый экземпляр и Azure Synapse Analytics

5. IDENTITY

   В следующей таблице описаны службы удостоверений, отображаемые на схеме.

   Label	Description	Документация
   RBAC	Управление доступом на основе ролей Azure (Azure RBAC) помогает управлять доступом к службам Azure с помощью подробных разрешений, основанных на учетных данных Microsoft Entra пользователей.	Что такое управление доступом на основе ролей в Azure (RBAC)?
   МИД	Многофакторная проверка подлинности обеспечивает дополнительные типы проверки подлинности за пределами имен пользователей и паролей.	Как это работает: многофакторная проверка подлинности Microsoft Entra
   ЗАЩИТА ИДЕНТИФИКАТОРОВ	Защита идентификации, служба безопасности от идентификатора Microsoft Entra ID, анализирует триллионы сигналов в день для выявления и защиты пользователей от угроз.	Что собой представляет защита идентификации?
   PIM	управление привилегированными пользователями (PIM), служба безопасности из идентификатора Microsoft Entra. Это помогает временно предоставлять права суперпользователя для идентификатора Microsoft Entra (например, глобальных Администратор) и подписок Azure (например, владельца или участник).	Что такое управление привилегированными пользователями Microsoft Entra?
   COND ACC	Условный доступ — это интеллектуальная служба безопасности, которая использует политики, которые определяются для различных условий для блокировки или предоставления доступа пользователям.	Что представляет собой условный доступ?

Компоненты

В примере архитектуры в этой статье используются следующие компоненты Azure:

• Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. Идентификатор Microsoft Entra помогает пользователям получать доступ к внешним ресурсам, таким как Microsoft 365, портал Azure и тысячи других приложений SaaS. Он также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной сети интрасети.

• Виртуальная сеть Azure — это фундаментальный строительный блок для вашей частной сети в Azure. виртуальная сеть позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. виртуальная сеть предоставляет виртуальную сеть, которая обеспечивает преимущества инфраструктуры Azure, например масштабирования, доступности и изоляции.

• Azure Load Balancer — это высокопроизводительная служба балансировки нагрузки уровня 4 с низкой задержкой (входящий и исходящий) для всех протоколов UDP и TCP. Она разработана для обработки миллионов запросов в секунду, обеспечивая при этом высокую доступность вашего решения. Служба Azure Load Balancer является избыточной между зонами, обеспечивая высокий уровень доступности для разных зон доступности.

• Виртуальные машины — это один из нескольких типов масштабируемых вычислительных ресурсов, которые предлагает Azure. Виртуальная машина Azure предоставляет гибкие возможности виртуализации без необходимости приобретать и обслуживать физическое оборудование, на котором она выполняется.

• Служба Azure Kubernetes (AKS) — это полностью управляемая служба Kubernetes для развертывания контейнерных приложений и управления ими. AKS обеспечивает бессерверную службу Kubernetes, непрерывную интеграцию и непрерывную доставку (CI/CD), а также безопасность и управление корпоративным классом.

• Виртуальный рабочий стол Azure — это облачная служба визуализации рабочих столов и приложений, предоставляющая рабочие столы удаленным пользователям.

• Служба приложений веб-приложения — это служба на основе HTTP для размещения веб-приложений, REST API и мобильных серверных серверов. Вы можете разрабатывать на выбранном языке, а также запускать и масштабировать приложения с легкостью в средах под управлением Windows и Linux.

• служба хранилища Azure является высокодоступным, масштабируемым, устойчивым и безопасным хранилищем для различных объектов данных в облаке, включая объект, большой двоичный объект, файл, диск, очередь и хранилище таблиц. Все данные, записанные в учетную запись хранилища Azure, шифруются самой службой. В службе хранилища Azure предоставляется возможность точного управления доступом к данным.

• База данных SQL Azure — это полностью управляемый ядро СУБД PaaS, обрабатывающее большинство функций управления базами данных , таких как обновление, исправление, резервное копирование и мониторинг. Он предоставляет эти функции без участия пользователей. База данных SQL предоставляет ряд встроенных функций безопасности и соответствия требованиям, которые помогают приложению соответствовать требованиям к безопасности и соответствию требованиям.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

• Руднеи Оливейра | Старший инженер клиента

Другие участник:

• Гэри Мур | Программист или писатель
• Эндрю Натан | Старший менеджер по проектированию клиентов

Следующие шаги

Корпорация Майкрософт содержит дополнительную документацию, которая поможет вам защитить ИТ-среду, а следующие статьи могут быть особенно полезными.

• Безопасность в Microsoft Cloud Adoption Framework для Azure. Cloud Adoption Framework предоставляет рекомендации по безопасности для вашего облачного пути, уточняя процессы, рекомендации, модели и опыт.
• Microsoft Azure Well-Architected Framework. Azure Well-Architected Framework — это набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Платформа основана на пяти основных принципах: надежности, безопасности, оптимизации затрат, эффективности работы и эффективности производительности.
• Рекомендации по обеспечению безопасности Майкрософт. Рекомендации по обеспечению безопасности Майкрософт (ранее известные как Компас безопасности Azure или Microsoft Security Compass) — это коллекция рекомендаций, которые предоставляют четкие и практические рекомендации по принятию решений, связанных с безопасностью.
• Эталонные архитектуры Microsoft Cybersecurity (MCRA). MCRA — это компиляция различных эталонных архитектур безопасности Майкрософт.

В следующих ресурсах можно найти дополнительные сведения о службах, технологиях и терминологиях, которые упоминание в этой статье:

• Что такое общедоступные, частные и гибридные облака?
• Обзор Azure Security Benchmark (v3)
• Профилактический подход к безопасности на основе модели "Никому не доверяй"
• Сведения о подписке Microsoft 365
• Microsoft Defender XDR

Связанные ресурсы

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии:

• Часть 1. Использование мониторинга Azure для интеграции компонентов безопасности
• Часть 2. Сопоставление угроз с ИТ-средой
• Часть 4. Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender
• Часть 5. Интеграция между службами безопасности XDR в Azure и Microsoft Defender