Создание первого уровня защиты с помощью служб безопасности Azure

Azure
Microsoft Entra ID

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Вы можете создать полную ИТ-инфраструктуру для вашей организации, используя широкий спектр служб Azure. Azure также предоставляет службы безопасности для защиты этой инфраструктуры. Используя решения по обеспечению безопасности Azure, вы можете повысить уровень безопасности ит-среды, устранить уязвимости и предотвратить нарушения, следуя рекомендациям майкрософт по хорошо спроектированным решениям. Хотя некоторые службы безопасности приходят со связанными затратами, многие доступны без дополнительной платы. Бесплатные службы включают группы безопасности сети (NSG), шифрование хранилища, TLS/SSL, маркеры подписи общего доступа и многое другое. В этой статье рассматриваются эти бесплатные службы.

Некоторые службы безопасности приходят с дополнительными расходами, а другие доступны без дополнительной платы. Бесплатные службы включают группы безопасности сети (NSG), шифрование хранилища, TLS/SSL, маркеры подписи общего доступа и многое другое. В этой статье рассматриваются эти бесплатные службы безопасности.

Эта статья является третьей в серии из пяти. Чтобы ознакомиться с предыдущими двумя статьями в этой серии, включая введение и обзор способа сопоставления угроз с ИТ-средой, ознакомьтесь со следующими статьями:

Потенциальные варианты использования

Эта статья упорядочивает службы безопасности Azure по каждому ресурсу Azure, что позволяет сосредоточиться на определенных угрозах, предназначенных для таких ресурсов, как виртуальные машины, операционные системы, сети Azure или приложения, а также атаки, которые могут скомпрометировать пользователей и пароли. На схеме вы узнаете, как определить соответствующие службы безопасности Azure для защиты ресурсов и удостоверений пользователей от этих типов угроз.

Архитектура

Схема локальных ресурсов, служб Из Microsoft 365 и Azure и 16 типов угроз, классифицируемых матрицей АТАК MITRE.

Скачайте файл Visio для этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

Уровень безопасности Azure на этой схеме основан на Azure Security Benchmark (ASB) версии 3, который представляет собой набор правил безопасности, реализованных с помощью политик Azure. ASB основан на сочетании правил из Центра БЕЗОПАСНОСТИ в Интернете и Национального института стандартов и технологий. Дополнительные сведения об ASB см. в разделе "Обзор Azure Security Benchmark версии 3".

Схема не включает каждую доступную службу безопасности Azure, но она выделяет службы, наиболее часто используемые организациями. Все службы безопасности, показанные на схеме архитектуры, можно объединить и настроить для совместной работы в зависимости от ит-среды и конкретных потребностей вашей организации.

Рабочий процесс

В этом разделе описываются компоненты и службы, которые отображаются на схеме. Многие из них помечены своими кодами управления ASB в дополнение к их сокращенным меткам. Коды элементов управления соответствуют доменам элементов управления, перечисленным в элементах управления.

  1. AZURE SECURITY BENCHMARK

    Каждый элемент управления безопасностью ссылается на одну или несколько конкретных служб безопасности Azure. Справочник по архитектуре в этой статье показывает некоторые из них и их контрольные номера в соответствии с документацией ASB. К элементам управления относятся:

    • Безопасность сети
    • Управление удостоверениями
    • Привилегированный доступ
    • Защита данных
    • Управление активами
    • Ведение журнала и обнаружение угроз
    • Реагирование на инциденты
    • Управление состоянием безопасности и уязвимостями
    • безопасность конечных точек.
    • Резервное копирование и восстановление
    • Безопасность DevOps
    • Система управления и стратегия

    Дополнительные сведения об элементах управления безопасностью см. в разделе "Обзор Azure Security Benchmark (версия 3)".

  2. Сеть

    В следующей таблице описаны сетевые службы на схеме.

    Label Description Документация
    Группа безопасности сети (NSG) Бесплатная служба, присоединенная к сетевому интерфейсу или подсети. Группа безопасности сети позволяет фильтровать трафик протокола TCP или UDP с помощью диапазонов IP-адресов и портов для входящих и исходящих подключений. Группы безопасности сети
    VPN Шлюз виртуальной частной сети (VPN), который обеспечивает туннелирование с защитой IPSEC (IKE версии 1/2). VPN-шлюз
    БРАНДМАУЭР AZURE Платформа как услуга (PaaS), которая обеспечивает защиту на уровне 4 и подключена ко всей виртуальной сети. Что такое Брандмауэр Azure?
    APP GW + WAF Шлюз приложений Azure с Брандмауэр веб-приложений (WAF). Шлюз приложений — это подсистема балансировки нагрузки для веб-трафика, который работает на уровне 7 и добавляет WAF для защиты приложений, использующих ПРОТОКОЛ HTTP и HTTPS. What is Azure Application Gateway? (Что собой представляет шлюз приложений Azure)
    NVA Сетевое виртуальное устройство (NVA) — виртуальные службы безопасности из Marketplace, подготовленной на виртуальных машинах в Azure. Виртуальные сетевые модули
    DDOS Защита от атак DDoS, реализованная в виртуальной сети, помогает устранить различные типы атак DDoS. Общие сведения о защите сети от атак DDoS Azure
    TLS/SSL TLS/SSL обеспечивает шифрование во время передачи для большинства служб Azure, которые обмениваются информацией, например служба хранилища Azure и веб-приложения. Настройка сквозного TLS с помощью Шлюз приложений с помощью PowerShell
    ПРИВАТНЫЙ КАНАЛ Служба, позволяющая создать частную сеть для службы Azure, которая изначально предоставляется в Интернете. Что собой представляет Приватный канал Azure?
    ЧАСТНАЯ КОНЕЧНАЯ ТОЧКА Создает сетевой интерфейс и подключает его к службе Azure. Частная конечная точка является частью Приватный канал. Эта конфигурация позволяет службе, используя частную конечную точку, быть частью виртуальной сети. Что собой представляет частная конечная точка?
  3. ИНФРАСТРУКТУРА И КОНЕЧНЫЕ ТОЧКИ

    В следующей таблице описаны службы инфраструктуры и конечных точек, отображаемые на схеме.

    Label Description Документация
    БАСТИОН Бастион предоставляет функциональные возможности сервера перехода. Эта служба позволяет получать доступ к виртуальным машинам через протокол удаленного рабочего стола (RDP) или SSH, не предоставляя виртуальные машины в Интернете. Что такое Бастион Azure
    АНТИВРЕДОНОСНОЕ ПО Microsoft Defender предоставляет службу защиты от вредоносных программ и входит в состав Windows 10, Windows 11, Windows Server 2016 и Windows Server 2019. антивирусная программа в Microsoft Defender в Windows
    ШИФРОВАНИЕ ДИСКА Шифрование дисков позволяет шифровать диск виртуальной машины. Шифрование дисков Azure для виртуальных машин Windows
    KEYVAULT Key Vault, служба для хранения ключей, секретов и сертификатов с FIPS 140-2 уровня 2 или 3. Основные понятия Azure Key Vault
    RDP SHORT Краткий путь к виртуальному рабочему столу Azure RDP. Эта функция позволяет удаленным пользователям подключаться к службе виртуального рабочего стола из частной сети. Shortpath виртуального рабочего стола Azure для управляемых сетей
    ОБРАТНОЕ ПОДКЛЮЧЕНИЕ Встроенная функция безопасности из Виртуального рабочего стола Azure. Обратное подключение гарантирует, что удаленные пользователи получают только потоки пикселей и не достигают виртуальных машин узла. Общие сведения о сетевом подключении к Виртуальному рабочему столу Azure
  4. ПРИЛОЖЕНИЕ И ДАННЫЕ

    В следующей таблице описаны службы приложений и данных, отображаемые на схеме.

    Label Description Документация
    FRONTDOOR + WAF Сеть доставки содержимого (CDN). Front Door объединяет несколько точек присутствия, чтобы обеспечить лучшее подключение для пользователей, которые обращаются к службе и добавляют WAF. Что такое Azure Front Door?
    УПРАВЛЕНИЕ API Служба, которая обеспечивает безопасность вызовов API и управляет API в разных средах. Сведения о службе "Управление API"
    PENTEST Набор рекомендаций по выполнению теста на проникновение в вашей среде, включая ресурсы Azure. Выполнение тестов на проникновение
    МАРКЕР SAS ХРАНИЛИЩА Общий маркер доступа, позволяющий другим пользователям получать доступ к учетной записи хранения Azure. Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS)
    ЧАСТНАЯ КОНЕЧНАЯ ТОЧКА Создайте сетевой интерфейс и подключите его к учетной записи хранения, чтобы настроить ее в частной сети в Azure. Использование частных конечных точек для службы хранилища Azure
    БРАНДМАУЭР ХРАНИЛИЩА Брандмауэр, позволяющий задать диапазон IP-адресов, которые могут получить доступ к учетной записи хранения. Настройка брандмауэров службы хранилища Azure и виртуальных сетей
    ШИФРОВАНИЕ
    (служба хранилища Azure)
    Защищает учетную запись хранения с помощью шифрования неактивных данных. Шифрование службы хранилища Azure для неактивных данных
    АУДИТ SQL Отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure. Аудит для Базы данных SQL Azure и Azure Synapse Analytics
    ОЦЕНКА УЯЗВИМОСТЕЙ Служба, которая помогает обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных. Оценка уязвимостей SQL помогает выявлять уязвимости базы данных
    ШИФРОВАНИЕ
    (Azure SQL)
    Прозрачное шифрование данных (TDE) помогает защитить службы баз данных SQL Azure путем шифрования неактивных данных. Прозрачное шифрование данных для базы данных SQL, SQL Управляемый экземпляр и Azure Synapse Analytics
  5. IDENTITY

    В следующей таблице описаны службы удостоверений, отображаемые на схеме.

    Label Description Документация
    RBAC Управление доступом на основе ролей Azure (Azure RBAC) помогает управлять доступом к службам Azure с помощью подробных разрешений, основанных на учетных данных Microsoft Entra пользователей. Что такое управление доступом на основе ролей в Azure (RBAC)?
    МИД Многофакторная проверка подлинности обеспечивает дополнительные типы проверки подлинности за пределами имен пользователей и паролей. Как это работает: многофакторная проверка подлинности Microsoft Entra
    ЗАЩИТА ИДЕНТИФИКАТОРОВ Защита идентификации, служба безопасности от идентификатора Microsoft Entra ID, анализирует триллионы сигналов в день для выявления и защиты пользователей от угроз. Что собой представляет защита идентификации?
    PIM управление привилегированными пользователями (PIM), служба безопасности из идентификатора Microsoft Entra. Это помогает временно предоставлять привилегии суперпользователя для идентификатора Microsoft Entra (например, user administorator) и подписок Azure (например, "Администратор контроль доступа на основе ролей" или "Администратор Key Vault"). Что такое управление привилегированными пользователями Microsoft Entra?
    COND ACC Условный доступ — это интеллектуальная служба безопасности, которая использует политики, которые определяются для различных условий для блокировки или предоставления доступа пользователям. Что такое условный доступ?

Компоненты

В примере архитектуры в этой статье используются следующие компоненты Azure:

  • Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. Идентификатор Microsoft Entra помогает пользователям получать доступ к внешним ресурсам, таким как Microsoft 365, портал Azure и тысячи других приложений SaaS. Он также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной сети интрасети.

  • Виртуальная сеть Azure — это фундаментальный строительный блок для вашей частной сети в Azure. виртуальная сеть позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. виртуальная сеть предоставляет виртуальную сеть, которая обеспечивает преимущества инфраструктуры Azure, например масштабирования, доступности и изоляции.

  • Azure Load Balancer — это высокопроизводительная служба балансировки нагрузки уровня 4 с низкой задержкой (входящий и исходящий) для всех протоколов UDP и TCP. Она разработана для обработки миллионов запросов в секунду, обеспечивая при этом высокую доступность вашего решения. Служба Azure Load Balancer является избыточной между зонами, обеспечивая высокий уровень доступности для разных зон доступности.

  • Виртуальные машины — это один из нескольких типов масштабируемых вычислительных ресурсов, которые предлагает Azure. Виртуальная машина Azure предоставляет гибкие возможности виртуализации без необходимости приобретать и обслуживать физическое оборудование, на котором она выполняется.

  • Служба Azure Kubernetes (AKS) — это полностью управляемая служба Kubernetes для развертывания контейнерных приложений и управления ими. AKS обеспечивает бессерверную службу Kubernetes, непрерывную интеграцию и непрерывную доставку (CI/CD), а также безопасность и управление корпоративным классом.

  • Виртуальный рабочий стол Azure — это облачная служба визуализации рабочих столов и приложений, предоставляющая рабочие столы удаленным пользователям.

  • Служба приложений веб-приложения — это служба на основе HTTP для размещения веб-приложений, REST API и мобильных серверных серверов. Вы можете разрабатывать на выбранном языке, а также запускать и масштабировать приложения с легкостью в средах под управлением Windows и Linux.

  • служба хранилища Azure является высокодоступным, масштабируемым, устойчивым и безопасным хранилищем для различных объектов данных в облаке, включая объект, большой двоичный объект, файл, диск, очередь и хранилище таблиц. Все данные, записанные в учетную запись хранилища Azure, шифруются самой службой. В службе хранилища Azure предоставляется возможность точного управления доступом к данным.

  • База данных SQL Azure — это полностью управляемый ядро СУБД PaaS, обрабатывающее большинство функций управления базами данных , таких как обновление, исправление, резервное копирование и мониторинг. Он предоставляет эти функции без участия пользователей. База данных SQL предоставляет ряд встроенных функций безопасности и соответствия требованиям, которые помогают приложению соответствовать требованиям к безопасности и соответствию требованиям.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

Другие участники:

Следующие шаги

Корпорация Майкрософт содержит дополнительную документацию, которая поможет вам защитить ИТ-среду, а следующие статьи могут быть особенно полезными.

  • Безопасность в Microsoft Cloud Adoption Framework для Azure. Cloud Adoption Framework предоставляет рекомендации по безопасности для вашего облачного пути, уточняя процессы, рекомендации, модели и опыт.
  • Microsoft Azure Well-Architected Framework. Azure Well-Architected Framework — это набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Платформа основана на пяти основных принципах: надежности, безопасности, оптимизации затрат, эффективности работы и эффективности производительности.
  • Рекомендации по обеспечению безопасности Майкрософт. Рекомендации по обеспечению безопасности Майкрософт (ранее известные как Компас безопасности Azure или Microsoft Security Compass) — это коллекция рекомендаций, которые предоставляют четкие и практические рекомендации по принятию решений, связанных с безопасностью.
  • Эталонные архитектуры Microsoft Cybersecurity (MCRA). MCRA — это компиляция различных эталонных архитектур безопасности Майкрософт.

В следующих ресурсах можно найти дополнительные сведения о службах, технологиях и терминологиях, упомянутых в этой статье:

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии: