Обзор. Применение принципов нулевого доверия к Azure IaaS

Сводка. Чтобы применить принципы нулевого доверия к компонентам и инфраструктуре Azure IaaS, необходимо сначала понять общую эталонную архитектуру и компоненты хранилища Azure, виртуальных машин и периферийных виртуальных сетей и концентраторов.

Эта серия статей поможет применить принципы нулевого доверия к рабочим нагрузкам в Microsoft Azure IaaS на основе многодисциплинарного подхода к применению принципов нулевого доверия. "Никому не доверяй" — это стратегия безопасности. Это не продукт или услуга, но подход к проектированию и реализации следующего набора принципов безопасности:

• Прямая проверка
• Использование доступа с минимальными привилегиями
• Предполагайте наличие бреши в системе безопасности

Реализация мышления нулевого доверия для "предполагать нарушение, никогда не доверять, всегда проверять" требует изменений в облачной инфраструктуре, стратегии развертывания и реализации.

В этой первоначальной серии пяти статей (включая это введение) показано, как применить подход нулевого доверия к общему бизнес-сценарию ИТ-бизнеса на основе служб инфраструктуры. Работа разбивается на единицы, которые можно настроить вместе следующим образом:

• Служба хранилища Azure
• Виртуальные машины
• Периферийные виртуальные сети (виртуальные сети) для рабочих нагрузок на основе виртуальных машин
• Виртуальные сети концентратора для поддержки доступа ко многим рабочим нагрузкам в Azure

Дополнительные сведения см. в статье "Применение принципов нулевого доверия к виртуальному рабочему столу Azure".

Примечание.

Дополнительные статьи будут добавлены в эту серию в будущем, в том числе способы применения организациями подхода нулевого доверия к приложениям, сетям, данным и службам DevOps на основе реальных ИТ-сред.

Внимание

В этом руководстве по нулю доверия описывается использование и настройка нескольких решений и функций безопасности, доступных в Azure для эталонной архитектуры. Некоторые другие ресурсы также предоставляют рекомендации по обеспечению безопасности для этих решений и функций, в том числе:

• Microsoft Cloud Security Benchmark
• Базовые показатели Microsoft Cloud Security

Чтобы описать применение подхода нулевого доверия, это руководство предназначено для общего шаблона, используемого в рабочей среде многими организациями: приложение на основе виртуальных машин, размещенное в виртуальной сети (и приложении IaaS). Это распространенный шаблон для организаций, переносирующих локальные приложения в Azure, который иногда называется "lift-and-shift". Эталонная архитектура включает все компоненты, необходимые для поддержки этого приложения, включая службы хранилища и виртуальную сеть концентратора.

Эталонная архитектура отражает общий шаблон развертывания в рабочих средах. Он не основан на целевых зонах корпоративного масштаба, рекомендуемых в Cloud Adoption Framework (CAF), хотя многие из рекомендаций в CAF включены в эталонную архитектуру, например использование выделенной виртуальной сети для размещения компонентов, которые брокер доступа к приложению (центральной виртуальной сети).

Если вы хотите узнать о рекомендациях, рекомендуемых в целевых зонах Azure Cloud Adoption Framework, ознакомьтесь с этими ресурсами:

• Начало работы с Cloud Adoption Framework
• Что такое целевая зона Azure?

Эталонная архитектура

На следующем рисунке показана эталонная архитектура для этого руководства по нулю доверия.

Эта архитектура содержит следующее:

• Несколько компонентов и элементов IaaS, включая различные типы пользователей и ИТ-потребителей, обращающиеся к приложению с разных сайтов. Например, Azure, Интернет, локальные и филиалы.
• Общее трехуровневое приложение, содержащее интерфейсный уровень, уровень приложений и уровень данных. Все уровни выполняются на виртуальных машинах в виртуальной сети с именем SPOKE. Доступ к приложению защищен другой виртуальной сетью с именем HUB, которая содержит дополнительные службы безопасности.
• Некоторые из наиболее используемых служб PaaS в Azure, которые поддерживают приложения IaaS, включая управление доступом на основе ролей (RBAC) и идентификатор Microsoft Entra, которые способствуют подходу к безопасности нулевого доверия.
• служба хранилища BLOB-объекты и файлы служба хранилища, предоставляющие хранилище объектов для приложений и файлов, которыми поделились пользователи.

В этой серии статей рассматриваются рекомендации по реализации нулевого доверия для эталонной архитектуры, обращаясь к каждой из этих крупных частей, размещенных в Azure, как показано здесь.

Схема описывает более крупные области архитектуры, которые рассматриваются каждой статьей в этой серии:

1. службы служба хранилища Azure
2. Виртуальные машины
3. Периферийные виртуальные сети
4. Виртуальные сети концентратора

Важно отметить, что руководство в этой серии статей более конкретно для этого типа архитектуры, чем руководство, предоставленное в архитектуре облачной платформы и целевой зоны Azure. Если вы применили рекомендации в любом из этих ресурсов, обязательно ознакомьтесь с этой серией статей для получения дополнительных рекомендаций.

Общие сведения о компонентах Azure

Схема эталонной архитектуры предоставляет топологическое представление среды. Кроме того, важно понять, как можно упорядочить каждый из компонентов в среде Azure. На следующей схеме представлен способ упорядочивания подписок и групп ресурсов. Подписки Azure могут быть организованы по-разному.

На этой схеме инфраструктура Azure содержится в клиенте Идентификатора записи. В следующей таблице описаны различные разделы, показанные на схеме.

• Подписки Azure

  Ресурсы можно распространять в нескольких подписках, где каждая подписка может содержать разные роли, такие как сетевая подписка или подписка безопасности. Это описано в документации по Cloud Adoption Framework и Целевой зоне Azure, на которые ранее ссылались. Различные подписки также могут содержать различные среды, такие как рабочие, разработки и тестовые среды. Это зависит от того, как вы хотите разделить среду и количество ресурсов, которые будут иметься в каждом из них. Одну или несколько подписок можно управлять вместе с помощью группы управления. Это дает возможность применять разрешения с помощью управления доступом на основе ролей (RBAC) и политик Azure к группе подписок, а не настраивать каждую подписку по отдельности.

• Microsoft Defender для облака и Azure Monitor

  Для каждой подписки Azure доступен набор решений Azure Monitor и Defender для облака. Если вы управляете этими подписками с помощью группы управления, вы сможете консолидироваться на одном портале для всех функций Azure Monitor и Defender для облака. Например, оценка безопасности, предоставляемая Defender для облака, объединяется для всех подписок, используя группу управления в качестве область.

• группа ресурсов служба хранилища (1)

  Учетная запись хранения содержится в выделенной группе ресурсов. Вы можете изолировать каждую учетную запись хранения в другой группе ресурсов для более детального управления разрешениями. Службы хранилища Azure содержатся в выделенной учетной записи хранения. Вы можете иметь одну учетную запись хранения для каждого типа рабочей нагрузки хранения, например объектную служба хранилища (также называемое хранилищем BLOB-объектов) и Файлы Azure. Это обеспечивает более детализированный контроль доступа и может повысить производительность.

• Группа ресурсов виртуальных машин (2)

  Виртуальные машины содержатся в одной группе ресурсов. Кроме того, можно использовать каждый тип виртуальной машины для уровней рабочей нагрузки, таких как интерфейсная часть, приложение и данные в разных группах ресурсов, чтобы изолировать управление доступом.

• Группы ресурсов виртуальной сети (3) и концентратора (4) в отдельных подписках

  Сеть и другие ресурсы для каждой из виртуальных сетей в эталонной архитектуре изолированы в выделенных группах ресурсов для периферийных и центральных виртуальных сетей. Эта организация хорошо работает, когда ответственность за эти живут в разных командах. Другой вариант — упорядочить эти компоненты, помещая все сетевые ресурсы в одну группу ресурсов и ресурсы безопасности в другую. Это зависит от того, как ваша организация настроена для управления этими ресурсами.

Защита от угроз с помощью Microsoft Defender для облака

Microsoft Defender для облака — это расширенное решение для обнаружения и реагирования (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из вашей среды. Defender для облака предназначено для использования вместе с XDR в Microsoft Defender для обеспечения большей ширины сопоставленной защиты среды, как показано на следующей схеме.

На схеме:

• Defender для облака включена для группы управления, включающей несколько подписок Azure.
• XDR в Microsoft Defender включен для приложений и данных Microsoft 365, приложений SaaS, интегрированных с идентификатором Microsoft Entra ID, и локальная служба Active Directory серверов доменных служб (AD DS).

Дополнительные сведения о настройке групп управления и включении Defender для облака см. в следующем разделе:

• Упорядочение подписок в группы управления и назначение ролей пользователям
• Включение Defender для облака для всех подписок в группе управления

Решения по безопасности в этой серии статей

Нулевое доверие включает применение нескольких дисциплин безопасности и защиты информации вместе. В этой серии статей этот многодисциплинарный подход применяется к каждому из единиц работы для компонентов инфраструктуры следующим образом:

Применение принципов нулевого доверия к хранилищу Azure

1. Защита данных во всех трех режимах: неактивных данных, передачи данных и используемых данных
2. Проверка доступа пользователей и управление доступом к данным хранилища с минимальными привилегиями
3. Логически отделять критически важные данные или разделять их с помощью сетевых элементов управления
4. Использование Defender для служба хранилища для автоматического обнаружения угроз и защиты

Применение принципов нулевого доверия к виртуальным машинам в Azure

1. Настройка логической изоляции для виртуальных машин
2. Использование контроль доступа на основе ролей (RBAC)
3. Безопасные компоненты загрузки виртуальной машины
4. Включение ключей, управляемых клиентом, и двойное шифрование
5. Управление приложениями, установленными на виртуальных машинах
6. Настройка безопасного доступа
7. Настройка безопасного обслуживания виртуальных машин
8. Включение расширенного обнаружения угроз и защиты

Применение принципов нулевого доверия к периферийной виртуальной сети в Azure

1. Использование Microsoft Entra RBAC или настройка пользовательских ролей для сетевых ресурсов
2. Изоляция инфраструктуры в собственной группе ресурсов
3. Создание группы безопасности сети для каждой подсети
4. Создание группы безопасности приложений для каждой роли виртуальной машины
5. Защита трафика и ресурсов в виртуальной сети
6. Безопасный доступ к виртуальной сети и приложению
7. Включение расширенного обнаружения угроз и защиты

Применение принципов нулевого доверия к виртуальной сети концентратора в Azure

1. Безопасный Брандмауэр Azure Premium
2. Развертывание защиты от атак DDoS Azure уровня "Стандартный"
3. Настройка маршрутизации сетевого шлюза в брандмауэр
4. Настройка защиты от угроз

Рекомендуемое обучение для нулевого доверия

Ниже приведены рекомендуемые учебные модули для нулевого доверия.

Управление и контроль Azure

Обучение

Описание управления и управления Azure

"Основы Microsoft Azure" включают три схемы обучения: "Описание принципов облачных технологий", "Описание архитектуры и служб Azure" и "Описание контроля и системы управления Azure". Схема обучения "Основы Microsoft Azure. Описание контроля и системы управления Azure" является третьей по счету в курсе "Основы Microsoft Azure". В этой схеме обучения описаны доступные ресурсы для контроля и системы управления, которые помогут вам управлять облачными и локальными ресурсами. Эта схема обучения помогает подготовить вас к экзамену AZ-900: Основы Microsoft Azure.

Начало >

Настройка Политики Azure

Обучение	Настройка Политика Azure
	Узнайте, как настроить Политику Azure для реализации соответствия требованиям. В этом модуле вы узнаете, как: Создавать группы управления для целевых политик и расходных бюджетов. Реализовывать Политику Azure с помощью определений политики и инициатив. Определять область действия политик Azure и их соответствие требованиям.

Начало >

Управление операцией безопасности

Обучение	Управление операцией безопасности
	После развертывания среды Azure и обеспечения ее защиты узнайте, как обеспечить мониторинг, эксплуатацию и непрерывное повышение безопасности своих решений. Эта схема обучения помогает подготовить вас к экзамену AZ-500: технологии безопасности Microsoft Azure.

Начало >

Настройка безопасности хранилища

Обучение

Настройка безопасности служба хранилища

Научитесь настраивать общие возможности обеспечения безопасности службы хранилища Azure, такие как подписанные URL-адреса. Из этого модуля вы узнаете, как выполнять следующие задачи: Настройте подписанный URL-адрес (SAS), включая универсальный идентификатор ресурса (URI) и параметры SAS. Настройте шифрование служба хранилища Azure. Внедрять управляемые клиентом ключи. Рекомендуется улучшить служба хранилища Azure безопасность.

Начало >

Настройка брандмауэра Azure

Обучение	Настройка Брандмауэр Azure
	Вы узнаете, как настроить брандмауэр Azure, включая правила брандмауэра. По завершении этого модуля вы сможете: Определять, когда следует использовать Брандмауэр Azure. Реализовывать брандмауэр Azure, включая правила брандмауэра.

Начало >

Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
Безопасность в Azure | Microsoft Learn

Next Steps

Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:

• Для Azure IaaS:
  • Служба хранилища Azure
  • Виртуальные машины
  • Периферийные виртуальные сети
  • Виртуальные сети концентратора
  • Периферийные виртуальные сети со службами Azure PaaS
• Виртуальный рабочий стол Azure
• Виртуальная глобальная сеть Azure
• Приложения IaaS в Amazon Web Services
• Microsoft Sentinel и XDR в Microsoft Defender

Технические иллюстрации

На этом плакате представлено одностраничное представление компонентов Azure IaaS в качестве эталонных и логических архитектур, а также шаги по обеспечению того, чтобы эти компоненты имели принципы "никогда не доверять, всегда проверяйте" применяемые принципы модели нулевого доверия.

Товар	Связанные руководства по решению
PDF | Visio Обновлено за март 2024 г.	службы служба хранилища Azure Виртуальные машины Периферийные виртуальные сети Виртуальные сети концентратора

На этом плакате представлены эталонные и логические архитектуры и подробные конфигурации отдельных компонентов Нулевого доверия для Azure IaaS. Используйте страницы этого плаката для отдельных ИТ-отделов или специальностей или с версией файла Microsoft Visio, настройте схемы для вашей инфраструктуры.

Товар	Связанные руководства по решению
PDF | Visio Обновлено за март 2024 г.	службы служба хранилища Azure Виртуальные машины Периферийные виртуальные сети Виртуальные сети концентратора

Дополнительные технические иллюстрации см . здесь.

Ссылки

Ознакомьтесь со следующими ссылками, чтобы узнать о различных службах и технологиях, которые упоминание в этой статье.

• Что такое Azure — Microsoft Облачные службы
• Инфраструктура Azure как услуга (IaaS)
• Виртуальные машины (виртуальные машины) для Linux и Windows
• Введение в хранилище Azure
• Виртуальная сеть Azure
• Общие сведения о системе безопасности Azure
• Руководство по реализации нулевого доверия
• Общие сведения о тесте безопасности microsoft cloud security
• Общие сведения о базовых показателях безопасности для Azure
• Создание первого уровня защиты с помощью служб безопасности Azure
• Эталонная архитектура кибербезопасности корпорации Майкрософт