Обзор. Применение принципов нулевого доверия к сети Azure

Эта серия статей поможет применить принципы нулевого доверия к сетевой инфраструктуре в Microsoft Azure на основе многодисциплинарного подхода. "Никому не доверяй" — это стратегия безопасности. Это не продукт или услуга, но подход к проектированию и реализации следующего набора принципов безопасности:

• Явная проверка
• Использование доступа с минимальными привилегиями
• Предполагайте наличие бреши в системе безопасности

Реализация подхода "нулевое доверие", который предполагает нарушение, исключает доверие и требует постоянной проверки, требует изменений в инфраструктуре облачных сетей, стратегии развертывания и реализации.

В следующих статьях показано, как применить подход нулевого доверия к сети для часто развернутых служб инфраструктуры Azure:

• Шифрование
• Сегментация
• Обеспечьте видимость сетевого трафика
• Прекращение устаревшей технологии безопасности сети

Внимание

В этом руководстве по нулю доверия описывается использование и настройка нескольких решений и функций безопасности, доступных в Azure для эталонной архитектуры. Некоторые другие ресурсы также предоставляют рекомендации по обеспечению безопасности для этих решений и функций, в том числе:

• Microsoft Cloud Security Benchmark
• Базовые показатели Microsoft Cloud Security

Чтобы описать применение подхода нулевого доверия, это руководство предназначено для общего шаблона, используемого в рабочей среде многими организациями: приложение на основе виртуальных машин, размещенное в виртуальной сети (и приложении IaaS). Это распространенный подход для компаний, переносящих локально размещенные приложения в Azure, который иногда называют "lift-and-shift".

Защита от угроз с помощью Microsoft Defender для облака

Для принципа "Предполагать нарушение" в рамках концепции нулевого доверия для сети Azure, Microsoft Defender for Cloud — это расширенное решение (XDR) для выявления и реагирования, которое автоматически собирает, сопоставляет и анализирует данные о сигналах, угрозах и оповещениях из вашей среды. Defender для облака предназначен для использования вместе с Microsoft Defender XDR для обеспечения более расширенной коррелированной защиты вашей среды, как показано на следующей схеме.

На схеме:

• Defender для облака включена для группы управления, включающей несколько подписок Azure.
• XDR в Microsoft Defender активирован для приложений и данных Microsoft 365, SaaS приложений, интегрированных с Microsoft Entra ID, и серверов доменных служб Active Directory (AD DS) локально.

Дополнительные сведения о настройке групп управления и включении Defender для облака см. в следующем разделе:

• Упорядочение подписок в группы управления и назначение ролей пользователям
• Включение Defender для облака для всех подписок в группе управления

Дополнительные ресурсы

Дополнительные статьи о применении принципов нулевого доверия к Azure IaaS см. в следующих статьях:

• Для Azure IaaS:
  • Служба хранилища Azure
  • Виртуальные машины
  • Спицевые виртуальные сети
  • Виртуальные сети концентратора
  • Периферийные виртуальные сети со службами Azure PaaS
• Виртуальный рабочий стол Azure
• Виртуальная глобальная сеть Azure
• Приложения IaaS в Amazon Web Services
• Microsoft Sentinel и Microsoft Defender XDR