Dela via

Designområde: Säkerhet

  • Artikel

Det här designområdet skapar en grund för säkerhet i dina Azure-, hybrid- och multimolnsmiljöer. Du kan förbättra den här grunden senare med säkerhetsvägledning som beskrivs i secure-metoden i Cloud Adoption Framework.

Designområdesgranskning

Involverade roller eller funktioner: Det här designområdet leds av molnsäkerhet, särskilt säkerhetsarkitekterna i teamet. Molnplattformen och molncentret för excellens krävs för att granska beslut om nätverk och identiteter. De kollektiva rollerna kan krävas för att definiera och implementera de tekniska krav som kommer från den här övningen. Mer avancerade skyddsräcken kan också behöva stöd från molnstyrning.

Omfattning: Målet med den här övningen är att förstå säkerhetskrav och implementera dem konsekvent i alla arbetsbelastningar på din molnplattform. Det primära omfånget för den här övningen fokuserar på verktyg för säkerhetsåtgärder och åtkomstkontroll. Det här omfånget omfattar Nolltillit och avancerad nätverkssäkerhet.

Utanför omfånget: Den här övningen fokuserar på grunden för ett modernt säkerhetsdriftscenter i molnet. För att effektivisera konversationen tar den här övningen inte upp några av områdena i CAF Secure-metoden. Säkerhetsåtgärder, tillgångsskydd och innovationssäkerhet bygger på distributionen av Din Azure-landningszon. De är dock utanför omfånget för den här designområdesdiskussionen.

Översikt över designområde

Säkerhet är en viktig faktor för alla kunder i alla miljöer. När du utformar och implementerar en Azure-landningszon bör säkerhet vara ett övervägande under hela processen.

Säkerhetsdesignområdet fokuserar på överväganden och rekommendationer för beslut i landningszoner. Den säkra metoden i Cloud Adoption Framework ger också ytterligare djupgående vägledning för holistiska säkerhetsprocesser och verktyg.

Ny (greenfield)-molnmiljö: Information om hur du startar molnresan med en liten uppsättning prenumerationer finns i Skapa dina första Azure-prenumerationer. Överväg också att använda Bicep-distributionsmallar för att skapa dina Azure-landningszoner. Mer information finns i Azure-landningszoner Bicep – distributionsflöde.

Befintlig (brownfield)-molnmiljö: Överväg att använda följande Microsoft Entra-identitets - och åtkomsttjänster om du är intresserad av att tillämpa principerna från säkerhetsdesignområdet på befintliga Azure-miljöer:

  • Använd Microsofts 10 bästa metodtips för Azure-säkerhet. Den här vägledningen sammanfattar fältbeprövad vägledning från Microsofts molnlösningsarkitekter (CSA) och Microsoft Partners.
  • Distribuera Microsoft Entra Anslut molnsynkronisering för att ge dina ad ds-användare (local Active Directory-domän Services) säker enkel inloggning (SSO) till dina Microsoft Entra ID-stödda program. En ytterligare fördel med att konfigurera hybrididentitet är att du kan använda Microsoft Entra multifaktorautentisering (MFA) och Microsoft Entra Password Protection för att ytterligare skydda dessa identiteter
  • Överväg villkorsstyrd åtkomst för Microsoft Entra för säker autentisering till dina molnappar och Azure-resurser.
  • Implementera Microsoft Entra Privileged Identity Management för att säkerställa åtkomst med lägsta behörighet och djuprapportering i hela Azure-miljön. Teams bör påbörja återkommande åtkomstgranskningar för att säkerställa att rätt personer och tjänstprinciper har aktuella och korrekta auktoriseringsnivåer.
  • Använd funktionerna för rekommendationer, aviseringar och reparation i Microsoft Defender för molnet. Ditt säkerhetsteam kan också integrera Microsoft Defender för molnet i Microsoft Sentinel om de behöver en mer robust, centralt hanterad hybrid- och SIEM-lösning (Security Information Event Management) för flera moln/SOAR-lösning (Security Orchestration and Response).

Lagringsplatsen Bicep – Distributionsflöde i Azure-landningszoner innehåller ett antal Bicep-distributionsmallar som kan påskynda distributionen av Azure-landningszonen på greenfield och brownfield. Dessa mallar har redan Microsofts beprövade säkerhetsvägledning integrerad i dem.

Mer information om hur du arbetar i brownfield-molnmiljöer finns i Överväganden för Brownfield-miljön.

Microsoft Cloud Security Benchmark

Microsofts prestandamått för molnsäkerhet innehåller säkerhetsrekommendationer med hög påverkan som hjälper dig att skydda de flesta av de tjänster som du använder i Azure. Du kan se dessa rekommendationer som allmänna eller organisatoriska, eftersom de gäller för de flesta Azure-tjänster. Rekommendationerna för Microsofts prestandamått för molnsäkerhet anpassas sedan för varje Azure-tjänst. Den här anpassade vägledningen finns i artiklar om tjänstrekommendationer.

Dokumentationen om Microsofts prestandamått för molnsäkerhet anger säkerhetskontroller och tjänstrekommendationer.

  • Säkerhetskontroller: Rekommendationerna för Microsofts prestandamått för molnsäkerhet kategoriseras efter säkerhetskontroller. Säkerhetskontroller representerar höga krav på leverantörsoberoende säkerhet, till exempel nätverkssäkerhet och dataskydd. Varje säkerhetskontroll har en uppsättning säkerhetsrekommendationer och instruktioner som hjälper dig att implementera dessa rekommendationer.
  • Tjänstrekommendationer: När de är tillgängliga innehåller benchmark-rekommendationer för Azure-tjänster Microsofts prestandamått för molnsäkerhet som är skräddarsydda specifikt för den tjänsten.

Azure Attestation

Azure Attestation är ett verktyg som kan hjälpa dig att säkerställa säkerheten och integriteten för din plattform och binärfiler som körs i den. Det är särskilt användbart för företag som kräver mycket skalbara beräkningsresurser och kompromisslöst förtroende med fjärrattesteringsfunktionen.

Designöverväganden för säkerhet

En organisation måste ha insyn i vad som händer inom deras tekniska molnegendom. Säkerhetsövervakning och granskningsloggning av Azure-plattformstjänster är en viktig komponent i ett skalbart ramverk.

Designöverväganden för säkerhetsåtgärder

Omfattning Sammanhang
Säkerhetsaviseringar – Vilka team kräver aviseringar för säkerhetsaviseringar?
– Finns det grupper av tjänster som aviseringar kräver routning till olika team?
– Affärskrav för realtidsövervakning och aviseringar.
– Integrering av säkerhetsinformation och händelsehantering med Microsoft Defender för molnet och Microsoft Sentinel.
Säkerhetsloggar – Datakvarhållningsperioder för granskningsdata. Microsoft Entra ID P1- eller P2-rapporter har en kvarhållningsperiod på 30 dagar.
– Långsiktig arkivering av loggar som Azure-aktivitetsloggar, virtuella datorloggar (VM) och PaaS-loggar (plattform som en tjänst).
Säkerhetskontroller – Baslinjesäkerhetskonfiguration via azure-princip för virtuella datorer på gästnivå.
– Fundera på hur dina säkerhetskontroller överensstämmer med styrningsskydd.
Sårbarhetshantering – Nödkorrigering för kritiska säkerhetsrisker.
– Korrigering för virtuella datorer som är offline under längre tidsperioder.
– Sårbarhetsbedömning av virtuella datorer.
Delat ansvar - Var finns överlämningarna för teamansvar? Dessa ansvarsområden måste beaktas när du övervakar eller svarar på säkerhetshändelser.
– Överväg vägledningen i säker metod för säkerhetsåtgärder.
Kryptering och nycklar – Vem kräver åtkomst till nycklar i miljön?
- Vem ansvarar för att hantera nycklarna?
– Utforska kryptering och nycklar ytterligare.
Attestering – Kommer du att använda Trusted Launch för dina virtuella datorer och behöver du attestering av integriteten för hela startkedjan för den virtuella datorn (UEFI, operativsystem, system och drivrutiner)?
– Vill du dra nytta av konfidentiell diskkryptering för dina konfidentiella virtuella datorer?
– Kräver dina arbetsbelastningar attestering att de körs i en betrodd miljö?

Designrekommendationer för säkerhetsåtgärder

  • Använd Microsoft Entra ID-rapporteringsfunktioner för att generera granskningsrapporter för åtkomstkontroll.

  • Exportera Azure-aktivitetsloggar till Azure Monitor-loggar för långsiktig datakvarhållning. Exportera till Azure Storage för långsiktig lagring längre än två år, om det behövs.

  • Aktivera Defender för molnet standard för alla prenumerationer och använd Azure Policy för att säkerställa efterlevnad.

  • Övervaka avvikelsen för grundläggande operativsystemskorrigeringar via Azure Monitor-loggar och Microsoft Defender för molnet.

  • Använd Azure-principer för att automatiskt distribuera programvarukonfigurationer via VM-tillägg och framtvinga en kompatibel konfiguration av den virtuella datorns baslinje.

  • Övervaka driften av vm-säkerhetskonfiguration via Azure Policy.

  • Anslut standardresurskonfigurationer till en centraliserad Azure Monitor Log Analytics-arbetsyta.

  • Använd en Azure Event Grid-baserad lösning för loggorienterade realtidsaviseringar.

  • Använd Azure Attestation för attestering av:

    • Integriteten för hela startkedjan för den virtuella datorn. Mer information finns i Översikt över övervakning av startintegritet.
    • Säker version av konfidentiella diskkrypteringsnycklar för en konfidentiell virtuell dator. Mer information finns i Konfidentiell os-diskkryptering.
    • Olika typer av betrodda körningsmiljöer för arbetsbelastningar. Mer information finns i Användningsfall.

Designöverväganden för åtkomstkontroll

Moderna säkerhetsgränser är mer komplexa än gränser i ett traditionellt datacenter. Datacentrets fyra väggar innehåller inte längre dina tillgångar. Det räcker inte längre att hålla användarna borta från det skyddade nätverket för att kontrollera åtkomsten. I molnet består din perimeter av två delar: nätverkssäkerhetskontroller och Nolltillit åtkomstkontroller.

Avancerad nätverkssäkerhet

Omfattning Sammanhang
Planera för inkommande och utgående Internetanslutning Beskriver rekommenderade anslutningsmodeller för inkommande och utgående anslutningar till och från det offentliga Internet.
Planera för nätverkssegmentering i landningszonen Utforskar viktiga rekommendationer för att leverera mycket säker intern nätverkssegmentering inom en landningszon. Dessa rekommendationer driver implementering av nätverk utan förtroende.
Definiera krav för nätverkskryptering Utforskar viktiga rekommendationer för att uppnå nätverkskryptering mellan lokalt och Azure och i olika Azure-regioner.
Planera för trafikkontroll Utforskar viktiga överväganden och rekommenderade metoder för spegling eller avlyssning av trafik i Azure Virtual Network.

Nolltillit

För Nolltillit åtkomst med identiteter bör du överväga:

  • Vilka team eller individer behöver åtkomst till tjänster inom landningszonen? Vilka roller gör de?
  • Vem bör auktorisera åtkomstbegäranden?
  • Vem ska få meddelandena när privilegierade roller aktiveras?
  • Vem ska ha åtkomst till granskningshistoriken?

Mer information finns i Microsoft Entra Privileged Identity Management.

Implementering av Nolltillit kan gå utöver bara identitets- och åtkomsthantering. Du bör överväga om din organisation behöver implementera Nolltillit metoder i flera pelare, till exempel infrastruktur, data och nätverk. Mer information finns i Införliva Nolltillit metoder i din landningszon

Designrekommendationer för åtkomstkontroll

  • I samband med dina underliggande krav genomför du en gemensam undersökning av varje nödvändig tjänst. Om du vill ta med dina egna nycklar kanske det inte stöds för alla tjänster som betraktas som övervägda. Implementera relevant åtgärd så att inkonsekvenser inte hindrar önskade resultat. Välj lämpliga regionpar och katastrofåterställningsregioner som minimerar svarstiden.

  • Utveckla en plan för lista över tillåtna säkerhetslistor för att utvärdera tjänster som säkerhetskonfiguration, övervakning och aviseringar. Skapa sedan en plan för att integrera dem med befintliga system.

  • Fastställa incidenthanteringsplanen för Azure-tjänster innan du flyttar den till produktion.

  • Anpassa dina säkerhetskrav med Azure-plattformsöversikter för att hålla dig uppdaterad med nyligen släppta säkerhetskontroller.

  • Implementera en nollförtroendemetod för åtkomst till Azure-plattformen där det är lämpligt.

Säkerhet i Azure-landningszonens accelerator

Säkerhet är kärnan i Azure-landningszonens accelerator. Som en del av implementeringen distribueras många verktyg och kontroller för att hjälpa organisationer att snabbt uppnå en säkerhetsbaslinje.

Följande ingår till exempel:

Verktyg:

  • Microsoft Defender för molnet, standardnivå eller kostnadsfri nivå
  • Microsoft Sentinel
  • Azure DDoS Network Protection (valfritt)
  • Azure Firewall
  • Brandvägg för webbaserade program (WAF)
  • Privileged Identity Management (PIM)

Principer för online- och företagsanslutna landningszoner:

  • Framtvinga säker åtkomst, till exempel HTTPS, till lagringskonton
  • Framtvinga granskning för Azure SQL Database
  • Framtvinga kryptering för Azure SQL Database
  • Förhindra IP-vidarebefordran
  • Förhindra inkommande RDP från Internet
  • Kontrollera att undernät är associerade med NSG

Nästa steg

Lär dig hur du skyddar privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra-ID.

Säker privilegierad åtkomst