Dela via


Införliva Nulta pouzdanost metoder i landningszonen

Nulta pouzdanost är en säkerhetsstrategi där du införlivar produkter och tjänster i din design och implementering för att följa följande säkerhetsprinciper:

  • Verifiera explicit: autentisera och auktorisera alltid åtkomst baserat på alla tillgängliga datapunkter.

  • Använd åtkomst med lägsta behörighet: begränsa användare till just-enough-åtkomst och använd verktyg för att ge just-in-time-åtkomst med överväganden för anpassningsbara riskbaserade principer.

  • Anta intrång: minimera explosionsradien och segmentåtkomsten, leta proaktivt efter hot och kontinuerligt förbättra skyddet.

Om din organisation följer Nulta pouzdanost strategi bör du införliva Nulta pouzdanost specifika distributionsmål i dina designområden för landningszoner. Landningszonen är grunden för dina arbetsbelastningar i Azure, så det är viktigt att förbereda landningszonen för Nulta pouzdanost implementering.

Den här artikeln innehåller vägledning för att integrera Nulta pouzdanost metoder i din landningszon och förklarar var efterlevnad av Nulta pouzdanost principer kräver lösningar utanför landningszonen.

Nulta pouzdanost pelare och landningszonsdesignområden

När du implementerar Nulta pouzdanost metoder i distributionen av Din Azure-landningszon bör du börja med att överväga Nulta pouzdanost vägledning för varje designområde för landningszoner.

Mer information om hur du utformar en landningszon och vägledning för kritiska beslut i varje område finns i Designområden för Azure-landningszoner.

Den Nulta pouzdanost modellen har pelare som är ordnade efter begrepp och distributionsmål. Mer information finns i Distribuera Nulta pouzdanost lösningar.

De här grundpelarna ger specifika distributionsmål som hjälper organisationer att anpassa sig till Nulta pouzdanost principer. Dessa mål går utöver tekniska konfigurationer. Till exempel har nätverkspelare ett distributionsmål för nätverkssegmentering. Målet innehåller inte information om hur du konfigurerar isolerade nätverk i Azure, utan ger i stället vägledning för att skapa arkitekturmönstret. Det finns andra designbeslut att tänka på när du implementerar ett distributionsmål.

Följande diagram visar landningszonens designområden.

Diagram som visar arkitekturen för en Azure-landningszon.

Följande tabell korrelerar de Nulta pouzdanost pelarna med de designområden som visas i arkitekturen.

Förklaring Designområde för landningszon Nulta pouzdanost pelare
Bokstaven A Azure-fakturering och Microsoft Entra-klientorganisation Identitetspelare
Bokstaven B Identitets- och åtkomsthantering Identitetspelare,
Programpelare,
Datapelare
Bokstaven C Resursorganisation Identitetspelare
Bokstaven C Bokstaven D Styrning Grundpelare för synlighet, automatisering och orkestrering
Bokstaven D Bokstaven G Bokstaven H Hantering Slutpunkter pelare,
Programpelare,
Datapelare,
Infrastrukturpelare
Bokstaven E Nätverkstopologi och anslutning Grundpelare för nätverk
Bokstaven F Säkerhet Alla Nulta pouzdanost pelare
Bokstaven I Plattformsautomatisering och DevOps Grundpelare för synlighet, automatisering och orkestrering

Alla Nulta pouzdanost distributionsmål ingår inte i en landningszon. Många Nulta pouzdanost distributionsmål är för att utforma och släppa enskilda arbetsbelastningar till Azure.

I följande avsnitt går vi igenom varje pelare och ger överväganden och rekommendationer för att implementera distributionsmål.

Säker identitet

Information om distributionsmål för att skydda identiteter finns i Skydda identitet med Nulta pouzdanost. Om du vill implementera dessa distributionsmål kan du använda identitetsfederation, villkorlig åtkomst, identitetsstyrning och realtidsdataåtgärder.

Identitetsöverväganden

  • Du kan använda referensimplementeringar för Azure-landningszoner för att distribuera resurser som utökar din befintliga identitetsplattform till Azure och hantera identitetsplattformen genom att implementera metodtips för Azure.

  • Du kan konfigurera många av kontrollerna för Nulta pouzdanost metoder i din Microsoft Entra-klientorganisation. Du kan också styra åtkomsten till Microsoft 365 och andra molntjänster som använder Microsoft Entra-ID.

  • Du måste planera konfigurationskrav utöver vad som finns i din Azure-landningszon.

Identitetsrekommendationer

  • Utveckla en plan för att hantera identiteter i Microsoft Entra-ID som går utöver Azure-resurser. Du kan till exempel använda:

    • Federation med lokala identitetssystem.
    • Principer för villkorlig åtkomst.
    • Information om användare, enhet, plats eller beteende för auktorisering.
  • Distribuera din Azure-landningszon med separata prenumerationer för identitetsresurser, till exempel domänkontrollanter, så att du bättre kan skydda åtkomsten till resurser.

  • Använd Microsoft Entra-hanterade identiteter där det är möjligt.

Säkra slutpunkter

Information om distributionsmål för att skydda slutpunkter finns i Skydda slutpunkter med Nulta pouzdanost. Om du vill implementera dessa distributionsmål kan du:

  • Registrera slutpunkter med molnidentitetsprovidrar för att ge åtkomst till resurser enbart via molnhanterade kompatibla slutpunkter och appar.

  • Framtvinga dataförlustskydd (DLP) och åtkomstkontroll för både företagsenheter och personliga enheter som har registrerats i BYOD-program (Bring Your Own Device ).

  • Övervaka enhetsrisken för autentisering med identifiering av slutpunktshot.

Slutpunktsöverväganden

  • Slutpunktsdistributionsmålen gäller för slutanvändares beräkningsenheter, till exempel bärbara datorer, stationära datorer och mobila enheter.

  • När du använder Nulta pouzdanost metoder för slutpunkter måste du implementera lösningar i Azure och utanför Azure.

  • Du kan använda verktyg, till exempel Microsoft Intune och andra enhetshanteringslösningar, för att uppnå distributionsmålen.

  • Om du har slutpunkter i Azure, till exempel i Azure Virtual Desktop, kan du registrera klientupplevelsen i Intune och tillämpa Azure-principer och -kontroller för att begränsa åtkomsten till infrastrukturen.

Slutpunktsrekommendationer

  • Utveckla en plan för att hantera slutpunkter med Nulta pouzdanost metoder, utöver dina planer på att implementera en Azure-landningszon.

  • Mer information om enheter och servrar finns i Säker infrastruktur.

Säkra program

Information om distributionsmål för att skydda program finns i Skydda program med Nulta pouzdanost. Om du vill implementera dessa distributionsmål kan du:

  • Använd API:er för att få insyn i program.

  • Använd principer för att skydda känslig information.

  • Tillämpa anpassningsbara åtkomstkontroller.

  • Begränsa räckvidden för skugg-IT.

Programöverväganden

  • Distributionsmålen för program fokuserar på att hantera både tredjepartsprogram och program från första part i din organisation.

  • Målen handlar inte om att skydda programinfrastrukturen. I stället tar de itu med att skydda förbrukningen av program, särskilt molnprogram.

  • Metoderna för Azure-landningszoner tillhandahåller inte detaljerade kontroller för programmål. Dessa kontroller konfigureras som en del av programkonfigurationen.

Programrekommendationer

  • Använd Microsoft Defender för Cloud Apps för att hantera åtkomst till program.

  • Använd de standardiserade principer som ingår i Defender för Cloud Apps för att tillämpa dina metoder.

  • Utveckla en plan för att publicera dina program i dina metoder för programåtkomst. Lita inte på program som din organisation är värd för mer än du litar på program från tredje part.

Skydda data

Information om distributionsmål för att skydda data finns i Skydda data med Nulta pouzdanost. För att implementera dessa mål kan du:

  • Klassificera och märka data.
  • Aktivera åtkomstkontroll.
  • Implementera dataskydd.

Information om hur du loggar och hanterar dataresurser finns i Referensimplementeringar för Azure-landningszoner.

En Nulta pouzdanost metod omfattar omfattande kontroller av data. Från implementeringssynpunkt tillhandahåller Microsoft Purview verktyg för datastyrning, skydd och riskhantering. Du kan använda Microsoft Purview som en del av en analysdistribution i molnskala för att tillhandahålla en lösning som du kan implementera i stor skala.

Att tänka på gällande data

  • I enlighet med principen för demokratisering av landningszonprenumeration kan du skapa åtkomst och nätverksisolering för dataresurser och även upprätta loggningsmetoder.

    Det finns principer i referensimplementeringarna för loggning och hantering av dataresurser.

  • Du behöver andra kontroller utöver att skydda Azure-resurser för att uppfylla distributionsmålen. Nulta pouzdanost datasäkerhet omfattar klassificering av data, etikettering för känslighet och kontroll av dataåtkomst. Den sträcker sig även utanför databas- och filsystem. Du måste överväga hur du skyddar data i Microsoft Teams, Microsoft 365 grupe och SharePoint.

Datarekommendationer

  • Microsoft Purview tillhandahåller verktyg för datastyrning, skydd och riskhantering.

  • Implementera Microsoft Purview som en del av en distribution av analys i molnskala för att implementera din arbetsbelastning i stor skala.

Säker infrastruktur

Information om distributionsmål för att skydda infrastrukturen finns i Skydda infrastruktur med Nulta pouzdanost. För att implementera dessa mål kan du:

  • Övervaka onormalt beteende i arbetsbelastningar.
  • Hantera infrastrukturidentiteter.
  • Begränsa mänsklig åtkomst.
  • Segmentera resurser.

Infrastrukturöverväganden

  • Infrastrukturdistributionsmålen omfattar:

    • Hantera Azure-resurser.
    • Hantera operativsystemmiljöer.
    • Åtkomst till system.
    • Tillämpa arbetsbelastningsspecifika kontroller.
  • Du kan använda prenumerationsmodellen för landningszoner för att skapa tydliga säkerhetsgränser för Azure-resurser och tilldela begränsade behörigheter efter behov på resursnivå.

  • Organisationer måste organisera sina arbetsbelastningar för hantering.

Infrastrukturrekommendationer

  • Använd standardprinciperna för Azure-landningszoner för att blockera inkompatibla distributioner och resurser och för att framtvinga loggningsmönster.

  • Konfigurera Privileged Identity Management i Microsoft Entra ID för att ge just-in-time-åtkomst till mycket privilegierade roller.

  • Konfigurera just-in-time-åtkomst i Defender för molnet för din landningszon för att begränsa åtkomsten till virtuella datorer.

  • Skapa en plan för att övervaka och hantera enskilda arbetsbelastningar som distribueras i Azure.

Säkra nätverk

Information om distributionsmål för att skydda nätverk finns i Skydda nätverk med Nulta pouzdanost. För att implementera dessa mål kan du:

  • Implementera nätverkssegmentering.
  • Använd molnbaserad filtrering.
  • Implementera behörighet med minst åtkomst.

Nätverksöverväganden

  • För att säkerställa att dina plattformsresurser stöder Nulta pouzdanost säkerhetsmodell måste du distribuera brandväggar som kan HTTPS-trafikkontroll och isolera identitets- och hanteringsnätverksresurser från den centrala hubben.

  • Förutom nätverksresurserna i anslutningsprenumerationen måste du skapa planer för enskilda arbetsbelastningar för mikrosegment i deras virtuella ekernätverk. Du kan till exempel definiera trafikmönster och skapa detaljerade nätverkssäkerhetsgrupper för varje arbetsbelastningsnätverk.

Nätverksrekommendationer

Synlighet, automatisering och orkestrering

Information om distributionsmål för synlighet, automatisering och orkestrering finns i Synlighet, automatisering och orkestrering med Nulta pouzdanost. För att implementera dessa mål kan du:

  • Upprätta synlighet.
  • Aktivera automatisering.
  • Aktivera ytterligare kontroller genom att öva på kontinuerliga förbättringar.

Överväganden för synlighet, automatisering och orkestrering

  • Referensimplementeringarna för Azure-landningszonen innehåller distributioner av Microsoft Sentinel som du kan använda för att snabbt skapa synlighet i din Azure-miljö.

  • Referensimplementeringarna tillhandahåller principer för Azure-loggning, men ytterligare integrering krävs för andra tjänster.

  • Du bör konfigurera automatiseringsverktyg som Azure DevOps och GitHub för att skicka signaler.

Rekommendationer för synlighet, automatisering och orkestrering

  • Distribuera Microsoft Sentinel som en del av din Azure-landningszon.

  • Skapa en plan för att integrera signaler från Microsoft Entra-ID och verktyg i Microsoft 365 till din Microsoft Sentinel-arbetsyta.

  • Skapa en plan för att genomföra övningar för hotjakt och kontinuerliga säkerhetsförbättringar.

Nästa steg