Översikt – Tillämpa Nolltillit principer på Azure IaaS
Sammanfattning: Om du vill tillämpa Nolltillit principer på Azure IaaS-komponenter och infrastruktur måste du först förstå den gemensamma referensarkitekturen och komponenterna i Azure Storage, virtuella datorer och virtuella eker- och navnätverk.
Den här serien med artiklar hjälper dig att tillämpa principerna för Nolltillit på dina arbetsbelastningar i Microsoft Azure IaaS baserat på en tvärvetenskaplig metod för att tillämpa Nolltillit principer. Nolltillit är en säkerhetsstrategi. Det är inte en produkt eller en tjänst, utan en metod för att utforma och implementera följande uppsättning säkerhetsprinciper:
- Verifiera explicit
- Använd minst privilegierad åtkomst
- Anta intrång
Implementering av Nolltillit tänkesätt för att "anta intrång, aldrig förtroende, alltid verifiera" kräver ändringar i molninfrastruktur, distributionsstrategi och implementering.
Den här inledande serien med fem artiklar (inklusive den här introduktionen) visar hur du använder Nolltillit metod för ett vanligt IT-affärsscenario baserat på infrastrukturtjänster. Arbetet är indelat i enheter som kan konfigureras tillsammans på följande sätt:
- Azure Storage
- Virtuella datorer
- Virtuella ekernätverk (VNet) för virtuella datorbaserade arbetsbelastningar
- Virtuella hubbnätverk som stöd för åtkomst till många arbetsbelastningar i Azure
Mer information finns i Tillämpa Nolltillit principer på Azure Virtual Desktop.
Kommentar
Ytterligare artiklar kommer att läggas till i den här serien i framtiden, inklusive hur organisationer kan tillämpa en Nolltillit metod för program, nätverk, data och DevOps-tjänster baserat på verkliga IT-företagsmiljöer.
Viktigt!
Den här Nolltillit vägledningen beskriver hur du använder och konfigurerar flera säkerhetslösningar och funktioner som är tillgängliga i Azure för en referensarkitektur. Flera andra resurser ger också säkerhetsvägledning för dessa lösningar och funktioner, bland annat:
För att beskriva hur du använder en Nolltillit metod är den här vägledningen inriktad på ett vanligt mönster som används i produktion av många organisationer: ett virtuellt datorbaserat program som finns i ett VNet (och IaaS-program). Det här är ett vanligt mönster för organisationer som migrerar lokala program till Azure, som ibland kallas "lift-and-shift". Referensarkitekturen innehåller alla komponenter som krävs för att stödja det här programmet, inklusive lagringstjänster och ett virtuellt hubbnätverk.
Referensarkitekturen återspeglar ett vanligt distributionsmönster i produktionsmiljöer. Den baseras inte på de landningszoner i företagsskala som rekommenderas i Cloud Adoption Framework (CAF), även om många av de bästa metoderna i CAF ingår i referensarkitekturen, till exempel att använda ett dedikerat VNet som värd för komponenter som hanterar åtkomst till programmet (hubb-VNet).
Om du är intresserad av att lära dig mer om de riktlinjer som rekommenderas i Azure-landningszonerna för Cloud Adoption Framework kan du läsa följande resurser:
Referensarkitektur
Följande bild visar referensarkitekturen för den här Nolltillit vägledningen.
Den här arkitekturen innehåller:
- Flera IaaS-komponenter och -element, inklusive olika typer av användare och IT-konsumenter som kommer åt appen från olika webbplatser. till exempel Azure, Internet, lokala kontor och avdelningskontor.
- Ett vanligt program med tre nivåer som innehåller en klientdelsnivå, programnivå och datanivå. Alla nivåer körs på virtuella datorer i ett virtuellt nätverk med namnet SPOKE. Åtkomst till appen skyddas av ett annat VNet med namnet HUB som innehåller ytterligare säkerhetstjänster.
- Några av de mest använda PaaS-tjänsterna i Azure som stöder IaaS-program, inklusive rollbaserad åtkomstkontroll (RBAC) och Microsoft Entra-ID, som bidrar till Nolltillit säkerhetsmetoden.
- Lagringsblobar och lagringsfiler som tillhandahåller objektlagring för program och filer som delas av användare.
Den här serien med artiklar går igenom rekommendationerna för att implementera Nolltillit för referensarkitekturen genom att ta itu med var och en av dessa större delar som finns i Azure, som du ser här.
Diagrammet beskriver de större områdena i arkitekturen som behandlas av varje artikel i den här serien:
Det är viktigt att observera att vägledningen i den här serien med artiklar är mer specifik för den här typen av arkitektur än vägledningen i Cloud Adoption Framework och Azure-arkitekturer för landningszoner. Om du har använt vägledningen i någon av dessa resurser bör du även granska den här serien med artiklar för ytterligare rekommendationer.
Förstå Azure-komponenter
Referensarkitekturdiagrammet innehåller en topologisk vy över miljön. Det är också värdefullt att logiskt se hur var och en av komponenterna kan organiseras i Azure-miljön. Följande diagram innehåller ett sätt att organisera dina prenumerationer och resursgrupper. Dina Azure-prenumerationer kan ordnas på olika sätt.
I det här diagrammet finns Azure-infrastrukturen i en Entra ID-klientorganisation. I följande tabell beskrivs de olika avsnitt som visas i diagrammet.
Azure-prenumerationer
Du kan distribuera resurserna i mer än en prenumeration, där varje prenumeration kan ha olika roller, till exempel nätverksprenumeration eller säkerhetsprenumeration. Detta beskrivs i dokumentationen för Cloud Adoption Framework och Azure Landing Zone som du tidigare refererade till. De olika prenumerationerna kan också innehålla olika miljöer, till exempel produktions-, utvecklings- och testmiljöer. Det beror på hur du vill separera din miljö och hur många resurser du har i var och en. En eller flera prenumerationer kan hanteras tillsammans med hjälp av en hanteringsgrupp. Detta ger dig möjlighet att tillämpa behörigheter med rollbaserad åtkomstkontroll (RBAC) och Azure-principer på en grupp prenumerationer i stället för att konfigurera varje prenumeration individuellt.
Microsoft Defender för molnet och Azure Monitor
För varje Azure-prenumeration är en uppsättning Azure Monitor-lösningar och Defender för molnet tillgängliga. Om du hanterar dessa prenumerationer via en hanteringsgrupp kan du konsolidera i en enda portal för alla funktioner i Azure Monitor och Defender för molnet. Säkerhetspoäng, som tillhandahålls av Defender för molnet, konsolideras till exempel för alla dina prenumerationer med hjälp av en hanteringsgrupp som omfång.
Lagringsresursgrupp (1)
Lagringskontot finns i en dedikerad resursgrupp. Du kan isolera varje lagringskonto i en annan resursgrupp för mer detaljerad behörighetskontroll. Azure Storage-tjänster finns i ett dedikerat lagringskonto. Du kan ha ett lagringskonto för varje typ av lagringsarbetsbelastning, till exempel en Objektlagring (kallas även Blob Storage) och Azure Files. Detta ger mer detaljerad åtkomstkontroll och kan förbättra prestanda.
Resursgrupp för virtuella datorer (2)
Virtuella datorer finns i en resursgrupp. Du kan också ha varje typ av virtuell dator för arbetsbelastningsnivåer som klientdel, program och data i olika resursgrupper för att ytterligare isolera åtkomstkontroll.
Ekrar (3) och hubb (4) VNet-resursgrupper i separata prenumerationer
Nätverket och andra resurser för vart och ett av de virtuella nätverken i referensarkitekturen är isolerade i dedikerade resursgrupper för virtuella eker- och hubbnätverk. Den här organisationen fungerar bra när ansvaret för dessa finns i olika team. Ett annat alternativ är att organisera dessa komponenter genom att placera alla nätverksresurser i en resursgrupp och säkerhetsresurser i en annan. Det beror på hur din organisation har konfigurerats för att hantera dessa resurser.
Skydd mot hot med Microsoft Defender för molnet
Microsoft Defender för molnet är en XDR-lösning (extended detection and response) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från hela din miljö. Defender för molnet är avsett att användas tillsammans med Microsoft Defender XDR för att ge en större bredd av korrelerat skydd av din miljö, enligt följande diagram.
I diagrammet:
- Defender för molnet är aktiverat för en hanteringsgrupp som innehåller flera Azure-prenumerationer.
- Microsoft Defender XDR är aktiverat för Microsoft 365-appar och -data, SaaS-appar som är integrerade med Microsoft Entra-ID och lokal Active Directory AD DS-servrar (Domain Services).
Mer information om hur du konfigurerar hanteringsgrupper och aktiverar Defender för molnet finns i:
- Organisera prenumerationer i hanteringsgrupper och tilldela roller till användare
- Aktivera Defender för molnet för alla prenumerationer i en hanteringsgrupp
Säkerhetslösningar i den här artikelserien
Nolltillit omfattar tillämpning av flera områden för säkerhet och informationsskydd tillsammans. I den här serien med artiklar tillämpas den här metoden för flera områden på var och en av arbetsenheterna för infrastrukturkomponenter på följande sätt:
Tillämpa Nolltillit principer på Azure Storage
- Skydda data i alla tre lägen: vilande data, data under överföring och data som används
- Verifiera användare och kontrollera åtkomsten till lagringsdata med minsta möjliga behörighet
- Logiskt avgränsa eller separera kritiska data med nätverkskontroller
- Använda Defender för Storage för automatisk hotidentifiering och skydd
Tillämpa Nolltillit principer på virtuella datorer i Azure
- Konfigurera logisk isolering för virtuella datorer
- Utnyttja rollbaserad åtkomstkontroll (RBAC)
- Säkra startkomponenter för virtuella datorer
- Aktivera kundhanterade nycklar och dubbel kryptering
- Kontrollera de program som är installerade på virtuella datorer
- Konfigurera säker åtkomst
- Konfigurera säkert underhåll av virtuella datorer
- Aktivera avancerad hotidentifiering och skydd
Tillämpa Nolltillit principer på ett eker-VNet i Azure
- Utnyttja Microsoft Entra RBAC eller konfigurera anpassade roller för nätverksresurser
- Isolera infrastrukturen till en egen resursgrupp
- Skapa en nätverkssäkerhetsgrupp för varje undernät
- Skapa en programsäkerhetsgrupp för varje virtuell datorroll
- Skydda trafik och resurser i det virtuella nätverket
- Säker åtkomst till det virtuella nätverket och programmet
- Aktivera avancerad hotidentifiering och skydd
Tillämpa Nolltillit principer på ett virtuellt hubbnätverk i Azure
- Skydda Azure Firewall Premium
- Distribuera Azure DDoS Protection Standard
- Konfigurera routning av nätverksgateway till brandväggen
- Konfigurera skydd mot hot
Rekommenderad utbildning för Nolltillit
Följande är de rekommenderade träningsmodulerna för Nolltillit.
Hantering och styrning av Azure
| Utbildning | Beskriva Hantering och styrning av Azure |
|---|---|
|
Den grundläggande Microsoft Azure-utbildningen består av tre utbildningsvägar: Grunderna i Microsoft Azure: Beskriva molnbegrepp, Beskriva Azures arkitektur och tjänster och Beskriva Azures hantering och styrning. Grunderna i Microsoft Azure: Beskriv Azures hantering och styrning är den tredje utbildningsvägen i Grunderna för Microsoft Azure. Den här utbildningsvägen utforskar de tillgängliga hanterings- och styrningsresurserna som hjälper dig att hantera dina molnresurser och lokala resurser. Den här utbildningsvägen hjälper dig att förbereda dig för Exam AZ-900: Grunderna i Microsoft Azure. |
Konfigurera Azure Policy
| Utbildning | Konfigurera Azure Policy |
|---|---|
|
Lär dig hur du konfigurerar Azure Policy för att implementera efterlevnadskrav. I den här modulen lär du dig att: |
Hantera säkerhetsåtgärd
| Utbildning | Hantera säkerhetsåtgärd |
|---|---|
|
När du har distribuerat och skyddat din Azure-miljö lär du dig att övervaka, använda och kontinuerligt förbättra säkerheten för dina lösningar. Den här utbildningsvägen hjälper dig att förbereda dig för Exam AZ-500: Microsoft Azure Security Technologies. |
Konfigurera lagringssäkerhet
| Utbildning | Konfigurera lagringssäkerhet |
|---|---|
|
Lär dig hur du konfigurerar vanliga Säkerhetsfunktioner i Azure Storage, till exempel signaturer för lagringsåtkomst. I den här modulen lär du dig att: |
Konfigurera Azure Firewall
| Utbildning | Konfigurera Azure Firewall |
|---|---|
|
Du får lära dig hur du konfigurerar Azure Firewall, inklusive brandväggsregler. När du har genomfört den här modulen kommer du att kunna: |
Mer utbildning om säkerhet i Azure finns i dessa resurser i Microsoft-katalogen:
Säkerhet i Azure | Microsoft Learn
Nästa steg
Se de här ytterligare artiklarna om hur du tillämpar Nolltillit principer på Azure:
- För Azure IaaS:
- Azure Virtual Desktop
- Azure Virtual WAN
- IaaS-program i Amazon Web Services
- Microsoft Sentinel och Microsoft Defender XDR
Tekniska illustrationer
Den här affischen innehåller en enkelsidig, snabb överblick över komponenterna i Azure IaaS som referens- och logiska arkitekturer, tillsammans med stegen för att säkerställa att dessa komponenter har principerna "lita aldrig på, verifiera alltid" för Nolltillit modell som tillämpas.
| Artikel | Relaterade lösningsguider |
|---|---|
 PDF | Visio Uppdaterad mars 2024 |
Den här affischen innehåller referens- och logiska arkitekturer och detaljerade konfigurationer av de separata komponenterna i Nolltillit för Azure IaaS. Använd sidorna i den här affischen för separata IT-avdelningar eller specialiteter, eller anpassa diagrammen för infrastrukturen med Microsoft Visio-versionen av filen.
| Artikel | Relaterade lösningsguider |
|---|---|
 PDF | Visio Uppdaterad mars 2024 |
Klicka här om du vill ha fler tekniska illustrationer.
Referenser
Se följande länkar för att lära dig mer om de olika tjänster och tekniker som nämns i den här artikeln.
- Vad är Azure – Microsoft Cloud Services
- Azure Infrastructure as a Service (IaaS)
- Virtuella datorer (VM) för Linux och Windows
- Introduktion till Azure Storage
- Azure Virtual Network
- Introduktion till säkerhet i Azure
- Nolltillit implementeringsvägledning
- Översikt över Microsofts benchmark för molnsäkerhet
- Översikt över säkerhetsbaslinjer för Azure
- Skapa det första försvarsskiktet med Azure-säkerhetstjänster
- Referensarkitekturer för Microsoft Cybersecurity
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för