Přehled – Použití principů nulová důvěra (Zero Trust) na Azure IaaS

Shrnutí: Pokud chcete použít principy nulová důvěra (Zero Trust) pro komponenty a infrastrukturu Azure IaaS, musíte nejprve porozumět společné referenční architektuře a komponentám úložiště Azure, virtuálním počítačům a hvězdicovým a hvězdicovým virtuálním sítím.

Tato série článků vám pomůže aplikovat principy nulová důvěra (Zero Trust) na úlohy v Microsoft Azure IaaS na základě multidiscipárního přístupu k uplatňování principů nulová důvěra (Zero Trust). nulová důvěra (Zero Trust) je strategie zabezpečení. Nejedná se o produkt nebo službu, ale o přístup při navrhování a implementaci následujících zásad zabezpečení:

• Explicitní ověření
• Použití nejméně privilegovaného přístupu
• Předpokládat porušení zabezpečení

Implementace nulová důvěra (Zero Trust) myšlení "předpokládat porušení zabezpečení, nikdy nedůvěřovat, vždy ověřit" vyžaduje změny cloudové infrastruktury, strategie nasazení a implementace.

Tyto úvodní série pěti článků (včetně tohoto úvodu) ukazují, jak použít nulová důvěra (Zero Trust) přístup k běžnému obchodnímu scénáři IT na základě služeb infrastruktury. Práce je rozdělená do jednotek, které je možné konfigurovat společně následujícím způsobem:

• Úložiště Azure
• Virtual Machines
• Paprskové virtuální sítě (VNet) pro úlohy založené na virtuálních počítačích
• Virtuální sítě centra pro podporu přístupu k mnoha úlohám v Azure

Další informace najdete v tématu Použití principů nulová důvěra (Zero Trust) pro Azure Virtual Desktop.

Poznámka:

Do této série se v budoucnu přidají další články, včetně toho, jak mohou organizace využít nulová důvěra (Zero Trust) přístup k aplikacím, sítím, datům a službám DevOps na základě skutečných obchodních prostředí IT.

Důležité

Tato nulová důvěra (Zero Trust) pokyny popisuje, jak používat a konfigurovat několik řešení zabezpečení a funkcí dostupných v Azure pro referenční architekturu. Několik dalších zdrojů informací také poskytuje pokyny k zabezpečení pro tato řešení a funkce, mezi které patří:

• Srovnávací test microsoft cloudových zabezpečení
• Standardní hodnoty zabezpečení cloudu Microsoftu

Pokud chcete popsat, jak použít přístup nulová důvěra (Zero Trust), tento návod cílí na běžný vzor používaný v produkčním prostředí mnoha organizacemi: aplikace založená na virtuálním počítači hostovaná ve virtuální síti (a aplikaci IaaS). To je běžný vzor pro organizace, které migrují místní aplikace do Azure, což se někdy označuje jako "lift-and-shift". Referenční architektura zahrnuje všechny komponenty nezbytné pro podporu této aplikace, včetně služeb úložiště a virtuální sítě centra.

Referenční architektura odráží běžný model nasazení v produkčních prostředích. Není založená na cílových zónách na podnikové úrovni doporučených v architektuře přechodu na cloud (CAF), přestože mnoho osvědčených postupů v CAF je součástí referenční architektury, jako je použití vyhrazené virtuální sítě k hostování komponent, které zprostředkují přístup k aplikaci (virtuální síť centra).

Pokud se chcete dozvědět o doprovodných materiálech doporučených v cílových zónách Azure přechodu na cloud, projděte si tyto zdroje informací:

• Začínáme s architekturou přechodu na cloud
• Co je cílová zóna Azure?

Referenční architektura

Následující obrázek ukazuje referenční architekturu pro tuto nulová důvěra (Zero Trust) pokyny.

Tato architektura obsahuje:

• Několik komponent a prvků IaaS, včetně různých typů uživatelů a uživatelů IT, kteří k aplikaci přistupují z různých webů. jako Azure, internet, místní a firemní pobočky.
• Běžná třívrstvé aplikace obsahující front-endovou vrstvu, aplikační vrstvu a datovou vrstvu. Všechny úrovně běží na virtuálních počítačích v rámci virtuální sítě s názvem SPOKE. Přístup k aplikaci je chráněný jinou virtuální sítí s názvem HUB, která obsahuje další služby zabezpečení.
• Některé z nejčastěji používaných služeb PaaS v Azure, které podporují aplikace IaaS, včetně řízení přístupu na základě role (RBAC) a Microsoft Entra ID, které přispívají k přístupu nulová důvěra (Zero Trust) zabezpečení.
• Objekty blob úložiště a soubory úložiště, které poskytují úložiště objektů pro aplikace a soubory sdílené uživateli.

Tato série článků obsahuje doporučení pro implementaci nulová důvěra (Zero Trust) referenční architektury tím, že řeší všechny tyto větší části hostované v Azure, jak je znázorněno zde.

Diagram popisuje větší oblasti architektury, které jsou řešeny jednotlivými články v této řadě:

1. Služby Azure Storage
2. Virtual Machines
3. Paprskové virtuální sítě
4. Virtuální sítě centra

Je důležité si uvědomit, že pokyny v této sérii článků jsou konkrétnější pro tento typ architektury než pokyny uvedené v architektuře přechodu na cloud a architektury cílových zón Azure. Pokud jste použili pokyny v některém z těchto prostředků, nezapomeňte si také projít tuto řadu článků, kde najdete další doporučení.

Principy komponent Azure

Diagram referenční architektury poskytuje topologické zobrazení prostředí. Je také užitečné vidět logicky, jak můžou být jednotlivé komponenty uspořádané v rámci prostředí Azure. Následující diagram poskytuje způsob, jak uspořádat předplatná a skupiny prostředků. Vaše předplatná Azure můžou být uspořádaná jinak.

V tomto diagramu je infrastruktura Azure obsažená v tenantovi Entra ID. Následující tabulka popisuje různé části znázorněné v diagramu.

• Předplatná Azure

  Prostředky můžete distribuovat ve více než jednom předplatném, kde každé předplatné může obsahovat různé role, například předplatné sítě nebo předplatné zabezpečení. Toto je popsáno v dokumentaci k rozhraní přechodu na cloud a cílové zóně Azure, na které jsme dříve odkazovali. Různá předplatná můžou obsahovat také různá prostředí, jako jsou produkční, vývojová a testovací prostředí. Záleží na tom, jak chcete oddělit prostředí a počet prostředků, které budete mít v každém z nich. Jedno nebo více předplatných je možné spravovat společně pomocí skupiny pro správu. Díky tomu máte možnost používat oprávnění s řízením přístupu na základě role (RBAC) a zásadami Azure pro skupinu předplatných místo individuálního nastavení jednotlivých předplatných.

• Microsoft Defender pro cloud a Azure Monitor

  Pro každé předplatné Azure je k dispozici sada řešení Azure Monitor a Defender for Cloud. Pokud tato předplatná spravujete prostřednictvím skupiny pro správu, můžete konsolidovat na jednom portálu pro všechny funkce služby Azure Monitor a Defender pro cloud. Například skóre zabezpečení, které poskytuje Defender for Cloud, se konsoliduje pro všechna vaše předplatná pomocí skupiny pro správu jako rozsahu.

• Skupina prostředků úložiště (1)

  Účet úložiště je součástí vyhrazené skupiny prostředků. Jednotlivé účty úložiště můžete izolovat v jiné skupině prostředků, abyste měli podrobnější řízení oprávnění. Služby Úložiště Azure jsou obsažené ve vyhrazeném účtu úložiště. Pro každý typ úlohy úložiště můžete mít jeden účet úložiště, například Object Storage (označovaný také jako Blob Storage) a Soubory Azure. To poskytuje podrobnější řízení přístupu a může zlepšit výkon.

• Skupina prostředků virtuálních počítačů (2)

  Virtuální počítače jsou obsažené v jedné skupině prostředků. Každý typ virtuálního počítače můžete mít také pro vrstvy úloh, jako je front-end, aplikace a data v různých skupinách prostředků, a izolovat tak řízení přístupu.

• Paprsky (3) a skupiny prostředků virtuální sítě (4) v samostatných předplatných

  Síť a další prostředky pro každou virtuální síť v referenční architektuře jsou izolované v rámci vyhrazených skupin prostředků pro paprskové a centrální virtuální sítě. Tato organizace funguje dobře, když za tyto aktivity žijeme v různých týmech. Další možností je uspořádat tyto komponenty umístěním všech síťových prostředků do jedné skupiny prostředků a prostředků zabezpečení do jiné. Záleží na tom, jak je vaše organizace nastavená pro správu těchto prostředků.

Ochrana před internetovými útoky pomocí Microsoft Defenderu pro cloud

Microsoft Defender for Cloud je rozšířené řešení detekce a reakce (XDR), které automaticky shromažďuje, koreluje a analyzuje signály, hrozby a upozorňují data z celého vašeho prostředí. Program Defender for Cloud je určený k použití společně s XDR v programu Microsoft Defender k zajištění větší šířky korelované ochrany vašeho prostředí, jak je znázorněno na následujícím diagramu.

V diagramu:

• Defender pro cloud je povolený pro skupinu pro správu, která zahrnuje více předplatných Azure.
• XDR v programu Microsoft Defender je povolený pro aplikace a data Microsoftu 365, aplikace SaaS integrované s MICROSOFT Entra ID a servery místní Active Directory Domain Services (AD DS).

Další informace o konfiguraci skupin pro správu a povolení defenderu pro cloud najdete tady:

• Uspořádání předplatných do skupin pro správu a přiřazování rolí uživatelům
• Povolení defenderu pro cloud ve všech předplatných ve skupině pro správu

Řešení zabezpečení v této sérii článků

nulová důvěra (Zero Trust) zahrnuje použití více disciplín zabezpečení a ochrany informací najednou. V této sérii článků se tento přístup s více disciplínami uplatňuje na každou z jednotek práce pro komponenty infrastruktury následujícím způsobem:

Použití principů nulová důvěra (Zero Trust) na úložiště Azure

1. Ochrana dat ve všech třech režimech: neaktivní uložená data, přenášená data a data, která se používají
2. Ověření přístupu uživatelů a řízení přístupu k datům úložiště s nejnižšími oprávněními
3. Logické oddělení nebo oddělení důležitých dat pomocí síťových ovládacích prvků
4. Použití Defenderu pro úložiště pro automatizované zjišťování a ochranu před hrozbami

Použití principů nulová důvěra (Zero Trust) na virtuální počítače v Azure

1. Konfigurace logické izolace pro virtuální počítače
2. Využití řízení přístupu na základě role (RBAC)
3. Zabezpečení komponent spouštění virtuálních počítačů
4. Povolení klíčů spravovaných zákazníkem a dvojitého šifrování
5. Řízení aplikací nainstalovaných na virtuálních počítačích
6. Konfigurace zabezpečeného přístupu
7. Nastavení zabezpečené údržby virtuálních počítačů
8. Povolení rozšířené detekce a ochrany před hrozbami

Použití principů nulová důvěra (Zero Trust) u paprskové virtuální sítě v Azure

1. Využití Řízení přístupu na základě role (RBAC) Od Microsoftu nebo nastavení vlastních rolí pro síťové prostředky
2. Izolace infrastruktury do vlastní skupiny prostředků
3. Vytvoření skupiny zabezpečení sítě pro každou podsíť
4. Vytvoření skupiny zabezpečení aplikace pro každou roli virtuálního počítače
5. Zabezpečení provozu a prostředků v rámci virtuální sítě
6. Zabezpečený přístup k virtuální síti a aplikaci
7. Povolení rozšířené detekce a ochrany před hrozbami

Použití principů nulová důvěra (Zero Trust) na virtuální síť centra v Azure

1. Zabezpečení služby Azure Firewall Premium
2. Nasazení služby Azure DDoS Protection úrovně Standard
3. Konfigurace směrování síťové brány do brány firewall
4. Konfigurace ochrany před hrozbami

Doporučené školení pro nulová důvěra (Zero Trust)

Níže jsou uvedené doporučené školicí moduly pro nulová důvěra (Zero Trust).

Správa a zásady správného řízení Azure

Školení

Popis správy a zásad správného řízení Azure

Školení Základy Microsoft Azure se skládá ze tří studijních programů: Základy Microsoft Azure: Popis konceptů cloudu, popis architektury a služeb Azure a popis správy a zásad správného řízení Azure. Základy Microsoft Azure: Popis správy a zásad správného řízení Azure je třetí studijní program v Microsoft Azure Fundamentals. V tomto studijním programu se seznámíte s dostupnými prostředky pro správu a zásady správného řízení, které vám pomůžou spravovat cloudové a místní prostředky. Tento studijní program vám pomůže připravit se na zkoušku AZ-900: Základy Microsoft Azure.

Spustit >

Konfigurace služby Azure Policy

Školení	Konfigurace služby Azure Policy
	Zjistěte, jak nakonfigurovat Azure Policy pro implementaci požadavků na dodržování předpisů. V tomto modulu se naučíte: Vytvořte skupiny pro správu, které budou cílit na zásady a rozpočty útraty. Implementujte Azure Policy s definicemi zásad a iniciativ. Určení rozsahu zásad Azure a určení dodržování předpisů

Spustit >

Správa operace zabezpečení

Školení	Správa operace zabezpečení
	Jakmile nasadíte a zabezpečíte prostředí Azure, naučte se monitorovat, provozovat a průběžně zlepšovat zabezpečení vašich řešení. Tento studijní program vám pomůže připravit se na zkoušku AZ-500: Microsoft Azure Security Technologies.

Spustit >

Konfigurace zabezpečení úložiště

Školení

Konfigurace zabezpečení úložiště

Zjistěte, jak nakonfigurovat běžné funkce zabezpečení služby Azure Storage, jako jsou přístupové podpisy úložiště. V tomto modulu se naučíte: Nakonfigurujte sdílený přístupový podpis (SAS), včetně identifikátoru URI (Uniform Resource Identifier) a parametrů SAS. Nakonfigurujte šifrování služby Azure Storage. Implementujte klíče spravované zákazníkem. Doporučte příležitosti ke zlepšení zabezpečení služby Azure Storage.

Spustit >

Konfigurace služby Azure Firewall

Školení	Konfigurace služby Azure Firewall
	Dozvíte se, jak nakonfigurovat bránu Azure Firewall včetně pravidel brány firewall. Po dokončení modulu budete schopni: Určete, kdy použít Azure Firewall. Implementujte službu Azure Firewall včetně pravidel brány firewall.

Spustit >

Další školení o zabezpečení v Azure najdete v těchto materiálech v katalogu Microsoftu:
Zabezpečení v Azure | Microsoft Learn

Další kroky

Projděte si tyto další články týkající se uplatňování principů nulová důvěra (Zero Trust) v Azure:

• Pro Azure IaaS:
  • Úložiště Azure
  • Virtual Machines
  • Paprskové virtuální sítě
  • Virtuální sítě centra
  • Paprskové virtuální sítě se službami Azure PaaS
• Azure Virtual Desktop
• Azure Virtual WAN
• Aplikace IaaS ve službě Amazon Web Services
• Microsoft Sentinel a XDR v programu Microsoft Defender

Technické ilustrace

Tento plakát poskytuje jednostráňový pohled na komponenty Azure IaaS jako referenční a logické architektury společně s kroky k zajištění toho, aby tyto komponenty měly zásady "nikdy nedůvěřovat, vždy ověřovat" použitého modelu nulová důvěra (Zero Trust).

Položka	Související průvodci řešením
PDF | Visio Aktualizováno březen 2024	Služby Azure Storage Virtual Machines Paprskové virtuální sítě Virtuální sítě centra

Tento plakát poskytuje referenční a logické architektury a podrobné konfigurace samostatných komponent nulová důvěra (Zero Trust) pro Azure IaaS. Stránky tohoto plakátu můžete použít pro samostatná IT oddělení nebo speciality nebo s verzí souboru microsoft Visia přizpůsobit diagramy pro vaši infrastrukturu.

Položka	Související průvodci řešením
PDF | Visio Aktualizováno březen 2024	Služby Azure Storage Virtual Machines Paprskové virtuální sítě Virtuální sítě centra

Další technické ilustrace potřebujete kliknutím sem.

Reference

Informace o různých službách a technologiích uvedených v tomto článku najdete na následujících odkazech.

• Co je Azure – Microsoft Cloud Services
• Infrastruktura jako služba Azure (IaaS)
• Virtuální počítače pro Linux a Windows
• Seznámení se službou Azure Storage
• Azure Virtual Network
• Úvod do zabezpečení Azure
• nulová důvěra (Zero Trust) pokyny k implementaci
• Přehled srovnávacího testu zabezpečení cloudu Microsoftu
• Přehled standardních hodnot zabezpečení pro Azure
• Vytvoření první vrstvy obrany pomocí služeb zabezpečení Azure
• Referenční architektury kyberbezpečnosti Microsoftu