Azure Security and Compliance Blueprint: PaaS Web Application for FFIEC Financial Services

Áttekintés

Ez a Azure Security and Compliance Blueprint Automation útmutatást nyújt egy olyan paaS-környezet üzembe helyezéséhez, amely a Federal Financial Institution Examination ( FFIEC) által szabályozott pénzügyi adatok gyűjtéséhez, tárolásához és lekéréséhez alkalmas. Ez a megoldás automatizálja az Azure-erőforrások üzembe helyezését és konfigurálást egy közös referenciaarchitektúrához, bemutatva, hogyan teljesítik az ügyfelek az adott biztonsági és megfelelőségi követelményeket, és hogyan szolgálnak az ügyfelek alapként saját Azure-beli megoldások építéséhez és konfigurálására. A megoldás az FFIEC-kézikönyvek követelményeinek egy részkészletét valósítja meg. Az FFIEC-követelményekkel és ezzel a megoldással kapcsolatos további információkért tekintse meg a megfelelőségi dokumentációt.

Ez Azure Security and Compliance Blueprint automation előre konfigurált biztonsági vezérlőkkel üzembe helyez egy PaaS-webalkalmazás referenciaarchitektúráját, amely segít az ügyfeleknek az FFIEC-követelményeknek való megfelelésben. A megoldás Azure-beli virtuális Resource Manager és PowerShell-szkriptekből áll, amelyek az erőforrások üzembe helyezését és konfigurálást segítik.

Ez az architektúra arra szolgál, hogy az ügyfelek alkalmazkodni tudjanak a konkrét igényeikhez, és éles környezetben nem használhatók. Az alkalmazások módosítás nélküli üzembe helyezése ebben a környezetben nem elegendő az FFIEC-célkitűzések követelményeinek teljes körű megvalósításához. Vegye figyelembe a következőket:

• Ez az architektúra olyan alapkonfigurációt biztosít, amely segít az ügyfeleknek az Azure FFIEC-kompatibilis használatában.
• Az ügyfelek felelnek az architektúrával készült megoldások megfelelő biztonsági és megfelelőségi értékeléséért, mivel a követelmények az egyes ügyfelek implementációja alapján változhatnak.

Az FFIEC-megfelelőség eléréséhez a minősített auditorok tanúsítanának egy éles üzemű ügyfélmegoldást. Az auditokat az FFIEC tagirodái, például a Federal Reserve System (FRB), a Federal Federal Federal Insurance Corporation (FDIC), a National Credit Union Administration (NCUA), az Office of the Comptroller of the Currency (OCC) és a Consumer Financial Protection Bureau (CFPB) vizsgálói felügyelik. Ezek a vizsgázók tanúsítják, hogy a naplózást olyan értékelők végezték el, akik fenntartják a naplózási intézettől való függetlenséggel kapcsolatos problémákat. Az ügyfelek felelnek az architektúrával készült megoldások megfelelő biztonsági és megfelelőségi felméréséért, mivel a követelmények az egyes ügyfelek implementációja alapján változhatnak.

Az üzembe helyezési utasításokért kattintson ide.

Architektúradiagram és összetevők

Ez Azure Security and Compliance Blueprint, hogy az Automation referenciaarchitektúrát helyez üzembe egy paaS-webalkalmazáshoz egy Azure SQL Database háttéralkalmazással. A webalkalmazás egy elkülönített környezetben Azure App Service, amely egy privát, dedikált környezet egy Azure-adatközpontban. A környezet terheléselosztást biztosít a webalkalmazás forgalmának az Azure által kezelt virtuális gépek között. Ez az architektúra hálózati biztonsági csoportokat, Application Gateway, Azure DNS és Load Balancer.

A továbbfejlesztett elemzés és jelentéskészítés érdekében Azure SQL adatbázisok konfigurálhatóak oszlopcentrikus indexekkel. Azure SQL-adatbázisok az ügyfélhasználatra reagálva skálázhatóak fel vagy le, illetve teljesen le is kapcsolhatóak. Minden SQL forgalom SSL-titkosítással, önaírt tanúsítványokkal van titkosítva. Ajánlott eljárásként az Azure megbízható hitelesítésszolgáltató használatát javasolja a fokozott biztonság érdekében.

A megoldás Azure Storage fiókokat használ, amelyeket az ügyfelek az Storage Service Encryption használatára konfigurálva megőrizheti az adatok bizalmas kezelését. Az Azure három adatmásolatot tárol az ügyfél kiválasztott adatközpontjában a rugalmasság érdekében. A földrajzi redundáns tárolás biztosítja, hogy az adatok replikálva lesznek egy másodlagos adatközpontba több száz kilométer távolságban, és három példányban lesznek újra tárolva az adatközpontban, ezzel megakadályozva, hogy az ügyfél elsődleges adatközpontjában egy kedvezőtlen esemény adatvesztést eredményezzék.

A fokozott biztonság érdekében a megoldásban az összes erőforrás erőforráscsoportként kezelhető az Azure Resource Manager. Azure Active Directory szerepköralapú hozzáférés-vezérlés az üzembe helyezett erőforrásokhoz való hozzáférés szabályozására szolgál, beleértve a kulcsukat is az Azure Key Vault. A rendszer állapotát a rendszer Azure Monitor. Az ügyfelek a monitorozási szolgáltatásokat is konfigurálják a naplók rögzítésére és a rendszer állapotának egyetlen, könnyen navigálható irányítópulton való megjelenítésére.

Azure SQL Database általában a SQL Server Management Studio keresztül kezelik, amely egy biztonságos VPN- vagy ExpressRoute-kapcsolaton keresztüli hozzáférésre konfigurált helyi gépről Azure SQL Database fut.

Emellett az Application Elemzések valós idejű alkalmazásteljesítmény-felügyeleti és elemzési funkciókat biztosít a Azure Monitor naplók segítségével. A Microsoft azt javasolja, hogy konfiguráljon VPN- vagy ExpressRoute-kapcsolatot a felügyelethez és az adatoknak a referenciaarchitektúra alhálózatába történő importálására.

Ez a megoldás a következő Azure-szolgáltatásokat használja. Az üzembe helyezési architektúra részletei az üzembe helyezési architektúra szakaszban találhatóak.

• Application Gateway
  • Webalkalmazási tűzfal
    • Tűzfal üzemmód: megelőzés
    • Szabálykészlet: OWASP
    • Figyelőport: 443
• Application Insights
• Azure Active Directory
• Azure-alkalmazás Service Environment v2
• Azure Automation
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor (naplók)
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Azure Virtual Network
  • (1) /16 Hálózat
  • (4) /24 Networks
  • Network security groups (Hálózati biztonsági csoportok)
• Azure App Service

Üzembe helyezési architektúra

A következő szakasz az üzembe helyezés és az implementáció elemeit részletezi.

Azure Resource Manager: Az Azure Resource Manager segítségével az ügyfelek csoportként dolgozhatnak a megoldás erőforrásaival. Az ügyfelek egyetlen, koordinált műveletben telepítheti, frissítheti vagy törölhetik a megoldás összes erőforrását. Az ügyfelek egy sablont használhatnak az üzembe helyezéshez, és ez a sablon különböző környezetekben is használható, például teszteléshez, előkészítéshez és éles környezethez. Resource Manager biztonsági, naplózási és címkézési funkciókat biztosít, amelyek segítségével az ügyfelek az üzembe helyezés után kezelhetik erőforrásaikat.

Megerősített gazdagép: A megerősített gazdagép az a belépési pont, amely lehetővé teszi a felhasználók számára az ebben a környezetben üzembe helyezett erőforrásokhoz való hozzáférést. A megerősített gazdagép biztonságos kapcsolatot biztosít az üzembe helyezett erőforrásokhoz azáltal, hogy csak a biztonságos listában található nyilvános IP-címekről származó távoli forgalmat engedélyezi. A távoli asztali (RDP-) forgalom lehetővé tenni, hogy a forgalom forrását a hálózati biztonsági csoportban kell meghatározni.

Ez a megoldás egy virtuális gépet hoz létre tartományhoz csatlakozott megerősített gazdagépként a következő konfigurációval:

• Kártevőirtó bővítmény
• Azure Diagnostics bővítmény
• Azure Disk Encryption Azure Key Vault
• Automatikus leállítási szabályzat a virtuális gépek erőforrás-használatának csökkentése érdekében, ha nincs használatban
• Windows Defender a Credential Guardot, hogy a hitelesítő adatok és egyéb titkos kulcsok a futó operációs rendszertől elkülönített védett környezetben fusson

App Service Environment v2: A Azure App Service Environment egy App Service-szolgáltatás, amely teljes mértékben elkülönített és dedikált környezetet biztosít a App Service alkalmazások biztonságos, nagy léptékben való futtatásához. Ez az elkülönítési funkció az FFIEC megfelelőségi követelményeinek teljesítéséhez szükséges.

App Service környezetek el vannak különítve, hogy csak egyetlen ügyfél alkalmazásait futtassa, és mindig egy virtuális hálózatban vannak üzembe véve. Ez az elkülönítési funkció lehetővé teszi, hogy a referenciaarchitektúra teljesen elszigetelje a bérlőket, és eltávolítsa azt az Azure több-bérlős környezetből, és megtiltja, hogy a több-bérlősek enumerálják az üzembe helyezett App Service Environment erőforrásokat. Az ügyfelek az alkalmazások bejövő és kimenő hálózati forgalmát is finomhangolt vezérléssel szabályzzák, az alkalmazások pedig nagy sebességű, biztonságos kapcsolatokat létesíthet a virtuális hálózatok és a helyszíni vállalati erőforrások között. Az ügyfelek "automatikus skálázhatóak" a App Service Environment a terhelési metrikák, a rendelkezésre álló költségvetés vagy egy meghatározott ütemezés alapján.

A App Service Environment architektúra esetén a következő konfigurációk használhatók:

• Biztonságos Azure-beli virtuális hálózaton belüli gazdagép és hálózati biztonsági szabályok
• Önaírt belső terheléselelosztási tanúsítvány HTTPS-kommunikációhoz. Ajánlott eljárásként a Microsoft megbízható hitelesítésszolgáltató használatát javasolja a fokozott biztonság érdekében.
• Belső terheléselosztási mód
• A TLS 1.0 letiltása
• TLS-rejtjel módosítása
• Bejövő forgalom N/W portjainak szabályozása
• Webalkalmazási tűzfal – adatok korlátozása
• Forgalom Azure SQL Database engedélyezése

Azure App Service: Azure App Service lehetővé teszi az ügyfelek számára, hogy az infrastruktúra kezelése nélkül saját választott programozási nyelven építsenek és gazdaalkalmazásokat. Automatikus méretezést és magas rendelkezésre állást kínál, támogatja a Windows és a Linux rendszert is, valamint lehetővé teszi az automatikus üzembe helyezéseket a GitHub, az Azure DevOps vagy bármely egyéb Git-adattár használatával.

Virtual Network

Az architektúra egy 10.200.0.0/16 címtérű privát virtuális hálózatot definiál.

Hálózati biztonsági csoportok: A hálózati biztonsági csoportok hozzáférés-vezérlési listákat tartalmaznak, amelyek engedélyezik vagy megtagadják a virtuális hálózaton belüli forgalmat. A hálózati biztonsági csoportokkal alhálózati vagy egyéni virtuálisgép-szinten is biztonságossá teheti a forgalmat. A következő hálózati biztonsági csoportok léteznek:

• 1 hálózati biztonsági csoport Application Gateway
• 1 hálózati biztonsági csoport App Service Environment
• 1 hálózati biztonsági csoport Azure SQL Database
• 1 hálózati biztonsági csoport a megerősített gazdagéphez

Mindegyik hálózati biztonsági csoport meghatározott portokkal és protokollokkal rendelkezik, így a megoldás biztonságosan és megfelelően működik. Emellett az alábbi konfigurációk vannak engedélyezve az egyes hálózati biztonsági csoportokhoz:

• A diagnosztikai naplók és események engedélyezve vannak, és egy tárfiókban vannak tárolva
• Azure Monitor naplók a hálózati biztonsági csoport diagnosztikai naplóihoz csatlakoznak

Alhálózatok: Minden alhálózat a megfelelő hálózati biztonsági csoporthoz van társítva.

Azure DNS: A tartománynévrendszer vagy a DNS felelős egy webhely vagy szolgáltatás nevének AZ IP-címére fordításáért (vagy feloldásáért). Azure DNS egy üzemeltetési szolgáltatás DNS-tartományokhoz, amely névfeloldási megoldást biztosít az Azure-infrastruktúra használatával. Az Azure-beli tartományok üzemeltetése által a felhasználók a többi Azure-szolgáltatáshoz hasonló hitelesítő adatokkal, API-okkal, eszközökkel és számlázással kezelhetik a DNS-rekordokat. Azure DNS támogatja a privát DNS-tartományokat is.

Azure Load Balancer: Azure Load Balancer lehetővé teszi az ügyfelek számára, hogy skálázják az alkalmazásokat, és magas rendelkezésre állást hozzanak létre a szolgáltatások számára. Load Balancer támogatja a bejövő és kimenő forgatókönyveket, valamint alacsony késést, nagy átviteli sebességet biztosít, és akár több millió folyamatra is méretezhető az összes TCP- és UDP-alkalmazáshoz.

Átvitt adatok

Az Azure alapértelmezés szerint titkosítja az Azure-adatközpontok közötti összes kommunikációt. Az Azure-ba történő Storage https Azure Portal keresztül történik.

Inaktív adatok

Az architektúra titkosítással, adatbázis-naplózással és egyéb intézkedésekkel védi az adatok védelmét.

Azure Storage: Az azure-beli virtuális Storage a Service Encryption használatával Storage meg a titkosított adatokat. Ez segít az adatok védelmében és védelmében a szervezeti biztonsági kötelezettségvállalások és az FFIEC által meghatározott megfelelőségi követelmények támogatása érdekében.

Azure Disk Encryption: Azure Disk Encryption bitlocker szolgáltatása Windows adatlemezek kötettitkosítását biztosítja. A megoldás integrálható az Azure Key Vault a lemeztitkosítási kulcsok vezérlése és kezelése érdekében.

Azure SQL Database: A Azure SQL Database-példány a következő adatbázis-biztonsági intézkedéseket használja:

• Active Directory hitelesítés és engedélyezés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások identitáskezelést egyetlen központi helyen.
• SQL adatbázis-naplózás nyomon követi az adatbázis-eseményeket, és egy Naplóba írja őket egy Azure-tárfiókban.
• Azure SQL Database konfigurálva van a transzparens adattitkosítás használatára, amely valós időben titkosítja és visszafejti az adatbázist, a társított biztonsági másolatokat és a tranzakciós naplófájlokat az adatok védelme érdekében. A transzparens adattitkosítás biztosítja, hogy a tárolt adatokhoz nem történt jogosulatlan hozzáférés.
• A tűzfalszabályok mindaddig megakadályozzák az adatbázis-kiszolgálókhoz való hozzáférést, amíg meg nem kapják a megfelelő engedélyeket. A tűzfal biztosítja az adatbázisokhoz való hozzáférést az egyes kérések kiindulási IP-címe alapján.
• SQL fenyegetésészlelés lehetővé teszi a potenciális fenyegetések észlelését és a fenyegetésekre való reagálást azáltal, hogy biztonsági riasztásokat biztosít a gyanús adatbázis-tevékenységekről, a potenciális biztonsági résekről, SQL injektálási támadásokról és a rendellenes adatbázis-hozzáférési mintákról.
• A titkosított oszlopok biztosítják, hogy a bizalmas adatok soha ne jelenjenek meg egyszerű szövegként az adatbázisrendszeren belül. Az adattitkosítás engedélyezése után csak az ügyfélalkalmazások vagy a kulcsokhoz hozzáférő alkalmazáskiszolgálók férhetnek hozzá az egyszerű szöveges adatokhoz.
• SQL Database adatmaszkolás azáltal korlátozza a bizalmas adatoknak való kitettséget, hogy maszkkal maszkja az adatokat a nem kiemelt jogosultságú felhasználók vagy alkalmazások számára. A dinamikus adatmaszkolás képes automatikusan felderítni a potenciálisan bizalmas adatokat, és javaslatot tenni a megfelelő maszkok alkalmazására. Ez segít azonosítani és csökkenteni az adatokhoz való hozzáférést, hogy az ne lépjen ki az adatbázisból jogosulatlan hozzáféréssel. Az ügyfelek felelnek a dinamikus adatmaszkolás beállításainak az adatbázissémához való igazodás érdekében való módosításáért.

Identitáskezelés

Az alábbi technológiák az azure-környezetben az adatokhoz való hozzáférés kezelésére kínálnak képességeket:

• Azure Active Directory a Microsoft több-bérlős felhőalapú címtár- és identitáskezelési szolgáltatása. A megoldáshoz minden felhasználó a Azure Active Directory jön létre, beleértve a Azure SQL Database.
• Az alkalmazás hitelesítése a következő Azure Active Directory. További információ: Alkalmazások integrálása Azure Active Directory. Emellett az adatbázis oszloptitkosítása Azure Active Directory az alkalmazás hitelesítésére a Azure SQL Database. További információ: Bizalmas adatok védelme a Azure SQL Database.
• Az Azure szerepköralapú hozzáférés-vezérlése lehetővé teszi a rendszergazdák számára, hogy finomhangolt hozzáférési engedélyeket határozzanak meg, így csak a felhasználók által a munkájuk elvégzéséhez szükséges hozzáférést biztosítják. Ahelyett, hogy minden felhasználónak korlátlan engedélyt ad az Azure-erőforrásokhoz, a rendszergazdák csak bizonyos műveleteket engedélyeznek az adatok eléréséhez. Az előfizetéshez való hozzáférés az előfizetés-rendszergazdára korlátozódik.
• Azure Active Directory Privileged Identity Management lehetővé teszi az ügyfelek számára, hogy minimalizálják azon felhasználók számát, akik bizonyos információkhoz hozzáférnek. A rendszergazdák a Azure Active Directory Privileged Identity Management az emelt szintű identitások és az erőforrásokhoz való hozzáférésük felderítését, korlátozását és figyelése érdekében. Ez a funkció igény szerinti, igény szerinti rendszergazdai hozzáférés kényszeríthető szükség esetén.
• Azure Active Directory Identity Protection észleli a szervezet identitásait érintő lehetséges biztonsági réseket, automatikus válaszokat konfigurál a szervezet identitásával kapcsolatos észlelt gyanús műveletekre, és megvizsgálja a gyanús incidenseket, hogy meg tudja tenni a megfelelő lépéseket a probléma megoldása érdekében.

Biztonság

Titkos kulcsok kezelése: A megoldás az Azure Key Vault használja a kulcsok és titkos kulcsok kezeléséhez. Az Azure Key Vault segít a felhőalapú alkalmazások és szolgáltatások által használt titkosítási kulcsok és titkos kulcsok védelmében. A következő Azure Key Vault funkciók segítenek az ügyfeleknek az ilyen adatok védelmében és elérésében:

• A speciális hozzáférési szabályzatok konfigurálása szükség szerint történik.
• Key Vault hozzáférési szabályzatok a kulcsokra és titkos kulcsokra vonatkozó minimálisan szükséges engedélyekkel vannak definiálva.
• Az összes kulcsnak és titkos kulcsnak Key Vault lejárati dátuma van.
• A kulcsokat Key Vault hardveres biztonsági modulok védik. A kulcs típusa HSM által védett 2048 bites RSA-kulcs.
• Szerepköralapú hozzáférés-vezérléssel minden felhasználó és identitás a minimálisan szükséges engedélyeket kapja meg.
• A diagnosztikai naplók Key Vault legalább 365 napos megőrzési időtartammal vannak engedélyezve.
• A kulcsok engedélyezett titkosítási műveletei csak a szükséges titkosítási műveletekre korlátozódnak.

Azure Security Center: A Azure Security Center segítségével az ügyfelek központilag alkalmazhatják és kezelhetik a biztonsági szabályzatokat a számítási feladatokban, korlátozhatják a fenyegetéseknek való kitettséget, valamint észlelheti a támadásokat, és reagálhatnak azokra. Emellett a Azure Security Center azure-szolgáltatások meglévő konfigurációihoz is hozzáfér, hogy konfigurációs és szolgáltatási javaslatokat biztosítson a biztonsági helyzet javítása és az adatok védelme érdekében.

Azure Security Center különböző észlelési képességeket használ, hogy riasztást küld az ügyfeleknek a környezetüket célzó potenciális támadásokról. Ezek a riasztások értékes információkat tartalmaznak arról, hogy mi váltotta ki a riasztást, valamint a támadás forrásáról és az általa célba vett erőforrásokról. Azure Security Center előre meghatározott biztonsági riasztások készletével rendelkezik, amelyek fenyegetés vagy gyanús tevékenység beesésekor aktiválódnak. Az egyéni riasztási Azure Security Center lehetővé teszik az ügyfelek számára, hogy új biztonsági riasztásokat határozzanak meg a környezetükből már gyűjtött adatok alapján.

Azure Security Center rangsorol biztonsági riasztásokat és incidenseket biztosít, így az ügyfelek egyszerűbben deríthetik fel és megoldhetik a potenciális biztonsági problémákat. Minden észlelt fenyegetéshez létrejön egy fenyegetésintelligencia-jelentés, amely segítséget nyújt az incidensválasz-csapatoknak a fenyegetések kivizsgálásában és orvoslásában.

Azure Application Gateway: Az architektúra egy konfigurált webalkalmazási tűzfallal és engedélyezett OWASP-szabálykészlettel rendelkező Azure Application Gateway csökkenti a biztonsági rések kockázatát. További képességek:

• Végpontok között ssl
• SSL-alapú kiszervezés engedélyezése
• A TLS 1.0-s és 1.1-es tiltása
• Webalkalmazási tűzfal (megelőzési mód)
• Megelőzési mód az OWASP 3.0 szabálykészletben
• Diagnosztikai naplózás engedélyezése
• Egyéni állapot-mintavételek
• Azure Security Center és Azure Advisor további védelmet és értesítéseket biztosítanak. Azure Security Center a hírnévrendszert is biztosítja.

Naplózás

Az Azure-szolgáltatások részletesen naplózják a rendszer- és felhasználói tevékenységeket, valamint a rendszer állapotát:

• Tevékenységnaplók: A tevékenységnaplók betekintést nyújtanak az előfizetés erőforrásain végrehajtott műveletekbe. A tevékenységnaplók segítségével meghatározhatja egy művelet kezdeményezőját, előfordulási idejét és állapotát.
• Diagnosztikai naplók: A diagnosztikai naplók tartalmazzák az összes erőforrás által kibocsátott naplókat. Ezek a naplók Windows eseményrendszernaplókat, az Azure Storage-naplókat, Key Vault auditnaplókat, valamint a Application Gateway tűzfalnaplókat. Az összes diagnosztikai napló egy központosított és titkosított Azure Storage-fiókba ír az archiváláshoz. A felhasználó által konfigurálható megőrzési idő legfeljebb 730 nap, hogy megfeleljen a szervezetre jellemző adatmegőrzési követelményeknek.

Azure Monitor naplók: Ezeket a naplókat a Azure Monitor összesíteni a feldolgozáshoz, tároláshoz és irányítópult-jelentéskészítéshez. Az adatgyűjtés után az adatok külön táblákba vannak rendezve a Log Analytics-munkaterületeken belüli adattípusokhoz, így az összes adat együtt elemezhető az eredeti forrástól függetlenül. Emellett a Azure Security Center integrálható az Azure Monitor-naplókba, így az ügyfelek Kusto-lekérdezésekkel férhetnek hozzá a biztonsági esemény adataikhoz, és kombinálhatja őket más szolgáltatások adataival.

Az architektúra a következő Azure monitorozási megoldásokat tartalmazza:

• Active Directory Assessment: A Active Directory Health Check megoldás rendszeres időközönként felméri a kiszolgálókörnyezetek kockázatát és állapotát, és rangsorolt listát biztosít az üzembe helyezett kiszolgálói infrastruktúrára vonatkozó javaslatokról.
• SQL Assessment: A SQL Health Check megoldás rendszeres időközönként értékeli a kiszolgálókörnyezetek kockázatát és állapotát, és az üzembe helyezett kiszolgálói infrastruktúrára vonatkozó javaslatok rangsorolt listáját biztosítja az ügyfeleknek.
• Agent Health: A Agent Health-megoldás jelenti, hogy hány ügynök van telepítve, és azok földrajzi eloszlása, valamint a nem válaszoló ügynökök száma, valamint az operatív adatokat bekérő ügynökök száma.
• Activity Log Analytics: A Activity Log Analytics megoldás segít az azure-tevékenységnaplók elemzésében az ügyfél összes Azure-előfizetésében.

Azure Automation: Azure Automation tárolja, futtatja és kezeli a runbookokat. Ebben a megoldásban a runbookok segítenek a naplók gyűjtésében a Azure SQL Database. Az Automation Change Tracking lehetővé teszi az ügyfelek számára a környezet változásainak egyszerű azonosítását.

Azure Monitor:Azure Monitor segít a felhasználóknak a teljesítmény nyomon követésében, a biztonság fenntartásában és a trendek azonosításában azáltal, hogy lehetővé teszi a szervezetek számára az adatok naplózását, riasztások és archiválását, beleértve az API-hívások nyomon követését az Azure-erőforrásokban.

Alkalmazás Elemzések: Az Elemzések egy többplatformos webfejlesztők számára elérhető alkalmazásteljesítmény-kezelési szolgáltatás. Az Elemzések észleli a teljesítményanomáliákat, és az ügyfelek az élő webalkalmazás monitorozható vele. Hatékony elemzési eszközöket tartalmaz, amelyek segítenek az ügyfeleknek diagnosztizálni a problémákat, és megérteni, hogy a felhasználók valójában mit is tegyenek az alkalmazással. Úgy tervezték, hogy segítsen az ügyfeleknek a teljesítmény és a használhatóság folyamatos javításában.

Fenyegetésmodell

A referenciaarchitektúra adatfolyam-diagramja letölthető vagy az alábbiakban található. Ez a modell segíthet az ügyfeleknek megérteni a rendszerinfra infrastruktúrájának lehetséges kockázati pontjait a módosításokkor.

Megfelelőségi dokumentáció

A Azure Security and Compliance Blueprint – FFIEC Customer Responsibility Matrix az FFIEC által megkövetelt összes biztonsági célkitűzést felsorolja. Ez a mátrix azt részletezi, hogy az egyes cél megvalósítása a Microsoft, az ügyfél vagy a kettő között megosztott felelősség-e.

Az Azure Security and Compliance Blueprint – FFIEC PaaS webalkalmazás-implementáció mátrixa információt nyújt arról, hogy a PaaS-webalkalmazás architektúrája mely FFIEC-követelményeket teljesíti, beleértve annak részletes leírását, hogy az implementáció hogyan felel meg az egyes lefedett cél követelményeinek.

A megoldás üzembe helyezése

Ez Azure Security and Compliance Blueprint Automation olyan JSON-konfigurációs fájlokból és PowerShell-szkriptekből áll, amelyet az Azure Resource Manager API szolgáltatása kezel az erőforrások Azure-ban való üzembe helyezéséhez. A részletes üzembe helyezési utasítások itt érhetők el.

Gyorsútmutató

1. Klónozza vagy töltse GitHub tárházat a helyi munkaállomásra.

2. Tekintse 0-Setup-AdministrativeAccountAndPermission.md és futtassa a megadott parancsokat.

3. Üzembe helyezhet egy tesztmegoldást a Contoso mintaadatokkal, vagy próbakörnyezetet is üzembe helyezhet.

   • 1A-ContosoWebStoreDemoAzureResources.ps1
     • Ez a szkript Azure-erőforrásokat helyez üzembe a Contoso mintaadatokat használó webáruház bemutatója érdekében.
   • 1-DeployAndConfigureAzureResources.ps1
     • Ez a szkript üzembe helyezheti az éles környezet támogatásához szükséges Azure-erőforrásokat egy ügyfél tulajdonában lévő webalkalmazáshoz. Ezt a környezetet az ügyfélnek tovább kell szabni a szervezeti követelmények alapján.

Útmutatás és javaslatok

VPN és ExpressRoute

Biztonságos VPN-alagutat vagy ExpressRoute-et kell konfigurálni, hogy biztonságosan kapcsolatot létesítsen a PaaS-webalkalmazás referenciaarchitektúrája részeként üzembe helyezett erőforrásokkal. A VPN vagy az ExpressRoute megfelelő beállításával az ügyfelek egy védelmi réteget adhatnak hozzá az átvitel alatt található adatokhoz.

Ha biztonságos VPN-alagutat hoz létre az Azure-ral, virtuális privát kapcsolat létesítése történik egy helyszíni hálózat és egy Azure-Virtual Network között. Ez a kapcsolat az interneten keresztül történik, és lehetővé teszi, hogy az ügyfelek biztonságosan "bújtatják" az információkat egy titkosított kapcsolaton belül az ügyfél hálózata és az Azure között. A hely–hely TÍPUSÚ VPN biztonságos, fejlett technológia, amelyet a vállalatok évtizedek óta minden méretben üzembe helyeznek. Ebben a beállításban az IPsec-alagút módot használjuk titkosítási mechanizmusként.

Mivel a VPN-alagúton belüli forgalom egy hely–hely VPN-kapcsolattal halad át az interneten, a Microsoft egy másik, még biztonságosabb kapcsolódási lehetőséget kínál. Azure ExpressRoute egy dedikált WAN-kapcsolat az Azure és egy helyszíni hely, vagy egy Exchange szolgáltató között. Mivel az ExpressRoute-kapcsolatok nem az interneten haladnak át, ezek a kapcsolatok megbízhatóbbak, gyorsabbak, alacsonyabb késést és nagyobb biztonságot nyújtanak, mint a tipikus internetes kapcsolatok. Továbbá, mivel ez az ügyfél távközlési szolgáltatójának közvetlen kapcsolata, az adatok nem az interneten keresztül vannak áthozva, ezért nem fedik fel őket.

A helyszíni hálózatot az Azure-ba kiterjesztő biztonságos hibrid hálózat megvalósításának ajánlott eljárásai elérhetők.

Disclaimer

• This document is for informational purposes only. A MICROSOFT NEM VÁLLAL SEMMILYEN KIFEJEZETT, HALLGATÓLAGOS VAGY TÖRVÉNYI GARANCIÁT A JELEN DOKUMENTUMBAN TALÁLHATÓ INFORMÁCIÓKÉRT. Ez a dokumentum "adott esetben" van megtéve. A jelen dokumentumban kifejezett információk és nézetek, beleértve az URL-címeket és más internetes webhelyhivatkozásokat, értesítés nélkül változhatnak. A dokumentumot olvasó ügyfelek kockázatot vállalnak a dokumentum használatának kockázatával.
• Ez a dokumentum semmilyen jogi jogot nem biztosít az ügyfelek számára a Microsoft bármely termékében vagy megoldásában található szellemi tulajdonra.
• Az ügyfelek ezt a dokumentumot belső referencia céljából másolhatja és használhatja.
• A dokumentum egyes javaslatai megnövekedett adat-, hálózat- vagy számításierőforrás-használatot eredményezhetnek az Azure-ban, és növelhetik az ügyfél Azure-licenc- vagy előfizetési költségeit.
• Ennek az architektúrának az a célja, hogy alapként szolgáljon az ügyfelek számára a konkrét követelményekhez való igazodáshoz, és nem használható éles környezetben.
• Ez a dokumentum referenciaként van kifejlesztve, és nem használható arra, hogy meghatározza az összes olyan eszközt, amellyel az ügyfél megfelelhet bizonyos megfelelőségi követelményeknek és előírásoknak. Az ügyfeleknek jogi támogatást kell kérniük a szervezettől a jóváhagyott ügyfél-implementációkhoz.