Cloudontwerppatronen die ondersteuning bieden voor beveiliging

Wanneer u workloadarchitecturen ontwerpt, moet u branchepatronen gebruiken die veelvoorkomende uitdagingen aanpakken. Patronen kunnen u helpen opzettelijke afwegingen te maken binnen workloads en te optimaliseren voor het gewenste resultaat. Ze kunnen ook helpen bij het beperken van risico's die afkomstig zijn van specifieke problemen, die van invloed kunnen zijn op de betrouwbaarheid, prestaties, kosten en bewerkingen. Deze risico's kunnen duiden op een gebrek aan beveiligingsgaranties. Als u dit onbeheerd laat, kan dit aanzienlijke risico's voor het bedrijf vormen. Deze patronen worden ondersteund door de praktijk, zijn ontworpen voor cloudschaal- en operationele modellen en zijn inherent leverancieronafhankelijk. Het gebruik van bekende patronen als een manier om uw workloadontwerp te standaardiseren, is een onderdeel van operationele uitmuntendheid.

Veel ontwerppatronen ondersteunen rechtstreeks een of meer architectuurpijlers. Ontwerppatronen die ondersteuning bieden voor de pijler Beveiliging, geven prioriteit aan concepten zoals segmentatie en isolatie, sterke autorisatie, uniforme toepassingsbeveiliging en moderne protocollen.

Ontwerppatronen voor beveiliging

De volgende tabel bevat een overzicht van cloudontwerppatronen die de beveiligingsdoelen ondersteunen.

Patroon Samenvatting
Ambassadeur Hiermee wordt netwerkcommunicatie ingekapseld en beheerd door cross-cutting taken te offloaden die betrekking hebben op netwerkcommunicatie. De resulterende helperservices initiëren communicatie namens de client. Dit bemiddelingspunt biedt de mogelijkheid om de beveiliging van netwerkcommunicatie te verbeteren.
Back-ends voor front-ends Hiermee wordt de servicelaag van een workload geïndividaliseerd door afzonderlijke services te maken die exclusief zijn voor een specifieke front-endinterface. Vanwege deze scheiding kunnen de beveiliging en autorisatie in de servicelaag die ondersteuning bieden voor één client, worden afgestemd op de functionaliteit van die client, waardoor de oppervlakte van een API en laterale verplaatsing tussen verschillende back-ends die mogelijk verschillende mogelijkheden beschikbaar maken, wordt verkleind.
Bulkhead Introduceert opzettelijke en volledige segmentatie tussen onderdelen om de straal van storingen te isoleren. U kunt deze strategie ook gebruiken om beveiligingsincidenten in het gecompromitteerde schot te voorkomen.
Claimcontrole Hiermee worden gegevens gescheiden van de berichtenstroom, zodat u de gegevens met betrekking tot een bericht afzonderlijk kunt ophalen. Dit patroon ondersteunt het houden van gevoelige gegevens uit berichtteksten, in plaats daarvan het beheren ervan in een beveiligd gegevensarchief. Met deze configuratie kunt u een strengere autorisatie instellen ter ondersteuning van toegang tot de gevoelige gegevens van services die de gegevens naar verwachting zullen gebruiken, maar de zichtbaarheid van aanvullende services zoals wachtrijbewakingsoplossingen verwijderen.
Federatieve identiteit Hiermee wordt een vertrouwensrelatie gedelegeerd aan een id-provider die extern is voor de workload voor het beheren van gebruikers en het bieden van verificatie voor uw toepassing. Door gebruikersbeheer en verificatie te externaliseren, krijgt u geavanceerde mogelijkheden voor detectie en preventie van bedreigingen op basis van identiteiten zonder dat u deze mogelijkheden in uw workload hoeft te implementeren. Externe id-providers gebruiken moderne interoperabele verificatieprotocollen.
Gatekeeper Offloads van aanvraagverwerking die specifiek bedoeld is voor het afdwingen van beveiliging en toegangsbeheer voor en na het doorsturen van de aanvraag naar een back-endknooppunt. Als u een gateway toevoegt aan de aanvraagstroom, kunt u de beveiligingsfunctionaliteit centraliseren, zoals webtoepassingsfirewalls, DDoS-beveiliging, botdetectie, aanvraagbewerking, verificatieinitiatie en autorisatiecontroles.
Aggregatie van gateway Vereenvoudigt clientinteracties met uw workload door aanroepen naar meerdere back-endservices in één aanvraag samen te voegen. Deze topologie vermindert vaak het aantal aanraakpunten dat een client heeft met een systeem, waardoor het openbare oppervlak en de verificatiepunten worden verminderd. De samengevoegde back-ends kunnen volledig van het netwerk geïsoleerd blijven van clients.
Offloading van gateway Offload aanvraagverwerking naar een gatewayapparaat voor en na het doorsturen van de aanvraag naar een back-endknooppunt. Door een gateway toe te voegen aan de aanvraagstroom, kunt u de beveiligingsfunctionaliteit centraliseren, zoals webtoepassingsfirewalls en TLS-verbindingen met clients. Alle door het platform geleverde offloadfunctionaliteit biedt al verbeterde beveiliging.
Uitgever/abonnee Koppelt onderdelen in een architectuur los door directe client-naar-service-communicatie te vervangen door communicatie via een tussenliggende berichtenbroker of gebeurtenisbus. Deze vervanging introduceert een belangrijke beveiligingssegmentatiegrens waarmee wachtrijabonnees in een netwerk kunnen worden geïsoleerd van de uitgever.
Quarantaine Zorgt ervoor dat externe assets voldoen aan een door het team overeengekomen kwaliteitsniveau voordat ze worden geautoriseerd om ze in de workload te gebruiken. Deze controle fungeert als een eerste beveiligingsvalidatie van externe artefacten. De validatie van een artefact wordt uitgevoerd in een gesegmenteerde omgeving voordat het wordt gebruikt binnen de SDL (Secure Development Lifecycle).
Sidecar Breidt de functionaliteit van een toepassing uit door niet-primaire of kruislingse taken in te kapselen in een begeleidend proces dat naast de hoofdtoepassing bestaat. Door deze taken in te kapselen en ze out-of-process te implementeren, kunt u de oppervlakte van gevoelige processen beperken tot alleen de code die nodig is om de taak uit te voeren. U kunt ook sidecars gebruiken om kruislingse beveiligingsbesturingselementen toe te voegen aan een toepassingsonderdeel dat niet systeemeigen is ontworpen met die functionaliteit.
Beperking Hiermee worden limieten opgelegd aan de snelheid of doorvoer van binnenkomende aanvragen voor een resource of onderdeel. U kunt de limieten ontwerpen om te voorkomen dat resources uitputten als gevolg van geautomatiseerd misbruik van het systeem.
Valetsleutel Verleent beveiligingsbeperkingen toegang tot een resource zonder een tussenliggende resource te gebruiken om de toegang te proxyen. Met dit patroon kan een client rechtstreeks toegang krijgen tot een resource zonder langdurige of permanente referenties. Alle toegangsaanvragen beginnen met een controleerbare transactie. De verleende toegang wordt vervolgens beperkt in zowel het bereik als de duur. Dit patroon maakt het ook gemakkelijker om de verleende toegang in te trekken.

Volgende stappen

Bekijk de cloudontwerppatronen die ondersteuning bieden voor de andere Azure Well-Architected Framework-pijlers: