Blauwdruk voor beveiliging en naleving van Azure: PaaS-webtoepassing voor PCI DSS

Overzicht

Deze Azure Security and Compliance Blueprint Automation biedt richtlijnen voor de implementatie van een PCI DSS 3.2-compatibele Platform as a Service-omgeving (PaaS) die geschikt is voor het verzamelen, opslaan en ophalen van kaarthoudergegevens. Deze oplossing automatiseert de implementatie en configuratie van Azure-resources voor een gemeenschappelijke referentiearchitectuur, waarmee wordt gedemonstreerd hoe klanten aan specifieke beveiligings- en nalevingsvereisten kunnen voldoen en dienen als basis voor klanten om hun eigen oplossingen in Azure te bouwen en te configureren. De oplossing implementeert een subset van vereisten van PCI DSS 3.2. Zie de sectie over nalevingsdocumentatie voor meer informatie over PCI DSS 3.2-vereisten en deze oplossing.

Deze Azure Security and Compliance Blueprint Automation implementeert automatisch een PaaS-webtoepassingsreferentiearchitectuur met vooraf geconfigureerde beveiligingscontroles om klanten te helpen naleving te bereiken van PCI DSS 3.2-vereisten. De oplossing bestaat uit Azure Resource Manager-sjablonen en PowerShell-scripts die de implementatie en configuratie van resources begeleiden.

Deze architectuur is bedoeld als basis voor klanten om zich aan te passen aan hun specifieke vereisten en mag niet worden gebruikt als in een productieomgeving. Het implementeren van een toepassing in deze omgeving zonder aanpassing is niet voldoende om volledig te voldoen aan de vereisten van PCI DSS 3.2. Houd rekening met het volgende:

• Deze architectuur biedt een basislijn om klanten te helpen Azure te gebruiken op een PCI DSS 3.2-compatibele manier.
• Klanten zijn verantwoordelijk voor het uitvoeren van de juiste beveiligings- en nalevingsevaluatie van elke oplossing die is gebouwd met behulp van deze architectuur, omdat de vereisten kunnen variëren op basis van de specifieke kenmerken van de implementatie van elke klant.

Het bereiken van PCI DSS-naleving vereist dat een erkende QSA (Qualified Security Assessor) een productieklantoplossing certificeert. Klanten zijn verantwoordelijk voor het uitvoeren van passende beveiligings- en nalevingsevaluaties van elke oplossing die met deze architectuur is gebouwd, omdat de vereisten kunnen variëren op basis van de specifieke kenmerken van de implementatie van elke klant.

Klik hier voor implementatie-instructies.

Architectuurdiagram en onderdelen

Deze Azure Security and Compliance Blueprint Automation implementeert een referentiearchitectuur voor een PaaS-webtoepassing met een Azure SQL Database-back-end. De webtoepassing wordt gehost in een geïsoleerde Azure App Service Omgeving, een privéomgeving met toegewezen omgeving in een Azure-datacenter. Met de omgeving wordt verkeer voor de webtoepassing verdeeld over virtuele machines die worden beheerd door Azure. Deze architectuur omvat ook netwerkbeveiligingsgroepen, een Application Gateway, Azure DNS en Load Balancer.

Voor uitgebreide analyse en rapportage kunnen Azure SQL databases worden geconfigureerd met columnstore-indexen. Azure SQL databases kunnen omhoog of omlaag worden geschaald of volledig worden uitgeschakeld als reactie op het gebruik van klanten. Al het SQL-verkeer wordt versleuteld met SSL via de opname van zelfondertekende certificaten. Als best practice raadt Azure het gebruik van een vertrouwde certificeringsinstantie aan voor verbeterde beveiliging.

De oplossing maakt gebruik van Azure Storage-accounts, die klanten kunnen configureren voor het gebruik van Storage Service Encryption om de vertrouwelijkheid van data-at-rest te behouden. Azure slaat drie kopieën van gegevens op in het geselecteerde datacenter van een klant voor tolerantie. Geografisch redundante opslag zorgt ervoor dat gegevens worden gerepliceerd naar een secundair datacenter honderden kilometers verderop en opnieuw worden opgeslagen als drie kopieën in dat datacenter, waardoor een ongunstige gebeurtenis in het primaire datacenter van de klant kan worden voorkomen dat er gegevens verloren gaan.

Voor verbeterde beveiliging worden alle resources in deze oplossing beheerd als een resourcegroep via Azure Resource Manager. Op rollen gebaseerd toegangsbeheer van Azure Active Directory wordt gebruikt voor het beheren van de toegang tot geïmplementeerde resources, met inbegrip van hun sleutels in Azure Key Vault. De systeemstatus wordt bewaakt via Azure Monitor. Klanten configureren beide bewakingsservices om logboeken vast te leggen en de systeemstatus weer te geven in één eenvoudig bevaarbaar dashboard.

Azure SQL Database wordt doorgaans beheerd via SQL Server Management Studio, dat wordt uitgevoerd vanaf een lokale computer die is geconfigureerd voor toegang tot de Azure SQL Database via een beveiligde VPN- of ExpressRoute-verbinding.

Bovendien biedt Application Insights realtime beheer van toepassingsprestaties en -analyses via Azure Monitor-logboeken. Microsoft raadt u aan om een VPN- of ExpressRoute-verbinding te configureren voor beheer en gegevensimport in het subnet van de referentiearchitectuur.

Deze oplossing maakt gebruik van de volgende Azure-services. Details van de implementatiearchitectuur vindt u in de sectie Implementatiearchitectuur .

• App Service Environment v2
• Application Gateway
  • (1) Web Application Firewall
    • Firewallmodus: preventie
    • Regelset: OWASP 3.0
    • Listenerpoort: 443
• Application Insights
• Azure Active Directory
• Azure Automation
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Azure Virtual Network
  • (1) /16 Netwerk
  • (4) /24 Netwerken
  • (4) Netwerkbeveiligingsgroepen
• Azure Web App

Implementatiearchitectuur

In de volgende sectie worden de implementatie- en implementatie-elementen beschreven.

Azure Resource Manager: Met Azure Resource Manager kunnen klanten als groep met de resources in de oplossing werken. Klanten kunnen alle resources voor de oplossing implementeren, bijwerken of verwijderen in één gecoördineerde bewerking. Klanten gebruiken een sjabloon voor implementatie en die sjabloon kan werken voor verschillende omgevingen, zoals testen, faseren en productie. Resource Manager biedt beveiligings-, controle- en tagfuncties om klanten te helpen bij het beheren van hun resources na de implementatie.

Bastion-host: de bastionhost is het single point of entry waarmee gebruikers toegang hebben tot de geïmplementeerde resources in deze omgeving. De bastionhost biedt een beveiligde verbinding met geïmplementeerde resources door alleen extern verkeer van openbare IP-adressen op een veilige lijst toe te staan. Als u extern bureaublad-verkeer (RDP) wilt toestaan, moet de bron van het verkeer worden gedefinieerd in de netwerkbeveiligingsgroep.

Met deze oplossing maakt u een virtuele machine als een bastionhost die lid is van een domein met de volgende configuraties:

• Antimalware-extensie
• Azure Diagnostics-extensie
• Azure Disk Encryption met behulp van Azure Key Vault
• Een beleid voor automatisch afsluiten om het verbruik van resources van virtuele machines te verminderen wanneer deze niet in gebruik zijn
• Windows Defender Credential Guard ingeschakeld zodat referenties en andere geheimen worden uitgevoerd in een beveiligde omgeving die is geïsoleerd van het actieve besturingssysteem

App Service Environment v2: De Azure App Service-omgeving is een App Service functie die een volledig geïsoleerde en toegewezen omgeving biedt voor het veilig uitvoeren van App Service toepassingen op grote schaal. Deze isolatiefunctie is vereist om te voldoen aan pci-nalevingsvereisten.

App Service omgevingen zijn geïsoleerd om alleen de toepassingen van één klant uit te voeren en altijd in een virtueel netwerk te worden geïmplementeerd. Met deze isolatiefunctie kan de referentiearchitectuur volledige tenantisolatie hebben, waardoor deze wordt verwijderd uit de omgeving met meerdere tenants van Azure, waardoor deze multitenants de geïmplementeerde App Service Environment resources niet kunnen inventariseren. Klanten hebben nauwkeurige controle over zowel inkomend als uitgaand toepassingsnetwerkverkeer en toepassingen kunnen snelle beveiligde verbindingen tot stand brengen via virtuele netwerken naar on-premises bedrijfsresources. Klanten kunnen automatisch schalen met App Service Environment op basis van metrische gegevens over belasting, beschikbaar budget of een gedefinieerd schema.

Gebruik App Service omgevingen voor de volgende besturingselementen/configuraties:

• Hosten binnen een beveiligde Azure-Virtual Network en netwerkbeveiligingsregels
• Zelfondertekend ILB-certificaat voor HTTPS-communicatie
• Interne taakverdelingsmodus
• TLS 1.0 uitschakelen
• TLS-codering wijzigen
• N/W-poorten voor binnenkomend verkeer beheren
• Web Application Firewall : gegevens beperken
• Azure SQL databaseverkeer toestaan

Azure Web App: Azure App Service stelt klanten in staat om webtoepassingen te bouwen en te hosten in de programmeertaal van hun keuze zonder infrastructuur te beheren. Het biedt automatisch schalen en een hoge beschikbaarheid, ondersteuning voor zowel Windows als Linux en maakt automatische implementaties mogelijk vanuit GitHub, Azure DevOps of een willekeurige Git-repo.

Virtual Network

De architectuur definieert een privé-Virtual Network met een adresruimte van 10.200.0.0/16.

Netwerkbeveiligingsgroepen: netwerkbeveiligingsgroepen bevatten Access Control lijsten (ACL's) die verkeer binnen een Virtual Network toestaan of weigeren. Netwerkbeveiligingsgroepen kunnen worden gebruikt om verkeer op subnet- of afzonderlijke VM-niveau te beveiligen. De volgende netwerkbeveiligingsgroepen bestaan:

• 1 Netwerkbeveiligingsgroep voor Application Gateway
• 1 Netwerkbeveiligingsgroep voor App Service Environment
• 1 Netwerkbeveiligingsgroep voor Azure SQL Database
• 1 netwerkbeveiligingsgroep voor bastionhost

Voor elk van de netwerkbeveiligingsgroepen zijn specifieke poorten en protocollen geopend, zodat de oplossing veilig en correct kan werken. Daarnaast zijn de volgende configuraties ingeschakeld voor elke netwerkbeveiligingsgroep:

• Diagnostische logboeken en gebeurtenissen worden ingeschakeld en opgeslagen in een opslagaccount
• Azure Monitor-logboeken zijn verbonden met de diagnostische gegevens van de netwerkbeveiligingsgroep

Subnetten: elk subnet is gekoppeld aan de bijbehorende netwerkbeveiligingsgroep.

Azure DNS: Het Domain Name System of DNS is verantwoordelijk voor het vertalen (of omzetten) van een website of servicenaam naar het IP-adres. Azure DNS is een hostingservice voor DNS-domeinen die naamomzetting biedt met behulp van de Azure-infrastructuur. Door domeinen in Azure te hosten, kunnen gebruikers DNS-records beheren met dezelfde referenties, API's, hulpprogramma's en facturering als andere Azure-services. Azure DNS biedt ook ondersteuning voor privé-DNS-domeinen.

Azure Load Balancer: met Azure Load Balancer kunnen klanten hun toepassingen schalen en hoge beschikbaarheid voor services creëren. Load Balancer ondersteunt zowel binnenkomende als uitgaande scenario's en biedt lage latentie, hoge doorvoer en schaalt omhoog naar miljoenen stromen voor alle TCP- en UDP-toepassingen.

Actieve gegevens

Azure versleutelt standaard alle communicatie van en naar Azure-datacenters. Alle transacties naar Azure Storage via de Azure Portal vinden plaats via HTTPS.

Inactieve gegevens

De architectuur beveiligt data-at-rest via versleuteling, databasecontrole en andere metingen.

Azure Storage: Om te voldoen aan de vereisten voor versleutelde data-at-rest, maakt alle Azure Storage gebruik van Storage Service Encryption. Dit helpt bij het beschermen en beschermen van gegevens van kaarthouders ter ondersteuning van beveiligingsverplichtingen en nalevingsvereisten van de organisatie die zijn gedefinieerd door PCI DSS 3.2.

Azure Disk Encryption: Azure Disk Encryption maakt gebruik van de BitLocker-functie van Windows om volumeversleuteling te bieden voor gegevensschijven. De oplossing kan worden geïntegreerd met Azure Key Vault om de sleutels voor schijfversleuteling te beheren en te beheren.

Azure SQL Database: Het Azure SQL Database-exemplaar maakt gebruik van de volgende databasebeveiligingsmaatregelen:

• Active Directory-verificatie en -autorisatie maakt identiteitsbeheer mogelijk van databasegebruikers en andere Microsoft-services op één centrale locatie.
• Sql Database Auditing houdt databasegebeurtenissen bij en schrijft deze naar een auditlogboek in een Azure-opslagaccount.
• Azure SQL Database is geconfigureerd voor het gebruik van transparante gegevensversleuteling, waarmee realtime versleuteling en ontsleuteling van de database, gekoppelde back-ups en transactielogboekbestanden worden uitgevoerd om informatie-at-rest te beveiligen. Transparante gegevensversleuteling biedt zekerheid dat opgeslagen gegevens niet zijn onderworpen aan onbevoegde toegang.
• Firewallregels voorkomen dat alle toegang tot databaseservers wordt verleend totdat de juiste machtigingen zijn verleend. De firewall verleent toegang tot databases op basis van het IP-adres waar de aanvraag vandaan komt.
• Sql Threat Detection maakt detectie en reactie op mogelijke bedreigingen mogelijk wanneer ze optreden door beveiligingswaarschuwingen te bieden voor verdachte databaseactiviteiten, potentiële beveiligingsproblemen, SQL-injectieaanvallen en afwijkende databasetoegangspatronen.
• Versleutelde kolommen zorgen ervoor dat gevoelige gegevens nooit als tekst zonder opmaak in het databasesysteem worden weergegeven. Na het inschakelen van gegevensversleuteling hebben alleen clienttoepassingen of toepassingsservers met toegang tot de sleutels toegang tot gegevens zonder opmaak.
• SQL Database dynamische gegevensmaskering beperkt de blootstelling van gevoelige gegevens door de gegevens te maskeren voor niet-bevoegde gebruikers of toepassingen. Dynamische gegevensmaskering kan automatisch gevoelige gegevens detecteren en de juiste maskers voorstellen die moeten worden toegepast. Dit helpt bij het identificeren en verminderen van de toegang tot gegevens, zodat de database niet wordt afgesloten via onbevoegde toegang. Klanten zijn verantwoordelijk voor het aanpassen van instellingen voor dynamische gegevensmaskering om te voldoen aan hun databaseschema.

Identiteitsbeheer

De volgende technologieën bieden mogelijkheden voor het beheren van toegang tot kaarthoudergegevens in de Azure-omgeving:

• Azure Active Directory is de multitenant directory- en identiteitsbeheerservice van Microsoft in de cloud. Alle gebruikers voor deze oplossing worden gemaakt in Azure Active Directory, inclusief gebruikers die toegang hebben tot de Azure SQL Database.
• Verificatie voor de toepassing wordt uitgevoerd met behulp van Azure Active Directory. Raadpleeg Toepassingen integreren met Azure Active Directory voor meer informatie. Daarnaast maakt de versleuteling van de databasekolom gebruik van Azure Active Directory om de toepassing te verifiëren bij Azure SQL Database. Zie voor meer informatie hoe u gevoelige gegevens in Azure SQL Database beveiligt.
• Met op rollen gebaseerd toegangsbeheer van Azure kunnen beheerders fijnmazige toegangsmachtigingen definiëren om alleen de hoeveelheid toegang te verlenen die gebruikers nodig hebben om hun taken uit te voeren. In plaats van elke gebruiker onbeperkte machtigingen te geven voor Azure-resources, kunnen beheerders alleen bepaalde acties toestaan voor toegang tot kaarthoudergegevens. Abonnementstoegang is beperkt tot de abonnementsbeheerder.
• Azure Active Directory Privileged Identity Management stelt klanten in staat om het aantal gebruikers dat toegang heeft tot bepaalde gegevens, zoals gegevens van kaarthouders, te minimaliseren. Beheerders kunnen Azure Active Directory Privileged Identity Management gebruiken om bevoorrechte identiteiten en hun toegang tot resources te detecteren, te beperken en te bewaken. Deze functionaliteit kan ook worden gebruikt om just-in-time-beheerderstoegang op aanvraag af te dwingen wanneer dat nodig is.
• Azure Active Directory Identity Protection detecteert potentiële beveiligingsproblemen die van invloed zijn op de identiteiten van een organisatie, configureert geautomatiseerde reacties op gedetecteerde verdachte acties met betrekking tot de identiteiten van een organisatie en onderzoekt verdachte incidenten om passende actie te ondernemen om ze op te lossen.

Beveiliging

Geheimenbeheer: de oplossing maakt gebruik van Azure Key Vault voor het beheer van sleutels en geheimen. Met Azure Sleutelkluis kunt u de cryptografische sleutels en geheimen beveiligen die door cloudtoepassingen en -services worden gebruikt. Met de volgende Mogelijkheden van Azure Key Vault kunnen klanten dergelijke gegevens beveiligen en openen:

• Geavanceerd toegangsbeleid wordt op basis van behoefte geconfigureerd.
• Key Vault toegangsbeleid wordt gedefinieerd met minimaal vereiste machtigingen voor sleutels en geheimen.
• Alle sleutels en geheimen in Key Vault hebben vervaldatums.
• Alle sleutels in Key Vault worden beveiligd door gespecialiseerde hardwarebeveiligingsmodules. Het sleuteltype is een met HSM beveiligde 2048-bits RSA-sleutel.
• Alle gebruikers en identiteiten krijgen minimaal vereiste machtigingen met behulp van op rollen gebaseerd toegangsbeheer.
• Diagnostische logboeken voor Key Vault zijn ingeschakeld met een bewaarperiode van ten minste 365 dagen.
• Toegestane cryptografische bewerkingen voor sleutels zijn beperkt tot de vereiste bewerkingen.

Azure Security Center: Met Azure Security Center kunnen klanten centraal beveiligingsbeleid toepassen en beheren voor workloads, blootstelling aan bedreigingen beperken en aanvallen detecteren en erop reageren. Daarnaast heeft Azure Security Center toegang tot bestaande configuraties van Azure-services om configuratie- en serviceaankopen te bieden om de beveiligingspostuur te verbeteren en gegevens te beveiligen.

Azure Security Center maakt gebruik van verschillende detectiemogelijkheden om klanten te waarschuwen over mogelijke aanvallen die gericht zijn op hun omgevingen. Deze waarschuwingen bevatten waardevolle informatie over de trigger van de waarschuwing, de betrokken resources en de bron van de aanval. Azure Security Center heeft een set vooraf gedefinieerde beveiligingswaarschuwingen die worden geactiveerd wanneer een bedreiging of verdachte activiteit plaatsvindt. Met aangepaste waarschuwingsregels in Azure Security Center kunnen klanten nieuwe beveiligingswaarschuwingen definiëren op basis van gegevens die al uit hun omgeving zijn verzameld.

Azure Security Center biedt prioriteitswaarschuwingen en -incidenten, waardoor klanten eenvoudiger potentiële beveiligingsproblemen kunnen detecteren en oplossen. Er wordt een bedreigingsinformatierapport gegenereerd voor elke gedetecteerde bedreiging om teams te helpen bij het onderzoeken en oplossen van bedreigingen.

Azure Application Gateway: De architectuur vermindert het risico op beveiligingsproblemen met behulp van een Azure Application Gateway waarbij een webtoepassingsfirewall is geconfigureerd en de OWASP-regelset is ingeschakeld. Aanvullende mogelijkheden zijn onder andere:

• End-to-end-SSL
• SSL-offload inschakelen
• TLS v1.0 en v1.1 uitschakelen
• Web Application Firewall (preventiemodus)
• Preventiemodus met OWASP 3.0-regelset
• Diagnostische logboekregistratie inschakelen
• Aangepaste statustests
• Azure Security Center en Azure Advisor bieden extra beveiliging en meldingen. Azure Security Center biedt ook een reputatiesysteem.

Logboekregistratie en bewaking

Azure-services registreren uitgebreid systeem- en gebruikersactiviteiten, evenals systeemstatus:

• Activiteitenlogboeken: Activiteitenlogboeken bieden inzicht in bewerkingen die worden uitgevoerd op resources in een abonnement. Activiteitenlogboeken kunnen helpen bij het bepalen van de initiator van een bewerking, het tijdstip van het optreden en de status.
• Diagnostische logboeken: diagnostische logboeken bevatten alle logboeken die door elke resource worden verzonden. Deze logboeken omvatten Windows-gebeurtenissysteemlogboeken, Azure Storage-logboeken, Key Vault auditlogboeken en Application Gateway toegangs- en firewalllogboeken. Alle diagnostische logboeken schrijven naar een gecentraliseerd en versleuteld Azure-opslagaccount voor archivering. De retentie kan maximaal 730 dagen door de gebruiker worden geconfigureerd om te voldoen aan de organisatiespecifieke bewaarvereisten.

Azure Monitor-logboeken: deze logboeken worden geconsolideerd in Azure Monitor-logboeken voor verwerking, opslag en dashboardrapportage. Zodra de gegevens zijn verzameld, worden ze ingedeeld in afzonderlijke tabellen voor elk gegevenstype in Log Analytics-werkruimten, zodat alle gegevens samen kunnen worden geanalyseerd, ongeacht de oorspronkelijke bron. Bovendien integreert Azure Security Center met Azure Monitor-logboeken, zodat klanten Kusto-query's kunnen gebruiken om toegang te krijgen tot hun beveiligings gebeurtenisgegevens en deze te combineren met gegevens van andere services.

De volgende Bewakingsoplossingen van Azure zijn opgenomen als onderdeel van deze architectuur:

• Active Directory-evaluatie: De oplossing Active Directory-statuscontrole beoordeelt het risico en de status van serveromgevingen regelmatig en biedt een lijst met aanbevelingen die specifiek zijn voor de geïmplementeerde serverinfrastructuur.
• SQL-evaluatie: De oplossing SQL Health Check beoordeelt het risico en de status van serveromgevingen regelmatig en biedt klanten een lijst met aanbevelingen die specifiek zijn voor de geïmplementeerde serverinfrastructuur.
• Agentstatus: De oplossing Agentstatus rapporteert hoeveel agents worden geïmplementeerd en de geografische distributie, evenals hoeveel agents niet reageren en hoeveel agents er niet reageren en het aantal agents dat operationele gegevens verzendt.
• Activiteitenlogboekanalyse: De oplossing Activiteitenlogboekanalyse helpt bij het analyseren van de Azure-activiteitenlogboeken in alle Azure-abonnementen voor een klant.

Azure Automation: Azure Automation slaat, voert en beheert runbooks. In deze oplossing helpen runbooks logboeken van Azure SQL Database te verzamelen. Met de Automation Wijzigingen bijhouden-oplossing kunnen klanten eenvoudig wijzigingen in de omgeving identificeren.

Azure Monitor: Azure Monitor helpt gebruikers bij het bijhouden van prestaties, het onderhouden van beveiliging en het identificeren van trends door organisaties in staat te stellen waarschuwingen te controleren, waarschuwingen te maken en gegevens te archiveren, waaronder het bijhouden van API-aanroepen in hun Azure-resources.

Application Insights: Application Insights is een uitbreidbare Application Performance Management-service voor webontwikkelaars op meerdere platforms. Application Insights detecteert prestatieafwijkingen en klanten kunnen deze gebruiken om de live webtoepassing te bewaken. Het bevat krachtige analysehulpprogramma's om klanten te helpen bij het diagnosticeren van problemen en om te begrijpen wat gebruikers daadwerkelijk doen met hun app. Het is ontworpen om klanten te helpen de prestaties en bruikbaarheid continu te verbeteren.

Bedreigingsmodel

Het gegevensstroomdiagram voor deze referentiearchitectuur is beschikbaar voor downloaden of vindt u hieronder. Dit model kan klanten helpen inzicht te verkrijgen in de potentiële risicopunten in de systeeminfrastructuur bij het aanbrengen van wijzigingen.

Documentatie over naleving

De Blauwdruk voor beveiliging en naleving van Azure : PCI DSS Customer Responsibility Matrix bevat controller- en processorverantwoordelijkheden voor alle PCI DSS 3.2-vereisten.

De Blauwdruk voor beveiliging en naleving van Azure : PCI DSS PaaS Web Application Implementation Matrix biedt informatie over welke PCI DSS 3.2-vereisten worden aangepakt door de PaaS-webtoepassingsarchitectuur, inclusief gedetailleerde beschrijvingen van hoe de implementatie voldoet aan de vereisten van elk behandeld artikel.

Deze oplossing implementeren

Deze Azure Security and Compliance Blueprint Automation bestaat uit JSON-configuratiebestanden en PowerShell-scripts die worden verwerkt door de API-service van Azure Resource Manager om resources in Azure te implementeren. Gedetailleerde implementatie-instructies zijn hier beschikbaar.

Snelstart

1. Kloon of download deze GitHub-opslagplaats naar uw lokale werkstation.

2. Controleer 0-Setup-AdministrativeAccountAndPermission.md en voer de opgegeven opdrachten uit.

3. Implementeer een testoplossing met voorbeeldgegevens van Contoso of test een eerste productieomgeving.

   • 1A-ContosoWebStoreDemoAzureResources.ps1
     • Met dit script worden Azure-resources geïmplementeerd voor een demonstratie van een webstore met behulp van voorbeeldgegevens van Contoso.
   • 1-DeployAndConfigureAzureResources.ps1
     • Met dit script worden de Azure-resources geïmplementeerd die nodig zijn voor het ondersteunen van een productieomgeving voor een webtoepassing die eigendom is van de klant. Deze omgeving moet verder worden aangepast door de klant op basis van organisatievereisten.

Richtlijnen en aanbevelingen

VPN en ExpressRoute

Een beveiligde VPN-tunnel of ExpressRoute moet worden geconfigureerd om veilig verbinding te maken met de resources die zijn geïmplementeerd als onderdeel van deze PaaS-webtoepassingsreferentiearchitectuur. Door een VPN of ExpressRoute op de juiste manier in te stellen, kunnen klanten een beveiligingslaag toevoegen voor gegevens die onderweg zijn.

Door een beveiligde VPN-tunnel met Azure te implementeren, kan er een virtuele privéverbinding tussen een on-premises netwerk en een Azure-Virtual Network worden gemaakt. Deze verbinding vindt plaats via internet en stelt klanten in staat om veilig "tunnel" informatie binnen een versleutelde koppeling tussen het netwerk van de klant en Azure. Site-naar-site-VPN is een veilige, volwassen technologie die al decennia lang door ondernemingen van alle grootten is geïmplementeerd. De IPsec-tunnelmodus wordt in deze optie gebruikt als versleutelingsmechanisme.

Omdat verkeer binnen de VPN-tunnel via internet via een site-naar-site-VPN gaat, biedt Microsoft een andere, nog veiligere verbindingsoptie. Azure ExpressRoute is een toegewezen WAN-koppeling tussen Azure en een on-premises locatie of een Exchange-hostingprovider. Omdat ExpressRoute-verbindingen niet via internet gaan, bieden deze verbindingen meer betrouwbaarheid, snellere snelheden, lagere latenties en hogere beveiliging dan typische verbindingen via internet. Bovendien, omdat dit een directe verbinding is van de telecommunicatieprovider van de klant, worden de gegevens niet via internet verzonden en worden ze daarom niet blootgesteld.

Aanbevolen procedures voor het implementeren van een beveiligd hybride netwerk dat een on-premises netwerk naar Azure uitbreidt, zijn beschikbaar.

Disclaimer

• This document is for informational purposes only. MICROSOFT GEEFT GEEN GARANTIES, UITDRUKKELIJK, IMPLICIET OF WETTELIJK, MET BETREKKING TOT DE INFORMATIE IN DIT DOCUMENT. Dit document wordt 'as-is' opgegeven. Informatie en weergaven in dit document, inclusief URL en andere internetwebsiteverwijzingen, kunnen zonder kennisgeving worden gewijzigd. Klanten die dit document lezen, lopen het risico om het te gebruiken.
• Dit document biedt klanten geen wettelijke rechten op intellectuele eigendom in een Microsoft-product of -oplossingen.
• Klanten kunnen dit document kopiëren en gebruiken voor interne referentiedoeleinden.
• Bepaalde aanbevelingen in dit document kunnen leiden tot een verhoogd gegevens-, netwerk- of rekenresourcegebruik in Azure en kunnen de Azure-licentie- of abonnementskosten van een klant verhogen.
• Deze architectuur is bedoeld als basis voor klanten om zich aan te passen aan hun specifieke vereisten en mag niet worden gebruikt in een productieomgeving.
• Dit document wordt ontwikkeld als referentie en mag niet worden gebruikt om alle middelen te definiëren waarmee een klant kan voldoen aan specifieke nalevingsvereisten en -voorschriften. Klanten moeten juridische ondersteuning van hun organisatie zoeken op goedgekeurde klantimplementaties.