Omówienie — stosowanie zasad zero trustu do usługi IaaS platformy Azure

  • Artykuł

Podsumowanie: Aby zastosować zasady zero trustu do składników i infrastruktury usługi Azure IaaS, musisz najpierw zrozumieć wspólną architekturę referencyjną i składniki usługi Azure Storage, maszyn wirtualnych i sieci wirtualnych szprych i piasty.

Ta seria artykułów ułatwia stosowanie zasad zerowego zaufania do obciążeń w usłudze Microsoft Azure IaaS w oparciu o wielodyscyplinarne podejście do stosowania zasad zero trust. Zero Trust to strategia zabezpieczeń. Nie jest to produkt ani usługa, ale podejście do projektowania i implementowania następującego zestawu zasad zabezpieczeń:

  • Jawną weryfikację
  • Używanie dostępu z jak najmniejszą liczbą uprawnień
  • Zakładanie naruszeń zabezpieczeń

Zaimplementowanie myślenia zero trust w celu "zakładania naruszenia, nigdy zaufania, zawsze weryfikowania" wymaga zmian w infrastrukturze chmury, strategii wdrażania i implementacji.

W tej początkowej serii pięciu artykułów (w tym tego wprowadzenia) pokazano, jak zastosować podejście Zero Trust do typowego scenariusza biznesowego IT opartego na usługach infrastruktury. Praca jest podzielona na jednostki, które można skonfigurować razem w następujący sposób:

Aby uzyskać więcej informacji, zobacz Apply Zero Trust principles to Azure Virtual Desktop (Stosowanie zasad zero trustu do usługi Azure Virtual Desktop).

Uwaga

Dodatkowe artykuły zostaną dodane do tej serii w przyszłości, w tym sposób, w jaki organizacje mogą zastosować podejście Zero Trust do aplikacji, sieci, danych i usług DevOps opartych na rzeczywistych środowiskach biznesowych IT.

Ważne

W tym przewodniku Zero Trust opisano sposób używania i konfigurowania kilku rozwiązań zabezpieczeń i funkcji dostępnych na platformie Azure na potrzeby architektury referencyjnej. Kilka innych zasobów zawiera również wskazówki dotyczące zabezpieczeń dla tych rozwiązań i funkcji, w tym:

Aby opisać sposób stosowania podejścia zero trust, te wskazówki dotyczą wspólnego wzorca używanego w środowisku produkcyjnym przez wiele organizacji: aplikacji opartej na maszynie wirtualnej hostowanej w sieci wirtualnej (i aplikacji IaaS). Jest to typowy wzorzec dla organizacji migrujących aplikacje lokalne na platformę Azure, który jest czasami określany jako "lift-and-shift". Architektura referencyjna obejmuje wszystkie składniki niezbędne do obsługi tej aplikacji, w tym usługi magazynu i sieć wirtualną piasty.

Architektura referencyjna odzwierciedla typowy wzorzec wdrażania w środowiskach produkcyjnych. Nie jest ona oparta na strefach docelowych w skali przedsiębiorstwa zalecanych w przewodniku Cloud Adoption Framework (CAF), chociaż wiele najlepszych rozwiązań w caF jest uwzględnionych w architekturze referencyjnej, takich jak używanie dedykowanej sieci wirtualnej do hostowania składników, które brokerują dostęp do aplikacji (sieci wirtualnej koncentratora).

Jeśli interesuje Cię zapoznanie się ze wskazówkami zalecanymi w strefach docelowych platformy Azure w przewodniku Cloud Adoption Framework, zobacz następujące zasoby:

Architektura odwołań

Na poniższej ilustracji przedstawiono architekturę referencyjną dla tych wskazówek dotyczących relacji Zero Trust.

Architektura referencyjna stosowania modelu Zero Trust do usługi Azure IaaS, która zawiera różne typy użytkowników, typowe aplikacje uruchomione na maszynach wirtualnych, usługach PaaS i magazynie.

Ta architektura zawiera:

  • Wiele składników i elementów IaaS, w tym różnych typów użytkowników i użytkowników IT, którzy uzyskują dostęp do aplikacji z różnych witryn. takich jak Platforma Azure, Internet, lokalne i biura oddziałów.
  • Wspólna aplikacja trójwarstwowa zawierająca warstwę frontonu, warstwę aplikacji i warstwę danych. Wszystkie warstwy działają na maszynach wirtualnych w sieci wirtualnej o nazwie SPOKE. Dostęp do aplikacji jest chroniony przez inną sieć wirtualną o nazwie HUB, która zawiera dodatkowe usługi zabezpieczeń.
  • Niektóre z najczęściej używanych usług PaaS na platformie Azure, które obsługują aplikacje IaaS, w tym kontrolę dostępu opartą na rolach (RBAC) i identyfikator Entra firmy Microsoft, które przyczyniają się do podejścia zabezpieczeń Zero Trust.
  • Magazyn obiektów blob i pliki magazynu, które zapewniają magazyn obiektów dla aplikacji i plików udostępnionych przez użytkowników.

W tej serii artykułów przedstawiono zalecenia dotyczące implementowania modelu Zero Trust dla architektury referencyjnej, zwracając się do każdego z tych większych elementów hostowanych na platformie Azure, jak pokazano tutaj.

Architektura referencyjna stosowania modelu Zero Trust do usługi Azure IaaS przedstawiająca pogrupowane składniki magazynu, maszyn wirtualnych i sieci wirtualnych szprych i piasty.

Diagram przedstawia większe obszary architektury, które zostały omówione w poszczególnych artykułach z tej serii:

  1. Usługi Azure Storage
  2. Maszyny wirtualne
  3. Sieci wirtualne będące szprychami
  4. Sieci wirtualne koncentratora

Należy pamiętać, że wskazówki przedstawione w tej serii artykułów są bardziej szczegółowe dla tego typu architektury niż wskazówki zawarte w przewodniku Cloud Adoption Framework i architekturach strefy docelowej platformy Azure. Jeśli zastosowano wskazówki w jednym z tych zasobów, zapoznaj się również z tą serią artykułów, aby uzyskać dodatkowe zalecenia.

Omówienie składników platformy Azure

Diagram architektury referencyjnej zawiera topologiczny widok środowiska. Warto również zobaczyć logicznie, jak poszczególne składniki mogą być zorganizowane w środowisku platformy Azure. Poniższy diagram przedstawia sposób organizowania subskrypcji i grup zasobów. Subskrypcje platformy Azure mogą być zorganizowane inaczej.

Architektura logiczna stosowania modelu Zero Trust do usługi Azure IaaS przedstawiająca subskrypcje, Microsoft Defender dla Chmury i Azure Monitor oraz grupy zasobów w dzierżawie entra ID.

Na tym diagramie infrastruktura platformy Azure jest zawarta w dzierżawie entra ID. W poniższej tabeli opisano różne sekcje przedstawione na diagramie.

  • Subskrypcje platformy Azure

    Zasoby można dystrybuować w więcej niż jednej subskrypcji, w której każda subskrypcja może przechowywać różne role, takie jak subskrypcja sieciowa lub subskrypcja zabezpieczeń. Opisano to wcześniej w dokumentacji przewodnika Cloud Adoption Framework i strefy docelowej platformy Azure. Różne subskrypcje mogą również przechowywać różne środowiska, takie jak środowiska produkcyjne, programistyczne i testowe. Zależy to od tego, jak chcesz oddzielić środowisko i liczbę zasobów, które będziesz mieć w każdym środowisku. Co najmniej jedna subskrypcja może być zarządzana razem przy użyciu grupy zarządzania. Dzięki temu można stosować uprawnienia z kontrolą dostępu opartą na rolach (RBAC) i zasadami platformy Azure do grupy subskrypcji, zamiast konfigurować poszczególne subskrypcje osobno.

  • Microsoft Defender dla Chmury i Azure Monitor

    Dla każdej subskrypcji platformy Azure jest dostępny zestaw rozwiązań usługi Azure Monitor i Defender dla Chmury. Jeśli zarządzasz tymi subskrypcjami za pośrednictwem grupy zarządzania, możesz skonsolidować w jednym portalu dla wszystkich funkcji usługi Azure Monitor i Defender dla Chmury. Na przykład wskaźnik bezpieczeństwa udostępniany przez Defender dla Chmury jest konsolidowany dla wszystkich subskrypcji przy użyciu grupy zarządzania jako zakresu.

  • Grupa zasobów magazynu (1)

    Konto magazynu znajduje się w dedykowanej grupie zasobów. Możesz odizolować każde konto magazynu w innej grupie zasobów, aby uzyskać bardziej szczegółową kontrolę uprawnień. Usługi Azure Storage znajdują się na dedykowanym koncie magazynu. Możesz mieć jedno konto magazynu dla każdego typu obciążenia magazynu, na przykład magazyn obiektów (nazywany również magazynem obiektów blob) i usługą Azure Files. Zapewnia to bardziej szczegółową kontrolę dostępu i może zwiększyć wydajność.

  • Grupa zasobów maszyn wirtualnych (2)

    Maszyny wirtualne znajdują się w jednej grupie zasobów. Można również mieć każdy typ maszyny wirtualnej dla warstw obciążeń, takich jak fronton, aplikacja i dane w różnych grupach zasobów, aby dodatkowo odizolować kontrolę dostępu.

  • Grupy zasobów sieci wirtualnej szprych (3) i piasty (4) w oddzielnych subskrypcjach

    Sieć i inne zasoby dla każdej z sieci wirtualnych w architekturze referencyjnej są izolowane w ramach dedykowanych grup zasobów dla sieci wirtualnych szprych i piasty. Ta organizacja działa dobrze, gdy odpowiedzialność za te zespoły działa na żywo w różnych zespołach. Inną opcją jest zorganizowanie tych składników przez umieszczenie wszystkich zasobów sieciowych w jednej grupie zasobów i zasobach zabezpieczeń w innej. Zależy to od tego, jak organizacja jest skonfigurowana do zarządzania tymi zasobami.

Ochrona przed zagrożeniami za pomocą Microsoft Defender dla Chmury

Microsoft Defender dla Chmury to rozszerzone rozwiązanie do wykrywania i reagowania (XDR), które automatycznie zbiera, koreluje i analizuje dane sygnałów, zagrożeń i alertów z całego środowiska. Defender dla Chmury ma być używana razem z usługą Microsoft Defender XDR, aby zapewnić większą szerokość skorelowanej ochrony środowiska, jak pokazano na poniższym diagramie.

Logiczna architektura Microsoft Defender dla Chmury i usługi Microsoft Defender XDR, która zapewnia ochronę przed zagrożeniami dla składników IaaS platformy Azure.

Na diagramie:

  • Defender dla Chmury jest włączona dla grupy zarządzania obejmującej wiele subskrypcji platformy Azure.
  • Usługa Microsoft Defender XDR jest włączona dla aplikacji i danych platformy Microsoft 365, aplikacji SaaS zintegrowanych z identyfikatorem Entra firmy Microsoft i serwerów lokalna usługa Active Directory Domain Services (AD DS).

Aby uzyskać więcej informacji na temat konfigurowania grup zarządzania i włączania Defender dla Chmury, zobacz:

Rozwiązania zabezpieczeń w tej serii artykułów

Zero Trust obejmuje stosowanie wielu dyscyplin zabezpieczeń i ochrony informacji razem. W tej serii artykułów to podejście wielodyscyplinowe jest stosowane do każdej jednostki pracy dla składników infrastruktury w następujący sposób:

Stosowanie zasad zero trust do usługi Azure Storage

  1. Ochrona danych we wszystkich trzech trybach: dane magazynowane, dane przesyłane i używane dane
  2. Weryfikowanie użytkowników i kontrolowanie dostępu do danych magazynu przy użyciu najmniejszych uprawnień
  3. Logiczne oddzielenie lub segregowanie krytycznych danych za pomocą kontrolek sieci
  4. Używanie usługi Defender for Storage do automatycznego wykrywania zagrożeń i ochrony

Stosowanie zasad zero trust do maszyn wirtualnych na platformie Azure

  1. Konfigurowanie izolacji logicznej dla maszyn wirtualnych
  2. Korzystanie z kontroli dostępu opartej na rolach (RBAC)
  3. Zabezpieczanie składników rozruchu maszyny wirtualnej
  4. Włączanie kluczy zarządzanych przez klienta i podwójne szyfrowanie
  5. Kontrolowanie aplikacji zainstalowanych na maszynach wirtualnych
  6. Konfigurowanie bezpiecznego dostępu
  7. Konfigurowanie bezpiecznej konserwacji maszyn wirtualnych
  8. Włączanie zaawansowanego wykrywania zagrożeń i ochrony

Stosowanie zasad Zero Trust do sieci wirtualnej będącej szprychą na platformie Azure

  1. Korzystanie z kontroli dostępu opartej na rolach firmy Microsoft lub konfigurowanie ról niestandardowych dla zasobów sieciowych
  2. Izolowanie infrastruktury do własnej grupy zasobów
  3. Tworzenie sieciowej grupy zabezpieczeń dla każdej podsieci
  4. Tworzenie grupy zabezpieczeń aplikacji dla każdej roli maszyny wirtualnej
  5. Zabezpieczanie ruchu i zasobów w sieci wirtualnej
  6. Zabezpieczanie dostępu do sieci wirtualnej i aplikacji
  7. Włączanie zaawansowanego wykrywania zagrożeń i ochrony

Stosowanie zasad zero trust do sieci wirtualnej koncentratora na platformie Azure

  1. Zabezpieczanie usługi Azure Firewall — wersja Premium
  2. Wdrażanie usługi Azure DDoS Protection w warstwie Standardowa
  3. Konfigurowanie routingu bramy sieciowej do zapory
  4. Konfigurowanie ochrony przed zagrożeniami

Poniżej przedstawiono zalecane moduły szkoleniowe dla modelu Zero Trust.

Zarządzanie platformą Azure i nadzór

Szkolenia Opis zarządzania i ładu na platformie Azure
Szkolenie Podstawy platformy Microsoft Azure składa się z trzech ścieżek szkoleniowych: Podstawy platformy Microsoft Azure: Opis pojęć związanych z chmurą, Opis architektury i usług platformy Azure oraz Opis zarządzania i ładu na platformie Azure. Podstawy platformy Microsoft Azure: Opis zarządzania i ładu platformy Azure to trzecia ścieżka szkoleniowa w temacie Podstawy platformy Microsoft Azure. Ta ścieżka szkoleniowa zawiera informacje na temat zasobów zarządzania i ładu dostępnych w celu ułatwienia zarządzania zasobami w chmurze i lokalnymi.
Ta ścieżka szkoleniowa ułatwia przygotowanie do egzaminu AZ-900: Podstawy platformy Microsoft Azure.

Uruchomić >

Konfigurowanie usługi Azure Policy

Szkolenia Konfigurowanie usługi Azure Policy
Dowiedz się, jak skonfigurować usługę Azure Policy w celu zaimplementowania wymagań dotyczących zgodności.
Z tego modułu dowiesz się, jak wykonywać następujące czynności:
  • Tworzenie grup zarządzania w celu określania docelowych zasad i budżetów wydatków.
  • Zaimplementuj usługę Azure Policy przy użyciu definicji zasad i inicjatyw.
  • Określanie zakresu zasad platformy Azure i określanie zgodności.
    		•

    Uruchomić >

    Zarządzanie operacją zabezpieczeń

    Szkolenia Zarządzanie operacją zabezpieczeń
    Po wdrożeniu i zabezpieczeniu środowiska platformy Azure dowiedz się, jak monitorować, obsługiwać i stale poprawiać bezpieczeństwo rozwiązań.
    Ta ścieżka szkoleniowa ułatwia przygotowanie do egzaminu AZ-500: Microsoft Azure Security Technologies.

    Uruchomić >

    Konfigurowanie zabezpieczeń magazynu

    Szkolenia Konfigurowanie zabezpieczeń magazynu
    Dowiedz się, jak skonfigurować typowe funkcje zabezpieczeń usługi Azure Storage, takie jak sygnatury dostępu do magazynu.
    Z tego modułu dowiesz się, jak wykonywać następujące czynności:
  • Skonfiguruj sygnaturę dostępu współdzielonego (SAS), w tym identyfikator URI (Uniform Resource Identifier) i parametry sygnatury dostępu współdzielonego.
  • Konfigurowanie szyfrowania usługi Azure Storage.
  • Zaimplementuj klucze zarządzane przez klienta.
  • Zalecamy możliwości poprawy zabezpieczeń usługi Azure Storage.
    		•

    Uruchomić >

    Konfigurowanie usługi Azure Firewall

    Szkolenia Konfigurowanie usługi Azure Firewall
    Dowiesz się, jak skonfigurować usługę Azure Firewall, w tym reguły zapory.
    Po zakończeniu tego modułu będziesz w stanie:
  • Określ, kiedy należy używać usługi Azure Firewall.
  • Zaimplementuj usługę Azure Firewall, w tym reguły zapory.
    		•

    Uruchomić >

    Aby uzyskać więcej szkoleń dotyczących zabezpieczeń na platformie Azure, zobacz następujące zasoby w katalogu firmy Microsoft:
    Zabezpieczenia na platformie Azure | Microsoft Learn

    Następne kroki

    Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi stosowania zasad zero trust do platformy Azure:

    Ilustracje techniczne

    Ten plakat zawiera jednostronicowy, błyskawiczny widok składników usługi Azure IaaS jako architektur referencyjnych i logicznych, wraz z krokami zapewniającymi, że te składniki mają zastosowane zasady "nigdy nie ufaj, zawsze weryfikują".

    Towar Powiązane przewodniki dotyczące rozwiązań
    Miniatura plakatu Zastosuj zero trust do infrastruktury IaaS platformy Azure.
    Pdf | Visio
    Zaktualizowano: marzec 2024 r.

    Ten plakat zawiera architektury referencyjne i logiczne oraz szczegółowe konfiguracje oddzielnych składników platformy Zero Trust dla usługi Azure IaaS. Użyj stron tego plakatu dla oddzielnych działów IT lub specjalizacji lub, z wersją programu Microsoft Visio pliku, dostosuj diagramy dla infrastruktury.

    Towar Powiązane przewodniki dotyczące rozwiązań
    Miniatura diagramów dotyczących stosowania zero trustu do plakatu infrastruktury IaaS platformy Azure.
    Pdf | Visio
    Zaktualizowano: marzec 2024 r.

    Aby uzyskać dodatkowe ilustracje techniczne, kliknij tutaj.

    Informacje

    Skorzystaj z poniższych linków, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.