Информационная безопасность всегда была сложной темой, и она быстро развивается с творческими идеями и реализацией злоумышленников и исследователей безопасности.
Безопасность является одним из наиболее важных аспектов любой архитектуры. Хорошая безопасность обеспечивает конфиденциальность, целостность и гарантии доступности в отношении преднамеренных атак и злоупотреблений ценными данными и системами. Потеря этих гарантий может повредить бизнес-операциям и доходам и репутации вашей организации.
Примечание.
Узнайте, как облачная безопасность — это непрерывный путь постепенного прогресса и зрелости в службе "Безопасность" в Microsoft Cloud Adoption Framework для Azure. Узнайте, как создать безопасность в решении, в обзоре платформы Azure Well-Architected Framework для обеспечения безопасности.
Ниже приведены некоторые широкие категории, которые следует учитывать при разработке системы безопасности:
Azure предоставляет широкий спектр средств и возможностей безопасности. Это только некоторые из ключевых служб безопасности, доступных в Azure:
- Microsoft Defender для облака. Единая система управления безопасностью инфраструктуры, которая повышает уровень безопасности центров обработки данных. Она также обеспечивает расширенную защиту от угроз в гибридных рабочих нагрузках в облаке и локальной среде.
- Идентификатор Microsoft Entra. Облачная служба идентификации и управления доступом Microsoft.
- Azure Front Door. Глобальная масштабируемая точка входа, которая использует глобальную сеть Microsoft edge для создания быстрых, высокобезопасных и широко масштабируемых веб-приложений.
- Брандмауэр Azure. Облачная и интеллектуальная служба безопасности сетевого брандмауэра, которая обеспечивает защиту от угроз для облачных рабочих нагрузок, работающих в Azure.
- Azure Key Vault. Хранилище секретов с высоким уровнем безопасности для маркеров, паролей, сертификатов, ключей API и других секретов. Вы также можете использовать Key Vault для создания и управления ключами шифрования, используемыми для шифрования данных.
- Приватный канал Azure. Служба, которая позволяет получить доступ к службам Azure PaaS, размещенным в Azure службам, которые вы владеете, или партнерскими службами через частную конечную точку в виртуальной сети.
- Шлюз приложений Azure. Подсистема балансировки нагрузки веб-трафика, предназначенная для управления трафиком веб-приложений.
- Политика Azure. Служба, которая помогает применять стандарты организации и оценивать соответствие требованиям.
Более подробное описание средств и возможностей безопасности Azure см. в разделе "Сквозная безопасность" в Azure.
Общие сведения о безопасности в Azure
Если вы не знакомы с безопасностью в Azure, лучше всего ознакомиться с обучением Microsoft Learn. Эта бесплатная онлайн-платформа предоставляет интерактивные учебные курсы для продуктов Майкрософт и многое другое.
Ниже приведены две схемы обучения, которые показано, как приступить к работе:
Путь к рабочей среде
- Чтобы защитить рабочие нагрузки приложений Azure, используйте такие защитные меры, как проверка подлинности и шифрование в самих приложениях. Вы также можете добавить уровни безопасности в сети виртуальных машин (VM), в которых размещены приложения. Общие сведения см. в разделе "Брандмауэр" и Шлюз приложений для виртуальных сетей.
- Нулевое доверие — это упреждающий интегрированный подход к безопасности на всех уровнях цифрового актива. Она явно и постоянно проверяет каждую транзакцию, утверждает наименьшие привилегии и полагается на аналитику, расширенное обнаружение и реагирование в режиме реального времени на угрозы.
- Стратегия реализации веб-приложений см. в разделе "Сеть нулевого доверия" для веб-приложений с Брандмауэр Azure и Шлюз приложений.
- Архитектура, демонстрирующая включение удостоверений и доступа Microsoft Entra в общую стратегию безопасности нулевого доверия, см. в разделе Microsoft Entra IDaaS в операциях безопасности.
- Система управления Azure описывает средства, необходимые для поддержки управления облаком, аудита соответствия требованиям и автоматических проверок. Сведения об управлении средой Azure см . в руководстве по разработке области управления Azure.
Рекомендации
Платформа Azure Well-Architected Framework — это набор руководящих принципов, основанных на пяти основных принципах, которые можно использовать для улучшения качества архитектуры. Дополнительные сведения см. в разделе "Обзор принципов безопасности" и "Принципы проектирования безопасности" в Azure.
Хорошо спроектированная платформа также предоставляет следующие проверка списки:
- Рекомендации по управлению удостоверениями и доступом Azure
- Безопасность сети
- Рекомендации по защите данных
- Управление, риск и соответствие требованиям
Сведения о безопасности для конфиденциальных рабочих нагрузок IaaS см. в статье "Вопросы безопасности" для приложений IaaS с высокой степенью безопасности в Azure.
Архитектуры безопасности
Управление удостоверениями и доступом
- Безопасные маркеры обновления OAuth 2.0 on-Behalf-Of для веб-служб
- Устойчивое управление удостоверениями и доступом с помощью идентификатора Microsoft Entra
- Управление удостоверениями и управление доступом Microsoft Entra для AWS
Защита от угроз
- Индикаторы угроз для аналитики киберугроз в Microsoft Sentinel
- Многоуровневая защита для доступа к виртуальной машине Azure
- Выявление мошенничества в реальном времени
Защита информации
- Конфиденциальные вычисления на платформе решений для здравоохранения
- Одноморфное шифрование с помощью SEAL
- Микрослужбы, интегрированные с виртуальными сетями без сервера
Обнаружение и реагирование
Оставайтесь в курсе безопасности
Получите последние обновления в службах и функциях безопасности Azure.
Дополнительные ресурсы
Примеры решений
- Гибридный мониторинг безопасности с помощью Microsoft Defender для облака и Microsoft Sentinel
- Более безопасный доступ к мультитенантным веб-приложениям из локальной сети
- Ограничение взаимодействия между службами
- Безопасно управляемые веб-приложения
- Защита бота канала Microsoft Teams и веб-приложения за брандмауэром
- Частное подключение веб-приложения к Базе данных SQL Azure
Просмотрите все наши архитектуры безопасности.
Aws или Google Cloud профессиональные специалисты
- Безопасность и идентификация с помощью Azure и AWS
- Сравнение AWS с службами Azure — безопасность
- Сравнение служб Google Cloud с Azure — безопасность
Следующие шаги
Архитектура безопасности является частью комплексного набора рекомендаций по безопасности, которые также включают в себя:
- Безопасность в Microsoft Cloud Adoption Framework для Azure: общий обзор состояния конечной точки безопасности облака.
- Azure Well-Architected Framework – руководство по обеспечению безопасности рабочих нагрузок в Azure.
- Тесты производительности Azure: рекомендуемые передовые методы и средства контроля безопасности Azure.
- Сквозная безопасность в Azure: документация, которая содержит сведения о службах безопасности в Azure.
- 10 лучших рекомендаций по обеспечению безопасности для Azure: лучшие рекомендации по обеспечению безопасности Azure, которые корпорация Майкрософт рекомендует на основе опыта, полученного клиентами и в собственных средах.
- Архитектура кибербезопасности Майкрософт. На схемах описано, как возможности безопасности Майкрософт интегрируются с платформами Майкрософт и сторонними платформами.