Zero-Trust-landningszon i Azure

Viktiga Azure-tjänster som kan hjälpa dig att skapa en landningszon:

• Azure Blueprints skissar en lösnings designparametrar baserat på en organisations standarder, mönster och krav.
• Azure Resource Manager mallspecifikter lagrar en Azure Resource Manager (ARM-mall) i Azure för senare distribution.
• Azure Policy tillämpar organisationsstandarder och utvärderar efterlevnad i stor skala.
• Azure AD och Rollbaserad åtkomstkontroll (Azure RBAC) fungerar tillsammans för att tillhandahålla identitets- och åtkomstkontroller.
• Microsoft Defender for Cloud
• Microsoft Defender for Cloud

Nästa

Använd hanteringsgrupper för att hantera resurser i flera prenumerationer konsekvent och effektivt.

Tillbaka till huvudartikeln: Styrning

En landningszon avser en förberedd infrastruktur som en arbetsbelastning distribueras till. Den har redan etablerat beräknings-, datakällor, åtkomstkontroller och nätverkskomponenter. När en arbetsbelastning hamnar i Azure är de nödvändiga rören klara. arbetsbelastningen måste anslutas till den.

Ur ett säkerhetsperspektiv finns det flera fördelar. För det första erbjuder en landningszon isolering genom att skapa segment. Du kan isolera tillgångar i flera lager från Azure-registreringen ned till en prenumeration som har resurserna för arbetsbelastningen. Den här strategin att ha resurser inom en gräns som är separat från andra delar av organisationen är ett effektivt sätt att identifiera och innehålla angripares rörelser.

En annan fördel är konsekvent införande av organisationsprinciper. Principer styr vilka resurser som kan användas och deras användningsgränser. Principer tillhandahåller även identitetskontroller. Endast autentiserade och auktoriserade entiteter tillåts åtkomst. Den här metoden frikopplar styrningskraven från arbetsbelastningskraven. Det är viktigt att en landningszon lämnas över till arbetsbelastningens ägare med säkerhetsskyddsräcken distribuerade.

En välarkerad landningszon stöder nollförtroendeprincipen. Landningszonen är konfigurerad med minsta behörighet som uppfyller företagets säkerhet. Arbetsbelastningskraven måste justera dessa krav. När du till exempel utformar nätverkskontroller stöder du noll förtroende genom att endast öppna kommunikationsvägar när det behövs och endast för betrodda entiteter.

Föregående exempel är konceptuellt enkla, men implementeringen kan bli komplicerad för en distribution i företagsskala. Den här artikeln innehåller länkar till artiklar i Cloud Adoption Framework (CAF) som beskriver designöverväganden och metodtips.

Läs mer

Vad är Microsoft Cloud Adoption Framework för Azure?

Öka automatiseringen med Azure Blueprints

Använd Azures inbyggda automatiseringsfunktioner för att öka konsekvens, efterlevnad och distributionshastighet för arbetsbelastningar. Ett rekommenderat sätt att implementera en landningszon är med Azure Blueprints och Azure-principer.

Automatisering av distributions- och underhållsaktiviteter minskar säkerhets- och efterlevnadsrisken genom att begränsa möjligheten att införa mänskliga fel under manuella uppgifter. Detta gör det också möjligt för både IT-driftteam och säkerhetsteam att flytta fokus från upprepade manuella uppgifter till uppgifter med högre värde som att aktivera utvecklare och affärsinitiativ, skydda information och så vidare.

Använd Azure Blueprint-tjänsten för att snabbt och konsekvent distribuera programmiljöer som är kompatibla med organisationens principer och externa föreskrifter. Azure Blueprint Service automatiserar distributionen av miljöer, inklusive Azure-roller, principer, resurser, till exempel virtuella datorer, nätverk, lagring med mera. Azure Blueprints bygger på Microsofts betydande investering i Azure Resource Manager för att standardisera resursdistribution i Azure och möjliggöra resursdistribution och styrning baserat på en metod för önskat tillstånd. Du kan använda inbyggda konfigurationer i Azure Blueprint, skapa egna eller bara använda Resource Manager för mindre omfattning.

Det finns flera exempel på skisserförsäkerhet och efterlevnad som kan användas som en startmall.

Framtvinga principefterlevnad

Organisationer av alla storlekar kommer att ha säkerhetskrav. Bransch-, myndighets- och interna säkerhetsprinciper måste granskas och framtvingas. Principövervakning är viktigt för att kontrollera att de första konfigurationerna är korrekta och att de fortsätter att vara kompatibla över tid.

I Azure kan du dra nytta av Azure Policy att skapa och hantera principer som framtvingar efterlevnad. Precis Azure Blueprints bygger Azure-principer på de underliggande Azure Resource Manager-funktionerna i Azure-plattformen (och Azure Policy kan också tilldelas via Azure Blueprints).

Mer information om hur du gör detta i Azure finns i Självstudie: Skapa och hantera principer för att framtvinga efterlevnad.

Arkitektur

Information om en referensarkitektur i företagsskala finns i Cloud Adoption Framework för landningszoner i företagsskala. Arkitekturen innehåller överväganden inom följande viktiga designområden:

• företagsavtal (EA)-registrering Azure Active Directory klientorganisation
• Identitets- och åtkomsthantering
• Organisation av hanteringsgrupper och prenumerationer
• Nätverkstopologi och anslutning
• Hantering och övervakning
• Affärskontinuitet och haveriberedskap
• Säkerhet, styrning och efterlevnad
• Plattformsautomatisering och DevOps

Azure-tjänster

Hur distribuerar du landningszoner som följer organisationens principer konsekvent?