Sdílet prostřednictvím


Oblast návrhu: Zabezpečení

Tato oblast návrhu vytvoří základ pro zabezpečení napříč prostředími Azure, hybridním a multicloudovým prostředím. Tento základ můžete později vylepšit pomocí pokynů zabezpečení popsaných v metodologii zabezpečení architektury přechodu na cloud.

Kontrola oblasti návrhu

Zahrnuté role nebo funkce: Tuto oblast návrhu vede zabezpečení cloudu, konkrétně architekti zabezpečení v rámci tohoto týmu. Cloudová platforma a špičkové cloudové centrum se vyžadují ke kontrole rozhodování o sítích a identitách. Kolektivní role mohou být nutné k definování a implementaci technických požadavků pocházejících z tohoto cvičení. Pokročilejší ochranné mantinely zabezpečení můžou také potřebovat podporu z zásad správného řízení v cloudu.

Rozsah: Cílem tohoto cvičení je porozumět požadavkům na zabezpečení a implementovat je konzistentně napříč všemi úlohami ve vaší cloudové platformě. Primární obor tohoto cvičení se zaměřuje na nástroje pro operace zabezpečení a řízení přístupu. Tento obor zahrnuje nulová důvěra (Zero Trust) a pokročilé zabezpečení sítě.

Mimo rozsah: Toto cvičení se zaměřuje na základ moderního centra operací zabezpečení v cloudu. Pro zjednodušení konverzace se toto cvičení nezabývá některými disciplínami v metodologii zabezpečení CAF. Zabezpečení operací zabezpečení, ochrany prostředků a zabezpečení inovací bude vycházet z nasazení cílové zóny Azure. Jsou ale mimo rozsah této diskuze o oblasti návrhu.

Přehled oblasti návrhu

Zabezpečení je základním aspektem pro všechny zákazníky v každém prostředí. Při návrhu a implementaci cílové zóny Azure je potřeba vzít v úvahu zabezpečení během celého procesu.

Oblast návrhu zabezpečení se zaměřuje na aspekty a doporučení pro rozhodování o cílových zónách. Zabezpečená metodologie architektury přechodu na cloud poskytuje také podrobnější pokyny pro holistické procesy a nástroje zabezpečení.

Nové cloudové prostředí (zelené pole): Pokud chcete začít na cestě ke cloudu s malou sadou předplatných, přečtěte si téma Vytvoření počátečních předplatných Azure. Zvažte také použití šablon nasazení Bicep při sestavování cílových zón Azure. Další informace najdete v tématu Bicep cílové zóny Azure – Tok nasazení.

Existující cloudové prostředí (brownfield): Zvažte použití následujících služeb identit a přístupu Microsoft Entra , pokud vás zajímají principy z oblasti návrhu zabezpečení do stávajících prostředí Azure:

  • Nasaďte cloudovou synchronizaci Microsoft Entra Connect, abyste svým místním uživatelům Doména služby Active Directory Services (AD DS) poskytli zabezpečené jednotné přihlašování (SSO) k aplikacím založeným na ID Microsoft Entra. Další výhodou konfigurace hybridní identity je, že můžete vynutit vícefaktorové ověřování Microsoft Entra (MFA) a Microsoft Entra Password Protection k další ochraně těchto identit.
  • Zvažte podmíněný přístup Microsoft Entra k poskytnutí zabezpečeného ověřování cloudovým aplikacím a prostředkům Azure.
  • Implementujte Microsoft Entra Privileged Identity Management , abyste zajistili přístup s nejnižšími oprávněními a podrobné generování sestav v celém prostředí Azure. Týmy by měly zahájit opakované kontroly přístupu, aby se zajistilo, že správné lidi a zásady služeb mají aktuální a správné úrovně autorizace.
  • Využijte doporučení, upozorňování a možnosti nápravy v programu Microsoft Defender pro cloud. Váš bezpečnostní tým může také integrovat Microsoft Defender for Cloud do Microsoft Sentinelu , pokud potřebují robustnější, centrálně spravované hybridní a multicloudové řešení správy událostí zabezpečení (SIEM) / Řešení Orchestraation and Response (SOAR).

Úložiště Toku nasazení Azure Obsahuje řadu šablon nasazení Bicep, které můžou urychlit nasazení na zelené pole a nasazení cílové zóny Azure brownfield. Tyto šablony již mají integrované osvědčené pokyny k zabezpečení od Microsoftu.

Další informace o práci v cloudových prostředích brownfield naleznete v tématu Aspekty prostředí Brownfield.

Srovnávací test zabezpečení cloudu Microsoftu

Srovnávací test zabezpečení cloudu Microsoftu zahrnuje doporučení zabezpečení s vysokým dopadem, která vám pomůžou zabezpečit většinu služeb, které používáte v Azure. Tato doporučení si můžete představit jako obecná nebo organizační, protože se vztahují na většinu služeb Azure. Doporučení srovnávacích testů cloudového zabezpečení Microsoftu se pak přizpůsobí pro každou službu Azure. Tyto přizpůsobené pokyny jsou obsaženy v článcích s doporučeními služeb.

Dokumentace ke srovnávacímu testu zabezpečení cloudu Microsoftu určuje kontrolní mechanismy zabezpečení a doporučení služeb.

  • Kontrolní mechanismy zabezpečení: Doporučení srovnávacích testů zabezpečení cloudu Microsoftu jsou kategorizována kontrolními mechanismy zabezpečení. Kontrolní mechanismy zabezpečení představují požadavky na zabezpečení vysoké úrovně nezávislé na dodavateli, jako je zabezpečení sítě a ochrana dat. Každá kontrola zabezpečení má sadu doporučení zabezpečení a pokynů, které vám pomůžou tato doporučení implementovat.
  • Doporučení služeb: Pokud jsou k dispozici, doporučení srovnávacích testů pro služby Azure budou zahrnovat doporučení srovnávacích testů zabezpečení cloudu Microsoftu, která jsou přizpůsobená speciálně pro danou službu.

Azure Attestation

Azure Attestation je nástroj, který vám pomůže zajistit zabezpečení a integritu platformy a binárních souborů, které v ní běží. Je zvlášť užitečná pro firmy, které vyžadují vysoce škálovatelné výpočetní prostředky a nekompromisní vztah důvěryhodnosti s možností vzdáleného ověření identity.

Aspekty návrhu zabezpečení

Organizace musí mít přehled o tom, co se děje v rámci technických cloudových aktiv. Protokolování monitorování zabezpečení a auditu služeb platformy Azure je klíčovou součástí škálovatelné architektury.

Aspekty návrhu operací zabezpečení

Obor Kontext
Výstrahy zabezpečení - Které týmy vyžadují oznámení pro výstrahy zabezpečení?
- Existují skupiny služeb, které výstrahy vyžadují směrování do různých týmů?
– Obchodní požadavky na monitorování a upozorňování v reálném čase.
– Integrace informací o zabezpečení a správy událostí s Microsoft Defenderem pro cloud a Microsoft Sentinel.
Protokoly zabezpečení – Doby uchovávání dat pro data auditu. Sestavy Microsoft Entra ID P1 nebo P2 mají 30denní dobu uchovávání.
– Dlouhodobé archivace protokolů, jako jsou protokoly aktivit Azure, protokoly virtuálních počítačů a protokoly paaS (platforma jako služba).
Ovládací prvky zabezpečení – Standardní konfigurace zabezpečení prostřednictvím zásad virtuálního počítače hosta v Azure.
– Zvažte, jak budou vaše bezpečnostní prvky v souladu s mantinely zásad správného řízení.
Správa ohrožení zabezpečení – Tísňové opravy kritických chyb zabezpečení.
– Opravy pro virtuální počítače, které jsou offline po delší dobu.
– Posouzení ohrožení zabezpečení virtuálních počítačů
Společná odpovědnost - Kde jsou předání zodpovědností týmu? Tyto odpovědnosti je potřeba vzít v úvahu při monitorování nebo reakci na události zabezpečení.
- Vezměte v úvahu pokyny v metodologii zabezpečení pro operace zabezpečení.
Šifrování a klíče - Kdo vyžaduje přístup ke klíčům v prostředí?
- Kdo bude zodpovědný za správu klíčů?
- Prozkoumejte šifrování a klíče dále.
Attestation – Budete používat důvěryhodné spuštění pro virtuální počítače a potřebujete ověření integrity celého spouštěcího řetězce vašeho virtuálního počítače (UEFI, OS, systém a ovladače)?
- Chcete využít šifrování důvěrných disků pro vaše důvěrné virtuální počítače?
– Vyžadují vaše úlohy ověření, že běží v důvěryhodném prostředí?

Doporučení k návrhu operací zabezpečení

  • Generování sestav řízení přístupu pomocí funkcí generování sestav řízení přístupu pomocí id Microsoft Entra ID

  • Export protokolů aktivit Azure do protokolů služby Azure Monitor pro dlouhodobé uchovávání dat V případě potřeby exportujte do Služby Azure Storage pro dlouhodobé úložiště po dobu dvou let.

  • Povolte Defender for Cloud standard pro všechna předplatná a pomocí Služby Azure Policy zajistíte dodržování předpisů.

  • Monitorujte odchylky oprav základního operačního systému prostřednictvím protokolů služby Azure Monitor a Microsoft Defenderu pro cloud.

  • Pomocí zásad Azure můžete automaticky nasazovat konfigurace softwaru prostřednictvím rozšíření virtuálních počítačů a vynucovat odpovídající konfiguraci standardních virtuálních počítačů.

  • Monitorujte odchylky konfigurace zabezpečení virtuálních počítačů prostřednictvím služby Azure Policy.

  • Připojte výchozí konfigurace prostředků k centralizovanému pracovnímu prostoru služby Azure Monitor Log Analytics.

  • Použijte řešení založené na Azure Event Gridu pro upozornění orientované na protokoly v reálném čase.

  • Ověření identity Azure použijte k ověření identity pro:

    • Integrita celého spouštěcího řetězce vašeho virtuálního počítače. Další informace najdete v tématu Přehled monitorování integrity spouštění.
    • Zabezpečené uvolnění důvěrných šifrovacích klíčů disku pro důvěrný virtuální počítač Další informace naleznete v tématu Důvěrné šifrování disku s operačním systémem.
    • Různé typy důvěryhodných spouštěcích prostředí úloh. Další informace najdete v tématu Případy použití.

Aspekty návrhu řízení přístupu

Moderní hranice zabezpečení jsou složitější než hranice v tradičním datacentru. Čtyři stěny datacentra už neobsahují vaše prostředky. Udržování uživatelů mimo chráněnou síť už nestačí k řízení přístupu. V cloudu se vaše hraniční síť skládá ze dvou částí: kontrolních mechanismů zabezpečení sítě a nulová důvěra (Zero Trust) řízení přístupu.

Pokročilé zabezpečení sítě

Obor Kontext
Plánování příchozího a odchozího připojení k internetu Popisuje doporučené modely připojení pro příchozí a odchozí připojení k veřejnému internetu a z veřejného internetu.
Plánování segmentace sítě cílové zóny Prozkoumá klíčová doporučení k zajištění vysoce zabezpečené interní segmentace sítě v cílové zóně. Tato doporučení řídí implementaci nulové důvěryhodnosti sítě..
Definování požadavků na šifrování sítě Zkoumá klíčová doporučení k zajištění šifrování sítě mezi místním prostředím a Azure a napříč oblastmi Azure.
Plánování kontroly provozu Prozkoumá klíčové aspekty a doporučené přístupy pro zrcadlení nebo klepnutí na provoz ve službě Azure Virtual Network.

nulová důvěra (Zero Trust)

V případě nulová důvěra (Zero Trust) přístupu s identitami byste měli zvážit:

  • Které týmy nebo jednotlivci vyžadují přístup ke službám v cílové zóně? Jaké role dělají?
  • Kdo by měl autorizovat žádosti o přístup?
  • Kdo by měl dostávat oznámení při aktivaci privilegovaných rolí?
  • Kdo by měl mít přístup k historii auditu?

Další informace naleznete v tématu Microsoft Entra Privileged Identity Management.

Implementace nulová důvěra (Zero Trust) může jít nad rámec správy identit a přístupu. Měli byste zvážit, jestli vaše organizace potřebuje implementovat nulová důvěra (Zero Trust) postupy napříč několika pilíři, jako je infrastruktura, data a sítě. Další informace najdete v tématu Začlenění nulová důvěra (Zero Trust) postupů do cílové zóny.

Doporučení k návrhu řízení přístupu

  • V souvislosti s vašimi základními požadavky proveďte společné vyšetření každé požadované služby. Pokud chcete používat vlastní klíče, nemusí se podporovat ve všech považovaný za služby. Implementujte relevantní zmírnění rizik, aby nekonzistence nepřekážely požadovaným výsledkům. Zvolte vhodné páry oblastí a oblasti zotavení po havárii, které minimalizují latenci.

  • Vytvořte plán povolení zabezpečení pro posouzení služeb, jako je konfigurace zabezpečení, monitorování a výstrahy. Pak vytvořte plán pro jejich integraci s existujícími systémy.

  • Než ho přesunete do produkčního prostředí, určete plán reakce na incidenty pro služby Azure.

  • Sladit požadavky na zabezpečení s plány pro platformy Azure, abyste zůstali v aktuálním stavu s nově vydanými kontrolními mechanismy zabezpečení.

  • Pokud je to vhodné, implementujte přístup k platformě Azure s nulovou důvěryhodností.

Zabezpečení v akcelerátoru cílových zón Azure

Zabezpečení je jádrem akcelerátoru cílových zón Azure. V rámci implementace se nasadí mnoho nástrojů a ovládacích prvků, které organizacím pomůžou rychle dosáhnout standardních hodnot zabezpečení.

Patří sem například následující položky:

Nářadí:

  • Microsoft Defender pro cloud, úroveň Standard nebo Free
  • Microsoft Sentinel
  • Azure DDoS Network Protection (volitelné)
  • Azure Firewall
  • Web Application Firewall (WAF)
  • Privileged Identity Management (PIM)

Zásady pro online a podnikové cílové zóny:

  • Vynucení zabezpečeného přístupu k účtům úložiště, jako je HTTPS
  • Vynucení auditování pro Azure SQL Database
  • Vynucení šifrování pro Azure SQL Database
  • Zabránění předávání IP
  • Zabránění příchozímu protokolu RDP z internetu
  • Ujistěte se, že jsou podsítě přidružené ke skupině zabezpečení sítě.

Další kroky

Zjistěte, jak zabezpečit privilegovaný přístup pro hybridní a cloudová nasazení v Microsoft Entra ID.