Sdílet prostřednictvím

Příprava zabezpečeného cloudového majetku

  • Článek

Během fáze připravenosti přechodu na cloud se zaměříte na vytvoření základu majetku. Přístup cílové zóny Microsoft Azure poskytuje podnikům a velkým organizacím bezpečnější, škálovatelný a modulární model návrhu, který bude následovat při implementaci jejich aktiv. Menší organizace a startupy nemusí potřebovat úroveň organizace, kterou poskytuje přístup k cílové zóně, ale pochopení filozofie cílové zóny může pomoci jakékoli organizaci vytvořit základní návrh a získat vysoký stupeň zabezpečení a škálovatelnosti.

Jakmile definujete strategii a plán přechodu na cloud, můžete zahájit fázi implementace návrhem základu. Pomocí doporučení v této příručce se ujistěte, že základní návrh a implementace upřednostňují zabezpečení.

Diagram znázorňující metodologie zapojené do přechodu na cloud Diagram obsahuje pole pro každou fázi: týmy a role, strategii, plán, připravenost, přijetí, řízení a správu. Pole pro tento článek je zvýrazněné.

Tento článek je podpůrným průvodcem metodikou připravenosti. Popisuje oblasti optimalizace zabezpečení, které byste měli zvážit při procházení této fáze vaší cesty.

Modernizace stavu zabezpečení

Prvními kroky implementace modernizace stavu zabezpečení jsou vytvoření cílové zóny nebo cloudového základu a vytvoření nebo modernizace vaší identity, autorizace a přístupové platformy.

  • Přijetí přístupu cílové zóny: Přijetí přístupu cílové zóny nebo začlenění principů návrhu přístupu cílové zóny v rozsahu praktickém pro váš případ použití vám umožní zahájit implementaci optimalizovaným způsobem. S vývojem cloudových aktiv pomáhá oddělení různých domén vašich aktiv zajistit lepší zabezpečení a správu celého majetku.

    • Pokud nemáte v úmyslu přijmout kompletní cílovou zónu podniku, musíte stále porozumět oblastem návrhu a použít pokyny, které jsou relevantní pro vaše cloudová aktiva. Musíte přemýšlet o všech těchto oblastech návrhu a implementovat ovládací prvky specifické pro každou oblast bez ohledu na to, jak je vaše základ navržen. Například použití skupin pro správu vám může pomoct řídit cloudová aktiva i v případě, že se skládá jenom z několika předplatných.

Vyvíjejte zabezpečené a škálovatelné cílové zóny, které poskytují řízená prostředí pro nasazování cloudových prostředků. Tyto zóny vám pomůžou zajistit konzistentní použití zásad zabezpečení a oddělení prostředků podle jejich požadavků na zabezpečení. Podrobné pokyny k tomuto tématu najdete v oblasti návrhu zabezpečení.

  • Moderní identita, autorizace a přístup: Na základě principů nulová důvěra (Zero Trust) se moderní přístup k identitě, autorizaci a přístupu přesune z vztahu důvěryhodnosti ve výchozím nastavení na výjimku podle důvěryhodnosti. Z těchto principů vyplývá, že uživatelé, zařízení, systémy a aplikace by měli mít povolený přístup jenom k prostředkům, které vyžadují, a pouze po dobu potřebnou ke splnění jejich potřeb. Stejné pokyny platí pro základní prvky vašich aktiv: úzce řídíte oprávnění k předplatným, síťovým prostředkům, řešením zásad správného řízení, platformě správy identit a přístupu (IAM) a tenantům podle stejných doporučení, která dodržujete pro úlohy, které spouštíte. Podrobné pokyny k tomuto tématu najdete v oblasti návrhu správy identit a přístupu.

Usnadnění azure

  • Akcelerátory cílových zón Azure: Microsoft udržuje několik akcelerátorů cílových zón, což jsou předem zabalená nasazení daného typu úlohy, která se dají snadno nasadit do cílové zóny, abyste mohli rychle začít. Patří mezi ně akcelerátory pro Azure Integration Services, Azure Kubernetes Service (AKS), Azure API Management a další. Úplný seznamakcech

  • Modul Terraform cílových zón Azure: Nasazení cílových zón můžete optimalizovat pomocí automatizace pomocí modulu Terraform cílových zón Azure. Pomocí kanálu kontinuální integrace a průběžného nasazování (CI/CD) k nasazení cílových zón můžete zajistit, aby všechny cílové zóny byly nasazeny identicky, a to se všemi mechanismy zabezpečení.

  • Microsoft Entra: Microsoft Entra je řada produktů identit a síťového přístupu. Umožňuje organizacím implementovat strategii zabezpečení nulová důvěra (Zero Trust) a vytvořit prostředky infrastruktury důvěryhodnosti, které ověřuje identity, ověřuje podmínky přístupu, kontroluje oprávnění, šifruje kanály připojení a monitoruje ohrožení zabezpečení.

Příprava na připravenost a reakci na incidenty

Po definování strategie a vytvoření plánu připravenosti a reakce na incidenty můžete zahájit implementaci. Bez ohledu na to, jestli přijmete kompletní návrh cílové zóny podniku nebo menší základní návrh, je oddělení sítě důležité pro zajištění vysokého stupně zabezpečení.

Segmentace sítě: Navrhujte síťovou architekturu se správnou segmentací a izolací, abyste minimalizovali přístupy k útokům a obsahovali potenciální porušení zabezpečení. Ke správě a řízení provozu používejte techniky, jako jsou virtuální privátní cloudy (VPC), podsítě a skupiny zabezpečení. Podrobné pokyny k tomuto tématu najdete v článku Plánování segmentace sítě. Nezapomeňte si projít zbývající příručky zabezpečení sítě cílové zóny Azure. Pokyny zahrnují doporučení pro příchozí a odchozí připojení, šifrování sítě a kontrolu provozu.

Usnadnění azure

  • Azure Virtual WAN: Azure Virtual WAN je síťová služba, která konsoliduje mnoho síťových, bezpečnostních a směrovacích funkcí, aby poskytovala jedno provozní rozhraní. Návrh je hvězdicová architektura, která má integrované škálování a výkon pro větve (zařízení VPN/SD-WAN), uživatele (klienty Azure VPN/OpenVPN/IKEv2), okruhy Azure ExpressRoute a virtuální sítě. Při implementaci cílových zón vám azure Virtual WAN může pomoct optimalizovat síť prostřednictvím segmentace a mechanismů zabezpečení.

Příprava na důvěrnost

Během fáze Připraveno je příprava úloh z hlediska důvěrnosti procesem zajištění implementace a vynucování vašich zásad a standardů IAM. Tato příprava zajistí, že při nasazování úloh budou vaše data ve výchozím nastavení zabezpečená. Nezapomeňte mít dobře řízené zásady a standardy pro:

  • Princip nejnižších oprávnění. Udělte uživatelům minimální přístup potřebný k provádění svých úkolů.

  • Řízení přístupu na základě role (RBAC). Přiřaďte role a oprávnění na základě zodpovědností za úlohy. To vám pomůže efektivně spravovat přístup a snižuje riziko neoprávněného přístupu.

  • Vícefaktorové ověřování (MFA). Implementujte vícefaktorové ověřování pro přidání další vrstvy zabezpečení.

  • Řízení podmíněného přístupu Řízení podmíněného přístupu poskytují další zabezpečení vynucením zásad na základě konkrétních podmínek. Mezi zásady patří vynucování vícefaktorového ověřování, blokování přístupu na základě zeměpisné polohy a mnoho dalších scénářů. Když zvolíte platformu IAM, ujistěte se, že je podmíněný přístup podporovaný a že implementace splňuje vaše požadavky.

Usnadnění azure

  • Podmíněný přístup Microsoft Entra je modul zásad microsoft nulová důvěra (Zero Trust). Při vynucování rozhodnutí o zásadách bere signály z různých zdrojů.

Příprava na integritu

Stejně jako u přípravy důvěrnosti se ujistěte, že máte správně řízené zásady a standardy pro integritu dat a systémů, abyste ve výchozím nastavení nasadili úlohy s vylepšeným zabezpečením. Definujte zásady a standardy pro následující oblasti.

Postupy správy dat

  • Klasifikace dat: Vytvořte architekturu klasifikace dat a taxonomii popisků citlivosti, která definuje základní kategorie rizik zabezpečení dat. Tuto taxonomii použijete ke zjednodušení všeho od inventáře dat nebo přehledů aktivit až po správu zásad až po stanovení priority šetření. Podrobné pokyny k tomuto tématu najdete v tématu Vytvoření dobře navržené architektury klasifikace dat.

  • Ověření a ověření dat: Investujte do nástrojů, které automatizují ověřování a ověřování dat, aby se snížila zátěž datových inženýrů a správců a snížila riziko lidské chyby.

  • Zásady zálohování: Codify zásady zálohování, aby se zajistilo, že se všechna data pravidelně zálohová. Pravidelně testujte zálohy a obnovení, abyste měli jistotu, že zálohování proběhne úspěšně a že data jsou správná a konzistentní. Tyto zásady srovnejte s cíli doby obnovení (RTO) vaší organizace a cíli bodu obnovení (RPO).

  • Silné šifrování: Ujistěte se, že poskytovatel cloudu ve výchozím nastavení šifruje neaktivní uložená data a přenášená data. V Azure jsou vaše data zašifrovaná až do konce. Podrobnosti najdete v Centru zabezpečení Microsoftu . Pro služby, které používáte ve svých úlohách, se ujistěte, že je podporováno silné šifrování a správně nakonfigurované tak, aby splňovalo vaše obchodní požadavky.

Vzory návrhu integrity systému

  • Monitorování zabezpečení: Pokud chcete detekovat neoprávněné změny cloudových systémů, navrhněte robustní platformu pro monitorování zabezpečení jako součást celkové strategie monitorování a pozorovatelnosti. Podrobné obecné pokyny najdete v části Správa monitorování metodologie. Doporučení k monitorování zabezpečení najdete v průvodci viditelností, automatizací a orchestrací nulová důvěra (Zero Trust).

    • SIEM a detekce hrozeb: Pomocí nástrojů pro správu bezpečnostních informací a událostí (SIEM) a orchestrace zabezpečení, automatizace a reakce (SOAR) a nástrojů pro detekci hrozeb můžete detekovat podezřelé aktivity a potenciální hrozby pro vaši infrastrukturu.

  • Automatizovaná správa konfigurací: Codify použití nástrojů k automatizaci správy konfigurací. Automatizace pomáhá zajistit, aby všechny konfigurace systému byly konzistentní, bez lidské chyby a automaticky se vynucují.

  • Automatizovaná správa oprav: Umožňuje kodifikovat použití nástrojů pro správu a řízení aktualizací pro virtuální počítače. Automatizované opravy pomáhají zajistit, aby všechny systémy byly pravidelně opravovány a aby systémové verze byly konzistentní.

  • Automatizovaná nasazení infrastruktury: Kodifikuje použití infrastruktury jako kódu (IaC) pro všechna nasazení. Nasaďte IaC jako součást kanálů CI/CD. Použijte stejné postupy bezpečného nasazení pro nasazení IaC jako u nasazení softwaru.

Usnadnění azure

  • Azure Policy a Microsoft Defender for Cloud spolupracují, aby vám pomohly definovat a vynucovat zásady zabezpečení napříč cloudovými aktivy. Obě řešení podporují zásady správného řízení základních prvků a prostředků úloh.

  • Azure Update Manager je nativní řešení pro správu aktualizací a oprav Azure. Můžete ho rozšířit na místní systémy a systémy s podporou Arc.

  • Microsoft Sentinel je řešení Microsoft SIEM a SOAR. Poskytuje kyberzločince, vyšetřování a reakci, proaktivní proaktivní proaktivní proaktivní vyhledávání a komplexní přehled o celém podniku.

Příprava na dostupnost

Návrh úloh pro zajištění odolnosti pomáhá zajistit, aby vaše firma vydržela poruchy a bezpečnostní incidenty a aby operace mohly pokračovat, zatímco jsou vyřešeny problémy s ovlivněnými systémy. Následující doporučení, která odpovídají principům architektury přechodu na cloud, vám můžou pomoct při návrhu odolných úloh:

  • Implementujte odolný návrh aplikace. Osvojte si vzory návrhu aplikací, které zvyšují odolnost proti incidentům infrastruktury i incidentů mimo infrastrukturu, a to v souladu s širšími principy architektury přechodu na cloud. Standardizujte návrhy, které zahrnují mechanismy samoopravení a samozáchovávání, aby se zajistila nepřetržitá operace a rychlé obnovení. Podrobné pokyny k odolným vzorům návrhu najdete v pilíři Spolehlivost dobře navržená architektura.

  • Osvojte si bezserverovou architekturu. Používejte bezserverové technologie, včetně platformy jako služby (PaaS), softwaru jako služby (SaaS) a funkce jako služby (FaaS), abyste snížili režii správy serverů, automaticky škálujte podle poptávky a zlepšili dostupnost. Tento přístup podporuje důraz architektury přechodu na cloud na modernizaci úloh a optimalizaci provozní efektivity.

  • Používejte mikroslužby a kontejnerizaci. Implementujte mikroslužby a kontejnerizaci, abyste se vyhnuli monolitickým aplikacím tím, že je rozdělíte do menších nezávislých služeb, které můžete nasadit a škálovat nezávisle. Tento přístup je v souladu s principy architektury přechodu na cloud a flexibilitou a škálovatelností v cloudových prostředích.

  • Oddělte služby. Strategicky izolujte služby od sebe, aby se snížil poloměr výbuchu incidentů. Tato strategie pomáhá zajistit, aby selhání v jedné komponentě neměla vliv na celý systém. Podporuje model zásad správného řízení architektury přechodu na cloud tím, že podporuje robustní hranice služeb a provozní odolnost.

  • Povolte automatické škálování. Zajistěte, aby vaše aplikační architektura podporovala automatické škálování, aby zvládla různá zatížení, aby během špiček provozu zachovala dostupnost. Tento postup je v souladu s pokyny pro architekturu přechodu na cloud k vytváření škálovatelných a responzivních cloudových prostředí a pomáhá udržet náklady spravovatelné a předvídatelné.

  • Implementujte izolaci chyb. Navrhněte aplikaci tak, aby izolovala selhání jednotlivých úloh nebo funkcí. Tímto způsobem můžete zabránit rozsáhlým výpadkům a zvýšit odolnost. Tento přístup podporuje architekturu přechodu na cloud a zaměřuje se na vytváření spolehlivých systémů odolných proti chybám.

  • Zajistěte vysokou dostupnost. Zabudování integrovaných mechanismů redundance a zotavení po havárii za účelem zachování průběžného provozu Tento přístup podporuje osvědčené postupy architektury přechodu na cloud pro zajištění vysoké dostupnosti a plánování kontinuity podnikových procesů.

  • Naplánujte automatické převzetí služeb při selhání. Nasaďte aplikace napříč několika oblastmi, které podporují bezproblémové převzetí služeb při selhání a nepřerušovanou službu. Tento přístup odpovídá strategii architektury přechodu na cloud pro geografickou redundanci a zotavení po havárii.

Příprava na trvalou bezpečnost

Během fáze Připraveno příprava na dlouhodobou trvalou trvalou bezpečnost zahrnuje zajištění toho, aby základní prvky vašeho majetku dodržovaly osvědčené postupy zabezpečení pro počáteční úlohy, ale jsou také škálovatelné. To vám pomůže zajistit, aby se vaše aktiva s růstem a vývojem nezhroužovala zabezpečení a správa vašeho zabezpečení se nestala příliš složitá a zatěžující. To vám zase pomůže vyhnout se stínovým chováním IT. Za tímto účelem se během fáze Připravenost zamyslete nad tím, jak lze dosáhnout vašich obchodních cílů v dlouhodobém horizontu, aniž by došlo k zásadním úpravám architektury nebo zásadním úpravám provozních postupů. I když se rozhodnete vytvořit mnohem jednodušší základ než návrh cílové zóny, ujistěte se, že základní návrh můžete převést na podnikovou architekturu, aniž byste museli znovu nasadit hlavní prvky vašich aktiv, jako jsou sítě a kritické úlohy. Vytvoření návrhu, který může růst s růstem vašich aktiv, ale stále zůstává zabezpečený, je nástrojem pro úspěch vaší cesty ke cloudu.

Přečtěte si téma Přechod existujícího prostředí Azure na koncepční architekturu cílové zóny Azure pro doporučení týkající se přesunu stávajících stop Azure do architektury cílové zóny.

Další krok

Zajištění přechodu na cloud s vylepšeným zabezpečením