Podrobný plán zabezpečení a dodržování předpisů Azure: Webová aplikace PaaS pro PCI DSS

Přehled

Tato služba Azure Security and Compliance Blueprint Automation poskytuje pokyny k nasazení prostředí kompatibilních s platformou PCI DSS 3.2 (PcI DSS 3.2) kompatibilní s platformou jako službou (PaaS) pro shromažďování, ukládání a načítání dat z karty. Toto řešení automatizuje nasazení a konfiguraci prostředků Azure pro společnou referenční architekturu a demonstruje způsoby, jak zákazníci můžou splňovat specifické požadavky na zabezpečení a dodržování předpisů a slouží jako základ pro zákazníky, kteří můžou vytvářet a konfigurovat vlastní řešení v Azure. Řešení implementuje podmnožinu požadavků z PCI DSS 3.2. Další informace o požadavcích PCI DSS 3.2 a tomto řešení najdete v části Dokumentace k dodržování předpisů .

Tato služba Azure Security and Compliance Blueprint Automation automaticky nasadí referenční architekturu webové aplikace PaaS s předem nakonfigurovanými ovládacími prvky zabezpečení, které zákazníkům pomůžou dosáhnout souladu s požadavky PCI DSS 3.2. Řešení se skládá ze šablon Azure Resource Manager a skriptů PowerShellu, které řídí nasazení a konfiguraci prostředků.

Tato architektura je určená jako základ pro zákazníky, aby se přizpůsobili jejich konkrétním požadavkům a neměli by se používat tak, jak je v produkčním prostředí. Nasazení aplikace do tohoto prostředí bez úprav nestačí k úplnému splnění požadavků PCI DSS 3.2. Je třeba počítat s následujícím:

• Tato architektura poskytuje směrný plán, který zákazníkům pomůže používat Azure v souladu se standardem PCI DSS 3.2.
• Zákazníci zodpovídají za provádění odpovídajícího posouzení zabezpečení a dodržování předpisů pro všechna řešení vytvořená pomocí této architektury, protože požadavky se mohou lišit v závislosti na specifikách implementace jednotlivých zákazníků.

Dosažení dodržování předpisů PCI DSS vyžaduje, aby akreditovaný kvalifikovaný posouzení zabezpečení (QSA) certifikoval produkční zákaznické řešení. Zákazníci zodpovídají za provádění vhodných posouzení zabezpečení a dodržování předpisů pro všechna řešení vytvořená pomocí této architektury, protože požadavky se můžou lišit v závislosti na specifikách implementace jednotlivých zákazníků.

Kliknutím sem zobrazíte pokyny k nasazení.

Diagram architektury a komponenty

Tato služba Azure Security and Compliance Blueprint Automation nasadí referenční architekturu pro webovou aplikaci PaaS s back-endem služby SQL do Azure Database. Webová aplikace je hostovaná v izolovaném prostředí Служба приложений Azure, což je privátní vyhrazené prostředí v datacentru Azure. Zatížení prostředí vyrovnává provoz webové aplikace napříč virtuálními počítači spravovanými Azure. Tato architektura zahrnuje také skupiny zabezpečení sítě, Application Gateway, Azure DNS a Load Balancer.

U rozšířených analýz a vytváření sestav je možné SQL do Azure databáze nakonfigurovat s indexy columnstore. SQL do Azure databáze je možné vertikálně navýšit nebo vypnout nebo úplně vypnout v reakci na využití zákazníků. Veškerý provoz SQL je šifrovaný protokolem SSL prostřednictvím zahrnutí certifikátů podepsaných svým držitelem. Osvědčeným postupem je, že Azure doporučuje používat důvěryhodnou certifikační autoritu pro lepší zabezpečení.

Řešení používá účty Azure Storage, které můžou zákazníci nakonfigurovat tak, aby používali šifrování služby Storage k zachování důvěrnosti neaktivních uložených dat. Azure ukládá tři kopie dat ve vybraném datacentru zákazníka pro zajištění odolnosti. Geograficky redundantní úložiště zajišťuje, aby se data replikovala do sekundárního datacentra stovky kilometrů daleko a uložila se znovu jako tři kopie v rámci tohoto datacentra, což brání nežádoucím událostem v primárním datovém centru zákazníka v důsledku ztráty dat.

Kvůli lepšímu zabezpečení se všechny prostředky v tomto řešení spravují jako skupina prostředků prostřednictvím Azure Resource Manager. Řízení přístupu na základě role v Azure Active Directory slouží k řízení přístupu k nasazeným prostředkům, včetně jejich klíčů v Azure 密钥保管库. Stav systému se monitoruje prostřednictvím služby Azure Monitor. Zákazníci nakonfigurují monitorovací služby tak, aby zaznamenávaly protokoly a zobrazovaly stav systému na jednom snadnovigovatelném řídicím panelu.

SQL do Azure Databáze se běžně spravuje prostřednictvím SQL Server Management Studio, který běží z místního počítače nakonfigurovaného pro přístup k databázi SQL do Azure prostřednictvím zabezpečeného připojení VPN nebo ExpressRoute.

Application Insights navíc poskytuje správu a analýzu výkonu aplikací v reálném čase prostřednictvím protokolů služby Azure Monitor. Microsoft doporučuje nakonfigurovat připojení VPN nebo ExpressRoute pro správu a import dat do podsítě referenční architektury.

–

Toto řešení používá následující služby Azure. Podrobnosti o architektuře nasazení najdete v části Architektura nasazení .

• App Service Environment v2
• Application Gateway
  • (1) Firewall webových aplikací
    • Režim brány firewall: prevence
    • Sada pravidel: OWASP 3.0
    • Port naslouchacího procesu: 443
• Application Insights
• Azure Active Directory
• Azure Automation
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Azure Virtual Network
  • (1) /16 Síť
  • (4) /24 Sítě
  • (4) Skupiny zabezpečení sítě
• Webová aplikace Azure

Architektura nasazení

Následující část podrobně popisuje prvky nasazení a implementace.

Azure Resource Manager: Azure Resource Manager umožňuje zákazníkům pracovat s prostředky v řešení jako se skupinou. Zákazníci můžou nasadit, aktualizovat nebo odstranit všechny prostředky pro řešení v jediné koordinované operaci. Zákazníci používají šablonu pro nasazení a tato šablona může fungovat pro různá prostředí, jako je testování, příprava a produkční prostředí. Resource Manager poskytuje funkce zabezpečení, auditování a označování, které zákazníkům po nasazení pomůžou spravovat své prostředky.

Hostitel Bastionu: Hostitel bastionu je jediný bod vstupu, který uživatelům umožňuje přístup k nasazených prostředkům v tomto prostředí. Hostitel bastionu poskytuje zabezpečené připojení k nasazeným prostředkům tím, že povoluje vzdálený provoz jenom z veřejných IP adres v seznamu bezpečných adres. Pokud chcete povolit provoz vzdálené plochy (RDP), musí být zdroj provozu definovaný ve skupině zabezpečení sítě.

Toto řešení vytvoří virtuální počítač jako hostitele bastionu připojeného k doméně s následujícími konfiguracemi:

• Antimalwarové rozšíření
• Rozšíření Azure Diagnostics
• Azure Disk Encryption s využitím Azure 密钥保管库
• Zásady automatického vypnutí, které snižují spotřebu prostředků virtuálního počítače, když se nepoužívají
• Windows Defender povolenou ochranu Credential Guard, aby se přihlašovací údaje a další tajné kódy spouštěly v chráněném prostředí, které je izolované od spuštěného operačního systému.

App Service Environment v2: Prostředí Служба приложений Azure je funkce Serviço de Aplicativo, která poskytuje plně izolované a vyhrazené prostředí pro bezpečné spouštění aplikací Serviço de Aplicativo ve velkém měřítku. Tato funkce izolace je nutná ke splnění požadavků na dodržování předpisů PCI.

Serviço de Aplicativo prostředí jsou izolovaná tak, aby spouštěla jenom aplikace jednoho zákazníka a vždy se nasadí do virtuální sítě. Tato funkce izolace umožňuje referenční architektuře mít úplnou izolaci tenanta a odebrat ji z prostředí Azure s více tenanty, které zakazuje výčet nasazených App Service Environment prostředků. Zákazníci mají jemně odstupňovanou kontrolu nad příchozím i odchozím provozem aplikační sítě a aplikace můžou vytvářet vysokorychlostní zabezpečená připojení přes virtuální sítě k místním podnikovým prostředkům. Zákazníci můžou "automaticky škálovat" s App Service Environment na základě metrik zatížení, dostupného rozpočtu nebo definovaného plánu.

Pro následující ovládací prvky a konfigurace využijte Serviço de Aplicativo Prostředí:

• Hostování v zabezpečeném Virtual Network Azure a pravidlech zabezpečení sítě
• Certifikát interního nástroje pro vyrovnávání zatížení podepsaný svým držitelem pro komunikaci HTTPS
• Režim interního vyrovnávání zatížení
• Zakázání protokolu TLS 1.0
• Změna šifrování TLS
• Řízení příchozího provozu N/W portů
• Firewall webových aplikací – omezení dat
• Povolit provoz databáze SQL do Azure

Webová aplikace Azure: Служба приложений Azure umožňuje zákazníkům vytvářet a hostovat webové aplikace v programovacím jazyce podle svého výběru bez správy infrastruktury. Nabízí automatické škálování a vysokou dostupnost, podporuje systémy Windows a Linux a umožňuje automatizované nasazení z Githubu, Azure DevOps nebo libovolného úložiště Git.

Virtual Network

Architektura definuje privátní Virtual Network s adresní prostorem 10.200.0.0/16.

Skupiny zabezpečení sítě: Skupiny zabezpečení sítě obsahují seznamy 存取控制 (ACL), které povolují nebo zakazují provoz v rámci Virtual Network. Skupiny zabezpečení sítě je možné použít k zabezpečení provozu na úrovni podsítě nebo jednotlivých virtuálních počítačů. Existují následující skupiny zabezpečení sítě:

• 1 Skupina zabezpečení sítě pro Application Gateway
• 1 Skupina zabezpečení sítě pro App Service Environment
• 1 Skupina zabezpečení sítě pro databázi SQL do Azure
• 1 skupina zabezpečení sítě pro hostitele bastionu

Každá skupina zabezpečení sítě má otevřené konkrétní porty a protokoly, aby řešení mohlo bezpečně a správně fungovat. Kromě toho jsou pro každou skupinu zabezpečení sítě povoleny následující konfigurace:

• Diagnostické protokoly a události jsou povolené a uložené v účtu úložiště.
• Protokoly služby Azure Monitor jsou připojené k diagnostice skupiny zabezpečení sítě.

Podsítě: Každá podsíť je přidružená ke své odpovídající skupině zabezpečení sítě.

Azure DNS: Systém názvů domén nebo DNS zodpovídá za překlad (nebo překlad) webu nebo názvu služby na jeho IP adresu. Azure DNS je hostingová služba pro domény DNS, které poskytují překlad názvů pomocí infrastruktury Azure. Hostováním domén v Azure můžou uživatelé spravovat záznamy DNS pomocí stejných přihlašovacích údajů, rozhraní API, nástrojů a fakturace jako jiné služby Azure. Azure DNS také podporuje privátní domény DNS.

Azure Load Balancer: Azure Load Balancer umožňuje zákazníkům škálovat své aplikace a vytvářet vysokou dostupnost služeb. Load Balancer podporuje příchozí i odchozí scénáře a poskytuje nízkou latenci, vysokou propustnost a škáluje až miliony toků pro všechny aplikace TCP a UDP.

Přenášená data

Azure ve výchozím nastavení šifruje veškerou komunikaci s datacentry Azure a z datových center Azure. Všechny transakce do služby Azure Storage prostřednictvím Azure-Portal probíhají prostřednictvím protokolu HTTPS.

Neaktivní uložená data

Architektura chrání neaktivní uložená data prostřednictvím šifrování, auditování databáze a dalších měr.

Azure Storage: Aby bylo splněno požadavky na šifrovaná neaktivní uložená data, používá všechna služba Azure Storagešifrování služby Storage. To pomáhá chránit a chránit data o držitelích karet při podpoře závazků organizace a požadavků na dodržování předpisů definovaných PCI DSS 3.2.

Azure Disk Encryption: Azure Disk Encryption využívá funkci BitLockeru systému Windows k poskytování šifrování svazků pro datové disky. Řešení se integruje s Azure 密钥保管库, které pomáhá řídit a spravovat šifrovací klíče disku.

SQL do Azure Databáze: Instance databáze SQL do Azure používá následující míry zabezpečení databáze:

• Ověřování a autorizace služby Active Directory umožňuje správu identit uživatelů databáze a dalších služeb Microsoftu v jednom centrálním umístění.
• Auditování databáze SQL sleduje události databáze a zapisuje je do protokolu auditu v účtu úložiště Azure.
• SQL do Azure Database je nakonfigurovaná tak, aby používala transparentní šifrování dat, které provádí šifrování a dešifrování databáze v reálném čase, přidružené zálohy a soubory transakčních protokolů pro ochranu neaktivních uložených informací. Transparentní šifrování dat zajišťuje, že uložená data nebyla předmětem neoprávněného přístupu.
• Pravidla brány firewall brání všem přístupům k databázovým serverům, dokud nebudou udělena správná oprávnění. Brána firewall uděluje přístup k databázím v závislosti na zdrojové IP adrese každého požadavku.
• Detekce hrozeb SQL umožňuje detekci a reakci na potenciální hrozby, ke kterým dochází, tím, že poskytuje výstrahy zabezpečení pro podezřelé databázové aktivity, potenciální ohrožení zabezpečení, útoky prostřednictvím injektáže SQL a neobvyklé vzory přístupu k databázi.
• Šifrované sloupce zajišťují, že citlivá data se v databázovém systému nikdy nezobrazí jako prostý text. Po povolení šifrování dat mají přístup k datům prostého textu jenom klientské aplikace nebo aplikační servery s přístupem k klíčům.
• SQL Database dynamické maskování dat omezuje ohrožení citlivých dat maskováním dat před neprivilegovanými uživateli nebo aplikacemi. Dynamické maskování dat může automaticky zjišťovat potenciálně citlivá data a navrhovat vhodné masky, které se mají použít. To pomáhá identifikovat a omezit přístup k datům tak, aby databáze neodejde prostřednictvím neoprávněného přístupu. Zákazníci zodpovídají za úpravu nastavení dynamické maskování dat tak, aby dodržovali schéma databáze.

Správa identit

Následující technologie poskytují možnosti pro správu přístupu k datům z karet v prostředí Azure:

• Azure Active Directory je cloudová služba a adresářová služba pro správu identit microsoftu s více tenanty. Všichni uživatelé pro toto řešení se vytvářejí v Azure Active Directory, včetně uživatelů, kteří přistupují k databázi SQL do Azure.
• Ověřování k aplikaci se provádí pomocí Azure Active Directory. Další informace najdete v článku Integrace aplikací s Azure Active Directory. Kromě toho šifrování sloupců databáze používá Azure Active Directory k ověření aplikace pro SQL do Azure Database. Další informace najdete v tématu ochrana citlivých dat v databázi SQL do Azure.
• Řízení přístupu na základě role Azure umožňuje správcům definovat jemně odstupňovaná přístupová oprávnění k udělení pouze množství přístupu, které uživatelé potřebují k provádění svých úloh. Místo udělení neomezeného oprávnění pro prostředky Azure můžou správci povolit jenom určité akce pro přístup k datům z karet. Přístup k předplatnému je omezený na správce předplatného.
• Azure Active Directory Privileged Identity Management umožňuje zákazníkům minimalizovat počet uživatelů, kteří mají přístup k určitým informacím, jako jsou data z karet. Správci můžou pomocí Azure Active Directory Privileged Identity Management zjišťovat, omezovat a monitorovat privilegované identity a jejich přístup k prostředkům. Tato funkce se dá použít také k vynucení přístupu správce za běhu na vyžádání v případě potřeby.
• Azure Active Directory Identity Protection detekuje potenciální ohrožení zabezpečení ovlivňující identity organizace, konfiguruje automatizované odpovědi na zjištěné podezřelé akce související s identitami organizace a prošetřuje podezřelé incidenty, aby bylo možné je vyřešit.

Zabezpečení

Správa tajných kódů: Řešení používá azure 密钥保管库 ke správě klíčů a tajných kódů. Azure Key Vault pomáhá chránit kryptografické klíče a tajné klíče používané cloudovými aplikacemi a službami. Následující možnosti azure 密钥保管库 pomáhají zákazníkům chránit a přistupovat k těmto datům:

• Pokročilé zásady přístupu se konfigurují podle potřeby.
• 密钥保管库 zásady přístupu jsou definovány s minimálními požadovanými oprávněními pro klíče a tajné kódy.
• Všechny klíče a tajné kódy v 密钥保管库 mají data vypršení platnosti.
• Všechny klíče v 密钥保管库 jsou chráněné specializovanými moduly hardwarového zabezpečení. Typ klíče je 2048bitový klíč RSA chráněný HSM.
• Všem uživatelům a identitám se udělí minimální požadovaná oprávnění pomocí řízení přístupu na základě role.
• Diagnostické protokoly pro 密钥保管库 jsou povolené s dobou uchovávání nejméně 365 dnů.
• Povolené kryptografické operace pro klíče jsou omezené na požadované kryptografické operace.

Azure Security Center: Díky Azure Security Center můžou zákazníci centrálně používat a spravovat zásady zabezpečení napříč úlohami, omezit vystavení hrozbám a zjišťovat útoky a reagovat na ně. Kromě toho Azure Security Center přistupuje ke stávajícím konfiguracím služeb Azure za účelem poskytování doporučení ke konfiguraci a službám, které pomáhají zlepšit stav zabezpečení a chránit data.

Azure Security Center využívá celou řadu možností detekce k upozorňování zákazníků na potenciální útoky zaměřené na jejich prostředí. Tyto výstrahy obsahují cenné informace o tom, co výstrahu aktivovalo, o prostředcích na které cílí, a o zdroji útoku. Azure Security Center obsahuje sadu předdefinovaných výstrah zabezpečení, které se aktivují při hrozbě nebo podezřelé aktivitě. Vlastní pravidla upozornění v Azure Security Center umožňují zákazníkům definovat nová upozornění zabezpečení na základě dat, která už se shromažďují z jejich prostředí.

Azure Security Center poskytuje prioritní výstrahy zabezpečení a incidenty, což zákazníkům usnadňuje zjišťování a řešení potenciálních problémů se zabezpečením. Sestava analýzy hrozeb se generuje pro každou zjištěnou hrozbu, která pomáhá týmům reakce na incidenty při vyšetřování a nápravě hrozeb.

Azure Application Gateway: Architektura snižuje riziko ohrožení zabezpečení pomocí Azure Application Gateway s nakonfigurovanou bránou firewall webových aplikací a povolenou SADOU pravidel OWASP. Mezi další možnosti patří:

• Kompletní SSL
• Povolení přesměrování načítání SSL
• Zakázání protokolu TLS verze 1.0 a verze 1.1
• Firewall webových aplikací (režim prevence)
• Režim prevence pomocí sady pravidel OWASP 3.0
• Povolení protokolování diagnostiky
• Vlastní sondy stavu
• Azure Security Center a Azure Advisor poskytují další ochranu a oznámení. Azure Security Center také poskytuje systém reputace.

Protokolování a auditování

Služby Azure výrazně protokoluje systém a aktivitu uživatelů a také stav systému:

• Protokoly aktivit: Protokoly aktivit poskytují přehled o operacích prováděných s prostředky v předplatném. Protokoly aktivit můžou pomoct určit iniciátor operace, čas výskytu a stav.
• Diagnostické protokoly: Diagnostické protokoly zahrnují všechny protokoly generované všemi prostředky. Mezi tyto protokoly patří protokoly systému událostí Windows, protokoly služby Azure Storage, 密钥保管库 protokoly auditu a Application Gateway přístup a protokoly brány firewall. Všechny diagnostické protokoly se zapisují do centralizovaného a šifrovaného účtu úložiště Azure pro archivaci. Uchovávání je konfigurovatelné uživatelem až 730 dnů, aby splňovalo požadavky na uchovávání specifické pro organizaci.

Protokoly služby Azure Monitor: Tyto protokoly jsou sloučené v protokolech služby Azure Monitor pro zpracování, ukládání a vytváření sestav řídicích panelů. Po shromáždění jsou data uspořádaná do samostatných tabulek pro každý datový typ v rámci pracovních prostorů Služby Log Analytics, která umožňuje analyzovat všechna data společně bez ohledu na původní zdroj. Kromě toho se Azure Security Center integruje s protokoly služby Azure Monitor, které zákazníkům umožňují používat dotazy Kusto pro přístup k datům událostí zabezpečení a jejich kombinování s daty z jiných služeb.

Součástí této architektury jsou následující řešení pro monitorování Azure:

• Posouzení služby Active Directory: Řešení pro kontrolu stavu služby Active Directory vyhodnocuje riziko a stav serverových prostředí v pravidelných intervalech a poskytuje seznam doporučení specifických pro nasazenou serverovou infrastrukturu.
• SQL Assessment: Řešení SQL Health Check posuzuje riziko a stav serverových prostředí v pravidelných intervalech a poskytuje zákazníkům seznam doporučení specifických pro nasazenou serverovou infrastrukturu.
• Stav agenta: Řešení Agent Health hlásí, kolik agentů se nasadí a jejich geografické distribuce, a také počet agentů, kteří nereagují, a počet agentů, kteří odesílají provozní data.
• Log Analytics aktivit: Řešení Log Analytics aktivit pomáhá s analýzou protokolů aktivit Azure napříč všemi předplatnými Azure pro zákazníka.

Azure 自動化: Azure 自動化 obchody, spuštění a správa runbooků. V tomto řešení pomáhají runbooky shromažďovat protokoly z databáze SQL do Azure. Řešení Automation Change Tracking umožňuje zákazníkům snadno identifikovat změny v prostředí.

Azure Monitor: Azure Monitor pomáhá uživatelům sledovat výkon, udržovat zabezpečení a identifikovat trendy tím, že organizacím umožňuje auditovat, vytvářet výstrahy a archivovat data, včetně sledování volání rozhraní API ve svých prostředcích Azure.

Application Insights: Application Insights je rozšiřitelná služba Správy výkonu aplikací pro webové vývojáře na více platformách. Application Insights detekuje anomálie výkonu a zákazníci ho můžou použít k monitorování živé webové aplikace. Obsahuje výkonné analytické nástroje, které zákazníkům pomáhají diagnostikovat problémy a pochopit, co uživatelé ve skutečnosti dělají s aplikací. Je navržená tak, aby zákazníkům pomohla průběžně zlepšovat výkon a použitelnost.

Model hrozeb

Diagram toku dat pro tuto referenční architekturu je k dispozici ke stažení nebo najdete níže. Tento model může zákazníkům pomoct porozumět potenciálním rizikům v systémové infrastruktuře při úpravách.

Dokumentace k dodržování předpisů

Podrobný plán Zabezpečení a dodržování předpisů Azure – PCI DSS Customer Responsibility Matrix obsahuje seznam zodpovědností kontroleru a zpracovatele pro všechny požadavky PCI DSS 3.2.

Podrobný plán zabezpečení a dodržování předpisů Azure – PCI DSS PaaS – Matice implementace webových aplikací PCI DSS poskytuje informace o požadavcích PCI DSS 3.2, které řeší architektura webových aplikací PaaS, včetně podrobných popisů toho, jak implementace splňuje požadavky jednotlivých popsaných článků.

Nasazení tohoto řešení

Tato služba Azure Security and Compliance Blueprint Automation se skládá z konfiguračních souborů JSON a skriptů PowerShellu, které služba rozhraní API Azure Resource Manager zpracovává za účelem nasazení prostředků v Azure. Podrobné pokyny k nasazení najdete tady.

Rychlé zprovoznění

1. Naklonujte nebo stáhněte toto úložiště GitHub do místní pracovní stanice.

2. Zkontrolujte 0-Setup-AdministrativeAccountAndPermission.md a spusťte zadané příkazy.

3. Nasaďte testovací řešení s ukázkovými daty společnosti Contoso nebo pilotním nasazením počátečního produkčního prostředí.

   • 1A-ContosoWebStoreDemoAzureResources.ps1
     • Tento skript nasadí prostředky Azure pro ukázku webového úložiště pomocí ukázkových dat společnosti Contoso.
   • 1-DeployAndConfigureAzureResources.ps1
     • Tento skript nasadí prostředky Azure potřebné pro podporu produkčního prostředí pro webovou aplikaci vlastněnou zákazníkem. Toto prostředí by měl zákazník dále přizpůsobit na základě požadavků organizace.

Pokyny a doporučení

VPN a ExpressRoute

Je potřeba nakonfigurovat zabezpečený tunel VPN nebo ExpressRoute , aby bylo možné bezpečně navázat připojení k prostředkům nasazeným jako součást referenční architektury webové aplikace PaaS. Při vhodném nastavení sítě VPN nebo ExpressRoute můžou zákazníci přidat vrstvu ochrany pro přenášená data.

Implementací zabezpečeného tunelu VPN s Azure je možné vytvořit virtuální privátní připojení mezi místní sítí a azure Virtual Network. Toto připojení probíhá přes internet a umožňuje zákazníkům bezpečně "tunelovat" informace uvnitř šifrovaného propojení mezi sítí zákazníka a Azure. Vpn typu Site-to-Site je zabezpečená a vyspělá technologie, která byla nasazena podniky všech velikostí po desetiletí. Režim tunelu IPsec se v této možnosti používá jako mechanismus šifrování.

Vzhledem k tomu, že provoz v tunelu VPN prochází internetem pomocí sítě VPN typu site-to-site, microsoft nabízí další, ještě bezpečnější možnost připojení. Azure ExpressRoute je vyhrazené propojení WAN mezi Azure a místním umístěním nebo poskytovatelem hostingu Exchange. Vzhledem k tomu, že připojení ExpressRoute nepřecházejí přes internet, nabízejí tato připojení větší spolehlivost, rychlejší rychlost, nižší latence a vyšší zabezpečení než typická připojení přes internet. Vzhledem k tomu, že se jedná o přímé připojení poskytovatele telekomunikačních služeb zákazníka, data nepřejíždí přes internet, a proto nejsou vystavena.

Osvědčené postupy pro implementaci zabezpečené hybridní sítě, která rozšiřuje místní síť do Azure, jsou k dispozici.

Disclaimer

• This document is for informational purposes only. SPOLEČNOST MICROSOFT NEPOSKYTUJE ŽÁDNÉ ZÁRUKY, VÝSLOVNÉ, PŘEDPOKLÁDANÉ NEBO ZÁKONNÉ, POKUD JDE O INFORMACE V TOMTO DOKUMENTU. Tento dokument je k dispozici tak, jak je. Informace a názory vyjádřené v tomto dokumentu, včetně adres URL a jiných odkazů na internetové stránky, se mohou změnit bez předchozího upozornění. Zákazníci, kteří tento dokument čtou, mají riziko, že ho budou používat.
• Tento dokument neposkytuje zákazníkům žádná právní práva k duševnímu vlastnictví v žádném produktu nebo řešení společnosti Microsoft.
• Zákazníci můžou tento dokument kopírovat a používat pro interní referenční účely.
• Určitá doporučení v tomto dokumentu můžou vést ke zvýšení využití dat, sítě nebo výpočetních prostředků v Azure a ke zvýšení nákladů na licenci nebo předplatné předplatného zákazníka.
• Tato architektura je určená jako základ pro zákazníky, aby se přizpůsobili jejich konkrétním požadavkům a neměli by se používat tak, jak je v produkčním prostředí.
• Tento dokument je vyvinut jako odkaz a neměl by být použit k definování všech prostředků, kterými zákazník může splňovat specifické požadavky na dodržování předpisů a předpisy. Zákazníci by měli vyhledat právní podporu od své organizace při schválených implementacích zákazníků.