Beveiligingsoverwegingen voor de azure Integration Services-landingszoneversneller

Goede beveiliging is de hoeksteen van elke Azure-toepassing. Azure Integration Services ondervindt een bepaalde uitdaging, omdat er veel resources zijn waaruit een toepassing bestaat, en elk van deze resources heeft zijn eigen beveiligingsoverwegingen. Raadpleeg de volgende beveiligingsbasislijnen om ervoor te zorgen dat u de specifieke overwegingen van elke service begrijpt:

• Azure-beveiligingsbasislijn voor logische apps

• Azure-beveiligingsbasislijn voor API Management

• Azure-beveiligingsbasislijn voor Data Factory

• Azure-beveiligingsbasislijn voor Service Bus

• Azure-beveiligingsbasislijn voor Functions

• Azure-beveiligingsbasislijn voor Storage

• Azure-beveiligingsbasislijn voor Key Vault

Ontwerpoverwegingen

Bij het ontwerpen van uw beveiligingsmodel zijn er twee verschillende ontwerpgebieden: ontwerptijdbeveiliging en runtimebeveiliging.

• Ontwerptijdbeveiliging omvat toegang tot het beheer en het maken van Azure-resources via Azure Portal of een beheer-API. In Azure gebruiken we Microsoft Entra ID en op rollen gebaseerd toegangsbeheer (RBAC) om dit te bereiken.

• Runtimebeveiliging omvat toegang tot eindpunten en resources tijdens de stroom van een toepassing, bijvoorbeeld het verifiëren en autoriseren van een gebruiker die een logische app aanroept of een API-bewerking in API Management.

Bepaal vroeg of u het volgende nodig hebt:

• Privécloud : al uw resources bevinden zich in een VNet en gebruiken alleen privéadressen, zonder toegang tot of van het openbare internet, mogelijk beschikbaar voor uw on-premises resources via VPN of ExpressRoute.

• Openbare cloud : al uw openbare resources hebben toegang tot openbaar internet, hoewel vergrendeld om de toegang vanaf het openbare internet te beperken.

• Hybride : sommige resources zijn privé en sommige zijn openbaar.

De keuze die u maakt, is van invloed op zowel de kosten van uw resources als de hoeveelheid beveiliging die u voor uw toepassingen kunt implementeren.

Algemene beveiligingsoverwegingen zijn onder andere:

• Azure-services gebruiken om inkomend en uitgaand verkeer te beveiligen.

• Microsoft Entra ID en OAuth 2.0 gebruiken om verificatie te beheren.

• Governancebeleid afdwingen met Azure Policy.

• Toegang tot resources vergrendelen (toegangsbeheer).

• Gegevens in transit en at-rest versleutelen.

• Logboekregistratie van alle pogingen om toegang te krijgen tot resources.

• Toegang tot resources controleren.

Ontwerpaanaanvelingen

Aanbevelingen voor netwerkontwerp

• Bekijk het gebruik van een Application Gateway (Azure-toepassing Gateway of Azure Front Door) met een Web Application Firewall (WAF) vóór uw toegankelijke eindpunten. Dit helpt u bij het automatisch versleutelen van gegevens, zodat u uw eindpunten gemakkelijker kunt bewaken en configureren.

  • Front Door is een netwerk voor toepassingslevering dat wereldwijde taakverdeling en siteversnellingservice biedt voor webtoepassingen. Front Door biedt laag 7-mogelijkheden zoals SSL-offload, padgebaseerde routering, snelle failover en caching om de prestaties en beschikbaarheid van uw toepassingen te verbeteren.

  • Traffic Manager is een load balancer op basis van DNS waarmee u verkeer optimaal kunt distribueren naar services in wereldwijde Azure-regio's, terwijl u hoge beschikbaarheid en reactiesnelheid biedt. Omdat Traffic Manager een op DNS gebaseerde taakverdelingsservice is, wordt de taak alleen op domeinniveau verdeeld. Daarom kan er geen failover worden uitgevoerd zo snel als Front Door vanwege veelvoorkomende uitdagingen met betrekking tot DNS-caching en systemen die dns-TTL niet respecteren.

  • Application Gateway biedt een controller voor de levering van beheerde toepassingen met verschillende mogelijkheden voor taakverdeling op laag 7. U kunt Application Gateway gebruiken om de productiviteit van webfarms te optimaliseren door CPU-intensieve SSL-beëindiging naar de gateway te offloaden.

  • Azure Load Balancer is een high-performance laag 4-inkomende en uitgaande taakverdelingsservice voor alle UDP- en TCP-protocollen. Load Balancer verwerkt miljoenen aanvragen per seconde. Load Balancer is zone-redundant en zorgt voor hoge beschikbaarheid in Beschikbaarheidszones.

• Implementeer netwerkisolatie voor uw integration services-resources met behulp van VNet-integratie om ze in een geïsoleerd subnet te plaatsen in combinatie met azure private link en privé-eindpunten. Zie het artikel Netwerktopologie en connectiviteit in deze reeks voor een overzicht van deze ontwerprichtlijnen.

• Uw uitgaand verkeer beveiligen met Azure Firewall

• Gebruik IP-filtering om uw eindpunten te vergrendelen, zodat ze alleen toegankelijk zijn voor bekende netwerkadressen (dit is van toepassing op logische apps die niet zijn geïntegreerd in VNets).

• Als u resources openbaar beschikbaar hebt, gebruikt u DNS-verdoofing om aanvallers te ontmoedigen; Verdoezeling betekent aangepaste domeinnamen of specifieke Azure-resourcenamen die het doel of de eigenaar van een resource niet onthullen.

Aanbevelingen voor versleutelingsontwerp

• Bij het opslaan van gegevens (bijvoorbeeld in Azure Storage of Azure SQL Server), schakelt u Versleuteling at Rest altijd in. Vergrendel de toegang tot de gegevens, in het ideale geval alleen voor services en een beperkt aantal beheerders. Houd er rekening mee dat dit ook van toepassing is op logboekgegevens. Zie het overzicht van Azure-gegevensversleuteling at rest en Azure-versleuteling voor meer informatie.

• Gebruik altijd Versleuteling tijdens overdracht (BIJVOORBEELD TLS-verkeer) bij het overdragen van gegevens tussen resources; verzend nooit gegevens via een niet-versleuteld kanaal.

• Wanneer u TLS-protocollen gebruikt, gebruikt u altijd TLS 1.2 of hoger.

• Bewaar geheimen in Azure Key Vault en koppel deze vervolgens aan App Instellingen (Functions, Logic Apps), benoemde waarden (API Management) of configuratie-vermeldingen (App Configuration).

• Implementeer een sleutelrotatiebeleid om ervoor te zorgen dat alle sleutels die in uw omgeving worden gebruikt, regelmatig worden geroteerd om te voorkomen dat aanvallen worden uitgevoerd met behulp van in gevaar gebrachte sleutels

• Gebruik voor logische app verdoezeling om gegevens in de uitvoeringsgeschiedenis te beveiligen.

Aanbevelingen voor verificatie- en toegangsontwerp

• Volg altijd het principe van minimale bevoegdheden bij het toewijzen van toegang: geef een identiteit de minimale machtigingen die nodig zijn. Soms gaat het hierbij om het maken van een aangepaste Microsoft Entra-rol. Als er geen ingebouwde rol is met de minimale machtigingen die u nodig hebt, kunt u een aangepaste rol maken met alleen deze machtigingen.

• Gebruik waar mogelijk beheerde identiteiten wanneer een resource toegang nodig heeft tot een service. Als uw logische app-werkstroom bijvoorbeeld toegang moet krijgen tot Key Vault om een geheim op te halen, gebruikt u de beheerde identiteit van uw logische app om dit te bereiken; Beheerde identiteiten bieden een veiliger, eenvoudiger te beheren mechanisme voor toegang tot resources, omdat Azure de identiteit namens u beheert.

• Gebruik OAuth 2.0 als verificatiemechanisme tussen resource-eindpunten:

  • Schakel in Logic Apps of Functions Easy Auth in, waarvoor alle externe bellers een OAuth-identiteit moeten gebruiken (meestal Microsoft Entra-id, maar kan elke id-provider zijn).

  • Gebruik in API Management het jwt-validatiebeleidselement om een OAuth-stroom te vereisen voor verbindingen met eindpunten.

  • Stel in Azure Storage en Key Vault toegangsbeleid in om de toegang tot specifieke identiteiten te beperken.

Aanbevelingen voor governanceontwerp

• Azure Policy actief gebruiken om te zoeken naar beveiligingsproblemen of -fouten. Bijvoorbeeld eindpunten zonder IP-filtering.

• Gebruik waar beschikbaar Microsoft Defender voor Cloud om uw resources te scannen en potentiële zwakke plekken te identificeren.

• Controleer regelmatig auditlogboeken (idealiter met behulp van een geautomatiseerd hulpprogramma) om zowel beveiligingsaanvallen als onbevoegde toegang tot uw resources te identificeren.

• Overweeg het gebruik van penetratietests om eventuele zwakke punten in uw beveiligingsontwerp te identificeren.

• Gebruik geautomatiseerde implementatieprocessen om beveiliging te configureren. Gebruik waar mogelijk een CI/CD-pijplijn zoals Azure DevOps met Terraform om niet alleen uw resources te implementeren, maar ook om beveiliging te configureren. Dit zorgt ervoor dat uw resources automatisch worden beveiligd wanneer ze worden geïmplementeerd.

Volgende stap

Bekijk de kritieke ontwerpgebieden om volledige overwegingen en aanbevelingen voor uw architectuur te maken.

Beheer

Aanbevolen inhoud

• Wat is Microsoft Defender voor Cloud?

• Wat zijn beheerde identiteiten voor Azure-resources?

• Toegang tot Azure-resources verifiëren met beheerde identiteiten in Azure Logic Apps

• Beveiligingsoverwegingen voor gegevensverplaatsing in Azure Data Factory

• Werkstromen activeren in standaard logische apps met eenvoudige verificatie

• Een API beveiligen in Azure API Management met behulp van OAuth 2.0-autorisatie met Azure Active Directory

• Azure Key Vault-beveiliging

• Opslagaccounts en -beveiliging