Overzicht van het blauwdrukvoorbeeld van Azure Security Benchmark Foundation

Belangrijk

Op 11 juli 2026 worden blauwdrukken (preview) afgeschaft. Migreer uw bestaande blauwdrukdefinities en -toewijzingen naar sjabloonspecificaties en implementatiestacks. Blauwdrukartefacten moeten worden geconverteerd naar ARM JSON-sjablonen of Bicep-bestanden die worden gebruikt om implementatiestacks te definiëren. Zie voor meer informatie over het ontwerpen van een artefact als een ARM-resource:

• Beleid
• RBAC
• Implementaties

Het blauwdrukvoorbeeld van Azure Security Benchmark Foundation biedt een set basisinfrastructuurpatronen om u te helpen een veilige en compatibele Azure-omgeving te bouwen. Met de blauwdruk kunt u een cloudarchitectuur implementeren die oplossingen biedt voor scenario's met accreditatie- of nalevingsvereisten. Het implementeert en configureert netwerkgrenzen, bewaking en andere resources in overeenstemming met het beleid en andere kaders die zijn gedefinieerd in de Azure Security Benchmark.

Architectuur

De basisomgeving die door dit blauwdrukvoorbeeld is gemaakt, is gebaseerd op de architectuurprincipals van een hub- en spoke-model. Met de blauwdruk wordt een virtueel hubnetwerk geïmplementeerd dat gemeenschappelijke en gedeelde resources, services en artefacten bevat, zoals Azure Bastion, gateway en firewall voor connectiviteit, beheer en jump box-subnetten voor het hosten van extra/optionele beheer, onderhoud, beheer en connectiviteitsinfrastructuur. Een of meer virtuele spoke-netwerken worden geïmplementeerd voor het hosten van toepassingsworkloads, zoals web- en databaseservices. Virtuele spoke-netwerken zijn verbonden met het virtuele hubnetwerk met behulp van peering van virtuele Azure-netwerken voor naadloze en veilige connectiviteit. U kunt extra spokes toevoegen door de blauwdruk voor het voorbeeld opnieuw toe te voegen of handmatig een virtueel Azure-netwerk te maken en deze te peeren met het virtuele hubnetwerk. Alle externe connectiviteit met het virtuele spoke-netwerk of de subnetten en subnetten is geconfigureerd voor het routeren van het virtuele hubnetwerk en, via firewall, gateway en beheersprongen.

Met deze blauwdruk worden verschillende Azure-services geïmplementeerd om een veilige, bewaakte, bedrijfsklare basis te bieden. De omgeving bestaat uit de volgende elementen:

• Azure Monitor-logboeken en een Azure-opslagaccount om ervoor te zorgen dat resourcelogboeken, activiteitenlogboeken, metrische gegevens en netwerkverkeersstromen worden opgeslagen op een centrale locatie voor eenvoudige query's, analyses, archivering en waarschuwingen.
• Azure Security Center (standaardversie) voor bedreigingsbeveiliging voor Azure-resources.
• Azure Virtual Network in de hub die subnetten ondersteunt voor connectiviteit met een on-premises netwerk, een inkomende en uitgaande stack naar/voor internetverbinding en optionele subnetten voor de implementatie van aanvullende beheer- of beheerservices. Virtueel netwerk in de spoke bevat subnetten voor het hosten van toepassingsworkloads. Aanvullende subnetten kunnen zo nodig worden gemaakt na de implementatie om toepasselijke scenario's te ondersteunen.
• Azure Firewall om al het uitgaande internetverkeer te routeren en binnenkomend internetverkeer via jump box in te schakelen. (Standaardfirewallregels blokkeren alle inkomende en uitgaande internetverkeer en regels moeten worden geconfigureerd na implementatie, indien van toepassing.)
• Netwerkbeveiligingsgroepen (NSG's) die zijn toegewezen aan alle subnetten (behalve subnetten die eigendom zijn van de service, zoals Azure Bastion, Gateway en Azure Firewall) die zijn geconfigureerd om al het inkomende en uitgaande internetverkeer te blokkeren.
• Toepassingsbeveiligingsgroepen om groepering van virtuele Azure-machines in te schakelen om gemeenschappelijk netwerkbeveiligingsbeleid toe te passen.
• Routetabellen om al het uitgaande internetverkeer van subnetten via de firewall te routeren. (Azure Firewall- en NSG-regels moeten worden geconfigureerd na de implementatie om connectiviteit te openen.)
• Azure Network Watcher voor het bewaken, diagnosticeren en weergeven van metrische gegevens van resources in het virtuele Azure-netwerk.
• Azure DDoS Protection om Azure-resources te beschermen tegen DDoS-aanvallen.
• Azure Bastion biedt naadloze en veilige connectiviteit met een virtuele machine waarvoor geen openbaar IP-adres, agent of speciale clientsoftware is vereist.
• Azure VPN Gateway voor het inschakelen van versleuteld verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet.

Notitie

De Azure Security Benchmark Foundation biedt een basisarchitectuur voor workloads. Het bovenstaande architectuurdiagram bevat verschillende notionale resources om het mogelijke gebruik van subnetten te demonstreren. U moet nog steeds workloads implementeren op deze basisarchitectuur.

Volgende stappen

U hebt het overzicht en de architectuur van het blauwdrukvoorbeeld azure Security Benchmark Foundation bekeken.

Blauwdruk voor Azure Security Benchmark Foundation - Implementatiestappen

Aanvullende artikelen over blauwdrukken en het gebruik hiervan:

• Meer informatie over de levenscyclus van een blauwdruk.
• Meer informatie over hoe u statische en dynamische parameters gebruikt.
• Meer informatie over hoe u de blauwdrukvolgorde aanpast.
• Meer informatie over hoe u gebruikmaakt van resourcevergrendeling in blauwdrukken.
• Meer informatie over hoe u bestaande toewijzingen bijwerkt.