Bezpieczeństwo informacji zawsze było złożonym tematem i szybko ewoluuje wraz z kreatywnymi pomysłami i implementacjami atakujących i badaczy zabezpieczeń.
Bezpieczeństwo to jeden z najważniejszych aspektów każdej architektury. Dobre zabezpieczenia zapewniają poufność, integralność i dostępność przed celowymi atakami i nadużyciami cennych danych i systemów. Utrata tych gwarancji może zaszkodzić operacjom biznesowym i przychodom oraz reputacji organizacji.
Uwaga
Dowiedz się, w jaki sposób zabezpieczenia w chmurze to ciągła podróż o przyrostowy postęp i dojrzałość w temacie Zabezpieczenia w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Dowiedz się, jak tworzyć zabezpieczenia w rozwiązaniu, w temacie Azure Well-Architected Framework Overview of the security pillar (Omówienie platformy Azure Well-Architected Framework — omówienie filaru zabezpieczeń).
Poniżej przedstawiono kilka szerokich kategorii, które należy wziąć pod uwagę podczas projektowania systemu zabezpieczeń:
Platforma Azure oferuje szeroką gamę narzędzi i możliwości zabezpieczeń. Oto tylko niektóre z kluczowych usług zabezpieczeń dostępnych na platformie Azure:
- Microsoft Defender dla Chmury. Ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia poziom zabezpieczeń centrów danych. Zapewnia również zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze i lokalnie.
- Microsoft Entra ID. chmurowa usługa zarządzania tożsamościami i dostępem firmy Microsoft.
- Azure Front Door. Globalny, skalowalny punkt wejścia, który używa globalnej sieci brzegowej firmy Microsoft do tworzenia szybkich, wysoce bezpiecznych i szeroko skalowalnych aplikacji internetowych.
- Azure Firewall. Natywna dla chmury usługa zabezpieczeń inteligentnej zapory sieciowej, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze uruchamianych na platformie Azure.
- Azure Key Vault. Magazyn wpisów tajnych o wysokim poziomie zabezpieczeń dla tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych. Za pomocą usługi Key Vault można również tworzyć i kontrolować klucze szyfrowania używane do szyfrowania danych.
- Azure Private Link. Usługa, która umożliwia dostęp do usług PaaS platformy Azure, usług hostowanych przez platformę Azure lub usług partnerskich za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.
- aplikacja systemu Azure Gateway. Zaawansowany moduł równoważenia obciążenia ruchu internetowego, który umożliwia zarządzanie ruchem do aplikacji internetowych.
- Azure Policy. Usługa, która pomaga wymuszać standardy organizacyjne i oceniać zgodność.
Aby uzyskać bardziej szczegółowy opis narzędzi i możliwości zabezpieczeń platformy Azure, zobacz Kompleksowe zabezpieczenia na platformie Azure.
Wprowadzenie do zabezpieczeń na platformie Azure
Jeśli dopiero zaczynasz korzystać z zabezpieczeń na platformie Azure, najlepszym sposobem, aby dowiedzieć się więcej, jest szkolenie w usłudze Microsoft Learn. Ta bezpłatna platforma online zapewnia interaktywne szkolenia dla produktów firmy Microsoft i nie tylko.
Poniżej przedstawiono dwie ścieżki szkoleniowe, aby rozpocząć pracę:
Ścieżka do środowiska produkcyjnego
- Aby zabezpieczyć obciążenia aplikacji platformy Azure, należy użyć środków ochronnych, takich jak uwierzytelnianie i szyfrowanie w samych aplikacjach. Możesz również dodać warstwy zabezpieczeń do sieci maszyn wirtualnych hostujących aplikacje. Aby zapoznać się z omówieniem, zobacz Zapora i usługa Application Gateway dla sieci wirtualnych.
- Zero Trust to proaktywne, zintegrowane podejście do zabezpieczeń we wszystkich warstwach majątku cyfrowego. Jawnie i stale weryfikuje każdą transakcję, zapewnia najmniejsze uprawnienia i opiera się na inteligencji, zaawansowanym wykrywaniu i reagowaniu w czasie rzeczywistym na zagrożenia.
- Aby uzyskać strategię implementacji aplikacji internetowych, zobacz Zero Trust network for web applications with Azure Firewall and Application Gateway (Sieć Zero Trust dla aplikacji internetowych za pomocą usługi Azure Firewall i usługi Application Gateway).
- Aby uzyskać architekturę przedstawiającą sposób dołączania tożsamości i dostępu firmy Microsoft do ogólnej strategii zabezpieczeń Zero Trust, zobacz Microsoft Entra IDaaS w operacjach zabezpieczeń.
- Ład platformy Azure ustanawia narzędzia potrzebne do obsługi ładu w chmurze, inspekcji zgodności i zautomatyzowanych barier zabezpieczających. Zobacz Wskazówki dotyczące obszaru projektowania ładu platformy Azure, aby uzyskać informacje na temat zarządzania środowiskiem platformy Azure.
Najlepsze rozwiązania
Platforma Azure Well-Architected Framework to zestaw wytycznych opartych na pięciu filarach, których można użyć do poprawy jakości architektur. Aby uzyskać informacje, zobacz Omówienie filaru zabezpieczeń i zasad projektowania zabezpieczeń na platformie Azure.
Dobrze zaprojektowana struktura udostępnia również następujące listy kontrolne:
- Zagadnienia dotyczące zarządzania tożsamościami i dostępem na platformie Azure
- Bezpieczeństwo sieci
- Zagadnienia dotyczące ochrony danych
- Ład, ryzyko i zgodność
Aby uzyskać informacje na temat zabezpieczeń poufnych obciążeń IaaS, zobacz Zagadnienia dotyczące zabezpieczeń dla wysoce poufnych aplikacji IaaS na platformie Azure.
Architektury zabezpieczeń
Zarządzanie tożsamościami i dostępem
- Odporne zarządzanie tożsamościami i dostępem za pomocą identyfikatora Entra firmy Microsoft
- Microsoft Entra identity management and access management for AWS
Ochrona przed zagrożeniami
- Wskaźniki zagrożeń dla analizy zagrożeń cybernetycznych w usłudze Microsoft Sentinel
- Ochrona wielowarstwowa na potrzeby dostępu do maszyny wirtualnej platformy Azure
- Wykrywanie oszustw w czasie rzeczywistym
Ochrona informacji
Bądź na bieżąco z zabezpieczeniami
Uzyskaj najnowsze aktualizacje usług i funkcji zabezpieczeń platformy Azure.
Dodatkowe zasoby
Przykładowe rozwiązania
- Monitorowanie zabezpieczeń hybrydowych przy użyciu Microsoft Defender dla Chmury i usługi Microsoft Sentinel
- Ulepszony dostęp zabezpieczeń do wielodostępnych aplikacji internetowych z sieci lokalnej
- Ograniczanie komunikacji międzyusługowej
- Bezpieczne zarządzane aplikacje internetowe
- Zabezpieczanie bota kanału usługi Microsoft Teams i aplikacji internetowej za zaporą
- Prywatna łączność aplikacji internetowej z bazą danych Azure SQL Database
Przeglądaj wszystkie nasze architektury zabezpieczeń.
Specjaliści ds. usług AWS lub Google Cloud
- Zabezpieczenia i tożsamość za pomocą platformy Azure i platformy AWS
- Porównanie usług AWS z usługami platformy Azure — zabezpieczenia
- Porównanie usług Google Cloud to Azure — Zabezpieczenia
Następne kroki
Architektura zabezpieczeń jest częścią kompleksowego zestawu wskazówek dotyczących zabezpieczeń, które obejmują również:
- Zabezpieczenia w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure: ogólne omówienie stanu końcowego zabezpieczeń w chmurze.
- Platforma Azure Well-Architected Framework: wskazówki dotyczące zabezpieczania obciążeń na platformie Azure.
- Testy porównawcze zabezpieczeń platformy Azure: normatywne najlepsze rozwiązania i mechanizmy kontroli zabezpieczeń platformy Azure.
- Kompleksowe zabezpieczenia na platformie Azure: dokumentacja przedstawiająca usługi zabezpieczeń na platformie Azure.
- 10 najlepszych rozwiązań w zakresie zabezpieczeń dla platformy Azure: najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure, które firma Microsoft zaleca w oparciu o wnioski zdobyte przez klientów i nasze własne środowiska.
- Architektury cyberbezpieczeństwa firmy Microsoft: diagramy opisują sposób integracji możliwości zabezpieczeń firmy Microsoft z platformami firmy Microsoft i platformami innych firm.