Obszar projektowania: Zabezpieczenia
Ten obszar projektowania tworzy podstawę do zabezpieczeń w środowiskach platformy Azure, hybrydowych i wielochmurowych. Tę podstawę można ulepszyć później, zgodnie ze wskazówkami dotyczącymi zabezpieczeń opisanymi w metodologii Secure przewodnika Cloud Adoption Framework.
Przegląd obszaru projektowania
Zaangażowane role lub funkcje: ten obszar projektowania jest kierowany przez zabezpieczenia w chmurze, w szczególności architektów zabezpieczeń w tym zespole. Platforma w chmurze i centrum doskonałości w chmurze są wymagane do przeglądu decyzji dotyczących sieci i tożsamości. Role zbiorowe mogą być wymagane do zdefiniowania i wdrożenia wymagań technicznych pochodzących z tego ćwiczenia. Bardziej zaawansowane zabezpieczenia mogą również wymagać obsługi ładu w chmurze.
Zakres: Celem tego ćwiczenia jest zrozumienie wymagań dotyczących zabezpieczeń i spójne zaimplementowanie ich we wszystkich obciążeniach na platformie w chmurze. Podstawowy zakres tego ćwiczenia koncentruje się na narzędziach operacji zabezpieczeń i kontroli dostępu. Ten zakres obejmuje zero trust i zaawansowane zabezpieczenia sieciowe.
Poza zakresem: to ćwiczenie koncentruje się na podstawach nowoczesnego centrum operacji zabezpieczeń w chmurze. Aby usprawnić konwersację, to ćwiczenie nie dotyczy niektórych dyscyplin w metodologii Secure caF. Operacje zabezpieczeń, ochrona zasobów i bezpieczeństwo innowacji będą oparte na wdrożeniu strefy docelowej platformy Azure. Jednak są one poza zakresem tej dyskusji na temat obszaru projektowania.
Omówienie obszaru projektowania
Bezpieczeństwo to podstawowa kwestia dla wszystkich klientów w każdym środowisku. Podczas projektowania i implementowania strefy docelowej platformy Azure zabezpieczenia powinny być brane pod uwagę w całym procesie.
Obszar projektowania zabezpieczeń koncentruje się na zagadnieniach i zaleceniach dotyczących decyzji dotyczących strefy docelowej. Bezpieczna metodologia przewodnika Cloud Adoption Framework zawiera również bardziej szczegółowe wskazówki dotyczące całościowych procesów i narzędzi zabezpieczeń.
Nowe (greenfield) środowisko chmury: Aby rozpocząć podróż po chmurze z małym zestawem subskrypcji, zobacz Tworzenie początkowych subskrypcji platformy Azure. Rozważ również użycie szablonów wdrażania Bicep w tworzeniu stref docelowych platformy Azure. Aby uzyskać więcej informacji, zobacz Azure Landing Zones Bicep — Deployment Flow (Strefy docelowe platformy Azure — przepływ wdrażania).
Istniejące (brownfield) środowisko chmury: rozważ użycie następujących usług tożsamości i dostępu firmy Microsoft Entra , jeśli chcesz zastosować zasady z obszaru projektowania zabezpieczeń do istniejących środowisk platformy Azure:
- Wdróż synchronizację z chmurą microsoft Entra Connect, aby zapewnić użytkownikom lokalnych usług domena usługi Active Directory (AD DS) bezpieczny logowanie jednokrotne (SSO) do aplikacji opartych na identyfikatorach Firmy Microsoft. Dodatkową zaletą konfigurowania tożsamości hybrydowej jest wymuszenie uwierzytelniania wieloskładnikowego firmy Microsoft (MFA) i ochrony haseł firmy Microsoft Entra w celu dalszej ochrony tych tożsamości
- Rozważ użycie dostępu warunkowego firmy Microsoft Entra w celu zapewnienia bezpiecznego uwierzytelniania w aplikacjach w chmurze i zasobach platformy Azure.
- Zaimplementuj usługę Microsoft Entra Privileged Identity Management , aby zapewnić dostęp do najniższych uprawnień i głębokie raportowanie w całym środowisku platformy Azure. Zespoły powinny rozpocząć cykliczne przeglądy dostępu, aby upewnić się, że odpowiednie osoby i zasady obsługi mają bieżące i poprawne poziomy autoryzacji.
- Korzystaj z zaleceń, alertów i możliwości korygowania Microsoft Defender dla Chmury. Twój zespół ds. zabezpieczeń może również zintegrować Microsoft Defender dla Chmury z usługą Microsoft Sentinel, jeśli potrzebują bardziej niezawodnego, centralnie zarządzanego rozwiązania hybrydowego i wielochmurowego zarządzania zdarzeniami zabezpieczeń (SIEM)/Rozwiązania do orkiestracji i reagowania (SOAR).
Repozytorium Bicep stref docelowych platformy Azure — przepływ wdrożenia zawiera wiele szablonów wdrożeń Bicep, które mogą przyspieszyć wdrożenia strefy docelowej platformy Azure i pola zielonego. Te szablony mają już zintegrowane wskazówki dotyczące zabezpieczeń sprawdzonej praktyki firmy Microsoft.
Aby uzyskać więcej informacji na temat pracy w środowiskach chmury brownfield, zobacz Zagadnienia dotyczące środowiska Brownfield.
Wzorzec bezpieczeństwa w chmurze Microsoft
Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące zabezpieczeń o dużym wpływie, które ułatwiają zabezpieczanie większości usług używanych na platformie Azure. Te zalecenia można traktować jako ogólne lub organizacyjne, ponieważ mają zastosowanie do większości usług platformy Azure. Rekomendacje dotyczące testów porównawczych zabezpieczeń w chmurze firmy Microsoft są następnie dostosowywane dla każdej usługi platformy Azure. Te dostosowane wskazówki znajdują się w artykułach z zaleceniami dotyczącymi usług.
Dokumentacja testu porównawczego zabezpieczeń w chmurze firmy Microsoft określa mechanizmy kontroli zabezpieczeń i zalecenia dotyczące usług.
- Mechanizmy kontroli zabezpieczeń: rekomendacje dotyczące testów porównawczych zabezpieczeń w chmurze firmy Microsoft są podzielone na kategorie według mechanizmów kontroli zabezpieczeń. Mechanizmy kontroli zabezpieczeń reprezentują niezależne od dostawcy wymagania dotyczące zabezpieczeń, takie jak zabezpieczenia sieci i ochrona danych. Każda kontrola zabezpieczeń zawiera zestaw zaleceń dotyczących zabezpieczeń i instrukcji, które ułatwiają zaimplementowanie tych zaleceń.
- Rekomendacje dotyczące usług: jeśli są dostępne, rekomendacje porównawcze dotyczące usług platformy Azure będą obejmować rekomendacje testów porównawczych zabezpieczeń w chmurze firmy Microsoft dostosowane specjalnie do tej usługi.
Azure Attestation
Zaświadczanie platformy Azure to narzędzie, które może pomóc w zapewnieniu bezpieczeństwa i integralności platformy i plików binarnych, które są w niej uruchomione. Jest to szczególnie przydatne w przypadku firm wymagających wysoce skalowalnych zasobów obliczeniowych i bezkompromisowego zaufania dzięki możliwościom zdalnego zaświadczania.
Zagadnienia dotyczące projektowania zabezpieczeń
Organizacja musi mieć wgląd w to, co dzieje się w ramach majątku chmury technicznej. Monitorowanie zabezpieczeń i rejestrowanie inspekcji usług platformy Azure to kluczowy składnik skalowalnej platformy.
Zagadnienia dotyczące projektowania operacji zabezpieczeń
Scope | Kontekst |
---|---|
Alerty zabezpieczeń | — Które zespoły wymagają powiadomień o alertach zabezpieczeń? — Czy istnieją grupy usług, które alerty wymagają routingu do różnych zespołów? — Wymagania biznesowe dotyczące monitorowania i zgłaszania alertów w czasie rzeczywistym. — Integracja zarządzania informacjami i zdarzeniami zabezpieczeń z usługami Microsoft Defender dla Chmury i Microsoft Sentinel. |
Dzienniki zabezpieczeń | — Okresy przechowywania danych dla danych inspekcji. Raporty microsoft Entra ID P1 lub P2 mają 30-dniowy okres przechowywania. — Długoterminowe archiwizowanie dzienników, takich jak dzienniki aktywności platformy Azure, dzienniki maszyny wirtualnej i dzienniki platformy jako usługi (PaaS). |
Kontrolki zabezpieczeń | — Konfiguracja zabezpieczeń punktu odniesienia za pośrednictwem zasad maszyny wirtualnej gościa platformy Azure. — Zastanów się, w jaki sposób mechanizmy kontroli zabezpieczeń będą zgodne z zabezpieczeniami ładu. |
Zarządzanie lukami w zabezpieczeniach | - Stosowanie poprawek awaryjnych w przypadku krytycznych luk w zabezpieczeniach. - Stosowanie poprawek dla maszyn wirtualnych, które są w trybie offline przez dłuższy czas. — Ocena luk w zabezpieczeniach maszyn wirtualnych. |
Wspólna odpowiedzialność | - Gdzie są przekazywanie obowiązków zespołu? Te obowiązki wymagają rozważenia podczas monitorowania lub reagowania na zdarzenia zabezpieczeń. — Zapoznaj się ze wskazówkami zawartymi w metodologii Zabezpieczanie operacji zabezpieczeń. |
Szyfrowanie i klucze | — Kto wymaga dostępu do kluczy w środowisku? - Kto będzie odpowiedzialny za zarządzanie kluczami? — Dalsze eksplorowanie szyfrowania i kluczy. |
Zaświadczanie | — Czy używasz zaufanego uruchamiania dla maszyn wirtualnych i czy potrzebujesz zaświadczania o integralności całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki)? - Czy chcesz korzystać z poufnego szyfrowania dysków dla poufnych maszyn wirtualnych? — Czy obciążenia wymagają zaświadczania, że działają w zaufanym środowisku? |
Zalecenia dotyczące projektowania operacji zabezpieczeń
Funkcje raportowania identyfikatorów entra firmy Microsoft umożliwiają generowanie raportów inspekcji kontroli dostępu.
Eksportowanie dzienników aktywności platformy Azure do dzienników usługi Azure Monitor w celu długoterminowego przechowywania danych. W razie potrzeby wyeksportuj do usługi Azure Storage w celu przechowywania długoterminowego przez dwa lata.
Włącz Defender dla Chmury standard dla wszystkich subskrypcji i użyj usługi Azure Policy, aby zapewnić zgodność.
Monitorowanie dryfu podstawowego systemu operacyjnego za pomocą dzienników usługi Azure Monitor i Microsoft Defender dla Chmury.
Użyj zasad platformy Azure, aby automatycznie wdrażać konfiguracje oprogramowania za pomocą rozszerzeń maszyn wirtualnych i wymuszać zgodną konfigurację podstawowej maszyny wirtualnej.
Monitorowanie dryfu konfiguracji zabezpieczeń maszyny wirtualnej za pośrednictwem usługi Azure Policy.
Połącz domyślne konfiguracje zasobów ze scentralizowanym obszarem roboczym usługi Azure Monitor Log Analytics.
Użyj rozwiązania opartego na usłudze Azure Event Grid na potrzeby alertów zorientowanych na dzienniki w czasie rzeczywistym.
Użyj zaświadczania platformy Azure w celu zaświadczania o:
- Integralność całego łańcucha rozruchu maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Omówienie monitorowania integralności rozruchu.
- Bezpieczne wydanie poufnych kluczy szyfrowania dysków dla poufnej maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Poufne szyfrowanie dysków systemu operacyjnego.
- Różne typy zaufanych środowisk wykonywania obciążeń. Aby uzyskać więcej informacji, zobacz Przypadki użycia.
Zagadnienia dotyczące projektowania kontroli dostępu
Nowoczesne granice zabezpieczeń są bardziej złożone niż granice w tradycyjnym centrum danych. Cztery ściany centrum danych nie zawierają już zasobów. Utrzymywanie użytkowników poza chronioną siecią nie jest już wystarczające do kontrolowania dostępu. W chmurze obwód składa się z dwóch części: kontroli zabezpieczeń sieci i kontroli dostępu Zero Trust.
Zaawansowane zabezpieczenia sieci
Scope | Kontekst |
---|---|
Planowanie łączności przychodzącej i wychodzącej z Internetem | Opisuje zalecane modele łączności dla połączeń przychodzących i wychodzących do i z publicznego Internetu. |
Planowanie segmentacji sieci strefy docelowej | Zapoznaj się z kluczowymi zaleceniami w celu zapewnienia wysoce bezpiecznej segmentacji sieci wewnętrznej w strefie docelowej. Te zalecenia napędzają implementację zerowego zaufania sieci. |
Definiowanie wymagań dotyczących szyfrowania sieci | Zapoznaj się z kluczowymi zaleceniami dotyczącymi szyfrowania sieci między środowiskiem lokalnym a platformą Azure i regionami świadczenia usługi Azure. |
Planowanie inspekcji ruchu | Zapoznaj się z kluczowymi zagadnieniami i zalecanymi metodami dublowania lub dotykania ruchu w usłudze Azure Virtual Network. |
Zero Trust
W przypadku dostępu Zero Trust z tożsamościami należy wziąć pod uwagę następujące kwestie:
- Które zespoły lub osoby fizyczne wymagają dostępu do usług w strefie docelowej? Jakie role wykonują?
- Kto powinien autoryzować żądania dostępu?
- Kto powinien otrzymywać powiadomienia po aktywowaniu ról uprzywilejowanych?
- Kto powinien mieć dostęp do historii inspekcji?
Aby uzyskać więcej informacji, zobacz Microsoft Entra Privileged Identity Management.
Implementowanie modelu Zero Trust może wykraczać poza zarządzanie tożsamościami i dostępem. Należy rozważyć, czy organizacja musi wdrożyć rozwiązania Zero Trust w wielu filarach, takich jak infrastruktura, dane i sieć. Aby uzyskać więcej informacji, zobacz Dołączanie praktyk zero trust w strefie docelowej
Zalecenia dotyczące projektowania kontroli dostępu
W kontekście podstawowych wymagań przeprowadź wspólne badanie poszczególnych wymaganych usług. Jeśli chcesz korzystać z własnych kluczy, może to nie być obsługiwane we wszystkich rozważanych usługach. Zaimplementuj odpowiednie środki zaradcze, aby niespójności nie utrudniały wyników. Wybierz odpowiednie pary regionów i regiony odzyskiwania po awarii, które minimalizują opóźnienie.
Opracuj plan listy dozwolonych zabezpieczeń, aby ocenić usługi, takie jak konfiguracja zabezpieczeń, monitorowanie i alerty. Następnie utwórz plan integracji z istniejącymi systemami.
Określ plan reagowania na zdarzenia dla usług platformy Azure przed przeniesieniem go do środowiska produkcyjnego.
Dopasuj wymagania dotyczące zabezpieczeń do planów dotyczących platformy Azure, aby zachować aktualną wersję nowo wydanych mechanizmów kontroli zabezpieczeń.
W razie potrzeby zaimplementuj podejście zerowe w celu uzyskania dostępu do platformy Azure.
Zabezpieczenia w akceleratorze strefy docelowej platformy Azure
Zabezpieczenia są podstawą akceleratora strefy docelowej platformy Azure. W ramach implementacji wdraża się wiele narzędzi i mechanizmów kontroli, które ułatwiają organizacjom szybkie osiągnięcie punktu odniesienia zabezpieczeń.
Na przykład są dostępne następujące elementy:
Narzędzia:
- Microsoft Defender dla Chmury, warstwa Standardowa lub Bezpłatna
- Microsoft Sentinel
- Azure DDoS Network Protection (opcjonalnie)
- Azure Firewall
- Zapora aplikacji internetowej
- Privileged Identity Management (PIM)
Zasady dotyczące stref docelowych połączonych z internetem i firmowo:
- Wymuszanie bezpiecznego dostępu, takiego jak HTTPS, do kont magazynu
- Wymuszanie inspekcji dla usługi Azure SQL Database
- Wymuszanie szyfrowania dla usługi Azure SQL Database
- Zapobieganie przekierowywaniu adresów IP
- Zapobieganie przychodzącym protokołom RDP z Internetu
- Upewnij się, że podsieci są skojarzone z sieciową grupą zabezpieczeń
Następne kroki
Dowiedz się, jak zabezpieczyć uprzywilejowany dostęp dla wdrożeń hybrydowych i wdrożeń w chmurze w usłudze Microsoft Entra ID.