Omówienie przykładu strategii Azure Security Benchmark Foundation

Ważne

11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do specyfikacji szablonu i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:

• Zasady
• RBAC
• Wdrożenia

Przykład strategii Azure Security Benchmark Foundation zawiera zestaw wzorców infrastruktury bazowej, które ułatwiają tworzenie bezpiecznego i zgodnego środowiska platformy Azure. Strategia pomaga wdrożyć architekturę opartą na chmurze, która oferuje rozwiązania scenariuszy, które mają wymagania dotyczące akredytacji lub zgodności. Wdraża i konfiguruje granice sieci, monitorowanie i inne zasoby zgodnie z zasadami i innymi zabezpieczeniami zdefiniowanymi w teściu porównawczym zabezpieczeń platformy Azure.

Architektura

Podstawowe środowisko utworzone przez ten przykład strategii opiera się na jednostkach architektury modelu piasty i szprych. Strategia wdraża sieć wirtualną centrum zawierającą wspólne i współużytkowane zasoby, usługi i artefakty, takie jak usługa Azure Bastion, brama i zapora na potrzeby łączności, zarządzania i podsieci przesiadkowych do hostowania dodatkowych/opcjonalnych zasobów, konserwacji, administracji i infrastruktury łączności. Co najmniej jedna sieć wirtualna będące szprychami jest wdrażana w celu hostowania obciążeń aplikacji, takich jak usługi sieci Web i bazy danych. Sieci wirtualne będące szprychami są połączone z siecią wirtualną piasty przy użyciu komunikacji równorzędnej sieci wirtualnych platformy Azure w celu zapewnienia bezproblemowej i bezpiecznej łączności. Dodatkowe szprychy można dodać przez ponowne przypisanie przykładowej strategii lub ręczne utworzenie sieci wirtualnej platformy Azure i komunikację równorzędną z siecią wirtualną piasty. Wszystkie zewnętrzne połączenia z sieciami wirtualnymi szprych i podsieciami są skonfigurowane do kierowania przez sieć wirtualną koncentratora oraz za pośrednictwem zapory, bramy i pól przesiadkowych zarządzania.

Ta strategia wdraża kilka usług platformy Azure w celu zapewnienia bezpiecznej, monitorowanej, gotowej do użycia w przedsiębiorstwie podstawy. To środowisko zawiera następujące składniki:

• Dzienniki usługi Azure Monitor i konto magazynu platformy Azure w celu zapewnienia, że dzienniki zasobów, dzienniki aktywności, metryki i przepływy ruchu sieciowego są przechowywane w centralnej lokalizacji w celu łatwego wykonywania zapytań, analiz, archiwizacji i alertów.
• Usługa Azure Security Center (wersja standardowa) zapewniająca ochronę przed zagrożeniami dla zasobów platformy Azure.
• Usługa Azure Virtual Network w centrum obsługujących podsieci na potrzeby łączności z powrotem z siecią lokalną, stosem ruchu przychodzącego i wychodzącego do/na potrzeby łączności z Internetem oraz opcjonalnymi podsieciami na potrzeby wdrażania dodatkowych usług administracyjnych lub usług zarządzania. Sieć wirtualna w szprychy zawiera podsieci do hostowania obciążeń aplikacji. Dodatkowe podsieci można utworzyć po wdrożeniu zgodnie z potrzebami w celu obsługi odpowiednich scenariuszy.
• Usługa Azure Firewall umożliwia kierowanie całego wychodzącego ruchu internetowego i włączanie przychodzącego ruchu internetowego za pośrednictwem usługi jump box. (Domyślne reguły zapory blokują cały ruch przychodzący i wychodzący oraz reguły ruchu przychodzącego i wychodzącego muszą być skonfigurowane po wdrożeniu zgodnie z obowiązującymi zasadami).
• Sieciowe grupy zabezpieczeń przypisane do wszystkich podsieci (z wyjątkiem podsieci należących do usługi, takich jak Azure Bastion, Gateway i Azure Firewall) skonfigurowane do blokowania całego ruchu przychodzącego i wychodzącego z Internetu.
• Grupy zabezpieczeń aplikacji umożliwiające grupowanie maszyn wirtualnych platformy Azure w celu zastosowania typowych zasad zabezpieczeń sieci.
• Kierowanie tabel do kierowania całego wychodzącego ruchu internetowego z podsieci przez zaporę. (Reguły usługi Azure Firewall i sieciowej grupy zabezpieczeń należy skonfigurować po wdrożeniu w celu otwarcia łączności).
• Usługa Azure Network Watcher umożliwia monitorowanie, diagnozowanie i wyświetlanie metryk zasobów w sieci wirtualnej platformy Azure.
• Usługa Azure DDoS Protection w celu ochrony zasobów platformy Azure przed atakami DDoS.
• Usługa Azure Bastion zapewnia bezproblemową i bezpieczną łączność z maszyną wirtualną, która nie wymaga publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego.
• Usługa Azure VPN Gateway umożliwia zaszyfrowany ruch między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu.

Uwaga

Podstawy testów porównawczych zabezpieczeń platformy Azure określają podstawową architekturę obciążeń. Powyższy diagram architektury zawiera kilka zasobów notionalnych, aby zademonstrować potencjalne użycie podsieci. Nadal trzeba wdrażać obciążenia w tej fundamentallnej architekturze.

Następne kroki

Zapoznaliśmy się z omówieniem i architekturą przykładu strategii Azure Security Benchmark Foundation.

Strategia Azure Security Benchmark Foundation — kroki wdrażania

Dodatkowe artykuły na temat strategii i sposobu ich używania:

• Uzyskaj informacje na temat cyklu życia strategii.
• Dowiedz się, jak używać parametrów statycznych i dynamicznych.
• Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
• Dowiedz się, jak używać blokowania zasobów strategii.
• Dowiedz się, jak zaktualizować istniejące przypisania.