Omówienie — stosowanie zasad zero trust do sieci platformy Azure

Ta seria artykułów ułatwia stosowanie zasad zerowego zaufania do infrastruktury sieciowej na platformie Microsoft Azure w oparciu o wielodyscyplinarne podejście. Zero Trust to strategia zabezpieczeń. Nie jest to produkt ani usługa, ale podejście do projektowania i implementowania następującego zestawu zasad zabezpieczeń:

• Jawną weryfikację
• Używanie dostępu z jak najmniejszą liczbą uprawnień
• Zakładanie naruszeń zabezpieczeń

Zaimplementowanie myślenia zero trust w celu "zakładania naruszenia, nigdy zaufania, zawsze weryfikowania" wymaga zmian w infrastrukturze sieci w chmurze, strategii wdrażania i implementacji.

W poniższych artykułach pokazano, jak zastosować podejście Zero Trust do sieci dla powszechnie wdrożonych usług infrastruktury platformy Azure:

• Szyfrowanie
• Segmentacja
• Uzyskiwanie wglądu w ruch sieciowy
• Zaprzestanie starszej technologii zabezpieczeń sieci

Ważne

W tym przewodniku Zero Trust opisano sposób używania i konfigurowania kilku rozwiązań zabezpieczeń i funkcji dostępnych na platformie Azure na potrzeby architektury referencyjnej. Kilka innych zasobów zawiera również wskazówki dotyczące zabezpieczeń dla tych rozwiązań i funkcji, w tym:

• Test porównawczy zabezpieczeń w chmurze firmy Microsoft
• Punkt odniesienia zabezpieczeń w chmurze firmy Microsoft

Aby opisać sposób stosowania podejścia zero trust, te wskazówki dotyczą wspólnego wzorca używanego w środowisku produkcyjnym przez wiele organizacji: aplikacji opartej na maszynie wirtualnej hostowanej w sieci wirtualnej (i aplikacji IaaS). Jest to typowy wzorzec dla organizacji migrujących aplikacje lokalne na platformę Azure, który jest czasami określany jako "lift-and-shift".

Ochrona przed zagrożeniami za pomocą Microsoft Defender dla Chmury

W przypadku zasady Przyjmij zero trust dla sieci platformy Azure Microsoft Defender dla Chmury to rozszerzone rozwiązanie do wykrywania i reagowania (XDR), które automatycznie zbiera, koreluje i analizuje dane sygnału, zagrożenia i alertu z całego środowiska. Defender dla Chmury ma być używana razem z usługą Microsoft Defender XDR, aby zapewnić większą szerokość skorelowanej ochrony środowiska, jak pokazano na poniższym diagramie.

Na diagramie:

• Defender dla Chmury jest włączona dla grupy zarządzania obejmującej wiele subskrypcji platformy Azure.
• Usługa Microsoft Defender XDR jest włączona dla aplikacji i danych platformy Microsoft 365, aplikacji SaaS zintegrowanych z identyfikatorem Entra firmy Microsoft i serwerów lokalna usługa Active Directory Domain Services (AD DS).

Aby uzyskać więcej informacji na temat konfigurowania grup zarządzania i włączania Defender dla Chmury, zobacz:

• Organizowanie subskrypcji w grupy zarządzania i przypisywanie ról do użytkowników
• Włączanie Defender dla Chmury dla wszystkich subskrypcji w grupie zarządzania

Dodatkowe zasoby

Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi stosowania zasad zero trust do usługi IaaS platformy Azure:

• W przypadku usługi IaaS platformy Azure:
  • Magazyn platformy Azure
  • Maszyny wirtualne
  • Sieci wirtualne będące szprychami
  • Sieci wirtualne koncentratora
  • Sieci wirtualne będące szprychami z usługami PaaS platformy Azure
• Azure Virtual Desktop
• Azure Virtual WAN
• Aplikacje IaaS w usługach Amazon Web Services
• Microsoft Sentinel i Microsoft Defender XDR