Översikt – Tillämpa Nolltillit principer på Azure-nätverk

Den här serien med artiklar hjälper dig att tillämpa principerna för Nolltillit på din nätverksinfrastruktur i Microsoft Azure baserat på en tvärvetenskaplig metod. Nolltillit är en säkerhetsstrategi. Det är inte en produkt eller en tjänst, utan en metod för att utforma och implementera följande uppsättning säkerhetsprinciper:

• Verifiera explicit
• Använd minst privilegierad åtkomst
• Anta intrång

Implementering av Nolltillit tänkesätt för att "anta intrång, aldrig förtroende, alltid verifiera" kräver ändringar i molnnätverksinfrastruktur, distributionsstrategi och implementering.

Följande artiklar visar hur du tillämpar Nolltillit metod för nätverk för vanliga distribuerade Azure-infrastrukturtjänster:

• Kryptering
• Segmentering
• Få insyn i nätverkstrafiken
• Avbryta äldre nätverkssäkerhetsteknik

Viktigt!

Den här Nolltillit vägledningen beskriver hur du använder och konfigurerar flera säkerhetslösningar och funktioner som är tillgängliga i Azure för en referensarkitektur. Flera andra resurser ger också säkerhetsvägledning för dessa lösningar och funktioner, bland annat:

• Microsoft Cloud Security Benchmark
• Microsoft Cloud Security-baslinje

För att beskriva hur du använder en Nolltillit metod är den här vägledningen inriktad på ett vanligt mönster som används i produktion av många organisationer: ett virtuellt datorbaserat program som finns i ett VNet (och IaaS-program). Det här är ett vanligt mönster för organisationer som migrerar lokala program till Azure, som ibland kallas "lift-and-shift".

Skydd mot hot med Microsoft Defender för molnet

För principen Anta intrång Nolltillit för Azure-nätverk är Microsoft Defender för molnet en XDR-lösning (extended detection and response) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från hela miljön. Defender för molnet är avsett att användas tillsammans med Microsoft Defender XDR för att ge en större bredd av korrelerat skydd av din miljö, enligt följande diagram.

I diagrammet:

• Defender för molnet är aktiverat för en hanteringsgrupp som innehåller flera Azure-prenumerationer.
• Microsoft Defender XDR är aktiverat för Microsoft 365-appar och -data, SaaS-appar som är integrerade med Microsoft Entra-ID och lokal Active Directory AD DS-servrar (Domain Services).

Mer information om hur du konfigurerar hanteringsgrupper och aktiverar Defender för molnet finns i:

• Organisera prenumerationer i hanteringsgrupper och tilldela roller till användare
• Aktivera Defender för molnet för alla prenumerationer i en hanteringsgrupp

Ytterligare resurser

Se de här ytterligare artiklarna om hur du tillämpar Nolltillit principer på Azure IaaS:

• För Azure IaaS:
  • Azure Storage
  • Virtuella datorer
  • Virtuella ekernätverk
  • Virtuella hubbnätverk
  • Virtuella ekernätverk med Azure PaaS-tjänster
• Azure Virtual Desktop
• Azure Virtual WAN
• IaaS-program i Amazon Web Services
• Microsoft Sentinel och Microsoft Defender XDR