解决方案构想
本文介绍了一种解决方案构想。 云架构师可以通过本指南来帮助可视化此体系结构的典型实现的主要组件。 以本文为起点,设计一个符合工作负荷特定要求的架构合理的解决方案。
可以使用各种 Azure 服务为组织创建完整的 IT 基础结构。 Azure 还提供有助于保护基础结构的安全服务。 通过使用 Azure 安全解决方案,可以增强 IT 环境的安全态势,缓解漏洞,并通过基于Microsoft最佳做法的精心构建的解决方案防范违规。
尽管某些安全服务会产生相关的成本,但许多安全服务无需额外付费。 免费服务包括网络安全组 (NSG)、存储加密、TLS/SSL、共享访问签名令牌等。 本文重点介绍这些免费服务。
本文是此系列中的第三部分(共五部分)。 要查看本系列中的前两篇文章(介绍和回顾如何映射 IT 环境面临的威胁),请参阅以下文章:
可能的用例
本文按 Azure 资源组织 Azure 安全服务,以便除了攻击用户和密码外,还可以专注于面向虚拟机(VM)、操作系统、Azure 网络或应用程序等资源的特定威胁。 下图可帮助你识别有助于保护资源和用户标识免受这些类型的威胁的 Azure 安全服务。
体系结构
下载此体系结构的 Visio 文件。
©2021 The MITRE Corporation。 本文经 MITRE Corporation 许可进行转载和传播。
此图中的 Azure 安全层基于 Azure 安全基准 (ASB) v3,这是一组通过 Azure 策略实现的安全规则。 ASB 由 Internet 安全 CIS 中心和国家标准与技术研究所提供的规则组合而来。 要详细了解 ASB,请参阅 Azure 安全基准 v3 概述。
该关系图不包括可用的每个 Azure 安全服务,但它确实突出显示了最常用的服务。 体系结构关系图中显示的所有安全服务都可以组合和配置,以便与 IT 环境和组织的特定安全需求协同工作。
Workflow
本部分介绍示意图中展示的组件和服务。 除缩写标签外,其中许多组件/服务还标有 ASB 控制代码。 控制代码对应于控制中列出的控制域。
Azure 安全基准
每项安全控制是指一个或多个特定的 Azure 安全服务。 本文中的体系结构参考根据 ASB 文档展示其中一些服务及其控制编号。 控制措施包括:
- 网络安全
- 身份管理
- 特权访问
- 数据保护
- 资产管理
- 日志记录和威胁检测
- 事件响应
- 态势和漏洞管理
- 终结点安全
- 备份和恢复
- DevOps 安全性
- 治理和策略
要详细了解安全控制,请参阅 Azure 安全基准 (v3) 概述。
Network
下表介绍了示意图中的网络服务。
Label 说明 文档 NSG 附加到网络接口或子网的免费服务。 使用 NSG,可以通过输入和输出连接的 IP 地址范围和端口对 TCP 或 UDP 协议流量进行筛选。 网络安全组 VPN 虚拟专用网络 (VPN) 网关,该网关提供带有 IPSEC (IKE v1/v2) 保护的隧道。 VPN 网关 Azure 防火墙 一项平台即服务 (PaaS),用于在第 4 层中提供保护,并附加到整个虚拟网络。 什么是 Azure 防火墙? 应用 GW + WAF Azure 应用程序网关和 Web 应用程序防火墙 (WAF)。 应用程序网关是 Web 流量的负载均衡器,适用于第 7 层,并添加 WAF 来保护使用 HTTP 和 HTTPS 的应用程序。 什么是 Azure 应用程序网关? NVA 网络虚拟设备 (NVA)。 Azure 上 VM 上预配的市场中的虚拟安全服务。 网络虚拟设备 DDOS 虚拟网络上实现的 DDoS 防护有助于缓解不同类型的 DDoS 攻击。 Azure DDoS 网络保护概述 TLS/SSL TLS/SSL 为大多数交换信息的 Azure 服务(如 Azure 存储和 Web 应用)提供传输中加密。 使用 PowerShell 通过应用程序网关配置端到端 TLS 专用链接 允许为最初向 Internet 公开的 Azure 服务创建专用网络的服务。 什么是 Azure 专用链接? 专用终结点 创建网络接口并将其附加到 Azure 服务。 专用终结点是专用链接的一部分。 此配置允许服务通过使用专用终结点成为虚拟网络的一部分。 什么是专用终结点? 基础结构和终结点
下表介绍示意图中展示的基础结构和终结点服务。
Label 说明 文档 Bastion Bastion 提供跳转服务器功能。 使用该服务,可通过远程桌面协议 (RDP) 或SSH访问 VM,无需向 Internet 公开 VM。 什么是 Azure Bastion? 反恶意软件 Microsoft Defender 提供反恶意软件服务,是 Windows 10、Windows 11、Windows Server 2016 和 Windows Server 2019 的一部分。 Windows 中的 Microsoft Defender 防病毒 磁盘加密 磁盘加密允许加密 VM 的磁盘。 适用于 Windows VM 的 Azure 磁盘加密 Keyvault 密钥保管库,是一项按照 FIPS 140-2 2 级或 3 级标准存储密钥、机密和证书的服务。 Azure Key Vault 基本概念 RDP Short Azure 虚拟桌面 RDP 短路径。 此功能允许远程用户从专用网络连接到虚拟桌面服务。 用于托管网络的 Azure 虚拟桌面 RDP 短路径 反向连接 Azure 虚拟桌面中的内置安全功能。 反向连接保证远程用户仅接收像素流,无法访问主机 VM。 了解 Azure 虚拟桌面网络连接性 应用程序和数据
下表介绍示意图中展示的应用程序和数据服务。
Label 说明 文档 Frontdoor + WAF 内容分发网络 (CDN)。 Front Door 结合多个接入点,为访问服务的用户提供更好的连接并添加 WAF。 什么是 Azure Front Door? API 管理 这是一项为 API 调用提供安全性并跨环境管理 API 的服务。 关于 API 管理 PenTest 在环境(包括 Azure 资源)中执行渗透测试的一组最佳做法。 渗透测试 存储 SAS 令牌 一种共享访问令牌,可允许其他人访问你的 Azure 存储帐户。 使用共享访问签名 (SAS) 授予对 Azure 存储资源的有限访问权限 专用终结点 创建网络接口并将其附加到存储帐户,以在 Azure 上的专用网络中对其进行配置。 为 Azure 存储使用专用终结点 存储防火墙 允许设置可访问存储帐户的 IP 地址范围的防火墙。 配置 Azure 存储防火墙和虚拟网络 加密
(Azure 存储)使用静态加密保护存储帐户。 静态数据的 Azure 存储加密 SQL 审核 可跟踪数据库事件,并将事件写入 Azure 存储帐户中的审核日志。 Azure SQL 数据库和 Azure Synapse Analytics 的审核 漏洞评估 此服务有助于发现、跟踪和补救潜在的数据库漏洞。 SQL 漏洞评估可帮助识别数据库漏洞 加密
(Azure SQL)透明数据加密 (TDE) 通过加密静态数据帮助保护 Azure SQL 数据库。 Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 的透明数据加密 标识
下表介绍示意图中展示的标识服务。
Label 说明 文档 RBAC Azure 基于角色的访问控制 (Azure RBAC) 通过使用基于用户的 Microsoft Entra 凭据的精细权限来管理对 Azure 服务的访问权限。 什么是 Azure 基于角色的访问控制 (Azure RBAC)? MFA 除了用户名和密码,多重身份验证还提供其他类型的身份验证。 工作原理:Microsoft Entra 多重身份验证 ID 保护 标识保护是 Microsoft Entra ID 提供的一项安全服务,每天分析数万亿条信号,以识别用户并保护用户免受威胁。 什么是“标识保护”? PIM Privileged Identity Management (PIM),是 Microsoft Entra ID 提供的一项安全服务。 它可帮助你暂时为 Microsoft Entra ID(例如用户管理员)和 Azure 订阅(例如基于角色访问控制管理员或密钥库管理员)提供超级用户特权。 什么是 Microsoft Entra Privileged Identity Management? Cond Acc 条件访问是一项智能安全服务,该服务使用为各种条件定义的策略来阻止用户访问或授予用户访问权限。 什么是条件访问?
组件
本文中的示例体系结构使用以下 Azure 组件:
Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务。 Microsoft Entra ID 可帮助用户访问外部资源,例如 Microsoft 365、Azure 门户和数以千计的其他 SaaS 应用程序。 该服务还可以帮助用户访问内部资源,例如公司 Intranet 网络上的应用。
Azure 虚拟网络是 Azure 中专用网络的基本构建基块。 借助虚拟网络,多种类型的 Azure 资源可相互之间、与 Internet 以及与本地网络安全通信。 虚拟网络提供了从 Azure 的基础结构受益(如缩放、可用性和隔离)的虚拟网络。
Azure 负载均衡器是一项适用于所有 UDP 和 TCP 协议的高性能、低延迟第 4 层负载均衡服务(入站和出站)。 该服务旨在处理每秒数百万个请求,同时确保解决方案高度可用。 Azure 负载均衡器是区域冗余的,可确保整个可用性区域的高可用性。
虚拟机是 Azure 提供的按需分配可缩放的计算资源之一。 使用 Azure 虚拟机 (VM) 可以灵活进行虚拟化,而无需购买和维护运行 VM 的物理硬件。
Azure Kubernetes 服务 (AKS) 是一项完全托管的 Kubernetes 服务,用于部署和管理容器化应用程序。 AKS 提供无服务器 Kubernetes、持续集成/持续交付 (CI/CD) 以及企业级安全性和治理。
Azure 虚拟桌面,它是在云中运行的一项桌面和应用虚拟化服务,可面向远程用户提供桌面。
应用程序服务 Web 应用是一项基于 HTTP 的服务,用于托管 Web 应用程序、REST API 和移动后端。 可以使用自己喜欢的语言进行开发,应用程序可在基于 Windows 或 Linux 的环境中轻松地运行和缩放。
Azure 存储是云中各种数据对象(包括对象、Blob、文件、磁盘、队列和表存储)的高度可用、可大规模缩放、持久且安全的存储。 该服务会对写入到 Azure 存储帐户的所有数据进行加密。 Azure 存储可以精细地控制谁可以访问你的数据。
Azure SQL 数据库是一个完全托管的 PaaS 数据库引擎,可处理绝大部分数据库管理功能,如升级、修补、备份和监视。 该引擎在提供这些功能时无需用户参与。 SQL 数据库提供一系列内置安全性和合规性功能,可帮助应用程序满足安全性和合规性要求。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Rudnei Oliveira | 高级 Azure 安全工程师
其他参与者:
- Gary Moore | 程序员/作家
- Andrew Nathan | 高级客户工程经理
后续步骤
Microsoft 提供了更多文档,可帮助你保护 IT 环境,以下文章尤为有用:
- 适用于 Azure 的 Microsoft 云采用框架中的安全性。 云采用框架通过明确流程、最佳做法、模型和体验,为云旅程提供安全指导。
- Microsoft Azure 架构良好的框架。 Azure 架构良好的框架是一组指导原则,可用于提高工作负荷的质量。 该框架基于五大要素:可靠性、安全性、成本优化、卓越运营和性能效率。
- Microsoft 安全最佳做法。 Microsoft 安全最佳做法(以前称为 Azure Security Compass 或 Microsoft Security Compass)是一系列最佳做法,可为安全相关决策提供切实可行的清晰指导。
- Microsoft 网络安全参考体系结构 (MCRA)。 MCRA 是各种 Microsoft 安全参考体系结构的汇编。
在以下资源中,可以找到有关本文中提到的服务、技术和术语的详细信息:
相关资源
有关此参考体系结构的更多详细信息,请参阅本系列的其他文章:
- 第 1 部分:使用 Azure 监视集成安全组件
- 第 2 部分:将威胁映射到 IT 环境
- 第 4 部分:使用 Microsoft Defender XDR 安全服务生成第二层防御
- 第 5 部分:集成 Azure 和 Microsoft Defender XDR 安全服务