概述 - 将零信任原则应用于 Azure IaaS

注意

即将推出的直播 加入 Azure FastTrack 团队,讨论本文。 2024 年 10 月 23 日 | 上午 10:00 - 11:00 (UTC-07:00) 太平洋时间(美国和加拿大)。 在此处注册

摘要:若要将零信任原则应用于 Azure IaaS 组件和基础结构,必须先了解 Azure 存储、虚拟机和中心辐射型虚拟网络的常用参考体系结构和组件

本系列文章可助你在多学科方法的基础上,将零信任原则应用于 Microsoft Azure IaaS 中的工作负载。 零信任是一种安全策略。 它不是产品或服务,而是设计和实现以下一组安全原则的方法:

  • 显式验证
  • 使用最低权限访问
  • 假定数据泄露

实现“假设违规,从不信任,始终验证”的零信任思维模式需要对云基础结构、部署策略和实现进行更改。

这最初的五篇系列文章(包括本简介)介绍了如何基于基础结构服务将零信任方法应用于常用 IT 业务方案。 我们将内容分解为多个可一起配置的单元,如下所示:

有关详细信息,请参阅将零信任原则应用于 Azure 虚拟桌面

注意

本系列后续会添加更多文章,包括组织如何根据实际 IT 业务环境将零信任方法应用于应用程序、网络、数据和 DevOps 服务。

重要

本零信任指南介绍了如何使用和配置 Azure 上为参考体系结构提供的多个安全解决方案和功能。 其他一些资源也为这些解决方案和功能提供了安全指南,包括:

为更好地介绍应用零信任的方法,本指南以 VNet(和 IaaS 应用程序)中托管的基于虚拟机的应用程序为例进行说明,这是一种生产中常见的模式,在众多组织中广泛应用。 这是组织将本地应用程序迁移到 Azure 的常用模式,有时称为“直接迁移”。参考体系结构包括支持此应用程序所需的所有组件,包括存储服务和中心 VNet。

参考体系结构反映了生产环境中的常见部署模式。 它并非基于云采用框架 (CAF) 中的企业规模登陆区域,但参考体系结构中包括许多 CAF 中的最佳做法,例如使用专用 VNet 来托管代理对应用程序的访问的组件(中心 VNet)。

如果有兴趣了解云采用框架 Azure 登陆区域中建议的指南,请参阅以下资源:

参考体系结构

下图展示了此零信任指南的参考体系结构。

该图显示了用于将零信任应用于 Azure IaaS 的参考体系结构,其中包含不同类型的用户、在虚拟机上运行的常见应用程序、PaaS 服务和存储。

该体系结构包含:

  • 多个 IaaS 组件和元素,包括从不同站点访问应用的不同类型的用户和 IT 使用者。 例如 Azure、Internet、本地和分支机构。
  • 常见的三层应用程序中包含前端层、应用层和数据层。 所有层都在 VNet 中名为“分支”的虚拟机上运行。 对应用程序的访问由另一个名为“中心”的 VNet 保护,该 VNet 包含额外的安全服务。
  • Azure 上支持 IaaS 应用程序的一些最常用的 PaaS 服务,包括基于角色的访问控制 (RBAC) 和 Microsoft Entra ID,它们有助于实现零信任安全方法。
  • 存储 Blob 和存储文件为用户共享的应用程序和文件提供对象存储。

本系列文章针对托管在 Azure 中的这些大型组件逐一阐述为参考结构实现零信任的建议,如下所示。

该图显示了用于将零信任应用于 Azure IaaS 的参考体系结构,其中显示了存储、虚拟机和中心辐射型虚拟网络的分组组件。

上图概述了本系列中各篇文章所涉及的体系结构的划分:

  1. Azure 存储服务
  2. 虚拟机
  3. 分支 VNet
  4. 中心 VNet

请务必注意,与云采用框架和 Azure 登陆区域体系结构的指南相比,本系列文章中的指南更侧重于该类型的体系结构。 如果应用了这些资源中的指南,请务必查看本系列文章以获取更多建议。

了解 Azure 组件

参考体系结构图提供了环境的拓扑视图。 从逻辑上理解如何在 Azure 环境中组织所有组件也很有价值。 下图提供了一种组织订阅和资源组的方法。 Azure 订阅可能以不同的方式进行组织。

该图显示了用于将零信任应用于 Azure IaaS 的逻辑体系结构,其中显示了订阅、Microsoft Defender for Cloud 和 Azure Monitor 以及 Microsoft Entra ID 租户中的资源组。

在此图中,Azure 基础结构包含在 Microsoft Entra ID 租户中。 下表对关系图中显示的不同部分做了描述。

  • Azure 订阅

    你可将资源分发到多个订阅中,其中每个订阅可拥有不同角色,例如网络订阅或安全订阅。 前面引用的云采用框架和 Azure 登陆区域文档对此进行介绍。 不同的订阅还可能包含不同的环境,例如生产、开发和测试环境。 这取决于希望如何分隔环境以及在每个环境中拥有的资源数。 你可使用管理组单独管理一个订阅或同时管理多个订阅。 这使你能够通过基于角色的访问控制 (RBAC) 和 Azure 策略将权限应用于一组订阅,而不是单独设置每个订阅。

  • Microsoft Defender for Cloud 和 Azure

    每个 Azure 订阅都可使用一组 Azure Monitor 解决方案和 Defender for Cloud。 如果通过管理组管理这些订阅,则可以将 Azure Monitor 和 Defender for Cloud 的所有功能合并到单个门户中。 例如,Defender for Cloud 提供的安全功能分数以管理组为范围,合并到所有订阅中。

  • 存储资源组 (1)

    存储帐户包含在专用资源组中。 你可将每个存储帐户隔离在不同的资源组中,以实现更精细的权限控制。 Azure 存储服务包含在专用存储帐户中。 每种类型的存储工作负载都可有一个存储帐户,例如对象存储(也称为 Blob 存储)和 Azure 文件存储。 存储帐户提供了更精细的访问控制,并可提高性能。

  • 虚拟机资源组 (2)

    虚拟机包含在一个资源组中。 你还可在不同资源组中为工作负载层(如前端、应用程序和数据)设置各种不同的虚拟机类型,以进一步隔离访问控制。

  • 分支 (3) 和中心 (4) VNet 资源组位于单独的订阅中

    参考体系结构中每个 VNet 的网络和其他资源都隔离在分支和中心 VNet 的专用资源组中。 即使这些任务由不同的团队负责,该组织也可良好运转。 另一种选项是组织组件时,将所有网络资源放在一个资源组中,将所有安全资源放在另一个资源组中。 选择哪种方式决于组织对管理资源的设置。

使用 Microsoft Defender for Cloud 进行威胁防护

Microsoft Defender for Cloud 是一种扩展的检测和响应 (XDR) 解决方案,可自动收集、关联和分析来自整个环境的信号、威胁和警报数据。 Defender for Cloud 旨在与 Microsoft Defender XDR 一起使用,以为环境提供更广泛的关联保护,如以下关系图所示。

该图显示了Microsoft Defender for Cloud 和 Microsoft Defender XDR 的逻辑体系结构,该体系结构将为 Azure IaaS 组件提供威胁防护。

在图中:

  • 为包含多个 Azure 订阅的管理组启用了 Defender for Cloud。
  • Microsoft Defender XDR 为 Microsoft 365 应用和数据、与 Microsoft Entra ID 集成的 SaaS 应用,以及本地 Active Directory 域服务 (AD DS) 服务器启用。

有关配置管理组和启用 Defender for Cloud 的详细信息,请参阅:

本系列文章中的安全解决方案

零信任涉及将安全和信息保护的多个学科相结合。 本系列文章中,这种多学科方法将应用于基础结构组件的全部工作单元,如下所示:

将零信任原则应用于 Azure 存储

  1. 保护三种模式中的数据:静态数据、传输中的数据以及使用中的数据
  2. 以最低权限验证用户并控制对存储数据的访问
  3. 通过网络控制在逻辑上分离或隔离关键数据
  4. 使用 Defender for Storage 进行自动威胁检测和保护

将零信任原则应用于 Azure 中的虚拟机

  1. 为虚拟机配置逻辑隔离
  2. 利用基于角色的访问控制 (RBAC)
  3. 保护虚拟机启动组件
  4. 启用客户管理的密钥和双重加密
  5. 控制虚拟机上安装的应用程序
  6. 配置安全访问
  7. 设置虚拟机的安全维护
  8. 启用高级威胁检测和保护

将零信任原则应用于 Azure 中的分支 VNet

  1. 利用 Microsoft Entra RBAC 或为网络资源设置自定义角色
  2. 将基础结构隔离到其自己的资源组中
  3. 为每个子网创建网络安全组
  4. 为每个虚拟机角色创建应用程序安全组
  5. 保护 VNet 内的流量和资源
  6. 保护对 VNet 和应用程序的访问
  7. 启用高级威胁检测和保护

将零信任原则应用于 Azure 中的中心 VNet

  1. Azure 安全防火墙高级版
  2. 部署 Azure DDoS 防护标准
  3. 配置路由到防火墙的网络网关
  4. 配置威胁防护

技术插图

这些插图是这些文章中参考插图的副本。 下载并自定义你自己的组织和客户。 将 Contoso 徽标替换为你自己的徽标。

说明
缩略图图片 1下载 Visio
更新时间:2024 年 10 月
将零信任原则应用于 Azure IaaS
将这些插图与以下文章一起使用:
- 概述
- Azure 存储
- 虚拟机
- Azure 辐射虚拟网络
- Azure 中心虚拟网络
缩略图图片 2下载 Visio
更新时间:2024 年 10 月
将零信任原则应用于 Azure IaaS — 一页海报
有关将零信任原则应用于 Azure IaaS 环境的过程的一页概述。

有关其他技术插图,请参阅面向 IT 架构师和实现者的零信任插图。

下面是建议用于零信任的培训模块。

Azure 管理和治理

培训 描述 Azure 管理和治理
Microsoft Azure 基础知识培训由三个学习路径组成:“Microsoft Azure 基础知识:介绍云概念”、“Microsoft Azure 基础知识:介绍 Azure 体系结构和服务”,以及“Microsoft Azure 基础知识:介绍 Azure 管理和治理”。 “Microsoft Azure 基础知识:介绍 Azure 管理和治理”是Microsoft Azure 基础知识的第三个学习路径。 本学习路径探索可用于帮助管理云和本地资源的管理和治理资源。
此学习路径帮助你准备考试 AZ-900:Microsoft Azure 基础。

配置 Azure Policy

培训 配置 Azure Policy
了解如何配置 Azure Policy 来实现合规性要求。
在本模块中,你将了解如何:
  • 创建管理组来制定目标策略和支出预算。
  • 采用策略和计划定义实现 Azure Policy。
  • 确定 Azure 策略的范围并确定合规性。
  • 管理安全操作

    培训 管理安全操作
    部署了 Azure 环境并确保其安全性后,就可以了解如何监视、操作和持续提高解决方案的安全性。
    此学习路径有助于为考试 AZ-500:Microsoft Azure 安全技术做好准备。

    配置存储安全性

    培训 配置存储安全性
    了解如何配置常见的 Azure 存储安全功能,例如存储访问签名。
    在本模块中,你将了解如何:
  • 配置共享访问签名 (SAS),包括统一资源标识符 (URI) 和 SAS 参数。
  • 配置 Azure 存储加密。
  • 实现客户管理的密钥。
  • 建议提高 Azure 存储安全的机会。
  • 配置 Azure 防火墙

    培训 配置 Azure 防火墙
    你将了解如何配置 Azure 防火墙(包括防火墙规则)。
    完成本模块后,你将能够:
  • 确定何时使用 Azure 防火墙。
  • 实现 Azure 防火墙(包括防火墙规则)。
  • 有关 Azure 安全性的更多培训,请参阅 Microsoft 目录中的以下资源:
    Azure 的安全性 | Microsoft Learn

    后续步骤

    请参阅以下有关将零信任原则应用于 Azure 的其他文章:

    请参阅以下其他文章,了解如何将零信任原则应用于 Azure 网络:

    参考

    请参阅以下链接,了解本文中提到的各种服务和技术。