共用方式為


概觀 – 將 零信任 原則套用至 Azure IaaS

注意

即將推出的 Livestream 在討論本文時加入 Azure FastTrack 小組。 2024 年 10 月 23 日 |上午 10:00 - 上午 11:00 (UTC-07:00) 太平洋時間 (美國和加拿大)。 在這裡註冊。

摘要:若要將 零信任 原則套用至 Azure IaaS 元件和基礎結構,您必須先瞭解 Azure 記憶體、虛擬機和輪輻和中樞虛擬網路的常見參考架構和元件。

這一系列文章可協助您根據多紀律方法來套用 零信任 原則,將 零信任 原則套用至 Azure IaaS Microsoft 工作負載。 零信任為安全性策略。 這不是產品或服務,而是設計和實作下列一組安全性原則的方法:

  • 明確驗證
  • 使用最低權限存取
  • 假設缺口

實作 零信任 思維來「假設外洩、永不信任、永遠驗證」需要變更雲端基礎結構、部署策略和實作。

這五篇文章的初始系列(包括本簡介)說明如何根據基礎結構服務,將 零信任 方法套用至常見的IT商務案例。 工作分成可一起設定的單位,如下所示:

如需詳細資訊,請參閱將 零信任 原則套用至 Azure 虛擬桌面

注意

未來將新增此系列的其他文章,包括組織如何根據實際的IT商務環境,將零信任方法套用至應用程式、網路、數據和DevOps服務。

重要

本 零信任 指引說明如何使用及設定 Azure 上可用的數個安全性解決方案和功能,以取得參考架構。 其他數個資源也提供這些解決方案和功能的安全性指引,包括:

為了描述如何套用 零信任 方法,本指南以許多組織在生產環境中使用的常見模式為目標:裝載於 VNet (和 IaaS 應用程式) 的虛擬機型應用程式。 這是組織將內部部署應用程式移轉至 Azure 的常見模式,有時稱為「隨即轉移」。參考架構包含支援此應用程式所需的所有元件,包括記憶體服務和中樞 VNet。

參考架構會反映生產環境中常見的部署模式。 這並非以 雲端採用架構 (CAF) 中建議的企業級登陸區域為基礎,不過 CAF 中的許多最佳做法都包含在參考架構中,例如使用專用 VNet 來裝載可代理應用程式存取權的元件(中樞 VNet)。

如果您想要瞭解 azure 登陸區域 雲端採用架構 建議的指引,請參閱下列資源:

參考架構

下圖顯示此 零信任 指導方針的參考架構。

將 零信任 套用至 Azure IaaS 的參考架構圖表,其中包含不同類型的使用者、在虛擬機、PaaS 服務和記憶體上執行的常見應用程式。

此架構包含:

  • 多個 IaaS 元件和元素,包括不同類型的使用者和 IT 取用者,從不同網站存取應用程式。 例如 Azure、因特網、內部部署和分公司。
  • 包含前端層、應用層和數據層的一般三層應用程式。 所有層都會在名為 SPOKE 的 VNet 內的虛擬機上執行。 應用程式存取受到另一個名為 HUB 的 VNet 保護,其中包含其他安全性服務。
  • Azure 上支援 IaaS 應用程式的一些最常使用的 PaaS 服務,包括角色型訪問控制 (RBAC) 和 Microsoft Entra 識別碼,這有助於 零信任 安全性方法。
  • 記憶體 Blob 和記憶體檔案,可為使用者共用的應用程式和檔案提供物件記憶體。

這一系列文章會逐步解說在 Azure 中裝載的每個較大部分,以實作參考架構 零信任 的建議,如下所示。

將 零信任 套用至 Azure IaaS 的參考架構圖表,其中顯示記憶體、虛擬機和輪輻和中樞虛擬網路的群元件。

此圖表概述本系列中每個文章所處理之架構的較大區域:

  1. Azure 儲存體 服務
  2. 虛擬機器
  3. 輪輻 VNet
  4. 中樞 VNet

請務必注意,這一系列文章中的指引比 雲端採用架構 和 Azure 登陸區域架構中提供的指引更具體。 如果您在其中一個資源中套用指導方針,請務必也檢閱這一系列文章以取得其他建議。

瞭解 Azure 元件

參考架構圖表提供環境的拓撲檢視。 從邏輯上看,在 Azure 環境中如何組織每個元件也是有價值的。 下圖提供組織訂用帳戶和資源群組的方式。 您的 Azure 訂用帳戶可能會以不同的方式組織。

將 零信任 套用至 Azure IaaS 的邏輯架構圖表,其中顯示Microsoft Entra ID 租使用者內的訂用帳戶、適用於雲端的 Microsoft Defender 和 Azure 監視器和資源群組。

在此圖表中,Azure 基礎結構包含在Microsoft Entra ID 租用戶內。 下表描述圖表中顯示的不同區段。

  • Azure 訂用帳戶

    您可以在多個訂用帳戶中散發資源,其中每個訂用帳戶可以保留不同的角色,例如網路訂用帳戶或安全性訂用帳戶。 如先前參考的 雲端採用架構 和 Azure 登陸區域檔所述。 不同的訂用帳戶也可能保留不同的環境,例如生產環境、開發和測試環境。 這取決於您要如何分隔環境,以及每個環境中將擁有的資源數目。 您可以使用管理群組一起管理一或多個訂用帳戶。 這可讓您將具有角色型訪問控制 (RBAC) 和 Azure 原則的許可權套用至一組訂用帳戶,而不是個別設定每個訂用帳戶。

  • 適用於雲端的 Microsoft Defender 和 Azure 監視器

    針對每個 Azure 訂用帳戶,有一組 Azure 監視器解決方案和 適用於雲端的 Defender 可供使用。 如果您透過管理群組管理這些訂用帳戶,您就可以在單一入口網站中合併 Azure 監視器和 適用於雲端的 Defender 的所有功能。 例如,由 適用於雲端的 Defender 提供的安全分數會針對所有訂用帳戶合併,並使用管理群組做為範圍。

  • 記憶體資源群組 (1)

    記憶體帳戶包含在專用的資源群組中。 您可以隔離不同資源群組中的每個記憶體帳戶,以取得更細微的許可權控制。 Azure 記憶體服務包含在專用記憶體帳戶內。 您可以針對每種記憶體工作負載類型有一個記憶體帳戶,例如物件記憶體(也稱為 Blob 記憶體)和 Azure 檔案儲存體。 這可提供更細微的訪問控制,並可改善效能。

  • 虛擬機器資源群組 (2)

    虛擬機包含在一個資源群組中。 您也可以讓工作負載層的每個虛擬機類型,例如前端、應用程式和不同資源群組中的數據,進一步隔離訪問控制。

  • 輪輻 (3) 和中樞 (4) 不同訂用帳戶中的 VNet 資源群組

    參考架構中每個 VNet 的網路和其他資源會隔離在輪輻和中樞 VNet 的專用資源群組內。 當這些組織在不同小組上負責時,此組織運作良好。 另一個選項是將所有網路資源放在一個資源群組中,並將安全性資源放在另一個資源群組中,以組織這些元件。 這取決於貴組織如何設定來管理這些資源。

使用 適用於雲端的 Microsoft Defender的威脅防護

適用於雲端的 Microsoft Defender 是一種擴充的偵測和回應 (XDR) 解決方案,可自動收集、相互關聯和分析來自您環境中的訊號、威脅和警示數據。 適用於雲端的 Defender 旨在與 Microsoft Defender 全面偵測回應 搭配使用,以提供更廣度的環境相互關聯保護,如下圖所示。

適用於雲端的 Microsoft Defender 和 Microsoft Defender 全面偵測回應 邏輯架構的圖表,可為 Azure IaaS 元件提供威脅防護。

在此圖表中:

  • 已針對包含多個 Azure 訂用帳戶的管理群組啟用 適用於雲端的 Defender。
  • Microsoft Defender 全面偵測回應 已啟用 Microsoft 365 應用程式和數據、與 Microsoft Entra ID 整合的 SaaS 應用程式,以及 內部部署的 Active Directory Domain Services (AD DS) 伺服器。

如需設定管理群組和啟用 適用於雲端的 Defender 的詳細資訊,請參閱:

本系列文章中的安全性解決方案

零信任 牽涉到將多個安全性與資訊保護專業領域套用在一起。 在此系列文章中,此多專業領域方法會套用至基礎結構元件的每個工作單位,如下所示:

將 零信任 原則套用至 Azure 記憶體

  1. 保護三種模式中的數據:待用數據、傳輸中的數據,以及使用中的數據
  2. 以最低許可權驗證使用者和控制記憶體數據的存取權
  3. 以邏輯方式分隔或隔離具有網路控制的重要數據
  4. 使用適用於記憶體的Defender進行自動化威脅偵測和保護

將 零信任 原則套用至 Azure 中的虛擬機

  1. 設定虛擬機的邏輯隔離
  2. 利用角色型 存取控制 (RBAC)
  3. 保護虛擬機開機組件
  4. 啟用客戶管理的金鑰和雙重加密
  5. 控制安裝在虛擬機上的應用程式
  6. 設定安全存取
  7. 設定虛擬機的安全維護
  8. 啟用進階威脅偵測與保護

將 零信任 原則套用至 Azure 中的輪輻 VNet

  1. 利用 Microsoft Entra RBAC 或設定網路資源的自定義角色
  2. 將基礎結構隔離至自己的資源群組
  3. 為每個子網建立網路安全組
  4. 為每個虛擬機角色建立應用程式安全組
  5. 保護 VNet 內的流量和資源
  6. 保護對 VNet 和應用程式的存取
  7. 啟用進階威脅偵測與保護

將 零信任 原則套用至 Azure 中的中樞 VNet

  1. 保護進階 Azure 防火牆
  2. 部署 Azure DDoS 保護標準
  3. 設定網路網關路由至防火牆
  4. 設定威脅防護

技術圖例

這些圖例是這些文章中參考圖例的複本。 下載並自定義您自己的組織和客戶。 將 Contoso 標誌取代為您自己的標誌。

項目 說明
縮圖圖片 1下載 Visio
更新日期:2024年10月
將 零信任 原則套用至 Azure IaaS
搭配下列文章使用這些圖例:
- 概觀
- Azure 儲存體
- 虛擬機器
- Azure 輪輻虛擬網路
- Azure 中樞虛擬網路
縮圖圖片 2下載 Visio
更新日期:2024年10月
將 零信任 原則套用至 Azure IaaS — 一頁海報
將 零信任 原則套用至 Azure IaaS 環境之程式的單頁概觀。

如需其他技術圖例,請參閱適用於IT架構設計人員和實作者的 零信任圖例。

以下是建議用於 零信任 的訓練模組。

Azure 管理和治理

訓練 描述 Azure 管理與治理
Microsoft Azure 基本概念訓練是由三個學習路徑所組成:Microsoft Azure 基本概念:描述雲端概念、描述 Azure 架構和服務,以及描述 Azure 管理和治理。 Microsoft Azure 基本概念:描述 Azure 管理和治理是 Microsoft Azure 基本概念中的第三個學習路徑。 此學習路徑探索可協助您管理雲端與內部部署資源的管理與治理資源。
此學習路徑可協助您準備 測驗 AZ-900:Microsoft Azure 基本概念。

設定 Azure 原則

訓練 設定 Azure 原則
學習如何設定 Azure 原則以實作合規性需求。
在本課程模組中,您將瞭解如何:
  • 建立管理群組,以便設定原則與消費預算的目標。
  • 使用原則與計畫定義來實作 Azure 原則。
  • 為 Azure 原則界定範圍並判斷合規性。
  • 管理安全性作業

    訓練 管理安全性作業
    部署和保護 Azure 環境之後,請了解如何監視、操作及持續改善解決方案的安全性。
    此學習路徑可協助您準備 測驗 AZ-500:Microsoft Azure 安全性技術

    設定儲存體安全性

    訓練 設定記憶體安全性
    了解如何設定常見的 Azure 儲存體安全性功能,例如儲存體存取簽章。
    在本課程模組中,您將了解如何:
  • 設定共用存取簽章 (SAS),包括統一資源識別項 (URI) 和 SAS 參數。
  • 設定 Azure 儲存體加密。
  • 實作客戶自控金鑰。
  • 建議提高 Azure 儲存體安全性的機會。
  • 設定 Azure 防火牆

    訓練 設定 Azure 防火牆
    您將了解如何設定 Azure 防火牆,包括防火牆規則。
    完成此課程模組後,您將能夠:
  • 判斷使用 Azure 防火牆的時機。
  • 實作 Azure 防火牆,包括防火牆規則。
  • 如需 Azure 中安全性的更多訓練,請參閱Microsoft目錄中的這些資源:
    Azure 中的安全性 |Microsoft Learn

    後續步驟

    請參閱下列其他文章,以將 零信任 原則套用至 Azure:

    請參閱下列其他文章,以將 零信任 原則套用至 Azure 網路功能:

    參考資料

    請參閱下列連結,以瞭解本文所述的各種服務和技術。