Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u workloadarchitecturen ontwerpt, moet u branchepatronen gebruiken die veelvoorkomende uitdagingen aanpakken. Patronen kunnen u helpen opzettelijke afwegingen te maken binnen workloads en te optimaliseren voor uw gewenste resultaat. Ze kunnen ook helpen bij het beperken van risico's die afkomstig zijn van specifieke problemen, die van invloed kunnen zijn op betrouwbaarheid, prestaties, kosten en bewerkingen. Deze risico's kunnen wijzen op een gebrek aan beveiligingsgaranties, als ze onbeheerd blijven, kunnen aanzienlijke risico's voor het bedrijf vormen. Deze patronen worden ondersteund door echte ervaring, zijn ontworpen voor cloudschaal- en operationele modellen en zijn inherent leverancierneutraal. Het gebruik van bekende patronen als een manier om uw workloadontwerp te standaardiseren, is een onderdeel van operationele uitmuntendheid.
Veel ontwerppatronen ondersteunen rechtstreeks een of meer architectuurpijlers. Ontwerppatronen die ondersteuning bieden voor de beveiligingspijler geven prioriteit aan concepten zoals segmentatie en isolatie, sterke autorisatie, uniforme toepassingsbeveiliging en moderne protocollen.
De volgende tabel bevat een overzicht van architectuurontwerppatronen die de doelstellingen van beveiliging ondersteunen.
| Patroon | Samenvatting |
|---|---|
| Ambassadeur | Hiermee wordt netwerkcommunicatie ingekapseld en beheerd door cross-cutting taken te offloaden die betrekking hebben op netwerkcommunicatie. De resulterende helperservices initiëren communicatie namens de client. Dit bemiddelingspunt biedt een mogelijkheid om de beveiliging van netwerkcommunicatie te verbeteren. |
| Back-ends voor front-ends | Individualiseert de servicelaag van een workload door afzonderlijke services te maken die exclusief zijn voor een specifieke front-endinterface. Vanwege deze scheiding kunnen de beveiliging en autorisatie in de servicelaag die ondersteuning biedt voor één client worden afgestemd op de functionaliteit die door die client wordt geboden, waardoor het oppervlak van een API en laterale verplaatsing tussen verschillende back-ends mogelijk verschillende mogelijkheden wordt verminderd. |
| Schot | Introduceert opzettelijke en volledige segmentatie tussen onderdelen om de straalstraal van storingen te isoleren. U kunt deze strategie ook gebruiken om beveiligingsincidenten te bevatten voor het gecompromitteerde schot. |
| Claimcontrole | Scheidt gegevens van de berichtenstroom en biedt een manier om de gegevens met betrekking tot een bericht afzonderlijk op te halen. Dit patroon ondersteunt het behouden van gevoelige gegevens uit berichtteksten, in plaats daarvan het beheren ervan in een beveiligd gegevensarchief. Met deze configuratie kunt u strengere autorisatie instellen ter ondersteuning van de toegang tot gevoelige gegevens van services die naar verwachting de gegevens gebruiken, maar zichtbaarheid verwijderen uit ondersteunende services, zoals wachtrijbewakingsoplossingen. |
| Federatieve identiteit | Hiermee wordt een vertrouwensrelatie gedelegeerd aan een id-provider die zich buiten de werkbelasting voor het beheren van gebruikers en verificatie biedt voor uw toepassing. Door gebruikersbeheer en verificatie te externaliseren, kunt u ontwikkelmogelijkheden krijgen voor detectie en preventie van bedreigingen op basis van identiteiten zonder dat u deze mogelijkheden in uw workload hoeft te implementeren. Externe id-providers gebruiken moderne interoperabele verificatieprotocollen. |
| Portier | Offloads aanvraagverwerking die specifiek is bedoeld voor afdwinging van beveiliging en toegangsbeheer voor en na het doorsturen van de aanvraag naar een back-endknooppunt. Door een gateway toe te voegen aan de aanvraagstroom, kunt u de beveiligingsfunctionaliteit, zoals webtoepassingsfirewalls, DDoS-beveiliging, botdetectie, aanvraagbewerking, verificatieinitiatie en autorisatiecontroles centraliseren. |
| Gatewayaggregatie | Vereenvoudigt clientinteracties met uw workload door aanroepen naar meerdere back-endservices in één aanvraag samen te voegen. Deze topologie vermindert vaak het aantal aanraakpunten dat een client heeft met een systeem, waardoor het openbare oppervlak en de verificatiepunten worden verminderd. De geaggregeerde back-ends kunnen volledig geïsoleerd blijven van clients. |
| Offloading van gateway | Offload aanvraagverwerking naar een gatewayapparaat voor en na het doorsturen van de aanvraag naar een back-endknooppunt. Door een gateway toe te voegen aan de aanvraagstroom, kunt u de beveiligingsfunctionaliteit, zoals firewalls van webtoepassingen en TLS-verbindingen met clients, centraliseren. Elke offloaded functionaliteit die door het platform wordt geleverd, biedt al verbeterde beveiliging. |
| Uitgever/abonnee | Koppelt onderdelen in een architectuur los door directe client-naar-service-communicatie te vervangen door communicatie via een tussenliggende berichtenbroker of event bus. Deze vervanging introduceert een belangrijke beveiligingssegmentatiegrens waarmee wachtrijabonnees netwerk-geïsoleerd van de uitgever kunnen zijn. |
| Quarantaine | Zorgt ervoor dat externe assets voldoen aan een door het team overeengekomen kwaliteitsniveau voordat ze in de workload kunnen worden gebruikt. Deze controle fungeert als eerste beveiligingsvalidatie van externe artefacten. De validatie van een artefact wordt uitgevoerd in een gesegmenteerde omgeving voordat deze wordt gebruikt binnen de SDL (Secure Development Lifecycle). |
| Zijspan | Breidt de functionaliteit van een toepassing uit door niet-primaire of kruislingse taken in te kapselen in een secundair proces dat naast de hoofdtoepassing bestaat. Door deze taken in te kapselen en deze buiten het proces te implementeren, kunt u het oppervlak van gevoelige processen beperken tot alleen de code die nodig is om de taak uit te voeren. U kunt sidecars ook gebruiken om kruislingse beveiligingsmaatregelen toe te voegen aan een toepassingsonderdeel dat niet systeemeigen is ontworpen met die functionaliteit. |
| Snelheidsbeperking | Hiermee worden limieten opgelegd voor de snelheid of doorvoer van binnenkomende aanvragen voor een resource of onderdeel. U kunt de limieten ontwerpen om resourceuitputting te voorkomen die kan leiden tot geautomatiseerd misbruik van het systeem. |
| Valetsleutel | Hiermee verleent u beperkte toegang tot een resource zonder een tussenliggende resource te gebruiken om de toegang te proxyn. Met dit patroon kan een client rechtstreeks toegang krijgen tot een resource zonder dat er langdurige of permanente referenties nodig zijn. Alle toegangsaanvragen beginnen met een controleerbare transactie. De verleende toegang wordt vervolgens beperkt in zowel het bereik als de duur. Dit patroon maakt het ook gemakkelijker om de verleende toegang in te trekken. |
Volgende stappen
Bekijk de ontwerppatronen voor architectuur die ondersteuning bieden voor de andere pijlers van Azure Well-Architected Framework: