Udostępnij przez

Przygotowywanie bezpiecznego majątku w chmurze

W fazie Gotowości do wdrożenia chmury koncentrujesz się na tworzeniu podstaw majątku. Podejście Microsoft Azure landing zone zapewnia przedsiębiorstwom i dużym organizacjom bezpieczniejsze, skalowalne, modułowe wzorce projektowe, które mogą być wykorzystywane podczas implementacji ich zasobów. Mniejsze organizacje i startupy mogą nie potrzebować poziomu organizacji, który zapewnia podejście strefy docelowej, ale zrozumienie filozofii strefy docelowej może pomóc każdej organizacji strategizować podstawowy projekt i uzyskać wysoki stopień bezpieczeństwa i skalowalności.

Po zdefiniowaniu strategii i planu wdrażania chmury możesz rozpocząć fazę implementacji, projektując podstawy. Skorzystaj z rekomendacji w tym przewodniku, aby upewnić się, że priorytet zabezpieczeń jest priorytetem projektu i implementacji.

Diagram przedstawiający metodologie związane z wdrażaniem chmury. Diagram zawiera pola dla każdej fazy: zespoły i role, strategia, planowanie, gotowość, wdrażanie, zarządzanie i zarządzanie. Pole dla tego artykułu zostało wyróżnione.

Ten artykuł jest przewodnikiem pomocniczym dla metodologii Ready. Opisuje on obszary optymalizacji zabezpieczeń, które należy wziąć pod uwagę podczas przechodzenia przez ten etap w podróży.

Modernizacja stanu zabezpieczeń

Pierwsze kroki implementacji w modernizacji stanu zabezpieczeń to tworzenie strefy docelowej lub podstawy chmury oraz tworzenie lub modernizowanie tożsamości, autoryzacji i platformy dostępu.

  • Przyjęcie podejścia strefy docelowej: Przyjęcie podejścia do strefy docelowej lub uwzględnienie zasad projektowania podejścia strefy docelowej w zakresie praktycznym dla danego przypadku użycia umożliwia rozpoczęcie implementacji w zoptymalizowany sposób. W miarę rozwoju majątku w chmurze utrzymanie różnych domen majątku oddzielone pomaga zapewnić bezpieczeństwo całego majątku i zarządzanie nim.

    • Jeśli nie planujesz przyjęcia pełnego rozwiązania chmurowego dla przedsiębiorstw, wciąż musisz poznać obszary projektowe i zastosować wskazówki istotne dla twojej infrastruktury chmurowej. Należy zastanowić się nad wszystkimi tymi obszarami projektowymi i zaimplementować kontrolki specyficzne dla każdego obszaru, bez względu na sposób tworzenia architektury fundamentu. Na przykład użycie grup zarządzania może pomóc w zarządzaniu infrastrukturą chmury, nawet jeśli składa się tylko z kilku subskrypcji.

Twórz bezpieczne, skalowalne strefy docelowe, które zapewniają kontrolowane środowiska do wdrażania zasobów w chmurze. Te strefy ułatwiają zapewnienie, że zasady zabezpieczeń są stale stosowane i że zasoby są segregowane zgodnie z ich wymaganiami dotyczącymi zabezpieczeń. Szczegółowe wskazówki dotyczące tego tematu można znaleźć w obszarze projektowania zabezpieczeń .

  • Nowoczesna tożsamość, autoryzacja i dostęp: Na podstawie zasad Zero Trust, nowoczesne podejście do tożsamości, autoryzacji i dostępu przechodzi z zaufania domyślnego na zaufanie w wyjątkowych przypadkach. Wynika to z tych zasad, że użytkownicy, urządzenia, systemy i aplikacje powinny mieć dostęp tylko do wymaganych zasobów i tylko tak długo, jak to konieczne do spełnienia ich potrzeb. Te same wskazówki dotyczą podstawowych elementów majątku: ściśle kontrolować uprawnienia do subskrypcji, zasobów sieciowych, rozwiązań ładu, platformy zarządzania tożsamościami i dostępem (IAM) oraz dzierżaw, postępując zgodnie z tymi samymi zaleceniami dotyczącymi uruchomionych obciążeń. Szczegółowe wskazówki dotyczące tego tematu można znaleźć w obszarze projektowania zarządzania tożsamościami i dostępem .

Ułatwienia platformy Azure

  • Akceleratory strefy docelowej platformy Azure: Microsoft oferuje kilka akceleratorów stref docelowych, które są wstępnie skonfigurowane jako wdrożenia określonego typu obciążenia, które można łatwo wdrożyć w strefie docelowej, aby szybko rozpocząć pracę. Obejmują one akceleratory usług Azure Integration Services, Azure Kubernetes Service (AKS),Azure API Management i inne. Zobacz sekcję Scenariusz nowoczesnej platformy aplikacji w dokumentacji przewodnika Cloud Adoption Framework dla platformy Azure, aby zapoznać się z pełną listą akceleratorów i innych tematów związanych z nowoczesnymi zagadnieniami dotyczącymi aplikacji.

  • Moduł Terraform stref docelowych platformy Azure: Wdrożenia strefy docelowej można zoptymalizować przy użyciu automatyzacji przy użyciu modułu Terraform stref docelowych platformy Azure. Korzystając z potoku ciągłej integracji i ciągłego wdrażania (CI/CD) w celu wdrożenia stref docelowych, możesz upewnić się, że wszystkie strefy docelowe są wdrażane identycznie, ze wszystkimi mechanizmami zabezpieczeń.

  • Microsoft Entra:Microsoft Entra to rodzina produktów do obsługi tożsamości i dostępu do sieci. Umożliwia organizacjom zaimplementowanie strategii zabezpieczeń Zero Trust i utworzenie sieci szkieletowej zaufania , która weryfikuje tożsamości, weryfikuje warunki dostępu, sprawdza uprawnienia, szyfruje kanały połączeń i monitoruje pod kątem naruszenia zabezpieczeń.

Przygotowanie do gotowości i reagowania na zdarzenia

Po zdefiniowaniu strategii i opracowaniu planu przygotowania i reagowania na zdarzenia możesz rozpocząć implementację. Niezależnie od tego, czy projekt pełnej strefy docelowej przedsiębiorstwa, czy mniejszy projekt podstawowy, segregacja sieci ma kluczowe znaczenie dla utrzymania wysokiego poziomu zabezpieczeń.

Segmentacja sieci: Zaprojektuj architekturę sieci z odpowiednią segmentacją i izolacją, aby zminimalizować powierzchnie ataków i zawierać potencjalne naruszenia. Użyj technik, takich jak wirtualne chmury prywatne ,podsieci i grupy zabezpieczeń, aby zarządzać ruchem i kontrolować go. Szczegółowe wskazówki dotyczące tego tematu można znaleźć w artykule Planowanie segmentacji sieci . Zapoznaj się z pozostałymi przewodnikami zabezpieczeń sieci strefy docelowej platformy Azure. Wskazówki obejmują zalecenia dotyczące łączności przychodzącej i wychodzącej, szyfrowania sieci i inspekcji ruchu.

Ułatwienia platformy Azure

  • Azure Virtual WAN:AzureVirtual WAN to usługa sieciowa, która konsoliduje wiele funkcji sieci, zabezpieczeń i routingu w celu zapewnienia jednego interfejsu operacyjnego. Projekt jest architekturą piasty i szprych, która ma skalowalność i wydajność wbudowaną w gałęzie (urządzenia VPN/SD-WAN), użytkowników (klientów azure VPN/OpenVPN/IKEv2), obwodów usługi Azure ExpressRoute i sieci wirtualnych. Podczas implementowania stref docelowych usługa Azure Virtual WAN może pomóc w optymalizacji sieci za pomocą segmentacji i mechanizmów zabezpieczeń.

Przygotowanie do zachowania poufności

W fazie Gotowości przygotowanie obciążeń z punktu widzenia poufności jest procesem zapewnienia, że zasady i standardy zarządzania dostępem i tożsamościami są implementowane i wymuszane. To przygotowanie gwarantuje, że podczas wdrażania obciążeń dane będą domyślnie zabezpieczone. Pamiętaj, aby mieć dobrze zarządzane zasady i standardy dla:

  • Zasada najniższych uprawnień. Udziel użytkownikom minimalnego dostępu wymaganego do wykonywania swoich zadań.

  • Kontrola dostępu na podstawie ról (RBAC). Przypisz role i uprawnienia na podstawie obowiązków związanych z zadaniami. Ułatwia to efektywne zarządzanie dostępem i zmniejsza ryzyko nieautoryzowanego dostępu.

  • Uwierzytelnianie wieloskładnikowe (MFA). Zaimplementuj uwierzytelnianie wieloskładnikowe, aby dodać dodatkową warstwę zabezpieczeń.

  • Kontrola dostępu warunkowego. Mechanizmy kontroli dostępu warunkowego zapewniają dodatkowe zabezpieczenia, wymuszając zasady na podstawie określonych warunków. Zasady mogą obejmować wymuszanie uwierzytelniania wieloskładnikowego, blokowanie dostępu na podstawie lokalizacji geograficznej i wiele innych scenariuszy. Po wybraniu platformy IAM upewnij się, że dostęp warunkowy jest obsługiwany i że implementacja spełnia Twoje wymagania.

Ułatwienia platformy Azure

Przygotowanie do integralności

Podobnie jak w przypadku przygotowań do poufności, upewnij się, że masz dobrze zarządzane zasady i standardy dotyczące danych i integralności systemu, aby domyślnie wdrażać obciążenia z ulepszonymi zabezpieczeniami. Zdefiniuj zasady i standardy dla następujących obszarów.

Rozwiązania dotyczące zarządzania danymi

  • Klasyfikacja danych: Utwórz strukturę klasyfikacji danych i taksonomię etykiet poufności, która definiuje kategorie wysokiego poziomu ryzyka zabezpieczeń danych. Użyjesz tej taksonomii, aby uprościć wszystko, od spisu danych lub szczegółowych informacji o aktywności, po zarządzanie zasadami, po priorytetyzację badania. Aby uzyskać szczegółowe wskazówki dotyczące tego tematu, zobacz Tworzenie dobrze zaprojektowanej struktury klasyfikacji danych .

  • Weryfikacja i walidacja danych: Zainwestuj w narzędzia, które automatyzuje weryfikację i walidację danych, aby zmniejszyć obciążenie inżynierów danych i administratorów oraz zmniejszyć ryzyko błędu ludzkiego.

  • Zasady tworzenia kopii zapasowych: Kodyfikuj zasady tworzenia kopii zapasowych, aby zapewnić regularne tworzenie kopii zapasowych wszystkich danych. Regularnie testuj kopie zapasowe i przywracanie, aby upewnić się, że kopie zapasowe kończą się powodzeniem i czy dane są poprawne i spójne. Dopasuj te zasady do celów celu czasu odzyskiwania (RTO) organizacji i celu punktu odzyskiwania (RPO).

  • Silne szyfrowanie: Upewnij się, że dostawca usług w chmurze domyślnie szyfruje dane magazynowane i przesyłane. Na platformie Azure dane są szyfrowane na końcu. Aby uzyskać szczegółowe informacje, zobacz Centrum zaufania firmy Microsoft . W przypadku usług używanych w obciążeniach upewnij się, że silne szyfrowanie jest obsługiwane i odpowiednio skonfigurowane pod kątem spełnienia wymagań biznesowych.

Wzorce projektowe integralności systemu

  • Monitorowanie zabezpieczeń: Aby wykryć nieautoryzowane zmiany w systemach w chmurze, należy zaprojektować niezawodną platformę monitorowania zabezpieczeń w ramach ogólnej strategii monitorowania i obserwacji. Aby uzyskać szczegółowe i ogólne wskazówki, zobacz sekcję monitorowania metodologii zarządzania. Aby uzyskać zalecenia dotyczące monitorowania zabezpieczeń, zobacz przewodnik Zero Trust dotyczący widoczności, automatyzacji i orkiestracji.

    • SIEM i wykrywanie zagrożeń: Użyj narzędzi do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz narzędzi do orkiestracji, automatyzacji i reagowania na zagrożenia (SOAR), aby wykrywać podejrzane działania i potencjalne zagrożenia dla infrastruktury.

  • Automatyczne zarządzanie konfiguracją: Ustrukturyzuj korzystanie z narzędzi do automatyzacji zarządzania konfiguracją. Automatyzacja pomaga zagwarantować, że wszystkie konfiguracje systemu są spójne, wolne od błędu ludzkiego i wymuszane automatycznie.

  • Automatyczne zarządzanie poprawkami: Ustanów zastosowanie narzędzi do zarządzania i regulowania aktualizacjami maszyn wirtualnych. Automatyczne stosowanie poprawek pomaga zagwarantować, że wszystkie systemy są regularnie poprawiane i że wersje systemowe są spójne.

  • Wdrożenia zautomatyzowanej infrastruktury: Kodyfikuj użycie infrastruktury jako kodu (IaC) dla wszystkich wdrożeń. Wdróż IaC w ramach potoków ciągłej integracji/ciągłego wdrażania. Zastosuj te same bezpieczne praktyki wdrażania dla wdrożeń IaC, co w przypadku wdrożeń oprogramowania.

Ułatwienia platformy Azure

  • Usługi Azure Policy i Microsoft Defender for Cloud współpracują ze sobą, aby ułatwić definiowanie i wymuszanie zasad zabezpieczeń w infrastrukturze chmury. Oba rozwiązania obsługują zarządzanie podstawowymi elementami i zasobami obciążenia.

  • Usługa Azure Update Manager to natywne rozwiązanie do zarządzania aktualizacjami i poprawkami na platformie Azure. Można ją rozszerzyć na systemy lokalne i systemy z obsługą usługi Arc.

  • Microsoft Sentinel to rozwiązanie Microsoft SIEM i SOAR. Zapewnia wykrywanie cyberataków, badanie i reagowanie, proaktywne wyszukiwanie zagrożeń oraz kompleksowy widok w całym przedsiębiorstwie.

Przygotowanie do dostępności

Projektowanie obciążeń pod kątem niezawodności pomaga zapewnić, że twoja firma może wytrzymać awarie i incydenty bezpieczeństwa, a operacje mogą być kontynuowane, gdy rozwiązywane są problemy z dotkniętymi systemami. Poniższe zalecenia, które są zgodne z zasadami przewodnika Cloud Adoption Framework, mogą pomóc w projektowaniu niezawodnych obciążeń:

  • Projektowanie pod kątem niezawodności. Wdrażanie wzorców projektowych aplikacji, które zwiększają odporność zarówno na zdarzenia infrastruktury, jak i niezwiązane z infrastrukturą, zgodnie z szerszymi zasadami przewodnika Cloud Adoption Framework. Ustandaryzuj projekty, które zawierają mechanizmy samonaprawiania i samokonserwacji, aby utrzymać działanie w przypadku błędów. Połącz te wzorce z mechanizmami odzyskiwania, aby szybko przywrócić normalne operacje po przerwie. Aby uzyskać szczegółowe wskazówki dotyczące wzorców projektowania niezawodności, zobacz filar niezawodności platformy Well-Architected Framework.

  • Wdrażanie architektury bezserwerowej. Używaj technologii bezserwerowych, w tym platformy jako usługi (PaaS), oprogramowania jako usługi (SaaS) i funkcji jako usługi (FaaS), aby zmniejszyć nakład pracy związany z zarządzaniem serwerem, automatycznie skalować zapotrzebowanie i zwiększyć dostępność. Takie podejście obsługuje przewodnik Cloud Adoption Framework z naciskiem na modernizację obciążeń i optymalizowanie wydajności operacyjnej.

  • Użyj mikrousług i konteneryzacji. Zaimplementuj mikrousługi i konteneryzację, aby uniknąć monolitycznych aplikacji, dzieląc je na mniejsze, niezależne usługi, które można wdrażać i skalować niezależnie. Takie podejście jest zgodne z zasadami przewodnika Cloud Adoption Framework dotyczącymi elastyczności i skalowalności w środowiskach chmury.

  • Rozdziel usługi. Strategicznie odizolować usługi od siebie, aby zmniejszyć promień wybuchu zdarzeń. Ta strategia pomaga zapewnić, że awarie w jednym składniku nie wpływają na cały system. Obsługuje ona model zapewniania ładu w przewodniku Cloud Adoption Framework, promując niezawodne granice usług i odporność operacyjną.

  • Włącz automatyczne skalowanie. Upewnij się, że architektura aplikacji obsługuje automatyczne skalowanie w celu obsługi różnych obciążeń, dzięki czemu może zachować dostępność podczas skoków ruchu. Ta praktyka jest zgodna ze wskazówkami przewodnika Cloud Adoption Framework dotyczącymi tworzenia skalowalnych i dynamicznych środowisk w chmurze oraz ułatwia zarządzanie kosztami i przewidywalność.

  • Zaimplementuj izolację błędów. Zaprojektuj aplikację w celu odizolowania niepowodzeń poszczególnych zadań lub funkcji. Może to pomóc w zapobieganiu powszechnym awariom i poprawić odporność. Takie podejście obsługuje przewodnik Cloud Adoption Framework koncentruje się na tworzeniu niezawodnych i odpornych na błędy systemów.

  • Zapewnianie wysokiej dostępności. Włączenie wbudowanych mechanizmów nadmiarowości i odzyskiwania po awarii w celu utrzymania ciągłej pracy. Takie podejście obsługuje najlepsze rozwiązania w przewodniku Cloud Adoption Framework dotyczące wysokiej dostępności i planowania ciągłości działania.

  • Planowanie automatycznego przejścia w tryb failover. Wdrażanie aplikacji w wielu regionach w celu obsługi bezproblemowego przejścia w tryb failover i nieprzerwanej usługi. Takie podejście jest zgodne ze strategią przewodnika Cloud Adoption Framework na potrzeby nadmiarowości geograficznej i odzyskiwania po awarii.

Przygotowanie do utrzymania zabezpieczeń

W fazie Gotowości przygotowanie do długoterminowego utrzymania zabezpieczeń obejmuje zapewnienie, że podstawowe elementy majątku są zgodne z najlepszymi rozwiązaniami w zakresie zabezpieczeń dla początkowych obciążeń, ale są również skalowalne. Dzięki temu można mieć pewność, że wraz ze wzrostem i rozwojem majątku bezpieczeństwo nie zostanie naruszone, a zarządzanie zabezpieczeniami nie stanie się zbyt skomplikowane i uciążliwe. To z kolei pomaga uniknąć niezatwierdzonych zachowań IT. W tym celu w fazie Gotowe zastanów się, jak cele biznesowe dla dłuższego okresu mogą być realizowane bez większych przeprojektowania architektury lub głównych zmian w praktykach operacyjnych. Nawet jeśli zdecydujesz się ustanowić znacznie prostszą podstawę niż projekt strefy docelowej, upewnij się, że możesz przenieść podstawowy projekt do architektury przedsiębiorstwa bez konieczności ponownego wdrażania głównych elementów majątku, takich jak sieci i obciążenia krytyczne. Tworzenie projektu, który może rosnąć wraz ze wzrostem majątku, ale nadal pozostaje bezpieczny, ma kluczowe znaczenie dla sukcesu podróży w chmurze.

Aby uzyskać zalecenia dotyczące przenoszenia istniejącego środowiska platformy Azure do architektury strefy lądowania, zobacz Przenoszenie istniejącego środowiska platformy Azure do architektury referencyjnej strefy lądowania platformy Azure.

Następny krok

Wdrażanie chmury przy użyciu zwiększonych zabezpieczeń

  • Last updated on