Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zero Trust to strategia zabezpieczeń, która zakłada naruszenie i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanych sieci. W tym artykule wyjaśniono, jak zastosować zasady Zero Trust do infrastruktury i usług platformy Microsoft Azure.
Aby uzyskać kompleksowe informacje na temat modelu zabezpieczeń Zero Trust i jego aplikacji w produktach firmy Microsoft, zobacz Co to jest zero trust?.
Zasady zerowego zaufania dla platformy Azure
Obecnie organizacje potrzebują modelu zabezpieczeń, który skutecznie dostosowuje się do złożoności nowoczesnego środowiska, obejmuje pracowników mobilnych i chroni ludzi, urządzenia, aplikacje i dane wszędzie tam, gdzie się znajdują.
Model zabezpieczeń Zero Trust opiera się na trzech wytycznych:
- Weryfikowanie jawnie — zawsze uwierzytelniaj i autoryzuj na podstawie wszystkich dostępnych punktów danych, w tym tożsamości użytkownika, lokalizacji, kondycji urządzenia i usługi lub obciążenia.
- Użyj dostępu z najniższymi uprawnieniami — ogranicz dostęp użytkowników za pomocą zasad just-In-Time i just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.
- Zasada zakładanego naruszenia — zminimalizuj promień wybuchu i segmentuj dostęp. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.
Stosowanie zasad do obciążeń platformy Azure
Podczas implementowania usługi Zero Trust na platformie Azure te zasady przekładają się na określone wzorce architektury:
Sprawdź jawnie oznacza, że każde żądanie dostępu do zasobów platformy Azure musi być uwierzytelnione i autoryzowane przy użyciu identyfikatora Entra firmy Microsoft, a zasady dostępu warunkowego oceniają ryzyko na podstawie wielu sygnałów, w tym użytkownika, urządzenia, lokalizacji i kontekstu obciążenia.
Zastosowanie zasady najmniejszych uprawnień wymaga użycia kontroli dostępu opartej na rolach (RBAC) z minimalnymi uprawnieniami, dostępu just-in-time (JIT) do operacji administracyjnych oraz tożsamości zarządzanych zamiast przechowywania poświadczeń.
Założenie naruszenia powoduje segmentację sieci, aby ograniczyć ruch lateralny; zastosowanie szyfrowania danych w spoczynku i w ruchu; ciągłe monitorowanie i wykrywanie zagrożeń; oraz niezmienne kopie zapasowe chroniące przed destrukcyjnymi atakami.
Architektura Zero Trust na platformie Azure
Podejście Zero Trust rozciąga się w całej infrastrukturze cyfrowej i służy jako zintegrowana filozofia zabezpieczeń i kompleksowa strategia. W przypadku zastosowania do platformy Azure wymaga wielodyscyplinarnego podejścia, które systematycznie zajmuje się infrastrukturą, siecią, tożsamością i ochroną danych.
Ta ilustracja przedstawia reprezentację podstawowych elementów, które współtworzą Zero Trust.
Na ilustracji:
- Wymuszanie zasad zabezpieczeń znajduje się w centrum architektury Zero Trust. Obejmuje to uwierzytelnianie wieloskładnikowe z dostępem warunkowym, które uwzględnia ryzyko konta użytkownika, stan urządzenia oraz inne ustawione kryteria i zasady.
- Tożsamości, urządzenia (nazywane również punktami końcowymi), dane, aplikacje, sieć i inne składniki infrastruktury są konfigurowane z odpowiednimi zabezpieczeniami. Zasady skonfigurowane dla każdego z tych składników są koordynowane z ogólną strategią Zero Trust.
- Ochrona przed zagrożeniami i analiza monitoruje środowisko, przedstawia bieżące zagrożenia i podejmuje zautomatyzowane działania w celu skorygowania ataków.
Od modelu opartego na obwodzie do modelu Zero Trust
Tradycyjne podejście kontroli dostępu do it opiera się na ograniczeniu dostępu do obwodu sieci firmowej. Ten model ogranicza wszystkie zasoby do połączenia sieciowego należącego do firmy i stał się zbyt restrykcyjny, aby zaspokoić potrzeby dynamicznego przedsiębiorstwa.
W środowiskach platformy Azure przejście na zero trust jest szczególnie ważne, ponieważ zasoby w chmurze istnieją poza tradycyjnymi obwodami sieci. Organizacje muszą przyjąć podejście Zero Trust do kontroli dostępu, ponieważ korzystają z pracy zdalnej i używają technologii chmury do przekształcania modelu biznesowego.
Zasady zero trust pomagają w ustanowieniu i ciągłym ulepszaniu gwarancji zabezpieczeń przy zachowaniu elastyczności wymaganej w nowoczesnych środowiskach chmurowych. Większość podróży Zero Trust zaczyna się od kontroli dostępu i koncentruje się na tożsamości jako preferowanym i podstawowym mechanizmie kontroli. Technologia zabezpieczeń sieci pozostaje kluczowym elementem, ale nie jest to podejście dominujące w pełnej strategii kontroli dostępu.
Aby uzyskać więcej informacji na temat transformacji Zero Trust kontroli dostępu na platformie Azure, zobacz Kontrola dostępu w przewodniku Cloud Adoption Framework.
Implementowanie zera zaufania dla infrastruktury platformy Azure
Zastosowanie modelu Zero Trust do platformy Azure wymaga metodycznego podejścia, które dotyczy różnych warstw infrastruktury, od podstawowych elementów po kompletne obciążenia.
Składniki IaaS i infrastruktury platformy Azure
Rozwiązanie Zero Trust dla usługi Azure IaaS dotyczy kompletnego stosu infrastruktury: usługi przechowywania z mechanizmami szyfrowania i kontrolami dostępu, maszyn wirtualnych z zaufanym uruchomieniem i szyfrowaniem dysków, sieci typu szprycha z mikrosegmentacją, sieci typu koncentrator ze scentralizowanymi usługami zabezpieczeń oraz integracją PaaS za pomocą prywatnych punktów końcowych. Aby uzyskać szczegółowe wskazówki, zobacz Apply Zero Trust principles to Azure IaaS overview (Stosowanie zasad zero trustu do usługi Azure IaaS — omówienie).
Sieć platformy Azure
Zabezpieczenia sieci koncentrują się na czterech kluczowych obszarach: szyfrowanie całego ruchu sieciowego, segmentacja przy użyciu sieciowych grup zabezpieczeń i usługi Azure Firewall, widoczność przez monitorowanie ruchu i zaprzestanie starszych mechanizmów kontroli opartych na sieci VPN na rzecz podejścia skoncentrowanego na tożsamościach. Aby uzyskać szczegółowe wskazówki, zobacz Stosowanie zasad Zero Trust do sieci platformy Azure.
Tożsamość jako płaszczyzna sterowania
Tożsamość to podstawowa płaszczyzna sterowania platformy Zero Trust na platformie Azure. Dostęp warunkowy służy jako główny aparat zasad, oceniając żądania dostępu na podstawie wielu sygnałów w celu udzielenia, ograniczenia lub zablokowania dostępu. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy w kontekście Zero Trust i Omówienie zabezpieczeń zarządzania tożsamościami Azure.
Ochrona danych i zapewnianie dostępności
Ochrona danych na platformie Azure wymaga wielu warstw: szyfrowania danych nieaktywnych i w tranzycie, kontroli dostępu opartej na tożsamościach przy użyciu zarządzanych tożsamości i RBAC (kontrola dostępu oparta na rolach) oraz poufnego przetwarzania w przypadku wysoce poufnych obciążeń, aby chronić dane podczas przetwarzania. Odporność na ataki destrukcyjne wymaga blokad zasobów, niezmiennych kopii zapasowych, replikacji geograficznej i ochrony samej infrastruktury odzyskiwania. Aby uzyskać szczegółowe wskazówki, zobacz Ochrona zasobów platformy Azure przed destrukcyjnymi atakami cybernetycznymi.
Wykrywanie zagrożeń i reagowanie na nie
Zero Trust wymaga ciągłego monitorowania z założeniem, że zagrożenia mogą już być obecne. Usługa Microsoft Defender for Cloud zapewnia ujednolicone zarządzanie zabezpieczeniami i ochronę przed zagrożeniami dla zasobów platformy Azure, a integracja z usługą Microsoft Defender XDR umożliwia skorelowane wykrywanie w całym środowisku. Aby uzyskać szczegółowe informacje, zobacz Omówienie wykrywania zagrożeń platformy Azure oraz Usługi Microsoft Sentinel i Microsoft Defender XDR.
Wspólna odpowiedzialność i zabezpieczenia platformy Azure
Zabezpieczenia na platformie Azure to wspólna odpowiedzialność między firmą Microsoft a klientami. Firma Microsoft zabezpiecza infrastrukturę fizyczną i platformę Azure, a klienci są odpowiedzialni za tożsamość, dane i zabezpieczenia aplikacji, a dział różni się w zależności od modelu usług (IaaS, PaaS, SaaS). Zaimplementowanie modelu Zero Trust wymaga koordynowania mechanizmów kontroli na poziomie platformy przy użyciu opcji konfiguracji klienta. Aby uzyskać więcej informacji, zobacz Wspólna odpowiedzialność w chmurze.
Możliwości zabezpieczeń platformy Azure
Chociaż ten artykuł koncentruje się na koncepcyjnym zastosowaniu modelu Zero Trust na platformie Azure, ważne jest, aby zrozumieć zakres dostępnych funkcji zabezpieczeń. Platforma Azure oferuje kompleksowe usługi zabezpieczeń we wszystkich warstwach infrastruktury.
Aby zapoznać się z omówieniem możliwości zabezpieczeń platformy Azure zorganizowanych według obszaru funkcjonalnego, zobacz Wprowadzenie do zabezpieczeń platformy Azure. Aby zapoznać się z zabezpieczeniami platformy Azure zorganizowanymi przez funkcje ochrony, wykrywania i reagowania, zobacz Kompleksowe zabezpieczenia na platformie Azure.
Dodatkowe szczegółowe wskazówki są dostępne dla określonych domen:
- Tożsamość i dostęp - Omówienie zabezpieczeń zarządzania tożsamościami platformy Azure
- Zabezpieczenia - sieciOmówienie zabezpieczeń sieci platformy Azure
- Ochrona - danychOmówienie usługi Azure Encryption i zabezpieczenia usługi Azure Key Vault
- Zabezpieczenia - obliczenioweOmówienie zabezpieczeń usługi Azure Virtual Machines
- Zabezpieczenia - platformyOmówienie zabezpieczeń platformy Azure
- Wykrywanie - zagrożeńOmówienie wykrywania zagrożeń platformy Azure
- Zarządzanie i monitorowanie - Omówienie zarządzania zabezpieczeniami i monitorowania platformy Azure
Programowanie aplikacji i zero trust
Aplikacje wdrożone na platformie Azure muszą uwierzytelniać i autoryzować każde żądanie, a nie polegać na niejawnym zaufaniu z lokalizacji sieciowej. Kluczowe zasady obejmują używanie identyfikatora Entra firmy Microsoft do weryfikacji tożsamości, żądania minimalnych uprawnień, ochrony poufnych danych i używania tożsamości zarządzanych zamiast przechowywanych poświadczeń. Aby uzyskać kompleksowe wskazówki, zobacz Tworzenie przy użyciu zasad Zero Trust i Tworzenie aplikacji gotowych na Zero Trust przy użyciu platformy tożsamości Microsoft.
Dalsze kroki
Aby zaimplementować usługę Zero Trust w środowisku platformy Azure, zacznij od następujących zasobów:
- Omówienie stosowania zasad Zero Trust do usług platformy Azure — zacznij tutaj, aby uzyskać kompleksowy przegląd sposobu stosowania relacji Zero Trust w różnych typach usług platformy Azure
- Omówienie stosowania zasad zero trust do usługi Azure IaaS — szczegółowe wskazówki dotyczące obciążeń infrastruktury
- Stosowanie zasad zero trust do sieci platformy Azure — wskazówki dotyczące implementacji zabezpieczeń sieci
- Ochrona zasobów platformy Azure przed destrukcyjnymi atakami cybernetycznymi — planowanie odporności i odzyskiwania
- Co to jest zero trust? — Kompleksowe wskazówki dotyczące zerowego zaufania w produktach firmy Microsoft
W przypadku szerszych zasobów firmy Microsoft Zero Trust:
- Wskazówki dotyczące wdrażania z zerowym zaufaniem — cele wdrożenia specyficzne dla obszaru technologii
- Struktura wdrażania zero Trust — wskazówki dotyczące implementacji ukierunkowane na wyniki biznesowe
- Zero Trust for Microsoft 365 — Wskazówki dotyczące obciążeń SaaS i produktywności