Podsumowanie

  • 3 minut

W tym module przedstawiono sposób projektowania i implementowania kompleksowej strategii zabezpieczeń na potrzeby publicznego dostępu do zasobów platformy Azure w dzisiejszym zmieniającym się środowisku zagrożeń. Poznaliście, jak zastosować zasady obrony w głąb oraz modele zabezpieczeń Zero Trust. Te modele chronią aplikacje internetowe, interfejsy API i ruch sieciowy przed zaawansowanymi atakami przy zachowaniu wysokiej wydajności i dostępności.

Kluczowe wnioski

W tym module zdobyliśmy praktyczną wiedzę i umiejętności w kilku krytycznych obszarach zabezpieczeń:

Transport Layer Security (TLS): Przedstawiono sposób konfigurowania nowoczesnych protokołów TLS (TLS 1.2 i TLS 1.3) dla usług Azure App Service i API Management w celu szyfrowania danych przesyłanych. Przedstawiono sposób wymuszania połączeń tylko https, zarządzania certyfikatami przy użyciu usługi Azure Key Vault oraz implementowania kompleksowego protokołu TLS w celu ochrony poufnych danych przed przechwytywaniem i manipulowaniem.

Azure Firewall: odkryliśmy, jak wdrożyć usługę Azure Firewall i zarządzać nią przy użyciu usługi Azure Firewall Manager i zasad zapory w celu ochrony ruchu sieciowego. Nauczyłeś się o trzech SKU (Standard, Premium i Basic) oraz o sposobie implementowania scentralizowanego zarządzania zasadami zabezpieczeń w wielu zabezpieczonych koncentratorach wirtualnych i wirtualnych sieciach koncentratora.

Azure Application Gateway: przedstawiono sposób działania usługi Application Gateway jako modułu równoważenia obciążenia warstwy 7 z zaawansowanymi możliwościami routingu. Przedstawiono sposób konfigurowania odbiorników, reguł routingu, pul zaplecza i sond kondycji w celu zoptymalizowania dostarczania, skalowalności i zabezpieczeń aplikacji internetowych. Poznaliśmy również koligację opartą na plikach cookie, opróżnianie połączeń i routing oparty na ścieżkach na potrzeby zaawansowanego zarządzania ruchem.

Zapora aplikacji internetowej (WAF): wiesz już, jak chronić aplikacje internetowe przed typowymi programami wykorzystującymi luki w zabezpieczeniach, w tym wstrzyknięciem kodu SQL, wykonywaniem skryptów między witrynami i atakami OWASP Top 10. Przedstawiono podstawowe reguły zestawu reguł (CRS) 3.2, niestandardowe reguły dotyczące wymagań specyficznych dla aplikacji, możliwości ochrony botów oraz różnice między trybami wykrywania i zapobiegania. Zbadano również ocenianie anomalii w celu dostosowania ochrony przed zaawansowanymi atakami.

Azure Front Door: wiesz już, jak wdrożyć usługę Azure Front Door w celu dostarczania zawartości globalnej z małymi opóźnieniami i wysoką dostępnością przy użyciu rozległej sieci brzegowej firmy Microsoft. Przedstawiono sposób stosowania inteligentnych funkcji routingu, buforowania i przyspieszania usługi Front Door. Dodatkowo zintegrowałeś ochronę zapory aplikacyjnej sieci oraz łączność Private Link dla architektury Zero Trust.

Azure DDoS Protection: uzyskasz wgląd w ochronę zasobów platformy Azure przed rozproszonymi atakami typu "odmowa usługi" przy użyciu ochrony przed atakami DDoS Network Protection i DDoS IP Protection. Przedstawiono informacje o zawsze włączonym monitorowaniu ruchu, adaptacyjnym dostrajaniu w czasie rzeczywistym i wielowarstwowej ochronie w połączeniu z firewallem aplikacji internetowych w celu obrony przed atakami warstwy sieciowej (L3/L4) i warstwy aplikacji (L7).

Stosowanie wiedzy

Jako specjalista ds. zabezpieczeń platformy Azure masz teraz wiedzę, aby:

  • Projektowanie architektur zabezpieczeń, które równoważą ułatwienia dostępu z ochroną publicznie dostępnych zasobów
  • Implementowanie szyfrowania podczas przesyłania przy użyciu nowoczesnych protokołów TLS i najlepszych rozwiązań
  • Wdrażaj mechanizmy kontroli zabezpieczeń warstwy sieciowej i aplikacji przy użyciu usługi Azure Firewall, bramy aplikacji i zapory aplikacji internetowej.
  • Optymalizowanie globalnego dostarczania zawartości przy zachowaniu stanu zabezpieczeń za pomocą usługi Front Door
  • Ochrona przed atakami DDoS i zapewnianie ciągłości usługi podczas zdarzeń zabezpieczeń
  • Stosowanie zasad Zero Trust i strategii wielowarstwowej ochrony, by zabezpieczyć cyfrowy majątek organizacji.

Dzięki efektywnej połączeniu tych usług zabezpieczeń platformy Azure można utworzyć odporną infrastrukturę o wysokiej wydajności. Konfiguracja chroni aplikacje internetowe i interfejsy API zarówno przed typowymi, jak i pojawiającymi się zagrożeniami, jednocześnie zapewniając wyjątkowe środowiska użytkownika na całym świecie.