Dela via

Skapa det första försvarsskiktet med Azure Security Services

Azure
Microsoft Entra ID

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Du kan använda olika Azure-tjänster för att skapa en komplett IT-infrastruktur för din organisation. Azure tillhandahåller även säkerhetstjänster som kan hjälpa dig att skydda din infrastruktur. Genom att använda Azure-säkerhetslösningar kan du förbättra DIN IT-miljös säkerhetsstatus, minska sårbarheter och skydda mot överträdelser via en välkonstruerad lösning som baseras på Microsofts bästa praxis.

Även om vissa säkerhetstjänster medför tillhörande kostnader är många tillgängliga utan extra kostnad. Kostnadsfria tjänster omfattar nätverkssäkerhetsgrupper (NSG:er), lagringskryptering, TLS/SSL, signaturtoken för delad åtkomst med mera. Den här artikeln fokuserar på dessa kostnadsfria tjänster.

Den här artikeln är den tredje i en serie om fem. Om du vill granska de föregående två artiklarna i den här serien, inklusive introduktionen och en granskning av hur du kan mappa hot mot en IT-miljö, kan du läsa följande artikel:

Potentiella användningsfall

Den här artikeln organiserar Azure-säkerhetstjänster efter Azure-resurs så att du kan fokusera på specifika hot som riktar sig mot resurser som virtuella datorer, operativsystem, Azure-nätverk eller program, förutom attacker som kan kompromettera användare och lösenord. Följande diagram kan hjälpa dig att identifiera De Azure-säkerhetstjänster som hjälper till att skydda resurser och användaridentiteter mot dessa typer av hot.

Arkitektur

Ett diagram över lokala resurser, tjänster från Microsoft 365 och Azure och 16 typer av hot som klassificerats av MITRE ATTACK-matrisen.

Ladda ned en Visio-fil med den här arkitekturen.

©2021 MITRE Corporation. Det här arbetet reproduceras och distribueras med tillstånd av MITRE Corporation.

Azure-säkerhetsskiktet i det här diagrammet baseras på Azure Security Benchmark (ASB) v3, som är en uppsättning säkerhetsregler som implementeras via Azure-principer. ASB baseras på en kombination av regler från CIS Center for Internet Security och National Institute of Standards and Technology. Mer information om ASB finns i Översikt över Azure Security Benchmark v3.

Diagrammet innehåller inte alla tillgängliga Azure-säkerhetstjänster, men visar de tjänster som används oftast. Alla säkerhetstjänster som visas i arkitekturdiagrammet kan kombineras och konfigureras för att fungera tillsammans med DIN IT-miljö och organisationens specifika säkerhetsbehov.

Arbetsflöde

I det här avsnittet beskrivs de komponenter och tjänster som visas i diagrammet. Många av dessa är märkta med sina ASB-kontrollkoder, förutom deras förkortade etiketter. Kontrollkoderna motsvarar de kontrolldomäner som visas i Kontroller.

  1. Benchmark för Azure-säkerhet

    Varje säkerhetskontroll refererar till en eller flera specifika Azure-säkerhetstjänster. Arkitekturreferensen i den här artikeln visar några av dem och deras kontrollnummer enligt ASB-dokumentationen. Kontrollerna omfattar:

    • Nätverkssäkerhet
    • Identitetshantering
    • Privilegierad åtkomst
    • Dataskydd
    • Tillgångshantering
    • Loggning och hotidentifiering
    • Incidenthantering
    • Status- och sårbarhetshantering
    • Slutpunktssäkerhet
    • Säkerhetskopiering och återställning
    • DevOps-säkerhet
    • Styrning och strategi

    Mer information om säkerhetskontroller finns i Översikt över Azure Security Benchmark (v3).

  2. Nätverk

    I följande tabell beskrivs nätverkstjänsterna i diagrammet.

    Etikett beskrivning Dokumentation
    NSG En kostnadsfri tjänst som du kopplar till ett nätverksgränssnitt eller undernät. Med en NSG kan du filtrera TCP- eller UDP-protokolltrafik med hjälp av IP-adressintervall och portar för inkommande och utgående anslutningar. Nätverkssäkerhetsgrupper
    VPN En virtuell privat nätverksgateway (VPN) som levererar en tunnel med IPSEC-skydd (IKE v1/v2). VPN-gateway
    Azure Firewall En plattform som en tjänst (PaaS) som ger skydd i lager 4 och är ansluten till ett helt virtuellt nätverk. Vad är Azure Firewall?
    App GW + WAF Azure Application Gateway med Web Application Firewall (WAF). Application Gateway är en lastbalanserare för webbtrafik som fungerar i lager 7 och lägger till WAF för att skydda program som använder HTTP och HTTPS. Vad är Azure Application Gateway?
    NVA Virtuell nätverksinstallation (NVA). En virtuell säkerhetstjänst från marknadsplatsen som etableras på virtuella datorer i Azure. Virtuella nätverksinstallationer
    DDOS DDoS-skydd som implementeras i det virtuella nätverket för att hjälpa dig att minimera olika typer av DDoS-attacker. Översikt över Azure DDoS Network Protection
    TLS/SSL TLS/SSL levererar kryptering under överföring för de flesta Azure-tjänster som utbyter information, till exempel Azure Storage och Web Apps. Konfigurera TLS från slutpunkt till slutpunkt med hjälp av Application Gateway med PowerShell
    Privat länk Tjänst som gör att du kan skapa ett privat nätverk för en Azure-tjänst som först exponeras för Internet. Vad är Azure Privat Link?
    Privat slutpunkt Skapar ett nätverksgränssnitt och kopplar det till Azure-tjänsten. Privat slutpunkt är en del av Private Link. Med den här konfigurationen kan tjänsten, med hjälp av en privat slutpunkt, vara en del av ditt virtuella nätverk. Vad är en privat slutpunkt?

  3. Infrastruktur och slutpunkter

    I följande tabell beskrivs infrastruktur- och slutpunktstjänster som visas i diagrammet.

    Etikett beskrivning Dokumentation
    Bastion Bastion tillhandahåller jump server-funktioner. Med den här tjänsten kan du komma åt dina virtuella datorer via RDP (Remote Desktop Protocol) eller SSH utan att exponera dina virtuella datorer för Internet. Vad är Azure Bastion?
    Programvara mot skadlig kod Microsoft Defender tillhandahåller program mot skadlig kod och ingår i Windows 10, Windows 11, Windows Server 2016 och Windows Server 2019. Microsoft Defender Antivirus i Windows
    Diskkryptning Med diskkryptering kan du kryptera disken på en virtuell dator. Azure Disk Encryption på virtuella Windows-datorer
    Nyckelvalv Key Vault, en tjänst för att lagra nycklar, hemligheter och certifikat med FIPS 140-2 Nivå 2 eller 3. Grundläggande begrepp i Azure Key Vault
    KORT RDP Azure Virtual Desktop RDP Shortpath. Med den här funktionen kan fjärranvändare ansluta till Virtual Desktop-tjänsten från ett privat nätverk. Azure Virtual Desktop RDP Shortpath för hanterade nätverk
    Omvänd anslutning En inbyggd säkerhetsfunktion från Azure Virtual Desktop. Omvänd anslutning garanterar att fjärranvändare endast tar emot pixelströmmar och inte når de virtuella värddatorerna. Förstå nätverksanslutningar för Azure Virtual Desktop

  4. Program och data

    I följande tabell beskrivs program- och datatjänster som visas i diagrammet.

    Etikett beskrivning Dokumentation
    Frontdoor + WAF Ett nätverk för innehållsleverans (CDN). Front Door kombinerar flera närvaropunkter för att ge en bättre anslutning för användare som har åtkomst till tjänsten och lägger till WAF. Vad är Azure Front Door?
    API-hantering En tjänst som ger säkerhet för API-anrop och hanterar API:er i olika miljöer. Om API Management
    PenTest En uppsättning metodtips för att utföra ett intrångstest i din miljö, inklusive Azure-resurser. Intrångstest
    SAS-token för lagring En token för delad åtkomst med hjälp av förfalloprinciper för att ge andra åtkomst till ditt Azure-lagringskonto. Grant limited access to Azure Storage resources using shared access signatures (SAS) (Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS))
    Privat slutpunkt Skapa ett nätverksgränssnitt och koppla det till ditt lagringskonto för att konfigurera det i ett privat nätverk i Azure. Använd privata slutpunkter för Azure Storage
    Lagringsbrandvägg Brandvägg som gör att du kan ange ett intervall med IP-adresser som kan komma åt ditt lagringskonto. Konfigurera brandväggar och virtuella nätverk i Azure Storage
    Kryptering
    (Azure Storage)    		 Skyddar ditt lagringskonto med kryptering i vila. Azure Storage-kryptering av vilande data
    SQL-granskning Spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto. Granskning för Azure SQL Database och Azure Synapse Analytics
    Sårbarhetsbedömning Tjänst som hjälper dig att identifiera, spåra och åtgärda potentiella sårbarheter i databasen. SQL-sårbarhetsbedömning hjälper dig att identifiera sårbarheter i databasen
    Kryptering
    (Azure SQL)    		 Transparent datakryptering (TDE) hjälper till att skydda Azure SQL-databastjänster genom att kryptera vilande data. Transparent datakryptering för SQL Database, SQL Managed Instance och Azure Synapse Analytics

  5. Identitet

    I följande tabell beskrivs identitetstjänster som visas i diagrammet.

    Etikett beskrivning Dokumentation
    RBAC Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera åtkomst till Azure-tjänster med hjälp av detaljerade behörigheter som baseras på användarnas Microsoft Entra-autentiseringsuppgifter. Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?
    MFA Multifaktorautentisering erbjuder ytterligare typer av autentisering utöver användarnamn och lösenord. Så här fungerar det: Microsoft Entra multifaktorautentisering
    ID-skydd Identity Protection, en säkerhetstjänst från Microsoft Entra ID, analyserar biljoner signaler per dag för att identifiera och skydda användare mot hot. Vad är identitetsskydd?
    PIM Privileged Identity Management (PIM), en säkerhetstjänst från Microsoft Entra ID. Det hjälper dig att tillfälligt tillhandahålla superanvändarbehörigheter för Microsoft Entra-ID (till exempel användaradministratör) och Azure-prenumerationer (till exempel rollbaserad åtkomstkontrolladministratör eller Key Vault-administratör). Vad är Microsoft Entra Privileged Identity Management?
    Cond Acc Villkorlig åtkomst är en intelligent säkerhetstjänst som använder principer som du definierar för olika villkor för att blockera eller bevilja åtkomst till användare. Vad är villkorlig åtkomst?

Komponenter

  • Microsoft Entra ID är en identitets- och åtkomsthanteringstjänst. I den här arkitekturen hanterar den användaridentiteter och åtkomst till externa resurser som Microsoft 365 och Azure-portalen samt interna resurser som appar i företagets intranätnätverk.

  • Azure Virtual Network är en nätverkstjänst som möjliggör säker kommunikation mellan Azure-resurser, Internet och lokala nätverk. I den här arkitekturen tillhandahåller den den privata nätverksinfrastrukturen som stöder säker anslutning och isolering för arbetsbelastningar.

  • Azure Load Balancer är en tjänst med låg latens layer-4-belastningsutjämning för UDP- och TCP-trafik. Load Balancer är en zonredundant tjänst som kan hantera miljontals samtidiga flöden. I den här arkitekturen säkerställer den hög tillgänglighet och skalbarhet genom att distribuera inkommande och utgående trafik mellan resurser i det virtuella nätverket.

  • Azure Virtual Machines är ett IaaS-erbjudande (infrastruktur som en tjänst) som tillhandahåller skalbara beräkningsresurser. I den här arkitekturen är virtuella datorer värd för arbetsbelastningar som kräver direkt kontroll över operativsystemet och säkerhetskonfigurationerna.

  • Azure Kubernetes Service (AKS) är en hanterad containerorkestreringstjänst som förenklar distribution och hantering av Kubernetes-kluster. I den här arkitekturen kör AKS containerbaserade program och tillhandahåller inbyggda funktioner för säkerhet, styrning och kontinuerlig integrering/kontinuerlig leverans (CI/CD).

  • Virtual Desktop är en tjänst för skrivbords- och appvirtualisering som levererar fjärrskrivbord från molnet. I den här arkitekturen ger den säker åtkomst till företagsskrivbord för fjärranvändare och innehåller inbyggda funktioner som RDP Shortpath och omvänd anslutning.

  • Funktionen Web Apps i App Service är värd för webbprogram, REST-API:er och mobila serverdelar. I den här arkitekturen är Web Apps värd för HTTP-baserade program och tillhandahåller säkerhetsfunktioner som TLS och privata slutpunkter. Du kan utveckla på ditt valda språk. Program körs och skalas i både Windows- och Linux-baserade miljöer.

  • Azure Storage är en skalbar och säker lagringslösning för olika datatyper, inklusive blobbar, filer, köer och tabeller. I den här arkitekturen lagrar den program- och systemdata med kryptering i vila och stöder säker åtkomst via SAS-token och privata slutpunkter.

  • SQL Database är en hanterad relationsdatabastjänst som automatiserar korrigeringar, säkerhetskopieringar och övervakning. I den här arkitekturen tillhandahåller den säker och kompatibel datalagring via funktioner som transparent datakryptering, granskning och sårbarhetsbedömningar.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Nästa steg

Microsoft har mer dokumentation som kan hjälpa dig att skydda DIN IT-miljö, och följande artiklar kan vara särskilt användbara:

  • Säkerhet i Microsoft Cloud Adoption Framework för Azure. Cloud Adoption Framework ger säkerhetsvägledning för din molnresa genom att förtydliga processer, metodtips, modeller och upplevelser.
  • Microsoft Azure Well-Architected Framework. Azure Well-Architected Framework är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Ramverket bygger på fem grundpelare: tillförlitlighet, säkerhet, kostnadsoptimering, driftseffektivitet och prestandaeffektivitet.
  • Bästa praxis för Microsofts säkerhet. Microsoft Security Best Practices (kallades tidigare Azure Security Compass eller Microsoft Security Compass) är en samling metodtips som ger tydlig och användbar vägledning för säkerhetsrelaterade beslut.
  • Microsoft Cybersecurity Reference Architectures (MCRA). MCRA är en sammanställning av olika Microsoft-säkerhetsreferensarkitekturer.

I följande resurser hittar du mer information om de tjänster, tekniker och terminologier som nämns i den här artikeln:

Mer information om den här referensarkitekturen finns i de andra artiklarna i den här serien: