Megosztás a következőn keresztül:


A biztonságos felhővagyon előkészítése

A felhőbevezetési folyamat kész fázisában a tulajdon alapjainak létrehozására összpontosít. A Microsoft Azure célzóna megközelítése biztonságosabb, skálázhatóbb, moduláris kialakítási mintát biztosít a nagyvállalatoknak és a nagyvállalatoknak a tulajdonuk megvalósításakor. Előfordulhat, hogy a kisebb szervezeteknek és startupoknak nincs szükségük a célzóna-megközelítés által biztosított szervezeti szintre, de a célzóna-filozófia ismerete segíthet a szervezeteknek az alapszintű tervezésben, és magas szintű biztonságot és méretezhetőséget biztosíthatnak.

Miután meghatározta a felhőbevezetési stratégiát és -tervet, megkezdheti a megvalósítási fázist az alapok tervezésével. Az ebben az útmutatóban található javaslatok segítségével biztosíthatja, hogy az alapterv és az implementáció prioritást biztosítson a biztonság számára.

A felhőbevezetés módszertanát bemutató ábra. A diagramon minden fázishoz vannak mezők: csapatok és szerepkörök, stratégia, tervezés, készenlét, bevezetés, szabályozás és kezelés. A cikk mezője ki van emelve.

Ez a cikk a Kész módszertan kiegészítő útmutatója. Ismerteti a biztonsági optimalizálás azon területeit, amelyeket érdemes figyelembe vennie, amikor végighalad az adott fázison az utazás során.

Biztonsági helyzet modernizálása

A biztonsági helyzet modernizálásának első lépései a kezdőzóna vagy a felhő alapjainak létrehozása, valamint az identitás, az engedélyezés és a hozzáférési platform létrehozása vagy modernizálása.

  • A célzóna megközelítésének bevezetése: A célzóna megközelítésének bevezetése vagy a célzóna-megközelítés tervezési alapelveinek beépítése olyan mértékben, amennyire a használati eset gyakorlatias, lehetővé teszi a megvalósítás optimalizált módon történő elindítását. A felhőbeli tulajdon fejlődésével a tulajdon különböző tartományainak elkülönítése segít a teljes tulajdon biztonságosabbá és kezelhetőbbé tételében.

    • Ha nem tervez teljes vállalati célzónát bevezetni, akkor is ismernie kell a tervezési területeket , és alkalmaznia kell a felhőtulajdonra vonatkozó útmutatást. Meg kell gondolnia ezeket a tervezési területeket, és olyan vezérlőket kell implementálnia, amelyek az egyes területekre vonatkoznak, függetlenül attól, hogy az alapítvány hogyan van kialakítva. A felügyeleti csoportok használatával például akkor is szabályozhatja a felhőbeli tulajdonát, ha csak néhány előfizetésből áll.

Biztonságos, méretezhető célzónák fejlesztése, amelyek szabályozott környezetet biztosítanak a felhőerőforrások üzembe helyezéséhez. Ezek a zónák segítenek biztosítani, hogy a biztonsági szabályzatok következetesen érvényesüljenek, és hogy az erőforrások a biztonsági követelményeknek megfelelően legyenek elkülönítve. A témakör részletes útmutatását a biztonságtervezési területen találja.

  • Modern identitás, engedélyezés és hozzáférés: A Teljes felügyelet alapelvei alapján az identitás, az engedélyezés és a hozzáférés modern megközelítése alapértelmezés szerint a megbízhatóságról a megbízhatósági kivételre változik. Ezekből az alapelvekből következik, hogy a felhasználóknak, eszközöknek, rendszereknek és alkalmazásoknak csak a szükséges erőforrásokhoz kell hozzáférniük, és csak addig, amíg az igényeiknek megfelelnek. Ugyanez az útmutató a tulajdon alapvető elemeire is vonatkozik: szigorúan szabályozhatja az előfizetésekre, a hálózati erőforrásokra, a szabályozási megoldásokra, az identitás- és hozzáférés-kezelési (IAM) platformra és a bérlőkre vonatkozó engedélyeket, ha ugyanazokat a javaslatokat követi, amelyeket a futtatott számítási feladatokhoz követ. A témakörhöz részletes útmutatást az identitás- és hozzáférés-kezelési tervezési terület nyújt.

Az Azure megkönnyítése

  • Azure-beli célzónagyorsítók: A Microsoft számos célzónagyorsítót tart fenn, amelyek egy adott számítási feladattípus előrecsomagolt üzembe helyezései, amelyek könnyen üzembe helyezhetők a célzónában, így gyorsan elindíthatók. Ezek közé tartoznak az Azure Integration Services, az Azure Kubernetes Service (AKS), az Azure API Management és mások gyorsítói. Az Azure-beli felhőadaptálási keretrendszer modern alkalmazásplatform-forgatókönyv szakaszában megtalálja a gyorsítók teljes listáját és a modern alkalmazásokkal kapcsolatos egyéb témaköröket.

  • Azure-beli célzónák Terraform-modulja: A kezdőzónák üzembe helyezését automatizálással optimalizálhatja az Azure-beli célzónák Terraform moduljával. Ha a folyamatos integrációs és folyamatos üzembe helyezési (CI/CD) folyamatot használja a célzónák üzembe helyezéséhez, biztosíthatja, hogy az összes célzóna azonos módon legyen üzembe helyezve, és minden biztonsági mechanizmus érvényben legyen.

  • Microsoft Entra: A Microsoft Entra identitás- és hálózati hozzáférési termékek családja. Lehetővé teszi a szervezetek számára egy Teljes felügyelet biztonsági stratégia implementálását, valamint egy olyan megbízhatósági háló létrehozását, amely ellenőrzi az identitásokat, ellenőrzi a hozzáférési feltételeket, ellenőrzi az engedélyeket, titkosítja a kapcsolati csatornákat és figyeli a biztonsági réseket.

Felkészülés az incidensek felkészültségére és válaszára

Miután meghatározta a stratégiát, és kidolgozta az incidensekre való felkészülésre és reagálásra vonatkozó tervet, megkezdheti a megvalósítást. Akár teljes vállalati célzóna-kialakítást, akár kisebb alaprendszert használ, a hálózati elkülönítés kritikus fontosságú a magas szintű biztonság fenntartása érdekében.

Hálózatszegmentálás: Tervezzen meg egy hálózati architektúrát megfelelő szegmentálással és elkülönítéssel a támadási felületek minimalizálása és a potenciális behatolások csökkentése érdekében. A forgalom kezeléséhez és szabályozásához használjon olyan technikákat, mint a virtuális magánfelhők (VPN-ek), az alhálózatok és a biztonsági csoportok. A témával kapcsolatos részletes útmutatásért tekintse meg a Hálózatszegmentálás tervezése című cikket. Mindenképpen tekintse át az Azure-beli célzóna hálózati biztonsági útmutatóinak többi részét. Az útmutató javaslatokat tartalmaz a bejövő és kimenő kapcsolatokra, a hálózati titkosításra és a forgalom ellenőrzésére.

Az Azure megkönnyítése

  • Azure Virtual WAN: Az Azure Virtual WAN egy olyan hálózatkezelési szolgáltatás, amely számos hálózatkezelési, biztonsági és útválasztási funkciót összesít egyetlen működési felület biztosítása érdekében. A kialakítás egy küllős architektúra, amely az ágakhoz (VPN/SD-WAN-eszközökhöz), a felhasználókhoz (Azure VPN/OpenVPN/IKEv2-ügyfelek), az Azure ExpressRoute-kapcsolatcsoportokhoz és a virtuális hálózatokhoz beépített méretezéssel és teljesítménnyel rendelkezik. A célzónák megvalósításakor az Azure Virtual WAN segíthet a hálózat szegmentálással és biztonsági mechanizmusokkal történő optimalizálásában.

Felkészülés a bizalmasságra

A kész fázisban a számítási feladatok bizalmassági szempontból való előkészítése biztosítja az IAM-szabályzatok és -szabványok implementálását és betartatását. Ez az előkészítés biztosítja, hogy a számítási feladatok üzembe helyezésekor az adatok alapértelmezés szerint biztonságban legyenek. Győződjön meg arról, hogy jól szabályozott szabályzatokkal és szabványokkal rendelkezik a következőhöz:

  • A minimális jogosultság elve. Minimális hozzáférés biztosítása a felhasználóknak a feladataik elvégzéséhez.

  • Szerepköralapú hozzáférés-vezérlés (RBAC). Szerepkörök és engedélyek hozzárendelése feladat-felelősségek alapján. Ezzel hatékonyan kezelheti a hozzáférést, és csökkentheti a jogosulatlan hozzáférés kockázatát.

  • Többtényezős hitelesítés (MFA). Az MFA implementálása további biztonsági réteg hozzáadásához.

  • Feltételes hozzáférés-vezérlők. A feltételes hozzáférés-vezérlések további biztonságot nyújtanak a szabályzatok meghatározott feltételeken alapuló kényszerítésével. A szabályzatok közé tartozhat az MFA kényszerítése, a földrajzi hely alapján történő hozzáférés letiltása és sok más forgatókönyv. IAM-platform kiválasztásakor győződjön meg arról, hogy a feltételes hozzáférés támogatott, és hogy az implementáció megfelel a követelményeknek.

Az Azure megkönnyítése

Felkészülés az integritásra

A bizalmassági előkészületeihez hasonlóan győződjön meg arról, hogy megfelelően szabályozott szabályzatokkal és szabványokkal rendelkezik az adatok és a rendszerintegritáshoz, így alapértelmezés szerint nagyobb biztonsággal üzembe helyezhet számítási feladatokat. A következő területekre vonatkozó szabályzatok és szabványok meghatározása.

Adatkezelési eljárások

  • Adatbesorolás: Adatbesorolási keretrendszer és bizalmassági címkés osztályozás létrehozása, amely az adatbiztonsági kockázatok magas szintű kategóriáit határozza meg. Ezzel az osztályozással egyszerűsítheti az adatleltártól és a tevékenységelemzéstől a szabályzatkezelésen át a vizsgálat rangsorolásig mindent. A témakör részletes útmutatását a jól megtervezett adatbesorolási keretrendszer létrehozása című témakörben találja.

  • Adatellenőrzés és -ellenőrzés: Olyan eszközökbe fektethet be, amelyek automatizálják az adatellenőrzést és -ellenőrzést az adatmérnökök és a rendszergazdák terheinek csökkentése és az emberi hibák kockázatának csökkentése érdekében.

  • Biztonsági mentési szabályzatok: A biztonsági mentési szabályzatok kodifikálása annak érdekében, hogy minden adatról rendszeresen készítsen biztonsági másolatot. A biztonsági mentések és visszaállítások rendszeres tesztelése annak érdekében, hogy a biztonsági mentések sikeresek legyenek, és hogy az adatok helyesek és konzisztensek legyenek. Ezeket a szabályzatokat a szervezet helyreállítási időkorlátjával (RTO) és helyreállításipont-célkitűzésével (RPO) igazíthatja.

  • Erős titkosítás: Győződjön meg arról, hogy a felhőszolgáltató alapértelmezés szerint titkosítja az inaktív és az átvitel alatt lévő adatokat. Az Azure-ban az adatok végpontok között titkosítva lesznek. További részletekért tekintse meg a Microsoft adatvédelmi központját . A számítási feladatokban használt szolgáltatások esetében győződjön meg arról, hogy az erős titkosítás támogatott, és megfelelően konfigurálva van az üzleti követelményeknek megfelelően.

Rendszerintegritási tervezési minták

  • Biztonsági monitorozás: A felhőrendszerek jogosulatlan változásainak észleléséhez tervezzen egy robusztus biztonsági monitorozási platformot az általános monitorozási és megfigyelhetőségi stratégia részeként. Részletes általános útmutatásért tekintse meg a Módszertan monitorozása című szakaszt . A biztonsági monitorozásra vonatkozó javaslatokért tekintse meg a Teljes felügyelet láthatósági, automatizálási és vezénylési útmutatót.

    • SIEM és fenyegetésészlelés: A biztonsági információk és eseménykezelés (SIEM) és a biztonsági vezénylés, az automatizálás és a válasz (SOAR) eszköz és fenyegetésészlelési eszköz használatával észlelheti az infrastruktúrát fenyegető gyanús tevékenységeket és potenciális fenyegetéseket.
  • Automatizált konfigurációkezelés: Az eszközhasználat kodifikálása a konfigurációkezelés automatizálásához. Az Automation segítségével gondoskodhat arról, hogy minden rendszerkonfiguráció konzisztens legyen, mentes legyen az emberi hibáktól, és automatikusan kényszerítse ki.

  • Automatizált javításkezelés: Az eszközhasználat kodifikálása a virtuális gépek frissítéseinek kezelésére és szabályozására. Az automatikus javítás segít biztosítani, hogy minden rendszer rendszeresen javításra kerüljön, és hogy a rendszerverziók konzisztensek legyenek.

  • Automatizált infrastruktúra-telepítések: Az infrastruktúra kódként (IaC) való használatának kódolása az összes üzembe helyezéshez. Az IaC üzembe helyezése a CI/CD-folyamatok részeként. Ugyanazokat a biztonságos üzembehelyezési eljárásokat alkalmazza az IaC-üzemelő példányokhoz, mint a szoftvertelepítésekhez.

Az Azure megkönnyítése

  • Az Azure Policy és a Felhőhöz készült Microsoft Defender együttműködve segítenek meghatározni és kikényszeríteni a biztonsági szabályzatokat a felhőbeli tulajdonban. Mindkét megoldás támogatja az alapvető elemek és a számítási feladatok erőforrásainak szabályozását.

  • Az Azure Update Manager a natív Azure-frissítés- és javításkezelési megoldás. Kiterjesztheti a helyszíni rendszerekre és az Arc-kompatibilis rendszerekre.

  • A Microsoft Sentinel a Microsoft SIEM és SOAR megoldás. Lehetővé teszi a kibertámadások észlelését, vizsgálatát és reagálását, proaktív vadászatát és átfogó áttekintését a vállalaton belül.

Felkészülés a rendelkezésre állásra

A számítási feladatok rugalmasságra való megtervezése segít biztosítani, hogy a vállalata képes legyen ellenállni a működési hibáknak és a biztonsági incidenseknek, és hogy a műveletek folytatódjanak az érintett rendszerekkel kapcsolatos problémák megoldása közben. A felhőadaptálási keretrendszer elvekhez igazodó alábbi javaslatok segíthetnek rugalmas számítási feladatok tervezésében:

  • Rugalmas alkalmazástervezés megvalósítása. Olyan alkalmazástervezési mintákat alkalmazhat, amelyek növelik az infrastruktúra és a nem infrastruktúra-incidensek elleni rugalmasságot, összhangban a felhőadaptálási keretrendszer tágabb alapelveivel. Szabványosítsa az öngyógyító és önmegőrző mechanizmusokat tartalmazó kialakításokat a folyamatos működés és a gyors helyreállítás érdekében. A rugalmas tervezési minták részletes útmutatását a jól megtervezett keretrendszer megbízhatósági pillérében találja.

  • Kiszolgáló nélküli architektúra bevezetése. Kiszolgáló nélküli technológiák, köztük a szolgáltatásként nyújtott platform (PaaS), a szolgáltatott szoftver (SaaS) és a szolgáltatásként való működés (FaaS) használatával csökkentheti a kiszolgálókezelési többletterhelést, automatikusan skálázhatja az igényeket, és javíthatja a rendelkezésre állást. Ez a megközelítés támogatja a számítási feladatok modernizálására és a működési hatékonyság optimalizálására felhőadaptálási keretrendszer hangsúlyt.

  • Mikroszolgáltatások és tárolók használata. Mikroszolgáltatások és tárolók implementálása a monolitikus alkalmazások elkerülése érdekében azáltal, hogy kisebb, független szolgáltatásokra bontja őket, amelyek egymástól függetlenül telepíthetők és méretezhetők. Ez a megközelítés felhőadaptálási keretrendszer felhőkörnyezetek rugalmasságának és méretezhetőségének alapelveihez igazodik.

  • Szolgáltatások leválasztása. A szolgáltatások stratégiai elkülönítése egymástól az incidensek robbanási sugarának csökkentése érdekében. Ez a stratégia segít biztosítani, hogy az egyik összetevő hibái ne befolyásolják a teljes rendszert. Támogatja a felhőadaptálási keretrendszer szabályozási modellt a robusztus szolgáltatáshatárok és a működési rugalmasság előmozdításával.

  • Automatikus skálázás engedélyezése. Győződjön meg arról, hogy az alkalmazásarchitektúra támogatja az automatikus skálázást a különböző terhelések kezeléséhez, hogy a forgalomnövekedések során is fenntarthassa a rendelkezésre állást. Ez a gyakorlat összhangban felhőadaptálási keretrendszer skálázható és rugalmas felhőkörnyezetek létrehozásával kapcsolatos útmutatással, és segít a költségek kezelhetőségében és kiszámíthatóságában.

  • Hibaelkülönítés implementálása. Az alkalmazást úgy tervezheti meg, hogy elkülönítse az egyes feladatok vagy függvények hibáit. Ez segíthet megelőzni a széles körű kimaradásokat, és fokozni a rugalmasságot. Ez a megközelítés támogatja a felhőadaptálási keretrendszer a megbízható és hibatűrő rendszerek létrehozására összpontosít.

  • Gondoskodjon a magas rendelkezésre állásról. Beépített redundancia- és vészhelyreállítási mechanizmusok beépítése a folyamatos működés fenntartásához. Ez a megközelítés felhőadaptálási keretrendszer ajánlott eljárásokat támogatja a magas rendelkezésre állás és az üzletmenet-folytonosság tervezéséhez.

  • Tervezze meg az automatikus feladatátvételt. Alkalmazások üzembe helyezése több régióban a zökkenőmentes feladatátvétel és a zavartalan szolgáltatás támogatása érdekében. Ez a megközelítés összhangban van a földrajzi redundancia és a vészhelyreállítás felhőadaptálási keretrendszer stratégiájával.

Felkészülés a biztonság fenntartására

A kész fázisban a hosszú távú biztonság fenntartására való felkészülés magában foglalja annak biztosítását, hogy a tulajdon alapvető elemei megfeleljenek a kezdeti számítási feladatokhoz ajánlott biztonsági eljárásoknak, de skálázhatóak is. Ezzel biztosíthatja, hogy a vagyon növekedésével és fejlődésével a biztonság ne sérüljön meg, és a biztonság kezelése ne váljon túl bonyolulttá és nehézkessé. Ez viszont segít elkerülni az árnyék informatikai viselkedését. Ennek érdekében a Kész fázisban gondolja át, hogy hosszabb távon hogyan valósíthatók meg üzleti céljai, anélkül, hogy jelentős architekturális átalakítások vagy az üzemeltetési gyakorlatok jelentős átdolgozása lenne. Még akkor is, ha a célzóna-kialakításnál sokkal egyszerűbb alaprendszert hoz létre, győződjön meg arról, hogy az alaptervet át lehet alakítani egy vállalati architektúrára anélkül, hogy újra üzembe kellene helyeznie a tulajdon főbb elemeit, például a hálózatkezelést és a kritikus számítási feladatokat. Egy olyan kialakítás létrehozása, amely a tulajdon növekedésével nőhet, de továbbra is biztonságos marad, a felhőbeli utazás sikerének kulcsa.

A meglévő Azure-környezet azure-beli kezdőzóna-architektúrára való áttérésével kapcsolatos javaslatokért tekintse meg a meglévő Azure-környezetek kezdőzóna-architektúrába való áthelyezésével kapcsolatos javaslatokat.

Következő lépés