A biztonságos felhővagyon előkészítése
A felhőbevezetési folyamat kész fázisában a tulajdon alapjainak létrehozására összpontosít. A Microsoft Azure célzóna megközelítése biztonságosabb, skálázhatóbb, moduláris kialakítási mintát biztosít a nagyvállalatoknak és a nagyvállalatoknak a tulajdonuk megvalósításakor. Előfordulhat, hogy a kisebb szervezeteknek és startupoknak nincs szükségük a célzóna-megközelítés által biztosított szervezeti szintre, de a célzóna-filozófia ismerete segíthet a szervezeteknek az alapszintű tervezésben, és magas szintű biztonságot és méretezhetőséget biztosíthatnak.
Miután meghatározta a felhőbevezetési stratégiát és -tervet, megkezdheti a megvalósítási fázist az alapok tervezésével. Az ebben az útmutatóban található javaslatok segítségével biztosíthatja, hogy az alapterv és az implementáció prioritást biztosítson a biztonság számára.
Ez a cikk a Kész módszertan kiegészítő útmutatója. Ismerteti a biztonsági optimalizálás azon területeit, amelyeket érdemes figyelembe vennie, amikor végighalad az adott fázison az utazás során.
Biztonsági helyzet modernizálása
A biztonsági helyzet modernizálásának első lépései a kezdőzóna vagy a felhő alapjainak létrehozása, valamint az identitás, az engedélyezés és a hozzáférési platform létrehozása vagy modernizálása.
A célzóna megközelítésének bevezetése: A célzóna megközelítésének bevezetése vagy a célzóna-megközelítés tervezési alapelveinek beépítése olyan mértékben, amennyire a használati eset gyakorlatias, lehetővé teszi a megvalósítás optimalizált módon történő elindítását. A felhőbeli tulajdon fejlődésével a tulajdon különböző tartományainak elkülönítése segít a teljes tulajdon biztonságosabbá és kezelhetőbbé tételében.
- Ha nem tervez teljes vállalati célzónát bevezetni, akkor is ismernie kell a tervezési területeket , és alkalmaznia kell a felhőtulajdonra vonatkozó útmutatást. Meg kell gondolnia ezeket a tervezési területeket, és olyan vezérlőket kell implementálnia, amelyek az egyes területekre vonatkoznak, függetlenül attól, hogy az alapítvány hogyan van kialakítva. A felügyeleti csoportok használatával például akkor is szabályozhatja a felhőbeli tulajdonát, ha csak néhány előfizetésből áll.
Biztonságos, méretezhető célzónák fejlesztése, amelyek szabályozott környezetet biztosítanak a felhőerőforrások üzembe helyezéséhez. Ezek a zónák segítenek biztosítani, hogy a biztonsági szabályzatok következetesen érvényesüljenek, és hogy az erőforrások a biztonsági követelményeknek megfelelően legyenek elkülönítve. A témakör részletes útmutatását a biztonságtervezési területen találja.
- Modern identitás, engedélyezés és hozzáférés: A Teljes felügyelet alapelvei alapján az identitás, az engedélyezés és a hozzáférés modern megközelítése alapértelmezés szerint a megbízhatóságról a megbízhatósági kivételre változik. Ezekből az alapelvekből következik, hogy a felhasználóknak, eszközöknek, rendszereknek és alkalmazásoknak csak a szükséges erőforrásokhoz kell hozzáférniük, és csak addig, amíg az igényeiknek megfelelnek. Ugyanez az útmutató a tulajdon alapvető elemeire is vonatkozik: szigorúan szabályozhatja az előfizetésekre, a hálózati erőforrásokra, a szabályozási megoldásokra, az identitás- és hozzáférés-kezelési (IAM) platformra és a bérlőkre vonatkozó engedélyeket, ha ugyanazokat a javaslatokat követi, amelyeket a futtatott számítási feladatokhoz követ. A témakörhöz részletes útmutatást az identitás- és hozzáférés-kezelési tervezési terület nyújt.
Az Azure megkönnyítése
Azure-beli célzónagyorsítók: A Microsoft számos célzónagyorsítót tart fenn, amelyek egy adott számítási feladattípus előrecsomagolt üzembe helyezései, amelyek könnyen üzembe helyezhetők a célzónában, így gyorsan elindíthatók. Ezek közé tartoznak az Azure Integration Services, az Azure Kubernetes Service (AKS), az Azure API Management és mások gyorsítói. Az Azure-beli felhőadaptálási keretrendszer modern alkalmazásplatform-forgatókönyv szakaszában megtalálja a gyorsítók teljes listáját és a modern alkalmazásokkal kapcsolatos egyéb témaköröket.
Azure-beli célzónák Terraform-modulja: A kezdőzónák üzembe helyezését automatizálással optimalizálhatja az Azure-beli célzónák Terraform moduljával. Ha a folyamatos integrációs és folyamatos üzembe helyezési (CI/CD) folyamatot használja a célzónák üzembe helyezéséhez, biztosíthatja, hogy az összes célzóna azonos módon legyen üzembe helyezve, és minden biztonsági mechanizmus érvényben legyen.
Microsoft Entra: A Microsoft Entra identitás- és hálózati hozzáférési termékek családja. Lehetővé teszi a szervezetek számára egy Teljes felügyelet biztonsági stratégia implementálását, valamint egy olyan megbízhatósági háló létrehozását, amely ellenőrzi az identitásokat, ellenőrzi a hozzáférési feltételeket, ellenőrzi az engedélyeket, titkosítja a kapcsolati csatornákat és figyeli a biztonsági réseket.
Felkészülés az incidensek felkészültségére és válaszára
Miután meghatározta a stratégiát, és kidolgozta az incidensekre való felkészülésre és reagálásra vonatkozó tervet, megkezdheti a megvalósítást. Akár teljes vállalati célzóna-kialakítást, akár kisebb alaprendszert használ, a hálózati elkülönítés kritikus fontosságú a magas szintű biztonság fenntartása érdekében.
Hálózatszegmentálás: Tervezzen meg egy hálózati architektúrát megfelelő szegmentálással és elkülönítéssel a támadási felületek minimalizálása és a potenciális behatolások csökkentése érdekében. A forgalom kezeléséhez és szabályozásához használjon olyan technikákat, mint a virtuális magánfelhők (VPN-ek), az alhálózatok és a biztonsági csoportok. A témával kapcsolatos részletes útmutatásért tekintse meg a Hálózatszegmentálás tervezése című cikket. Mindenképpen tekintse át az Azure-beli célzóna hálózati biztonsági útmutatóinak többi részét. Az útmutató javaslatokat tartalmaz a bejövő és kimenő kapcsolatokra, a hálózati titkosításra és a forgalom ellenőrzésére.
Az Azure megkönnyítése
- Azure Virtual WAN: Az Azure Virtual WAN egy olyan hálózatkezelési szolgáltatás, amely számos hálózatkezelési, biztonsági és útválasztási funkciót összesít egyetlen működési felület biztosítása érdekében. A kialakítás egy küllős architektúra, amely az ágakhoz (VPN/SD-WAN-eszközökhöz), a felhasználókhoz (Azure VPN/OpenVPN/IKEv2-ügyfelek), az Azure ExpressRoute-kapcsolatcsoportokhoz és a virtuális hálózatokhoz beépített méretezéssel és teljesítménnyel rendelkezik. A célzónák megvalósításakor az Azure Virtual WAN segíthet a hálózat szegmentálással és biztonsági mechanizmusokkal történő optimalizálásában.
Felkészülés a bizalmasságra
A kész fázisban a számítási feladatok bizalmassági szempontból való előkészítése biztosítja az IAM-szabályzatok és -szabványok implementálását és betartatását. Ez az előkészítés biztosítja, hogy a számítási feladatok üzembe helyezésekor az adatok alapértelmezés szerint biztonságban legyenek. Győződjön meg arról, hogy jól szabályozott szabályzatokkal és szabványokkal rendelkezik a következőhöz:
A minimális jogosultság elve. Minimális hozzáférés biztosítása a felhasználóknak a feladataik elvégzéséhez.
Szerepköralapú hozzáférés-vezérlés (RBAC). Szerepkörök és engedélyek hozzárendelése feladat-felelősségek alapján. Ezzel hatékonyan kezelheti a hozzáférést, és csökkentheti a jogosulatlan hozzáférés kockázatát.
Többtényezős hitelesítés (MFA). Az MFA implementálása további biztonsági réteg hozzáadásához.
Feltételes hozzáférés-vezérlők. A feltételes hozzáférés-vezérlések további biztonságot nyújtanak a szabályzatok meghatározott feltételeken alapuló kényszerítésével. A szabályzatok közé tartozhat az MFA kényszerítése, a földrajzi hely alapján történő hozzáférés letiltása és sok más forgatókönyv. IAM-platform kiválasztásakor győződjön meg arról, hogy a feltételes hozzáférés támogatott, és hogy az implementáció megfelel a követelményeknek.
Az Azure megkönnyítése
- A Microsoft Entra Feltételes hozzáférés a Microsoft Teljes felügyelet szabályzatmotorja. Figyelembe veszi a különböző forrásokból származó jeleket a szakpolitikai döntések végrehajtásakor.
Felkészülés az integritásra
A bizalmassági előkészületeihez hasonlóan győződjön meg arról, hogy megfelelően szabályozott szabályzatokkal és szabványokkal rendelkezik az adatok és a rendszerintegritáshoz, így alapértelmezés szerint nagyobb biztonsággal üzembe helyezhet számítási feladatokat. A következő területekre vonatkozó szabályzatok és szabványok meghatározása.
Adatkezelési eljárások
Adatbesorolás: Adatbesorolási keretrendszer és bizalmassági címkés osztályozás létrehozása, amely az adatbiztonsági kockázatok magas szintű kategóriáit határozza meg. Ezzel az osztályozással egyszerűsítheti az adatleltártól és a tevékenységelemzéstől a szabályzatkezelésen át a vizsgálat rangsorolásig mindent. A témakör részletes útmutatását a jól megtervezett adatbesorolási keretrendszer létrehozása című témakörben találja.
Adatellenőrzés és -ellenőrzés: Olyan eszközökbe fektethet be, amelyek automatizálják az adatellenőrzést és -ellenőrzést az adatmérnökök és a rendszergazdák terheinek csökkentése és az emberi hibák kockázatának csökkentése érdekében.
Biztonsági mentési szabályzatok: A biztonsági mentési szabályzatok kodifikálása annak érdekében, hogy minden adatról rendszeresen készítsen biztonsági másolatot. A biztonsági mentések és visszaállítások rendszeres tesztelése annak érdekében, hogy a biztonsági mentések sikeresek legyenek, és hogy az adatok helyesek és konzisztensek legyenek. Ezeket a szabályzatokat a szervezet helyreállítási időkorlátjával (RTO) és helyreállításipont-célkitűzésével (RPO) igazíthatja.
Erős titkosítás: Győződjön meg arról, hogy a felhőszolgáltató alapértelmezés szerint titkosítja az inaktív és az átvitel alatt lévő adatokat. Az Azure-ban az adatok végpontok között titkosítva lesznek. További részletekért tekintse meg a Microsoft adatvédelmi központját . A számítási feladatokban használt szolgáltatások esetében győződjön meg arról, hogy az erős titkosítás támogatott, és megfelelően konfigurálva van az üzleti követelményeknek megfelelően.
Rendszerintegritási tervezési minták
Biztonsági monitorozás: A felhőrendszerek jogosulatlan változásainak észleléséhez tervezzen egy robusztus biztonsági monitorozási platformot az általános monitorozási és megfigyelhetőségi stratégia részeként. Részletes általános útmutatásért tekintse meg a Módszertan monitorozása című szakaszt . A biztonsági monitorozásra vonatkozó javaslatokért tekintse meg a Teljes felügyelet láthatósági, automatizálási és vezénylési útmutatót.
- SIEM és fenyegetésészlelés: A biztonsági információk és eseménykezelés (SIEM) és a biztonsági vezénylés, az automatizálás és a válasz (SOAR) eszköz és fenyegetésészlelési eszköz használatával észlelheti az infrastruktúrát fenyegető gyanús tevékenységeket és potenciális fenyegetéseket.
Automatizált konfigurációkezelés: Az eszközhasználat kodifikálása a konfigurációkezelés automatizálásához. Az Automation segítségével gondoskodhat arról, hogy minden rendszerkonfiguráció konzisztens legyen, mentes legyen az emberi hibáktól, és automatikusan kényszerítse ki.
Automatizált javításkezelés: Az eszközhasználat kodifikálása a virtuális gépek frissítéseinek kezelésére és szabályozására. Az automatikus javítás segít biztosítani, hogy minden rendszer rendszeresen javításra kerüljön, és hogy a rendszerverziók konzisztensek legyenek.
Automatizált infrastruktúra-telepítések: Az infrastruktúra kódként (IaC) való használatának kódolása az összes üzembe helyezéshez. Az IaC üzembe helyezése a CI/CD-folyamatok részeként. Ugyanazokat a biztonságos üzembehelyezési eljárásokat alkalmazza az IaC-üzemelő példányokhoz, mint a szoftvertelepítésekhez.
Az Azure megkönnyítése
Az Azure Policy és a Felhőhöz készült Microsoft Defender együttműködve segítenek meghatározni és kikényszeríteni a biztonsági szabályzatokat a felhőbeli tulajdonban. Mindkét megoldás támogatja az alapvető elemek és a számítási feladatok erőforrásainak szabályozását.
Az Azure Update Manager a natív Azure-frissítés- és javításkezelési megoldás. Kiterjesztheti a helyszíni rendszerekre és az Arc-kompatibilis rendszerekre.
A Microsoft Sentinel a Microsoft SIEM és SOAR megoldás. Lehetővé teszi a kibertámadások észlelését, vizsgálatát és reagálását, proaktív vadászatát és átfogó áttekintését a vállalaton belül.
Felkészülés a rendelkezésre állásra
A számítási feladatok rugalmasságra való megtervezése segít biztosítani, hogy a vállalata képes legyen ellenállni a működési hibáknak és a biztonsági incidenseknek, és hogy a műveletek folytatódjanak az érintett rendszerekkel kapcsolatos problémák megoldása közben. A felhőadaptálási keretrendszer elvekhez igazodó alábbi javaslatok segíthetnek rugalmas számítási feladatok tervezésében:
Rugalmas alkalmazástervezés megvalósítása. Olyan alkalmazástervezési mintákat alkalmazhat, amelyek növelik az infrastruktúra és a nem infrastruktúra-incidensek elleni rugalmasságot, összhangban a felhőadaptálási keretrendszer tágabb alapelveivel. Szabványosítsa az öngyógyító és önmegőrző mechanizmusokat tartalmazó kialakításokat a folyamatos működés és a gyors helyreállítás érdekében. A rugalmas tervezési minták részletes útmutatását a jól megtervezett keretrendszer megbízhatósági pillérében találja.
Kiszolgáló nélküli architektúra bevezetése. Kiszolgáló nélküli technológiák, köztük a szolgáltatásként nyújtott platform (PaaS), a szolgáltatott szoftver (SaaS) és a szolgáltatásként való működés (FaaS) használatával csökkentheti a kiszolgálókezelési többletterhelést, automatikusan skálázhatja az igényeket, és javíthatja a rendelkezésre állást. Ez a megközelítés támogatja a számítási feladatok modernizálására és a működési hatékonyság optimalizálására felhőadaptálási keretrendszer hangsúlyt.
Mikroszolgáltatások és tárolók használata. Mikroszolgáltatások és tárolók implementálása a monolitikus alkalmazások elkerülése érdekében azáltal, hogy kisebb, független szolgáltatásokra bontja őket, amelyek egymástól függetlenül telepíthetők és méretezhetők. Ez a megközelítés felhőadaptálási keretrendszer felhőkörnyezetek rugalmasságának és méretezhetőségének alapelveihez igazodik.
Szolgáltatások leválasztása. A szolgáltatások stratégiai elkülönítése egymástól az incidensek robbanási sugarának csökkentése érdekében. Ez a stratégia segít biztosítani, hogy az egyik összetevő hibái ne befolyásolják a teljes rendszert. Támogatja a felhőadaptálási keretrendszer szabályozási modellt a robusztus szolgáltatáshatárok és a működési rugalmasság előmozdításával.
Automatikus skálázás engedélyezése. Győződjön meg arról, hogy az alkalmazásarchitektúra támogatja az automatikus skálázást a különböző terhelések kezeléséhez, hogy a forgalomnövekedések során is fenntarthassa a rendelkezésre állást. Ez a gyakorlat összhangban felhőadaptálási keretrendszer skálázható és rugalmas felhőkörnyezetek létrehozásával kapcsolatos útmutatással, és segít a költségek kezelhetőségében és kiszámíthatóságában.
Hibaelkülönítés implementálása. Az alkalmazást úgy tervezheti meg, hogy elkülönítse az egyes feladatok vagy függvények hibáit. Ez segíthet megelőzni a széles körű kimaradásokat, és fokozni a rugalmasságot. Ez a megközelítés támogatja a felhőadaptálási keretrendszer a megbízható és hibatűrő rendszerek létrehozására összpontosít.
Gondoskodjon a magas rendelkezésre állásról. Beépített redundancia- és vészhelyreállítási mechanizmusok beépítése a folyamatos működés fenntartásához. Ez a megközelítés felhőadaptálási keretrendszer ajánlott eljárásokat támogatja a magas rendelkezésre állás és az üzletmenet-folytonosság tervezéséhez.
Tervezze meg az automatikus feladatátvételt. Alkalmazások üzembe helyezése több régióban a zökkenőmentes feladatátvétel és a zavartalan szolgáltatás támogatása érdekében. Ez a megközelítés összhangban van a földrajzi redundancia és a vészhelyreállítás felhőadaptálási keretrendszer stratégiájával.
Felkészülés a biztonság fenntartására
A kész fázisban a hosszú távú biztonság fenntartására való felkészülés magában foglalja annak biztosítását, hogy a tulajdon alapvető elemei megfeleljenek a kezdeti számítási feladatokhoz ajánlott biztonsági eljárásoknak, de skálázhatóak is. Ezzel biztosíthatja, hogy a vagyon növekedésével és fejlődésével a biztonság ne sérüljön meg, és a biztonság kezelése ne váljon túl bonyolulttá és nehézkessé. Ez viszont segít elkerülni az árnyék informatikai viselkedését. Ennek érdekében a Kész fázisban gondolja át, hogy hosszabb távon hogyan valósíthatók meg üzleti céljai, anélkül, hogy jelentős architekturális átalakítások vagy az üzemeltetési gyakorlatok jelentős átdolgozása lenne. Még akkor is, ha a célzóna-kialakításnál sokkal egyszerűbb alaprendszert hoz létre, győződjön meg arról, hogy az alaptervet át lehet alakítani egy vállalati architektúrára anélkül, hogy újra üzembe kellene helyeznie a tulajdon főbb elemeit, például a hálózatkezelést és a kritikus számítási feladatokat. Egy olyan kialakítás létrehozása, amely a tulajdon növekedésével nőhet, de továbbra is biztonságos marad, a felhőbeli utazás sikerének kulcsa.
A meglévő Azure-környezet azure-beli kezdőzóna-architektúrára való áttérésével kapcsolatos javaslatokért tekintse meg a meglévő Azure-környezetek kezdőzóna-architektúrába való áthelyezésével kapcsolatos javaslatokat.