Dela via

Förbereda din säkra molnegendom

  • Artikel

Under förberedelsefasen av en molnimplementeringsresa fokuserar du på att skapa grunden för egendomen. Microsoft Azure-landningszonmetoden ger företag och stora organisationer ett säkrare, skalbart, modulärt designmönster att följa när de implementerar sina egendomar. Mindre organisationer och nystartade företag kanske inte behöver den organisationsnivå som landningszonmetoden tillhandahåller, men en förståelse för landningszonens filosofi kan hjälpa alla organisationer att utforma en grundläggande design och få en hög grad av säkerhet och skalbarhet.

När du har definierat din strategi och plan för molnimplementering kan du börja implementeringsfasen genom att utforma grunden. Använd rekommendationerna i den här guiden för att säkerställa att din grundläggande design och implementering prioriterar säkerheten.

Diagram som visar de metoder som ingår i molnimplementeringen. Diagrammet innehåller rutor för varje fas: team och roller, strategi, plan, redo, anta, styra och hantera. Rutan för den här artikeln är markerad.

Den här artikeln är en stödguide till ready-metoden . Den beskriver områden för säkerhetsoptimering som du bör tänka på när du går igenom den fasen i din resa.

Modernisering av säkerhetsstatus

De första implementeringsstegen för att modernisera din säkerhetsstatus är att skapa din landningszon eller molngrund och skapa eller modernisera din identitet, auktorisering och åtkomstplattform.

  • Använda landningszonmetoden: Genom att använda landningszonmetoden eller införliva designprinciperna för landningszonens metod i den utsträckning som är praktisk för ditt användningsfall kan du starta implementeringen på ett optimerat sätt. Allt eftersom din molnegendom utvecklas kan du hålla olika domäner för din egendom åtskilda så att hela egendomen blir säkrare och hanterbar.

    • Om du inte planerar att införa en fullständig landningszon för företag måste du fortfarande förstå designområdena och tillämpa vägledning som är relevant för din molnegendom. Du måste tänka på alla dessa designområden och implementera kontroller som är specifika för varje område, oavsett hur din grund är konstruerad. Om du till exempel använder hanteringsgrupper kan du styra din molnegendom även om den bara består av några få prenumerationer.

Utveckla säkra, skalbara landningszoner som tillhandahåller kontrollerade miljöer för distribution av molnresurser. De här zonerna hjälper dig att se till att säkerhetsprinciper tillämpas konsekvent och att resurserna är åtskilda enligt deras säkerhetskrav. Mer information om det här avsnittet finns i området för säkerhetsdesign .

  • Modern identitet, auktorisering och åtkomst: Baserat på principerna för Nolltillit flyttas den moderna metoden för identitet, auktorisering och åtkomst från förtroende som standard till förtroende per undantag. Det följer av dessa principer att användare, enheter, system och appar endast ska ha åtkomst till resurser som de behöver, och endast så länge som det behövs för att uppfylla deras behov. Samma vägledning gäller för de grundläggande elementen i din egendom: strikt kontrollera behörigheter för prenumerationer, nätverksresurser, styrningslösningar, plattformen för identitets- och åtkomsthantering (IAM) och klientorganisationer genom att följa samma rekommendationer som du följer för de arbetsbelastningar som du kör. Mer information om det här avsnittet finns i designområdet för identitets- och åtkomsthantering.

Azure-underlättande

  • Acceleratorer för Azure-landningszoner: Microsoft underhåller flera acceleratorer för landningszoner, som är förpaketerade distributioner av en viss arbetsbelastningstyp som enkelt kan distribueras till en landningszon för att snabbt komma igång. De omfattar acceleratorer för Azure Integration Services, Azure Kubernetes Service (AKS), Azure API Management och andra. I avsnittet Scenario för modern programplattform i Dokumentationen om Cloud Adoption Framework för Azure finns en fullständig lista över acceleratorer och andra ämnen som rör moderna programöverväganden.

  • Terraform-modul för Azure-landningszoner: Du kan optimera dina distributioner av landningszoner med automatisering med hjälp av Terraform-modulen För Azure-landningszoner. Genom att använda din CI/CD-pipeline (kontinuerlig integrering och kontinuerlig distribution) för att distribuera landningszoner kan du se till att alla landningszoner distribueras på samma sätt, med alla säkerhetsmekanismer på plats.

  • Microsoft Entra: Microsoft Entra är en familj av identitets- och nätverksåtkomstprodukter. Det gör det möjligt för organisationer att implementera en Nolltillit säkerhetsstrategi och skapa en förtroendeinfrastruktur som verifierar identiteter, validerar åtkomstvillkor, kontrollerar behörigheter, krypterar anslutningskanaler och övervakare för kompromisser.

Förbereda för incidentberedskap och incidenthantering

När du har definierat din strategi och utvecklat din plan för incidentberedskap och svar kan du påbörja implementeringen. Oavsett om du använder en fullständig design för företagslandningszoner eller en mindre grundläggande design är nätverkssegregering avgörande för att upprätthålla en hög säkerhetsnivå.

Nätverkssegmentering: Utforma en nätverksarkitektur med rätt segmentering och isolering för att minimera angreppsytor och innehålla potentiella överträdelser. Använd tekniker som virtuella privata moln (VPN), undernät och säkerhetsgrupper för att hantera och kontrollera trafik. Mer information om det här avsnittet finns i artikeln Planera för nätverkssegmentering . Se till att granska resten av nätverkssäkerhetsguiderna för Azure-landningszonen. Vägledningen innehåller rekommendationer för inkommande och utgående anslutning, nätverkskryptering och trafikkontroll.

Azure-underlättande

  • Azure Virtual WAN: Azure Virtual WAN är en nätverkstjänst som konsoliderar många funktioner för nätverk, säkerhet och routning för att tillhandahålla ett enda driftgränssnitt. Designen är en hub-and-spoke-arkitektur som har inbyggda skalnings- och prestandafunktioner för grenar (VPN/SD-WAN-enheter), användare (Azure VPN/OpenVPN/IKEv2-klienter), Azure ExpressRoute-kretsar och virtuella nätverk. När du implementerar dina landningszoner kan Azure Virtual WAN hjälpa dig att optimera nätverket genom segmenterings- och säkerhetsmekanismer.

Förbereda för konfidentialitet

Under fasen Klar är förberedelser för dina arbetsbelastningar ur konfidentialitetssynpunkt en process för att säkerställa att dina IAM-principer och -standarder implementeras och tillämpas. Den här förberedelsen säkerställer att dina data skyddas som standard när du distribuerar arbetsbelastningar. Se till att ha välstyrda policyer och standarder för:

  • Principen om minsta behörighet. Ge användarna den minsta åtkomst som krävs för att utföra sina uppgifter.

  • Rollbaserad åtkomstkontroll (RBAC). Tilldela roller och behörigheter baserat på jobbansvar. På så sätt kan du hantera åtkomst effektivt och minska risken för obehörig åtkomst.

  • Multifaktorautentisering (MFA). Implementera MFA för att lägga till ett extra säkerhetslager.

  • Kontroller för villkorsstyrd åtkomst. Kontroller för villkorlig åtkomst ger ytterligare säkerhet genom att tillämpa principer baserat på specifika villkor. Principer kan vara att framtvinga MFA, blockera åtkomst baserat på geografi och många andra scenarier. När du väljer en IAM-plattform måste du se till att villkorlig åtkomst stöds och att implementeringen uppfyller dina krav.

Azure-underlättande

Förbered för integritet

Precis som med dina konfidentialitetsförberedelser ser du till att du har välstyrda principer och standarder för data och systemintegritet så att du distribuerar arbetsbelastningar med förbättrad säkerhet som standard. Definiera principer och standarder för följande områden.

Datahanteringsmetoder

  • Dataklassificering: Skapa ett ramverk för dataklassificering och taxonomi för känslighetsetiketter som definierar kategorier av datasäkerhetsrisker på hög nivå. Du använder den taxonomi för att förenkla allt från datainventering eller aktivitetsinsikter till principhantering och undersökningsprioritering. Mer information om det här avsnittet finns i Skapa ett väldesignat dataklassificeringsramverk .

  • Dataverifiering och validering: Investera i verktyg som automatiserar dataverifiering och validering för att minska belastningen på dina datatekniker och administratörer och minska risken för mänskliga fel.

  • Säkerhetskopieringsprinciper: Kodifiera säkerhetskopieringsprinciper för att säkerställa att alla data säkerhetskopieras regelbundet. Testa säkerhetskopieringar och återställningar regelbundet för att säkerställa att säkerhetskopiorna lyckas och att data är korrekta och konsekventa. Anpassa dessa principer till organisationens mål för återställningstid (RTO) och mål för återställningspunkt (RPO).

  • Stark kryptering: Se till att molnleverantören krypterar dina data i vila och under överföring som standard. I Azure krypteras dina data från slutpunkt till slutpunkt. Mer information finns i Microsoft Trust Center . För de tjänster som du använder i dina arbetsbelastningar kontrollerar du att stark kryptering stöds och konfigureras korrekt för att uppfylla dina affärskrav.

Designmönster för systemintegritet

  • Säkerhetsövervakning: Utforma en robust plattform för säkerhetsövervakning som en del av din övergripande strategi för övervakning och observerbarhet för att identifiera obehöriga ändringar i dina molnsystem. Mer information finns i avsnittet Hantera metodövervakning. Se guiden Nolltillit Synlighet, automatisering och orkestrering för rekommendationer om säkerhetsövervakning.

    • SIEM och hotidentifiering: Använd verktyg för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR) och verktyg för hotidentifiering för att identifiera misstänkta aktiviteter och potentiella hot mot infrastrukturen.

  • Automatiserad konfigurationshantering: Kodifiera användningen av verktyg för att automatisera konfigurationshanteringen. Automation hjälper dig att se till att alla systemkonfigurationer är konsekventa, fria från mänskliga fel och framtvingas automatiskt.

  • Automatiserad korrigeringshantering: Kodifiera användningen av verktyg för att hantera och styra uppdateringar för virtuella datorer. Automatisk korrigering säkerställer att alla system korrigeras regelbundet och att systemversionerna är konsekventa.

  • Automatiserade infrastrukturdistributioner: Kodifiera användningen av infrastruktur som kod (IaC) för alla distributioner. Distribuera IaC som en del av dina CI/CD-pipelines. Tillämpa samma säkra distributionsmetoder för IaC-distributioner som för programdistributioner.

Azure-underlättande

  • Azure Policy och Microsoft Defender för molnet samarbeta för att hjälpa dig att definiera och tillämpa säkerhetsprinciper i din molnegendom. Båda lösningarna stöder styrning av dina grundläggande element och dina arbetsbelastningsresurser.

  • Azure Update Manager är den interna lösningen för uppdaterings- och korrigeringshantering i Azure. Du kan utöka den till lokala system och Arc-aktiverade system.

  • Microsoft Sentinel är Microsoft SIEM- och SOAR-lösningen. Det ger cyberhot, undersökning och svar, proaktiv jakt och en omfattande vy över hela företaget.

Förbereda för tillgänglighet

Genom att utforma dina arbetsbelastningar för återhämtning ser du till att ditt företag kan hantera fel och säkerhetsincidenter och att åtgärderna kan fortsätta medan problem med berörda system åtgärdas. Följande rekommendationer, som överensstämmer med principerna i Cloud Adoption Framework, kan hjälpa dig att utforma motståndskraftiga arbetsbelastningar:

  • Implementera elastisk programdesign. Anta designmönster för program som förbättrar motståndskraften mot både infrastruktur- och icke-infrastrukturincidenter, i linje med de bredare principerna i Cloud Adoption Framework. Standardisera på design som innehåller självåterställning och självbevarande mekanismer för att säkerställa kontinuerlig drift och snabb återställning. Detaljerad vägledning om motståndskraftiga designmönster finns i well-architected Frameworks tillförlitlighetspelare.

  • Anta serverlös arkitektur. Använd serverlösa tekniker, inklusive PaaS (Plattform som en tjänst), Programvara som en tjänst (SaaS) och Funktion som en tjänst (FaaS), för att minska kostnaderna för serverhantering, automatiskt skala med efterfrågan och förbättra tillgängligheten. Den här metoden stöder molnimplementeringsramverkets betoning på att modernisera arbetsbelastningar och optimera driftseffektiviteten.

  • Använd mikrotjänster och containerisering. Implementera mikrotjänster och containerisering för att undvika monolitiska program genom att dela upp dem i mindre, oberoende tjänster som du kan distribuera och skala separat. Den här metoden överensstämmer med Cloud Adoption Framework-principerna om flexibilitet och skalbarhet i molnmiljöer.

  • Frikoppla tjänster. Isolera tjänster strategiskt från varandra för att minska explosionsradien för incidenter. Den här strategin hjälper till att säkerställa att fel i en komponent inte påverkar hela systemet. Den stöder cloud adoption framework-styrningsmodellen genom att främja robusta tjänstgränser och driftsresiliens.

  • Aktivera automatisk skalning. Se till att programarkitekturen stöder automatisk skalning för att hantera varierande belastningar så att den kan upprätthålla tillgängligheten vid trafiktoppar. Den här metoden överensstämmer med vägledningen i Cloud Adoption Framework för att skapa skalbara och dynamiska molnmiljöer och kan hjälpa dig att hålla kostnaderna hanterbara och förutsägbara.

  • Implementera felisolering. Utforma ditt program för att isolera fel till enskilda uppgifter eller funktioner. Detta kan bidra till att förhindra omfattande avbrott och förbättra motståndskraften. Den här metoden stöder Cloud Adoption Framework fokus på att skapa tillförlitliga och feltoleranta system.

  • Se till att tillgängligheten är hög. Använd inbyggda mekanismer för redundans och haveriberedskap för att upprätthålla kontinuerlig drift. Den här metoden stöder bästa praxis för Cloud Adoption Framework för planering av hög tillgänglighet och affärskontinuitet.

  • Planera för automatisk redundans. Distribuera program i flera regioner för att stödja sömlös redundans och oavbruten tjänst. Den här metoden överensstämmer med Cloud Adoption Framework-strategin för geografisk redundans och haveriberedskap.

Förbereda för säkerhetsförstrygghet

Under ready-fasen innebär förberedelser för långsiktig säkerhetsförsämring att se till att de grundläggande delarna i din egendom följer rekommenderade säkerhetsmetoder för de första arbetsbelastningarna men också är skalbara. Detta hjälper dig att se till att din egendom växer och utvecklas, att din säkerhet inte äventyras och att hanteringen av din säkerhet inte blir för komplex och betungande. Detta hjälper dig i sin tur att undvika skugg-IT-beteenden. Därför bör du under fasen Klar tänka på hur dina affärsmål på längre sikt kan uppnås utan större arkitektoniska omkonstruktioner eller större översyner av driftspraxis. Även om du väljer att skapa en mycket enklare grund än en landningszonsdesign, ser du till att du kan överföra din grundläggande design till en företagsarkitektur utan att behöva distribuera om viktiga delar av din egendom, till exempel nätverk och kritiska arbetsbelastningar. Att skapa en design som kan växa i takt med att din egendom växer, men som fortfarande är säker, är avgörande för att din molnresa ska lyckas.

Mer information om hur du flyttar ett befintligt Azure-fotavtryck till en landningszonsarkitektur finns i Överföra en befintlig Azure-miljö till den konceptuella arkitekturen i Azure-landningszonen.

Gå vidare

Utföra molnimplementeringen med förbättrad säkerhet