【Azure IaaS】概述–将零信任原则应用于Azure IaaS

摘要：要将零信任原则应用于Azure IaaS组件和基础架构，您必须首先了解常见的参考架构以及Azure存储、虚拟机、辐条和集线器虚拟网络的组件。

本系列文章帮助您基于应用零信任原则的多学科方法，将零信任原则应用于Microsoft Azure IaaS中的工作负载。零信任是一种安全策略。它不是一种产品或服务，而是一种设计和实现以下安全原则的方法：

• 明确验证
• 使用最低权限访问
• 假设违约

实施“零信任”心态，即“假设违规，从不信任，始终验证”，需要改变云基础设施、部署策略和实施。

这五篇文章的初始系列（包括本介绍）向您展示了如何将零信任方法应用于基于基础设施服务的常见IT业务场景。该工作分为多个单元，可以按如下方式配置在一起：

• Azure storage
• Virtual machines
• Spoke virtual networks (VNets) for virtual machine-based workloads
• Hub VNets to support access to many workloads in Azure

有关更多信息，请参阅将零信任原则应用于Azure虚拟桌面。

注：

未来，本系列还将添加其他文章，包括组织如何基于真实的IT业务环境将零信任方法应用于应用程序、网络、数据和DevOps服务。

重要事项

本零信任指南描述了如何使用和配置Azure上可用的几个安全解决方案和功能作为参考架构。其他一些资源也为这些解决方案和功能提供了安全指导，包括：

• Microsoft Cloud Security Benchmark
• Microsoft Cloud Security Baseline

为了描述如何应用零信任方法，本指南针对的是许多组织在生产中使用的一种常见模式：基于虚拟机的应用程序（和IaaS应用程序）。对于将本地应用程序迁移到Azure的组织来说，这是一种常见的模式，有时也被称为“提升和转移”。参考架构包括支持此应用程序所需的所有组件，包括存储服务和一个集线器Direct3D。

参考架构反映了生产环境中的常见部署模式。它并不是基于云采用框架（CAF）中推荐的企业级着陆区，尽管CAF中的许多最佳实践都包含在参考架构中，例如使用专用的ExpressRoute来托管代理访问应用程序的组件（hub ExpressRoute）。

如果您有兴趣了解云采用框架Azure着陆区中推荐的指导，请参阅以下资源：

• Get started with the Cloud Adoption Framework
• What is an Azure landing zone?

参考架构

下图显示了此零信任指南的参考架构。

将零信任应用于Azure IaaS的参考架构图，其中包含不同类型的用户、在虚拟机上运行的常见应用程序、PaaS服务和存储。

该架构包含：

• 多种IaaS组件和元素，包括从不同站点访问应用程序的不同类型的用户和IT消费者。例如Azure、互联网、内部部署和分支机构。
• 一个常见的三层应用程序，包括前端层、应用层和数据层。所有层都在名为SPOKE的ExpressRoute中的虚拟机上运行。对应用程序的访问受到另一个名为HUB的ExpressRoute的保护，HUB包含额外的安全服务。
   
• Azure上支持IaaS应用程序的一些最常用的PaaS服务，包括基于角色的访问控制（RBAC）和Microsoft Entra ID，它们有助于实现零信任安全方法。
• 存储块和存储文件，为用户共享的应用程序和文件提供对象存储。

本系列文章通过解决Azure中托管的这些较大部分中的每一个，详细介绍了为参考架构实现零信任的建议，如下所示。

将零信任应用于Azure IaaS的参考架构图，显示了存储、虚拟机以及辐条和集线器虚拟网络的分组组件。

该图概述了本系列每篇文章所涉及的架构的较大区域：

1. Azure Storage Services
2. Virtual machines
3. Spoke VNets
4. Hub VNets

值得注意的是，本系列文章中的指导比云采用框架和Azure着陆区架构中提供的指导更具体地针对这种架构。如果您应用了这些资源中的任何一个中的指导，请务必查看本系列文章以获取更多建议。

了解Azure组件

参考架构图提供了环境的拓扑视图。从逻辑上了解每个组件在Azure环境中的组织方式也很有价值。下图提供了一种组织订阅和资源组的方法。您的Azure订阅可能组织方式不同。

将零信任应用于Azure IaaS的逻辑架构图，显示了订阅、Microsoft Defender for Cloud和Azure Monitor以及Microsoft Entra ID租户内的资源组。

在此图中，Azure基础架构包含在Microsoft Entra ID租户中。下表描述了图中显示的不同部分。

• Azure订阅

您可以在多个订阅中分发资源，每个订阅可能具有不同的角色，如网络订阅或安全订阅。这在前面引用的云采用框架和Azure着陆区文档中进行了描述。不同的订阅也可能包含不同的环境，如生产、开发和测试环境。这取决于你想如何分离你的环境以及你在每个环境中拥有的资源数量。一个或多个订阅可以使用管理组一起管理。这使您能够将基于角色的访问控制（RBAC）和Azure策略的权限应用于一组订阅，而不是单独设置每个订阅。

• Microsoft云和Azure监视器防御程序

对于每个Azure订阅，都有一组Azure Monitor解决方案和云卫士可用。如果您通过管理组管理这些订阅，则可以在单个门户中整合Azure Monitor和Defender for Cloud的所有功能。例如，Defender For Cloud提供的Secure Score将使用管理组作为范围，为您的所有订阅进行整合。

• 存储资源组（1）

存储帐户包含在专用资源组中。您可以将每个存储帐户隔离在不同的资源组中，以实现更精细的权限控制。Azure存储服务包含在专用存储帐户中。您可以为每种类型的存储工作负载设置一个存储帐户，例如对象存储（也称为Blob存储）和Azure文件。这提供了更精细的访问控制，可以提高性能。

• 虚拟机资源组（2）

虚拟机包含在一个资源组中。您还可以在不同的资源组中为工作负载层（如前端、应用程序和数据）设置每种虚拟机类型，以进一步隔离访问控制。

• 独立订阅中的轮辐（3）和集线器（4）ExpressRoute资源组

参考体系结构中每个虚拟主机的网络和其他资源都隔离在辐条和集线器虚拟主机的专用资源组中。当这些责任由不同的团队承担时，这个组织运作良好。另一种选择是通过将所有网络资源放在一个资源组中并将安全资源放在另一个组中来组织这些组件。这取决于您的组织如何设置来管理这些资源。

使用Microsoft Defender for Cloud进行威胁防护

Microsoft Defender for Cloud是一种扩展检测和响应（XDR）解决方案，可自动收集、关联和分析整个环境中的信号、威胁和警报数据。Defender for Cloud旨在与Microsoft Defender XDR一起使用，为您的环境提供更广泛的相关保护，如下图所示。

为Azure IaaS组件提供威胁防护的Microsoft Defender for Cloud和Microsoft Defender XDR的逻辑架构图。

在图中：

• 为包含多个Azure订阅的管理组启用了云卫士。
• Microsoft Defender XDR已为Microsoft 365应用程序和数据、与Microsoft Entra ID集成的SaaS应用程序以及本地Active Directory域服务（AD DS）服务器启用。
   

有关配置管理组和启用Defender For Cloud的更多信息，请参阅：

• Organize subscriptions into management groups and assign roles to users
• Enable Defender for Cloud on all subscriptions in a management group

本系列文章中的安全解决方案

零信任涉及同时应用多个安全和信息保护学科。在本系列文章中，这种多学科方法应用于基础设施组件的每个工作单元，如下所示：

将零信任原则应用于Azure存储

1. 以三种模式保护数据：静态数据、传输中数据和使用中数据
2. 验证用户并以最低权限控制对存储数据的访问
3. 通过网络控制从逻辑上分离或隔离关键数据
4. 使用Defender for Storage进行自动威胁检测和保护
    

将零信任原则应用于Azure中的虚拟机

1. 为虚拟机配置逻辑隔离
2. 利用基于角色的访问控制（RBAC）
3. 保护虚拟机引导组件
4. 启用客户管理的密钥和双重加密
5. 控制虚拟机上安装的应用程序
6. 配置安全访问
7. 设置虚拟机的安全维护
8. 启用高级威胁检测和保护
    

将零信任原则应用于Azure中的轮辐ExpressRoute

1. 利用Microsoft Entra RBAC或为网络资源设置自定义角色
2. 将基础设施隔离到自己的资源组中
3. 为每个子网创建网络安全组
4. 为每个虚拟机角色创建应用程序安全组
5. 保护ExpressRoute中的流量和资源
6. 安全访问ExpressRoute和应用程序
7. 启用高级威胁检测和保护
    

将零信任原则应用于Azure中的集线器

1. 安全Azure防火墙高级版
2. 部署Azure DDoS保护标准
3. 配置防火墙的网络网关路由
4. 配置威胁防护

Recommended training for Zero Trust

The following are the recommended training modules for Zero Trust.

Azure management and governance

 

Training

Describe Azure management and governance

The Microsoft Azure Fundamentals training is composed of three learning paths: Microsoft Azure Fundamentals: Describe cloud concepts, Describe Azure architecture and services, and Describe Azure management and governance. Microsoft Azure Fundamentals: Describe Azure management and governance is the third learning path in Microsoft Azure Fundamentals. This learning path explores the management and governance resources available to help you manage your cloud and on-premises resources. This learning path helps prepare you for Exam AZ-900: Microsoft Azure Fundamentals.

Start >

配置Azure策略

 

Training	Configure Azure Policy
	Learn how to configure Azure Policy to implement compliance requirements. In this module, you learn how to: Create management groups to target policies and spending budgets. Implement Azure Policy with policy and initiative definitions. Scope Azure policies and determine compliance.

Start >

管理安全操作

 

Training	Manage Security operation
	Once you have deployed and secured your Azure environment, learn to monitor, operate, and continuously improve the security of your solutions. This learning path helps prepare you for Exam AZ-500: Microsoft Azure Security Technologies.

Start >

配置存储安全

 

Training	Configure Storage security
	Learn how to configure common Azure Storage security features like storage access signatures. In this module, you learn how to: Configure a shared access signature (SAS), including the uniform resource identifier (URI) and SAS parameters. Configure Azure Storage encryption. Implement customer-managed keys. Recommend opportunities to improve Azure Storage security.

Start >

配置Azure防火墙

 

Training	Configure Azure Firewall
	You will learn how to configure the Azure Firewall including firewall rules. After completing this module, you will be able to: Determine when to use Azure Firewall. Implement Azure Firewall including firewall rules.

Start >

For more training on security in Azure, see these resources in the Microsoft catalog:
Security in Azure | Microsoft Learn

接下来的步骤

See these additional articles for applying Zero Trust principles to Azure:

• For Azure IaaS:
  
  • Azure storage
  • Virtual machines
  • Spoke virtual networks
  • Hub virtual networks
  • Spoke virtual networks with Azure PaaS services
• Azure Virtual Desktop
• Azure Virtual WAN
• IaaS applications in Amazon Web Services
• Microsoft Sentinel and Microsoft Defender XDR

See these additional articles for applying Zero Trust principles to Azure networking:

• Encryption
• Segmentation
• Gain visibility into your network traffic
• Discontinue legacy network security technology

技术说明

本海报提供了Azure IaaS组件的单页概览，作为参考和逻辑架构，以及确保这些组件应用零信任模型的“永不信任，始终验证”原则的步骤。

 

Item	Related solution guides
PDF | Visio Updated March 2024	Azure Storage services Virtual machines Spoke VNets Hub VNets

此下载提供了Azure IaaS零信任的参考和逻辑架构以及单独组件的详细配置。请将此下载的页面用于单独的IT部门或专业，或者使用该文件的Microsoft Visio版本，为您的基础架构自定义图表。

 

Item	Related solution guides
PDF | Visio Updated March 2024	Azure Storage services Virtual machines Spoke VNets Hub VNets

For additional technical illustrations, click here.

References

Refer to the following links to learn about the various services and technologies mentioned in this article.

• What is Azure - Microsoft Cloud Services
• Azure Infrastructure as a Service (IaaS)
• Virtual Machines (VMs) for Linux and Windows
• Introduction to Azure Storage
• Azure Virtual Network
• Introduction to Azure security
• Zero Trust implementation guidance
• Overview of the Microsoft cloud security benchmark
• Security baselines for Azure overview
• Building the first layer of defense with Azure security services
• Microsoft Cybersecurity Reference Architectures