Säkerhetsöverväganden för Azure Integration Services-acceleratorn för landningszoner

God säkerhet är hörnstenen i alla Azure program. Azure Integration Services står inför en särskild utmaning, eftersom det finns många resurser som utgör ett program, och var och en av dessa resurser har sina egna säkerhetsöverväganden. Se till att du förstår de specifika övervägandena för varje tjänst genom att läsa följande säkerhetsbaslinjer:

• Azure säkerhetsbaslinje för Logic Apps

• Azure säkerhetsbaslinje för API Management

• Azure säkerhetsstandard för Data Factory

• Azure säkerhetsbaslinje för Service Bus

• Azure säkerhetsbaslinje för Funktioner

• Azure säkerhetsbaslinje för lagring

• Azure säkerhetsbaslinje för Key Vault

Designöverväganden

När du utformar din säkerhetsmodell finns det två olika designområden: designtidssäkerhet och körningssäkerhet.

• Design-time security innebär åtkomst till hantering och skapande av Azure resurser via Azure-portalen eller Resource Manager API. Inom Azure använder vi Microsoft Entra ID och rollbaserad åtkomstkontroll (RBAC).

• Run-Time säkerhet innebär åtkomst till slutpunkter och resurser under flödet av ett program – till exempel autentisera och auktorisera en användare som anropar en logikapp eller en API-åtgärd i API Management.

Bestäm tidigt om du behöver:

• Private Cloud – alla dina resurser finns i ett Virtual Network (VNet) och använder endast privata nätverk, utan åtkomst till eller från det offentliga Internet, som kan vara tillgängliga för dina lokala resurser via VPN eller ExpressRoute.

• Offentligt moln – alla dina offentliga resurser har åtkomst till offentligt Internet, även om de är låsta för att begränsa åtkomsten från det offentliga Internet och endast tillåta specifika IP-adresser/intervall.

• Hybrid – vissa resurser är privata och vissa är offentliga.

Valet som du gör påverkar både kostnaden för dina resurser och hur mycket säkerhet du kan implementera för dina program.

Allmänna säkerhetsöverväganden är:

• Använda Azure nätverkstjänster för att skydda inkommande och utgående trafik.

• Använda Microsoft Entra ID och OAuth 2.0 för att hantera autentisering och auktorisering.

• Framtvinga styrningsprinciper med Azure Policy.

• Låser åtkomsten till resurser (åtkomstkontroll).

• Kryptera data både under överföring och i vila.

• Logga alla försök att komma åt resurser.

• Granska åtkomst till resurser.

Designrekommendationer

Rekommendationer för nätverksdesign

• Titta på användningen av en Application Gateway (Azure Application Gateway eller Azure Front Door) med en Web Application Firewall (WAF) framför dina tillgängliga slutpunkter. Detta hjälper till med automatisk kryptering av data och gör att du kan övervaka och konfigurera dina tillgängliga slutpunkter. slutpunkter enklare.

  • Front Door är ett nätverk för programleverans som tillhandahåller en global tjänst för belastningsutjämning och platsacceleration för webbprogram. Front Door erbjuder Layer 7-funktioner som SSL-avlastning, sökvägsbaserad routning, snabb redundans och cachelagring för att förbättra prestanda och tillgänglighet för dina program.

  • Traffic Manager är en DNS-baserad lastbalanserare som gör att du kan distribuera trafik optimalt till tjänster i globala Azure regioner, samtidigt som du får hög tillgänglighet och svarstid. Eftersom Traffic Manager är en DNS-baserad belastningsutjämningstjänst lastbalanseras den endast på domännivå. Därför kan den inte växla över lika snabbt som Front Door på grund av vanliga utmaningar kring DNS-cachelagring och system som inte respekterar DNS TTL.

  • Application Gateway tillhandahåller en hanterad programleveranskontrollant med olika layer 7-belastningsutjämningsfunktioner. Du kan använda Application Gateway för att optimera webbgruppsproduktiviteten genom att avlasta CPU-intensiv SSL-avslutning till gatewayen.

  • Azure Load Balancer är en högpresterande Layer 4-tjänst för inkommande och utgående belastningsutjämning med ultralåg svarstid för alla UDP- och TCP-protokoll. Load Balancer hanterar miljontals begäranden per sekund. Load Balancer är zonredundant, vilket säkerställer hög tillgänglighet i Availability Zones.

• Implementera nätverksisolering för dina integreringstjänstresurser med hjälp av VNet-integrering för att placera dem i ett isolerat undernät i kombination med Azure PrivateLink och privata slutpunkter. Se artikeln Nätverkstopologi och anslutning i den här serien för en genomgång av den här designvägledningen.

• Skydda din utgående trafik med Azure Firewall

• Använd IP-filtrering för att låsa dina slutpunkter så att de endast nås av kända nätverksadresser (detta gäller för PaaS-tjänster (Plattform som en tjänst) (till exempel Logic Apps, Funktionsappar, Service Bus) som inte är integrerade i virtuella nätverk).

• Om du har resurser tillgängliga offentligt använder du DNS-fördunkling för att avskräcka angripare. obfuscation innebär antingen anpassade domännamn eller specifika Azure resursnamn som inte avslöjar syftet eller ägaren av en resurs.

Rekommendationer för krypteringsdesign

• När du lagrar data (till exempel i Azure Storage eller Azure SQL Server) i Azure PaaS-tjänster är de alltid krypterade i vila med hjälp av Microsoft hanterade nycklar. Lås åtkomsten till data, helst endast till tjänster och ett begränsat antal administratörer. Kom ihåg att detta även gäller för loggdata. Mer information finns i Azure datakryptering i vila och Azure krypteringsöversikt. Överväg om det är nödvändigt att använda Kundhanterade nycklar (CMK) eller om Microsoft-hanterade nycklar är tillräckliga.

• Använd alltid kryptering under överföring (t.ex. TLS-trafik) när du överför data mellan resurser. skicka aldrig data via en okrypterad kanal.

• När du använder TLS-protokoll ska du alltid använda TLS 1.2 eller senare.

• Behåll hemligheter i Azure Key Vault och länka sedan dessa till Appinställningar (Functions, Logic Apps), Named Values (API Management) eller Configuration Entries (App Configuration).

• Implementera en nyckelroteringsprincip för att säkerställa att alla nycklar som används i din miljö roteras regelbundet för att förhindra attacker med hjälp av riskerade nycklar

• För Logic Apps, använd döljning för att skydda data i körningshistoriken.

Designrekommendationer för autentisering och åtkomst

• Följ alltid principen om lägsta behörighet när du tilldelar åtkomst: ge en identitet de minsta behörigheter den behöver. Om det inte finns någon inbyggd roll med de minimala behörigheter du behöver kan du skapa en anpassad roll med bara dessa behörigheter.

• När det är möjligt bör du alltid använda hanterade identiteter när en resurs behöver åtkomst till en tjänst. Om ditt Logic App-arbetsflöde till exempel behöver komma åt Key Vault för att hämta en hemlighet använder du Hanterad identitet för dina Logic Apps; Hanterade identiteter ger en säkrare och enklare hanteringsmekanism för åtkomst till resurser, eftersom Azure hanterar identiteten åt dig.

• Använd OAuth 2.0 som autentiseringsmekanism mellan resursslutpunkter:

  • I Logic Apps eller Functions aktiverar du Easy Auth, som kräver att alla externa anropare använder en OAuth-identitet (vanligtvis Microsoft Entra ID, men kan vara en identitetsprovider).

  • I API Management använder du validate-jwtprincipelementet för att kräva ett OAuth-flöde för anslutningar till slutpunkter.

  • I Azure Storage och Key Vault konfigurerar du åtkomstprinciper för att begränsa åtkomsten till specifika identiteter.

Rekommendationer för styrningsdesign

• Använd aktivt Azure Policy för att söka efter säkerhetsproblem eller brister. Till exempel slutpunkter utan IP-filtrering.

• Om det är tillgängligt använder du Microsoft Defender för molnet för att genomsöka dina resurser och identifiera potentiella svagheter.

• Granska regelbundet granskningsloggar (helst med hjälp av ett automatiserat verktyg) för att identifiera både säkerhetsattacker och eventuell obehörig åtkomst till dina resurser.

• Överväg att använda intrångstestning för att identifiera eventuella svagheter i din säkerhetsdesign.

• Använd automatiserade distributionsprocesser för att konfigurera säkerhet. Om möjligt, Använd en CI/CD-pipeline som GitHub Actions eller Azure DevOps Pipelines och infrastruktur som kodverktyg som Bicep eller Terraform för att inte bara distribuera dina resurser, utan även för att konfigurera säkerhet. Detta säkerställer att dina resurser skyddas automatiskt när de distribueras.

Nästa steg

Granska de kritiska designområdena för att göra fullständiga överväganden och rekommendationer för din arkitektur.

Rekommenderat innehåll

• Vad är Microsoft Defender för molnet?

• Vad är hanterade identiteter för Azure resurser?

• Autentisera åtkomst till Azure resurser med hanterade identiteter i Azure Logic Apps

• Säkerhetsöverväganden för dataflytt i Azure Data Factory

• Utlösa arbetsflöden i standardlogikappar med Enkel autentisering

• Skydda ett API i Azure API Management med OAuth 2.0-auktorisering med Microsoft Entra ID

• Azure Key Vault säkerhet

• Lagringskonton och säkerhet