Как построить безопасную гибридную инфраструктуру: ТОП-4 облачных ИБ-сервисов Azure

Данный материал является логическим продолжением статьи «Планирование и подготовка к организации гибридной инфраструктуры локального AD с Azure AD».

В предыдущей статье мы говорили о подготовке к развертыванию и основных ошибках, которые допускают специалисты при создании гибридных сред. В данном материале мы рассмотрим, какие облачные сервисы Azure будут полезны бизнесу в качестве инструментов для обеспечения комфортной и безопасной работы.

Четыре основных сервиса, которые мы рекомендуем для повышения безопасности гибридной инфраструктуры:

№1: объединение локальной и виртуальной сети посредством организации VPN.

Объединение локальных и виртуальных сетей Azure с помощью VPN-шлюза в единую сеть является логичным шагом для построения безопасной инфраструктуры. Главная цель объединения – обеспечить прозрачный защищенный доступ к территориально распределенным информационным ресурсам организации.

Зачем объединять сети?
Это позволяет решить следующие наиболее распространенные задачи:

1. Обеспечить авторизацию пользователей для доступа к корпоративным ресурсам как локальным, так и облачным, независимо от их текущего месторасположения.
2. Использовать виртуальный рабочий стол Azure из корпоративной сети для безопасного удаленного подключения.
3. Обеспечить простой безопасный доступ к облачным службам Azure из локальной среды.

VPN-шлюз — это особый тип шлюза виртуальной сети, используемый для отправки зашифрованного трафика между виртуальной сетью Azure и локально расположенными ресурсами через общедоступный Интернет. Каждая виртуальная сеть может иметь только один VPN-шлюз, однако к нему можно создать несколько подключений. При этом все VPN-туннели будут совместно использовать доступную для этого шлюза пропускную способность.

№2: многофакторная аутентификация. 5 основных возможностей:

• Обеспечение безопасного доступа к корпоративным ресурсам для сотрудников, работающих удаленно.
• Снижение рисков при компрометации паролей злоумышленником.
  Если для проверки подлинности пользователя применяется только пароль, система подвергается риску атаки. Если пароль ненадежен или скомпрометирован, отличить пользователя от злоумышленника при входе по имени пользователя или паролю весьма затруднительно. Классическим примером многофакторной идентификации является получение кода по SMS на телефон пользователя после ввода логина и пароля на доступ к сервису. Многофакторная аутентификация Azure AD подразумевает несколько различных методов проверки подлинности, в т.ч.:
• информацию, известную только пользователю (обычно это пароль);
• доверенное устройство, которое нельзя легко скопировать, например, телефон или аппаратный ключ;
• персональную характеристику, например, отпечаток пальца или изображение лица.
  Администраторы Azure AD могут выбирать формы дополнительной проверки подлинности. Многофакторную аутентификацию можно также назначить обязательным действием при самостоятельном сбросе пароля, чтобы дополнительно защитить этот процесс.

№3: Bastion Azure – еще один из полезнейших сервисов для безопасного доступа к ресурсам. Этот функционал необходим для защиты удаленного доступа к виртуальным машинам через веб-браузер.

№4: Azure AD Application Proxy, позволяющий:

• Обеспечить безопасный доступ к локальным веб-приложениям с помощью облачных служб Azure.
• Упростить публикацию локальных веб-приложений вовне без сети периметра.
• Организовать централизованное управление учетными записями пользователей.
• Обеспечить централизованное управление удостоверениями и безопасностью.

Azure AD Application Proxy – это функция Azure AD, которая позволяет пользователям получать доступ к локальным веб-приложениям с удаленного клиента. Azure AD Application Proxy включает в себя прокси-службу приложения, работающую в облаке, и прокси-соединитель, который работает на локальном сервере. Azure AD, прокси-служба и прокси-соединитель приложения работают вместе, чтобы безопасно передать из Azure AD в веб-приложение токен входа пользователя. При работе с приложениями, размещенными в облаке с помощью Azure AD Application Proxy, нет необходимости в VPN или обратном прокси.

Хотите получить об этом более детальную информацию? Приходите на наши онлайн-семинары. В рамках мероприятий мы расскажем о том, как обеспечить безопасное подключение к корпоративным ресурсам компании, зачем публиковать локальные приложения в облаке, как это повысит безопасность, как защитить локальные ресурсы через построение гибрида и многом другом. Вас ждут советы от экспертов Axoft, а также ответы на все возникающие вопросы. Зарегистрироваться на онлайн-семинары вы сможете, перейдя по ссылке: http://cloudteam.axoftglobal.com/webs-azure?utm_medium=securitylab

Axoft – официальный дистрибутор Microsoft CSP – работает на IT-рынке более 17 лет. В штате компании – сертифицированные корпорацией Microsoft инженеры, реализовавшие более 120 проектов в сфере миграции и построения гибридных инфраструктур с помощью Microsoft Cloud.