Jak zabezpečit infrastrukturu v Microsoft Azure

Využití cloudu jako zprostředkovatele výpočetních služeb dostupného rychle a jednoduše přes internet v posledních letech začalo využívat mnoho společností zvučných jmen v sektorech jako bankovnictví, stavebnictví anebo energetika. Pro společnosti je v dnešní době klíčové efektivně řídit byznys na základě kvalitního datového podkladu, umožňujícího rozšiřitelnost směrem k využití konceptů, nástrojů a technologií pro Machine Learning a AI. Cloud tímto směrem přináší spoustu přínosů, jako rychlejší inovace, flexibilitu prostředků a cenové výhody. Na přechod do Cloudu se však také váže mnoho technických otázek a jednou z nejvíce rezonujících je síťová bezpečnost.

I datoví specialisté zaměřující se zejména na integraci a správu systémů jako Data Warehouse, Data Lake a Data Lakehouse musí znát všeobecné principy a “Best Practicies” v oblasti síťového zabezpečení. V projektech, kdy dochází k migraci nebo vývoji nového datového řešení je nutné integrovat cloud komponenty v kooperaci s ostatními security specialisty tak, aby datové toky mezi zdrojovými systémy, DEV/TEST/PROD prostředími a aplikacemi pro koncové uživatele byly adekvátně zabezpečeny a také, aby podléhaly security politice, kterou si společnost stanovila.

Ochrana před kybernetickými hrozbami

Bezpečná infrastruktura v prostředí Azure eliminuje nebo významně snižuje různé druhy kybernetických hrozeb díky několika klíčovým prvkům, jako jsou např. privátní sítě, omezení portů a VPN (virtuální privátní sítě). Tyto prvky přispívají k celkové ochraně aplikací a dat před různými typy útoků. Obecně lze popsat následující hrozby, které bezpečná infrastruktura pomáhá eliminovat.

Neoprávněný přístup

Bezpečná infrastruktura zavádí víceúrovňové ověřování, řízení přístupu a šifrování, což brání neoprávněným uživatelům v přístupu k vašim citlivým datům a systémům. To zahrnuje ochranu před vniknutím útočníků, kteří by se mohli pokusit získat přístup k vaší infrastruktuře prostřednictvím slabých hesel nebo nedostatečně zabezpečených přístupových bodů.

Útoky typu DoS a DDoS

Distribuované útoky na odepření služby (DDoS) mohou zahltit vaše služby a způsobit jejich nedostupnost. Bezpečná infrastruktura zahrnuje mechanismy pro detekci a zmírnění těchto útoků, čímž zajišťuje dostupnost vašich aplikací a služeb i v případě útoku.

Škodlivé aktivity uvnitř sítě

Privátní sítě a omezení portů zajišťují, že interní komunikace je chráněna a že pouze autorizovaný provoz je povolen. To snižuje riziko, že útočníci, kteří se dostanou do jedné části vaší sítě, budou schopni se pohybovat do dalších částí a způsobit více škod.

Odposlouchávání dat

VPN a šifrování dat při přenosu chrání vaše citlivé informace před odposlechem. Bezpečná infrastruktura zajišťuje, že data přenášená mezi různými částmi vaší sítě nebo mezi vaší sítí a externími zdroji jsou šifrována a chráněna před neoprávněným přístupem.

Využití zranitelností

Omezení portů a pravidla firewallu zajišťují, že pouze nezbytné služby a aplikace mají přístup k síťovým prostředkům. To minimalizuje povrch útoku a snižuje šanci, že útočníci budou schopni využít zranitelnosti ve vašich systémech a aplikacích.

Při návrhu architektury datového řešení (nejen) na Azure Cloudu je však nezbytné zabývat se také topologií sítě a s tím spojenými výrazy jako Vnet, P2S, S2S, Express Route a Hub-to-Spoke. Jak a čím ovlivňují tvorbu cloudové infrastruktury? Dozvíte se v pokračování tohoto článku.

Reference: https://learn.microsoft.com/en-us/azure/security/


Autor článku je specialista na Microsoft Azure Matouš Vondál ze společnosti Ness Czech.