微軟 Azure 安全性
云端重新定義了企業管理安全的方式,無論您是處理云端中誕生的应用程式還是從本地遷移工作負載,都需要更高的警覺性和多層安全實施。
作為領先的云端服务供應商之一,Microsoft Azure 擁有大量服务和工具來幫助您應對這些新挑戰。儘管如此,云端安全仍然是一項儘管資產的實體安全性、作業系統(對於 PaaS 服务)或应用程式堆疊(對於軟體即服务)等一些因素已被云端服务提供者免除,但資料、端点的安全性、帳戶和存取管理仍由客戶負責。
础锄耻谤别平台
Azure 平台提供多種服务,大致可分為基礎架構即服务 (基礎架構式服务)、平台即服务 (PaaS) 和軟體即服务 (SaaS) 交付楷模。它支援多個作業系統、应用程式堆疊、最受歡迎的資料庫平台和容器託管解决方案。無論您的应用程式是否是使用 .NET、PHP、Python、Node.JS、Java、MySQL、SQL、MariaDB、Docker、 Kubernetes建構的,它都可以在 Azure 中找到一個家。
?
當您將应用程式從完全由您管理的資料中心遷移到 Azure 時,您將極大地依賴該平台來保護這些工作負載。因此,安全共享責任模式在這裡對角色和責任的分界變得非常相關。
?
微軟擁有础锄耻谤别平台的並負責其安全性,涵蓋實體資料中心、存取控制、員工強制安全訓練、背景調查等多個面向。但是,當您在 Azure 平台上部署工作負載時,應考慮您和提供者之間的職責劃分,總結如下:
?
如上图所示,一些安全责任(包括实体资料中心、网路和主机)由云端提供者負責。但是,根據您使用的是基礎架構式服务、PaaS 還是軟體即服务模型,您需要解決作業系統应用程式堆疊和其他網路層安全要求。
微軟 Azure 安全性概述
每個組織的安全性需求都是獨一無二的,需要大量自訂以確保每個特定工作負載的安全性。 云端中的高階威脅向量需要零信任安全方法,預設情況下,任何內容都不可信,並且所有內容都經過驗證。這種主動的云端資安方法有助於減少攻擊面並限制發生攻擊時的損害。
?
必須在应用程式堆疊的每一層實現安全性,從運算、儲存和網路一直到特定於应用程式的控制以及身分和存取管理。對環境安全狀態的能見度也很重要,因為必須即時檢測任何惡意活動以獲得最佳保護。
?
透過多種可設定的工具和服务來實現工作負載安全,您可以利用這些工具和服务來滿足不同的安全需求並增强您的云端資安狀況。您也可以在適用的地方使用合作伙伴安全解决方案來進一步增强這種立場。
Azure 安全中心
是 Azure 的集中式安全管理解决方案,可協助你調整安全控制以適應不斷變化的威脅情勢,並主動保護你的組織免受多種攻擊。Azure 服务會自動加入安全中心,並根據定義的安全性基準進行監控。預設和自訂的策略可用於監視 Azure 訂閱和包含的资源的狀態。根據對 Azure 環境的持續評估,安全中心提供可操作的建議,可用於主動解決安全缺口。
?
Azure 安全中心還提供全面的威胁防护,並使用網路殺傷鏈分析為您提供攻擊向量的端對端可見性。您也可以使用 Microsoft Defender for 端点來保護您的 Azure 伺服器。它提供先進的漏洞侦测感測器,可透過大數據和分析的力量快速適應不斷變化的威脅,並提供卓越的威脅情報來保護您的工作負載。
?
此外,Windows 伺服器的自動加入功能和單窗格可見性透過減少營運開銷,使云端資安團隊的生活變得輕鬆。Azure 安全中心與 Azure 策略、Azure Monitor 日誌和 Azure 云端应用程式安全等解决方案集成,以實現深度安全。
云端安全態勢管理 (CSPM)
云端中的威脅與本地的威脅不同。云端需要原生於云端的解决方案來確保安全衛生並實施最佳安全實踐。Azure 的云端資安狀態管理可以幫助你實現這一點,讓你主動管理 Azure 中的安全性工作負載。
?
Security Center 中的「安全評分」選項有助於使用多個預先建置的安全控制項來評估環境的安全性狀態,以量化您的環境的安全狀態。 如果未實作任何這些控制項,或者如果有任何設定錯誤,Security Center 會提供規範性建議來提高您的分數。 同時,法規合规分數根據 PCI DSS、HIPAA、Azure 自己的 CIS 和 NIST 等標準評估工作負載,幫助您評估官方合规性狀態。
?
安全中心透过提供脆弱性的鸟瞰图并针对潜在攻击产生警报来啟用CSPM 。每個警示都會標記嚴重程度,因此您可以優先處理緩解活動。 與云端原生工作負載、物聯網服务和資料服务一起,安全中心可以跨環境保護 Windows 和 Linux 電腦免受威脅,從而減少攻擊面。
網頁版应用程式資安
隨著云端应用程式的蔓延,監控所有应用程式並確保安全的資料交易變得越來越困難。Azure 透過名為 Microsoft Cloud App Security 的云端資安代理解决方案協助解決這個問題。
?
此工具可協助您侦测組織正在使用的云端服务並識別與其相關的任何風險,從而防範影子 IT。該服务的內建策略可讓您自動實施云端应用程式的安全控制,此外,您還可以透過云端应用程式目錄功能批准或取消批准應用程序,該功能涵蓋16,000 多個應用程序,並根據80 多個風險因素對它們進行評分,以便您可以就您希望在組織中允許的应用程式類型做出明智的決定。
?
云端應用安全性還提供對应用程式及其安全狀態的可見性,並控制資料在应用程式之間的傳輸方式。它還可以檢測異常行為,以識別受損的应用程式並觸發自動修復以降低風險。您可以進一步評估应用程式的合规性,並限制資料向不合规应用程式的移動,並且它還可以保護应用程式中的任何受監管資料免遭未經授權的存取。
?
與其他 Microsoft 安全解决方案的本機整合提供了無與倫比的威脅情報和深入分析,以保護您的应用程式免受云端中不同類型的攻擊。
容器安全性
Azure 安全中心提供 AKS 等容器託管環境以及執行 Docker 的虛擬機器的安全性基準和評估,以識別潛在的錯誤配置和安全漏洞。透過針對 建議來實現強化 Docker 環境。 同樣,AKS 節點和叢集也可以使用監控和進階威脅侦测。 您也可以為 Kubernetes 叢集啟用 Azure 策略附加元件,以便在為 Kubernetes 应用程式開發介面伺服器提供服务之前,請根據定義的最佳實務來監控它們的要求。
?
同時,Azure Defender 透過侦测可疑活動(例如Web shell 侦测、來自可疑IP 的連線請求、特權容器設定等)來保護AKS 節點和叢集免受執行時間脆弱性和滲透。Azure Defender 還包括Qualys 集成,用於掃描拉取或擷取的映像。推送到 Azure 容器註冊表。任何發現項目都會分類並顯示在安全中心中,讓您可以區分健康和不健康的影像。
網路安全群組 (NSG)
NSG 可作為連接到 Azure VNet 的工作負載的第一道網路防禦線。它使用來源、來源端口、目的地、目的地端口和通訊協定通過五個元組規則過濾入埠和輸出流量。 這些群組可以與子網路或虛擬機器的 NIC 卡關聯,並附帶一些預設規則以允許網路間通訊和 Internet 存取。網路安全群組還可讓您實現對東西向和南北向流量的細微控制,並協助隔離应用程式元件通訊。
Azure 虛擬網路
Azure VNet 是 Azure 中網路的基本建置區塊,有助於對工作負載進行微分段,從而實現連接的工作負載與其他 Azure 资源、本機资源和 Internet 的安全通訊。預設情況下,一個Azure VNet 中的资源無法與另一個VNet 中的资源進行通信,除非透過對等互連、VPN、專用連結等選項明確連接。可以透過在VNet 內的子網路中啟用NSG 來添加另一層安全性。此外,您可以透過建立自訂路由表在 VNet 內使用流量整形,例如,如果您希望所有流量都透過網路虛擬設備進行路由以進行封包檢查。
痴笔狈及应用闸道器
Azure VPN 可讓您透過站台對站台連線從本機資料中心網路安全地連線至 Azure 资源,或使用點對站台連線從單一電腦安全地連線到 Azure 资源。到 Azure 的流量會透過 Internet 傳輸,但透過使用 SSTP、OpenVPN 或 IPSec 的安全加密隧道。雖然 VPN 連接在分公司場景中運作良好,但為了確保 Azure SLA 支援的連接,客戶可以選擇 ExpressRoute,這是從本地資料中心到 Azure 云端的專用連接。
?
Azure 应用程式閘道器是一個負載平衡器,在应用程式層(OSI 第 7 層)執行,並根據 HTTP 屬性將流量重新導向到後端池中的资源。它具有網路应用程式防火牆 ( WAF ),可協助保護您的应用程式免受常見攻擊,例如 SQL 注入攻擊、跨站點腳本、HTTP 請求分割、遠端檔案包含等。它帶有一組預先定義的安全規則,但也提供了定義自己的規則的靈活性。 該服务基於,能夠自動更新以保護您的应用程式免受新的和不斷發展的脆弱性的影響。
身分與存取管理 (IAM)
在云端驅動的世界中,身分認同已成為新的安全邊界。Azure 提供由 Azure Active Directory (AD) 啟用的角色為基礎的存取控制 (RBAC),以控制對託管应用程式的存取。建議遵循最小權限 (PoLP) 原則,以便使用者只獲得其工作所需的最低存取權限。 此授權由指派給使用者的角色決定,該角色可以是其中一個內建角色或由管理員定義的自訂角色。
?
您可以透過虛擬機器的即時 (JIT) 存取、儲存的共用存取簽章、按鈕驗證等選項進一步強化 IAM。透過 Azure AD 審核日誌和 Azure 活動日誌記錄和追蹤使用者活動以識別受損身分和惡意使用者也很重要。
增强 Azure 安全性
雖然本機工具和服务通常提供一個良好的起點,但您還需要具有高級功能的工具來保護您的应用程式免受云端中不斷變化的威脅參與者的影響。以下附加功能對於確保全面的云端資安至关重要:
?
- 可见性:提供情境資訊的即時云端入侵侦测、網路流量視覺化和使用者活動分析將有助於主動識別和緩解異常情況。
- 自动化:從第一天起,透過預訂範本和自適應安全策略等選項將自動化整合到云端資安營運中,將有助於避免人為錯誤和錯誤配置。
- 合规性和治理:根據行業標準展示合规和治理而量身定制的安全報告將簡化您的報告和審計流程。
- 最大限度地减少设定错误:根据定义的安全性标準持续评估环境组态,以及工作流程和原则实作的自动化将有助於最大程度地减少错误的设定。
- 智慧与预测分析: 由人工智慧支援的威胁追踪和預測分析可以幫助更快地侦测異常並產生有關惡意活動的即時警報。
- 工作负载/储存保护(针对容器和无伺服器):將安全功能擴展到容器和無伺服器,以保護基於微服务的現代工作負載。
?
can help you with all of the above, as it comes prebuilt with these features. It seamlessly integrates with your Azure-native tools and augments the security of your data and workloads hosted in Azure.
?
Read more about how 黑料不打烊 can help you achieve your cloud security goals today.
