Azure 的端到端安全服务
将 Azure 用于应用程序和服务的最合理原因之一是可以利用其各种安全工具和功能。 这些工具和功能可帮助在安全的 Azure 平台上创建安全的解决方案。 Azure 提供保密、完整且可用的客户数据,并实现了透明问责。
下面的图表和文档介绍了 Azure 中的安全服务。 这些安全服务有助于你满足业务的安全需求,并在云中保护用户、设备、资源、数据和应用程序。
Microsoft 安全服务图
此安全服务图按服务所保护的资源(列)组织服务。 此图表还将服务分为以下类别(行):
- 保护 - 支持在标识、主机、网络和数据层面实现分层深度防护策略的服务。 此安全服务和功能集合提供了一种了解和改善整个 Azure 环境安全状况的方法。
- 检测威胁 - 用于识别可疑活动并帮助缓解威胁的服务。
- 调查和响应 - 用于拉取日志记录数据,以便你评估可疑活动并做出响应的服务。
安全控制和基线
Azure 云安全基准包含一系列具有重要影响的安全建议,可用于帮助保护在 Azure 中使用的服务:
- 安全控制 - 一般而言,在你的 Azure 租户和 Azure 服务中,这些建议都是适用的。 每个建议都会标识出利益干系人的列表,这些利益干系人通常会涉及到基准的规划、审批或实现。
- 服务基线 - 这些基线将控制应用于单个 Azure 服务,以提供有关该服务的安全配置的建议。
保护
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 一个统一的基础结构安全管理系统,可以增强数据中心的安全状况,以及为云中(无论是否在 Azure 中)和本地的混合工作负荷提供高级威胁防护。 |
| 标识和访问管理 | |
| Microsoft Entra ID | Microsoft 基于云的标识和访问管理服务。 |
| 条件访问是 Microsoft Entra ID 用来统合标识信号、做出决策以及强制执行组织策略的工具。 | |
| 域服务是 Microsoft Entra ID 用来提供托管域服务(例如域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证)的工具。 | |
| Privileged Identity Management 是 Microsoft Entra ID 中的一项服务,可以通过该服务管理、控制和监视对组织中重要资源的访问。 | |
| 多重身份验证是 Microsoft Entra ID 用来帮助保护对数据和应用程序的访问(通过要求完成第二种身份验证方法)的工具。 | |
| 基础结构和网络 | |
| VPN 网关 | 这是一种虚拟网络网关,用于通过公共 Internet 发送 Azure 虚拟网络和本地位置之间的加密流量,以及通过 Microsoft 网络发送 Azure 虚拟网络之间的加密流量。 |
| Azure 防火墙 | 一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。 Azure 防火墙提供三种 SKU:标准版、高级版和基本版。 |
| Azure Key Vault | 一种安全的机密存储,适用于令牌、密码、证书、API 密钥以及其他机密。 通过 Key Vault,还可以创建和控制用于加密数据的加密密钥。 |
| Azure 专用链接 | 借助该服务,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的客户拥有的服务/合作伙伴服务。 |
| Azure 应用程序网关 | 一种高级 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。 应用程序网关可以根据 HTTP 请求的其他属性(例如 URI 路径或主机头)进行路由决策。 |
| Azure 服务总线 | 一个完全托管的企业消息中转站,其中包含消息队列和发布订阅主题。 可使用服务总线将应用程序和服务相互分离。 |
| Web 应用程序防火墙 | 可在出现常见攻击和漏洞时为 Web 应用程序提供集中保护。 WAF 可以通过 Azure 应用程序网关进行部署。 |
| Azure Policy | 可帮助强制执行组织标准并大规模评估合规性。 Azure Policy 通过其合规性仪表板提供一个聚合视图来评估环境的整体状态,并允许用户按资源、按策略粒度向下钻取。 它还通过对现有资源的批量修正以及对新资源的自动修正,帮助资源符合规范。 |
| 数据和应用程序 | |
| Azure 备份 | 提供简单、安全且经济高效的解决方案来备份数据,并从 Azure 云恢复数据。 |
| Azure 存储服务加密 | 在存储数据前自动加密数据,并在你检索数据时自动解密数据。 |
| Azure 信息保护 | 一种基于云的解决方案,使组织能够通过将标签应用于内容来发现文档及电子邮件并进行分类和保护。 |
| API 管理 | 一种为现有后端服务创建一致且现代化的 API 网关的方法。 |
| 客户访问 | |
| Microsoft Entra 外部 ID | 借助 Microsoft Entra ID 中的外部标识,你可以允许组织外部人员访问应用和资源,同时允许他们使用自己喜欢的任何标识进行登录。 |
| 可以通过 Microsoft Entra B2B 协作与外部用户共享应用和资源。 | |
| 使用 Azure AD B2C 时,每天能够支持数百万个用户以及几十亿次身份验证,并监视和自动处理拒绝服务、密码喷射或暴力攻击之类的威胁。 |
检测威胁
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 为 Azure 和混合资源及工作负载提供高级智能保护。 通过 Defender for Cloud 中的工作负载保护仪表板可显示和控制环境的云工作负载保护功能。 |
| 标识和访问管理 | |
| Microsoft Defender XDR | 一款统一的破坏前/后企业防御套件,它以本机方式协调各终结点、标识、电子邮件和应用程序中的威胁检测、阻止、调查和响应,以提供针对复杂攻击的综合保护。 |
| Microsoft Defender for Endpoint 是一个企业终结点安全平台,专门用于帮助企业网络防御、检测、调查和响应高级威胁。 | |
| Microsoft Defender for Identity 是一个基于云的安全解决方案,可利用本地 Active Directory 信号识别、检测并调查针对组织的高级威胁、身份盗用和恶意内部操作。 | |
| 基础结构和网络 | |
| Azure 防火墙 | Azure 防火墙高级版提供基于签名的入侵检测和防护系统 (IDPS),允许通过查找特定模式(例如网络流量中的字节序列或恶意软件使用的已知恶意指令序列)来快速检测攻击。 |
| Azure 网络观察程序 | 提供所需的工具用于监视、诊断 Azure 虚拟网络中的资源并查看其指标,以及为其启用或禁用日志。 网络观察程序用于监视和修复 IaaS 产品的网络运行状况,其中包括虚拟机、虚拟网络、应用程序网关和负载均衡器。 |
| Azure Policy | 可帮助强制执行组织标准并大规模评估合规性。 Azure Policy 使用自动启用的活动日志来包括事件源、日期、用户、时间戳、源地址、目标地址和其他有用的元素。 |
| 数据和应用程序 | |
| 适用于容器的 Microsoft Defender | 用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。 |
| Microsoft Defender for Cloud Apps | 可在多个云中运行的云访问安全代理 (CASB)。 它提供了丰富的显示效果、数据旅程控制和成熟分析服务,用于跨所有云服务发现和防范网络威胁。 |
调查和响应
| 服务 | 说明 |
|---|---|
| Microsoft Sentinel | 强大的搜索和查询工具,可用于在整个组织的数据源中搜寻安全威胁。 |
| Azure Monitor 日志和指标 | 提供了一个全面的解决方案,用于从云和本地环境收集、分析和处理遥测数据。 Azure Monitor 会将各种源中的数据收集并聚合到一个通用数据平台,在该平台中,可以使用这些数据进行分析、实现可视化和发出警报。 |
| 标识和访问管理 | |
| Azure AD 报表和监视 | 可以通过 Microsoft Entra 报表全面了解环境中的活动。 |
| 可以通过 Microsoft Entra 监视将 Microsoft Entra 活动日志路由到其他终结点。 | |
| Microsoft Entra PIM 审核历史记录 | 显示过去 30 天内对所有特权角色的所有角色分配和激活情况。 |
| 数据和应用程序 | |
| Microsoft Defender for Cloud Apps | 提供可让你深入了解云环境中活动的工具。 |
后续步骤
了解云中责任分担。
了解针对恶意用户和非恶意用户的 Azure 云隔离选项。