Azure 安全管理和监视概述

本文概述了 Azure 提供的安全功能和服务，以帮助管理和监视 Azure 云服务和虚拟机。

Azure 基于角色的访问控制

Azure 基于角色的访问控制 (Azure RBAC) 为 Azure 资源提供详细的访问管理。 使用 Azure RBAC，可以仅授予用户执行其作业所需的访问权限。 Azure RBAC 还有助于确保用户离开组织后无法访问云中的资源。

了解详细信息：

• Azure 基于角色的访问控制 (Azure RBAC)

反恶意软件

通过 Azure，可使用主要安全供应商（例如 Microsoft、Trend Micro、McAfee 和 Kaspersky）提供的反恶意软件。 此软件可帮助保护虚拟机免受恶意文件、广告程序和其他威胁的侵害。

适用于 Azure 云服务和虚拟机的 Microsoft 反恶意软件提供了为 PaaS 角色和虚拟机安装反恶意软件代理的能力。 基于 System Center Endpoint Protection，此功能将经验证的本地安全技术引入到了云。

了解详细信息：

• 适用于 Azure 云服务和虚拟机的 Microsoft 反恶意软件
• New Antimalware Options for Protecting Azure Virtual Machines（用于保护 Azure 虚拟机的新反恶意软件选项）

多重身份验证

Microsoft Entra 多重身份验证是一种需要使用多种验证方法的身份验证方法。 它为用户登录和事务添加了关键的附加安全层。

多重身份验证可帮助保护对数据和应用程序的访问，同时可以满足用户对简单登录过程的需求。 它通过各种验证选项（例如电话、短信、移动应用通知或验证码）和第三方 OATH 令牌来提供强大的身份验证。

了解详细信息：

• 多重身份验证
• Microsoft Entra 多重身份验证的工作原理

ExpressRoute

可使用 Azure ExpressRoute 通过连接服务提供商所提供的专用连接，将本地网络扩展到 Microsoft 云。 使用 ExpressRoute 可与 Azure、Microsoft 365 和 CRM Online 等 Azure 云服务建立连接。 连接可以来自：

• 任意位置之间的 (IP VPN) 网络。
• 点到点以太网。
• 通过位于归置设施的连接服务提供商提供的虚拟交叉连接。

ExpressRoute 连接不经过公共 Internet。 它们可提供可靠性、速度、延迟和安全性这几个方面均比基于 Internet 的典型连接更胜一筹的专用连接。

了解详细信息：

• ExpressRoute 技术概述

虚拟网络网关

VPN 网关（也称为 Azure 虚拟网络网关）用于在虚拟网络和本地位置之间发送流量。 VPN 网关还用于在 Azure 内的多个虚拟网络之间发送流量（网络到网络）。 VPN 网关提供 Azure 和基础结构间的安全跨界连接。

了解详细信息：

• 关于 VPN 网关
• Azure 网络安全概述

Privileged Identity Management

用户有时候需要在 Azure 资源或者其他 SaaS 应用程序中执行特权操作。 这通常意味着组织将授予用户在 Microsoft Entra ID 中的永久访问特权。

这会给云托管的资源不断增大安全风险，因为组织无法充分监视这些用户正在使用特权访问执行哪些操作。 此外，如果有访问特权的用户帐户被泄露，此安全漏洞可能会影响组织的总体云安全性。 Microsoft Entra Privileged Identity Management 可通过降低特权的暴露时间和加强对使用情况的了解来帮助解决此风险。

Privileged Identity Management 为角色或“及时”管理员访问引入了临时管理员的概念。 这种类型的管理员是需要为该分配的角色完成激活过程的用户。 激活过程会在指定的时段内将 Microsoft Entra ID 中的用户角色分配从非活动更改为活动。

了解详细信息：

• Microsoft Entra Privileged Identity Management
• 开始使用 Privileged Identity Management

标识保护

Microsoft Entra ID 保护提供了可疑登录活动和潜在漏洞的统一视图来帮助保护企业。 “标识保护”根据以下信号检测用户和特权（管理员）标识的可疑活动：

• 暴力攻击。
• 凭据泄漏。
• 从不熟悉的位置和易感染病毒的设备登录。

通过提供通知和建议的补救措施，标识保护有助于实时降低风险。 它会计算用户风险严重性。 可配置基于风险的策略，自动保护应用程序访问免受将来的威胁侵害。

Defender for Cloud

Microsoft Defender for Cloud 可帮助你预防、检测和应对威胁。 Defender for Cloud 可让你更加了解和控制 Azure 资源以及混合云环境中这些资源的安全性。

Defender for Cloud 对连接的资源执行持续安全评估，并将其配置和部署与 Azure 云安全基准进行比较，以根据你的环境提供定制的详细安全建议。

Defender for Cloud 可通过以下操作帮助你优化和监视 Azure 资源的安全性：

• 你可根据以下内容为 Azure 订阅资源定义策略：
  • 组织的安全需求。
  • 应用程序的类型或每个订阅中数据的敏感度。
  • 适用于订阅的任何行业或监管标准或基准。
• 监视 Azure 虚拟机、网络和应用程序的状态。
• 提供按优先级排列的安全警报列表，包括集成的合作伙伴解决方案中的警报。 它还提供了快速调查攻击所需的信息以及如何修复攻击的建议。

了解详细信息：

• Microsoft Defender for Cloud 简介
• 提高 Microsoft Defender for Cloud 中的安全分数

后续步骤

了解共担责任模型、由 Microsoft 处理的安全任务，以及由你处理的任务。

有关安全管理的详细信息，请参阅 Azure 中的安全管理。