Azure 安全管理和监视概述

Azure 提供全面的安全管理和监视功能，可帮助你管理、保护和维护 Azure 资源的可见性。 本文介绍支持安全作的关键管理和监视服务。

Azure Monitor

Azure Monitor 收集、分析和处理来自 Azure 和本地环境的遥测数据。 监视有助于最大程度地提高应用程序的可用性和性能，并主动识别问题。

Azure Monitor 提供：

• 指标和日志：从 Azure 资源、作系统和应用程序收集和分析数据
• Log Analytics 工作区：使用强大的查询功能集中存储和分析日志数据
• Application Insights：用于监视实时 Web 应用程序的应用程序性能管理（APM）
• Azure Monitor 警报：基于指标、日志和活动数据的主动通知
• Azure 工作簿：组合文本、查询、指标和参数的交互式视觉报表

为了进行安全监视，Azure Monitor 与 Microsoft Sentinel 和 Microsoft Defender for Cloud 集成，以提供全面的威胁检测和响应功能。

了解详细信息：

• Azure Monitor 概述
• Azure Monitor 日志概览
• 威胁检测概述

Azure 基于角色的访问控制

Azure 基于角色的访问控制（Azure RBAC）为 Azure 资源提供精细的访问管理。 使用 Azure RBAC，只需向用户授予执行作业所需的访问权限，并遵循最低特权原则。

使用 Azure RBAC 可以：

• 分配内置角色或创建自定义角色
• 控制多个范围级别的访问（管理组、订阅、资源组、资源）
• 在团队中分离职责，并仅授予必要的访问权限
• 集成 Microsoft Entra ID 以实现基于标识的访问控制
• 通过 Azure 活动日志审核角色分配

了解详细信息：

• 什么是 Azure 基于角色的访问控制（Azure RBAC）？
• Azure 内置角色
• 标识管理安全概述

Azure Policy

Azure Policy 可帮助你执行组织标准并大规模评估合规性。 Azure Policy 通过将其属性与定义的规则进行比较来评估 Azure 中的资源。

Azure Policy 功能包括：

• 策略定义：描述符合性条件和效果的规则
• 计划：分组以实现特定合规性目标的策略定义集合
• 合规性报告：显示合规和非合规资源的仪表板视图
• 自动修正：为不符合资源部署纠正配置
• 法规符合性：内置策略集符合 Azure 云安全基准、ISO 27001 和 NIST 等标准

常见安全用例：

• 对存储帐户和数据库强制实施加密要求
• 需要为审计日志启用诊断设置
• 将资源部署限制为已批准的 Azure 区域
• 强制实施命名约定和标记标准
• 需要特定的安全配置（TLS 版本、防火墙规则）

了解详细信息：

• 什么是 Azure Policy？

Azure 更新管理器

Azure 更新管理器 是一项统一服务，可帮助你跨 Azure、本地和多云环境管理和管理 Windows 和 Linux 虚拟机的作系统更新。

Azure 更新管理器提供：

• 更新评估：对可用更新的自动或按需评估
• 计划性修补：为更新安装配置定期的维护窗口
• 一次性更新：立即为紧急安全修补程序安装更新
• 热修补：在 Windows Server 上安装安全更新，而无需重新启动（受支持的 SKU）
• 更新符合性报告：仪表板视图和 Azure 工作簿显示更新状态。
• 与 Azure Policy 集成：大规模强制实施更新策略

更新管理器功能包括：

• 需要零载入的本机 Azure 体验
• 使用 Azure RBAC 在资源级别进行精细访问控制
• 支持 Azure 虚拟机和已启用 Azure Arc 的服务器
• 用于自定义自动化的预事件和事件后脚本
• 与用于警报和通知的 Azure Monitor 集成

了解详细信息：

• 关于 Azure 更新管理器

活动日志记录和审核

Azure 活动日志记录订阅级事件，包括管理操作、服务运行状况事件和资源运行状况更改。 活动日志提供了对人员何时执行了哪些操作的可见性。

活动日志功能：

• 管理操作：在 Azure 资源上创建、更新、删除操作
• 服务运行状况：Azure 服务事件和维护通知
• 资源运行状况：Azure 资源的可用性状态更改
• 保留和导出：将日志保留最多 90 天;导出到 Log Analytics、存储或事件中心以延长保留期
• 与警报集成：基于活动日志事件创建警报规则

若要进行全面的安全审核，可以将诊断设置配置为使用 Microsoft Sentinel 或 Defender for Cloud 将日志发送到 Log Analytics 工作区进行分析。

了解详细信息：

• Azure 活动日志
• 诊断设置

Microsoft 成本管理

Microsoft成本管理 可帮助监视、分配和优化 Azure 支出。 了解成本对于安全管理至关重要，因为未经授权的资源部署可以指示安全事件。

成本管理提供：

• 成本分析：可视化和分析跨订阅、资源组和标记的成本
• 预算：使用主动警报设置支出限制
• 建议：确定在不损害安全性的情况下降低成本的机会
• 成本分配：使用标记和订阅跨业务部门分配成本
• 异常情况检测：识别可能指示安全问题的异常支出模式

了解详细信息：

• 什么是Microsoft成本管理？
• 创建和管理预算

Azure Resource Graph

Azure Resource Graph 提供高效的资源探索，能够跨订阅大规模查询。 Resource Graph 使安全团队能够快速识别具有特定配置或安全状况的资源。

Resource Graph 功能：

• 快速查询：在数秒内跨多个订阅查询数千个资源
• 复杂查询：使用 Kusto 查询语言 （KQL） 分析资源属性和关系
• 资源清单：发现特定类型或具有特定配置的所有资源
• 符合性验证：识别不符合安全或合规性要求的资源
• 更改跟踪：跟踪一段时间内的资源属性更改

了解详细信息：

• 什么是 Azure Resource Graph？
• 初学者资源图查询

Azure 自动化

Azure 自动化 提供基于云的自动化和配置管理，支持跨 Azure 和非 Azure 环境进行一致的治理。

Azure 自动化提供：

• 流程自动化：使用 PowerShell 和 Python Runbook 自动执行频繁、耗时和容易出错的任务
• 配置管理：使用 State Configuration 应用和维护所需状态配置（DSC）
• 共享资源：用于自动化中使用的凭据、证书、连接和变量的集中式存储
• 更改跟踪：跨文件、注册表、服务和软件监视配置更改
• 清单收集：跨计算机发现和跟踪软件和配置

常见的安全自动化方案：

• 自动事件响应工作流
• 计划的安全扫描和修复
• 配置偏移检测和更正
• 自动备份和灾难恢复作业

了解详细信息：

• Azure 自动化概述

Azure 顾问

Azure 顾问 是一位个性化的云顾问，提供优化 Azure 部署的最佳做法建议。 顾问包含来自 Microsoft Defender for Cloud 的安全建议。

顾问建议类别：

• 可靠性：提高可用性和灾难恢复功能
• 安全性：通过 Defender for Cloud 集成检测威胁和漏洞
• 性能：提高应用程序速度和响应能力
• 成本：优化和减少 Azure 总支出
• 卓越运营：实现流程和工作流效率

了解详细信息：

• Azure 顾问概述
• Azure 顾问入门

Azure 服务运行状况

Azure 服务运行状况 提供有关 Azure 服务和区域的运行状况的个性化信息。 服务运行状况功能帮助你规划维护，并响应可能影响可用性的问题。

服务运行状况组件：

• Azure 状态：跨所有区域的 Azure 服务运行状况的全局视图
• 服务运行状况：在使用的区域中使用的 Azure 服务的运行状况的个性化视图
• 资源运行状况：有关单个 Azure 资源的运行状况信息
• 运行状况警报：有关服务问题、计划内维护和健康建议的预先通知

了解详细信息：

• 什么是 Azure 服务运行状况？
• 创建有关服务通知的活动日志警报

后续步骤

• 威胁检测和保护
• 标识管理安全概述
• 网络安全概述
• Azure 安全最佳做法和模式