在当今的云环境中,安全性至关重要。 网络威胁不断发展,保护数据、应用程序和基础结构需要全面的多层方法。 我们知道,安全是云中的首要任务,及时找到有关 Azure 安全性的准确信息极其重要。
本文全面介绍了 Azure 提供的安全机制。 有关通过保护、检测和响应功能组织的 Azure 安全性的端到端视图,请参阅 Azure 中的端到端安全性。
Azure 的深层防御安全方法
Azure 采用深度防御策略,在整个堆栈中提供多层安全保护,从物理数据中心到计算、存储、网络、应用程序和标识。 此多层方法可确保如果一个层遭到入侵,则其他层将继续保护资源。
Azure 的基础结构从头开始精心设计,涵盖从物理设施到应用程序的所有内容,可同时安全地托管数百万客户。 这一强大的基础使企业能够自信地满足其安全要求。 有关 Microsoft 如何保护 Azure 平台本身的信息,请参阅 Azure 基础结构安全性。 有关物理数据中心安全性的详细信息,请参阅 Azure 物理安全性。
Azure 是一个公有云服务平台,支持极为广泛的操作系统、编程语言、框架、工具、数据库和设备选择。 它可运行与 Docker 集成的 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 和 Node.js 生成应用;生成适用于 iOS、Android 和 Windows 设备的后端。 Azure 公有云服务支持数百万开发人员和 IT 专业人士已经有所依赖并信任的相同技术。
内置平台安全性
Azure 提供内置于平台中的默认安全保护,有助于在部署资源时保护资源。 有关 Azure 平台安全功能的综合信息,请参阅 Azure 平台安全性概述。
- 网络保护:Azure DDoS 防护会自动保护资源免受分布式拒绝服务攻击
- 默认加密:默认为 Azure 存储、SQL 数据库和其他许多服务启用静态数据加密
- 标识安全性:Microsoft Entra ID 为所有 Azure 服务提供安全身份验证和授权
- 威胁检测:内置威胁检测监视 Azure 资源中的可疑活动
- 合规性:Azure 维护行业内最大的合规性组合,帮助你满足法规要求
这些基础安全控制在后台持续工作,以保护云基础结构,无需进行额外的配置即可进行基本保护。
云中责任分担
虽然 Azure 提供可靠的平台安全性,但云中的安全性是Microsoft与客户之间的共同责任。 职责划分取决于部署模型(IaaS、PaaS 或 SaaS):
- Microsoft的责任:Azure 保护底层基础结构,包括物理数据中心、硬件、网络基础结构和主机作系统
- 责任:负责保护数据、应用程序、标识和访问管理
每个工作负载和应用程序都是不同的,根据行业法规、数据敏感度和业务需求,具有独特的安全要求。 这是 Azure 高级安全服务发挥作用的地方。 有关共享责任模型的详细信息,请参阅 云中的共同责任。
注意
本文档重点介绍面向客户的控件,客户可以使用这些控件自定义和提高应用程序和服务的安全性。
每个工作负载的高级安全服务
为了满足独特的安全要求,Azure 提供了一套全面的高级安全服务,可以根据你的特定需求配置和自定义这些服务。 这些服务分为六个功能区域:作、应用程序、存储、网络、计算和标识。 有关安全服务和技术的综合目录,请参阅 Azure 安全服务和技术。
此外,Azure 还提供各种可配置的安全选项,并能够控制这些选项,以便自定义安全性以满足组织部署的独特要求。 本文档可帮助用户了解 Azure 安全功能如何帮助满足这些要求。
有关 Azure 安全控制和基线的结构化视图,请参阅 Azure 云安全基准,该基准为 Azure 服务提供全面的安全指南。 有关 Azure 的技术安全功能的信息,请参阅 Azure 安全技术功能。
计算安全性
保护虚拟机和计算资源是保护 Azure 中工作负荷的基础。 Azure 提供多层计算安全性,从基于硬件的保护到基于软件的威胁检测。 有关详细的虚拟机安全信息,请参阅 Azure 虚拟机安全概述。
受信任的启动
受信任的启动 是新创建的第 2 代 Azure VM 和虚拟机规模集的默认值。 受信任的启动可防范高级和持久性攻击技术,包括启动工具包、rootkit 和内核级恶意软件。
可信启动提供:
- 安全启动:通过确保只有经过签名的操作系统和驱动程序才能启动,防止安装基于恶意软件的 rootkit 和启动套件
- vTPM (虚拟受信任的平台模块):用于密钥和度量的专用安全保管库,可实现证明和启动完整性验证
- 启动完整性监视:通过 Microsoft Defender for Cloud 使用证明来验证启动链完整性并针对故障发出警报
可以在现有 VM 和虚拟机规模集上启用受信任的启动。
反恶意软件和防病毒软件
借助 Azure IaaS,可以使用来自 Microsoft、Trend Micro、McAfee 和 Kaspersky 等安全性供应商的反恶意软件,以保护虚拟机免受恶意文件、广告软件和其他威胁的侵害。 Microsoft Azure 虚拟机的反恶意软件 是一项保护功能,可帮助识别和删除病毒、间谍软件和其他恶意软件。 当已知恶意软件或不需要的软件试图在 Azure 系统上安装自身或运行时,Microsoft 反恶意软件将提供可配置的警报。 也可以使用 Microsoft Defender for Cloud 部署Microsoft反恶意软件。
硬件安全模块
加密和身份验证不会提高安全性,除非密钥本身受到保护。 通过将关键密码和密钥存储在 Azure Key Vault 中,可以简化此类密码和密钥的管理和保护。 Key Vault 提供用于将密钥存储在经 FIPS 140-3 级别 3 标准认证的硬件安全模块(HSM)中的选项。 用于备份或 透明数据加密 的 SQL Server 加密密钥可以存储在密钥保管库中,此外还可存储应用程序中的任意密钥或机密。 对这些受保护项的权限和访问权限通过 Microsoft Entra ID 进行管理。
有关密钥管理选项(包括 Azure Key Vault、托管 HSM 和付款 HSM)的综合信息,请参阅 Azure 中的密钥管理。
虚拟机备份
Azure 备份是一种解决方案,无需资本投资便可保护应用程序数据,最大限度降低运营成本。 应用程序错误可能损坏数据,人为错误可能将 bug 引入应用程序,从而导致安全问题。 使用 Azure 备份可以保护运行 Windows 和 Linux 的虚拟机。
Azure Site Recovery
组织的业务连续性/灾难恢复 (BCDR) 策略的其中一个重要部分是,找出在发生计划内和计划外的中断时让企业工作负荷和应用保持启动并运行的方法。 Azure Site Recovery 可帮助协调工作负荷和应用的复制、故障转移及恢复,因此能够在主要位置发生故障时通过辅助位置来提供工作负荷和应用。
SQL VM TDE
SQL Server 加密功能包括透明数据加密 (TDE)和列级加密 (CLE)。 这种加密形式要求客户管理和存储用于加密的加密密钥。
Azure Key Vault (AKV) 服务专用于在一个高度可用的安全位置改进这些密钥的安全性和管理。 SQL Server 连接器使 SQL Server 能够使用 Azure Key Vault 中的这些密钥。
如果在本地计算机上运行 SQL Server,请按照此处步骤通过本地 SQL Server 实例访问 Azure Key Vault。 但对于 Azure VM 中的 SQL Server,可以使用 Azure Key Vault 集成功能节省时间。 通过使用几个 Azure PowerShell cmdlet 来启用此功能,可以自动为 SQL VM 进行必要的配置以便访问密钥保管库。
有关数据库安全最佳做法的综合列表,请参阅 Azure 数据库安全清单。
VM 磁盘加密
重要
虚拟机和虚拟机规模集的 Azure 磁盘加密将于 2028 年 9 月 15 日停用。 新客户应在主机上对所有新 VM 使用 加密 。 现有客户应计划在停用日期之前将当前已启用 ADE 的 VM 迁移到主机加密,以避免服务中断 -- 请参阅 从 Azure 磁盘加密迁移到主机加密。
对于新式虚拟机加密,Azure 提供:
- 主机加密:为 VM 数据提供端到端加密,包括临时磁盘和 OS/数据磁盘缓存
- 机密磁盘加密:用于机密 VM 的基于硬件的加密
- 使用客户管理的密钥进行服务器端加密:通过 Azure Key Vault 管理自己的加密密钥
有关详细信息,请参阅托管磁盘加密选项概述。
虚拟网络
虚拟机需要网络连接。 为了满足该要求,Azure 需要虚拟机连接到 Azure 虚拟网络。 Azure 虚拟网络是构建在物理 Azure 网络结构基础之上的逻辑构造。 每个逻辑 Azure 虚拟网络都独立于所有其他 Azure 虚拟网络。 这种隔离可帮助确保部署中的网络流量对于其他 Microsoft Azure 客户不可访问。
修补程序更新
修补程序更新可以减少必须在企业中部署的软件更新数目并提高监视符合性的能力,从而提供查找及修复潜在问题的基础并简化软件更新管理过程。
安全策略管理和报告
Defender for Cloud 可帮助你预防、检测和响应威胁,同时提高对 Azure 资源的可见性和安全可控性。 它提供对 Azure 订阅的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于广泛的安全解决方案生态系统。
应用程序安全性
应用程序安全性侧重于在整个应用程序生命周期内保护应用程序免受威胁,从开发到部署和运行时。 Azure 提供用于安全开发、测试和保护应用程序的综合工具。 有关安全应用程序开发指南,请参阅 在 Azure 上开发安全应用程序。 有关特定于 PaaS 的安全最佳做法,请参阅 保护 PaaS 部署。 有关 IaaS 部署安全性,请参阅 Azure 中 IaaS 工作负荷的安全最佳做法。
渗透测试
我们不会为你执行应用程序的 渗透测试 ,但我们确实明白,你希望并需要在自己的应用程序中执行测试。 虽然执行渗透测试活动时无需再通知 Microsoft,但客户仍必须遵守 Microsoft 云渗透测试参与规则。
Web 应用程序防火墙
Azure 应用程序网关中的 Web 应用程序防火墙(WAF)为 Web 应用程序提供保护,防止常见的基于 Web 的攻击,例如 SQL 注入、跨站点脚本和会话劫持。 它已预先配置,以防止 Open Web Application Security Project (OWASP) 标识的前 10 个漏洞。
Azure 应用服务中的身份验证和授权
应用服务身份验证/授权是一项功能,方便应用程序登录用户,避免在应用后端更改代码。 该功能可以方便地保护应用程序和处理每个用户的数据。
分层安全体系结构
由于应用服务环境提供部署到 Azure 虚拟网络的隔离运行时环境,因此开发人员能够创建分层安全体系结构,针对每个应用层提供不同级别的网络访问权限。 通常需要隐藏对 API 后端的常规 Internet 访问,而只允许由上游 Web 应用调用 API。 可以在包含应用服务环境的 Azure 虚拟网络子网上使用网络安全组 (NSG),限制对 API 应用程序的公共访问。
应用服务 Web 应用提供强大的诊断功能,用于从 Web 服务器和 Web 应用程序捕获日志。 这些诊断分为 Web 服务器诊断和应用程序诊断。 Web 服务器诊断包括对站点和应用程序进行诊断和故障排除方面的重大改进。
第一个新特点是有关应用程序池、工作进程、站点、应用程序域和运行请求的实时状态信息。 第二个新特点是在整个请求和响应过程中跟踪请求的详细跟踪事件。
要启用这些跟踪事件的收集,可以将 IIS 7 配置为自动捕获特定请求的完整跟踪日志(采用 XML 格式)。 收集可以基于已用时间或错误响应代码。
存储安全
存储安全性对于保护静态和传输中的数据至关重要。 Azure 提供多层加密、访问控制和监视功能,以确保数据保持安全。 有关数据加密的详细信息,请参阅 Azure 加密概述。 有关密钥管理选项,请参阅 Azure 中的密钥管理。 有关数据加密最佳做法,请参阅 Azure 数据安全性和加密最佳做法。
Azure 基于角色的访问控制 (Azure RBAC)
可以使用 Azure 基于角色的访问控制 (Azure RBAC) 来保护存储帐户。 根据需要知道和最低特权安全原则限制访问对于想要强制实施数据访问安全策略的组织来说,这一点至关重要。 这些访问权限是通过将相应的 Azure 角色分配给特定范围内的组和应用程序来授予的。 可以使用Azure 内置角色(例如存储帐户参与者)将权限分配给用户。 可以通过 Azure RBAC 来控制对使用 Azure 资源管理器模型的存储帐户的存储密钥的访问权限。
共享访问签名
共享访问签名 (SAS) 用于对存储帐户中的资源进行委托访问。 使用 SAS,意味着可以授权客户端在指定时间段内,以一组指定权限有限访问存储帐户中的对象。 可以授予这些有限的权限,而不必共享帐户访问密钥。
传输中加密
传输中加密是通过网络传输数据时保护数据的一种机制。 在 Azure 存储中,可以使用以下加密方式来保护数据:
传输级别加密,例如从 Azure 存储传入或传出数据时使用的 HTTPS。
线路加密,例如 Azure 文件共享的 SMB 3.0 加密。
客户端加密,在将数据传输到存储之前加密数据,以及从存储传出数据后解密数据。
静态加密
对许多组织而言, 静态数据加密 是实现数据隐私性、合规性和数据所有权的必要措施。 有三项 Azure 存储安全功能可提供静态数据加密:
存储服务加密可以请求存储服务在将数据写入 Azure 存储时自动加密数据。
客户端加密 也提供静态加密功能。
使用适用于 Linux VM 的 Azure 磁盘加密和适用于 Windows VM 的 Azure 磁盘加密可以加密 IaaS 虚拟机使用的 OS 磁盘和数据磁盘。
存储分析
Azure 存储分析执行日志记录并为存储帐户提供指标数据。 可以使用此数据为存储帐户跟踪请求、分析使用趋势和诊断问题。 存储分析记录成功和失败的存储服务请求的详细信息。 可以使用该信息监视各个请求和诊断存储服务问题。 将最大程度地记录请求。 将记录以下类型的经过身份验证的请求:
- 成功的请求。
- 失败的请求,包括超时、限制、网络、授权和其他错误。
- 使用共享访问签名 (SAS) 的请求,包括失败和成功的请求。
- 分析数据的请求。
使用 CORS 启用基于浏览器的客户端
跨域资源共享(CORS) 是一种机制,允许域互相授予访问彼此资源的权限。 用户代理发送额外的标头,以确保允许从特定域中加载的 JavaScript 代码访问位于另一个域的资源。 然后,后一个域使用额外标头进行回复,允许或拒绝原始域访问其资源。
Azure 存储服务现支持 CORS,因此,为服务设置 CORS 规则后,便会对从另一个域对服务发出的经过正确验证的请求进行评估,以根据指定的规则确定是否允许该请求。
网络安全
网络安全控制流量如何流入和流出 Azure 资源。 Azure 提供一组全面的网络安全服务,从基本防火墙到高级威胁防护和全球负载均衡。 有关全面的网络安全信息,请参阅 Azure 网络安全概述。 有关网络安全最佳做法,请参阅 Azure 网络安全最佳做法。
网络层控制
网络访问控制是限制特定设备或子网之间的连接的行为,代表了网络安全的核心。 网络访问控制的目标是确保只有有权限的用户和设备才能访问虚拟机和服务。
网络安全组
网络安全组 (NSG) 是基本监控状态数据包筛选防火墙,利用它可以基于某个 5 元组来控制访问。 NSG 不提供应用程序层检查或经过身份验证的访问控制。 它们可用于控制在 Azure 虚拟网络中的子网之间移动的流量以及控制 Azure 虚拟网络和 Internet 之间的流量。
Azure 防火墙
Azure 防火墙是一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。
Azure 防火墙在三个 SKU 中提供:基本、标准和高级:
- Azure 防火墙基本 - 专为中小企业设计,以实惠的价格提供基本保护
- Azure 防火墙标准 - 提供 L3-L7 过滤、来自 Microsoft 网络安全中心的威胁情报源,并且可以扩展到 30 Gbps
-
Azure 防火墙高级 版 - 针对高度敏感且受监管的环境的高级威胁防护,并具有:
- TLS 检查:解密出站流量,处理威胁,然后在发送到目标之前重新加密
- IDPS (入侵检测和防护系统):基于签名的 IDPS,在 50 多个类别中拥有超过 67,000 个签名,每天更新 20 至 40 个以上的新规则。
- URL 筛选:扩展 FQDN 筛选以考虑整个 URL 路径
- 高级 Web 类别:基于 HTTP 和 HTTPS 流量的完整 URL 的增强分类
- 增强性能:支持最高 100 Gbps 带宽,并支持 10 Gbps 大流量传输
- PCI DSS 合规性:满足支付卡行业数据安全标准要求
Azure 防火墙高级版对于防范勒索软件至关重要,因为它可以检测并阻止勒索软件用于提取加密密钥的命令和控制(C&C)连接。 详细了解 使用 Azure 防火墙的勒索软件保护。
Azure DDoS 防护
Azure DDoS 防护与应用程序设计最佳做法相结合,提供增强的功能来防御 DDoS 攻击。 这种防护自动经过优化,可保护虚拟网络中的特定 Azure 资源。 在任何新的或现有的虚拟网络上启用该防护很简单,且无需对你的应用程序或资源进行任何更改。
Azure DDoS 防护提供了两个层级:DDoS 网络防护和 DDoS IP 防护。
DDoS 网络保护 - 提供增强功能来抵御分布式拒绝服务(DDoS)攻击。 它在网络层 3 和 4 上运行,包括 DDoS 快速响应支持、成本保护和 Web 应用程序防火墙 (WAF) 折扣等高级功能。
DDoS IP 保护 - 遵循按保护的付费 IP 模型。 它包括与 DDoS 网络保护相同的核心工程功能,但不提供其他服务,如 DDoS 快速响应支持、成本保护和 WAF 折扣。
路由控制和强制隧道
控制 Azure 虚拟网络上的路由行为是关键的网络安全和访问控制功能。 例如,如果要确保与 Azure 虚拟网络之间的所有流量都通过该虚拟安全设备,则必须能够控制和自定义路由行为。 可以通过在 Azure 中配置用户定义的路由实现此操作。
用户定义的路由允许用户为进出单个虚拟机或子网的流量自定义入站和出站路径,以确保最安全的路由。 强制隧道是一种机制,可用于确保不允许服务启动与 Internet 上设备的连接。
这不同于能够接受传入连接然后对其作出响应。 前端 Web 服务器需要响应来自 Internet 主机的请求,因此允许源自 Internet 的流量传入到这些 Web 服务器,而且这些 Web 服务器可以作出响应。
强制隧道通常用于强制到 Internet 的外部流量通过本地安全代理和防火墙。
虚拟网络安全设备
虽然网络安全组、用户定义路由和强制隧道传输在 OSI 模型的网络层和传输层提供安全级别,但有时可能需要在更高级别的协议栈上启用安全功能。 可以使用 Azure 合作伙伴安全设备解决方案访问这些增强的网络安全功能。 通过访问 Azure 市场并搜索安全和网络安全,可以找到最新的 Azure 合作伙伴网络安全解决方案。
Azure 虚拟网络
Azure 虚拟网络 (VNet) 是你自己的网络在云中的表示形式。 它是对专用于订阅的 Azure 网络结构进行的逻辑隔离。 可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。 可将 VNet 分段为子网,并将 Azure IaaS 虚拟机(VM)放置在 Azure 虚拟网络上。
此外,还可以使用 Azure 中提供的连接选项 之一将虚拟网络连接到本地网络。 实际上,可以将网络扩展到 Azure,对 IP 地址块进行完全的控制,并享受企业级 Azure 带来的好处。
Azure 网络支持各种安全远程访问方案。 其中包括:
Azure Virtual Network Manager
Azure 虚拟网络管理器 提供了一个集中式解决方案,用于大规模管理和保护虚拟网络。 它使用 安全管理规则 在整个组织中集中定义和强制实施安全策略。 安全管理员规则优先于网络安全组(NSG)规则,并应用于虚拟网络。 这样,组织就可以使用安全管理规则强制实施核心策略,同时仍允许下游团队根据子网和 NIC 级别的特定需求来定制 NSG。
根据组织的需求,可以使用“允许”、“拒绝”或“始终允许”规则作来强制实施安全策略:
| 规则操作 | DESCRIPTION |
|---|---|
| 允许 | 默认允许指定的流量。 下游 NSG 仍会收到此流量,并可能拒绝该流量。 |
| 始终允许 | 始终允许指定的流量,而不考虑优先级更低的其他规则或 NSG。 这可用于确保监视代理、域控制器或管理流量不会被阻止。 |
| 拒绝 | 阻止指定的流量。 下游 NSG 在安全管理规则拒绝此流量后将不对其进行评估,从而确保现有和新虚拟网络的高风险端口在默认情况下受到保护。 |
在 Azure 虚拟网络管理器中, 网络组 允许将虚拟网络组合在一起,以便集中管理和强制实施安全策略。 网络组基于拓扑和安全方面的需求对虚拟网络进行逻辑分组。 可以手动更新网络组的虚拟网络成员身份,也可以使用 Azure Policy 定义条件语句动态更新网络组,以自动更新网络组成员身份。
Azure 专用链接
使用 Azure 专用链接,可通过专用终结点来秘密访问虚拟网络中的 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的由客户拥有的服务/合作伙伴服务。 使用 Azure 专用链接的设置和使用体验在 Azure PaaS、客户自有服务和共享合作伙伴服务中是一致的。 从虚拟网络发往 Azure 服务的流量始终保留在 Microsoft Azure 主干网络中。
使用专用终结点可以保护关键的 Azure 服务资源,只允许在客户自己的虚拟网络中对其进行访问。 Azure 专用终结点使用你的 VNet 中的专用 IP 地址将你秘密且安全地连接到由 Azure 专用链接提供支持的服务,有效地将服务引入到你的 VNet 中。 不再需要为了使用 Azure 上的服务而向公共 Internet 公开你的虚拟网络。
你还可以在虚拟网络中创建自己的专用链接服务。 Azure 专用链接服务是对你自己的服务(由 Azure 专用链接提供支持)的引用。 可以为在 Azure 标准负载均衡器后面运行的服务启用专用链接访问,使该服务的使用者能够从他们自己的虚拟网络以私密方式访问该服务。 你的客户可在他们的虚拟网络中创建专用终结点,并将此终结点映射到此服务。 不再需要为了在 Azure 上呈现服务而向公共 Internet 公开服务。
VPN 网关
若要在 Azure 虚拟网络与本地站点之间发送网络流量,必须为 Azure 虚拟网络创建 VPN 网关。 VPN 网关是一种虚拟网络网关,可以通过公共连接发送加密流量。 也可以使用 VPN 网关在基于 Azure 网络结构的 Azure 虚拟网络之间发送流量。
快速路由
Microsoft Azure ExpressRoute 是一个专用 WAN 链接,可用于通过连接提供商促进的专用连接将本地网络扩展到 Azure 云。
使用 ExpressRoute,可以建立与 Azure 云服务的连接,例如Microsoft Azure 和 Microsoft 365。 可以从任意位置之间的 (IP VPN) 网络、点到点以太网或在场地租用设施上通过连接服务提供商的虚拟交叉连接来建立这种连接。
ExpressRoute 连接不会通过公共 Internet,因此可以认为它比基于 VPN 的解决方案更安全。 与通过 Internet 的典型连接相比,ExpressRoute 连接提供更高的可靠性、更快的速度、更低的延迟和更高的安全性。
应用程序网关
Microsoft Azure 应用程序网关 提供应用程序传送控制器(ADC)即服务,为应用程序提供各种第 7 层负载均衡功能。
它使用户能够通过将 CPU 密集型 TLS 终止卸载到应用程序网关(也称为TLS 卸载或TLS 桥接)来优化 Web 场生产率。 它还提供第 7 层其他路由功能,包括传入流量的轮循机制分配、基于 Cookie 的会话相关性、基于 URL 路径的路由,以及在单个应用程序网关后面托管多个网站的能力。 Azure 应用程序网关是第 7 层负载均衡器。
它在不同服务器之间提供故障转移和性能路由 HTTP 请求,而不管它们是在云中还是本地。
应用程序提供许多应用程序传送控制器 (ADC) 功能,包括 HTTP 负载均衡、基于 cookie 的会话相关性、TLS 卸载、自定义运行状况探测、多站点支持,以及许多其他功能。
Web 应用程序防火墙
Web 应用程序防火墙是 Azure 应用程序网关的一项功能,它为使用应用程序网关实现标准应用程序传递控制 (ADC) 功能的 Web 应用程序提供保护。 Web 应用程序防火墙的此功能可以保护 Web 应用程序免受 OWASP 十大常见 Web 漏洞中的大部分漏洞的威胁。
SQL 注入保护
防范常见 Web 攻击,例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含
防止 HTTP 协议违反行为
防范 HTTP 协议异常,例如缺少主机、用户代理和接受标头
防止自动程序、爬网程序和扫描程序
检测常见的应用程序配置错误(例如 Apache、IIS)
集中式 Web 应用程序防火墙(WAF)简化了安全管理,增强了对 Web 攻击的保护。 它可以更好地保证入侵威胁,并通过集中修补已知漏洞而不是保护每个 Web 应用程序来更快地应对安全威胁。 可以轻松升级现有应用程序网关,以包含 Web 应用程序防火墙。
Azure Front Door
Azure Front Door 是一个全球可缩放的入口点,它使用Microsoft的全球边缘网络来创建快速、安全且可广泛缩放的 Web 应用程序。 Front Door 提供:
- 全局负载均衡:在不同区域中的多个后端之间分配流量
- 集成的 Web 应用程序防火墙:防范常见的 Web 漏洞和攻击
- DDoS 防护:针对分布式拒绝服务攻击的内置保护
- SSL/TLS 卸载:集中式证书管理和流量加密
- 基于 URL 的路由:根据 URL 模式将流量路由到不同的后端
Front Door 将内容交付、应用程序加速和安全性合并到单个服务中。
Traffic Manager
Microsoft Azure 流量管理器 允许控制不同数据中心的服务终结点的用户流量分布。 流量管理器支持的服务终结点包括 Azure VM、Web 应用和云服务。 也可将流量管理器用于外部的非 Azure 终结点。
流量管理器根据流量路由方法和终结点的运行状况,使用域名系统 (DNS) 将客户端请求定向到最合适的终结点。 流量管理器提供多种流量路由方法来满足不同的应用程序需求、终结点运行状况监视和自动故障转移。 流量管理器能够灵活应对故障,包括整个 Azure 区域的故障。
Azure Load Balancer
Azure 负载均衡器可提高应用程序的可用性和网络性能。 它是第 4 层(TCP、UDP)类型的负载均衡器,可在负载均衡集中定义的运行状况良好的服务实例之间分配传入流量。 可以将 Azure 负载均衡器配置为:
对传入到虚拟机的 Internet 流量进行负载均衡。 此配置称为公共负载均衡。
对虚拟网络中虚拟机之间的流量、云服务中虚拟机之间的流量或本地计算机和跨界虚拟网络中虚拟机之间的流量进行负载均衡。 此配置称为 负载均衡。
将外部流量转发到特定的虚拟机
内部 DNS
可以在管理门户或网络配置文件中管理 VNet 中使用的 DNS 服务器列表。 客户最多可以为每个 VNet 添加 12 个 DNS 服务器。 指定 DNS 服务器时,请务必按照客户环境的正确顺序列出客户的 DNS 服务器。 DNS 服务器列表不采用轮循机制。 需要按指定顺序使用这些服务器。 如果可访问列表上的第一个 DNS 服务器,则无论该 DNS 服务器是否运行正常,客户端都将使用该服务器。 要更改客户的虚拟网络的 DNS 服务器顺序,请从列表中删除 DNS 服务器,并按客户希望的顺序重新添加这些服务器。 DNS 支持“CIA”安全三因素的可用性方面。
Azure DNS
域名系统或 DNS 负责将网站或服务名称转换(或解析)为它的 IP 地址。 Azure DNS 是 DNS 域的托管服务,使用 Microsoft Azure 基础结构提供名称解析。 通过在 Azure 中托管域,可以使用与其他 Azure 服务相同的凭据、API、工具和计费来管理 DNS 记录。 DNS 支持“CIA”安全三合会的可用性方面。
Azure Monitor 日志 NSG
可以为 NSG 启用以下诊断日志类别:
事件:包含根据 MAC 地址向 VM 和实例角色应用的 NSG 规则条目。 每隔 60 秒收集一次这些规则的状态。
规则计数器:包含应用每个 NSG 规则以拒绝或允许流量的次数的条目。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 不断分析 Azure 资源的安全状态,以实现网络安全最佳做法。 在 Defender for Cloud 识别出潜在的安全漏洞时,它会创建一些建议,指导完成配置所需控件以强化和保护资源的过程。
高级容器网络服务 (ACNS)
高级容器网络服务 (ACNS) 是一套服务,旨在提高 Azure Kubernetes 服务 (AKS) 群集的运营效率。 它提供了高级安全性和可观测性功能,解决了大规模管理微服务基础结构的复杂性问题。
这些功能分为两个主要支柱:
安全性:对于使用由 Cilium 提供支持的 Azure CNI 的群集,网络策略包括完全限定的域名 (FQDN) 筛选,以解决维护配置的复杂性问题。
可观测性:高级容器网络服务套件的此功能为 Cilium 和非 Cilium Linux 数据平面提供了 Hubble 控制平面的强大功能,从而增强了对网络和性能的可见性。
安全操作和管理
管理和监视 Azure 环境的安全性对于保持强大的安全态势至关重要。 Azure 提供全面的安全作、威胁检测和事件响应工具。 有关安全管理和监视的详细覆盖范围,请参阅 Azure 安全管理和监视概述。 有关运营安全最佳做法,请参阅 Azure 运营安全最佳做法。 有关全面的操作安全概述,请参阅 Azure操作安全概述。
Microsoft Sentinel
Microsoft Sentinel 是一种可缩放的、云原生的安全信息和事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 解决方案。 Microsoft Sentinel 在整个企业范围内提供智能安全分析和威胁情报,为攻击检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。
Microsoft Sentinel 现已在所有客户的 Microsoft Defender 门户中提供,提供统一的安全作体验,可简化工作流并提高可见性。 与 Security Copilot 的集成使分析师能够使用自然语言与 Microsoft Sentinel 数据交互,生成搜寻查询,并自动调查,以加快威胁响应速度。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 可帮助预防、检测和响应威胁,同时增强 Azure 资源的可见性和安全可控性。 Microsoft Defender for Cloud 跨 Azure 订阅提供集成的安全监视和策略管理,有助于检测可能忽略的威胁,并与广泛的安全解决方案生态系统配合使用。
Microsoft Defender for Cloud 提供针对特定工作负荷的计划的全面保护,包括:
- Defender for Servers - Windows 和 Linux 服务器的高级威胁防护
- Defender for Containers - 容器化应用程序和 Kubernetes 的安全性
- Defender for Storage - 使用恶意软件扫描和敏感数据发现进行威胁检测
- Defender for Databases - 保护 Azure SQL、Azure Database for MySQL 和 PostgreSQL
- Defender for AI Services - 针对 Azure AI 服务的运行时保护,防止越狱尝试、数据泄露和可疑访问模式
- Defender CSPM - 使用攻击路径分析、安全治理和 AI 安全状况管理进行云安全状况管理
此外,Defender for Cloud 通过提供单个仪表板实现可立即执行的警报和建议,从而帮助进行安全操作。 安全 Copilot 集成提供 AI 生成的摘要、修正脚本和委派功能,以加速风险修正。
有关 Azure 中全面的威胁检测功能,请参阅 Azure 威胁防护。
Azure Resource Manager
可以使用 Azure Resource Manager 将解决方案中的资源作为一个组进行处理。 可以通过一个协调的操作为解决方案部署、更新或删除所有资源。 可以使用 Azure 资源管理器模板来完成部署,该模板适用于测试、过渡和生产等不同环境。 Resource Manager 提供安全、审核和标记功能,以帮助你在部署后管理资源。
基于 Azure 资源管理器模板的部署因其标准的安全控制设置,有助于提高 Azure 中部署的解决方案的安全性,并且还可以集成到基于标准化模板的部署中。 模板可以降低手动部署期间可能发生的安全配置错误风险。
Application Insights
Application Insights 是面向 Web 开发人员的灵活应用程序性能管理 (APM) 服务。 它使你可以监视实时 Web 应用程序并自动检测性能问题。 借助功能强大的分析工具,你可以诊断问题并深入了解用户与应用之间的交互。 Application Insights 会从开发到测试再到生产持续监视你的应用程序。
Application Insights 将生成富有见解的图表和表,揭示用户活动的高峰时段、应用的响应能力以及它所依赖的任何外部服务的性能。
如果出现崩溃、故障或性能问题,可以搜索详细的数据来诊断原因。 此外,如果应用的可用性和性能有任何变化,该服务还会向用户发送电子邮件。 Application Insight 就是这样因其有助于实现保密性、完整性和可用性安全三元素的可用性而成为有价值的安全工具。
Azure Monitor
Azure Monitor 对来自 Azure 订阅(活动日志)和每个单独的 Azure 资源(资源日志)的数据提供可视化效果、查询、路由、警报、自动缩放和自动化功能。 可以使用 Azure Monitor 对 Azure 日志中生成的与安全相关的事件发出警报。
Azure Monitor 日志
除了 Azure 资源之外,Azure Monitor 日志还为本地和第三方基于云的基础结构(如 Amazon Web Services)提供了 IT 管理解决方案。 可以将来自 Azure Monitor 的数据直接路由到 Azure Monitor 日志,因此可以在一个位置查看整个环境的指标和日志。
在取证和其他安全分析中,Azure Monitor 日志是非常有用的工具,因为使用该工具能通过灵活的查询方法快速搜索大量与安全相关的条目。 此外,本地防火墙和代理日志可以导出到 Azure 中,并可以使用 Azure Monitor 日志进行分析。
Azure 顾问
Azure 顾问是一种个性化的云顾问,可帮助优化 Azure 部署。 它分析资源配置和使用情况数据。 然后,它会推荐解决方案来帮助提高资源的性能、安全性和可靠性,同时寻找机会减少总体 Azure 支出。 Azure 顾问提供安全建议,可显著提高在 Azure 中部署的解决方案的总体安全状况。 这些建议来自于 Microsoft Defender for Cloud 执行的安全分析。
Microsoft Entra ID
Microsoft Entra ID 是Microsoft基于云的标识和访问管理服务。 它提供:
- 单点登录(SSO):允许用户通过一组凭据访问多个应用程序
- 多重身份验证(MFA):需要多种形式的验证才能登录
- 条件访问:根据用户、设备、位置和风险控制对资源的访问
- 标识保护:检测和响应基于标识的风险
- Privileged Identity Management (PIM):提供对 Azure 资源的实时特权访问
- 标识治理:管理标识生命周期和访问权限
基于角色的访问控制 (RBAC)
Azure 基于角色的访问控制(RBAC)可帮助你管理谁有权访问 Azure 资源、他们可以对这些资源执行的作以及他们有权访问的区域。 RBAC 为 Azure 资源提供精细的访问管理,使你能够仅向用户授予执行作业所需的权限。
Microsoft Entra Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) 使你能够管理、控制和监视对组织中重要资源的访问。 PIM 提供基于时间的和基于审批的角色激活,以缓解过度、不必要的或滥用访问权限的风险。
Azure 资源的托管标识
Azure 资源的托管标识为 Azure 服务提供了Microsoft Entra ID 中的自动托管标识。 可以使用此标识向支持 Microsoft Entra 身份验证的任何服务进行身份验证,这样就无需在代码中插入凭据了。
修补程序更新可以减少必须在企业中部署的软件更新数目并提高监视符合性的能力,从而提供查找及修复潜在问题的基础并简化软件更新管理过程。
安全策略管理和报告
Defender for Cloud 可帮助你预防、检测和响应威胁,同时提高对 Azure 资源的可见性和安全可控性。 它提供对 Azure 订阅的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于广泛的安全解决方案生态系统。
安全标识
Microsoft 在其产品和服务中使用多种安全实践和技术来管理标识和访问权限。
多重身份验证要求用户在本地和云中使用多种方法进行访问。 它提供强大的身份验证和一系列简单的验证选项,同时满足用户对简单登录过程的需求。
Microsoft Authenticator 提供了一种用户友好型多重身份验证体验,它可与 Microsoft Entra ID 和 Microsoft 帐户兼容,并支持可穿戴设备和基于指纹的批准。
强制实施密码策略通过强制执行长度和复杂性要求、强制定期轮换和身份验证尝试失败后的帐户锁定来提高传统密码的安全性。
基于令牌的身份验证允许通过 Microsoft Entra ID 进行身份验证。
Azure 基于角色的访问控制 (Azure RBAC) 能够根据用户分配的角色来授予访问权限,从而轻松为用户仅提供执行作业所需的访问量。 可以根据组织的业务模型和风险允许范围自定义 Azure RBAC。
集成标识管理(混合标识)能够保持对用户在内部数据中心和云平台中的访问控制,并为所有资源的身份验证和授权创建单个用户标识。
保护应用和数据
Microsoft Entra ID 是综合性的标识和访问管理云解决方案,可帮助确保安全访问站点和云中的应用程序数据,并简化对用户和组的管理。 它结合了核心目录服务、高级 Identity Governance、安全性以及应用程序访问管理,使开发人员可以轻松在其应用中构建基于策略的标识管理。 若要增强 Microsoft Entra ID,可以使用 Microsoft Entra Basic、Premium P1、和 Premium P2 版添加付费功能。
Cloud App Discovery 是 Microsoft Entra ID 的一项高级功能,能够识别组织中的人员所使用的云应用程序。
Microsoft Entra 域服务让用户可以将 Active VM 加入一个域,且无需部署域控制器。 用户可使用他们的企业 Active Directory 凭证登录这些 VM,且可以无缝访问资源。
Microsoft Entra B2C 是一个高度可用的全局性标识管理服务,该服务适用于面向用户且可通过伸缩来处理数以亿计标识的应用程序,并可跨移动平台和 Web 平台集成。 客户可以通过使用现有社交媒体帐户的自定义体验登录所有应用,也可以创建新的独立凭据。
Microsoft Entra B2B 协作是一种安全的合作伙伴集成解决方案,可让合作伙伴使用其自行管理的标识有选择性地访问企业应用程序和数据,为跨公司合作关系提供支持。
加入 Microsoft Entra 可以将云功能扩展到 Windows 10 设备进行集中管理。 它使用户可以通过 Microsoft Entra ID 连接到企业或组织云,并简化对应用和资源的访问。
后续步骤
了解云中责任分担。
了解 Microsoft Defender for Cloud 如何帮助预防、检测和响应威胁,同时增强 Azure 资源的可见性和安全可控性。
了解 Azure 安全最佳做法和模式 ,了解其他安全建议。
查看 Azure 云安全基准 ,获取全面的安全指南。
有关 Azure 安全体系结构的保护、检测和响应视图,请参阅 Azure 中的端到端安全性 。