在当今的云环境中,安全性至关重要。 网络威胁不断发展,保护数据、应用程序和基础结构需要一种全面的多层方法。 安全性是云中的作业之一,必须准确及时地找到有关Azure安全性的信息。
本文全面了解Azure提供的安全性。 有关按保护、检测和响应功能组织的 Azure 安全的端到端视图,请参阅 Azure 中的 端到端安全性。
Azure的深层防御安全方法
Azure采用深层防御策略,在整个堆栈中提供多层安全保护,从物理数据中心到计算、storage、网络、应用程序和标识。 此多层方法可确保如果一个层遭到入侵,则其他层将继续保护资源。
Azure的基础设施从头开始精心制作,涵盖从物理设施到应用程序的所有内容,以同时安全地托管数百万客户。 这一强大的基础使企业能够自信地满足其安全要求。 有关如何Microsoft保护Azure平台本身的信息,请参阅 Azure 基础结构安全性。 有关物理数据中心安全性的详细信息,请参阅 Azure 物理安全性。
Azure是一个公有云服务平台,支持广泛的作系统、编程语言、框架、工具、数据库和设备。 它可以通过 Docker 集成运行 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 和 Node.js生成应用,并为 iOS、Android 和 Windows 设备生成后端。 Azure 公共云服务支持数百万开发人员和 IT 专业人员已经依赖和信任的相同技术。
内置平台安全性
Azure提供平台默认的内置安全保护,从资源部署开始就帮助保护您的资源。 有关Azure平台安全功能的综合信息,请参阅 Azure 平台安全性概述。
- Network Protection:Azure DDoS Protection自动保护资源免受分布式拒绝服务攻击。
- 默认启用加密:默认为 Azure Storage、SQL 数据库和其他许多服务启用静态数据加密。
- Identity Security:Microsoft Entra ID为所有Azure服务提供安全身份验证和授权。
- 威胁检测:内置威胁检测监视Azure资源中的可疑活动。
- 合规:Azure维护行业最大的合规性组合,帮助你满足法规要求。
这些基础安全控制在后台持续工作,以保护云基础结构,无需进行额外的配置即可进行基本保护。
云中责任分担
虽然Azure提供可靠的平台安全性,但云中的安全性是Microsoft和你之间的共同责任。 职责划分取决于部署模型(IaaS、PaaS 或 SaaS):
- Microsoft的责任:Azure保护底层基础结构,包括物理数据中心、硬件、网络基础结构和主机作系统。
- 您的责任:您负责保护数据、应用程序、身份和访问管理。
每个工作负载和应用程序都是不同的,根据行业法规、数据敏感度和业务需求,具有独特的安全要求。 这就是Azure的高级安全服务发挥作用的地方。 有关共享责任模型的详细信息,请参阅 云中的共同责任。
注意事项
本文档重点介绍面向客户的控件,客户可以使用这些控件自定义和提高应用程序和服务的安全性。
每个工作负载的高级安全服务
为了满足独特的安全要求,Azure提供了一套全面的高级安全服务,你可以根据特定需求配置和自定义这些服务。 这些服务分为六个功能区域:运营、应用程序、存储、网络、计算和身份。 有关安全服务和技术的综合目录,请参阅Azure安全服务和技术。
此外,Azure提供了一系列可配置的安全选项,并能够控制这些选项,以便你可以自定义安全性以满足组织部署的独特要求。 本文档可帮助你了解Azure安全功能如何帮助你满足这些要求。
有关Azure安全控制和基线的结构化视图,请参阅 Azure 云安全基准,该基准为Azure服务提供全面的安全指南。 有关Azure的技术安全功能的信息,请参阅 Azure 安全技术功能。
计算安全性
保护虚拟机和计算资源对于保护Azure中的工作负载至关重要。 Azure提供多层计算安全性,从基于硬件的保护到基于软件的威胁检测。 有关详细的虚拟机安全信息,请参阅 Azure Virtual Machines 安全性概述。
受信任的启动
受信任启动是新创建的 Azure 第 2 代虚拟机和虚拟机规模集的默认选项。 受信任的启动可防范高级和持久性攻击技术,包括启动工具包、rootkit 和内核级恶意软件。
可信启动提供:
- 安全启动:通过确保只有经过签名的操作系统和驱动程序才能启动,防止安装基于恶意软件的 rootkit 和启动套件
- vTPM (虚拟受信任的平台模块):用于密钥和度量的专用安全保管库,可实现证明和启动完整性验证
- Boot 完整性监视:通过 Microsoft Defender for Cloud 使用验证来验证启动过程的完整性,并在出现故障时发出警报
可以在现有的虚拟机 (VM) 和虚拟机规模组上启用受信任的启动。
反恶意软件和防病毒
借助 Azure IaaS,可以使用来自安全供应商(如 Microsoft、Trend Micro、McAfee 和卡巴斯基)的反恶意软件来保护virtual machines免受恶意文件、广告软件和其他威胁的影响。 Microsoft反恶意软件适用于Azure Virtual Machines是一种保护功能,可帮助识别和删除病毒、间谍软件和其他恶意软件。 Microsoft反恶意软件在已知恶意或不需要的软件尝试安装自身或在Azure系统上运行时提供可配置的警报。 还可以使用 Microsoft Defender for Cloud 部署Microsoft反恶意软件。
硬件安全模块
加密和身份验证不会提高安全性,除非密钥本身受到保护。 可以通过将其存储在 Azure Key Vault 中来简化关键机密和密钥的管理和安全性。 Key Vault提供了将密钥存储在经过认证为 FIPS 140-3 级别 3 标准的硬件安全模块(HSM)中的选项。 可以将 SQL Server 加密密钥存储在 Key Vault 中作为备份,或与 透明数据加密 一起使用,同时可以存储应用程序中的任何密钥或机密。 Microsoft Entra ID管理对这些受保护项的权限和访问。
有关密钥管理选项(包括 Azure Key Vault、托管 HSM 和付款 HSM)的综合信息,请参阅 Azure 中的
虚拟机备份
Azure Backup是一种解决方案,它使用零资本投资和最小的运营成本来保护应用程序数据。 应用错误可能会损坏您的数据,而人为错误可能会在您的应用程序中引入漏洞,从而导致安全问题。 使用 Azure Backup,运行 Windows 和 Linux 的virtual machines受到保护。
Azure Site Recovery
组织业务连续性/灾难恢复(BCDR)策略的一个重要部分是了解如何在发生计划内和计划外中断时使企业工作负荷和应用保持正常运行。 Azure Site Recovery可帮助协调工作负荷和应用的复制、故障转移和恢复,以便在主要位置出现故障时从辅助位置获取它们。
SQL VM TDE
透明数据加密(TDE)和列级加密(CLE)是 SQL Server 的加密功能。 这种加密形式要求你管理和存储用于加密的加密密钥。
Azure Key Vault(AKV)服务旨在提高这些密钥在安全且高度可用的位置的安全性和管理。 SQL Server连接器使SQL Server能够从Azure Key Vault使用这些密钥。
如果您在本地计算机上运行SQL Server,可以按照以下步骤,通过本地SQL Server实例访问Azure Key Vault。 对于Azure VM 中的SQL Server,可以使用 Azure Key Vault 集成功能节省时间。 通过使用几个 Azure PowerShell cmdlet 来启用此功能,您可以自动配置 SQL VM 所需的内容,从而访问您的密钥保管库。
有关数据库安全最佳做法的综合列表,请参阅 Azure 数据库安全清单。
VM 磁盘加密
重要
Azure Disk Encryption定于 2028 年 15 月 15 日停用。 在该日期之前,可以继续使用Azure Disk Encryption而不中断。 2028 年 9 月 15 日,已启用 ADE 的工作负荷将继续运行,但 VM 重启后加密磁盘将无法解锁,从而导致服务中断。
使用 主机端加密 用于新 VM。 所有已启用 ADE 的 VM(包括备份)必须在停用日期之前迁移到主机上的加密,以避免服务中断。 有关详细信息,请参阅 从 Azure 磁盘加密迁移到宿主加密。
对于新式虚拟机加密,Azure提供:
- 主机加密:为 VM 数据提供端到端加密,包括临时磁盘和 OS/数据磁盘缓存。
- 机密磁盘加密:可用于机密 VM 的基于硬件的加密。
- 使用客户管理的密钥进行服务器端加密:通过Azure Key Vault或Azure Key Vault托管 HSM 管理自己的加密密钥。
有关详细信息,请参阅托管磁盘加密选项概述。
虚拟网络
虚拟机需要网络连接。 为了支持该要求,Azure 需要虚拟机连接到 Azure 虚拟网络。 Azure Virtual Network是基于物理Azure网络结构构建的逻辑构造。 每个逻辑Azure虚拟网络都与所有其他Azure虚拟网络隔离。 这种隔离有助于确保其他Microsoft Azure客户无法访问部署中的网络流量。
修补程序更新
修补程序更新提供了查找和修复潜在问题的基础,并简化了软件更新管理过程。 它们减少了必须在企业中部署的软件更新数量,并提高监视合规性的能力。
安全策略管理和报告
Defender for Cloud 可帮助你防范、检测和响应威胁。 它使你能够更深入地了解和控制Azure资源的安全性。 它跨Azure订阅提供集成的安全监视和策略管理。 它有助于检测可能会被忽视的威胁,适用于各种安全解决方案生态系统。
应用程序安全性
应用程序安全性侧重于在整个生命周期内保护应用程序免受威胁,从开发到部署和运行时。 Azure提供全面的工具,用于应用程序的安全开发、测试和保护。 有关安全应用程序开发指南,请参阅 Azure 上的安全应用程序。 有关特定于 PaaS 的安全最佳做法,请参阅 保护 PaaS 部署。 有关 IaaS 部署安全性,请参阅 IaaS 工作负荷的最佳做法(Azure)。
渗透测试
Microsoft不会对应用程序执行 渗透测试 ,但它理解你希望并需要在自己的应用程序中执行测试。 不再需要告知 Microsoft 你的渗透测试活动,但仍必须遵守 Microsoft 云渗透测试参与规则。
Web应用防火墙
Azure Application Gateway 中的 Web Application Firewall (WAF)可保护 Web 应用程序免受 SQL 注入、跨站点脚本和会话劫持等常见基于 Web 的攻击。 它已预先配置,以防止由 Open Web 应用程序安全Project(OWASP)标识的前 10 个漏洞。
Azure App Service中的身份验证和授权
App Service身份验证/授权是一项功能,为应用程序提供登录用户的方式,以便无需更改应用后端的代码。 该功能可以方便地保护应用程序和处理每个用户的数据。
分层安全体系结构
由于 App Service Environment 提供了部署到 Azure Virtual Network 的独立运行时环境,因此开发人员可以创建分层的安全体系结构,为每个应用程序层提供不同级别的网络access。 通常会将 API 后端隐藏,使其不被普通互联网访问,并且只允许上游的 Web 应用程序调用 API。 可以在包含 App Service 环境的 Azure 虚拟网络子网中使用 网络安全组(NSG),以限制 API 应用程序的公共访问。
App Service web apps提供可靠的诊断功能,用于从 Web 服务器和 Web 应用程序捕获日志。 这些诊断分为 Web 服务器诊断和应用程序诊断。 Web 服务器诊断包括对站点和应用程序进行诊断和故障排除方面的重大改进。
第一个新特点是有关应用程序池、工作进程、站点、应用程序域和运行请求的实时状态信息。 第二项新功能是在完整的请求和响应过程中追踪请求的详细事件。
若要启用这些跟踪事件的收集,可以将 IIS 7 配置为针对特定请求以 XML 格式自动捕获全面的跟踪日志。 收集可以基于已用时间或错误响应代码。
存储安全性
存储安全性对于保护静态状态和传输过程中的数据至关重要。 Azure提供多层加密、access控件和监视功能,以确保数据保持安全。 有关数据加密的详细信息,请参阅 Azure 加密概述。 有关密钥管理选项,请参阅 Azure 中的密钥管理。 有关数据加密最佳做法,请参阅 Azure 数据安全性和加密最佳做法。
Azure基于角色的访问控制(Azure RBAC)
可以使用 Azure 基于角色的访问控制(Azure RBAC) 来保护存储帐户。 若要对数据访问强制实施安全策略,请根据知情原则和最低特权原则限制访问。 通过向特定范围的组和应用程序分配适当的 Azure 角色来授予这些访问权限。 使用 Azure 内置角色(如 Storage 帐户参与者)向用户分配权限。 可以通过 Azure RBAC 使用Azure Resource Manager 模型来控制存储帐户的存储密钥访问。
共享访问签名
共享访问签名(SAS)为存储帐户中的资源提供委派访问权限。 通过使用共享访问签名 (SAS),可以在指定的时间段内向存储帐户中的对象授予客户端特定权限,这些权限由您指定。 授予这些受限权限,而无需共享您的帐户访问密钥。
传输中加密
传输中加密是通过网络传输数据时保护数据的一种机制。 借助 Azure Storage,您可以通过以下方式保护数据:
传输层加密,如在将数据传入或传出 Azure Storage 时使用的 HTTPS。
客户端加密,在将数据传输到storage之前对其进行加密,并在数据从storage传出后解密数据。
静态加密
对许多组织而言, 静态数据加密 是实现数据隐私性、合规性和数据所有权的必要措施。 Azure 存储安全的三个功能提供了对静态数据的加密:
Storage服务加密将数据写入Azure Storage时自动加密数据。
Client 端加密还提供静态加密功能。
存储分析
Azure Storage Analytics执行日志记录并为存储帐户提供指标数据。 可以使用此数据来跟踪请求、分析使用情况趋势,以及诊断storage帐户的问题。 Storage Analytics 详细记录存储服务中关于成功和失败请求的信息。 可以使用此信息来监视各个请求,并诊断存储服务的问题。 将最大程度地记录请求。 将记录以下类型的经过身份验证的请求:
- 请求成功。
- 失败的请求,包括超时、限制、网络、授权和其他错误。
- 使用共享Access签名(SAS)的请求,包括失败和成功的请求。
- 分析数据的请求。
使用 CORS 启用基于浏览器的客户端
跨域资源共享(CORS)是一种机制,允许不同域之间相互授予访问资源的权限。 用户代理发送额外的标头,以确保加载自特定域的 JavaScript 代码被允许访问位于另一个域的资源。 然后,后一个域通过附加头信息进行回应,允许或拒绝原始域对其资源的访问。
Azure storage服务现在支持 CORS。 为服务设置 CORS 规则后,会评估针对不同域的服务发出的经过正确身份验证的请求,以确定是否根据指定的规则允许它。
网络安全
网络安全控制流量流向和流出 Azure 资源。 Azure提供一组全面的网络安全服务,从基本防火墙到高级威胁防护和全球负载均衡。 有关全面的网络安全信息,请参阅 Azure 网络安全概述。 有关网络安全最佳做法,请参阅Azure网络安全最佳做法。
网络层控制
网络访问控制是指限制与特定设备或子网的连接,是网络安全的核心。 网络访问控制的目标是确保只有授权的用户和设备才能访问您的虚拟机和服务。
网络安全组
网络安全组(NSG)是基本的有状态数据包筛选防火墙。 它使你能够根据五元组来控制访问权限。 NSG 不提供应用层检查或经过身份验证的访问控制。 可以使用它们来控制在Azure Virtual Network中的子网之间移动的流量,以及Azure Virtual Network与 Internet 之间的流量。
Azure Firewall
Azure Firewall是一种云原生智能网络防火墙安全服务,可为Azure中运行的云工作负荷提供威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。
Azure Firewall在三个 SKU 中提供:基本、标准和高级:
- Azure Firewall 基本 - 专为中小企业设计,以实惠的价格提供基本保护。
- Azure Firewall Standard - 提供 L3-L7 筛选、来自 Microsoft 网络安全中心的威胁情报源,并且可以扩展到 30 Gbps。
-
Azure Firewall Premium - 提供高级的威胁防护,适用于高度敏感和受管控的环境:
- TLS 检查:解密出站流量,处理威胁,然后在发送到目标之前重新加密。
- IDPS(入侵检测和防护系统):基于签名的 IDPS 拥有超过 67,000 个签名,分布于 50 多个类别中,每天更新 20 到 40 多条新规则。
- URL 筛选:扩展 FQDN 筛选以考虑整个 URL 路径。
- 高级 Web 类别:基于 HTTP 和 HTTPS 流量的完整 URL 的增强分类。
- 增强性能:通过 10 Gbps 脂肪流支持纵向扩展到 100 Gbps。
- PCI DSS 合规性:满足支付卡行业数据安全标准要求。
Azure Firewall Premium 对于防范勒索软件至关重要,因为它可以检测和阻止命令和控制(C&C) 勒索软件用于提取加密密钥的连接。 详细了解 Azure 防火墙对勒索软件的保护。
Azure DDoS Protection
Azure DDoS Protection与应用程序设计最佳做法相结合,提供了增强功能来抵御 DDoS 攻击。 它会自动调整,以保护虚拟网络中的特定的 Azure 资源。 在任何新的或现有的虚拟网络上启用保护都非常简单,无需对应用程序或资源进行任何更改。
Azure DDoS Protection提供两个层:DDoS 网络保护和 DDoS IP 保护。
DDoS 网络保护 - 提供增强功能来抵御分布式拒绝服务(DDoS)攻击。 它在网络层 3 和 4 上运行,包括 DDoS 快速响应支持、成本保护和Web Application Firewall折扣(WAF)等高级功能。
DDoS IP 保护 - 遵循按保护的付费 IP 模型。 它包括与 DDoS 网络保护相同的核心工程功能,但不提供其他服务,如 DDoS 快速响应支持、成本保护和 WAF 折扣。
路由控制和强制隧道
控制在 Azure 虚拟网络上的路由行为的能力是一项关键的网络安全和访问控制功能。 例如,如果要确保传入和传出Azure Virtual Network的所有流量都经过该虚拟安全设备,则需要能够控制和自定义路由行为。 可以通过在Azure中配置 User-Defined 路由来实现此控制和自定义。
用户定义的路由允许自定义流入和流出单个虚拟机或子网的流量的入站和出站路径,以确保尽可能安全的路由。 强制隧道是一种机制,可用于确保不允许服务启动与 Internet 上设备的连接。
此限制与能够接受传入连接并作出响应的能力有所不同。 前端 Web 服务器需要响应来自 Internet 主机的请求。 因此,允许来自 Internet 的流量入站到这些 Web 服务器,并且 Web 服务器可以进行响应。
通常,使用强制隧道来强制发往 Internet 的出站流量通过本地安全代理和防火墙。
虚拟网络安全设备
虽然网络安全组、用户定义路由和强制隧道传输在 OSI 模型的网络层和传输层提供安全级别,但有时可能需要在更高级别的协议栈上启用安全功能。 可以使用Azure合作伙伴网络安全设备解决方案access这些增强的网络安全功能。 可以通过访问
Azure Virtual Network
Azure virtual network(VNet)是云中你自己的网络的表示形式。 它是专用于您的订阅的Azure网络结构的逻辑隔离。 可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。 可以将 VNet 分段为子网,并将 Azure IaaS virtual machines(VM)放置在Azure虚拟网络上。
此外,还可以使用 Azure 中提供的 连接选项之一将virtual network连接到本地网络。 从本质上讲,你可以将网络扩展到 Azure,完全控制 IP 地址块,并利用 Azure 提供的企业级扩展优势。
Azure网络支持各种安全远程访问方案。 其中一些场景包括:
Azure Virtual Network Manager
Azure Virtual Network Manager提供了一个集中式解决方案,用于大规模管理和保护虚拟网络。 它使用 安全管理规则 在整个组织中集中定义和强制实施安全策略。 安全管理员规则优先于网络安全组(NSG)规则,并应用于虚拟网络。 此优先级允许组织使用安全管理规则强制实施核心策略,同时仍使下游团队能够根据子网和 NIC 级别的特定需求定制 NSG。
根据组织的需求,使用“允许”、“拒绝”或“始终允许”规则作来强制实施安全策略:
| 规则操作 | DESCRIPTION |
|---|---|
| 允许 | 默认允许指定的流量。 下游 NSG 仍会收到此流量,并可能拒绝该流量。 |
| 始终允许 | 始终允许指定的流量,而不考虑优先级更低的其他规则或 NSG。 使用此规则以确保监控代理、域控制器或管理流量不会被阻止。 |
| 拒绝 | 阻止指定的流量。 下游 NSG 在安全管理规则被拒绝后不会评估此流量,确保默认保护现有和新虚拟网络的高风险端口。 |
在 Azure Virtual Network Manager 中,网络组允许将虚拟网络组合在一起,以便集中管理和强制实施安全策略。 网络组基于拓扑和安全方面的需求对虚拟网络进行逻辑分组。 可以手动更新网络组的 virtual network 成员身份,也可以使用 Azure Policy 定义条件语句来动态更新网络组,并自动更新网络组成员身份。
Azure Private Link
Azure Private Link 使你能够在你的虚拟网络中通过 专用终结点 私密地访问 Azure PaaS 服务(例如,Azure Storage 和 SQL 数据库)以及 Azure 托管的客户拥有/合作伙伴的服务。 使用 Azure 专用链接的设置和消费在 Azure PaaS、客户自有和共享合作伙伴服务中是一致的。 从virtual network发往Azure服务的流量始终保留在Microsoft Azure主干网络上。
通过使用私有终结点,可以将关键的 Azure 服务资源仅限于您的虚拟网络内进行保护。 Azure 专用终结点使用你的虚拟网络中的专用 IP 地址,将你私密而安全地连接到由 Azure Private Link 提供支持的服务,从而有效地将服务引入你的虚拟网络。 不再需要向公共互联网公开虚拟网络才能在 Azure 上使用服务。
还可以在virtual network中创建自己的private link服务。 Azure Private Link 服务是对由Azure Private Link提供支持的你自己的服务的引用。 可以为运行在Azure标准负载均衡器后面的服务启用私人链接访问,以便您的服务用户可以从他们自己的虚拟网络私密访问该服务。 客户可以在其虚拟网络中创建一个专用终结点,并将其映射到该服务。 无需将您的服务公开至公共互联网即可在 Azure 上提供服务。
VPN 网关
若要在Azure Virtual Network与本地站点之间发送网络流量,必须为Azure Virtual Network创建VPN gateway。 VPN gateway 是一种通过公共连接发送加密流量的virtual network网关。 还可以使用 VPN 网关通过Azure网络结构在Azure虚拟网络之间发送流量。
ExpressRoute
Microsoft Azure ExpressRoute 是一个专用 WAN 链接,可用于通过连接提供商提供的专用连接将本地网络扩展到 Azure 云。
使用 ExpressRoute,可以建立与Azure cloud services的连接,例如Microsoft Azure和Microsoft 365。 可以从任意至任意(IP VPN)网络、点对点以太网网络,或通过托管设施中的连接服务提供商建立的虚拟交叉连接来实现连接。
ExpressRoute 连接不会通过公共 Internet,比基于 VPN 的解决方案更安全。 此设计允许 ExpressRoute 连接比通过 Internet 的典型连接提供更高的可靠性、更快的速度、更低的延迟和更高的安全性。
应用网关
Microsoft Azure Application Gateway提供应用程序传送控制器(ADC)即服务,为应用程序提供各种第 7 层负载均衡功能。
它允许你将 CPU 密集型 TLS 终止卸载到 Application Gateway(也称为 TLS 卸载或 TLS 桥接)来优化 Web 场工作效率。 它还提供其他第 7 层路由功能,包括传入流量的轮循机制分发、基于 Cookie 的会话相关性、基于 URL 路径的路由,以及托管单个Application Gateway后面的多个网站的能力。 Azure Application Gateway 是第 7 层负载均衡器。
它在不同服务器之间提供故障转移和性能路由 HTTP 请求,而不管它们是在云中还是本地。
应用程序提供许多应用程序传送控制器 (ADC) 功能,包括 HTTP 负载均衡、基于 cookie 的会话相关性、TLS 卸载、自定义运行状况探测、多站点支持,以及许多其他功能。
Web应用防火墙
Web Application Firewall是 Azure Application Gateway 的一项功能,用于保护将application gateway用于标准应用程序传递控制(ADC)函数的 Web 应用程序。 Web application firewall保护它们免受 OWASP 前 10 个常见 Web 漏洞的侵害。
SQL 注入保护
防范常见 Web 攻击,例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含
防止 HTTP 协议违反行为
防范 HTTP 协议异常,例如缺少主机、用户代理和接受标头
防止机器人、爬虫和扫描程序
检测常见的应用程序配置错误(例如 Apache、IIS)
集中式web application firewall(WAF)简化了安全管理,增强了对 Web 攻击的保护。 它可以更好地保证入侵威胁,并通过集中修补已知漏洞而不是保护每个 Web 应用程序来更快地应对安全威胁。 可以轻松地升级现有应用程序网关以包含Web 应用防火墙。
Azure Front Door
Azure Front Door是一个全局、可缩放的入口点,它使用Microsoft的全球边缘网络来创建快速、安全且可广泛缩放的 Web 应用程序。 Front Door 提供:
- 全局负载均衡:在不同区域中的多个后端之间分配流量
- Integrated Web Application Firewall:防范常见的 Web 漏洞和攻击
- DDoS 防护:针对分布式拒绝服务攻击的内置保护
- SSL/TLS 卸载:集中式证书管理和流量加密
- 基于 URL 的路由:根据 URL 模式将流量路由到不同的后端
Front Door 将内容交付、应用程序加速和安全性合并到单个服务中。
流量管理器
Microsoft Azure Traffic Manager允许控制不同数据中心的服务终结点的用户流量分布。 流量管理器支持的服务终结点包括Azure VM、Web Apps和Cloud services。 还可以将流量管理器与外部非Azure终结点配合使用。
流量管理器根据流量路由方法和终结点的运行状况,使用域名系统 (DNS) 将客户端请求定向到最合适的终结点。 流量管理器提供多种流量路由方法来满足不同的应用程序需求、终结点运行状况监视和自动故障转移。 流量管理器能够抵御故障,包括整个 Azure 区域的故障。
Azure 负载均衡器
Azure Load Balancer为应用程序提供高可用性和网络性能。 它是第 4 层(TCP、UDP)load balancer,用于在负载均衡集中定义的服务正常实例之间分配传入流量。 可以将Azure Load Balancer配置为:
对传入到 virtual machines 的 Internet 流量进行负载均衡。 此配置称为公共负载均衡。
在虚拟网络中的虚拟机之间、云服务中的虚拟机之间,或在本地计算机与跨场地虚拟网络中的虚拟机之间进行流量负载均衡。 此配置称为 负载均衡。
将外部流量转发到特定的虚拟机
内部 DNS
可以在Azure portal或网络配置文件中管理 VNet 中使用的 DNS 服务器列表。 每个 VNet 最多可以添加 12 个 DNS 服务器。 指定 DNS 服务器时,请验证是否按环境的正确顺序列出 DNS 服务器。 DNS 服务器列表不采用轮循机制。 它们按指定的顺序使用。 如果可以访问列表中的第一个 DNS 服务器,则客户端会使用该 DNS 服务器,而不管 DNS 服务器是否正常运行。 若要更改virtual network的 DNS 服务器顺序,请从列表中删除 DNS 服务器,并按所需顺序重新添加这些服务器。 DNS 支持“CIA”安全三因素的可用性方面。
Azure DNS
域名系统或 DNS 负责将网站或服务名称转换(或解析)为它的 IP 地址。 Azure DNS是 DNS 域的托管服务,使用Microsoft Azure基础结构提供名称解析。 通过在 Azure 中托管域,可以使用与其他Azure服务相同的凭据、API、工具和计费来管理 DNS 记录。 DNS 支持“CIA”安全三合会的可用性方面。
Azure监视日志 NSG
可以为 NSG 启用以下诊断日志类别:
事件:包含根据 MAC 地址向 VM 和实例角色应用的 NSG 规则条目。 每隔 60 秒收集一次这些规则的状态。
规则计数器:包含应用每个 NSG 规则以拒绝或允许流量的次数的条目。
Microsoft Defender for Cloud
Microsoft Defender for Cloud持续分析Azure资源的安全状态,实现网络安全最佳做法。 在 Defender for Cloud 识别出潜在的安全漏洞时,它会创建一些建议,指导完成配置所需控件以强化和保护资源的过程。
高级容器网络服务 (ACNS)
Advanced Container Networking Services 是一个全面的套件,旨在提升Azure Kubernetes Service(AKS)群集的运营效率。 它提供了高级安全性和可观测性功能,解决了大规模管理微服务基础结构的复杂性问题。
这些功能分为两个主要支柱:
Security:对于使用由 Cilium 提供支持Azure CNI 的群集,网络策略包括完全限定的域名(FQDN)筛选,以解决维护配置的复杂性。
可观测性:高级容器网络服务套件的此功能为 Cilium 和非 Cilium Linux 数据平面提供了 Hubble 控制平面的强大功能,从而增强了对网络和性能的可见性。
安全操作和管理
管理和监视Azure环境的安全性对于保持强大的安全态势至关重要。 Azure为安全作、威胁检测和事件响应提供了全面的工具。 有关安全管理和监视的详细覆盖范围,请参阅 Azure安全管理和监视概述。 有关运营安全最佳做法,请参阅 Azure运营安全最佳做法。 有关全面的运营安全概述,请参阅 Azure运营安全概述。
Microsoft Sentinel
Microsoft Sentinel 是一种可缩放的、云原生的安全信息和事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 解决方案。 Microsoft Sentinel 在整个企业范围内提供智能安全分析和威胁情报,为攻击检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。
Microsoft Sentinel 现已在所有客户Microsoft Defender门户中提供,提供统一的安全作体验,可简化工作流并提高可见性。 与 Security Copilot 的集成使分析师能够使用自然语言与 Microsoft Sentinel 数据交互,生成搜寻查询,并自动调查,以加快威胁响应速度。
Microsoft Defender for Cloud
Microsoft Defender for Cloud通过提高对Azure资源安全性的可见性和控制,帮助你防止、检测和响应威胁。 Microsoft Defender for Cloud跨Azure订阅提供集成的安全监视和策略管理,有助于检测可能未被忽视的威胁,并与广泛的安全解决方案生态系统配合使用。
Microsoft Defender for Cloud通过特定于工作负荷的计划提供全面的保护,包括:
- Defender for Servers - Windows 和 Linux 服务器的高级威胁防护
- Defender for Containers - 容器化应用程序和 Kubernetes 的安全性
- defender for Storage - 使用恶意软件扫描和敏感数据发现的威胁检测
- 数据库保护 - 保护 Azure SQL、Azure Database for MySQL 和 PostgreSQL
- Defender AI 服务 - 为 Azure AI 服务提供运行时保护,防止越狱尝试、数据泄露和可疑访问模式
- Defender CSPM - 使用攻击路径分析、安全治理和 AI 安全状况管理进行云安全状况管理
此外,Defender for Cloud 通过提供一个仪表板来帮助你执行安全作,该仪表板可显示可立即采取行动的警报和建议。 安全 Copilot 集成提供 AI 生成的摘要、修正脚本和委派功能,以加速风险修正。
有关跨Azure的综合威胁检测功能,请参阅 Azure 威胁防护。
VM 磁盘加密
默认情况下, 主机加密 有助于加密 IaaS 虚拟机磁盘。 它通过使用 AES 256 加密(符合 FIPS 140-2)在 VM 主机级别提供服务器端加密。 此加密不消耗 VM CPU 资源,并为临时磁盘、OS/数据磁盘缓存以及到 Azure Storage 的数据流提供端到端加密。 默认情况下,它使用平台管理的密钥,无需其他配置。 或者,如果需要控制和管理自己的磁盘加密密钥,可以使用存储在Azure Key Vault或Azure Key Vault托管 HSM 中的客户管理的密钥来配置解决方案。 该解决方案可确保虚拟机磁盘上的所有数据在Azure storage中静态加密。 有关密钥管理选项的详细信息,请参阅 Azure 中的 Key management。
Azure Resource Manager
Azure Resource Manager允许您将解决方案中的资源以组的形式进行操作。 可以通过一个协调的操作为解决方案部署、更新或删除所有资源。 使用 Azure Resource Manager 模板进行部署,该模板可用于测试、过渡和生产等不同环境。 Resource Manager提供安全、审核和标记功能,帮助你在部署后管理资源。
Azure Resource Manager基于模板的部署有助于提高Azure中部署的解决方案的安全性,因为标准安全控制设置可以集成到基于模板的标准化部署中。 模板可以降低手动部署期间可能发生的安全配置错误风险。
Application Insights
Application Insights是专为 Web 开发人员设计的灵活应用程序性能管理(APM)服务。 它使你可以监视实时 Web 应用程序并自动检测性能问题。 通过使用功能强大的分析工具,可以诊断问题并深入了解用户与应用的交互。 Application Insights 会从开发到测试再到生产持续监视你的应用程序。
Application Insights 将生成富有见解的图表和表,揭示用户活动的高峰时段、应用的响应能力以及它所依赖的任何外部服务的性能。
如果出现崩溃、故障或性能问题,可以搜索详细的数据来诊断原因。 如果应用的可用性和性能发生任何更改,该服务会向你发送电子邮件。 Application Insight 就是这样因其有助于实现保密性、完整性和可用性安全三元素的可用性而成为有价值的安全工具。
Azure监视器
Azure Monitor针对Azure订阅(Activity Log)和每个单独的Azure资源(源日志)中的数据提供可视化、查询、路由、警报、自动缩放和自动化。 可以使用 Azure Monitor 针对Azure日志中生成的安全相关事件发出警报。
Azure监视日志
Azure监视日志除了Azure资源外,还为本地和第三方基于云的基础结构(如 Amazon Web Services)提供了 IT 管理解决方案。 可以将来自 Azure Monitor 的数据直接路由到Azure监视日志,以便可以在一个位置查看整个环境的指标和日志。
Azure监视日志是取证和其他安全分析的有用工具,因为该工具使你能够使用灵活的查询方法快速搜索大量与安全相关的条目。 此外,本地 防火墙和代理日志可以导出到 Azure 中,并使用 Azure Monitor 日志进行分析。
Azure Advisor
Azure Advisor 是一个个性化的云顾问,可帮助你优化Azure部署。 它分析资源配置和使用情况数据。 然后,它会推荐一些解决方案,以帮助改进您的资源的性能、安全和可靠性,同时寻找机会来降低您的整体Azure支出。 Azure Advisor提供安全建议,这可以显著改善在Azure中部署的解决方案的整体安全状况。 这些建议取自
身份和访问管理
标识是云计算中的主要安全外围。 保护身份和控制资源访问对于确保 Azure 环境的安全至关重要。 Microsoft Entra ID 提供全面的身份和访问管理功能。 有关详细信息,请参阅 Azure 标识管理概述。 有关标识管理最佳实践,请参阅Azure标识管理和访问控制安全最佳实践。
Microsoft Entra ID
Microsoft Entra ID是Microsoft基于云的标识和访问管理服务。 它提供:
- Single Sign-On (SSO):允许用户使用一组凭据access多个应用程序
- 多重身份验证(MFA):需要多种形式的验证才能登录
- 条件访问:根据用户、设备、位置和风险控制对资源的访问
- 标识保护:检测和响应基于标识的风险
- 特权身份管理(PIM):为 Azure 资源按需提供特权访问权限
- 身份治理:管理身份生命周期和访问权限
基于角色的访问控制(RBAC)
Azure基于角色的访问控制(RBAC)可帮助你管理谁可以访问Azure资源、他们可以对这些资源执行的操作以及他们可以访问哪些区域。 RBAC 为Azure资源提供精细的access管理,使你能够仅向用户授予执行其作业所需的权限。
Microsoft Entra Privileged Identity Management
Microsoft Entra 特权身份管理(PIM)使你能够管理、控制和监视组织中重要资源的访问。 PIM 提供时间为基础和审批为基础的角色激活,以缓解过度、不必要或滥用访问权限的风险。
Azure 资源的管理标识
Managed identities for Azure 资源为 Azure 服务提供 Microsoft Entra ID 中的自动化管理的标识。 使用此标识向支持Microsoft Entra 身份验证的任何服务进行身份验证,而无需在代码中提供凭据。
修补程序更新提供了查找和修复潜在问题的基础,并简化了软件更新管理过程。 它们减少了必须在企业中部署的软件更新数量,并提高监视合规性的能力。
安全策略管理和报告
Defender for Cloud 可帮助你防范、检测和响应威胁。 它使你能够更深入地了解和控制Azure资源的安全性。 它跨Azure订阅提供集成的安全监视和策略管理。 它有助于检测可能会被忽视的威胁,适用于各种安全解决方案生态系统。
安全身份
Microsoft在其产品和服务中使用多种安全实践和技术来管理身份和访问。
多重身份验证要求用户在本地和云环境中使用多种方法进行访问。 它提供强大的身份验证和一系列简单的验证选项,同时满足用户对简单登录过程的需求。
Microsoft Authenticator提供用户友好的多重身份验证体验,适用于Microsoft Entra ID和Microsoft帐户。 它包括对可穿戴设备和基于指纹的审批的支持。
强制实施密码策略通过强制执行长度和复杂性要求、强制定期轮换和身份验证尝试失败后的帐户锁定来提高传统密码的安全性。
基于令牌的身份验证通过 Microsoft Entra ID 来启用。
Azure 基于角色的访问控制(Azure RBAC)使您能够根据用户分配的角色授予访问权限。 只需向用户提供执行工作职责所需的access量即可。 可以根据组织的业务模型和风险容忍度自定义Azure RBAC。
集成标识管理(混合标识)使你能够保持对内部数据中心和云平台用户access的控制。 它创建一个用户标识,用于对所有资源进行身份验证和授权。
保护应用和数据
Microsoft Entra ID是一种全面的身份和访问管理云解决方案,可帮助保护本地和云中应用程序中的数据访问,并简化用户和组的管理。 它结合了核心目录服务、高级标识治理、安全性和应用程序access管理,并使开发人员可以轻松地在其应用中构建基于策略的标识管理。 若要增强Microsoft Entra ID,可以使用 Microsoft Entra Basic、Premium P1 和 Premium P2 版本添加付费功能。
| 免费或常见功能 | 基本功能 | 高级 P1 功能 | 高级 P2 功能 | Microsoft Entra 加入 - 适用于 Windows 10 的相关功能 |
|---|---|---|---|---|
| Directory Objects、User/Group Management(添加/更新/删除)/ 基于用户的预配、设备注册、单点登录(SSO)、云用户自助密码更改、Connect(将本地目录扩展到 Microsoft Entra ID 的同步引擎)、安全/使用情况报告 | 基于组的访问管理/配置,云用户自助服务密码重置、公司品牌化(登录页面/访问面板自定义)、应用程序代理、服务等级协议 99.9% | 自助组和应用管理/自助应用程序添加件/动态组,通过本地回写实现自助密码重置/更改/解锁,多重身份验证(云和本地(MFA 服务器)),MIM CAL + MIM 服务器,Cloud App Discovery,Connect Health,组帐户的自动密码变换 | Identity Protection、Privileged Identity Management | 将设备加入到Microsoft Entra ID,桌面SSO,Microsoft Passport进行Microsoft Entra ID,管理员BitLocker恢复,MDM自动注册,自助服务BitLocker恢复,通过Microsoft Entra加入将额外的本地管理员添加到Windows 10设备 |
Cloud App Discovery 是Microsoft Entra ID的高级功能,可用于识别组织中的员工使用的云应用程序。
Microsoft Entra 域服务使你无需部署域控制器即可将Azure VM 加入域。 用户使用其公司Active Directory凭据登录这些虚拟机,并可以无缝访问资源。
Microsoft Entra B2C是一项高度可用的全局标识管理服务,适用于面向consumer的应用,可扩展到数亿个标识,并跨移动和 Web 平台集成。 客户可以通过使用现有社交媒体帐户的自定义体验登录所有应用,也可以创建新的独立凭据。
Microsoft Entra B2B Collaboration是一种安全的合作伙伴集成解决方案,它通过使合作伙伴能够选择性地使用其自托管标识来access公司应用程序和数据,从而支持跨公司关系。
Microsoft Entra 加入使你能够将云功能扩展到Windows 10 设备,以集中管理。 用户可以通过Microsoft Entra ID连接到企业或组织云,并简化对应用和资源access。
后续步骤
了解云中共享责任。
了解 Microsoft Defender for Cloud如何通过提高对Azure资源安全性的可见性和控制来帮助防止、检测和响应威胁。
浏览 Azure 安全最佳做法和模式以获取其他安全建议。
有关全面的安全指南,请查看 Azure 云安全基准。
有关 Azure 安全体系结构的保护、检测和响应视图,请参阅 Azure 端到端安全性。