Azure 運算子連接點安全性

Azure 運算子連接點的設計及建置目的是要偵測及防範最新的安全性威脅，並符合政府與產業安全性標準的嚴格需求。 兩個基石構成其安全性架構的基礎：

• 預設安全性 - 安全性復原能力是平台固有部分，幾乎不需要任何組態變更就能安全地使用它。
• 假設入侵 - 基礎假設是任何系統都可能遭到入侵，因此目標是在發生安全性缺口時將其影響降到最低。

Azure 運算子連接點利用 Microsoft 雲端原生安全性工具，讓您能夠改善雲端安全性態勢，同時讓您保護操作員工作負載。

透過適用於雲端的 Microsoft Defender 進行全平台保護

適用於雲端的 Microsoft Defender 是雲端原生應用程式保護平台 (CNAPP)，可提供強化資源、管理安全性態勢、防範網路攻擊，以及簡化安全性管理所需的安全性功能。 以下是適用於雲端的 Defender 的一些主要功能，這些功能適用於 Azure 運算子連接點平台：

• 虛擬機器和容器登錄的弱點評量 - 輕鬆啟用弱點評量解決方案，以探索、管理及解決弱點。 直接從適用於雲端的 Defender 內部檢視、調查及補救發現的結果。
• 混合式雲端安全性 – 取得您所有內部部署和雲端工作負載中安全性的統一檢視。 套用安全性原則，並持續評估您混合式雲端工作負載的安全性，以確保符合安全性標準。 從多種來源 (包括防火牆和其他合作夥伴解決方案) 收集、搜尋及分析安全性資料。
• 威脅防護警示 - 進階的行為分析和 Microsoft Intelligent Security Graph 可勝過不斷演進的網路攻擊。 內建行為分析與機器學習可識別攻擊與零時差惡意探索。 監視網路、機器、Azure 儲存體和雲端服務中是否有傳入攻擊和侵入後活動。 使用互動式工具和內容相關威脅情報來簡化調查。
• 對於各種安全性標準的合規性評量 - 適用於雲端的 Microsoft Defender 會持續評估混合式雲端環境，以根據 Azure 安全性基準測試中的控制項和最佳做法來分析風險因素。 當您啟用進階安全性功能時，您可以根據組織的需求套用一系列其他業界標準、法規標準和基準測試。 從法規合規性儀表板新增標準並追蹤您的合規性。
• 容器安全性功能 - 受益於容器化環境上的弱點管理與即時威脅防護。

有增強的安全性選項可讓您保護內部部署主機伺服器，以及執行操作員工作負載的 Kubernetes 叢集。 以下說明這些選項。

透過適用於端點的 Microsoft Defender 的裸機電腦主機作業系統保護

當您選擇啟用適用於端點的 Microsoft Defender 解決方案時，裝載內部部署基礎結構計算伺服器的 Azure 運算子連接點裸機電腦 (BMM) 會收到保護。 適用於端點的 Microsoft Defender 提供預防性防病毒軟體 (AV)、端點偵測和回應 (EDR)，以及弱點管理功能。

當您選取並啟用適用於伺服器的 Microsoft Defender 方案後，您可選擇啟用適用於端點的 Microsoft Defender 保護，因為適用於伺服器的 Defender 方案啟用是適用於端點的 Microsoft Defender 的必要條件。 一旦啟用，適用於端點的 Microsoft Defender 組態是由平台管理，以確保最佳的安全性和效能，並降低設定錯誤的風險。

透過適用於容器的 Microsoft Defender 的 Kubernetes 叢集工作負載保護

當您選擇啟用適用於容器的 Microsoft Defender 解決方案時，執行操作員工作負載的內部部署 Kubernetes 叢集會受到保護。 適用於容器的 Microsoft Defender 提供叢集和 Linux 節點的執行階段威脅防護，以及針對設定錯誤的叢集環境強化。

您可選擇啟用適用於容器的 Defender 方案，以在適用於雲端的 Defender 內啟用適用於容器的 Defender 保護。

雲端安全性是共同責任

請務必瞭解在雲端環境中，安全性是您與雲端提供者之間的共同責任。 無論是軟體即服務 (SaaS)、平台即服務 (PaaS) 或基礎結構即服務 (IaaS)，以及工作負載的託管位置 – 在雲端提供者或您自己的內部部署資料中心內，責任會因工作負載執行所在的雲端服務類型而有所不同。

Azure 運算子連接點工作負載會在資料中心的伺服器上執行，因此您可控制內部部署環境的變更。 Microsoft 會定期提供包含安全性和其他更新的新平台版本。 然後，您必須決定何時將這些版本套用至您的環境，以符合貴組織的商務需求。