Azure 安全性簡介 \(部分機器翻譯\)
概觀
我們知道安全性是雲端中的首要工作和其重要性,因為您可在其中找到精確且及時的 Azure 安全性資訊。 針對您的應用程式和服務使用 Azure 的最佳原因之一是可以利用它的各種安全性工具和功能。 這些工具和功能可協助您在安全的 Azure 平台上建立安全的解決方案。 Microsoft Azure 提供客戶資料的機密性、完整性和可用性,同時也能釐清責任。
本文完整說明 Azure 提供的安全性。
Azure 平台
Azure 是一個公用雲端服務平台,支援廣泛的作業系統、程式設計語言、架構、工具、資料庫及裝置等選擇。 它可以透過 Docker 整合執行 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 及 Node.js 建置應用程式;為 iOS、Android 及 Windows 裝置建置後端。
Azure 公用雲端服務支援數百萬名開發人員和 IT 專家早已仰賴和信任的相同技術。 當您建置 IT 資產或將其移轉至公用雲端服務提供者時,您正是依賴該組織的能力,利用他們提供來管理您雲端式資產安全性的服務與控制機制,來保護您的應用程式和資料。
Azure 的基礎結構設計涵蓋設備與應用程式,可同時裝載數以百萬計的客戶,並提供值得信任的基礎以使企業可符合其安全性需求。
此外,Azure 也為您提供各式各樣可設定的安全性選項及控制它們的功能,讓您能夠自訂安全性以符合組織部署的特殊需求。 本文件有助於您了解 Azure 安全性功能如何協助您滿足這些需求。
注意
本文件的主要焦點是客戶面對的控制,您可以使用這些控制來自訂並提升應用程式和服務的安全性。
如需 Microsoft 如何保護 Azure 平台本身的相關資訊,請參閱 Azure 基礎結構安全性。
Azure 安全性功能摘要
負責管理應用程式或服務安全性之人員應負的責任會根據雲端服務模型而不同。 Azure 平台中提供一些功能,可協助您透過內建功能,以及透過可部署到 Azure 訂用帳戶的協力廠商解決方案,來達成這些職責。
內建功能分成六個功能領域︰作業、應用程式、儲存體、網路功能、計算及身分識別。 在這六個領域中,適用於 Azure 平台之特性與功能的其他詳細資料。
Operations
本節提供關於安全性作業中主要功能的其他資訊,以及這些功能的摘要資訊。
Microsoft Sentinel
Microsoft Sentinel 是可調整的雲端原生安全性資訊與事件管理 (SIEM) 和安全性協調流程、自動化及回應 (SOAR) 解決方案。 Microsoft Sentinel 提供整個企業的智慧型安全性分析與威脅情報,並針對攻擊偵測、威脅可見性、積極式搜捕及回應威脅,提供單一的解決方案。
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 可協助您利用加強對 Azure 資源的可見度和安全性控制權,以防止、偵測和回應威脅。 它提供您 Azure 訂用帳戶之間的整合式安全性監視和原則管理,協助您偵測可能會忽略的威脅,且適用於廣泛的安全性解決方案生態系統。
此外,適用於雲端的 Defender 可協助進行安全性作業,方法是提供單一儀表板來顯示可立即採取行動的警示和建議。 您通常可以在適用於雲端的 Defender 主控台內,透過按一下的方式來補救問題。
Azure Resource Manager
Azure Resource Manager 可讓您將方案中的資源做為群組使用。 您可以透過單一、協調的作業來部署、更新或刪除解決方案的所有資源。 您會使用 Azure Resource Manager 範本 (英文) 部署,該範本可用於不同的環境,例如測試、預備和生產環境。 Resource Manager 會提供安全性、稽核和標記功能,以協助您在部署後管理您的資源。
以 Azure Resource Manager 範本為基礎的部署,有助於提升部署於 Azure 中之解決方案的安全性 (因為標準的安全性控制設定),並且可整合至以標準化範本為基礎的部署中。 這會降低可能需要在手動部署期間執行的安全性設定錯誤風險。
Application Insights
Application Insights 是適用於 Web 開發人員的可延伸「應用程式效能管理」(APM) 服務。 使用 Application Insights,您可以即時監視 Web 應用程式,並自動偵測效能異常。 其中包括強大的分析工具可協助您診斷問題,並了解使用者實際如何運用您的應用程式。 它會在您的應用程式執行時全程加以監視,包括測試期間,以及您加以發佈或部署之後。
Application Insights 會建立圖表和資料表為您顯示多種資訊,例如,您在一天中的哪些時間有最多使用者、應用程式的回應性如何,以及它所依存的任何外部服務是否順暢地為其提供服務。
如果有當機、失敗或效能問題,您可以搜尋詳細的遙測資料,以診斷原因。 此外,如果應用程式的可用性和效能有任何變更,服務會傳送電子郵件給您。 Application Insight 因而成為一個非常實用的安全性工具,因為它有助於提供機密性、完整性和可用性安全性三部曲中的「可用性」。
Azure 監視器
Azure 監視器針對來自 Azure 訂閱 (活動記錄) 及每個個別的 Azure 資源 (資源記錄) 的資料,提供視覺效果、查詢、路由、警示、自動調整及自動化功能。 您可以使用 Azure 監視器,在 Azure 記錄中產生安全性相關事件時接收警示通知。
Azure 監視器記錄
Azure 監視器記錄 - 為內部部署和協力廠商雲端式基礎結構 (如 AWS) 提供 Azure 資源之外的 IT 管理解決方案。 Azure 監視器中的資料可以直接路由至 Azure 監視器記錄,以便您可以在同一個地方看到整個環境的計量與記錄。
Azure 監視器記錄在鑑識和其他安全性分析方面是一個非常實用的工具,因為此工具可讓您利用彈性查詢方法快速搜尋大量的安全性相關項目。 此外,內部部署的防火牆和 Proxy 記錄可匯出到 Azure,並使用 Azure 監視器記錄來分析它們。
Azure Advisor
Azure Advisor 是個人化雲端顧問,可協助您將 Azure 部署最佳化。 它會分析您的資源及用量遙測, 接著會建議解決方案,以協助改善資源的效能、安全性及可靠性,同時尋找降低整體 Azure 費用的機會。 Azure Advisor 提供安全性建議,讓您能夠大幅改善您部署於 Azure 中之解決方案的整體安全性狀態。 這些建議均取自適用於雲端的 Microsoft Defender 所執行的安全性分析。
應用程式
本節提供關於應用程式安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
滲透測試
我們不會為您對應用程式執行滲透測試,但我們了解,您想要並需要對自己的應用程式執行測試。 那是件好事,因為當您增強應用程式的安全性時,便有助於讓整個 Azure 生態系統更加安全。 雖然通知 Microsoft 相關的滲透測試活動已不再需要,客戶仍須遵守 Microsoft 雲端滲透測試的參與規則。
Web 應用程式防火牆
Azure 應用程式閘道中的 Web 應用程式防火牆 (WAF) 可協助保護 Web 應用程式,以免於常見的 Web 型攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊和工作階段攔截。 其已預先設定 Open Web Application Security Project (OWASP) 認定為前 10 大常見漏洞的威脅防護。
Azure App Service 中的驗證與授權
App Service 驗證/授權是可讓應用程式接受使用者登入的一種功能,而不需要您在應用程式後端變更程式碼。 它提供簡單的方法來保護您的應用程式,以及使用每位使用者的資料。
分層式安全性架構
由於 App Service 環境提供部署至 Azure 虛擬網路的隔離執行階段環境,因此開發人員能夠建立分層式安全性架構,針對每個應用程式層提供不同層級的網路存取。 常見的需求之一,是要隱藏對 API 後端的一般網際網路存取,而只允許由上游 Web 應用程式呼叫 API。 網路安全性群組 (NSG) 可用於包含 App Service 環境的 Azure 虛擬網路子網路,以限制對 API 應用程式的公用存取。
Web 伺服器診斷和應用程式診斷
App Service Web 應用程式會針對來自 Web 伺服器和 Web 應用程式的記錄資訊提供診斷功能。 這些資訊邏輯上可區分為 [Web 伺服器診斷]與 [應用程式診斷]。 Web 伺服器在針對網站和應用程式進行診斷及疑難排解方面包含了兩個重大進展。
第一個新功能是關於應用程式集區、背景工作處理序、網站、應用程式定義域和執行中要求的即時狀態資訊。 第二個新優點是詳細的追蹤事件,可在整個完成要求與回應程序中追蹤要求。
若要能夠收集這些追蹤事件,您可以設定 IIS 7,針對任何以經過時間或錯誤回應碼為基礎的特定要求,自動擷取完整的追蹤記錄 (XML 格式)。
儲存體
本節提供關於 Azure 儲存體安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
Azure 角色型存取控制 (Azure RBAC)
您可以使用 Azure 角色型存取控制 (Azure RBAC) 保護儲存體帳戶。 對於想要強制執行資料存取安全性原則的組織,根據需要知道 (英文) 和最低權限 (英文) 安全性主體限制存取權限是必須做的事。 在特定範圍將適當的 Azure 角色指派給群組和應用程式,即可授與這些存取權限。 您可以使用 Azure 內建角色 (例如儲存體帳戶參與者) 將權限指派給使用者。 使用 Azure Resource Manager 模型來存取儲存體帳戶的儲存體金鑰,可以透過 Azure RBAC 來控制。
共用存取簽章
共用存取簽章 (SAS) 可提供您儲存體帳戶中資源的委派存取。 SAS 意謂著您可以將儲存體帳戶中物件的有限權限授與用戶端,讓該用戶端可以在一段指定期間內使用一組指定的權限進行存取。 您可以在不須分享您帳戶存取金鑰的情況下,授與這些有限的權限。
傳輸中加密
傳輸中加密是透過網路傳輸資料時用來保護資料的機制。 透過 Azure 儲存體,您可以使用下列各項來保護資料:
傳輸層級加密,例如從 Azure 儲存體傳入或傳出資料時的 HTTPS。
連線加密,例如 Azure 檔案共用的 SMB 3.0 加密。
用戶端加密,在將資料傳輸至儲存體之前加密資料,以及自儲存體傳出後解密資料。
待用加密
對許多組織來說,待用資料加密是達到資料隱私權、合規性及資料主權的必要步驟。 有三個 Azure 儲存體安全性功能可提供「待用」資料的加密:
儲存體服務加密 可讓您要求儲存體服務在將資料寫入 Azure 儲存體時自動加密資料。
用戶端加密 也會提供待用加密的功能。
適用於 Linuz VM 的 Azure 磁碟加密與適用於 Windows VM 的 Azure 磁碟加密可讓您加密 IaaS 虛擬機器所使用的 OS 磁碟與資料磁碟。
Storage Analytics
Azure 儲存體分析會執行記錄,並提供儲存體帳戶的計量資料。 您可以使用此資料來追蹤要求、分析使用趨勢,以及診斷儲存體帳戶的問題。 儲存體分析會記錄對儲存體服務之成功和失敗要求的詳細資訊。 這項資訊可用來監視個別要求,並診斷儲存體服務的問題。 系統會以最佳方式來記錄要求。 系統會記錄下列類型的驗證要求:
- 成功的要求。
- 失敗的要求,包括逾時、節流、網路、授權和其他錯誤。
- 使用共用存取簽章 (SAS) 的要求,包括失敗和成功的要求。
- 分析資料的要求。
使用 CORS 啟用瀏覽器型用戶端
跨原始來源資源共用 (CORS) 這個機制可讓網域能夠為彼此提供權限來存取彼此的資源。 使用者代理程式會傳送額外的標頭,以確保允許從特定網域載入的 JavaScript 程式碼存取位於另一個網域的資源。 第二個網域接著會利用額外的標頭回覆,以允許或拒絕對其資源的原始網域存取。
Azure 儲存體服務目前支援 CORS,因此,一旦您設定服務的 CORS 規則之後,即會評估從不同網域對服務所提出的適當驗證要求,以判斷是否可根據您指定的規則來允許它。
網路
本節提供關於 Azure 網路安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
網路層控制
網路存取控制是指限制與特定裝置或子網路間之連線的動作,並代表網路安全性的核心。 網路存取控制的目的是確定只有您想要它們存取的使用者和裝置,才能存取您的虛擬機器和服務。
網路安全性群組
網路安全性群組 (NSG) 是基本可設定狀態封包篩選防火牆,並可讓您根據 5-tuple 來控制存取權。 NSG 未提供應用程式層級檢查或已驗證的存取控制。 它們可用來控制在 Azure 虛擬網路內子網路之間移動的流量,以及在 Azure 虛擬網路與網際網路之間的流量。
Azure 防火牆
Azure 防火牆是一項雲端原生和智慧型網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 其同時提供東西向和南北向的流量檢查。
Azure 防火牆於兩個 SKU 中提供:標準版和進階版。 Azure 防火牆標準版提供 L3-L7 篩選功能,以及直接來自 Microsoft 網路安全性的威脅情報摘要。 Azure 防火牆進階版提供多種進階功能,包括以特徵碼為基礎的 IDPS,可協助尋找特定模式來快速偵測攻擊。
路由控制和強制通道
控制您 Azure 虛擬網路上路由行為的能力是重大網路安全性和存取控制功能。 例如,如果您想要確定進出 Azure 虛擬網路的所有流量都會經過該虛擬安全性設備,您需要能夠控制和自訂路由行為。 做法是在 Azure 中設定使用者定義的路由。
使用者定義的路由可讓您自訂移入和移出個別虛擬機器或子網路之流量的連入和連出路徑,盡可能確保最安全的路由。 強制通道處理這個機制可用來確保不允許您的服務起始與網際網路上裝置的連線。
這與能夠接受連入連線,然後回應它們不同。 前端 Web 伺服器需要回應來自網際網路主機的要求,因此允許來自網際網路的流量傳入到這些 Web 伺服器,而 Web 伺服器可以回應。
強制通道處理通常用來強制傳至網際網路的連出流量通過內部部署安全性 Proxy 和防火牆。
虛擬網路安全性應用裝置
雖然網路安全性群組、使用者定義路由和強制通道處理提供 OSI 模型 (英文) 之網路和傳輸層的安全性層級,但是您有時可能想要啟用較高堆疊層級的安全性。 您可以使用 Azure 合作夥伴網路安全性設備解決方案,來存取這些增強的網路安全性功能。 您可以瀏覽 Azure Marketplace 並搜尋「安全性」和「網路安全性」,以尋找最新的 Azure 合作夥伴網路安全性解決方案。
Azure 虛擬網路
Azure 虛擬網路 (VNet) 代表您自己的雲端網路。 它是專屬於您訂用帳戶的 Azure 網路網狀架構邏輯隔離。 您可以完整控制此網路內的 IP 位址區塊、DNS 設定、安全性原則和路由表。 您可以將 VNet 分成數個子網路,並在 Azure 虛擬網路上放置 Azure IaaS 虛擬機器 (VM) 和/或雲端服務 (PaaS 角色執行個體)。
另外,您也可以使用 Azure 中提供的其中一個連線選項將虛擬網路連線到內部部署網路。 基本上,您可以將您的網路延伸至 Azure,透過 Azure 提供的企業級好處完整控制 IP 位址區塊。
Azure 網路功能支援各種安全遠端存取案例。 其中包括:
Azure Virtual Network Manager
Azure Virtual Network Manager 提供集中式解決方案,可大規模保護您的虛擬網路。 其使用安全性系統管理員規則,集中定義並強制執行整個組織虛擬網路的安全原則。 安全性系統管理員規則優先於網路安全性群組 (NSG) 規則,並套用在虛擬網路上。 這可讓組織使用安全性系統管理員規則來強制執行核心原則,同時仍可讓下游小組根據子網路和 NIC 層級的特定需求量身打造 NSG。 視組織的需求而定,您可以使用 [允許]、[拒絕] 或 [永遠允許] 規則動作來強制執行安全原則。
| 規則動作 | 描述 |
|---|---|
| 允許 | 預設允許指定的流量。 下游 NSG 仍會收到此流量,並可能會拒絕該流量。 |
| 一律允許 | 不論優先順序較低或 NSG 的其他規則為何,一律允許指定的流量。 這可用來確保監視代理程式、網域控制器或管理流量未遭到封鎖。 |
| 拒絕 | 封鎖指定的流量。 下游 NSG 在安全性管理規則遭到拒絕後,將不會評估此流量,確保現有和新虛擬網路的高風險連接埠預設會受到保護。 |
在 Azure 虛擬網路管理員中,網路群組可讓您將虛擬網路群組在一起,以便集中管理和強制執行安全原則。 網路群組是以拓撲和安全性觀點為基礎的虛擬網路邏輯群組。 您可以手動更新網路群組的虛擬網路成員資格,也可以使用 Azure 原則定義條件語句,以動態更新網路群組,藉此自動更新您的網路群組成員資格。
Azure Private Link
Azure Private Link 可讓您透過虛擬網路中的私人端點,存取 Azure PaaS 服務 (例如 Azure 儲存體和 SQL Database) 和 Azure 裝載的客戶擁有/合作夥伴服務。 在 Azure PaaS 服務、客戶擁有的服務和共用合作夥伴服務中,使用 Azure Private Link 的設定和取用都是一致的。 從您虛擬網路到 Azure 服務的流量一定會保留在 Microsoft Azure 骨幹網路上。
私人端點可讓您將重要的 Azure 服務資源只放到您的虛擬網路保護。 Azure 私人端點使用您 VNet 中的私人 IP 位址,讓您私下安全地連到 Azure Private Link 支援的服務,進而有效地將服務帶入 VNet。 使用 Azure 上的服務,不再需要將虛擬網路公開至公用網際網路。
您也可以在虛擬網路中建立自己的 Private Link 服務。 Azure Private Link 服務是由 Azure Private Link 所支援的自有服務參考。 您可以針對在 Azure 標準負載平衡器後方執行的服務,啟用 Private Link 存取,讓服務取用者可以從自己的虛擬網路私下存取服務。 您的客戶可以在其虛擬網路內建立私人端點,並將其對應到此服務。 在 Azure 上轉譯服務不再需要向公用網際網路公開。
VPN 閘道
若要在 Azure 虛擬網路和您的內部部署網站之間傳送網路流量,就必須為 Azure 虛擬網路建立 VPN 閘道。 VPN 閘道是一種虛擬網路閘道,可透過公用連接傳送加密的流量。 您也可以使用 VPN 閘道,透過 Azure 網路網狀架構傳送 Azure 虛擬網路之間的流量。
Express Route
Microsoft Azure ExpressRoute 是專用的 WAN 連結,可讓您透過連線提供者所提供的專用私人連接,將內部部署網路擴充至 Microsoft 雲端。
使用 ExpressRoute,即可和 Microsoft 雲端服務建立連線,例如 Microsoft Azure、Microsoft 365 和 CRM Online。 從任意點對任意點 (IP VPN) 網路、點對點乙太網路,或在共置設施上透過連線提供者的虛擬交叉連接,都可以進行連線。
ExpressRoute 連接不會經過公用網際網路,因此可視為比 VPN 型解決方案更安全。 相較於一般網際網路連線,這可讓 ExpressRoute 連線提供更可靠、更快速、延遲更短和更安全的連線。
應用程式閘道
Microsoft Azure 應用程式閘道會以服務形式提供應用程式傳遞控制器 (ADC) (英文),為您的應用程式提供各種第 7 層負載平衡功能。
它會將 CPU 密集 TLS 終止卸載至應用程式閘道 (亦稱為「TLS 卸載」或「TLS 橋接」),讓您能夠將 Web 伺服陣列的產能最佳化。 它也提供其他第 7 層路由功能,包括循環配置傳入流量、以 Cookie 為基礎的工作階段同質性、URL 路徑型路由,以及在單一應用程式閘道背後代管多個網站的能力。 Azure 應用程式閘道是第 7 層負載平衡器。
不論是在雲端或內部部署中,此閘道均提供在不同伺服器之間進行容錯移轉及效能路由傳送 HTTP 要求。
應用程式提供許多應用程式傳遞控制器 (ADC) 功能,包括 HTTP 負載平衡、以 Cookie 為基礎的工作階段同質性、TLS 卸載、自訂健康狀態探查、支援多網站,以及許多其他功能。
Web 應用程式防火牆
Web 應用程式防火牆是 Azure 應用程式閘道的一項功能,可保護使用應用程式閘道執行標準應用程式傳遞控制 (ADC) 功能的 Web 應用程式。 Web 應用程式防火牆的做法是保護應用程式以防範 OWASP 前 10 個最常見的 Web 弱點。
SQL 插入式攻擊保護
常見 Web 攻擊保護,例如命令插入式攻擊、HTTP 要求走私、HTTP 回應分割和遠端檔案包含攻擊
防範 HTTP 通訊協定違規
防範 HTTP 通訊協定異常行為,例如遺漏主機使用者代理程式和接受標頭
防範 Bot、編目程式和掃描器
偵測一般應用程式錯誤組態 (也就是 Apache、IIS 等)
防止 Web 攻擊的集中式 Web 應用程式防火牆可簡化安全性管理作業,並更加確保應用程式能夠對抗入侵威脅。 對比於保護個別的 Web 應用程式,WAF 解決方案也可透過在中央位置修補已知弱點,更快地回應安全性威脅。 現有的應用程式閘道可以輕易地轉換成具有 Web 應用程式防火牆的應用程式閘道。
流量管理員
Microsoft Azure 流量管理員可讓您控制使用者流量,將流量分散到不同資料中心的服務端點。 流量管理員支援的服務端點包括 Azure VM、Web Apps 和雲端服務。 您也可以對外部非 Azure 端點使用流量管理員。 流量管理員會使用網域名稱系統 (DNS),根據流量路由方法和端點的健全狀況,將用戶端要求導向到最適當的端點。
流量管理員提供各種流量路由方法,以符合不同的應用程式需求、端點健全狀況監視、及自動容錯移轉。 流量管理員可彈性應變失敗,包括整個 Azure 區域的失敗。
Azure Load Balancer
Azure Load Balancer 可為您的應用程式提供高可用性和網路效能。 這是 Layer 4 (TCP、UDP) 負載平衡器,可將連入流量分配到負載平衡集中所定義服務的狀況良好執行個體。 Azure Load Balancer 可以設定為:
對虛擬機器的連入網際網路流量進行負載平衡。 這種設定稱為公用負載平衡。
平衡虛擬網路中的虛擬機器之間、雲端服務中的虛擬機器之間,或內部部署電腦與跨單位部署虛擬網路中的虛擬機器之間的流量負載。 這個組態稱為 內部負載平衡。
將外部流量轉送到特定的虛擬機器
內部 DNS
您可以在管理入口網站或網路組態檔中,管理用於 VNet 的 DNS 伺服器清單。 客戶可以為每個 VNet 新增最多 12 部 DNS 伺服器。 指定 DNS 伺服器時,請務必確認您會針對客戶環境以正確順序列出客戶的 DNS 伺服器。 DNS 伺服器清單不會使用循環配置資源, 而會依其指定的順序來使用。 如果可以連接至清單上的第一部 DNS 伺服器,用戶端就會使用該 DNS 伺服器,而無論該 DNS 伺服器是否運作正常。 若要變更客戶虛擬網路的 DNS 伺服器順序,請從清單中移除 DNS 伺服器,然後以客戶想要的順序將其重新加入。 DNS 支援 “CIA” 安全性三部曲的可用性層面。
Azure DNS
網域名稱系統 (DNS) 負責將網站或服務名稱轉譯 (或解析) 為其 IP 位址。 Azure DNS 是 DNS 網域的主機服務,採用 Microsoft Azure 基礎結構提供名稱解析。 在 Azure 中裝載網域,即可使用與其他 Azure 服務相同的認證、API、工具和計費來管理 DNS 記錄。 DNS 支援 “CIA” 安全性三部曲的可用性層面。
Azure 監視器記錄 NSG
您可以啟用下列 NSG 的診斷記錄類別︰
事件︰包含要將 NSG 規則套用到以 MAC 位址為基礎的 VM 和執行個體角色的項目。 每隔 60 秒會收集一次這些規則的狀態。
規則計數器:包含套用每個 NSG 規則以拒絕或允許流量之次數的項目。
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 會持續分析 Azure 資源的安全性狀態,以提供網路安全性最佳做法。 當適用於雲端的 Defender 識別可能的安全性弱點,即會建立建議來逐步引導設定所需的控制項,以加強和保護您的資源。
計算
本節提供關於這個領域中主要功能的其他資訊,以及這些功能的摘要資訊。
Azure 機密運算 \(英文\)
Azure 機密運算為資料保護難題提供了最終缺少的部分。 它可讓您的資料隨時保持加密。 無論待用時、透過網路移動時都是,現在即使載入記憶體和使用中也不例外。 此外,有了遠端證明,它可讓您在解除鎖定資料之前,以密碼編譯方式驗證您佈建的 VM 是否已安全開機且正確設定。
從啟用現有應用程式的「隨即轉移」案例,到完全控制安全性功能,都在選項範圍內。 針對基礎結構即服務 (IaaS),您可以使用由 AMD SEV-SNP 提供技術的機密虛擬機器,或針對執行 Intel Software Guard Extensions (SGX) 的虛擬機器使用機密應用程式記憶體保護區。 針對平台即服務,我們提供多種容器型選項,包括與 Azure Kubernetes Service (AKS) 的整合。
反惡意程式碼與防毒軟體
運用 Azure IaaS,您可以使用來自安全性廠商 (例如 Microsoft、Symantec、Trend Micro、McAfee 和 Kaspersky) 的反惡意程式碼軟體,以保護您的虛擬機器來抵禦惡意檔案、廣告軟體和其他威脅。 適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware 是一項保護功能,有助於識別和移除病毒、間諜軟體和其他惡意軟體。 Microsoft Antimalware 會提供可設定的警示,在已知的惡意或垃圾軟體嘗試自行安裝或在您的 Azure 系統上執行時發出警示。 您也可以使用適用於雲端的 Microsoft Defender 來部署 Microsoft Antimalware
硬體安全性模型
加密和驗證不會改善安全性,除非金鑰本身也受到保護。 您可以藉由將關鍵密碼和金鑰存放在 Azure Key Vault,來簡化其管理與安全性。 金鑰保存庫 提供選項,將您的金鑰儲存在經認證的硬體安全性模組 (HSM) 中FIPS 140 已驗證的標準。 備份或 透明資料加密 的 SQL Server 加密金鑰都能與應用程式的任何金鑰或密碼一起存放在金鑰保存庫中。 這些受保護項目的權限和存取權是透過 Microsoft Entra ID 來管理。
虛擬機器備份
Azure 備份是一種解決方案,可以不需成本地保護您的應用程式資料,以及將操作成本降到最低。 應用程式錯誤可能導致資料損毀,而人為錯誤可能會將 Bug 導入應用程式,因而引發安全性問題。 使用 Azure 備份,您執行 Windows 與 Linux 的虛擬機器會受到保護。
Azure Site Recovery
組織之商務持續性/災害復原 (BCDR) 策略的一個重要部分是,找出在發生計劃中和非計劃中的中斷時讓企業工作負載和應用程式保持啟動並執行的方法。 Azure Site Recovery 有助於協調工作負載和應用程式的複寫、容錯移轉及復原,因此能夠在主要位置發生故障時,透過次要位置提供工作負載和應用程式。
SQL VM TDE
透明資料加密 (TDE) 和資料行層級加密 (CLE) 都是 SQL Server 加密功能。 此形式的加密需要客戶管理和儲存您用來加密的密碼編譯金鑰。
Azure Key Vault (AKV) 服務旨在改善這些金鑰在安全且高可用性位置的安全性和管理。 SQL Server 連接器 讓 SQL Server 可以從 Azure 金鑰保存庫使用這些金鑰。
如果您使用內部部署機器執行 SQL Server,則可遵循一些步驟來從內部部署 SQL Server 執行個體存取 Azure Key Vault。 但是對於 Azure VM 中的 SQL Server,您可以使用 Azure Key Vault 整合功能來節省時間。 使用一些 Azure PowerShell Cmdlet 來啟用這項功能,您可以自動化 SQL VM 存取您的金鑰保存庫所需的組態。
VM 磁碟加密
適用於 Linux VM 的 Azure 磁碟加密和適用於 Windows VM 的 Azure 磁碟加密可協助您加密 IaaS 虛擬機器磁碟。 它運用 Windows 的業界標準 BitLocker 功能和 Linux 的 DM-Crypt 功能,為 OS 和資料磁碟提供磁碟區加密。 此解決方案會與 Azure Key Vault 整合,以協助您控制及管理 Key Vault 訂用帳戶中的磁碟加密金鑰與密碼。 此解決方案也可確保虛擬機器磁碟上的所有待用資料都會在您的 Azure 儲存體中加密。
虛擬網路
虛擬機器需要遠端連線。 為了支援該需求,Azure 需要虛擬機器連接到 Azure 虛擬網路。 Azure 虛擬網路是以實體 Azure 網路網狀架構為基礎所建置的邏輯建構。 每個邏輯 Azure 虛擬網路都會與其他所有 Azure 虛擬網路隔離。 此隔離可協助確保其他 Microsoft Azure 客戶無法存取您部署中的網路流量。
修補程式更新
修補程式更新提供尋找及修正潛在問題的基礎並簡化軟體更新管理程序,方法是減少您必須在企業中部署的軟體更新數目,以及增強您監視合規性的能力。
安全性原則管理和報告
適用於雲端的 Defender 可幫助您防止、偵測和回應威脅,並加強對 Azure 資源的可見度和安全性控制權。 它提供您 Azure 訂用帳戶之間的整合式安全性監視和原則管理、協助偵測可能忽略的威脅,並適用於廣泛的安全性解決方案生態系統。
身分識別和存取管理
保護系統、應用程式及資料是從以身分識別為基礎的存取控制開始。 內建於 Microsoft 商務產品和服務的身分識別與存取管理功能,可協助保護您的組織和個人資訊免於遭受未經授權的存取,同時讓合法的使用者隨時隨地都能視需要來使用它。
安全的身分識別
Microsoft 在其產品與服務上使用多個安全性作法與技術來管理身分識別與存取。
Multi-Factor Authentication 需要使用者在內部部署和雲端中使用多種方法進行存取。 它使用一些簡單驗證選項來提供堅固的驗證,同時透過簡易登入程序來因應使用者。
Microsoft Authenticator (英文) 提供易於使用的 Multi-Factor Authentication 體驗,可搭配 Microsoft Entra ID 和 Microsoft 帳戶一起使用,並包括對於穿戴式裝置與指紋式核准的支援。
密碼原則強制執行藉由加強長度和複雜度需求、強制定期循環,以及在失敗的驗證嘗試之後鎖定帳戶,來提高傳統密碼的安全性。
權杖型驗證可透過 Microsoft Entra ID 啟用驗證。
Azure 角色型存取控制 (Azure RBAC) 可讓您根據使用者指派的角色來授與存取權限,以便輕鬆地只為使用者提供執行其作業內容所需的存取權限。 您可以針對每個組織的商務模型和風險承受度自訂 Azure RBAC。
整合式身分識別管理 (混合式身分識別) 可讓您維持控制使用者在內部資料中心和雲端平台上的存取權,建立單一使用者身分識別,以便對所有資源進行驗證與授權。
保護應用程式和資料
Microsoft Entra ID 是全面性的身分識別和存取管理雲端解決方案,可協助保護對現場與雲端中應用程式內資料的存取,並簡化使用者和群組的管理。 它結合了核心目錄服務、進階身分識別控管、安全性,以及應用程式存取管理,並讓開發人員能夠輕鬆地將以原則為基礎的身分識別管理建置到他們的應用程式中。 若要增強您的 Microsoft Entra ID,您可以使用 Microsoft Entra Basic、Premium P1 及 Premium P2 版本來新增付費功能。
Cloud App Discovery 是 Microsoft Entra ID 的一個高階功能,可讓您識別組織中的員工所使用的雲端應用程式。
Microsoft Entra ID Protection 是一種安全性服務,會使用 Microsoft Entra 異常偵測功能來提供可能影響組織身分識別之風險偵測和潛在弱點的合併檢視。
Microsoft Entra Domain Services 可讓您將 Azure VM 加入至網域,而不需部署網域控制站。 使用者利用其公司的 Active Directory 認證登入這些 VM,並可順暢地存取資源。
Azure Active Directory B2C 是一個高可用性的全域身分識別管理服務,適用於可處理數億個身分識別並跨行動裝置與 Web 平台整合的消費者端應用程式。 您的客戶可以透過可自訂的體驗 (現有的社交媒體帳戶) 登入您所有的應用程式,或者您可以建立新的獨立認證。
Microsoft Entra B2B 共同作業是一個安全的合作夥伴整合解決方案,可支援公司間的關係,方法則是讓合作夥伴使用由其自行管理的身分識別,選擇性地存取您的公司應用程式和資料。
Microsoft Entra joined 可讓您將雲端功能擴充至 Windows 10 裝置以進行集中管理。 它可讓使用者透過 Microsoft Entra ID 連接到公司或組織雲端,並簡化對應用程式和資源的存取。
Microsoft Entra 應用程式 Proxy 為內部部署裝載的 Web 應用程式提供 SSO 及安全的遠端存取。
後續步驟
了解雲端的共同責任。
了解適用於雲端的 Microsoft Defender 如何協助您利用加強對 Azure 資源的可見度和安全性控制權,以防止、偵測和回應威脅。