مقدمة في أمن Azure

يعد الأمان أمرا بالغ الأهمية في بيئة البيئة السحابية اليوم. التهديدات السيبرانية تتطور باستمرار، وحماية بياناتك وتطبيقاتك وبنيتك التحتية تتطلب نهجا شاملا ومتعدد الطبقات. الأمن هو المهمة الأولى في السحابة، ومن المهم أن تجد معلومات دقيقة وفي الوقت المناسب عن أمان Azure.

تقدم هذه المقالة نظرة شاملة على الأمان المتاح لدى Azure. للحصول على عرض شامل للأمان Azure المنظم حسب قدرات الحماية والكشف والاستجابة، انظر End-to-end security in Azure.

نهج Azure الدفاعي العميق للأمان

يستخدم Azure استراتيجية دفاعية متعمقة، حيث يوفر طبقات متعددة من الحماية الأمنية عبر كامل الحزمة - من مراكز البيانات الفيزيائية إلى الحوسبة، والتخزين، والشبكات، والتطبيقات، والهوية. يضمن هذا النهج متعدد الطبقات أنه إذا تم اختراق طبقة واحدة، فإن طبقات إضافية تستمر في حماية مواردك.

تم تصميم بنية Azure التحتية بعناية من الصفر، تشمل كل شيء من المرافق المادية إلى التطبيقات، لاستضافة ملايين العملاء بأمان في آن واحد. تمكن هذه المؤسسة القوية الشركات من تلبية متطلباتها الأمنية بثقة. للحصول على معلومات حول كيفية تأمين مايكروسوفت لمنصة Azure نفسها، انظر Azure أمن البنية التحتية. للحصول على تفاصيل حول أمن مراكز البيانات الفيزيائية، انظر Azure الأمن المادي.

Azure هي منصة خدمة سحابية عامة تدعم مجموعة واسعة من أنظمة التشغيل، ولغات البرمجة، والأطر، والأدوات، وقواعد البيانات، والأجهزة. يمكنه تشغيل حاويات لينكس مع تكامل دوكر؛ ابن تطبيقات باستخدام JavaScript و Python و.NET وPHP و Java وNode.js؛ وبناء الخلفيات لأجهزة iOS وAndroid وأجهزة Windows. تدعم خدمات Azure السحابية العامة نفس التقنيات التي يعتمد عليها ملايين المطورين ومحترفي تكنولوجيا المعلومات ويثقون بها بالفعل.

أمان النظام الأساسي المدمج

يوفر Azure حماية أمنية افتراضية مدمجة في المنصة تساعد في حماية مواردك منذ لحظة نشرها. للحصول على معلومات شاملة حول قدرات أمان المنصة في Azure، راجع Azure نظرة عامة على أمن المنصة.

• Network Protection: تحمي Azure حماية DDoS تلقائيا مواردك من هجمات حجب الخدمة الموزعة.
• Encryption default : يتم تفعيل تشفير البيانات في حالة الراحة افتراضيا ل Azure Storage وSQL Database والعديد من الخدمات الأخرى.
• Identity Security: Microsoft Entra ID يوفر مصادقة وتفويض آمن لجميع خدمات Azure.
• كشف التهديد: مراقبات كشف تهديدات مدمجة للأنشطة المشبوهة عبر مواردك Azure.
• Compliance: Azure تحافظ على أكبر محفظة امتثال في الصناعة، مما يساعدك على تلبية المتطلبات التنظيمية.

تعمل هذه الضوابط الأمنية الأساسية باستمرار في الخلفية لحماية بنية السحابة التحتية لديك، دون الحاجة إلى إعدادات إضافية لحماية أساسية.

المسؤولية المشتركة في السحابة

بينما يوفر Azure أمانا قويا للمنصة، فإن الأمن في السحابة هو مسؤولية مشتركة بين مايكروسوفت وبينك. يعتمد تقسيم المسؤوليات على نموذج النشر الخاص بك (IaaS أو PaaS أو SaaS):

• مسؤولية مايكروسوفت: Azure تؤمن البنية التحتية الأساسية، بما في ذلك مراكز البيانات الفعلية، والأجهزة، وبنية الشبكة التحتية، ونظام التشغيل المضيف.
• مسؤوليتك: أنت مسؤول عن تأمين بياناتك وتطبيقاتك وهوياتك وإدارة الوصول.

يختلف كل حمل عمل وتطبيق مختلف ، مع متطلبات أمان فريدة تستند إلى لوائح الصناعة وحساسية البيانات واحتياجات العمل. هنا تلعب خدمات الأمان المتقدمة من Azure دورها. لمزيد من المعلومات حول نموذج المسؤولية المشتركة، راجع المسؤولية المشتركة في السحابة.

Note

يخصص التركيز الأساس لهذا المستند على عناصر التحكم التي تواجه العملاء والتي يمكنك استخدامها لتخصيص وزيادة الأمان لتطبيقاتك وخدماتك.

خدمات أمان متقدمة لكل عبء عمل

لتلبية متطلباتك الأمنية الفريدة، يوفر Azure مجموعة شاملة من خدمات الأمان المتقدمة التي يمكنك تكوينها وتخصيصها حسب احتياجاتك الخاصة. يتم تنظيم هذه الخدمات عبر ستة مجالات وظيفية: العمليات والتطبيقات والتخزين والشبكات والحوسبة والهوية. للحصول على فهرس شامل لخدمات وتقنيات الأمن، انظر Azure خدمات وتقنيات الأمن.

بالإضافة إلى ذلك، يوفر لك Azure مجموعة واسعة من خيارات الأمان القابلة للتكوين والقدرة على التحكم بها بحيث يمكنك تخصيص الأمان لتلبية المتطلبات الفريدة لعمليات نشر مؤسستك. يساعدك هذا المستند على فهم كيف يمكن لقدرات أمان Azure أن تساعدك في تلبية هذه المتطلبات.

للحصول على رؤية منظمة لضوابط الأمان Azure والخطوط الأساسية، راجع معيار Microsoft لأمن السحابة، الذي يوفر إرشادات أمنية شاملة لخدمات Azure. للحصول على معلومات حول القدرات الأمنية التقنية ل Azure، انظر Azure القدرات الفنية الأمنية.

أمان الحوسبة

تأمين أجهزتك الافتراضية وموارد الحوسبة أمر أساسي لحماية أعباء عملك في Azure. يوفر Azure طبقات متعددة من أمان الحوسبة، من الحماية المعتمدة على الأجهزة إلى كشف التهديدات البرمجية. للحصول على معلومات تفصيلية عن أمان الآلة الافتراضية، انظر Azure Virtual Machines نظرة عامة للأمن.

إطلاق موثوق به

Trusted launch هو الافتراضي للجيل الثاني الجديد من الجيل الثاني Azure الافتراضية و Virtual Machine Scale Sets. يحمي التشغيل الموثوق به من تقنيات الهجوم المتقدمة والمستمرة بما في ذلك مجموعات التمهيد والجذور الخفية والبرامج الضارة على مستوى kernel.

يوفر الإطلاق الموثوق به:

• التمهيد الآمن: يحمي من تثبيت الجذور الخفية المستندة إلى البرامج الضارة ومجموعات التمهيد من خلال ضمان تمهيد أنظمة التشغيل وبرامج التشغيل الموقعة فقط
• vTPM (وحدة النظام الأساسي الموثوق به الافتراضية): مخزن آمن مخصص للمفاتيح والقياسات يتيح التصديق والتحقق من سلامة التمهيد
• مراقبة سلامة الإقلاع: يستخدم التصديق عبر Microsoft Defender for Cloud للتحقق من سلامة سلسلة الإقلاع وتنبيه الفشل

يمكنك تفعيل التشغيل الموثوق على الأجهزة الافتراضية الحالية وVirtual Machine Scale Sets.

الحوسبة السرية في Azure

يوفر Azure الحوسبة السرية القطعة الأخيرة والمفقودة من لغز حماية البيانات. يسمح لك بالحفاظ على بياناتك مشفرة دائما - أثناء الراحة، أثناء الحركة عبر الشبكة، والآن، حتى أثناء تحميلها في الذاكرة والاستخدام. من خلال جعل التصديق عن بعد ممكنا، فإنه يسمح لك أيضا بالتحقق من التشفير أن الجهاز الافتراضي الذي تنشره تم إقلاعه بأمان وتم إعداده بشكل صحيح، قبل فتح بياناتك.

يتراوح طيف الخيارات من تمكين سيناريوهات "الرفع والتحكم" للتطبيقات الحالية ، إلى التحكم الكامل في ميزات الأمان. بالنسبة للبنية التحتية كخدمة (IaaS)، يمكنك استخدام:

• الأجهزة الظاهرية السرية التي يتم تشغيلها بواسطة AMD SEV-SNP: تشفير الذاكرة المستند إلى الأجهزة مع ذاكرة مشفرة تصل سعتها إلى 256 جيجابايت
• الأجهزة الظاهرية السرية المزودة بتقنية Intel TDX: توفر ملحقات النطاقات Intel Trust أداء وأمانا محسنين
• الأجهزة الظاهرية السرية المزودة بوحدات معالجة الرسومات NVIDIA H100: حوسبة سرية مسرعة بواسطة وحدة معالجة الرسومات لأحمال عمل الذكاء الاصطناعي/التعلم الآلي
• جيوب التطبيقات السرية مع Intel SGX: عزل على مستوى التطبيق للتعليمات البرمجية والبيانات الحساسة

بالنسبة للمنصة كخدمة (PaaS)، تقدم Azure عدة خيارات حوسبة سرية قائمة على حاويات، بما في ذلك التكاملات مع Azure Kubernetes Service (AKS).

مضاد البرمجيات الخبيثة ومضاد الفيروسات

مع Azure IaaS، يمكنك استخدام برامج مكافحة البرمجيات الخبيثة من شركات أمان مثل مايكروسوفت، سيمانتيك، تريند مايكرو، ماكافي، وكاسبرسكي لحماية أجهزتك الافتراضية من الملفات الخبيثة والبرمجيات الإعلانية والتهديدات الأخرى. Microsoft Anti Malware ل Azure Virtual Machines هي قدرة حماية تساعد في تحديد وإزالة الفيروسات وبرامج التجسس والبرمجيات الضارة الأخرى. توفر برامج مكافحة الخبيثة من مايكروسوفت تنبيهات قابلة للتكوين عندما يحاول برنامج خبيث أو غير مرغوب فيه المعروف تثبيت نفسه أو تشغيله على أنظمة Azure الخاصة بك. يمكنك أيضا نشر برامج مكافحة خبيثة من مايكروسوفت باستخدام Microsoft Defender for Cloud.

Note

للحماية الحديثة، فكر في Microsoft Defender للخوادم التي توفر حماية متقدمة من التهديدات بما في ذلك اكتشاف واستجابة نقاط النهاية (EDR) من خلال التكامل مع Microsoft Defender for Endpoint.

الوحدة النمطية لأمان الأجهزة

لا يحسن التشفير والمصادقة الأمان إلا إذا كانت المفاتيح نفسها محمية. يمكنك تبسيط إدارة وأمان أسرارك ومفاتيحك الحيوية من خلال تخزينها في Azure Key Vault. يوفر Key Vault خيار تخزين مفاتيحك في وحدات أمان الأجهزة (HSMs) المعتمدة وفقا لمعايير FIPS 140-3 المستوى 3. يمكنك تخزين مفاتيح التشفير SQL Server الخاصة بك للنسخ الاحتياطي أو استخدامها مع ><تشفير البيانات الشفاف في Key Vault مع أي مفاتيح أو أسرار من تطبيقاتك. Microsoft Entra ID يدير الأذونات والوصول إلى هذه العناصر المحمية.

للحصول على معلومات شاملة حول خيارات إدارة المفاتيح بما في ذلك Azure Key Vault، إدارة HSM، وإدارة HSM للدفع، انظر Key management in Azure.

النسخ الاحتياطي للجهاز الظاهري

Azure Backup هو حل يحمي بيانات تطبيقك بدون أي استثمار رأسمالي وتكاليف تشغيل قليلة. أخطاء التطبيقات يمكن أن تتلف بياناتك، والأخطاء البشرية قد تسبب أخطاء في تطبيقاتك أخطاء قد تؤدي إلى مشاكل أمنية. مع Azure Backup، تكون أجهزتك الافتراضية التي تعمل بنظام Windows وLinux محمية.

Azure Site Recovery

جزء مهم من استراتيجية استمرارية الأعمال / التعافي من الكوارث (BCDR) في مؤسستك هو معرفة طريقة الحفاظ على أعباء العمل والتطبيقات للشركات وتشغيلها عند حدوث انقطاعات مخططة وغير مخطط لها. يساعد Azure Site Recovery في تنظيم التكرار، والتحويل، واستعادة أعباء العمل والتطبيقات بحيث تكون متاحة من موقع ثانوي إذا تعطل موقعك الأساسي.

SQL VM TDE

تشفير البيانات الشفاف (TDE) وتشفير مستوى العمود (CLE) هي SQL ميزات تشفير الخادم. يتطلب هذا النوع من التشفير منك إدارة وتخزين مفاتيح التشفير المستخدمة في التشفير.

تم تصميم خدمة Azure Key Vault (AKV) لتحسين أمان وإدارة هذه المفاتيح في موقع آمن وعالي التوفرة. يتيح موصل SQL Server SQL Server استخدام هذه المفاتيح من Azure Key Vault.

إذا كنت تستخدم SQL Server مع أجهزة محلية، يمكنك اتباع الخطوات للوصول إلى Azure Key Vault من نسخة SQL Server المحلية. بالنسبة لأجهزة SQL Server في Azure VMs، يمكنك توفير الوقت باستخدام ميزة Azure Key Vault Integration. باستخدام بعض مجموعات Azure PowerShell لتفعيل هذه الميزة، يمكنك أتمتة التكوين اللازم لوصول جهاز SQL الافتراضي إلى خزنة المفاتيح الخاصة بك.

للحصول على قائمة شاملة بأفضل ممارسات أمن قواعد البيانات، راجع Azure قائمة التحقق لأمن قواعد البيانات.

تشفير القرص الافتراضي

هام

من المقرر تقاعد Azure Disk Encryption في 15 سبتمبر 2028. حتى ذلك التاريخ، يمكنك الاستمرار في استخدام Azure Disk Encryption دون انقطاع. في 15 سبتمبر 2028، ستستمر أحمال العمل المفعلة ب ADE، لكن الأقراص المشفرة ستفشل في فتح التشغيل بعد إعادة تشغيل الجهاز الافتراضي، مما يؤدي إلى تعطيل الخدمة.

استخدم التشفير في المضيف للأجهزة الافتراضية الجديدة، أو فكر في أحجام المحركات الافتراضية السرية مع تشفير قرص نظام التشغيل لأحمال عمل الحوسبة السرية. يجب على جميع الأجهزة الافتراضية المفعلة بدعم ADE (بما في ذلك النسخ الاحتياطية) الانتقال إلى التشفير عند المضيف قبل تاريخ التقاعد لتجنب تعطيل الخدمة. راجع Migration من Azure Disk Encryption إلى التشفير على host لمزيد من التفاصيل.

لتشفير الآلة الافتراضية الحديثة، تقدم Azure:

• التشفير عند المضيف: يوفر تشفيرا من طرف إلى طرف لبيانات الأجهزة الافتراضية، بما في ذلك الأقراص المؤقتة وذاكرة تخزين التخزين المؤقت لأقراص نظام التشغيل/البيانات.
• تشفير القرص السري: متوفر مع أجهزة افتراضية سرية للتشفير المعتمد على الأجهزة.
• تشفير على جانب الخادم مع مفاتيح تديرها العميل: أدر مفاتيح التشفير الخاصة بك من خلال Azure Key Vault أو Azure Key Vault إدارة HSM.

لمزيد من المعلومات، راجع نظرة عامة على خيارات تشفير القرص المدارة.

الشبكات الظاهرية

تحتاج الأجهزة الظاهرية إلى اتصال بالشبكة. لدعم هذا المتطلب، يتطلب Azure توصيل الآلات الافتراضية بشبكة Azure Virtual Network. Azure Virtual Network هو بناء منطقي مبني فوق نسيج شبكة Azure الفيزيائي. كل Azure Virtual Network منطقية معزولة عن جميع الشبكات الافتراضية Azure الأخرى. يساعد هذا العزل في ضمان أن حركة مرور الشبكة في نشراتك غير متاحة لعملاء Microsoft Azure الآخرين.

تحديثات التحديث

توفر تحديثات التحديثات أساسا للعثور على المشكلات المحتملة وإصلاحها وتبسط عملية إدارة تحديثات البرمجيات. تقلل من عدد تحديثات البرمجيات التي يجب عليك نشرها في مؤسستك وتزيد من قدرتك على مراقبة الامتثال.

إدارة نهج الأمن وإعداد التقارير

يساعدك Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها. يمنحك رؤية أكبر وتحكم أكبر في أمان موارد Azure الخاصة بك. يوفر مراقبة أمنية متكاملة وإدارة السياسات عبر اشتراكات Azure الخاصة بك. يساعد في الكشف عن التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من الحلول الأمنية.

أمان التطبيقات

يركز أمن التطبيقات على حماية تطبيقاتك من التهديدات طوال دورة حياتها - من التطوير إلى النشر ووقت التشغيل. يوفر Azure أدوات شاملة للتطوير الآمن والاختبار وحماية التطبيقات. للحصول على إرشادات آمنة لتطوير التطبيقات، انظر تطوير تطبيقات آمنة على Azure. للحصول على أفضل ممارسات الأمان الخاصة ب PaaS، راجع تأمين عمليات نشر PaaS. لأمن نشر IaaS، انظر ممارسات الأمان لأحمال عمل IaaS في Azure.

اختبار الاختراق

مايكروسوفت لا تقوم باختبار اختراق تطبيقك، لكنها تدرك أنك تريد وتحتاج إلى إجراء اختبار على تطبيقاتك الخاصة. لم تعد بحاجة إلى إخطار مايكروسوفت بأنشطة اختبار الاختراق، لكن يجب عليك الالتزام بقواعد اختبار اختراق السحابة من مايكروسوفت.

جدار الحماية لتطبيقات الويب

يحمي Web Application Firewall (WAF) في Azure Application Gateway تطبيقات الويب من الهجمات الشائعة القائمة على الويب مثل حقن SQL، والبرمجة عبر المواقع، واختطاف الجلسات. تم إعدادها مسبقا للدفاع ضد أكبر 10 ثغرات حددها مشروع أمن تطبيقات الويب المفتوح (OWASP).

المصادقة والتفويض في Azure App Service

App Service Authentication / Authorizationميزة توفر طريقة للتطبيق الخاص بك لتسجيل دخول المستخدمين حتى لا تضطر إلى تغيير التعليمات البرمجية على الواجهة الخلفية للتطبيق. توفر طريقة سهلة لحماية تطبيقك والعمل مع البيانات لكل مستخدم.

بنية الأمان الطبقي

نظرا لأن App Service Environments توفر بيئة تشغيل معزولة تنشر في Azure Virtual Network، يمكن للمطورين إنشاء بنية أمان متعددة الطبقات توفر مستويات مختلفة من الوصول إلى الشبكة لكل مستوى تطبيق. من الشائع إخفاء الأطراف الخلفية لواجهة برمجة التطبيقات من الوصول العام إلى الإنترنت، والسماح باستدعاء واجهات برمجة التطبيقات فقط بواسطة تطبيقات الويب المصدر. يمكنك استخدام مجموعات أمن الشبكة (NSGs) على Azure Virtual Network الشبكات الفرعية التي تحتوي على بيئات خدمة التطبيقات لتقييد الوصول العام إلى تطبيقات API.

توفر تطبيقات ويب App Service قدرات تشخيصية قوية لالتقاط السجلات من كل من خادم الويب وتطبيق الويب. يتم تصنيف هذه التشخيصات إلى تشخيصات خادم الويب وتشخيص التطبيق. تتضمن تشخيصات خادم الويب تقدما كبيرا لتشخيص المواقع والتطبيقات واستكشاف الأخطاء وإصلاحها.

تمثل الميزة الجديدة الأولى معلومات الحالة في الوقت الفعلي حول تجمعات التطبيقات وعمليات العاملين والمواقع ومجالات التطبيقات والطلبات قيد التشغيل. الميزة الجديدة الثانية هي أحداث التتبع التفصيلية التي تتبع الطلب طوال عملية الطلب والرد الكاملة.

لتمكين جمع هذه الأحداث التتبعية، يمكنك تكوين IIS 7 لالتقاط سجلات التتبع الشاملة تلقائيا بصيغة XML لطلبات محددة. يمكن أن تستند المجموعة إلى الوقت المنقضي أو رموز استجابة الخطأ.

أمان التخزين

يعد أمان التخزين ضروريا لحماية بياناتك أثناء السكون وأثناء النقل. يوفر Azure طبقات متعددة من التشفير، وضوابط الوصول، وقدرات المراقبة لضمان بقاء بياناتك آمنة. للحصول على معلومات مفصلة حول تشفير البيانات، انظر نظرة عامة على التشفير Azure. لخيارات إدارة المفاتيح، راجع إدارة المفاتيح في Azure. للحصول على أفضل ممارسات تشفير البيانات، انظر Azure أفضل ممارسات أمن البيانات والتشفير.

Azure control القائم على الأدوار (Azure RBAC)

يمكنك تأمين حساب التخزين الخاص بك باستخدام Azure التحكم في الوصول القائم على الأدوار (Azure RBAC). لتطبيق سياسات الأمان للوصول إلى البيانات، قم بتقييد الوصول بناء على الحاجة إلى معرفةوأقل امتيازات في مبادئ الأمان. امنح هذه الحقوق من خلال تعيين دور Azure المناسب للمجموعات والتطبيقات عند نطاق معين. استخدم Azure الأدوار المدمجة، مثل مساهم حساب التخزين، لتعيين الصلاحيات للمستخدمين. يمكنك التحكم في الوصول إلى مفاتيح التخزين لحساب التخزين باستخدام نموذج Azure Resource Manager عبر Azure RBAC.

توقيع الوصول المشترك

يوفر توقيع الوصول المشترك (SAS) الوصول المفوض إلى الموارد الموجودة في حساب التخزين الخاص بك. باستخدام SAS، يمكنك منح العميل صلاحيات محدودة للكائنات في حساب التخزين الخاص بك لفترة محددة وبمجموعة محددة من الأذونات. امنح هذه الأذونات المحدودة دون الحاجة لمشاركة مفاتيح الوصول إلى حسابك.

التشفير أثناء النقل

التشفير أثناء النقل هو آلية لحماية البيانات عند إرسالها عبر الشبكات. مع Azure Storage، يمكنك تأمين البيانات باستخدام:

• تشفير على مستوى النقل، مثل HTTPS عند نقل البيانات إلى أو خارج Azure Storage.

• <تشفير الأسلاك c0> السلكية، مثل <تشفير c1>SMB 3.0 ل Azure مشاركة الملفات.

• التشفير من جانب العميل، لتشفير البيانات قبل نقلها إلى التخزين وفك تشفير البيانات بعد نقلها من التخزين.

التشفير في حالة السكون

بالنسبة للعديد من المؤسسات، يعد تشفير البيانات في حالة عدم التشغيل خطوة إلزامية نحو خصوصية البيانات والامتثال وسيادة البيانات. توفر ثلاث ميزات أمان لتخزين Azure تشفير البيانات الساكنة:

• تشفير خدمة التخزين يقوم تلقائيا بتشفير البيانات عند كتابتها إلى Azure Storage.

• يوفر التشفير من جانب العميل أيضا ميزة التشفير في حالة الراحة.

تحليلات التخزين

يقوم Azure Storage Analytics بتسجيل البيانات ويوفر بيانات المقاييس لحساب تخزين. يمكنك استخدام هذه البيانات لتتبع الطلبات، وتحليل اتجاهات الاستخدام، وتشخيص مشاكل حساب التخزين الخاص بك. يقوم Storage Analytics بتسجيل معلومات مفصلة حول الطلبات الناجحة والفاشلة لخدمة التخزين. يمكنك استخدام هذه المعلومات لمراقبة الطلبات الفردية ولتشخيص المشاكل في خدمة التخزين. يتم تسجيل الطلبات على أساس أفضل جهد. تُسجل الأنواع التالية من طلبات التخويل:

• الطلبات الناجحة.
• الطلبات الفاشلة، بما في ذلك المهلة والتقييد والشبكة والتخويل والأخطاء الأخرى.
• الطلبات التي تستخدم توقيع وصول مشترك (SAS)، بما في ذلك الطلبات الفاشلة والناجحة.
• الطلبات إلى بيانات التحليل.

تمكين العملاء المعتمدين على المتصفح باستخدام CORS

مشاركة الموارد عبر الأصل (CORS) هي آلية تسمح للمجالات بمنح بعضها البعض إذنا للوصول إلى موارد بعضها البعض. يرسل وكيل المستخدم رؤوس إضافية لضمان أن رمز جافاسكريبت المحمل من نطاق معين يسمح له بالوصول إلى موارد موجودة في نطاق آخر. ثم يرد المجال الأخير بعناوين إضافية تسمح بوصول المجال الأصلي إلى موارده أو تمنعه.

تدعم خدمات تخزين Azure الآن CORS. بمجرد تعيين قواعد CORS للخدمة، يتم تقييم طلب تم التحقق منه بشكل صحيح ضد الخدمة من نطاق مختلف لتحديد ما إذا كان مسموحا به وفقا للقواعد التي حددتها.

أمن الشبكة

أمان الشبكة يتحكم في كيفية تدفق حركة المرور من وإلى موارد Azure الخاصة بك. يوفر Azure مجموعة شاملة من خدمات أمن الشبكات، من الجدران النارية الأساسية إلى الحماية المتقدمة من التهديدات وتوازن الأحمال العالمي. للحصول على معلومات شاملة عن أمن الشبكة، راجع Azure نظرة عامة لأمن الشبكة. للحصول على أفضل ممارسات أمن الشبكات، انظر Azure أفضل ممارسات أمن الشبكات.

التحكم في طبقة الشبكة

التحكم في الوصول إلى الشبكة إجراء الحد من الاتصال من أجهزة أو شبكات فرعية معينة وإيصالها ويمثل جوهر أمان الشبكة. الهدف من التحكم في الوصول إلى الشبكة هو التأكد من أن أجهزتك الافتراضية وخدماتك متاحة فقط للمستخدمين والأجهزة التي تخول لها.

مجموعات أمان الشبكة

مجموعة أمن الشبكات (NSG) هي جدار حماية أساسي لتصفية الحزم ذات الحالة. يتيح لك التحكم في الوصول بناء على خمسة أنابي. لا توفر مجموعات أمان الشبكة فحص طبقة التطبيق أو عناصر التحكم في الوصول المصادق عليها. يمكنك استخدامها للتحكم في حركة المرور بين الشبكات الفرعية داخل Azure Virtual Network وحركة المرور بين Azure Virtual Network والإنترنت.

Azure Firewall

Azure Firewall هي خدمة أمن جدار حماية شبكة ذكي وأصلية للسحابة توفر حماية للتهديدات لأحمال العمل السحابية التي تعمل في Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة. يوفر كل من التفتيش المروري بين الشرق والغرب والشمال والجنوب.

يقدم Azure Firewall بثلاثة وحدات SKU: الأساسية، القياسية، والمميزة:

• Azure Firewall Basic - مصمم للشركات الصغيرة والمتوسطة، ويوفر حماية أساسية بسعر معقول.
• Azure Firewall Standard - يوفر تصفية L3-L7، وتغذية استخبارات التهديدات من Microsoft Cyber Security، ويمكن التوسع حتى 30 جيجابت في الثانية.
• Azure Firewall Premium - حماية متقدمة من التهديدات لبيئات شديدة الحساسية والمنظمة مع:
  • فحص TLS: يفك تشفير حركة المرور الصادرة، يعالجها بحثا عن التهديدات، ثم يعيد التشفير قبل إرساله إلى الوجهة.
  • IDPS (نظام كشف ومنع التسلل): نظام IDPS قائم على التوقيع مع أكثر من 67,000 توقيع في أكثر من 50 فئة، ويتم تحديثه يوميا ب 20-40+ قاعدة جديدة.
  • تصفية الURL: توسع تصفية FQDN لتشمل مسار الرابط بالكامل.
  • فئات الويب المتقدمة: تصنيف محسن بناء على روابط URL كاملة لكل من حركة مرور HTTP وHTTPS.
  • أداء معزز: يصل إلى 100 جيجابت في الثانية مع دعم تدفق الدهون 10 جيجابت.
  • الامتثال لمعيار PCI DSS: يفي بمتطلبات معايير أمان بيانات صناعة بطاقات الدفع.

Azure Firewall Premium ضروري للحماية من برامج الفدية، حيث يمكنه اكتشاف وحظر أوامر وتحكم (C&) ج) الاتصال الذي تستخدمه برامج الفدية لجلب مفاتيح التشفير. تعرف على المزيد حول حماية ransomware مع Azure Firewall.

حماية Azure DDoS

Azure DDoS Protection، مع أفضل ممارسات تصميم التطبيقات، يقدم ميزات محسنة للدفاع ضد هجمات DDoS. يتم ضبطه تلقائيا لحماية موارد Azure الخاصة بك في شبكة افتراضية. تمكين الحماية بسيط على أي شبكة ظاهرية جديدة أو موجودة ولا يتطلب أي تغييرات على التطبيقات أو الموارد الخاصة بك.

تقدم Azure DDoS Protection مستويين: حماية شبكة DDoS وحماية IP من DDoS.

• حماية شبكة DDoS - توفر ميزات محسنة للدفاع ضد هجمات رفض الخدمة الموزعة (DDoS). يعمل في الطبقتين 3 و4 من الشبكة ويشمل ميزات متقدمة مثل دعم الاستجابة السريعة ل DDoS، وحماية التكاليف، وخصومات على Web Application Firewall (WAF).

• حماية DDoS IP - تتبع نموذج IP للدفع لكل محمي. تتضمن نفس الميزات الهندسية الأساسية لحماية شبكة DDoS لكنها لا تقدم خدمات إضافية مثل دعم الاستجابة السريعة ل DDoS، وحماية التكاليف، وخصومات WAF.

تحكم في المسار والنفق القسري

القدرة على التحكم في سلوك التوجيه على شبكات Azure الافتراضية الخاصة بك هي قدرة أساسية في أمان الشبكة والتحكم في الوصول. على سبيل المثال، إذا أردت التأكد من أن كل حركة المرور من وإلى Azure Virtual Network تمر عبر جهاز الأمان الافتراضي هذا، يجب أن تكون قادرا على التحكم وتخصيص سلوك التوجيه. يمكنك القيام بهذا التحكم والتخصيص عن طريق تكوين User-Defined المسارات في Azure.

تسمح لك مساراتUser-Defined بتخصيص المسارات الواردة والصادرة لحركة المرور التي تنتقل داخل وخارج الأجهزة الظاهرية الفردية أو الشبكات الفرعية لضمان المسار الأكثر أمانا. الاتصال النفقي القسري هو آلية يمكنك استخدامها لضمان عدم السماح لخدماتك ببدء اتصال بالأجهزة الموجودة على الإنترنت.

هذا القيد يختلف عن القدرة على قبول الاتصالات الواردة ثم الاستجابة لها. تحتاج خوادم الويب الأمامية إلى الاستجابة لطلبات مضيفي الإنترنت. لذا، يسمح بمرور البيانات المستأصل من الإنترنت بالورود إلى هذه الخوادم ويمكن للخوادم الاستجابة.

عادة ما يستخدم الحفر القسري لإجبار المرور الصادر إلى الإنترنت عبر وكلاء الأمن والجدران النارية المحلية.

خيارات الأمـان للشبكة الظاهرية

بينما توفر لك مجموعات أمان الشبكة ومسارات User-Defined والنفق القسري مستوى من الأمان في طبقات الشبكة والنقل لنموذج OSI، قد تكون هناك أوقات تريد فيها تمكين الأمان على مستويات أعلى من المكدس. يمكنك الوصول إلى هذه الميزات المحسنة لأمان الشبكة باستخدام حل جهاز أمان الشبكة التابع لشريك Azure. يمكنك العثور على أحدث حلول أمن الشبكات Azure الشريك بزيارة Azure Marketplace والبحث عن security و Network security.

الشبكة الافتراضية في Azure

شبكة Azure الافتراضية (VNet) هي تمثيل لشبكتك الخاصة في السحابة. إنها عزل منطقي لشبكة Azure مخصصة لاشتراكك. يمكنك التحكم بالكامل في عمليات حظر عنوان IP وإعدادات DNS ونُهج الأمان وجداول التوجيه ضمن هذه الشبكة. يمكنك تقسيم VNet إلى شبكات فرعية ووضع آلات Azure IaaS الافتراضية (VMs) على شبكات Azure الافتراضية.

بالإضافة إلى ذلك، يمكنك توصيل الشبكة الافتراضية بشبكتك المحلية باستخدام أحد <خيارات الاتصال c0> المتوفرة في Azure. بمعنى آخر، يمكنك توسيع شبكتك إلى Azure، مع التحكم الكامل في كتل عناوين IP مع الاستفادة من نطاق المؤسسات الذي توفره Azure.

تدعم شبكة Azure سيناريوهات الوصول الآمن عن بعد المختلفة. تتضمن بعض هذه السيناريوهات ما يلي:

• توصيل محطات العمل الفردية إلى Azure Virtual Network

• ربط الشبكة المحلية بشبكة Azure Virtual Network عبر VPN

• توصيل الشبكة المحلية إلى Azure Virtual Network مع رابط WAN مخصص

• اربط Azure الشبكات الافتراضية ببعضها البعض

Azure Virtual Network Manager

يوفر Azure Virtual Network Manager حلا مركزيا لإدارة وتأمين شبكاتك الافتراضية على نطاق واسع. يستخدم قواعد مسؤول الأمان لتحديد نهج الأمان وفرضها مركزيا عبر مؤسستك بأكملها. قواعد إدارة الأمن تأخذ الأولوية على قواعد مجموعة أمان الشبكة (NSG) وتطبق على الشبكة الافتراضية. تسمح هذه الأسبقية للمنظمات بتطبيق السياسات الأساسية بقواعد إدارة الأمن، مع تمكين الفرق التالية من تخصيص NSGs وفقا لاحتياجاتها الخاصة على مستوى الشبكة الفرعية وشبكة NIC.

اعتمادا على احتياجات مؤسستك، استخدم إجراءات القواعد السماح أو الرفض أو السماح دائما لتطبيق سياسات الأمان:

إجراء القاعدة	Description
السماح	يسمح بنسبة استخدام الشبكة المحددة بشكل افتراضي. لا تزال مجموعات أمان الشبكة المتلقية للمعلومات تتلقى نسبة استخدام الشبكة هذه وقد ترفضها.
اسمح دائما	السماح دائما بنسبة استخدام الشبكة المحددة، بغض النظر عن القواعد الأخرى ذات الأولوية الأقل أو مجموعات أمان الشبكة. استخدم هذه القاعدة لضمان عدم حظر وكيل المراقبة أو وحدة تحكم النطاق أو حركة المرور الإدارية.
رفض	حظر حركة المرور المحددة. لا يقوم NSGs في المراحل النهائية بتقييم هذه الحركة بعد رفضها من قبل قاعدة إدارة أمنية، مما يضمن حماية منافذ الشبكات الافتراضية الحالية والجديدة لديك بشكل افتراضي.

في Azure Virtual Network Manager، تتيح >لك <مجموعات الشبكات المركزية تجميع الشبكات الافتراضية معا للإدارة المركزية وتطبيق سياسات الأمان. مجموعات الشبكة هي تجميع منطقي للشبكات الظاهرية استنادا إلى احتياجاتك من منظور تخطيط الشبكة والأمان. يمكنك تحديث عضوية الشبكة الافتراضية لمجموعات الشبكة يدويا أو يمكنك تعريف العبارات الشرطية باستخدام Azure Policy لتحديث مجموعات الشبكة بشكل ديناميكي وتحديث عضوية مجموعة الشبكة تلقائيا.

Azure Private Link

Azure Private Link تتيح لك الوصول إلى خدمات Azure PaaS (مثل Azure Storage وقاعدة بيانات SQL) وخدمات Azure المستضافة المملوكة للعملاء أو الشركاء بشكل خاص في شبكتك الافتراضية عبر privatepoint endpoint. الإعداد والاستهلاك باستخدام Azure Private Link متسق عبر خدمات Azure PaaS، وخدمات العملاء المملوكة للعملاء، والشركاء المشتركين. تبقى حركة المرور من شبكتك الافتراضية إلى خدمة Azure دائما على شبكة Microsoft Azure الأساسية.

باستخدام private endpoints، يمكنك تأمين موارد خدمات Azure الحرجة الخاصة بك لتشمل فقط شبكاتك الافتراضية. يستخدم Azure Private Endpoint عنوان IP خاص من شبكتك الافتراضية لربطك بشكل خاص وأمان بخدمة تعمل بواسطة Azure Private Link، مما يجلب الخدمة فعليا إلى شبكتك الافتراضية. لم يعد من الضروري تعريض شبكتك الافتراضية إلى الإنترنت العام لاستهلاك الخدمات على Azure.

يمكنك أيضًا إنشاء خدمة الارتباطات الخاصة بك في الشبكة الظاهرية. Azure Private Link service هو إشارة إلى خدمتك الخاصة التي تعتمد على Azure Private Link. يمكن تفعيل خدمتك التي تعمل خلف Azure Standard Load Balancer للوصول Private Link حتى يتمكن المستهلكون من خدمتك من الوصول إليها بشكل خاص من شبكاتهم الافتراضية الخاصة. يمكن للعملاء إنشاء نقطة نهاية خاصة داخل الشبكات الظاهرية الخاصة بهم وتعيينها إلى هذه الخدمة. لم يعد من الضروري عرض خدمتك على الإنترنت العام لتقديم الخدمات على Azure.

بوابة VPN

لإرسال حركة مرور الشبكة بين Azure Virtual Network وموقعك المحلي، يجب عليك إنشاء بوابة VPN لشبكة Azure Virtual Network الخاصة بك. بوابة VPN هي نوع من بوابات الشبكة الظاهرية التي ترسل نسبة استخدام الشبكة المشفرة عبر اتصال عام. يمكنك أيضا استخدام بوابات VPN لإرسال حركة المرور بين شبكات Azure الافتراضية عبر شبكة Azure.

ExpressRoute

Microsoft Azure ExpressRoute هو رابط WAN مخصص يتيح لك تمديد شبكاتك المحلية إلى سحابة مايكروسوفت عبر اتصال خاص مخصص يسهل بواسطة مزود اتصال.

مع ExpressRoute، يمكنك إنشاء اتصالات بخدمات Microsoft السحابية، مثل Microsoft Azure و Microsoft 365. ويمكن أن يكون الاتصال من أي شبكة إلى أي شبكة (IP VPN)، أو شبكة Ethernet من نقطة إلى نقطة، أو شبكة اتصال افتراضية عبر مزود اتصال في مرفق المراكز.

اتصالات ExpressRoute لا تمر عبر الإنترنت العام وهي أكثر أمانا من الحلول المعتمدة على VPN. يتيح هذا التصميم لاتصالات ExpressRoute تقديم موثوقية أكبر، وسرعات أعلى، وزمن استجابة أقل، وأمان أعلى مقارنة بالاتصالات التقليدية عبر الإنترنت.

بوابة التطبيق

توفر Microsoft Azure Application Gateway خدمة Application Delivery Controller (ADC) كخدمة، تقدم قدرات توازن الأحمال في الطبقة السابعة المختلفة لتطبيقك.

يسمح لك بتحسين إنتاجية مزرعة الويب عن طريق تفريغ إنهاء TLS المكثف لوحدة المعالجة المركزية إلى بوابة التطبيق (المعروفة أيضا باسم إلغاء تحميل TLS أو جسر TLS). يوفر أيضًا إمكانات توجيه أخرى من الطبقة 7 بما في ذلك التوزيع الدائري لنسبة استخدام الشبكة الواردة وتقارب الجلسة المستند إلى ملفات تعريف الارتباط والتوجيه المستند إلى مسار URL والقدرة على استضافة مواقع ويب متعددة خلف بوابة تطبيق واحدة. Azure Application Gateway هو موازن تحميل من الطبقة السابعة.

توفر طلبات HTTP لتوجيه الأداء وتجاوز الفشل بين الخوادم المختلفة، سواء كانت في السحابة أو في الموقع.

يوفر التطبيق العديد من ميزات وحدة التحكم في تسليم التطبيقات (ADC) بما في ذلك موازنة تحميل HTTP ، وتقارب الجلسة المستندة إلى ملفات تعريف الارتباط ، وإلغاء تحميل TLS ، وفحوصات الصحة المخصصة ، ودعم المواقع المتعددة ، وغيرها الكثير.

جدار الحماية لتطبيقات الويب

Web Application Firewall هي ميزة في Azure Application Gateway تحمي تطبيقات الويب التي تستخدم بوابة التطبيقات لوظائف التحكم في تسليم التطبيقات (ADC) القياسية. جدار حماية تطبيقات الويب يحميها من معظم أكبر 10 ثغرات شائعة في الويب في OWASP.

• حماية حقن SQL

• الحماية من هجمات الويب الشائعة مثل حقن الأوامر وتهريب طلب HTTP وتقسيم استجابة HTTP وإدراج الملفات عن بعد

• الحماية ضد انتهاكات بروتوكول HTTP

• الحماية من الحالات الشاذة في بروتوكول HTTP، مثل فقدان المضيف ووكيل المستخدم وقبول الرؤوس

• الوقاية من الروبوتات والمتتبعات والماسحات الضوئية

• اكتشاف سوء التكوينات الشائعة في التطبيقات (مثل Apache، IIS)

يعمل جدار الحماية المركزي لتطبيق الويب (WAF) على تبسيط إدارة الأمان وتحسين الحماية ضد هجمات الويب. يوفر ضمانا أفضل ضد تهديدات التسلل ويمكنه الاستجابة بشكل أسرع للتهديدات الأمنية عن طريق تصحيح الثغرات الأمنية المعروفة مركزيا ، بدلا من تأمين كل تطبيق ويب فردي. يمكنك بسهولة ترقية بوابات التطبيقات الحالية لتشمل جدار حماية لتطبيقات الويب.

Azure Front Door

Azure Front Door هو نقطة دخول عالمية قابلة للتوسع تستخدم شبكة مايكروسوفت العالمية لإنشاء تطبيقات ويب سريعة وآمنة وقابلة للتوسع على نطاق واسع. يوفر Front Door:

• موازنة التحميل العالمية: توزيع حركة المرور عبر واجهات خلفية متعددة في مناطق مختلفة
• Integrated Web Application Firewall: الحماية من ثغرات الويب الشائعة والهجمات
• حماية DDoS: حماية مدمجة ضد هجمات رفض الخدمة الموزعة
• إلغاء تحميل SSL/TLS: إدارة الشهادات المركزية وتشفير حركة المرور
• التوجيه المستند إلى عنوان URL: توجيه الزيارات إلى واجهات خلفية مختلفة استنادا إلى أنماط عناوين URL

يجمع Front Door بين تسليم المحتوى وتسريع التطبيقات والأمان في خدمة واحدة.

مدير نسبة استخدام الشبكة

Microsoft Azure Traffic Manager يسمح لك بالتحكم في توزيع حركة مرور المستخدمين لنقاط نهاية الخدمة في مراكز بيانات مختلفة. تشمل نقاط نهاية الخدمة التي يدعمها Traffic Manager أجهزة Azure الافتراضية، Web Apps، وخدمات السحابة. يمكنك أيضا استخدام Traffic Manager مع نقاط نهاية خارجية غير تابعة ل Azure.

يستخدم Traffic Manager نظام أسماء النطاقات (DNS) لتوجيه طلبات العميل إلى نقطة النهاية الأكثر ملاءمة استنادا إلى أسلوب توجيه نسبة استخدام الشبكة وصحة نقاط النهاية. يوفر Traffic Manager مجموعة من طرق توجيه حركة المرور لتناسب احتياجات التطبيقات المختلفة ومراقبة صحة نقطة النهاية وتجاوز الفشل التلقائي. Traffic Manager مقاوم للفشل، بما في ذلك فشل منطقة Azure بأكملها.

Azure Load Balancer

Azure Load Balancer يوفر توفر عالي وأداء شبكي لتطبيقاتك. إنه موازن تحميل الطبقة 4 (TCP، UDP) الذي يوزع نسبة استخدام الشبكة الواردة بين مثيلات سليمة من الخدمات المحددة في مجموعة متوازنة التحميل. يمكنك تكوين Azure Load Balancer ل:

• موازنة التحميل لنسبة استخدام شبكة الإنترنت الواردة إلى الأجهزة الظاهرية. يعرف التكوين باسم موازنة التحميل العام.

• موازنة تحميل نسبة استخدام الشبكة بين الأجهزة الظاهرية في شبكة ظاهرية، بين الأجهزة الظاهرية في الخدمات السحابية، أو بين أجهزة الكمبيوتر المحلية والأجهزة الظاهرية في شبكة ظاهرية متعددة الأماكن. يعرف التكوين باسم موازنة التحميل الداخلي.

• إعادة توجيه نسبة استخدام شبكة البيانات الخارجية الواردة إلى جهاز ظاهري محدد

DNS الداخلي

يمكنك إدارة قائمة خوادم DNS المستخدمة في VNet في بوابة Azure، أو في ملف تكوين الشبكة. يمكنك إضافة ما يصل إلى 12 خادم DNS لكل VNet. عند تحديد خوادم DNS، تحقق من أنك تدرج خوادم DNS بالترتيب الصحيح لبيئتك. لا تعمل قوائم خادم DNS الترتيب الدوري. تستخدم بالترتيب الذي تحدده. إذا كان أول خادم DNS في القائمة متاحا، يستخدم العميل ذلك الخادم بغض النظر عما إذا كان خادم DNS يعمل بشكل صحيح أم لا. لتغيير ترتيب خوادم DNS لشبكتك الافتراضية، قم بإزالة خوادم DNS من القائمة وأعدها بالترتيب الذي تريده. يدعم DNS جانب التوفر في الأمان "CIA".

Azure DNS

نظام اسم المجالات، أو DNS، مسؤول عن ترجمة (أو حل) موقع الويب أو اسم الخدمة إلى عنوان IP الخاص به. Azure DNS هي خدمة استضافة لنطاقات DNS، توفر حل الأسماء باستخدام بنية Microsoft Azure التحتية. من خلال استضافة نطاقاتك في Azure، يمكنك إدارة سجلات DNS باستخدام نفس بيانات الاعتماد وواجهات برمجة التطبيقات والأدوات والفوترة التي تستخدمها خدمات Azure الأخرى. يدعم DNS جانب التوفر في ثالوث أمان "CIA".

Azure Monitor logs NSGs

يمكنك تمكين الفئات المسجلة للتشخيص التالي لـ NSGs:

• الحدث: يحتوي على إدخالات يتم تطبيق قواعد NSG لها على VMs وأدوار المثيل استنادًا إلى عنوان MAC. جمع حالة هذه القواعد كل 60 ثانية.

• عداد القواعد: يحتوي على إدخالات عن عدد المرات التي يتم فيها تطبيق كل قاعدة NSG لرفض نسبة استخدام الشبكة أو السماح بها.

Microsoft Defender for Cloud

Microsoft Defender for Cloud يحلل باستمرار حالة الأمان لموارد Azure الخاصة بك لأفضل ممارسات أمن الشبكة. عندما يحدد Defender for Cloud الثغرات الأمنية المحتملة، فإنه ينشئ توصيات ترشدك خلال عملية تكوين عناصر التحكم المطلوبة لتقوية مواردك وحمايتها.

خدمات شبكات الحاويات المتقدمة (ACNS)

خدمات شبكات الحاويات المتقدمة (ACNS) هي مجموعة شاملة مصممة لرفع كفاءة التشغيل لمجموعات Azure Kubernetes Service (AKS) الخاصة بك. ويوفر ميزات أمان ومراقبة متقدمة، ومعالجة تعقيدات إدارة البنية الأساسية للخدمات المصغرة على نطاق واسع.

وتنقسم هذه الميزات إلى دعامتين رئيسيتين:

• Security: بالنسبة للمجموعات التي تستخدم Azure CNI Powered by Cilium، تشمل سياسات الشبكة تصفية أسماء النطاقات المؤهلة بالكامل (FQDN) لحل تعقيدات الحفاظ على التكوين.

• قابلية المراقبة: توفر هذه الميزة لمجموعة خدمات شبكات الحاويات المتقدمة قوة مستوى التحكم في هابل إلى كل من مستويات بيانات Cilium وغير Cilium Linux ، مما يوفر رؤية محسنة للشبكات والأداء.

العمليات الأمنية وإدارتها

إدارة ومراقبة أمان بيئة Azure الخاصة بك أمر أساسي للحفاظ على وضع أمني قوي. يوفر Azure أدوات شاملة لعمليات الأمن، واكتشاف التهديدات، والاستجابة للحوادث. للتغطية التفصيلية لإدارة ومراقبة الأمن، انظر Azure نظرة عامة على إدارة ومراقبة الأمان. للحصول على أفضل ممارسات الأمن التشغيلي، انظر Azure أفضل ممارسات الأمن التشغيلي. للحصول على نظرة شاملة على الأمن التشغيلي، انظر Azure نظرة عامة على الأمن العملياتي.

Microsoft Sentinel

Microsoft Sentinel هو حل قابل للتوسع ويعتمد على إدارة معلومات وأحداث الأمن (SIEM) ونظام التنسيق والأتمتة والاستجابة الأمنية (SOAR). تقدم Microsoft Sentinel تحليلات أمنية ذكية واستخبارات تهديدات عبر المؤسسة، موفرة حلا واحدا لاكتشاف الهجمات، ورؤية التهديدات، والبحث الاستباقي، والاستجابة للتهديدات.

Microsoft Sentinel متاح الآن في بوابة Microsoft Defender لجميع العملاء، مقدما تجربة عمليات أمنية موحدة تسهل سير العمل وتعزز الوضوح. يتيح التكامل مع Security Copilot للمحللين التفاعل مع بيانات Microsoft Sentinel باستخدام اللغة الطبيعية، وتوليد استفسارات الصيد، وأتمتة التحقيقات لاستجابة أسرع للتهديدات.

Microsoft Defender for Cloud

Microsoft Defender for Cloud يساعدك على منع التهديدات واكتشافها والاستجابة لها من خلال منحك رؤية أكبر وسيطرة على أمن موارد Azure الخاصة بك. يوفر Microsoft Defender for Cloud مراقبة أمنية متكاملة وإدارة السياسات عبر اشتراكات Azure الخاصة بك، ويساعد في اكتشاف التهديدات التي قد تمر دون ملاحظة، ويعمل مع منظومة شاملة من حلول الأمان.

يقدم Microsoft Defender for Cloud حماية شاملة مع خطط خاصة بعبء العمل تشمل:

• Defender for Servers - حماية متقدمة من التهديدات لخوادم Windows وLinux
• Defender for Containers - أمان التطبيقات المعبأة في حاويات وKubernetes
• Defender for Storage - اكتشاف التهديدات باستخدام فحص البرامج الضارة واكتشاف البيانات الحساسة
• Defender for Databases - الحماية ل Azure SQL و Azure Database for MySQL وPostgreSQL
• Defender for Foundry Tools - حماية وقت التشغيل لأدوات Foundry ضد محاولات الهروب من الجيلبريك، وكشف البيانات، وأنماط الوصول المشبوهة
• Defender CSPM - إدارة وضع أمان السحابة مع تحليل مسار الهجوم وحوكمة الأمان وإدارة وضع أمان الذكاء الاصطناعي

بالإضافة إلى ذلك، يساعد Defender for Cloud في عمليات الأمن من خلال تزويدك بلوحة تحكم واحدة تعرض التنبيهات والتوصيات التي يمكنك اتخاذ إجراءات فورية. يوفر تكامل Security Copilot ملخصات مولدة بالذكاء الاصطناعي، ونصوص تصحيح، وقدرات تفويض لتسريع معالجة المخاطر.

للاطلاع على قدرات شاملة لاكتشاف التهديدات عبر Azure، انظر Azure حماية التهديد.

تشفير القرص الافتراضي

افتراضيا، يساعدك التشفير في المضيف على تشفير أقراص الآلة الافتراضية الخاصة بك من IaaS. يوفر تشفير على جانب الخادم على مستوى مضيف الآلة الافتراضية باستخدام تشفير AES 256، وهو متوافق مع FIPS 140-2. يحدث هذا التشفير دون استهلاك موارد وحدة المعالجة المركزية للآلات الافتراضية ويوفر تشفيرا من طرف إلى طرف للأقراص المؤقتة، وذاكرة تخزين التخزين المؤقت لأقراص نظام التشغيل/البيانات، وتدفقات البيانات إلى Azure Storage. بشكل افتراضي، يستخدم مفاتيح مدارة على المنصة دون الحاجة إلى تكوين إضافي. اختياريا، يمكنك تكوين الحل باستخدام مفاتيح مدارة من قبل العملاء مخزنة في Azure Key Vault أو Azure Key Vault Managed HSM عندما تحتاج إلى التحكم وإدارة مفاتيح تشفير الأقراص الخاصة بك. يضمن الحل أن جميع البيانات على أقراص الآلة الافتراضية مشفرة أثناء السكون في تخزين Azure الخاص بك. لمزيد من المعلومات حول خيارات إدارة المفاتيح، راجع إدارة المفاتيح في Azure.

Azure Resource Manager

Azure Resource Manager تمكنك من العمل مع الموارد في حلك كمجموعة. يمكنك توزيع كافة الموارد الخاصة بحلك أو تحديثها أو حذفها في عملية واحدة منسقة. تستخدم قالب Azure Resource Manager للنشر، ويمكن أن يعمل هذا القالب لبيئات مختلفة مثل الاختبار، المرحلة، والإنتاج. يوفر Resource Manager ميزات الأمان والتدقيق والوسم لمساعدتك في إدارة مواردك بعد النشر.

تساعد عمليات النشر المعتمدة على القوالب في Azure Resource Manager في تحسين أمان الحلول المنشورة في Azure لأن إعدادات التحكم الأمنية القياسية يمكن دمجها في عمليات النشر الموحدة القائمة على القوالب. تقلل القوالب من مخاطر أخطاء تكوين الأمان التي قد تحدث أثناء عمليات النشر اليدوية.

Application Insights

Application Insights هي خدمة مرنة لإدارة أداء التطبيقات (APM) مصممة لمطوري الويب. يمكنك من مراقبة تطبيقات الويب المباشرة واكتشاف مشكلات الأداء تلقائيا. باستخدام أدوات تحليلية قوية، يمكنك تشخيص المشكلات واكتساب رؤى حول تفاعلات المستخدمين مع تطبيقاتك. يراقب Application Insights تطبيقك باستمرار، بدءا من التطوير مرورا بالاختبار وصولا إلى الإنتاج.

ينشئ Application Insights مخططات وجداول ثاقبة تكشف عن أوقات نشاط المستخدم القصوى واستجابة التطبيق وأداء أي خدمات خارجية يعتمد عليها.

إذا كانت هناك أعطال أو فشل أو مشكلات في الأداء، يمكنك البحث في البيانات بالتفصيل لتشخيص السبب. ترسل لك الخدمة رسائل بريد إلكتروني إذا حدثت أي تغييرات في توفر وأداء تطبيقك. يصبح Application Insight أداة أمان قيمة لأنه يساعد في التوفر في ثالوث أمان السرية والتكامل والتوافر.

Azure Monitor

Azure Monitor يقدم التصور، والاستعلام، والتوجيه، والتنبيه، والتكبير التلقائي، والأتمتة على البيانات سواء من اشتراك Azure (Activity Log) أو كل مورد Azure فردي (Resource Logs). يمكنك استخدام Azure Monitor لتنبيهك بشأن الأحداث المتعلقة بالأمان التي يتم توليدها في سجلات Azure.

سجلات Azure Monitor

يوفر Azure Monitor logs حلا لإدارة تكنولوجيا المعلومات لكل من البنية التحتية المحلية والسحابية من طرف ثالث (مثل Amazon Web Services) بالإضافة إلى موارد Azure. يمكن توجيه البيانات من Azure Monitor مباشرة إلى سجلات Azure Monitor حتى تتمكن من رؤية المقاييس والسجلات لبيئتك بأكملها في مكان واحد.

يمكن أن تكون سجلات Azure Monitor أداة مفيدة في التحليل الجنائي وغيره من التحليلات الأمنية، حيث تتيح لك البحث بسرعة عبر كميات كبيرة من الإدخالات المتعلقة بالأمن باستخدام نهج استعلام مرن. بالإضافة إلى ذلك، يمكن تصدير سجلات firewall وproxy المحلية إلى Azure وجعلها متاحة للتحليل باستخدام سجلات Azure Monitor.

Azure Advisor

Azure Advisor هو مستشار سحابي مخصص يساعدك على تحسين عمليات نشر Azure الخاصة بك. يحلل تكوين الموارد وبيانات الاستخدام. ثم توصي بحلول تساعد في تحسين performance، security، و موثوقية لمواردك أثناء البحث عن فرص لتقليل Azure الإنفاق الإجمالي. يوفر Azure Advisor توصيات أمنية، والتي يمكن أن تحسن بشكل كبير وضعك الأمني العام للحلول التي تنشرها في Azure. تستند هذه التوصيات إلى تحليل أمني أجرته Microsoft Defender for Cloud.

إدارة الهوية والوصول

الهوية هي محيط الأمان الأساسي في الحوسبة السحابية. حماية الهويات والتحكم في الوصول إلى الموارد أمر أساسي لتأمين بيئة Azure الخاصة بك. يوفر Microsoft Entra ID قدرات شاملة لإدارة الهوية والوصول. للحصول على معلومات مفصلة، راجع نظرة عامة لإدارة الهوية Azure. للحصول على أفضل ممارسات إدارة الهوية، راجع Azure أفضل ممارسات أمن إدارة الهوية والتحكم في الوصول. للحصول على إرشادات حول تأمين البنية الأساسية للهوية، راجع خمس خطوات لتأمين البنية الأساسية للهوية.

Microsoft Entra ID

Microsoft Entra ID هي خدمة إدارة الهوية والوصول السحابية من مايكروسوفت. وهو يوفر:

• Sign-On أحادي (SSO): تمكين المستخدمين من الوصول إلى تطبيقات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد
• المصادقة متعددة العوامل (MFA): تتطلب أشكالا متعددة من التحقق لتسجيل الدخول
• الوصول المشروط: التحكم في الوصول إلى الموارد بناء على المستخدم والجهاز والموقع والمخاطر
• حماية الهوية: الكشف عن المخاطر المستندة إلى الهوية والاستجابة لها
• Privileged Identity Management (PIM): توفير وصول مميز في الوقت المناسب إلى موارد Azure
• إدارة الهوية: إدارة دورة حياة الهوية وحقوق الوصول

التحكم في الوصول استنادًا إلى الدور (RBAC)

يساعدك Azure على التحكم في الوصول القائم على الأدوار (RBAC) في إدارة من لديه وصول إلى موارد Azure، وما يمكنه فعله بها، والمناطق التي يمكنه الوصول إليها. يوفر RBAC إدارة وصول دقيقة لموارد Azure، مما يمكنك من منح المستخدمين فقط الحقوق التي يحتاجونها لأداء مهامهم.

Microsoft Entra إدارة الهويات ذات الامتيازات

Microsoft Entra Privileged Identity Management (PIM) يمكنك من إدارة والتحكم ومراقبة الوصول إلى الموارد المهمة في مؤسستك. يوفر PIM تنشيط دور مستند إلى الوقت ويستند إلى الموافقة للتخفيف من مخاطر أذونات الوصول المفرطة أو غير الضرورية أو التي يساء استخدامها.

الهويات المدارة لموارد Azure

Managed identities لموارد Azure توفر خدمات Azure بهوية مدارة تلقائيا في Microsoft Entra ID. استخدم هذه الهوية للمصادقة على أي خدمة تدعم مصادقة Microsoft Entra، دون وجود بيانات اعتماد في الكود الخاص بك.

توفر تحديثات التحديثات أساسا للعثور على المشكلات المحتملة وإصلاحها وتبسط عملية إدارة تحديثات البرمجيات. تقلل من عدد تحديثات البرمجيات التي يجب عليك نشرها في مؤسستك وتزيد من قدرتك على مراقبة الامتثال.

إدارة نهج الأمن وإعداد التقارير

يساعدك Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها. يمنحك رؤية أكبر وتحكم أكبر في أمان موارد Azure الخاصة بك. يوفر مراقبة أمنية متكاملة وإدارة السياسات عبر اشتراكات Azure الخاصة بك. يساعد في الكشف عن التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من الحلول الأمنية.

الهوية الآمنة

يستخدم برنامج Microsoft الممارسات والتقنيات الأمان متعددة عبر منتجاتها وخدماتها لإدارة الهوية والوصول.

• تتطلب المصادقة متعددة العوامل من المستخدمين استخدام طرق متعددة للوصول ، محليا وفي السحابة. يوفر مصادقة قوية مع مجموعة من خيارات التحقق السهلة، مع استيعاب المستخدمين مع عملية تسجيل الدخول البسيطة.

• يوفر Microsoft Authenticator تجربة مصادقة متعددة العوامل سهلة الاستخدام تعمل مع كل من Microsoft Entra ID وحسابات مايكروسوفت. يشمل دعما للأجهزة القابلة للارتداء والموافقات المعتمدة على البصمات.

• يزيدPassword policy enforcement من أمان كلمات المرور التقليدية بفرض متطلبات الطول والتعقيد، والتناوب الدوري المفروض، وتأمين الحساب بعد محاولات المصادقة الفاشلة.

• Token-authentication يتيح المصادقة عبر Microsoft Entra ID.

• Azure التحكم في الوصول القائم على الدور (Azure RBAC) تتيح لك منح الوصول بناء على الدور المعين للمستخدم. من السهل منح المستخدمين فقط مقدار الوصول الذي يحتاجونه لأداء مهامهم. يمكنك تخصيص Azure RBAC وفقا لنموذج عمل مؤسستك وتحملها للمخاطر.

• إدارة الهوية المتكاملة (الهوية الهجينة) تمكنك من الحفاظ على التحكم في وصول المستخدمين عبر مراكز البيانات الداخلية ومنصات السحابة. ينشئ هوية مستخدم واحدة للمصادقة والتفويض لجميع الموارد.

التطبيقات والبيانات الآمنة

Microsoft Entra ID، حل شامل لإدارة الهوية والوصول، يساعد في تأمين الوصول إلى البيانات في التطبيقات على الموقع وفي السحابة، ويبسط إدارة المستخدمين والمجموعات. يجمع بين خدمات الدليل الرئيسة وإدارة الهوية المتقدمة والأمان وإدارة الوصول إلى التطبيقات، ويجعل من السهل على المطورين بناء إدارة الهوية المستندة إلى النهج في تطبيقاتهم. لتحسين معرف Microsoft Entra ID الخاص بك، يمكنك إضافة قدرات مدفوعة باستخدام إصدارات Microsoft Entra Basic وPremium P1 وPremium P2.

الميزات الحرة أو الشائعة	الميزات الأساسية	ميزات P1 المميزة	ميزات بريميوم P2	انضمام Microsoft Entra – الميزات المتعلقة فقط ب Windows 10
Directory Objects, إدارة المستخدم/المجموعة (إضافة/تحديث/حذف)/ التوفير القائم على المستخدم، تسجيل الجهاز، تسجيل الدخول الفردي (SSO)، Self-Service تغيير كلمة المرور لمستخدمي السحابة، Connect (محرك مزامنة يوسع الأدلة المحلية إلى Microsoft Entra ID), تقارير الأمان / الاستخدام	إدارة الوصول / التوفير القائم على المجموعة، Self-Service إعادة تعيين كلمة المرور لمستخدمي السحابة، العلامات التجارية للشركة (تخصيص صفحات/Access Panel تسجيل الدخول)، Application Proxy، SLA 99.9%	مجموعة الخدمة الذاتية وإدارة التطبيقات/إضافات تطبيق الخدمة الذاتية/المجموعات الديناميكية، إعادة تعيين/تغيير/إلغاء تأمين كلمة مرور الخدمة الذاتية مع إعادة الكتابة المحلية، المصادقة متعددة العوامل (Cloud and On-premises (خادم MFA))، MIM CAL + MIM Server، Cloud App Discovery، Connect Health، التمرير التلقائي لكلمة المرور لحسابات المجموعات	حماية الهوية، Privileged Identity Management	الانضمام إلى جهاز إلى Microsoft Entra ID، أو SSO على سطح المكتب، أو Microsoft Passport ل Microsoft Entra ID، أو BitLocker recovery من قبل المسؤول، أو MDM التلقائي، Self-Service استعادة BitLocker، وإضافة مسؤولين محليين إضافيين إلى Windows 10 الأجهزة عبر Microsoft Entra join

• Cloud App Discovery هي ميزة مميزة في Microsoft Entra ID تمكنك من تحديد تطبيقات السحابة التي يستخدمها موظفو مؤسستك.

• Microsoft Entra ID Protection هي خدمة أمنية تستخدم قدرات اكتشاف الشذوذات Microsoft Entra لتوفير رؤية موحدة لاكتشافات المخاطر والثغرات المحتملة التي قد تؤثر على هويات مؤسستك.

• Microsoft Entra Domain Services تتيح لك الانضمام إلى Azure الأجهزة الافتراضية إلى نطاق دون الحاجة لنشر وحدات تحكم النطاق. يقوم المستخدمون بتسجيل الدخول إلى هذه الأجهزة الافتراضية باستخدام بيانات اعتماد Active Directory الخاصة بهم في الشركة، ويمكنهم الوصول إلى الموارد بسلاسة.

• Microsoft Entra B2C هو خدمة إدارة هويات عالمية متاحة بدرجة عالية للتطبيقات الموجهة للمستهلك، ويمكن أن تتوسع إلى مئات الملايين من الهويات وتدمج عبر منصات الهواتف المحمولة والويب. يمكن لعملائك تسجيل الدخول إلى جميع التطبيقات الخاصة بك من خلال تجارب قابلة للتخصيص تستخدم حسابات الوسائط الاجتماعية الحالية، أو يمكنك إنشاء بيانات اعتماد مستقلة جديدة.

• Microsoft Entra B2B Collaboration هو حل آمن لتكامل الشركاء يدعم علاقاتك بين الشركات من خلال تمكين الشركاء من الوصول إلى تطبيقاتك وبياناتك المؤسسية بشكل انتقائي باستخدام هوياتهم المدارة ذاتيا.

• Microsoft Entra joinated تتيح لك توسيع قدرات السحابة لأجهزة Windows 10 للإدارة المركزية. يتيح للمستخدمين الاتصال بالسحابة المؤسسية أو المؤسسة عبر Microsoft Entra ID ويبسط الوصول إلى التطبيقات والموارد.

• يوفر Microsoft Entra application proxy proxi SSO والوصول الآمن عن بعد لتطبيقات الويب المستضافة في الموقع.

الخطوات التالية

• فهم المسؤولية الخاصة بك المشتركة في السحابة.

• تعلم كيف يمكن ل Microsoft Defender for Cloud مساعدتك في الوقاية من التهديدات وكشفها والاستجابة لها من خلال توفير رؤية وتحكم أكبر في أمان موارد Azure الخاصة بك.

• استكشف Azure أفضل الممارسات والأنماط الأمنية لمزيد من التوصيات الأمنية.

• راجع معيار أمان سحابة Microsoft للحصول على إرشادات أمان شاملة.

• انظر End-to-End Security في Azure لرؤية الحماية والكشف والاستجابة لبنية الأمان Azure.