الأمان الشامل في Azure
أحد أفضل الأسباب لاستخدام Azure لتطبيقاتك وخدماتك للاستفادة من مجموعة واسعة من أدوات الأمان وقدراته. تساعد هذه الأدوات والإمكانات في تسهيل إنشاء حلول آمنة على النظام الأساسي الآمن لـ Azure. يوفر Microsoft Azure السرية والتكامل وتوافر بيانات العميل، مع تمكين المساءلة الشفافة.
يقدم لك الرسم التخطيطي والوثائق التالية خدمات الأمان في Azure. تساعدك خدمات الأمان هذه على تلبية احتياجات الأمان لشركتك وحماية المستخدمين والأجهزة والموارد والبيانات والتطبيقات في السحابة.
خريطة خدمات أمان Microsoft
تنظم خريطة خدمات الأمان الخدمات حسب الموارد التي تحميها (عمود). يقوم الرسم التخطيطي أيضاً بتجميع الخدمات في الفئات (الصف) التالية:
- الأمان والحماية - الخدمات التي تتيح لك تنفيذ إستراتيجية دفاعية متعددة الطبقات ومتعمقة عبر الهوية والمضيفين والشبكات والبيانات. توفر هذه المجموعة من خدمات وإمكانيات الأمان طريقة لفهم وضع الأمان لديك وتحسينه عبر بيئة Azure الخاصة بك.
- كشف التهديدات - الخدمات التي تحدد الأنشطة المشبوهة وتسهل التخفيف من التهديد.
- التحقيق والرد - الخدمات التي تسحب بيانات التسجيل حتى تتمكن من تقييم نشاط مشبوه والاستجابة له.
ضوابط وأساسيات الأمان
يتضمن معيار أمان السحابة من Microsoft مجموعة من توصيات الأمان عالية التأثير التي يمكنك استخدامها للمساعدة في تأمين الخدمات التي تستخدمها في Azure:
- عناصر التحكم في الأمان - هذه التوصيات قابلة للتطبيق بشكل عام عبر خدمات مستأجر Azure وAzure. وتُحدد كل توصية قائمة المساهمين الذين يشاركون عادة في تخطيط المعيار أو الموافقة عليه أو تنفيذه.
- الخطوط الأساسية للخدمة - تطبق عناصر التحكم على خدمات Azure الفردية لتقديم توصيات بشأن تكوين أمان تلك الخدمة.
التأمين والحماية
| الخدمة | الوصف |
|---|---|
| Microsoft Defender for Cloud | نظام إدارة أمان البنية الأساسية الموحد الذي يقوي الوضع الأمني لـ مركز البيانات الخاصة بك، ويوفر حماية متقدمة من التهديدات عبر أحمال العمل المختلطة في السحابة - سواء كانت في Azure أم لا - وكذلك في أماكن العمل. |
| إدارة الهوية والوصول | |
| معرِّف Microsoft Entra | الهوية المستندة إلى السحابة وخدمة إدارة الوصول من Microsoft. |
| الوصول المشروط هو الأداة التي يستخدمها معرف Microsoft Entra لجمع إشارات الهوية معا، واتخاذ القرارات، وفرض النهج التنظيمية. | |
| خدمات المجال هي الأداة التي يستخدمها معرف Microsoft Entra لتوفير خدمات المجال المدارة مثل الانضمام إلى المجال ونهج المجموعة وبروتوكول الوصول الخفيف إلى الدليل (LDAP) ومصادقة Kerberos/NTLM. | |
| إدارة الهويات المتميزة (PIM) هي خدمة في معرف Microsoft Entra تمكنك من إدارة الوصول إلى الموارد الهامة في مؤسستك والتحكم فيه ومراقبته. | |
| المصادقة متعددة العوامل هي الأداة المستخدمة من قبل معرف Microsoft Entra للمساعدة في حماية الوصول إلى البيانات والتطبيقات من خلال طلب شكل ثان من المصادقة. | |
| حماية معرف Microsoft Entra | أداة تسمح للمؤسسات بأتمتة اكتشاف ومعالجة المخاطر المستندة إلى الهوية، والتحقيق في المخاطر باستخدام البيانات الموجودة في المدخل، وتصدير بيانات الكشف عن المخاطر إلى أدوات مساعدة تابعة لجهات خارجية لمزيد من التحليل. |
| البنية التحتية والشبكة | |
| بوابة VPN | بوابة شبكة ظاهرية تُستخدم لإرسال حركة مرور مشفرة بين Azure Virtual Network وموقع محلي عبر الإنترنت العام ولإرسال حركة مرور مشفرة بين شبكات Azure الظاهرية عبر شبكة Microsoft. |
| حماية Azure DDos | يوفر ميزات تخفيف DDoS محسّنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائياً للمساعدة في حماية موارد Azure المحددة في شبكة ظاهرية. |
| Azure Front Door | نقطة دخول عالمية قابلة لتغيير الحجم تستخدم شبكة Microsoft الطرفية العالمية لإنشاء تطبيقات ويب سريعة وآمنة وقابلة لتغيير الحجم على نطاق واسع. |
| Azure Firewall | خدمة جدار حماية شبكة سحابية أصلية وذكية توفر حماية من التهديدات لأحمال العمل السحابية التي تعمل في Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة. يتم تقديم جدار حماية Azure في ثلاث وحدات SKU: قياسية ومميزة وأساسية. |
| Azure Key Vault | مخزن بيانات سرية آمن للرموز وكلمات المرور والشهادات ومفاتيح API وغيرها من البيانات السرية. يمكن أيضاً استخدام Key Vault لإنشاء مفاتيح التشفير المستخدمة لتشفير بياناتك والتحكم فيها. |
| Key Vault Managed HSM | خدمة سحابية مُدارة بالكامل ومتاحة للغاية ومستأجر فردي ومتوافقة مع المعايير وتمكنك من حماية مفاتيح التشفير لتطبيقات السحابة الخاصة بك، باستخدام FIPS 140-2 Level 3 HSMs التحقق من صحتها. |
| Azure Private Link | يمكّنك من الوصول إلى خدمات Azure PaaS (على سبيل المثال، Azure Storage ولغة الاستعلامات المركبة Database) وخدمات Azure المستضافة المملوكة للعميل/الشريك عبر نقطة نهاية خاصة في شبكتك الظاهرية. |
| Azure Application Gateway | موازن تحميل حركة مرور الويب المتقدم الذي يمكّنك من إدارة نسبة استخدام الشبكة إلى تطبيقات الويب الخاصة بك. يمكن لـ Application Gateway اتخاذ قرارات التوجيه بناءً على السمات الإضافية لطلب HTTP، على سبيل المثال مسار URI أو عنوان المضيف. |
| ناقل خدمة Azure | وسيط رسائل مؤسسية مُدار بالكامل مع قوائم انتظار الرسائل وموضوعات النشر والاشتراك. يتم استخدام ناقل خدمة Microsoft Azure لفصل التطبيقات والخدمات عن بعضها. |
| جدار حماية تطبيق الويب | يوفر حماية مركزية لتطبيقات الويب الخاصة بك من عمليات الاستغلال والثغرات الأمنية الشائعة. يمكن توزيع WAF مع Azure Application بوابة وAzure Front Door. |
| نهج Azure | يساعد على تطبيق المعايير التنظيمية وتقييم الامتثال على نطاق واسع. من خلال لوحة معلومات الامتثال الخاصة به، فإنه يوفر عرضًا مجمعًا لتقييم الحالة العامة للبيئة، مع القدرة على التنقل التفصيلي إلى مستوى الدقة لكل مورد، ولكل سياسة. كما أنه يساعد على تحقيق التوافق مع مواردك من خلال المعالجة الجماعية للموارد الحالية والمعالجة التلقائية للموارد الجديدة. |
| البيانات والتطبيق | |
| النسخ الاحتياطي في Azure | يوفر حلولاً بسيطة وآمنة وفعالة من حيث التكلفة لنسخ بياناتك احتياطياً واستعادتها من سحابة Microsoft Azure. |
| تشفير خدمة Azure Storage | يقوم تلقائياً بتشفير البيانات قبل تخزينها ويفك تشفير البيانات تلقائياً عند استردادها. |
| حماية البيانات في Azure | حل مستند إلى السحابة يمكّن المؤسسات من اكتشاف المستندات ورسائل البريد الإلكتروني وتصنيفها وحمايتها من خلال تطبيق تسميات على المحتوى. |
| إدارة API | طريقة لإنشاء بوابات API متسقة وحديثة للخدمات الخلفية الحالية. |
| الحوسبة السرية في Azure | يسمح لك بعزل بياناتك الحساسة أثناء معالجتها في السحابة. |
| أAzure DevOps | تستفيد مشاريع التطوير الخاصة بك من طبقات متعددة من تقنيات الأمان والإدارة والممارسات التشغيلية ونُهج الامتثال عند تخزينها في Azure DevOps. |
| وصول العميل | |
| الهوية الخارجية لـ Microsoft Entra | باستخدام الهويات الخارجية في معرف Microsoft Entra، يمكنك السماح للأشخاص من خارج مؤسستك بالوصول إلى تطبيقاتك ومواردك، مع السماح لهم بتسجيل الدخول باستخدام أي هوية يفضلونها. |
| يمكنك مشاركة تطبيقاتك ومواردك مع مستخدمين خارجيين عبر تعاون Microsoft Entra B2B . | |
| يتيح لك Microsoft Azure Active Directory B2C دعم الملايين من المستخدمين ومليارات المصادقة يومياً، ومراقبة التهديدات والتعامل معها تلقائياً مثل رفض الخدمة أو رش كلمة المرور أو هجمات القوة الغاشمة. |
الكشف عن التهديدات
| الخدمة | الوصف |
|---|---|
| Microsoft Defender for Cloud | يوفر حماية متقدمة وذكية لموارد Azure وأحمال العمل المختلطة. توفر لوحة معلومات حماية حمل العمل في Defender for Cloud الرؤية والتحكم في ميزات حماية حمل العمل السحابي لبيئتك. |
| Microsoft Sentinel | حل إدارة أحداث معلومات الأمان (SIEM) والقابل لتغيير الحجم، والسحابة الأصلية، والاستجابة التلقائية لتنسيق الأمان (SOAR). يوفر Microsoft Azure Sentinel تحليلات أمان ذكية واستخبارات تهديد عبر المؤسسة، ما يوفر حلاً منفرداً لاكتشاف التنبيهات، ورؤية التهديدات، والصيد الاستباقي، والاستجابة للتهديدات. |
| إدارة الهوية والوصول | |
| Microsoft Defender XDR | مجموعة دفاع مؤسسية موحدة قبل وبعد الاختراق تنسق في الأصل عمليات الكشف والوقاية والتحقيق والاستجابة عبر نقاط النهاية والهويات والبريد الإلكتروني والتطبيقات لتوفير حماية متكاملة ضد الهجمات المعقدة. |
| Microsoft Defender for Endpoint هو نظام أساسي لأمان نقطة النهاية للمؤسسات مصمم لمساعدة شبكات المؤسسات على منع التهديدات المتقدمة واكتشافها والتحقيق فيها والاستجابة لها. | |
| Microsoft Defender for Identity هو حل أمان مستند إلى السحابة يستفيد من إشارات Active Directory الداخلية لتحديد واكتشاف واستقصاء التهديدات المتقدمة والهويات المخترقة والإجراءات الداخلية الضارة الموجهة إلى مؤسستك. | |
| حماية معرف Microsoft Entra | يرسل نوعان من رسائل البريد الإلكتروني الإشعارات الآلية لمساعدتك في إدارة مخاطر المستخدم واكتشاف المخاطر: المستخدمون المعرضون للخطر الذين اكتشفوا البريد الإلكتروني والبريد الإلكتروني الأسبوعي. |
| البنية التحتية والشبكة | |
| Azure Firewall | يوفر Azure Firewall Premium نظام اكتشاف ومنع التسلل المستند إلى التوقيع (IDPS) للسماح بالكشف السريع عن الهجمات من خلال البحث عن أنماط معينة، مثل تسلسل البايت في حركة مرور الشبكة، أو تسلسلات التعليمات الضارة المعروفة التي تستخدمها البرامج الضارة. |
| Microsoft Defender for IoT | حل أمان موحد لتحديد أجهزة إنترنت الأشياء/OT والثغرات الأمنية والتهديدات. فهو يُتيح لك تأمين بيئة IoT/OT الخاصة بك بأكملها، سواء كنت بحاجة إلى حماية أجهزة IoT/OT الموجودة أو بناء الأمان في ابتكارات IoT الجديدة. |
| Azure Network Watcher | يوفر أدوات لمراقبة القياسات وتشخيصها وعرضها وتمكين أو تعطيل سجلات الموارد في Azure Virtual Network. تم تصميم Network Watcher لمراقبة وإصلاح شبكة منتجات IaaS التي تشمل الأجهزة الظاهرية والشبكات الظاهرية وبوابات التطبيقات وموازنات التحميل. |
| نهج Azure | يساعد على تطبيق المعايير التنظيمية وتقييم الامتثال على نطاق واسع. يستخدم Azure Policy سجلات الأنشطة، والتي يتم تمكينها تلقائياً لتضمين مصدر الحدث والتاريخ والمستخدم والطابع الزمني وعناوين المصدر وعناوين الوجهة وعناصر مفيدة أخرى. |
| البيانات والتطبيق | |
| Microsoft Defender للحاويات | حل سحابي أصلي يستخدم لتأمين الحاويات الخاصة بك حتى تتمكن من تحسين ومراقبة وصيانة أمان المجموعات والحاويات وتطبيقاتها. |
| Microsoft Defender for Cloud Apps | وسيط أمان الوصول إلى السحابة (CASB) يعمل على سحابة متعددة. فهو يوفر رؤية غنية، والتحكم في نقل البيانات، وتحليلات متطورة لتحديد ومكافحة التهديدات الإلكترونية عبر جميع الخدمات السحابية. |
التحقيق والاستجابة
| الخدمة | الوصف |
|---|---|
| Microsoft Sentinel | أدوات بحث واستعلام قوية للبحث عن تهديدات الأمان عبر مصادر بيانات مؤسستك. |
| سجلات ومقاييس Azure Monitor | يقدم حلاً شاملاً للتجميع والتحليل والعمل على القياس عن بُعد من السحابة والبيئات المحلية. تقوم Azure Monitor بجمع وتجميع البيانات من مجموعة متنوعة من المصادر في نظام أساسي للبيانات الشائعة حيث يمكن استخدامها للتحليل والتمثيل والتنبيه. |
| إدارة الهوية والوصول | |
| تقارير Azure AD ومراقبته | توفر تقارير Microsoft Entra طريقة عرض شاملة للنشاط في بيئتك. |
| تتيح لك مراقبة Microsoft Entra توجيه سجلات نشاط Microsoft Entra إلى نقاط نهاية مختلفة. | |
| محفوظات تدقيق Microsoft Entra PIM | يُظهر جميع تعيينات الأدوار والتنشيطات خلال الثلاثين يوماً الماضية لجميع الأدوار ذات الامتيازات. |
| البيانات والتطبيق | |
| Microsoft Defender for Cloud Apps | يوفر أدوات لاكتساب فهم أعمق لما يحدث في بيئة السحابة الخاصة بك. |
الخطوات التالية
تعرف على خيارات العزل في سحابة Azure لكل من المستخدمين الضارين وغير المؤذيين.