أفضل ممارسات الأمان التشغيلي من Azure
توفر هذه المقالة مجموعة من أفضل الممارسات التشغيلية لحماية البيانات والتطبيقات والأصول الأخرى في Azure.
تستند أفضل الممارسات إلى توافق الآراء، وتعمل مع قدرات النظام الأساسي الحالي لـ Azure ومجموعات الميزات. تتغير الآراء والتقنيات بمرور الوقت ويتم تحديث هذه المقالة بشكل منتظم لتعكس تلك التغييرات.
تحديد ونشر ممارسات أمان تشغيلية قوية
يشير أمان Azure التشغيلي إلى الخدمات وعناصر التحكم والميزات المتوفرة للمستخدمين لحماية بياناتهم وتطبيقاتهم وأصولهم الأخرى في Azure. يستند أمان Azure التشغيلي إلى إطار عمل يتضمن المعرفة المكتسبة من خلال الإمكانات الفريدة لشركة Microsoft، بما في ذلك دورة تطوير الأمان (SDL)، وبرنامج مركز استجابة خبراء الأمان من Microsoft، والوعي العميق بمشهد تهديد الأمان عبر الإنترنت.
فرض التحقق متعدد العوامل للمستخدمين
نوصي بأن تحتاجون إلى التحقق على خطوتين لجميع المستخدمين. ويشمل ذلك المسؤولين وغيرهم في مؤسستك الذين لهم تأثير كبير إذا تعرض حسابهم للخطر (على سبيل المثال، المسؤولون الماليون).
توجد خيارات متعددة تتطلب التحقق على خطوتين. يعتمد الخيار الأفضل بالنسبة لك على أهدافك، وإصدار Microsoft Entra الذي تقوم بتشغيله، وبرنامج الترخيص الخاص بك. انظر كيفية طلب التحقق على خطوتين لمستخدم لتحديد الخيار الأفضل لك. راجع صفحات تسعير Microsoft Entra ID وMicrosoft Entra Multifactor Authentication للحصول على مزيد من المعلومات حول التراخيص والتسعير.
فيما يلي خيارات ومزايا تمكين التحقق على خطوتين:
الخيار 1: تمكين المصادقة متعددة العوامل لجميع المستخدمين وأساليب تسجيل الدخول باستخدام Microsoft Entra Security Defaults Benefit: يمكنك هذا الخيار من فرض المصادقة متعددة العوامل بسهولة وسرعة لجميع المستخدمين في بيئتك باستخدام نهج صارم من أجل:
- تحدي الحسابات الإدارية وآليات تسجيل الدخول الإدارية
- طلب تحدي مصادقة متعددة العوامل (MFA) عبر Microsoft Authenticator لجميع المستخدمين
- قم بتقييد بروتوكولات المصادقة القديمة.
تتوفر هذه الطريقة لجميع طبقات الترخيص ولكنها غير قادرة على أن تكون مختلطة مع نهج Conditional Access الموجودة. يمكنك العثور على مزيد من المعلومات في الإعدادات الافتراضية لأمان Microsoft Entra
الخيار 2: تمكين المصادقة متعددة العوامل عن طريق تغيير حالة المستخدم.
الميزة: تلك هي الطريقة التقليدية التي تتطلب التحقق على خطوتين. يعمل مع كل من مصادقة Microsoft Entra متعددة العوامل في السحابة وخادم Azure Multi-Factor Authentication. يتطلب استخدام هذا الأسلوب من المستخدمين إجراء التحقق على خطوتين في كل مرة يقومون فيها بتسجيل الدخول وتجاوز نهج Conditional Access.
لتحديد مكان تمكين المصادقة متعددة العوامل، راجع ما هو إصدار مصادقة Microsoft Entra متعددة العوامل المناسب لمؤسستي؟.
الخيار 3: تمكين المصادقة متعددة العوامل باستخدام نهج الوصول المشروط. الميزة: يسمح لك هذا الخيار بمطالبة التحقق على خطوتين في ظل شروط محددة باستخدام Conditional Access. يمكن أن تكون الشروط المحددة هي تسجيل دخول المستخدم من مختلف المواقع أو أجهزة غير موثوق بها أو تطبيقات تعتبرها محفوفة بالمخاطر. يتيح لك تحديد شروط محددة حيث تحتاج إلى التحقق على خطوتين تجنب المطالبة المستمرة للمستخدمين، والتي يمكن أن تكون تجربة مستخدم غير مرضية.
هذه هي الطريقة الأكثر مرونة لتمكين إجراء التحقق على خطوتين للمستخدمين. يعمل تمكين نهج الوصول المشروط فقط مع مصادقة Microsoft Entra متعددة العوامل في السحابة وهو ميزة مميزة لمعرف Microsoft Entra. يمكنك العثور على مزيد من المعلومات حول هذا الأسلوب في نشر مصادقة Microsoft Entra متعددة العوامل المستندة إلى السحابة.
الخيار 4: تمكين المصادقة متعددة العوامل باستخدام نهج الوصول المشروط من خلال تقييم نهج الوصول المشروط المستندة إلى المخاطر.
الميزة: يمكنّك هذا الخيار من:
- الكشف عن الثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك.
- تكوين الاستجابات التلقائية للإجراءات المشبوهة المكتشفة المتعلقة بهويات مؤسستك.
- التحقيق في الحوادث المشبوهة واتخاذ الإجراءات المناسبة لحل تلك الحوادث.
يستخدم هذا الأسلوب تقييم مخاطر Microsoft Entra ID Protection لتحديد ما إذا كان التحقق على خطوتين مطلوبا بناء على مخاطر المستخدم وتسجيل الدخول لجميع التطبيقات السحابية. يتطلب هذا الأسلوب ترخيص Microsoft Entra ID P2. يمكنك العثور على مزيد من المعلومات حول هذا الأسلوب في Microsoft Entra ID Protection.
إشعار
الخيار 2، تمكين المصادقة متعددة العوامل عن طريق تغيير حالة المستخدم، يتجاوز نهج الوصول المشروط. نظرًا لأن الخيارين 3 و4 يستخدمان نهج Conditional Access، فلا يمكنك استخدام الخيار 2 معهم.
المؤسسات التي لا تضيف طبقات إضافية من حماية الهوية، مثل التحقق على خطوتين، أكثر عرضة لهجوم سرقة بيانات الاعتماد. يمكن أن يؤدي هجوم سرقة بيانات الاعتماد إلى اختراق البيانات.
إدارة كلمات مرور المستخدم ومراقبتها
يسرد الجدول التالي بعض أفضل الممارسات المتعلقة بإدارة كلمات مرور المستخدم:
أفضل الممارسات: تأكد من أن لديك المستوى المناسب من حماية كلمة المرور في السحابة.
التفاصيل: اتبع الإرشادات الواردة في إرشادات كلمة مرور Microsoft، والتي يتم تحديد نطاقها لمستخدمي النظام الأساسي للهويات في Microsoft (معرف Microsoft Entra، وActive Directory، وحساب Microsoft).
أفضل ممارسة: مراقبة الإجراءات المشبوهة المتعلقة بحسابات المستخدمين.
التفاصيل: مراقبة المستخدمين المعرضين للخطر وتسجيلات الدخول الخطرة باستخدام تقارير أمان Microsoft Entra.
أفضل الممارسات: الكشف عن كلمات المرور عالية المخاطر ومعالجتها تلقائيًا.
التفاصيل: Microsoft Entra ID Protection هي ميزة من ميزات إصدار Microsoft Entra ID P2 التي تمكنك من:
- الكشف عن الثغرات الأمنية المحتملة التي قد تؤثر على هويات مؤسستك
- تكوين الاستجابات التلقائية للإجراءات المريبة التي تم اكتشافها والمرتبطة بهويات المؤسسة الخاصة بك
- التحقيق في الحوادث المشبوهة واتخاذ الإجراءات المناسبة لحل تلك الحوادث
تلقي إعلامات بالحوادث من Microsoft
تأكد من أن فرق عمليات الأمان لديك تتلقى إعلامات حوادث Azure من Microsoft. يتيح إعلام الحدث لفريق الأمان لديك معرفة أن لديك موارد Azure معرضة للخطر حتى يتمكنوا من الاستجابة بسرعة للمخاطر الأمنية المحتملة ومعالجتها.
في مدخل تسجيل Azure، يمكنك ضمان أن معلومات جهة اتصال المسؤول تشتمل على تفاصيل تُعلم عمليات الأمان. معلومات جهة الاتصال هي عنوان بريد إلكتروني ورقم هاتف.
تنظيم اشتراكاتك على Azure في مجموعات الإدارة
إذا كانت مؤسستك تمتلك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والنُهج والامتثال لهذه الاشتراكات بكفاءة. توفر مجموعات إدارة Azure مستوى نطاق أعلى من الاشتراكات. تنظم الاشتراكات في حاويات تسمى مجموعات الإدارة وتطبق شروط الحوكمة الخاصة بك على مجموعات الإدارة. ترث جميع الاشتراكات داخل مجموعة الإدارة الشروط المطبقة على مجموعة الإدارة تلقائياً.
يمكنك إنشاء بنية مرنة لمجموعات الإدارة والاشتراكات في دليل. يُمنح لكل دليل مجموعة إدارة واحدة على مستوى عالٍ باسم مجموعة إدارة الجذر. تُدرج مجموعة إدارة الجذر هذه في التسلسل الهرمي لاستيعاب كافة مجموعات الإدارة والاشتراكات تسمح مجموعة إدارة الجذر هذه بتطبيق النُهج العمومية وتعيينات دور Azure على مستوى الدليل.
فيما يلي بعض أفضل الممارسات لاستخدام مجموعات الإدارة:
أفضل الممارسات: تأكد من أن الاشتراكات الجديدة تطبق عناصر الحوكمة مثل النُهج والأذونات عند إضافتها.
التفاصيل: استخدم مجموعة إدارة الجذر لتعيين عناصر الأمان على مستوى المؤسسة التي تنطبق على جميع أصول Azure. النُهج والأذونات هي أمثلة على العناصر.
أفضل الممارسات: مواءمة المستويات العليا لمجموعات الإدارة مع إستراتيجية التجزئة لتوفير نقطة للتحكم واتساق النهج داخل كل مقطع.
التفاصيل: إنشاء مجموعة إدارة واحدة لكل مقطع ضمن مجموعة إدارة الجذر. لا تقم بإنشاء أي مجموعات إدارة أخرى ضمن الجذر.
أفضل الممارسات: الحد من عمق مجموعة الإدارة لتجنب الارتباك الذي يعيق العمليات والأمان.
التفاصيل: حدد التدرج الهرمي الخاص بك بثلاثة مستويات، بما في ذلك الجذر.
أفضل الممارسات: حدد بعناية العناصر التي يجب تطبيقها على المؤسسة بأكملها مع مجموعة إدارة الجذر.
التفاصيل: تأكد من أن عناصر مجموعة إدارة الجذر لديها حاجة واضحة إلى تطبيقها عبر كل مورد وأنها منخفضة التأثير.
تتضمن الترشيحات الجيدة:
- المتطلبات التنظيمية التي لها تأثير واضح على الأعمال (على سبيل المثال، القيود المتعلقة بسيادة البيانات)
- المتطلبات ذات التأثير السلبي المحتمل شبه الصفري على العمليات، مثل النهج ذي تأثير التدقيق أو تعيينات أذونات Azure RBAC التي تمت مراجعتها بعناية
أفضل ممارسة: خطط بعناية لجميع التغييرات على مستوى المؤسسة واختبرها وتحقق من صحتها على مجموعة إدارة الجذر قبل تطبيقها (النُهج ونموذج Azure RBAC وما إلى ذلك).
التفاصيل: يمكن أن تؤثر التغييرات في مجموعة إدارة الجذر على كل مورد على Azure. في حين أنها توفر طريقة قوية لضمان الاتساق عبر المؤسسة، يمكن أن تؤثر الأخطاء أو الاستخدام غير الصحيح سلبًا على عمليات الإنتاج. اختبر جميع التغييرات على مجموعة إدارة الجذر في مختبر اختبار أو إصدار تجريبي للإنتاج.
تبسيط إنشاء البيئة باستخدام المخططات
تُمكِّن خدمة Azure Blueprints مهندسي السحابة ومجموعات تكنولوجيا المعلومات المركزية من تحديد مجموعة قابلة للتكرار من موارد Azure التي تنفذ معايير المؤسسة، وأنماطها، ومتطلباتها، وتتقيد بها. تتيح Azure Blueprints لفرق التطوير إنشاء بيئات جديدة والوقوف بسرعة مع مجموعة من المكونات المضمنة والثقة في أنها تنشئ تلك البيئات ضمن التوافق التنظيمي.
مراقبة خدمات التخزين للتغييرات غير المتوقعة في السلوك
من الممكن استكشاف الأخطاء وإصلاحها في تطبيق موزع مستضاف في بيئة سحابة أكثر تعقيدًا من البيئات التقليدية. يمكن نشر التطبيقات في البنية الأساسية PaaS أو IaaS أو في أماكن العمل أو على جهاز محمول أو في مجموعة من هذه البيئات. قد تجتاز نسبة استخدام الشبكة لتطبيقك الشبكات العامة والخاصة، وقد يستخدم تطبيقك تقنيات تخزين متعددة.
يجب عليك مراقبة خدمات التخزين التي يستخدمها تطبيقك باستمرار بحثًا عن أي تغييرات غير متوقعة في السلوك (مثل أوقات الاستجابة البطيئة). استخدم التسجيل لجمع بيانات أكثر تفصيلاً وتحليل المشكلات بعمق. تساعدك معلومات التشخيص التي تحصل عليها من كل من المراقبة والتسجيل على تحديد السبب الجذري للمشكلة التي واجهها تطبيقك. ثم يمكنك استكشاف المشكلة وإصلاحها وتحديد الخطوات المناسبة لحلها.
تقوم Azure Storage Analytics بإجراء التسجيل وتوفر بيانات المقاييس لحساب تخزين. نوصيك باستخدام هذه البيانات لتتبع الطلبات وتحليل اتجاهات الاستخدام وتشخيص المشكلات المتعلقة بحساب التخزين.
منع التهديدات وكشفها والاستجابة لها
يساعدك حل Microsoft Defender for Cloud في منع التهديدات واكتشافها والاستجابة لها من خلال توفير زيادة الرؤية (والتحكم في) أمان موارد Azure. يوفر مراقبة أمان متكاملة وإدارة سياسة عبر اشتراكات Azure، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع الحلول الأمنية المتنوعة.
يوفر المستوى المجاني من Defender for Cloud أمانا محدودا لمواردك في Azure بالإضافة إلى الموارد الممكنة بواسطة Arc خارج Azure. توسع ميزات أمان Enahanced هذه الإمكانات لتشمل إدارة المخاطر والثغرات الأمنية، بالإضافة إلى تقارير التوافق التنظيمي. تساعدك خطط Defender for Cloud في العثور على الثغرات الأمنية وإصلاحها، وتطبيق عناصر التحكم في الوصول والتطبيق لحظر النشاط الضار، والكشف عن التهديدات باستخدام التحليلات والتحليل الذكي، والاستجابة بسرعة عند التعرض للهجوم. يمكنك تجربة Defender for Cloud Standard دون أي تكلفة لأول 30 يوما. نوصي بتمكين ميزات الأمان المحسنة على اشتراكات Azure في Defender for Cloud.
استخدم Defender for Cloud للحصول على عرض مركزي لحالة الأمان لجميع مواردك في مراكز البيانات الخاصة بك وAzure والسحب الأخرى. في لمحة، تحقق من وجود عناصر التحكم الأمنية المناسبة وتكوينها بشكل صحيح، وتحديد أي موارد تحتاج إلى الاهتمام بسرعة.
يتكامل Defender for Cloud أيضا مع Microsoft Defender لنقطة النهاية، والذي يوفر قدرات شاملة للكشف عن نقطة النهاية والاستجابة (الكشف التلقائي والاستجابة على النقط النهائية). مع تكامل Microsoft Defender لنقطة النهاية، يمكنك اكتشاف التشوهات واكتشاف الثغرات الأمنية. يمكنك أيضًا اكتشاف الهجمات المتقدمة والاستجابة لها على نقاط نهاية الخادم التي يراقبها Defender for Cloud.
تمتلك جميع منظمات المؤسسة تقريبًا نظام إدارة معلومات الأمان والأحداث (SIEM) للمساعدة في تحديد التهديدات الناشئة من خلال دمج معلومات السجل من أجهزة جمع الإشارات المتنوعة. ثم يتم تحليل السجلات بواسطة نظام تحليل البيانات للمساعدة في تحديد ما هو "مثير للاهتمام" من الضوضاء التي لا مفر منها في جميع حلول جمع السجلات والتحليلات.
Microsoft Sentinel هو حل لإدارة معلومات الأمان والأحداث (SIEM) القابل للتطوير يعمل على السحابة واستجابة آلية لتنظيم الأمان (SOAR). يوفر Microsoft Sentinel تحليلات أمنية ذكية وتحليل ذكي للمخاطر، عبر الكشف عن التنبيهات ورؤية التهديد وعمليات التتبع الاستباقي والاستجابة للتهديدات الآلية.
فيما يلي بعض أفضل الممارسات لمنع التهديدات واكتشافها والاستجابة لها:
أفضل ممارسة: زيادة سرعة وقابلية التوسع لحل SIEM الخاص بك باستخدام SIEM المستندة إلى السحابة.
التفاصيل: تحقق من ميزات وإمكانات Microsoft Sentinel وقارنها بإمكانات ما تستخدمه حاليًا محليًا. فكر في استخدام Microsoft Sentinel إذا كان يلبي متطلبات SIEM الخاصة بمؤسستك.
أفضل ممارسة: ابحث عن أخطر الثغرات الأمنية حتى تتمكن من تحديد أولويات التحقيق.
التفاصيل: راجع درجة أمان Azure للاطلاع على التوصيات الناتجة من نُهج ومبادرات Azure المضمنة في Microsoft Defender for Cloud. تساعد هذه التوصيات في معالجة أهم المخاطر مثل تحديثات الأمان وحماية نقطة النهاية والتشفير وتكوينات الأمان وWAF المفقودة والأجهزة الظاهرية المتصلة بالإنترنت وغيرها الكثير.
تتيح درجة الأمان، والتي تستند إلى عناصر تحكم مركز أمان الإنترنت (CIS)، قياس أمان Azure للمؤسسة مقابل المصادر الخارجية. يساعد التحقق الخارجي في التحقق من صحة إستراتيجية الأمان لفريقك وإثرائها.
أفضل ممارسة: مراقبة وضع الأمان للأجهزة والشبكات وخدمات التخزين والبيانات والتطبيقات لاكتشاف مشكلات الأمان المحتملة.
التفاصيل: اتبع توصيات الأمان في Defender for Cloud بدءًا من العناصر ذات الأولوية القصوى.
أفضل ممارسة: دمج تنبيهات Defender for Cloud في حل إدارة معلومات الأمان والأحداث (SIEM) لديك.
التفاصيل: تستخدمه معظم المؤسسات التي تمتلك SIEM كمقاصة مركزية للتنبيهات الأمنية التي تتطلب استجابة المحلل. تُنشر الأحداث المعالجة التي ينتجها Defender for Cloud إلى سجل نشاط Azure، وهو أحد أنواع السجلات المتوفرة من خلال Azure Monitor. يقدم Azure Monitor تدفقًا مجمعًا لتوجيه أي من بيانات المراقبة الخاصة بك أداة إدارة معلومات الأمان والأحداث. راجع تنبيهات دفق البيانات إلى حل إدارة خدمة SIEM أو SOAR أو تكنولوجيا المعلومات للحصول على إرشادات. إذا كنت تستخدم Microsoft Sentinel، فراجع الاتصال بـ Microsoft Defender for Cloud.
أفضل ممارسة: دمج سجلات Azure مع SIEM الخاصة بك.
التفاصيل: استخدم Azure Monitor لجمع البيانات وتصديرها. هذه الممارسة ضرورية لتمكين التحقيق في الحوادث الأمنية، والاحتفاظ بالسجل عبر الإنترنت محدود. إذا كنت تستخدم Microsoft Sentinel، فراجع الاتصال بمصادر البيانات.
أفضل ممارسة: تسريع عمليات التحقيق والتتبع وتقليل الإيجابيات الزائفة من خلال تكامل إمكانات الكشف عن تهديدات نقاط النهاية والرد عليها (EDR) في التحقيق في الهجوم.
التفاصيل: تمكين تكامل Microsoft Defender لنقطة النهاية عبر نهج أمان Defender for Cloud. ضع في اعتبارك استخدام Microsoft Sentinel لتتبع التهديدات والرد على الحوادث.
مراقبة الشبكة المستندة إلى السيناريو الشامل
ينشئ العملاء شبكة شاملة في Azure من خلال الجمع بين موارد الشبكة مثل شبكة ظاهرية وExpressRoute وApplication Gateway وموازنات التحميل. تتوفر المراقبة على كل مورد من موارد الشبكة.
Azure Network Watcher هي خدمة إقليمية. استخدم أدوات التشخيص والتصور الخاصة به لمراقبة الحالات وتشخيصها على مستوى سيناريو الشبكة في Azure ومنها وإليها.
فيما يلي أفضل الممارسات لمراقبة الشبكة والأدوات المتوفرة.
أفضل ممارسة: التشغيل التلقائي لمراقبة الشبكة عن بُعد مع التقاط حزمة البيانات.
التفاصيل: مراقبة وتشخيص مشكلات الشبكة دون تسجيل الدخول إلى أجهزتك الظاهرية باستخدام Network Watcher. بادر بتشغيل التقاط حزمة البيانات عن طريق إعداد التنبيهات، والوصول إلى معلومات الأداء في الوقت الحقيقي على مستوى حزمة البيانات. عندما ترى مشكلة، يمكنك التحقيق بالتفصيل من أجل تشخيصٍ أفضل.
أفضل ممارسة: الوصول لتفاصيل أكثر حول نسبة استخدام الشبكة باستخدام سجلات التدفق.
التفاصيل: بناء فهم أعمق لأنماط نسبة استخدام الشبكة باستخدام سجلات تدفق مجموعة أمان الشبكة. تساعدك المعلومات في سجلات التدفق على جمع البيانات من أجل الامتثال لملف تعريف أمان الشبكة ومراقبته وتدقيقه.
أفضل ممارسة: تشخيص مشكلات اتصال VPN.
التفاصيل: استخدم Network Watcher لتتمكن من تشخيص مشكلات بوابة VPN والاتصالات الأكثر شيوعًا. لا يمكنك تحديد المشكلة فحسب، بل يمكنك أيضًا استخدام السجلات التفصيلية لمزيد من التحقيق.
التوزيع الآمن باستخدام أدوات DevOps المثبتة
استخدم أفضل ممارسات DevOps التالية للتأكد من أن مؤسستك وفرقك منتجة وفعالة.
أفضل ممارسة: أتمتة بناء الخدمات ونشرها.
التفاصيل: البنية الأساسية بوصفها تعليمة برمجية هي مجموعة من التقنيات والممارسات التي تساعد محترفي تكنولوجيا المعلومات في إزالة عبء البناء اليومي وإدارة البنية الأساسية النمطية. فهو يمكّن محترفي تكنولوجيا المعلومات من بناء وصيانة بيئة الخادم الحديثة الخاصة بهم بطريقة تشبه كيفية إنشاء مطوري البرامج للتعليمات البرمجية للتطبيق وصيانتها.
يمكنك استخدام Azure Resource Manager لتوفير تطبيقاتك باستخدام قالب تعريفي. في قالب واحد، يمكنك نشر خدمات متعددة جنبًا إلى جنب مع تبعياتها. تستخدم القوالب نفسها لنشر تطبيقك بصورة متكررة في كل مرحلة من مراحل دورة حياة التطبيق.
أفضل ممارسة: إنشاء تطبيقات الويب أو الخدمات السحابية ونشرها تلقائيًا في Azure.
التفاصيل: يمكنك تكوين مشاريع Azure DevOps الخاصة بك لإنشاء تطبيقات الويب أو الخدمات السحابية ونشرها تلقائيًا. يقوم Azure DevOps تلقائيًا بتوزيع الثنائيات بعد إجراء بنية إلى Azure بعد كل إيداع للتعليمات البرمجية. عملية إنشاء الحزمة تعادل أمر الحزمة في Visual Studio، وخطوات النشر مكافئة للأمر Publish في Visual Studio.
أفضل ممارسة: أتمتة إدارة الإصدار.
التفاصيل: البنى الأساسية لبرنامج ربط العمليات التجارية في Azure هو حل لأتمتة التوزيع متعدد المراحل وإدارة عملية الإصدار. إنشاء البنى الأساسية لبرنامج ربط العمليات التجارية للنشر المستمر المُدار للإصدار بسرعة وسهولة وغالبًا. باستخدام البنى الأساسية لبرنامج ربط العمليات التجارية في Azure، يمكنك أتمتة عملية الإصدار الخاصة بك، ويمكنك الحصول على مهام سير عمل موافقة محددة مسبقًا. انشر محليًا وإلى السحابة، وقم بتوسيعها وتخصيصها حسب الحاجة.
أفضل ممارسة: تحقق من أداء التطبيق الخاص بك قبل تشغيله أو توزيع التحديثات في الإنتاج.
التفاصيل: قم بتشغيل اختبارات التحميل المستندة إلى السحابة من أجل:
- ابحث عن مشاكل في الأداء في تطبيقك.
- تحسين جودة النشر.
- تأكد من أن تطبيقك متوفر دائمًا.
- تأكد من أن تطبيقك يمكنه التعامل مع نسبة استخدام الشبكة لحملة التشغيل أو التسويق التالية.
Apache JMeter هي أداة مصدر مفتوح مجانية وشعبية مع دعم قوي للمجتمع.
أفضل ممارسة: مراقبة أداء التطبيق.
التفاصيل: Azure Application Insights هي خدمة إدارة أداء التطبيقات القابلة للتوسيع (APM) لمطوري الويب على أنظمة أساسية متعددة. استخدم Application Insights لمراقبة تطبيق الويب المباشر الخاص بك. يكتشف تلقائيًا الحالات الخارجة عن المألوف في الأداء. كما تتضمن أدوات تحليلات لمساعدتك في تشخيص المشكلات وفهم ما يفعله المستخدمون بالفعل بتطبيقك. إنه مصمم لمساعدتك على تحسين الأداء بشكل مستمر وسهولة الاستخدام.
التخفيف والحماية من DDoS
رفض الخدمة الموزع (DDoS) هو نوع من الهجوم الذي يحاول استنفاد موارد التطبيق. الهدف هو التأثير على توفر التطبيق وقدرته على التعامل مع الطلبات المشروعة. أصبحت هذه الهجمات أكثر تطورًا وأكبر من حيث الحجم والتأثير. يمكن استهدافها في أي نقطة نهاية يمكن الوصول إليها بشكل عام عبر الإنترنت.
يتطلب تصميم وبناء مرونة DDoS التخطيط والتصميم لمجموعة متنوعة من أوضاع الفشل. فيما يلي أفضل الممارسات لبناء خدمات مرنة لـ DDoS على Azure.
أفضل ممارسة: تأكد من أن الأمن أولوية طوال دورة حياة التطبيق بأكملها، من التصميم والتنفيذ إلى النشر والعمليات. يمك أن يكون لدى التطبيقات أخطاء تسمح لحجم منخفض نسبيًا من الطلبات باستخدام الكثير من الموارد، ما يؤدي إلى انقطاع الخدمة.
التفاصيل: للمساعدة في حماية خدمة تعمل على Microsoft Azure، يجب أن يكون لديك فهم جيد لبنية التطبيق والتركيز على الركائز الخمس لجودة البرامج. يجب أن تعرف وحدات تخزين حركة المرور النموذجية، ونموذج الاتصال بين التطبيق والتطبيقات الأخرى، ونقاط نهاية الخدمة التي تتعرض للإنترنت العام.
التأكد من أن التطبيق مرن بما فيه الكفاية لمعالجة رفض الخدمة المستهدفة عند التطبيق نفسه هو الأكثر أهمية. يتم تضمين ميزات الأمان والخصوصية في النظام الأساسي Azure، بدءًا من دورة حياة تطوير الأمان من Microsoft (SDL). يعالج SDL الأمان في كل مرحلة تطوير ويضمن تحديث Azure باستمرار لجعله أكثر أماناً.
أفضل ممارسة: تصميم التطبيقات الخاصة بك لتوسيع النطاق أفقيًا لتلبية متطلبات حمولة مكبرة على وجه التحديد، في حالة هجوم DDoS. إذا كان التطبيق يعتمد على مثيل واحد من الخدمة، فإنه ينشئ نقطة فشل واحدة. إن توفير مثيلات متعددة يجعل النظام أكثر مرونة وقابلية للتوسع.
التفاصيل: بالنسبة لخدمة تطبيقات Azure، حدد خطة لخدمة التطبيقات التي تقدم مثيلات متعددة.
بالنسبة لخدمات السحابة في Azure، كوّن كل دور من أدوارك بحيث يستخدم مثيلات متعددة.
بالنسبة إلى الأجهزة الظاهرية لـ Azure تأكد من أن بنية الجهاز الظاهري تتضمن أكثر من جهاز ظاهري واحد وأن كل جهاز ظاهري مضمن في مجموعة متوفرة. نوصي باستخدام مجموعات مقياس الجهاز الظاهري لقدرات التحجيم التلقائي.
أفضل ممارسة: طبقات الدفاعات الأمنية في تطبيق للحد من فرصة هجوم ناجح. تنفيذ تصميمات آمنة لتطبيقاتك باستخدام القدرات المضمنة للنظام الأساسي لـ Azure.
التفاصيل: يزيد خطر الهجوم مع حجم (مساحة السطح) التطبيق. يمكنك تقليل مساحة السطح باستخدام قوائم السماح لإغلاق مساحة عنوان IP المكشوفة ومنافذ الاستماع غير مطلوبة على موازنات التحميل (موازنة التحميل Azure وبوابة تطبيق Azure).
مجموعات أمان الشبكة هي طريقة أخرى لتقليل سطح الهجوم. يمكنك استخدام علامات الخدمة ومجموعات أمان التطبيقات لتقليل التعقيد لإنشاء قواعد الأمان وتكوين أمان الشبكة، كامتداد طبيعي لبنية التطبيق.
يجب توزيع خدمات Azure في شبكة ظاهريةكلما أمكن ذلك. تسمح هذه الممارسة للموارد المتعلقة بالخدمة بالاتصال من خلال عناوين IP الخاصة. تستخدم نسبة استخدام الشبكة لخدمة Azure من شبكة ظاهرية عناوين IP العامة كعناوين IP المصدر بشكل افتراضي.
باستخدام نقاط نهاية الخدمة، يتم تبديل نسبة استخدام الشبكة للخدمة لاستخدام عناوين الشبكة الظاهرية الخاصة كعناوين IP المصدر عند الوصول إلى خدمة Azure من شبكة ظاهرية.
غالبًا ما نرى موارد العملاء المحلية تتعرض للهجوم مع مواردهم في Azure. إذا كنت تقوم بتوصيل بيئة محلية بـ Azure، يجب تقليص تعرض الموارد المحلية للإنترنت العام.
يحتوي Azure على عرضين من عروض خدمة DDoS التي توفر الحماية من هجمات الشبكة:
- تم دمج الحماية الأساسية في Azure بشكل افتراضي دون أي تكلفة إضافية. يوفر نطاق وقدرة شبكة Azure المنتشرة عمومياً دفاعاً ضد هجمات طبقة الشبكة الشائعة من خلال مراقبة حركة المرور دائماً والتخفيف في الوقت الفعلي. لا يتطلب الأساسي أي تغييرات في تكوين المستخدم أو التطبيق ويساعد في حماية جميع خدمات Azure، بما في ذلك خدمات PaaS مثل Azure DNS.
- توفر الحماية القياسية قدرات متقدمة للتخفيف من DDoS ضد هجمات الشبكة. يتم ضبطها تلقائيًا لحماية موارد Azure المحددة. الحماية بسيطة لتمكينها أثناء إنشاء شبكات ظاهرية. يمكن أيضًا القيام بها بعد الإنشاء ولا يتطلب أي تغييرات في التطبيق أو المورد.
تمكين نهج Azure
نهج Azure هو خدمة في Azure تستخدمها لإنشاء النُهج وتعيينها وإدارتها. تفرض هذه النُهج قواعد وتأثيرات على مواردك، بحيث تظل هذه الموارد متوافقة مع معايير الشركة واتفاقيات مستوى الخدمة. تستوفي سياسة Azure هذه الحاجة من خلال تقييم مواردك لعدم الامتثال للسياسات المعينة.
تمكين نهج Azure لمراقبة النهج المكتوب لمؤسستك وفرضه. سيضمن ذلك الامتثال لمتطلبات الأمان التنظيمية أو شركتك من خلال إدارة نُهج الأمان مركزيًا عبر أحمال العمل السحابية المختلطة. تعرف على كيفية إنشاء النُهج وإدارتها لفرض التوافق. راجع بنية تعريف نهج Azure للحصول على نظرة عامة على عناصر النهج.
فيما يلي بعض أفضل ممارسات الأمان التي يجب اتباعها بعد اعتماد نهج Azure:
أفضل ممارسة: يدعم النهج عدة أنواع من التأثيرات. يمكنك القراءة عنها في بنية تعريف نهج Azure. يمكن أن تتأثر العمليات التجارية سلبًا بتأثير الرفض وتأثير المعالجة، لذا ابدأ بتأثير التدقيق للحد من مخاطر التأثير السلبي من النهج.
التفاصيل: ابدأ عمليات نشر النهج في وضع التدقيق ثم تقدم لاحقًا للرفض أو المعالجة. اختبر نتائج تأثير التدقيق وراجعها قبل الانتقال إلى الرفض أو المعالجة.
لمزيدٍ من المعلومات، راجع إنشاء نُهج فرض التوافق وإدارتها.
أفضل ممارسة: تحديد الأدوار المسؤولة عن رصد انتهاكات النهج وضمان اتخاذ إجراءات المعالجة الصحيحة بسرعة.
التفاصيل: لديك توافق مراقبة الدور المعين من خلال مدخل Azure أو عبر سطر الأوامر.
أفضل ممارسة: نهج Azure هو تمثيل تقني للنُهج المكتوبة للمؤسسة. تعيين جميع تعريفات نهج Azure إلى النُهج التنظيمية لتقليل الارتباك وزيادة التناسق.
التفاصيل: تعيين المستند في وثائق مؤسستك أو في تعريف نهج Azure نفسه عن طريق إضافة مرجع إلى النهج التنظيمي في تعريف النهج أو وصف تعريف المبادرة.
مراقبة تقارير مخاطر Microsoft Entra
تحدث غالبية الخروقات الأمنية عندما يتمكن المهاجمون من الوصول إلى بيئة عن طريق سرقة هوية مستخدم. اكتشاف الهويات للخطر ليست مهمة سهلة. يستخدم معرف Microsoft Entra خوارزميات التعلم الآلي التكيفية والاستدلالات للكشف عن الإجراءات المشبوهة المتعلقة بحسابات المستخدمين. يتم تخزين كل إجراء مشبوه تم اكتشافه في سجل يسمى الكشف عن المخاطر. يتم تسجيل عمليات الكشف عن المخاطر في تقارير أمان Microsoft Entra. للحصول على معلومات، اقرأ حول تقرير أمان المستخدمين المعرضين للخطر وتقرير أمان عمليات تسجيل الدخول المحفوفة بالمخاطر.
الخطوات التالية
راجع أفضل ممارسات وأنماط أمان Azure لمزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم الحلول السحابية وتوزيعها وإدارتها باستخدام Azure.
تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول أمان Azure وخدمات Microsoft ذات الصلة:
- مدونة فريق Azure Security - للحصول على معلومات محدثة عن أحدث إصدار في Azure Security
- Microsoft Security Response Center - حيث يمكن الإبلاغ عن الثغرات الأمنية من Microsoft، بما في ذلك المشكلات المتعلقة بـ Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ