Sdílet prostřednictvím


Úvod do zabezpečení Azure

Přehled

Víme, že zabezpečení je úloha v cloudu a jak důležité je najít přesné a včasné informace o zabezpečení Azure. Jedním z nejlepších důvodů, proč používat Azure pro vaše aplikace a služby, je využít široké škály nástrojů a možností zabezpečení. Tyto nástroje a možnosti pomáhají vytvářet zabezpečená řešení na zabezpečené platformě Azure. Microsoft Azure poskytuje důvěrnost, integritu a dostupnost zákaznických dat a zároveň umožňuje transparentní odpovědnost.

Tento článek obsahuje komplexní přehled o zabezpečení, které je k dispozici v Azure.

Platforma Azure

Azure je platforma veřejných cloudových služeb, která podporuje široký výběr operačních systémů, programovacích jazyků, architektur, nástrojů, databází a zařízení. Může spouštět kontejnery Linuxu s integrací Dockeru; vytváření aplikací pomocí JavaScriptu, Pythonu, .NET, PHP, Javy a Node.js; sestavte back-endy pro zařízení s iOSem, Androidem a Windows.

Veřejné cloudové služby Azure podporují stejné technologie, které miliony vývojářů a IT specialistů už využívají a důvěřují jim. Při sestavování nebo migraci IT prostředků do poskytovatele veřejných cloudových služeb spoléháte na schopnosti dané organizace chránit vaše aplikace a data pomocí služeb a kontrolních mechanismů, které poskytují ke správě zabezpečení cloudových prostředků.

Infrastruktura Azure je navržená od zařízení až po aplikace pro hostování milionů zákazníků současně a poskytuje důvěryhodný základ, na kterém můžou firmy splňovat požadavky na zabezpečení.

Kromě toho azure nabízí širokou škálu konfigurovatelných možností zabezpečení a možnost jejich řízení, abyste mohli přizpůsobit zabezpečení tak, aby splňovalo jedinečné požadavky nasazení vaší organizace. Tento dokument vám pomůže pochopit, jak vám můžou možnosti zabezpečení Azure pomoct splnit tyto požadavky.

Poznámka:

Primárním cílem tohoto dokumentu je ovládací prvky, které můžete použít k přizpůsobení a zvýšení zabezpečení pro vaše aplikace a služby.

Informace o tom, jak Microsoft zabezpečuje samotnou platformu Azure, najdete v tématu Zabezpečení infrastruktury Azure.

Shrnutí možností zabezpečení Azure

V závislosti na modelu cloudové služby je proměnlivá odpovědnost za to, kdo zodpovídá za správu zabezpečení aplikace nebo služby. Na platformě Azure jsou k dispozici funkce, které vám pomůžou při plnění těchto zodpovědností prostřednictvím integrovaných funkcí a prostřednictvím partnerských řešení, která je možné nasadit do předplatného Azure.

Integrované funkce jsou uspořádané do šesti funkčních oblastí: operace, aplikace, úložiště, sítě, výpočetní prostředky a identita. Další podrobnosti o funkcích a možnostech dostupných na platformě Azure v těchto šesti oblastech najdete prostřednictvím souhrnných informací.

Operace

Tato část obsahuje další informace týkající se klíčových funkcí operací zabezpečení a souhrnných informací o těchto možnostech.

Microsoft Sentinel

Microsoft Sentinel je škálovatelné, nativní cloudové řešení, správa informací o zabezpečení a událostech (SIEM) a orchestrace zabezpečení, automatizace a reakce (SOAR). Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku a poskytuje jediné řešení pro detekci útoků, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby.

Microsoft Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně, a to se zvýšenou viditelností a kontrolou zabezpečení vašich prostředků Azure. Poskytuje integrované bezpečnostní sledování a správu zásad ve vašich předplatných Azure, pomáhá zjišťovat hrozby, kterých byste si jinak nevšimli, a spolupracuje s řadou řešení zabezpečení.

Defender for Cloud navíc pomáhá s operacemi zabezpečení tím, že poskytuje jeden řídicí panel, který zobrazí výstrahy a doporučení, která se dají okamžitě reagovat. Často můžete řešit problémy jediným kliknutím v konzole Defender for Cloud.

Azure Resource Manager

Azure Resource Manager umožňuje pracovat s prostředky ve vašem řešení jako se skupinou. Všechny prostředky pro vaše řešení můžete nasadit, aktualizovat nebo odstranit v rámci jediné koordinované operace. K nasazení použijete šablonu Azure Resource Manageru a tato šablona může fungovat pro různá prostředí, jako je testování, příprava a produkce. Resource Manager poskytuje funkce zabezpečení, auditování a označování, které vám po nasazení pomohou prostředky spravovat.

Nasazení založená na šablonách Azure Resource Manageru pomáhají zlepšit zabezpečení řešení nasazených v Azure, protože standardní nastavení řízení zabezpečení a je možné je integrovat do standardizovaných nasazení založených na šablonách. To snižuje riziko chyb konfigurace zabezpečení, ke kterým může dojít během ručního nasazení.

Application Insights

Application Insights je rozšiřitelná služba APM (Application Performance Management) pro webové vývojáře. Pomocí Application Insights můžete monitorovat živé webové aplikace a automaticky zjišťovat anomálie výkonu. Obsahuje výkonné analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, co uživatelé ve skutečnosti dělají s vašimi aplikacemi. Monitoruje vaši aplikaci po celou dobu, kdy je spuštěná, a to jak během testování, tak po publikování nebo nasazení aplikace.

Application Insights vytváří grafy a tabulky, které vám například ukážou, kdy dostanete většinu uživatelů, jak reaguje aplikace a jak dobře ji obsluhují všechny externí služby, na které závisí.

Pokud dojde k chybám, selháním nebo problémům s výkonem, můžete podrobně prohledat telemetrická data a diagnostikovat příčinu. A služba vám pošle e-maily, pokud dojde ke změnám dostupnosti a výkonu vaší aplikace. Application Insight se tak stává cenným nástrojem zabezpečení, protože pomáhá s dostupností v triádě zabezpečení důvěrnosti, integrity a dostupnosti.

Azure Monitor

Azure Monitor nabízí vizualizaci, dotazování, směrování, upozorňování, automatické škálování a automatizaci dat z předplatného Azure (protokol aktivit) i jednotlivých prostředků Azure (protokolů prostředků). Azure Monitor můžete použít k upozorňování na události související se zabezpečením, které se generují v protokolech Azure.

Protokoly Azure Monitoru

Protokoly Služby Azure Monitor – Kromě prostředků Azure poskytuje řešení pro správu IT pro místní i cloudovou infrastrukturu třetích stran (například AWS). Data ze služby Azure Monitor je možné směrovat přímo do protokolů služby Azure Monitor, abyste viděli metriky a protokoly pro celé prostředí na jednom místě.

Protokoly azure Monitoru můžou být užitečným nástrojem pro forenzní a další analýzu zabezpečení, protože nástroj umožňuje rychle vyhledávat velké množství položek souvisejících se zabezpečením pomocí flexibilního přístupu k dotazům. Kromě toho je možné exportovat místní protokoly brány firewall a proxy serveru do Azure a zpřístupnit je k analýze pomocí protokolů služby Azure Monitor.

Azure Advisor

Azure Advisor je individuální cloudový konzultant, který vám pomůže optimalizovat nasazení Azure. Analyzuje telemetrii využití a konfiguraci prostředků. Pak doporučí řešení, která vám pomůžou zlepšit výkon, zabezpečení a spolehlivost vašich prostředků a zároveň hledat příležitosti ke snížení celkové útraty za Azure. Azure Advisor poskytuje doporučení zabezpečení, která můžou výrazně zlepšit celkový stav zabezpečení pro řešení, která nasazujete v Azure. Tato doporučení vycházejí z analýzy zabezpečení prováděné programem Microsoft Defender for Cloud.

Aplikace

Tato část obsahuje další informace týkající se klíčových funkcí zabezpečení aplikací a souhrnných informací o těchto možnostech.

Penetrační testování

Neprovádíme penetrační testování vaší aplikace za vás, ale chápeme, že chcete a potřebujete provést testování na vlastních aplikacích. To je dobrá věc, protože když vylepšíte zabezpečení aplikací, pomůžete tím zvýšit zabezpečení celého ekosystému Azure. Oznámení Microsoftu o aktivitách testování pera už není nutné, aby zákazníci stále dodržovali pravidla testování průniku do cloudu Společnosti Microsoft.

Firewall webových aplikací

Firewall webových aplikací (WAF) ve službě Aplikace Azure lication Gateway pomáhá chránit webové aplikace před běžnými webovými útoky, jako jsou injektáž SQL, skriptování mezi weby a napadení relací. Je předem nakonfigurovaná s ochranou před hrozbami identifikovanými projektem OWASP (Open Web Application Security Project) jako 10 nejčastějších ohrožení zabezpečení.

Ověřování a autorizace v prostředí Azure App Service

Ověřování nebo autorizace služby App Service je funkce, která vaší aplikaci poskytuje způsob, jak se přihlásit uživatele, abyste nemuseli měnit kód v back-endu aplikace. Poskytuje snadný způsob, jak chránit aplikaci a pracovat s uživatelskými daty.

Architektura vrstveného zabezpečení

Vzhledem k tomu, že služba App Service Environment poskytuje izolované běhové prostředí nasazené ve službě Azure Virtual Network, můžou vývojáři vytvořit vrstvenou architekturu zabezpečení poskytující různé úrovně síťového přístupu pro každou aplikační vrstvu. Běžnou tíhou je skrýt back-endy rozhraní API před obecným přístupem k internetu a povolit volání rozhraní API pouze upstreamovými webovými aplikacemi. Skupiny zabezpečení sítě (NSG) je možné použít v podsítích služby Azure Virtual Network obsahujících službu App Service Environment k omezení veřejného přístupu k aplikacím API.

Diagnostika webového serveru a diagnostika aplikací

Webové aplikace App Service poskytují diagnostické funkce pro protokolování informací z webového serveru i webové aplikace. Ty jsou logicky odděleny do diagnostiky webového serveru a diagnostiky aplikací. Webový server obsahuje dva hlavní pokroky při diagnostice a řešení potíží s weby a aplikacemi.

První nová funkce je informace o stavu aplikací, pracovních procesů, webů, domén aplikací a spouštění požadavků v reálném čase. Druhou novými výhodami jsou podrobné události trasování, které sledují požadavek během celého procesu žádosti a odpovědi.

Aby bylo možné povolit shromažďování těchto událostí trasování, je možné službu IIS 7 nakonfigurovat tak, aby automaticky zaznamenávala protokoly úplného trasování ve formátu XML pro každý konkrétní požadavek na základě uplynulých časových nebo chybových kódů odpovědí.

Úložiště

Tato část obsahuje další informace týkající se klíčových funkcí zabezpečení úložiště Azure a souhrnných informací o těchto funkcích.

Řízení přístupu na základě role Azure (Azure RBAC)

Účet úložiště můžete zabezpečit pomocí řízení přístupu na základě role v Azure (Azure RBAC). Omezení přístupu na základě potřeby znát a zásady zabezpečení s nejnižšími oprávněními je nezbytné pro organizace, které chtějí vynutit zásady zabezpečení pro přístup k datům. Tato přístupová práva jsou udělena přiřazením příslušné role Azure skupinám a aplikacím v určitém rozsahu. K přiřazení oprávnění uživatelům můžete použít předdefinované role Azure, jako je přispěvatel účtu úložiště. Přístup k klíčům úložiště pro účet úložiště pomocí modelu Azure Resource Manager je možné řídit prostřednictvím Azure RBAC.

Sdílený přístupový podpis

Sdílený přístupový podpis (SAS) poskytuje delegovaný přístup k prostředkům ve vašem účtu úložiště. SAS znamená, že můžete klientovi udělit omezená oprávnění k objektům ve vašem účtu úložiště po určitou dobu a se zadanou sadou oprávnění. Tato omezená oprávnění můžete udělit, aniž byste museli sdílet přístupové klíče k účtu.

Šifrování během přenosu

Šifrování při přenosu je mechanismus ochrany dat při přenosu mezi sítěmi. Se službou Azure Storage můžete zabezpečit data pomocí:

Šifrování neaktivních uložených dat

V mnoha organizacích je šifrování neaktivních uložených dat povinným krokem k ochraně osobních údajů, dodržování předpisů a suverenitě dat. Existují tři funkce zabezpečení úložiště Azure, které poskytují šifrování neaktivních uložených dat:

Storage Analytics

Azure Analýza úložiště provádí protokolování a poskytuje data metrik pro účet úložiště. Tato data můžete použít k trasování požadavků, analýze trendů použití a diagnostice problémů s účtem úložiště. Analýza úložiště protokoluje podrobné informace o úspěšných a neúspěšných požadavcích na službu úložiště. Tyto informace je možné použít k monitorování jednotlivých požadavků a diagnostice problémů se službou úložiště. Požadavky se protokolují na základě maximálního úsilí. Protokolují se následující typy ověřovaných požadavků:

  • Úspěšné požadavky.
  • Neúspěšné požadavky, včetně vypršení časového limitu, omezování, sítě, autorizace a dalších chyb
  • Požadavky využívající sdílený přístupový podpis (SAS), včetně neúspěšných a úspěšných požadavků.
  • Požadavky na analytická data

Povolení klientů založených na prohlížeči pomocí CORS

Sdílení prostředků mezi zdroji (CORS) je mechanismus, který umožňuje ostatním doménám udělit oprávnění pro přístup k prostředkům mezi sebou. Uživatelský agent odesílá další hlavičky, aby zajistil, že kód JavaScriptu načtený z určité domény má povolený přístup k prostředkům umístěným v jiné doméně. Druhá doména pak odpoví dalšími hlavičkami, které povolují nebo zakazují přístup k původním prostředkům domény.

Služby Azure Storage teď podporují CORS, takže jakmile nastavíte pravidla CORS pro službu, vyhodnotí se správně ověřený požadavek vůči službě z jiné domény, abyste zjistili, jestli je povolená podle vámi zadaných pravidel.

Sítě

Tato část obsahuje další informace o klíčových funkcích zabezpečení sítě Azure a souhrnných informací o těchto možnostech.

Ovládací prvky síťové vrstvy

Řízení přístupu k síti je omezení připojení k určitým zařízením nebo podsítím a představuje jádro zabezpečení sítě. Cílem řízení přístupu k síti je zajistit, aby vaše virtuální počítače a služby byly přístupné jenom uživatelům a zařízením, kterým chcete přístup.

Network Security Groups (Skupiny zabezpečení sítě)

Skupina zabezpečení sítě (NSG) je základní stavová brána firewall pro filtrování paketů a umožňuje řídit přístup na základě řazené kolekce členů. Skupiny zabezpečení sítě neposkytují kontrolu aplikační vrstvy ani ověřené řízení přístupu. Dají se použít k řízení provozu mezi podsítěmi v rámci virtuální sítě Azure a přenosy mezi virtuální sítí Azure a internetem.

Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Zajišťuje kontrolu provozu na východ-západ i sever-jih.

Azure Firewall se nabízí ve dvou SKU: Standard a Premium. Azure Firewall Standard poskytuje filtry L3-L7 a informační kanály analýzy hrozeb přímo od Microsoft Cyber Security. Azure Firewall Premium poskytuje pokročilé funkce, včetně zprostředkovatele identity založeného na podpisu, který umožňuje rychlou detekci útoků vyhledáním konkrétních vzorů.

Řízení tras a vynucené tunelování

Schopnost řídit chování směrování ve virtuálních sítích Azure je důležitá schopnost zabezpečení sítě a řízení přístupu. Pokud například chcete zajistit, aby veškerý provoz do a z vaší virtuální sítě Azure procházel přes toto virtuální zařízení zabezpečení, musíte mít možnost řídit a přizpůsobit chování směrování. Můžete to provést konfigurací tras definovaných uživatelem v Azure.

Trasy definované uživatelem umožňují přizpůsobit příchozí a odchozí cesty pro provoz směřující do a z jednotlivých virtuálních počítačů nebo podsítí, abyste zajistili nejbezpečnější možnou trasu. Vynucené tunelování je mechanismus, který můžete použít k zajištění, že vaše služby nesmí inicializovat připojení k zařízením na internetu.

To se liší od schopnosti přijímat příchozí připojení a reagovat na ně. Front-endové webové servery musí odpovídat na požadavky z internetových hostitelů, a proto je povolený příchozí provoz z internetu na tyto webové servery a webové servery můžou reagovat.

Vynucené tunelování se běžně používá k vynucení odchozího provozu do internetu, aby procházel místní proxy servery zabezpečení a brány firewall.

Zařízení zabezpečení virtuální sítě

I když skupiny zabezpečení sítě, trasy definované uživatelem a vynucené tunelování poskytují úroveň zabezpečení v síťové a přenosové vrstvě modelu OSI, může se stát, že budete chtít povolit zabezpečení na vyšších úrovních zásobníku. K těmto rozšířeným funkcím zabezpečení sítě můžete přistupovat pomocí řešení zabezpečení partnerské sítě Azure. Nejnovější řešení zabezpečení partnerských sítí Azure najdete tak , že navštívíte Azure Marketplace a vyhledáte "zabezpečení" a "zabezpečení sítě".

Azure Virtual Network

Virtuální síť Azure je reprezentace vaší vlastní sítě v cloudu. Jedná se o logickou izolaci prostředků infrastruktury sítě Azure vyhrazené pro vaše předplatné. V rámci této sítě máte plnou kontrolu nad bloky IP adres, nastavením DNS, zásadami zabezpečení a směrovacími tabulkami. Virtuální síť můžete segmentovat do podsítí a umístit virtuální počítače Azure IaaS nebo cloudové služby (instance rolí PaaS) do virtuálních sítí Azure.

Virtuální síť můžete navíc připojit k místní síti pomocí jedné z možností připojení dostupných v Azure. V podstatě můžete svoji síť rozšířit do Azure s úplnou kontrolou nad bloky IP adres a s výhodou poskytovatelů Azure celopodnikového rozsahu.

Sítě Azure podporují různé scénáře zabezpečeného vzdáleného přístupu. Zde jsou některá z vylepšení:

Azure Virtual Network Manager

Azure Virtual Network Manager poskytuje centralizované řešení pro ochranu virtuálních sítí ve velkém měřítku. Pomocí pravidel správce zabezpečení centrálně definuje a vynucuje zásady zabezpečení pro vaše virtuální sítě v celé organizaci. Pravidla správce zabezpečení mají přednost před pravidly skupiny zabezpečení sítě (NSG) a používají se ve virtuální síti. To organizacím umožňuje vynucovat základní zásady pomocí pravidel správce zabezpečení a zároveň umožnit podřízeným týmům přizpůsobit skupiny zabezpečení sítě podle jejich konkrétních potřeb na úrovni podsítě a síťové karty. V závislosti na potřebách vaší organizace můžete k vynucení zásad zabezpečení použít akce Povolit, Odepřít nebo Vždy povolit pravidla.

Akce pravidla Popis
Povolit Povolí zadaný provoz ve výchozím nastavení. Podřízené skupiny zabezpečení sítě tento provoz stále přijímají a můžou ho odepřít.
Vždy povolit Vždy povolte zadaný provoz bez ohledu na jiná pravidla s nižší prioritou nebo skupinami zabezpečení sítě. Dá se použít k zajištění, že agent monitorování, řadič domény nebo provoz správy není blokovaný.
Odepřít Zablokujte zadaný provoz. Podřízené skupiny zabezpečení sítě nebudou vyhodnocovat tento provoz po odepření pravidlem správce zabezpečení a zajistí, aby vaše vysoce rizikové porty pro existující a nové virtuální sítě byly ve výchozím nastavení chráněné.

Ve Službě Azure Virtual Network Manager umožňují skupiny sítí seskupit virtuální sítě pro centralizovanou správu a vynucování zásad zabezpečení. Skupiny sítí jsou logické seskupení virtuálních sítí na základě vašich potřeb z hlediska topologie a zabezpečení. Členství ve virtuální síti ve skupinách sítě můžete aktualizovat ručně nebo můžete definovat podmíněné příkazy se službou Azure Policy , které dynamicky aktualizují skupiny sítě, aby automaticky aktualizovaly členství ve skupině sítě.

Azure Private Link umožňuje privátní přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a privátním službám hostovaným zákazníkům nebo partnerským službám Azure ve vaší virtuální síti přes privátní koncový bod. Nastavení a spotřeba s využitím služby Azure Private Link je konzistentní napříč prostředím Azure PaaS, službami vlastněnými zákazníky a sdílenými partnerskými službami. Provoz z vaší virtuální sítě do služby Azure zůstává vždy v páteřní síti Microsoft Azure.

Privátní koncové body umožňují zabezpečit důležité prostředky služby Azure pouze pro vaše virtuální sítě. Privátní koncový bod Azure používá privátní IP adresu z vaší virtuální sítě k privátnímu a bezpečnému připojení ke službě využívající Azure Private Link a efektivně přináší službu do vaší virtuální sítě. Zveřejnění virtuální sítě na veřejný internet už není nutné k využívání služeb v Azure.

Ve virtuální síti můžete také vytvořit vlastní službu privátního propojení. Služba Azure Private Link je odkazem na vaši vlastní službu, která využívá Službu Azure Private Link. Vaše služba, která běží za Službou Azure Standard Load Balancer, může být povolená pro přístup ke službě Private Link, aby k ní uživatelé mohli přistupovat soukromě ze svých vlastních virtuálních sítí. Vaši zákazníci můžou ve své virtuální síti vytvořit privátní koncový bod a namapovat ho na tuto službu. Zveřejnění vaší služby na veřejný internet už není nutné k vykreslení služeb v Azure.

VPN Gateway

Pokud chcete odesílat síťový provoz mezi virtuální sítí Azure a místní lokalitou, musíte pro virtuální síť Azure vytvořit bránu VPN. Brána VPN je typ brány virtuální sítě, která odesílá šifrovaný provoz přes veřejné připojení. Brány VPN můžete také použít k odesílání provozu mezi virtuálními sítěmi Azure přes síťové prostředky infrastruktury Azure.

Express Route

Microsoft Azure ExpressRoute je vyhrazený odkaz WAN, který umožňuje rozšířit místní sítě do cloudu Microsoftu přes vyhrazené privátní připojení, které usnadňuje poskytovatel připojení.

Express Route

Pomocí ExpressRoute můžete navázat připojení ke cloudovým službám Microsoftu, jako jsou Microsoft Azure, Microsoft 365 a CRM Online. Co se týká připojení, může se jednat o síť typu any-to-any (IP VPN), síť Ethernet typu point-to-point nebo virtuální křížové připojení prostřednictvím poskytovatele připojení ve společném umístění.

Připojení ExpressRoute neprocházejí přes veřejný internet, a proto je možné považovat za bezpečnější než řešení založená na síti VPN. To dovoluje připojením ExpressRoute poskytovat větší spolehlivost, vyšší rychlost, nižší latenci a vyšší zabezpečení než typická připojení přes internet.

Application Gateway

Microsoft Aplikace Azure lication Gateway poskytuje jako službu ADC (Application Delivery Controller) jako službu různé možnosti vyrovnávání zatížení vrstvy 7.

Application Gateway

Umožňuje optimalizovat produktivitu webové farmy přesměrováním ukončení protokolu TLS náročného na procesor do služby Application Gateway (označuje se také jako přesměrování zpracování TLS nebo přemostění protokolu TLS). Poskytuje také další možnosti směrování vrstvy 7, včetně kruhového dotazování distribuce příchozího provozu, spřažení relací založeného na souborech cookie, směrování na základě cest URL a možnosti hostování více webů za jedinou službou Application Gateway. Služba Azure Application Gateway je nástroj pro vyrovnávání zatížení vrstvy 7.

Poskytuje převzetí služeb při selhání, směrování výkonu požadavků HTTP mezi různými servery, ať už jsou místní nebo v cloudu.

Aplikace poskytuje řadu funkcí ADC (Application Delivery Controller), včetně vyrovnávání zatížení HTTP, spřažení relací založeného na souborech cookie, snižování zátěže protokolu TLS, vlastních sond stavu, podpory pro více webů a mnoha dalších.

Firewall webových aplikací

Firewall webových aplikací je funkce Aplikace Azure lication Gateway, která poskytuje ochranu webovým aplikacím, které používají aplikační bránu pro standardní funkce ADC (Application Delivery Control). Firewall webových aplikací chrání webové aplikace před většinou z 10 nejčastějších webových hrozeb podle OWASP.

Firewall webových aplikací

  • Ochrana před útoky prostřednictvím injektáže SQL.

  • Ochrana před běžnými webovými útoky, jako je například injektáž příkazů, pronášení požadavků HTTP, rozdělování odpovědí protokolu HTTP a útok pomocí vložení vzdáleného souboru.

  • Ochrana před narušením protokolu HTTP.

  • Ochrana před anomáliemi protokolu HTTP, jako například chybějící údaj user-agent hostitele nebo hlavičky Accept.

  • Ochrana před roboty, prohledávacími moduly a skenery.

  • Detekce běžných chyb konfigurace aplikací (tj. Apache, IIS atd.)

Centralizovaný firewall webových aplikací, který chrání před webovými útoky, značně zjednodušuje správu zabezpečení a nabízí lepší ochranu aplikací před hrozbami neoprávněného vniknutí. Řešení Firewall webových aplikací (WAF) může také rychleji reagovat na ohrožení zabezpečení, protože opravuje známé chyby zabezpečení v centrálním umístění, namísto zabezpečování jednotlivých webových aplikací. Firewall webových aplikací umožňuje jednoduše převést stávající aplikační brány do služby Application Gateway.

Traffic Manager

Microsoft Azure Traffic Manager umožňuje řídit distribuci uživatelského provozu pro koncové body služby v různých datových centrech. Koncové body služeb podporované Traffic Managerem zahrnují virtuální počítače Azure, Web Apps a cloudové služby. Službu Traffic Manager můžete používat také s externími koncovými body mimo Azure. Traffic Manager pomocí systému DNS (Domain Name System) směruje požadavky klientů na nejvhodnější koncový bod na základě metody směrování provozu a stavu koncových bodů.

Traffic Manager poskytuje řadu metod směrování provozu, které vyhovují různým potřebám aplikace, monitorování stavu koncových bodů a automatickému převzetí služeb při selhání. Služba Traffic Manager je odolná vůči selhání, a to i selhání celé oblasti Azure.

Azure Load Balancer

Azure Load Balancer zajišťuje vysokou dostupnost a výkon sítě pro vaše aplikace. Jedná se o nástroj pro vyrovnávání zatížení vrstvy 4 (TCP, UDP), který distribuuje příchozí provoz mezi instance služeb definovaných v sadě s vyrovnáváním zatížení. Azure Load Balancer je možné nakonfigurovat na:

  • Vyrovnávání zatížení příchozího internetového provozu do virtuálních počítačů Tato konfigurace se označuje jako veřejné vyrovnávání zatížení.

  • Vyrovnávání zatížení provozu mezi virtuálními počítači ve virtuální síti, mezi virtuálními počítači v cloudových službách nebo mezi místními počítači a virtuálními počítači v místní virtuální síti. Tato konfigurace se označuje jako interní vyrovnávání zatížení.

  • Přesměrování externího provozu na konkrétní virtuální počítač

Interní DNS

Seznam serverů DNS použitých ve virtuální síti můžete spravovat na portálu pro správu nebo v konfiguračním souboru sítě. Zákazník může přidat až 12 serverů DNS pro každou virtuální síť. Při zadávání serverů DNS je důležité ověřit, že vypíšete servery DNS zákazníka ve správném pořadí pro prostředí zákazníka. Seznamy serverů DNS nefungují kruhovým dotazováním. Používají se v uvedeném pořadí. Pokud je možné získat přístup k prvnímu serveru DNS v seznamu, klient použije tento server DNS bez ohledu na to, jestli server DNS funguje správně nebo ne. Pokud chcete změnit pořadí serverů DNS pro virtuální síť zákazníka, odeberte servery DNS ze seznamu a přidejte je zpět v požadovaném pořadí. DNS podporuje aspekt dostupnosti triády "CIA".

Azure DNS

Dns (Domain Name System) zodpovídá za překlad (nebo překlad) webu nebo názvu služby na jeho IP adresu. Azure DNS je hostitelská služba určená pro domény DNS a zajišťuje překlad názvů s využitím infrastruktury Microsoft Azure. Pokud svoje domény hostujete v Azure, můžete spravovat svoje DNS záznamy pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure. DNS podporuje aspekt dostupnosti triády "CIA".

Skupiny zabezpečení sítě ve službě Azure Monitor

Pro skupiny zabezpečení sítě můžete povolit následující kategorie diagnostických protokolů:

  • Událost: Obsahuje položky, pro které se pravidla NSG použijí na virtuální počítače a role instancí na základě adresy MAC. Stav těchto pravidel se shromažďuje každých 60 sekund.

  • Čítač pravidel: Obsahuje položky pro kolikrát se každé pravidlo NSG použije k odepření nebo povolení provozu.

Microsoft Defender for Cloud

Microsoft Defender for Cloud průběžně analyzuje stav zabezpečení vašich prostředků Azure a hledá osvědčené postupy zabezpečení sítě. Když Defender for Cloud identifikuje potenciální ohrožení zabezpečení, vytvoří doporučení , která vás provedou procesem konfigurace potřebných ovládacích prvků pro posílení a ochranu vašich prostředků.

Compute

Tato část obsahuje další informace o klíčových funkcích v této oblasti a souhrnné informace o těchto možnostech.

Důvěrné výpočetní operace Azure

Důvěrné výpočetní prostředí Azure poskytuje poslední chybějící část puzzle ochrany dat. Umožňuje uchovávat data zašifrovaná za všech okolností. V klidovém stavu, při pohybu přes síť a nyní, i když jsou načteny do paměti a používané. Kromě toho díky možnosti vzdáleného ověření umožňuje kryptograficky ověřit, že se virtuální počítač, který zřídíte, bezpečně spouštěl a je správně nakonfigurovaný před odemknutím dat.

Spektrum možností se liší od povolení scénářů "lift and shift" stávajících aplikací až po plnou kontrolu nad funkcemi zabezpečení. Pro infrastrukturu jako službu (IaaS) můžete použít důvěrné virtuální počítače využívající AMD SEV-SNP nebo důvěrné enklávy aplikací pro virtuální počítače, na kterých běží Intel Software Guard Extensions (SGX). Pro platformu jako službu máme několik možností založených na kontejnerech, včetně integrace se službou Azure Kubernetes Service (AKS).

Antimalware a antivirová ochrana

S Azure IaaS můžete používat antimalwarový software od dodavatelů zabezpečení, jako jsou Microsoft, Symantec, Trend Micro, McAfee a Symantec, k ochraně virtuálních počítačů před škodlivými soubory, adwarem a dalšími hrozbami. Microsoft Antimalware pro Azure Cloud Services a Virtual Machines je funkce ochrany, která pomáhá identifikovat a odstranit viry, spyware a další škodlivý software. Microsoft Antimalware poskytuje konfigurovatelné výstrahy, když se známý škodlivý nebo nežádoucí software pokusí nainstalovat sám sebe nebo spustit ve vašich systémech Azure. Antimalware Microsoftu je možné nasadit také pomocí programu Microsoft Defender for Cloud.

Modul hardwarového zabezpečení

Šifrování a ověřování nezlepšují zabezpečení, pokud nejsou klíče chráněné. Správu a zabezpečení důležitých tajných kódů a klíčů můžete zjednodušit jejich uložením ve službě Azure Key Vault. Key Vault nabízí možnost ukládat klíče do hardwarových modulů zabezpečení (HSM) certifikovaných pro standard FIPS 140. Šifrovací klíče SQL Serveru pro zálohování nebo transparentní šifrování dat můžou být uložené ve službě Key Vault s libovolnými klíči nebo tajnými klíči z vašich aplikací. Oprávnění a přístup k těmto chráněným položkám se spravují prostřednictvím ID Microsoft Entra.

Záloha virtuálního počítače

Azure Backup je řešení, které chrání data vašich aplikací s nulovou kapitálovou investicí a minimálními provozními náklady. Chyby aplikace můžou poškodit vaše data a lidské chyby můžou do vašich aplikací způsobit chyby, které můžou vést k problémům se zabezpečením. Díky službě Azure Backup jsou vaše virtuální počítače s Windows a Linuxem chráněné.

Azure Site Recovery

Důležitou součástí strategie provozní kontinuity a zotavení po havárii (BCDR) vaší organizace je zjištění, jak udržovat podnikové úlohy a aplikace v provozu, když dojde k plánovaným a neplánovaným výpadkům. Azure Site Recovery pomáhá orchestrovat replikaci, převzetí služeb při selhání a obnovení úloh a aplikací, aby byly dostupné ze sekundárního umístění, pokud dojde k výpadku primárního umístění.

Transparentní šifrování dat virtuálního počítače SQL

Transparentní šifrování dat (TDE) a šifrování na úrovni sloupců (CLE) jsou funkce šifrování SQL Serveru. Tato forma šifrování vyžaduje, aby zákazníci mohli spravovat a ukládat kryptografické klíče, které používáte k šifrování.

Služba Azure Key Vault (AKV) je navržená tak, aby zlepšila zabezpečení a správu těchto klíčů v zabezpečeném a vysoce dostupném umístění. Konektor SQL Serveru umožňuje SQL Serveru používat tyto klíče ze služby Azure Key Vault.

Pokud používáte SQL Server s místními počítači, můžete postupovat podle kroků pro přístup ke službě Azure Key Vault z místní instance SQL Serveru. Pro SQL Server na virtuálních počítačích Azure ale můžete ušetřit čas pomocí funkce integrace služby Azure Key Vault. S několika rutinami Azure PowerShellu pro povolení této funkce můžete automatizovat konfiguraci potřebnou pro virtuální počítač SQL pro přístup k trezoru klíčů.

Šifrování disků virtuálního počítače

Azure Disk Encryption pro virtuální počítače s Linuxem a Azure Disk Encryption pro virtuální počítače s Windows pomáhá šifrovat disky virtuálních počítačů IaaS. Používá standardní funkci BitLockeru pro Windows a funkci DM-Crypt linuxu k zajištění šifrování svazků pro operační systém a datové disky. Řešení je integrované se službou Azure Key Vault, které vám pomůže řídit a spravovat klíče a tajné kódy pro šifrování disků ve vašem předplatném služby Key Vault. Řešení také zajišťuje šifrování všech dat na discích virtuálního počítače v klidovém stavu ve vašem úložišti Azure.

Virtuální síť

Virtuální počítače potřebují síťové připojení. Aby bylo možné tento požadavek podporovat, vyžaduje Azure, aby byly virtuální počítače připojené k virtuální síti Azure. Virtuální síť Azure je logická konstrukce založená na fyzických prostředcích infrastruktury sítě Azure. Každá logická virtuální síť Azure je izolovaná od všech ostatních virtuálních sítí Azure. Tato izolace pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný jiným zákazníkům Microsoft Azure.

Aktualizace oprav

Aktualizace oprav poskytují základ pro hledání a řešení potenciálních problémů a zjednodušují proces správy aktualizací softwaru tím, že snižují počet aktualizací softwaru, které musíte nasadit ve svém podniku, a tím, že zvýšíte schopnost monitorovat dodržování předpisů.

Správa a vytváření sestav zásad zabezpečení

Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně a poskytuje lepší přehled o zabezpečení vašich prostředků Azure a kontrolu nad nimi a nad nimi. Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá zjišťovat hrozby, které by jinak nemusely být nepovšimnuty, a funguje s širokým ekosystémem řešení zabezpečení.

Správa identit a přístupu

Zabezpečení systémů, aplikací a dat začíná řízením přístupu na základě identit. Funkce správy identit a přístupu, které jsou integrované do obchodních produktů a služeb Microsoftu, pomáhají chránit vaši organizaci a osobní údaje před neoprávněným přístupem a zároveň zpřístupňuje legitimním uživatelům, kdykoli a kdekoli je potřebují.

Zabezpečená identita

Microsoft ke správě identit a přístupu využívá více postupů a technologií zabezpečení v rámci svých produktů a služeb.

  • Vícefaktorové ověřování vyžaduje, aby uživatelé používali více metod pro přístup, místní i cloud. Poskytuje silné ověřování s celou řadou možností snadného ověření a současně uživatelům umožňuje jednoduchý proces přihlašování.

  • Microsoft Authenticator poskytuje uživatelsky přívětivé vícefaktorové ověřování, které funguje s účtem Microsoft Entra ID a Microsoft a zahrnuje podporu pro opotřebení a schválení na základě otisků prstů.

  • Vynucení zásad hesel zvyšuje zabezpečení tradičních hesel tím, že ukládá požadavky na délku a složitost, vynucené pravidelné obměny a uzamčení účtu po neúspěšných pokusech o ověření.

  • Ověřování na základě tokenů umožňuje ověřování prostřednictvím ID Microsoft Entra.

  • Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje udělit přístup na základě přiřazené role uživatele, což usnadňuje uživatelům jenom přístup, který potřebují k výkonu svých pracovních povinností. Azure RBAC můžete přizpůsobit podle obchodního modelu vaší organizace a tolerance rizik.

  • Integrovaná správa identit (hybridní identita) umožňuje udržovat kontrolu nad přístupem uživatelů napříč interními datacentry a cloudovými platformami a vytvořit jednu identitu uživatele pro ověřování a autorizaci pro všechny prostředky.

Zabezpečení aplikací a dat

Microsoft Entra ID, komplexní cloudové řešení pro správu identit a přístupu, pomáhá zabezpečit přístup k datům v aplikacích na webu i v cloudu a zjednodušuje správu uživatelů a skupin. Kombinuje základní adresářové služby, pokročilé zásady správného řízení identit, zabezpečení a správu přístupu k aplikacím a usnadňuje vývojářům vytváření správy identit založených na zásadách do svých aplikací. Pokud chcete vylepšit ID Microsoft Entra, můžete přidat placené funkce pomocí edicí Microsoft Entra Basic, Premium P1 a Premium P2.

Bezplatné nebo běžné funkce Základní funkce Funkce Premium P1 Prémiové funkce P2 Připojení k Microsoft Entra – pouze související funkce windows 10
Objekty adresáře, správa uživatelů/skupin (add/update/delete)/ Zřizování na základě uživatelů, registrace zařízení, jednotné přihlašování (SSO) , samoobslužná změna hesla pro cloudové uživatele, připojení (synchronizační modul, který rozšiřuje místní adresáře na ID Microsoft Entra), sestavy zabezpečení / využití Správa přístupu na základě skupin / zřizování, samoobslužné resetování hesla pro cloudové uživatele, branding společnosti (přihlašovací stránky/Přístupový panel přizpůsobení), proxy aplikací, SLA 99,9 % Samoobslužná skupina a správa aplikací / Přidání samoobslužných aplikací / Dynamické skupiny, Samoobslužné resetování hesla/ Změna/Odemknutí pomocí místního zápisu, Multi-Factor Authentication (cloudový a místní server)), MIM CAL + MIM Server, Cloud App Discovery, Connect Health, Automatické vrácení hesla pro skupinové účty Identity Protection, Privileged Identity Management Připojení zařízení k Microsoft Entra ID, desktopové jednotné přihlašování, Microsoft Passport pro Microsoft Entra ID, obnovení BitLockeru správcem, automatická registrace MDM, samoobslužné obnovení BitLockeru, další místní správci do zařízení s Windows 10 prostřednictvím připojení Microsoft Entra
  • Cloud App Discovery je prémiová funkce Microsoft Entra ID, která umožňuje identifikovat cloudové aplikace, které používají zaměstnanci ve vaší organizaci.

  • Microsoft Entra ID Protection je služba zabezpečení, která používá možnosti detekce anomálií Microsoft Entra k zajištění konsolidovaného přehledu o detekcích rizik a potenciálních ohroženích zabezpečení, která by mohla ovlivnit identity vaší organizace.

  • Služba Microsoft Entra Domain Services umožňuje připojit virtuální počítače Azure k doméně bez nutnosti nasazovat řadiče domény. Uživatelé se k těmto virtuálním počítačům přihlašují pomocí svých podnikových přihlašovacích údajů služby Active Directory a můžou bez problémů přistupovat k prostředkům.

  • Azure Active Directory B2C je vysoce dostupná globální služba pro správu identit pro aplikace určené pro spotřebitele, které se můžou škálovat na stovky milionů identit a integrovat je mezi mobilními a webovými platformami. Vaši zákazníci se můžou přihlásit ke všem vašim aplikacím prostřednictvím přizpůsobitelných prostředí, která používají existující účty sociálních médií, nebo můžete vytvořit nové samostatné přihlašovací údaje.

  • Spolupráce Microsoft Entra B2B je zabezpečené řešení pro integraci partnerů, které podporuje vztahy mezi společnostmi tím, že partnerům umožňuje selektivní přístup k podnikovým aplikacím a datům pomocí vlastních identit.

  • Microsoft Entra join umožňuje rozšířit cloudové možnosti na zařízení s Windows 10 pro centralizovanou správu. Umožňuje uživatelům připojit se k podnikovému nebo organizačnímu cloudu prostřednictvím Microsoft Entra ID a zjednodušit přístup k aplikacím a prostředkům.

  • Proxy aplikací Microsoft Entra poskytuje jednotné přihlašování a zabezpečený vzdálený přístup pro webové aplikace hostované místně.

Další kroky