Komplexní zabezpečení v Azure
Jedním z nejlepších důvodů, proč používat Azure pro vaše aplikace a služby, je využít široké škály nástrojů a možností zabezpečení. Tyto nástroje a možnosti pomáhají vytvářet zabezpečená řešení na zabezpečené platformě Azure. Microsoft Azure poskytuje důvěrnost, integritu a dostupnost zákaznických dat a zároveň umožňuje transparentní odpovědnost.
Následující diagram a dokumentace vás seznámí se službami zabezpečení v Azure. Tyto služby zabezpečení vám pomůžou splnit požadavky vaší firmy na zabezpečení a chránit uživatele, zařízení, prostředky, data a aplikace v cloudu.
Mapa služeb zabezpečení Microsoftu
Služby zabezpečení mapují služby podle prostředků, které chrání (sloupec). Diagram také seskupuje služby do následujících kategorií (řádek):
- Zabezpečení a ochrana – Služby, které umožňují implementovat vrstvenou strategii hloubkové ochrany napříč identitou, hostiteli, sítěmi a daty. Tato kolekce služeb zabezpečení a možností poskytuje způsob, jak porozumět a zlepšit stav zabezpečení v celém prostředí Azure.
- Detekce hrozeb – Služby, které identifikují podezřelé aktivity a usnadňují zmírnění hrozby.
- Prošetření a reakce – Služby, které načítá data protokolování, abyste mohli vyhodnotit podezřelou aktivitu a reagovat.
Kontrolní mechanismy zabezpečení a směrné plány
Srovnávací test zabezpečení cloudu Microsoftu zahrnuje kolekci doporučení zabezpečení s vysokým dopadem, která můžete použít k zabezpečení služeb, které používáte v Azure:
- Kontrolní mechanismy zabezpečení – Tato doporučení se obecně vztahují napříč tenantem Azure a službami Azure. Každé doporučení identifikuje seznam zúčastněných stran, které jsou obvykle zapojeny do plánování, schvalování nebo provádění srovnávacího testu.
- Standardní hodnoty služeb – Tyto ovládací prvky se použijí u jednotlivých služeb Azure, aby poskytovaly doporučení týkající se konfigurace zabezpečení dané služby.
Zabezpečení a ochrana
| Služba | Popis |
|---|---|
| Microsoft Defender for Cloud | Jednotný systém správy zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datových center a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami v cloudu – ať už jsou v Azure nebo ne – i místně. |
| Správa identit a přístupu | |
| Microsoft Entra ID | Cloudová služba pro správu identit a přístupu od Microsoftu |
| Podmíněný přístup je nástroj používaný id Microsoft Entra, který spojuje signály identity, k rozhodování a vynucování zásad organizace. | |
| Domain Services je nástroj používaný id Microsoft Entra k poskytování spravovaných doménových služeb, jako je připojení k doméně, zásady skupiny, protokol LDAP (Lightweight Directory Access Protocol) a ověřování Kerberos/NTLM. | |
| Privileged Identity Management (PIM) je služba v Microsoft Entra ID, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. | |
| Vícefaktorové ověřování je nástroj používaný id Microsoft Entra, který pomáhá chránit přístup k datům a aplikacím tím, že vyžaduje druhou formu ověřování. | |
| Microsoft Entra ID Protection | Nástroj, který organizacím umožňuje automatizovat zjišťování a nápravu rizik založených na identitách, zkoumat rizika pomocí dat na portálu a exportovat data detekce rizik do nástrojů třetích stran pro další analýzu. |
| Infrastruktura a síť | |
| VPN Gateway | Brána virtuální sítě, která se používá k odesílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet a k odesílání šifrovaného provozu mezi virtuálními sítěmi Azure přes síť Microsoftu. |
| Ochrana Azure DDoS | Poskytuje vylepšené funkce zmírnění útoků DDoS pro ochranu před útoky DDoS. Tato služba se automaticky vyladí tak, aby pomáhala chránit vaše konkrétní prostředky Azure ve virtuální síti. |
| Azure Front Door | Globální škálovatelný vstupní bod, který používá globální hraniční síť Microsoftu k vytváření rychlých, zabezpečených a široce škálovatelných webových aplikací. |
| Azure Firewall | Cloudově nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Azure Firewall se nabízí ve třech SKU: Standard, Premium a Basic. |
| Azure Key Vault | Zabezpečené úložiště tajných kódů pro tokeny, hesla, certifikáty, klíče rozhraní API a další tajné kódy. Key Vault se dá použít také k vytvoření a řízení šifrovacích klíčů používaných k šifrování dat. |
| Spravovaný HSM služby Key Vault | Plně spravovaná, vysoce dostupná cloudová služba vyhovující standardům, která umožňuje chránit kryptografické klíče pro vaše cloudové aplikace pomocí standardu FIPS 140-2 Level 3 ověřených HSM. |
| Azure Private Link | Umožňuje přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a službám Hostovaným zákazníkům nebo partnerským službám Azure přes privátní koncový bod ve vaší virtuální síti. |
| Azure Application Gateway | Pokročilý nástroj pro vyrovnávání zatížení webového provozu, který umožňuje spravovat provoz do webových aplikací. Application Gateway může rozhodovat o směrování na základě dalších atributů požadavku HTTP, například cesty URI nebo hlavičky hostitele. |
| Azure Service Bus | Plně spravovaný podnikový zprostředkovatel zpráv s frontami zpráv a tématy publikování a odběru. Service Bus se používá k oddělení aplikací a služeb od sebe. |
| Firewall webových aplikací | Poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. WAF je možné nasadit pomocí brány Aplikace Azure a služby Azure Front Door. |
| Azure Policy | Pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Skrze řídicí panel dodržování předpisů nabízí agregované zobrazení sloužící k vyhodnocení celkového stavu prostředí s možností přejít k podrobnostem jednotlivých prostředků a podrobnostem zásad. Napomáhá tomu, aby prostředky dodržovaly předpisy, a sice prostřednictvím hromadné nápravy existujících prostředků a automatické nápravy nových prostředků. |
| Data a aplikace | |
| Azure Backup | Poskytuje jednoduchá, zabezpečená a nákladově efektivní řešení pro zálohování dat a jejich obnovení z cloudu Microsoft Azure. |
| Šifrování služby Azure Storage | Automaticky šifruje data před uložením a automaticky dešifruje data při jejich načtení. |
| Azure Information Protection | Cloudové řešení, které organizacím umožňuje zjišťovat, klasifikovat a chránit dokumenty a e-maily použitím popisků na obsah. |
| API Management | Způsob vytváření konzistentních a moderních bran rozhraní API pro stávající back-endové služby |
| Důvěrné výpočetní operace Azure | Umožňuje izolovat citlivá data během jejich zpracování v cloudu. |
| Azure DevOps | Vaše vývojové projekty využívají více vrstev technologií zabezpečení a zásad správného řízení, provozních postupů a zásad dodržování předpisů při ukládání v Azure DevOps. |
| Přístup zákazníka | |
| Microsoft Entra Externí ID | Pomocí externích identit v Microsoft Entra ID můžete lidem mimo vaši organizaci umožnit přístup k vašim aplikacím a prostředkům a zároveň jim umožnit přihlášení pomocí identity, které dávají přednost. |
| Své aplikace a prostředky můžete sdílet s externími uživateli prostřednictvím spolupráce Microsoft Entra B2B . | |
| Azure AD B2C umožňuje podporovat miliony uživatelů a miliardy ověřování za den, monitorovat a automaticky zpracovávat hrozby, jako jsou útoky na dostupnost služby, útok na hesla nebo útoky hrubou silou. |
Detekce hrozeb
| Služba | Popis |
|---|---|
| Microsoft Defender for Cloud | Přináší pokročilé, inteligentní a chráněné prostředky a úlohy Azure. Řídicí panel ochrany úloh v defenderu pro cloud poskytuje přehled a kontrolu nad funkcemi ochrany cloudových úloh pro vaše prostředí. |
| Microsoft Sentinel | Škálovatelné, nativní cloudové řešení, správa událostí zabezpečení (SIEM) a řešení pro orchestraci zabezpečení (SOAR). Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku a poskytuje jediné řešení pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby. |
| Správa identit a přístupu | |
| Microsoft Defender XDR | Jednotná sada ochrany před porušením zabezpečení a po porušení zabezpečení, která nativně koordinuje detekci, prevenci, vyšetřování a reakci napříč koncovými body, identitami, e-maily a aplikacemi za účelem zajištění integrované ochrany před sofistikovanými útoky. |
| Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomohla podnikovým sítím předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby. | |
| Microsoft Defender for Identity je cloudové řešení zabezpečení, které využívá vaše místní Active Directory signály k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů zaměřených na vaši organizaci. | |
| Microsoft Entra ID Protection | Odesílá dva typy automatizovaných e-mailů s oznámeními, které vám pomůžou se správou rizik uživatelů a detekcí rizik: Uživatelé, kteří zjistila e-maily a týdenní přehled e-maily. |
| Infrastruktura a síť | |
| Azure Firewall | Azure Firewall Premium poskytuje systém pro detekci neoprávněných vniknutí na základě podpisu (IDPS), který umožňuje rychlou detekci útoků vyhledáváním konkrétních vzorů, jako jsou sekvence bajtů v síťovém provozu nebo známé škodlivé sekvence instrukcí používané malwarem. |
| Microsoft Defender pro IoT | Jednotné řešení zabezpečení pro identifikaci zařízení IoT/OT, ohrožení zabezpečení a hrozeb Umožňuje zabezpečit celé prostředí IoT/OT, ať už potřebujete chránit stávající zařízení IoT/OT, nebo integrovat zabezpečení do nových inovací IoT. |
| Azure Network Watcher | Poskytuje nástroje pro monitorování, diagnostiku, zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti Azure. Network Watcher je navržený tak, aby monitoruje a opravuje stav sítě produktů IaaS, včetně virtuálních počítačů, virtuálních sítí, aplikačních bran a nástrojů pro vyrovnávání zatížení. |
| Azure Policy | Pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Azure Policy používá protokoly aktivit, které jsou automaticky povolené, aby zahrnovaly zdroj událostí, datum, uživatele, časové razítko, zdrojové adresy, cílové adresy a další užitečné prvky. |
| Data a aplikace | |
| Microsoft Defender for Containers | Cloudové nativní řešení, které slouží k zabezpečení kontejnerů, abyste mohli zlepšit, monitorovat a udržovat zabezpečení clusterů, kontejnerů a jejich aplikací. |
| Microsoft Defender for Cloud Apps | Zprostředkovatel zabezpečení přístupu ke cloudu (CASB), který funguje v několika cloudech. Poskytuje bohatou viditelnost, kontrolu nad cestováním dat a sofistikovanou analýzu pro identifikaci a boj proti kybernetickým hrozbám napříč všemi vašimi cloudovými službami. |
Prozkoumání a reakce
| Služba | Popis |
|---|---|
| Microsoft Sentinel | Výkonné vyhledávací a dotazovací nástroje pro vyhledávání bezpečnostních hrozeb napříč zdroji dat vaší organizace |
| Protokoly a metriky služby Azure Monitor | Poskytuje komplexní řešení pro shromažďování, analýzu a akce na telemetrii z vašich cloudových a místních prostředí. Azure Monitor shromažďuje a agreguje data z různých zdrojů do společné datové platformy, kde je můžete použít k analýze, vizualizaci a upozorňování. |
| Správa identit a přístupu | |
| Sestavy a monitorování Azure AD | Sestavy Microsoft Entra poskytují komplexní přehled o aktivitách ve vašem prostředí. |
| Monitorování Microsoft Entra umožňuje směrovat protokoly aktivit Microsoft Entra do různých koncových bodů. | |
| Historie auditu Microsoft Entra PIM | Zobrazuje všechna přiřazení rolí a aktivace za posledních 30 dnů pro všechny privilegované role. |
| Data a aplikace | |
| Microsoft Defender for Cloud Apps | Poskytuje nástroje pro hlubší pochopení toho, co se děje ve vašem cloudovém prostředí. |
Další kroky
Seznamte se se sdílenou odpovědností v cloudu.
Seznamte se s možnostmi izolace v cloudu Azure pro škodlivé uživatele i uživatele bez zlými úmysly.