Přehled správy a monitorování zabezpečení Azure

Azure poskytuje komplexní možnosti správy zabezpečení a monitorování, které vám pomůžou řídit, zabezpečit a udržovat přehled o prostředcích Azure. Tento článek se zabývá správou klíčů a monitorovacími službami, které podporují zabezpečené operace.

Azure Monitor

Azure Monitor shromažďuje, analyzuje a pracuje s telemetrickými daty z Azure a místních prostředí. Monitorování vám pomůže maximalizovat dostupnost a výkon aplikací a proaktivně identifikovat problémy.

Azure Monitor poskytuje:

• Metriky a protokoly: Shromažďování a analýza dat z prostředků Azure, operačních systémů a aplikací
• Pracovní prostory služby Log Analytics: Centralizované úložiště a analýza dat protokolů s výkonnými možnostmi dotazů
• Application Insights: Správa výkonu aplikací (APM) pro monitorování živých webových aplikací
• Upozornění služby Azure Monitor: Proaktivní oznámení založená na metrikách, protokolech a datech aktivit
• Azure Workbooks: Interaktivní vizuální sestavy kombinující text, dotazy, metriky a parametry

Pro monitorování zabezpečení se Azure Monitor integruje s Microsoft Sentinelem a Microsoft Defenderem pro cloud, aby poskytoval komplexní možnosti detekce hrozeb a reakce.

Další informace:

• Přehled služby Azure Monitor
• přehled protokolů služby Azure Monitor
• Přehled detekce hrozeb

Řízení přístupu na základě rolí Azure

Řízení přístupu na základě role v Azure (Azure RBAC) poskytuje jemně odstupňovanou správu přístupu pro prostředky Azure. S Azure RBAC udělíte uživatelům přístup, který potřebují k provádění svých úloh, a to podle principu nejnižších oprávnění.

Azure RBAC umožňuje:

• Přiřazení předdefinovaných rolí nebo vytvoření vlastních rolí
• Správa přístupu na několika úrovních oboru (skupina pro správu, předplatné, skupina prostředků, prostředek)
• Oddělení povinností v rámci týmů a udělení pouze nezbytného přístupu
• Integrace s ID Microsoft Entra pro řízení přístupu na základě identit
• Auditování přiřazení rolí prostřednictvím protokolu aktivit Azure

Další informace:

• Co je řízení přístupu na základě role v Azure (Azure RBAC)?
• Předdefinované role v Azure
• Přehled zabezpečení správy identit

Azure Policy

Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Azure Policy vyhodnocuje prostředky v Azure porovnáním jejich vlastností s definovanými pravidly.

Mezi možnosti Azure Policy patří:

• Definice zásad: Pravidla, která popisují podmínky dodržování předpisů a účinky
• Iniciativy: Kolekce definic zásad seskupených za účelem dosažení konkrétních cílů dodržování předpisů
• Sestavy dodržování předpisů: Pohledy na řídicím panelu ukazující vyhovující a nevyhovující zdroje
• Automatická náprava: Nasazení opravných konfigurací pro nevyhovující prostředky
• Dodržování právních předpisů: Integrované sady zásad v souladu se standardy, jako je srovnávací test zabezpečení cloudu Microsoftu, ISO 27001 a NIST

Běžné případy použití zabezpečení:

• Vynucení požadavků na šifrování pro účty úložiště a databáze
• Vyžadovat nastavení diagnostiky pro protokolování auditu
• Omezení nasazení prostředků na schválené oblasti Azure
• Vynucení zásad vytváření názvů a standardů označování
• Vyžadování konkrétních konfigurací zabezpečení (verze PROTOKOLU TLS, pravidla brány firewall)

Další informace:

• Co je Azure Policy?
• Dodržování právních předpisů ve službě Azure Policy

Správce aktualizace Azure

Azure Update Manager je jednotná služba, která pomáhá spravovat a řídit aktualizace operačního systému pro virtuální počítače s Windows a Linuxem napříč Azure, místními a multicloudovými prostředími.

Azure Update Manager poskytuje:

• Posouzení aktualizací: Automatické nebo na vyžádání posouzení dostupných aktualizací
• Plánované opravy: Konfigurace časových intervalů opakované údržby pro instalaci aktualizací
• Jednorázové aktualizace: Okamžitá instalace aktualizací pro naléhavé opravy zabezpečení
• Hotpatching: Instalace aktualizací zabezpečení na Windows Server bez nutnosti restartování (podporované edice)
• Generování sestav dodržování předpisů pro aktualizace: Zobrazení řídicího panelu a sešity Azure zobrazující stav aktualizace
• Integrace se službou Azure Policy: Vynucení zásad aktualizace ve velkém měřítku

Mezi funkce Update Manageru patří:

• Nativní prostředí Azure bez nutnosti úvodního zaškolení
• Podrobné řízení přístupu na úrovni prostředků pomocí Azure RBAC
• Podpora virtuálních počítačů Azure a serverů s podporou Azure Arc
• Skripty před událostmi a po události pro vlastní automatizaci
• Integrace se službou Azure Monitor pro upozornění a oznámení

Další informace:

• Informace o Azure Update Manageru
• Plánované opravy v Update Manageru

Protokolování a auditování aktivit

Protokol aktivit Azure zaznamenává události na úrovni předplatného, včetně operací správy, událostí stavu služeb a změn stavu prostředků. Protokol aktivit poskytuje přehled o tom, kdo provedl jaké operace a kdy.

Možnosti protokolu aktivit:

• Operace správy: Vytváření, aktualizace, odstraňování operací s prostředky Azure
• Stav služby: Incidenty služeb Azure a oznámení o údržbě
• Stav prostředků: Změny stavu dostupnosti pro prostředky Azure
• Uchovávání a export: Uchovávat protokoly po dobu až 90 dnů; export do Log Analytics, úložiště nebo služby Event Hubs pro delší uchovávání
• Integrace s upozorněními: Vytváření pravidel upozornění na základě událostí protokolu aktivit

V případě komplexního auditování zabezpečení můžete nakonfigurovat nastavení diagnostiky tak, aby odesílala protokoly do pracovních prostorů Log Analytics pro účely analýzy pomocí Služby Microsoft Sentinel nebo Defenderu pro cloud.

Další informace:

• Protokol aktivit Azure
• Nastavení diagnostiky

Microsoft Cost Management

Microsoft Cost Management pomáhá monitorovat, přidělovat a optimalizovat výdaje za Azure. Pochopení nákladů je nezbytné pro správu zabezpečení, protože neautorizované nasazení prostředků může značit incidenty zabezpečení.

Cost Management poskytuje:

• Analýza nákladů: Vizualizace a analýza nákladů napříč předplatnými, skupinami prostředků a značkami
• Rozpočty: Nastavení limitů útraty s proaktivními upozorněními
• Doporučení: Identifikace příležitostí ke snížení nákladů bez ohrožení zabezpečení
• Přidělování nákladů: Distribuce nákladů mezi organizační jednotky pomocí značek a předplatných
• Detekce anomálií: Identifikace neobvyklých vzorců útraty, které můžou značit problémy se zabezpečením

Další informace:

• Co je Microsoft Cost Management?
• Vytváření a správa rozpočtů

Azure Resource Graph

Azure Resource Graph poskytuje efektivní zkoumání prostředků s možností dotazování ve velkém měřítku napříč předplatnými. Resource Graph umožňuje týmům zabezpečení rychle identifikovat prostředky s konkrétní konfigurací nebo stavem zabezpečení.

Možnosti Resource Graphu:

• Rychlé dotazování: Dotazování tisíců prostředků napříč několika předplatnými během několika sekund
• Složité dotazy: Analýza vlastností a relací prostředků pomocí dotazovacího jazyka Kusto (KQL)
• Inventář prostředků: Zjišťování všech prostředků konkrétních typů nebo s konkrétními konfiguracemi
• Ověření dodržování předpisů: Identifikace prostředků, které nesplňují požadavky na zabezpečení nebo dodržování předpisů
• Sledování změn: Sledování změn vlastností prostředků v průběhu času

Další informace:

• Co je Azure Resource Graph?
• Úvodní dotazy na Resource Graph

Automatizace Azure

Azure Automation poskytuje cloudovou automatizaci a správu konfigurací, která podporuje konzistentní zásady správného řízení v prostředích Azure a mimo Azure.

Azure Automation poskytuje:

• Automatizace procesů: Automatizace častých, časově náročných a náchylných k chybám pomocí runbooků PowerShellu a Pythonu
• Správa konfigurace: Použití a údržba konfigurací požadovaného stavu pomocí DSC (State Configuration)
• Sdílené prostředky: Centralizované úložiště pro přihlašovací údaje, certifikáty, připojení a proměnné používané v automatizaci
• Sledování změn: Monitorování změn konfigurace napříč soubory, registrem, službami a softwarem
• Shromažďování inventáře: Zjišťování a sledování softwaru a konfigurací napříč počítači

Běžné scénáře automatizace zabezpečení:

• Pracovní postupy automatizované reakce na incidenty
• Naplánované kontroly zabezpečení a náprava
• Detekce a oprava odchylek konfigurace
• Automatizované operace zálohování a zotavení po havárii

Další informace:

• Přehled služby Azure Automation
• přehled řešení Change Tracking a Inventory

Azure Advisor

Azure Advisor je individuální cloudový konzultant, který poskytuje doporučení osvědčených postupů pro optimalizaci nasazení Azure. Advisor obsahuje doporučení zabezpečení z Microsoft Defenderu pro cloud.

Kategorie doporučení Advisoru:

• Spolehlivost: Zlepšení dostupnosti a možností zotavení po havárii
• Zabezpečení: Detekce hrozeb a ohrožení zabezpečení prostřednictvím integrace Defenderu pro cloud
• Výkon: Zvýšení rychlosti a odezvy aplikací
• Náklady: Optimalizace a snížení celkové útraty za Azure
• Efektivita provozu: Dosažení efektivity procesů a pracovních postupů

Další informace:

• Přehled Azure Advisoru
• Začínáme s Azure Advisorem

Azure Service Health

Azure Service Health poskytuje přizpůsobené informace o stavu služeb a oblastí Azure. Service Health vám pomůže naplánovat údržbu a reagovat na incidenty, které můžou ovlivnit dostupnost.

Součásti služby Service Health:

• Stav Azure: Globální zobrazení stavu služby Azure ve všech oblastech
• Service Health: Přizpůsobené zobrazení stavu služeb Azure, které používáte v oblastech, které používáte
• Resource Health: Informace o stavu jednotlivých prostředků Azure
• Zdravotní upozornění: Proaktivní oznámení o problémech se službami, plánované údržbě a zdravotních doporučeních

Další informace:

• Co je Azure Service Health?
• Vytváření upozornění protokolu aktivit pro oznámení služby

Další kroky

• Detekce a ochrana před hrozbami
• Přehled zabezpečení správy identit
• Přehled zabezpečení sítě
• Osvědčené postupy a vzory zabezpečení Azure