Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Provozní zabezpečení Azure označuje služby, ovládací prvky a funkce dostupné uživatelům za účelem ochrany dat, aplikací a dalších prostředků v Microsoft Azure. Jedná se o architekturu, která zahrnuje znalosti získané prostřednictvím celé řady funkcí, které jsou pro Microsoft jedinečné. Mezi tyto funkce patří SDL (Microsoft Security Development Lifecycle), program Microsoft Security Response Center a hluboké povědomí o oblasti kybernetické bezpečnosti hrozeb.
Služby pro správu Azure
Provozní tým IT zodpovídá za správu infrastruktury datacentra, aplikací a dat, včetně stability a zabezpečení těchto systémů. Získání přehledů o zabezpečení napříč rostoucím složitým IT prostředím ale často vyžaduje, aby organizace spojily data z několika systémů zabezpečení a správy.
Protokoly služby Microsoft Azure Monitor jsou cloudové řešení pro správu IT, které pomáhá spravovat a chránit místní a cloudovou infrastrukturu. Její základní funkce poskytují následující služby, které běží v Azure. Azure obsahuje více služeb, které vám pomůžou spravovat a chránit místní a cloudovou infrastrukturu. Každá služba poskytuje konkrétní funkci správy. Služby můžete kombinovat, abyste dosáhli různých scénářů správy.
Azure Monitor
Azure Monitor shromažďuje data ze spravovaných zdrojů do centrálních úložišť dat. Tato data můžou zahrnovat události, údaje o výkonu nebo vlastní data poskytovaná prostřednictvím rozhraní API. Po shromáždění dat jsou k dispozici pro upozorňování, analýzu a export.
Data z různých zdrojů můžete konsolidovat a kombinovat data ze služeb Azure se stávajícím místním prostředím. Protokoly služby Azure Monitor také jasně odděluje shromažďování dat od akce provedené na těchto datech, aby byly všechny akce dostupné pro všechny druhy dat.
Automation
Azure Automation nabízí způsob, jak automatizovat ruční, dlouhotrvající, náchylné k chybám a často opakující se úlohy, které se běžně provádějí v cloudovém a podnikovém prostředí. Šetří čas a zvyšuje spolehlivost úloh správy. Dokonce plánuje, aby se tyto úlohy automaticky prováděly v pravidelných intervalech. Procesy můžete automatizovat pomocí runbooků nebo automatizovat správu konfigurace pomocí konfigurace Desired State Configuration.
Backup
Azure Backup je služba založená na Azure, kterou můžete použít k zálohování (nebo ochraně) a obnovení dat v Microsoft Cloudu. Azure Backup nahrazuje vaše stávající místní nebo off-site řešení zálohování cloudovým řešením, které je spolehlivé, zabezpečené a cenově konkurenceschopné.
Azure Backup nabízí komponenty, které si stáhnete a nasadíte na příslušný počítač nebo server nebo v cloudu. Nasazená komponenta nebo agent závisí na tom, co chcete chránit. Všechny komponenty Služby Azure Backup (bez ohledu na to, jestli chráníte data místně nebo v cloudu), je možné použít k zálohování dat do trezoru služby Azure Recovery Services v Azure.
Další informace najdete v tabulce komponent služby Azure Backup.
Site Recovery
Azure Site Recovery poskytuje provozní kontinuitu orchestrací replikace místních virtuálních a fyzických počítačů do Azure nebo do sekundární lokality. Pokud vaše primární lokalita není dostupná, převezmete služby při selhání do sekundárního umístění, aby uživatelé mohli dál pracovat. Navrácení služeb po obnovení vrátíte, když se systémy vrátí do funkčního pořadí. Pomocí programu Microsoft Defender for Cloud můžete provádět inteligentnější a efektivnější detekci hrozeb.
Microsoft Entra ID
Microsoft Entra ID je komplexní služba identit, která:
- Umožňuje správu identit a přístupu (IAM) jako cloudovou službu.
- Poskytuje centrální správu přístupu, jednotné přihlašování (SSO) a vytváření sestav.
- Podporuje integrovanou správu přístupu pro tisíce aplikací na Azure Marketplace, včetně Salesforce, Google Apps, Boxu a Concuru.
Id Microsoft Entra zahrnuje také úplnou sadu možností správy identit, včetně těchto:
- Vícefaktorové ověřování
- Samoobslužná správa hesel
- Samoobslužná správa skupin
- Privileged Account Management
- Řízení přístupu Azure na základě rolí (Azure RBAC)
- Monitorování využití aplikací
- Bohaté auditování
- Monitorování zabezpečení a upozorňování
S ID Microsoft Entra mají všechny aplikace, které publikujete pro partnery a zákazníky (firmy nebo spotřebitele), stejné možnosti správy identit a přístupu. To vám umožní výrazně snížit provozní náklady.
Microsoft Defender for Cloud
Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně, a to se zvýšeným přehledem o zabezpečení prostředků Azure (a jejich kontrolou). Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými. Pomáhá zjišťovat hrozby, které by jinak nemusely být nepozorované, a funguje s rozsáhlým ekosystémem řešení zabezpečení.
Zabezpečte data virtuálních počítačů v Azure tím, že získáte přehled o nastavení zabezpečení vašeho virtuálního počítače a monitorování hrozeb. Defender for Cloud může monitorovat vaše virtuální počítače pro:
- Nastavení zabezpečení operačního systému s doporučenými konfiguračními pravidly
- Chybí systémové zabezpečení a důležité aktualizace.
- Doporučení ochrany koncových bodů
- Ověření šifrování disku.
- Síťové útoky.
Defender for Cloud používá řízení přístupu na základě role v Azure (Azure RBAC). Azure RBAC poskytuje předdefinované role , které je možné přiřadit uživatelům, skupinám a službám v Azure.
Defender for Cloud vyhodnocuje konfiguraci vašich prostředků za účelem identifikace problémů se zabezpečením a ohrožení zabezpečení. V defenderu pro cloud se zobrazí informace související s prostředkem jenom v případě, že máte přiřazenou roli vlastníka, přispěvatele nebo čtenáře předplatného nebo skupiny prostředků, ke které prostředek patří.
Poznámka:
Další informace o rolích a povolených akcích v programu Defender for Cloud najdete v tématu Oprávnění v Programu Microsoft Defender pro cloud.
Defender for Cloud používá Microsoft Monitoring Agent. Jedná se o stejného agenta, který používá služba Azure Monitor. Data shromážděná z tohoto agenta se ukládají v existujícím pracovním prostoru služby Log Analytics přidruženém k vašemu předplatnému Azure nebo v novém pracovním prostoru s ohledem na geografickou polohu virtuálního počítače.
Azure Monitor
Problémy s výkonem v cloudové aplikaci můžou ovlivnit vaši firmu. S několika propojenými komponentami a častými verzemi může dojít ke snížení výkonu kdykoli. A pokud vyvíjíte aplikaci, uživatelé obvykle objevují problémy, které jste nenašli při testování. O těchto problémech byste měli vědět okamžitě a měli byste mít nástroje pro diagnostiku a řešení problémů.
Azure Monitor je základní nástroj pro monitorování služeb spuštěných v Azure. Poskytuje data na úrovni infrastruktury o propustnosti služby a okolním prostředí. Pokud spravujete všechny aplikace v Azure a rozhodujete se, jestli se mají vertikálně navýšit nebo snížit kapacitu prostředků, azure Monitor je místo, kde začít.
Data monitorování můžete použít také k získání podrobných přehledů o vaší aplikaci. Tyto znalosti vám můžou pomoct zlepšit výkon nebo udržovatelnost aplikací nebo automatizovat akce, které by jinak vyžadovaly ruční zásah.
Azure Monitor obsahuje následující komponenty.
Protokol aktivit Azure
Protokol aktivit Azure poskytuje přehled o operacích provedených s prostředky ve vašem předplatném. Dříve se označovala jako Protokol auditu nebo Provozní protokol, protože hlásí události roviny řízení pro vaše předplatná.
Diagnostické protokoly Azure
Diagnostické protokoly Azure jsou generovány prostředkem a poskytují bohatá a často se používají data týkající se provozu tohoto prostředku. Obsah těchto protokolů se liší podle typu prostředku.
Protokoly systému událostí Windows jsou jednou z kategorií diagnostických protokolů pro virtuální počítače. Protokoly objektů blob, tabulek a front jsou kategorie diagnostických protokolů pro účty úložiště.
Diagnostické protokoly se liší od protokolu aktivit. Protokol aktivit poskytuje přehled o operacích prováděných s prostředky ve vašem předplatném. Diagnostické protokoly poskytují přehled o operacích, které váš prostředek provedl sám.
Metriky
Azure Monitor poskytuje telemetrii, která poskytuje přehled o výkonu a stavu úloh v Azure. Nejdůležitějším typem telemetrických dat Azure jsou metriky (označované také jako čítače výkonu) generované většinou prostředků Azure. Azure Monitor nabízí několik způsobů konfigurace a využívání těchto metrik pro monitorování a řešení potíží.
Azure Diagnostics
Azure Diagnostics umožňuje shromažďování diagnostických dat v nasazené aplikaci. Rozšíření Diagnostika můžete použít z různých zdrojů. Aktuálně se podporují role cloudových služeb Azure, virtuální počítače Azure s Microsoft Windows a Azure Service Fabric.
Azure Network Watcher
Zákazníci vytvářejí kompletní síť v Azure orchestrací a vytvářením jednotlivých síťových prostředků, jako jsou virtuální sítě, Azure ExpressRoute, Aplikace Azure lication Gateway a nástroje pro vyrovnávání zatížení. Monitorování je k dispozici na všech síťových prostředcích.
Kompletní síť může mít složité konfigurace a interakce mezi prostředky. Výsledkem jsou složité scénáře, které vyžadují monitorování na základě scénářů prostřednictvím služby Azure Network Watcher.
Network Watcher zjednodušuje monitorování a diagnostiku vaší sítě Azure. Diagnostické a vizualizační nástroje ve službě Network Watcher můžete použít k:
- Zachytávání vzdálených paketů na virtuálním počítači Azure
- Získejte přehled o síťovém provozu pomocí protokolů toku.
- Diagnostika služby Azure VPN Gateway a připojení
Network Watcher má aktuálně následující možnosti:
- Topologie: Poskytuje přehled o různých propojeních a přidruženích mezi síťovými prostředky ve skupině prostředků.
- Zachytávání proměnných paketů: Zachytává data paketů do a z virtuálního počítače. Rozšířené možnosti filtrování a jemně vyladěné ovládací prvky, jako je možnost nastavit omezení času a velikosti, poskytují všestrannost. Data paketů mohou být uložena v úložišti objektů blob nebo na místním disku ve formátu .cap.
- Ověření toku protokolu IP: Kontroluje, jestli je paket povolený nebo zakázaný na základě parametrů paketu řazené kolekce členů pro informace o toku (cílová IP adresa, zdrojová IP adresa, cílový port, zdrojový port a protokol). Pokud skupina zabezpečení paket odmítne, vrátí se pravidlo a skupina, které paket zamítly.
- Další segment směrování: Určuje další segment směrování paketů směrovaných v síťových prostředcích infrastruktury Azure, takže můžete diagnostikovat jakékoli chybně nakonfigurované trasy definované uživatelem.
- Zobrazení skupiny zabezpečení: Získá efektivní a použitá pravidla zabezpečení, která se použijí na virtuálním počítači.
- Protokoly toku NSG pro skupiny zabezpečení sítě: Umožňuje zaznamenávat protokoly související s provozem, který je povolený nebo zakázaný pravidly zabezpečení ve skupině. Tok je definovaný 5 informacemi o řazené kolekci členů: zdrojová IP adresa, cílová IP adresa, zdrojový port, cílový port a protokol.
- Řešení potíží s bránou virtuální sítě a připojením: Poskytuje možnost řešit potíže s bránami a připojeními virtuální sítě.
- Limity předplatného sítě: Umožňuje zobrazit využití síťových prostředků na základě limitů.
- Diagnostické protokoly: Poskytuje jedno podokno pro povolení nebo zakázání diagnostických protokolů pro síťové prostředky ve skupině prostředků.
Další informace najdete v tématu Konfigurace služby Network Watcher.
Transparentnost přístupu poskytovatele cloudových služeb
Customer Lockbox pro Microsoft Azure je služba integrovaná do webu Azure Portal, která poskytuje explicitní kontrolu ve výjimečných případech, když může technik podpora Microsoftu potřebovat přístup k vašim datům k vyřešení problému.
Existuje velmi málo instancí, jako je například problém s laděním vzdáleného přístupu, kdy technik podpora Microsoftu k vyřešení tohoto problému vyžaduje zvýšená oprávnění. V takových případech používají technici Microsoftu službu přístupu za běhu, která poskytuje omezenou časově omezenou autorizaci s přístupem omezeným přístupem ke službě.
I když Microsoft vždy získal souhlas zákazníka pro přístup, Customer Lockbox vám teď umožňuje tyto žádosti z webu Azure Portal zkontrolovat a schválit nebo zamítnout. Technici podpory Microsoftu nebudou uděleni přístup, dokud žádost neschválíte.
Standardizovaná a vyhovující nasazení
Azure Blueprints umožňuje cloudovým architektům a centrálním skupinám informačních technologií definovat opakovatelnou sadu prostředků Azure, které implementují a dodržují standardy, vzory a požadavky organizace.
Díky tomu můžou týmy DevOps rychle vytvářet nová prostředí a důvěřovat jim, že vytvářejí pomocí infrastruktury, která udržuje dodržování předpisů organizace.
Podrobné plány poskytují deklarativní způsob orchestrace nasazení různých šablon prostředků a dalších artefaktů, jako jsou:
- Přiřazení rolí
- Přiřazení zásad
- Šablony Azure Resource Manageru
- Skupiny zdrojů
DevOps
Před vývojem aplikací developer Operations (DevOps) měly týmy na starosti shromažďování obchodních požadavků na softwarový program a psaní kódu. Pak samostatný tým pro kontrolu kvality otestoval program v izolovaném vývojovém prostředí. Pokud byly splněny požadavky, tým pro kontrolu kvality vydal kód pro operace, které se mají nasadit. Týmy nasazení se dále rozdělily do skupin, jako jsou sítě a databáze. Pokaždé, když byl softwarový program "vyvolán přes zeď" nezávislému týmu, přidal kritické body.
DevOps umožňuje týmům poskytovat bezpečnější a kvalitnější řešení rychleji a levněji. Zákazníci očekávají dynamické a spolehlivé prostředí při využívání softwaru a služeb. Týmy musí rychle iterovat aktualizace softwaru a měřit dopad aktualizací. Musí rychle reagovat s novými iteracemi vývoje, aby vyřešily problémy nebo poskytovaly větší hodnotu.
Cloudové platformy, jako je Microsoft Azure, odstranily tradiční kritické body a pomohly komoditizovat infrastrukturu. Software vládne v každé firmě jako klíčový rozdíl a faktor v obchodních výsledcích. Žádná organizace, vývojář ani it pracovník nemůže nebo by se neměl vyhnout přesunu DevOps.
Vyspělí odborníci na DevOps přijmou několik následujících postupů. Tyto postupy zahrnují lidi , kteří vytvářejí strategie na základě obchodních scénářů. Nástroje můžou pomoct automatizovat různé postupy.
- Techniky agilního plánování a řízení projektů se používají k plánování a izolaci práce do sprintů, správě týmové kapacity a pomáhají týmům rychle se přizpůsobovat měnícím se obchodním potřebám.
- Správa verzí, obvykle s Gitem, umožňuje týmům umístěným kdekoli na světě sdílet zdroj a integrovat je s nástroji pro vývoj softwaru k automatizaci kanálu vydávání verzí.
- Kontinuální integrace řídí probíhající slučování a testování kódu, což vede k včasnému zjištění vad. Mezi další výhody patří kratší doba plýtvání problémy s sloučením a rychlá zpětná vazba pro vývojové týmy.
- Průběžné doručování softwarových řešení do produkčního a testovacího prostředí pomáhá organizacím rychle opravit chyby a reagovat na neustále se měnící obchodní požadavky.
- Monitorování spuštěných aplikací – včetně produkčních prostředí pro stav aplikací a také využití zákazníků – pomáhá organizacím vytvořit hypotézu a rychle ověřit nebo vyvrátit strategie. Formátovaná data se zaznamenávají a ukládají v různých formátech protokolování.
- Infrastruktura jako kód (IaC) je postup, který umožňuje automatizaci a ověřování vytváření a odstraňování sítí a virtuálních počítačů, které pomáhají s poskytováním zabezpečených a stabilních hostitelských platforem aplikací.
- Architektura mikroslužeb se používá k izolaci případů obchodního použití do malých opakovaně použitelných služeb. Tato architektura umožňuje škálovatelnost a efektivitu.
Další kroky
Další informace o řešení zabezpečení a auditu najdete v následujících článcích: