Úvod do zabezpečení Azure

Zabezpečení je důležité v dnešním cloudovém prostředí. Kybernetické hrozby se neustále vyvíjejí a chrání vaše data, aplikace a infrastrukturu vyžadují komplexní vícevrstvý přístup. Víme, že zabezpečení je úloha v cloudu a jak důležité je najít přesné a včasné informace o zabezpečení Azure.

Tento článek obsahuje komplexní přehled o zabezpečení, které je k dispozici v Azure. Ucelené zobrazení zabezpečení Azure uspořádané podle možností ochrany, detekce a reakce najdete v tématu Kompletní zabezpečení v Azure.

Přístup Azure k hloubkové bezpečnostní ochraně

Azure využívá strategii obrany do hloubky, která poskytuje více vrstev ochrany zabezpečení v celou architekturou systému – od fyzických datacenter po výpočetní prostředky, úložiště, sítě, aplikace a identitu. Tento přístup s více vrstvami zajišťuje, že pokud dojde k ohrožení zabezpečení jedné vrstvy, další vrstvy budou i nadále chránit vaše prostředky.

Infrastruktura Azure je od základů důkladně sestavená, zahrnuje vše od fyzických zařízení až po aplikace a bezpečně hostovat miliony zákazníků současně. Tento robustní základ umožňuje firmám s jistotou splnit požadavky na zabezpečení. Informace o tom, jak Microsoft zabezpečuje samotnou platformu Azure, najdete v tématu Zabezpečení infrastruktury Azure. Podrobnosti o zabezpečení fyzického datacentra najdete v tématu Fyzické zabezpečení Azure.

Azure je platforma veřejných cloudových služeb, která podporuje široký výběr operačních systémů, programovacích jazyků, architektur, nástrojů, databází a zařízení. Může spouštět kontejnery Linuxu s integrací Dockeru; sestavování aplikací pomocí JavaScriptu, Pythonu, .NET, PHP, Javy a Node.js; sestavte back-endy pro zařízení s iOSem, Androidem a Windows. Veřejné cloudové služby Azure podporují stejné technologie, které miliony vývojářů a IT specialistů už využívají a důvěřují jim.

Integrované zabezpečení platformy

Azure poskytuje výchozí ochranu zabezpečení integrovanou do platformy, která pomáhá chránit vaše prostředky od okamžiku, kdy jsou nasazené. Komplexní informace o možnostech zabezpečení platformy Azure najdete v přehledu zabezpečení platformy Azure.

• Ochrana sítě: Azure DDoS Protection automaticky chrání vaše prostředky před distribuovanými útoky na dostupnost služby
• Šifrování ve výchozím nastavení: Šifrování neaktivních uložených dat je ve výchozím nastavení povolené pro Azure Storage, SQL Database a mnoho dalších služeb.
• Zabezpečení identity: Microsoft Entra ID poskytuje zabezpečené ověřování a autorizaci pro všechny služby Azure
• Detekce hrozeb: Integrované monitorování detekce hrozeb pro podezřelé aktivity napříč prostředky Azure
• Dodržování předpisů: Azure udržuje největší portfolio dodržování předpisů v oboru, které pomáhá splnit zákonné požadavky.

Tyto základní kontrolní mechanismy zabezpečení fungují nepřetržitě na pozadí, aby chránily cloudovou infrastrukturu bez další konfigurace vyžadované pro základní ochranu.

Sdílená odpovědnost v cloudu

I když Azure poskytuje robustní zabezpečení platformy, zabezpečení v cloudu je sdílenou odpovědností mezi Microsoftem a našimi zákazníky. Rozdělení zodpovědností závisí na vašem modelu nasazení (IaaS, PaaS nebo SaaS):

• Odpovědnost Microsoftu: Azure zabezpečuje základní infrastrukturu, včetně fyzických datacenter, hardwaru, síťové infrastruktury a hostitelského operačního systému.
• Vaše odpovědnost: Zodpovídáte za zabezpečení dat, aplikací, identit a správy přístupu.

Každá úloha a aplikace se liší s jedinečnými požadavky na zabezpečení na základě oborových předpisů, citlivosti dat a obchodních potřeb. Tady přichází do hry pokročilé služby zabezpečení Azure. Další informace o modelu sdílené odpovědnosti najdete v tématu Sdílená odpovědnost v cloudu.

Note

Primárním cílem tohoto dokumentu je ovládací prvky, které můžete použít k přizpůsobení a zvýšení zabezpečení pro vaše aplikace a služby.

Pokročilé služby zabezpečení pro každou úlohu

Pro splnění jedinečných požadavků na zabezpečení poskytuje Azure komplexní sadu pokročilých služeb zabezpečení, které můžete nakonfigurovat a přizpůsobit pro vaše konkrétní potřeby. Tyto služby jsou uspořádané do šesti funkčních oblastí: Operace, Aplikace, Úložiště, Sítě, Výpočty a Identita. Komplexní katalog služeb a technologií zabezpečení najdete v tématu Služby a technologie zabezpečení Azure.

Kromě toho azure nabízí širokou škálu konfigurovatelných možností zabezpečení a možnost jejich řízení, abyste mohli přizpůsobit zabezpečení tak, aby splňovalo jedinečné požadavky nasazení vaší organizace. Tento dokument vám pomůže pochopit, jak vám můžou možnosti zabezpečení Azure pomoct splnit tyto požadavky.

Strukturované zobrazení kontrolních mechanismů a směrných plánů zabezpečení Azure najdete v srovnávacím testu zabezpečení cloudu Microsoftu, který poskytuje komplexní pokyny k zabezpečení pro služby Azure. Informace o možnostech technického zabezpečení Azure najdete v technických možnostech zabezpečení Azure.

Zabezpečení výpočetních prostředků

Zabezpečení virtuálních počítačů a výpočetních prostředků je zásadní pro ochranu úloh v Azure. Azure poskytuje několik vrstev zabezpečení výpočetních prostředků, od hardwarových ochrany až po detekci softwarových hrozeb. Podrobné informace o zabezpečení virtuálních počítačů najdete v přehledu zabezpečení virtuálních počítačů Azure.

Ověřené spuštění

Důvěryhodné spuštění je výchozí pro nově vytvořené virtuální počítače Azure 2. generace a škálovací sady virtuálních počítačů. Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku, včetně spouštěcích sad, rootkitů a malwaru na úrovni jádra.

Důvěryhodné spuštění poskytuje:

• Zabezpečené spouštění: Chrání před instalací rootkitů a spouštěcích sad založených na malwaru tím, že zajišťuje, že se můžou spouštět pouze podepsané operační systémy a ovladače.
• vTPM (virtual Trusted Platform Module): Vyhrazený zabezpečený trezor pro klíče a měření, který umožňuje poskytování důkazu a ověření integrity spouštěcího procesu.
• Monitorování integrity spouštění: Používá ověření identity prostřednictvím programu Microsoft Defender for Cloud k ověření integrity spouštěcího řetězce a upozornění na selhání.

Důvěryhodné spuštění je možné povolit na existujících virtuálních počítačích a škálovacích sadách virtuálních počítačů.

Důvěrné výpočetní prostředí Azure

Důvěrné výpočetní prostředí Azure poskytuje poslední chybějící část puzzle ochrany dat. Umožňuje uchovávat data vždy zašifrovaná. Ať už jsou data v klidovém stavu, pohybují se sítí, nebo jsou aktuálně načtená do paměti a používána. Kromě toho díky možnosti vzdáleného ověření identity můžete kryptograficky ověřit, že se virtuální počítač, který nasadíte, bezpečně nasadí a správně nakonfiguruje, před odemknutím dat.

Spektrum možností se liší od povolení scénářů "lift and shift" stávajících aplikací až po plnou kontrolu nad funkcemi zabezpečení. Pro infrastrukturu jako službu (IaaS) můžete použít:

• Důvěrné virtuální počítače s technologií AMD SEV-SNP: Hardwarové šifrování paměti s šifrovanou pamětí až 256 GB
• Důvěrné virtuální počítače s technologií Intel TDX: Rozšíření důvěryhodné domény Intel poskytují vylepšený výkon a zabezpečení
• Důvěrné virtuální počítače s grafickými procesory NVIDIA H100: Důvěrné výpočetní operace akcelerované gpu pro úlohy AI/ML
• Enklávy důvěrných aplikací s Intel SGX: Izolace na úrovni aplikace pro citlivý kód a data

Azure pro platformu jako službu (PaaS) nabízí několik možností důvěrného výpočetního prostředí založeného na kontejnerech, včetně integrace se službou Azure Kubernetes Service (AKS).

Antimalware a antivirová ochrana

S Azure IaaS můžete používat antimalwarový software od dodavatelů zabezpečení, jako jsou Microsoft, Symantec, Trend Micro, McAfee a Symantec, k ochraně virtuálních počítačů před škodlivými soubory, adwarem a dalšími hrozbami. Microsoft Antimalware pro Azure Virtual Machines je funkce ochrany, která pomáhá identifikovat a odstranit viry, spyware a další škodlivý software. Microsoft Antimalware poskytuje konfigurovatelné výstrahy, když se známý škodlivý nebo nežádoucí software pokusí nainstalovat sám sebe nebo spustit ve vašich systémech Azure. Microsoft Antimalware je možné nasadit také pomocí programu Microsoft Defender for Cloud.

Note

Pro moderní ochranu zvažte Microsoft Defender for Servers , který poskytuje rozšířenou ochranu před hrozbami, včetně detekce koncových bodů a reakce (EDR) prostřednictvím integrace s Microsoft Defenderem for Endpoint.

Hardwarový bezpečnostní modul

Šifrování a ověřování nezlepšují zabezpečení, pokud samotné klíče nejsou chráněné. Správu a zabezpečení důležitých tajných kódů a klíčů můžete zjednodušit jejich uložením ve službě Azure Key Vault. Key Vault nabízí možnost ukládat klíče do hardwarových modulů zabezpečení (HSM) certifikovaných pro standardy FIPS 140-3 Úrovně 3 . Šifrovací klíče SQL Serveru pro zálohování nebo transparentní šifrování dat můžou být uložené ve službě Key Vault s libovolnými klíči nebo tajnými klíči z vašich aplikací. Oprávnění a přístup k těmto chráněným položkám se spravují prostřednictvím ID Microsoft Entra.

Podrobné informace o možnostech správy klíčů, včetně služby Azure Key Vault, spravovaného HSM a platebního HSM, najdete v tématu Správa klíčů v Azure.

Zálohování virtuálních počítačů

Azure Backup je řešení, které chrání data vašich aplikací s nulovou kapitálovou investicí a minimálními provozními náklady. Chyby aplikace můžou poškodit vaše data a lidské chyby můžou do vašich aplikací způsobit chyby, které můžou vést k problémům se zabezpečením. Díky službě Azure Backup jsou vaše virtuální počítače s Windows a Linuxem chráněné.

Azure Site Recovery

Důležitou součástí strategie provozní kontinuity a zotavení po havárii (BCDR) vaší organizace je zjištění, jak udržovat podnikové úlohy a aplikace v provozu, když dojde k plánovaným a neplánovaným výpadkům. Azure Site Recovery pomáhá orchestrovat replikaci, převzetí služeb při selhání a obnovení úloh a aplikací, aby byly dostupné ze sekundárního umístění, pokud dojde k výpadku primárního umístění.

Transparentní šifrování dat SQL VM (TDE)

Transparentní šifrování dat (TDE) a šifrování na úrovni sloupců (CLE) jsou funkce šifrování SQL Serveru. Tato forma šifrování vyžaduje, aby zákazníci mohli spravovat a ukládat kryptografické klíče, které používáte k šifrování.

Služba Azure Key Vault (AKV) je navržená tak, aby zlepšila zabezpečení a správu těchto klíčů v zabezpečeném a vysoce dostupném umístění. Konektor SQL Serveru umožňuje SQL Serveru používat tyto klíče ze služby Azure Key Vault.

Pokud používáte SQL Server s místními počítači, můžete postupovat podle kroků pro přístup ke službě Azure Key Vault z místní instance SQL Serveru. Pro SQL Server na virtuálních počítačích Azure ale můžete ušetřit čas pomocí funkce integrace služby Azure Key Vault. S několika rutinami Azure PowerShellu pro povolení této funkce můžete automatizovat konfiguraci potřebnou pro virtuální počítač SQL pro přístup k trezoru klíčů.

Úplný seznam osvědčených postupů zabezpečení databází najdete v kontrolním seznamu zabezpečení databáze Azure.

Šifrování disků virtuálního počítače

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli . Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Pro moderní šifrování virtuálních počítačů nabízí Azure:

• Šifrování na hostiteli: Poskytuje komplexní šifrování dat virtuálních počítačů, včetně dočasných disků a mezipamětí disku s operačním systémem nebo datovým diskem.
• Šifrování důvěrných disků: K dispozici u důvěrných virtuálních počítačů pro hardwarové šifrování
• Šifrování na straně serveru s využitím klíčů spravovaných zákazníkem: Správa vlastních šifrovacích klíčů prostřednictvím služby Azure Key Vault

Další informace najdete v tématu Přehled možností šifrování spravovaných disků.

Virtuální síť

Virtuální počítače potřebují síťové připojení. Aby bylo možné tento požadavek podporovat, vyžaduje Azure, aby byly virtuální počítače připojené k virtuální síti Azure. Virtuální síť Azure je logická konstrukce postavená nad fyzickou síťovou strukturou Azure. Každá logická virtuální síť Azure je izolovaná od všech ostatních virtuálních sítí Azure. Tato izolace pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný pro ostatní zákazníky Microsoft Azure.

Aktualizace záplat

Aktualizace oprav poskytují základ pro hledání a řešení potenciálních problémů a zjednodušují proces správy aktualizací softwaru tím, že snižují počet aktualizací softwaru, které musíte nasadit ve svém podniku, a tím, že zvýšíte schopnost monitorovat dodržování předpisů.

Správa a reportování zásad zabezpečení

Defender for Cloud pomáhá předcházet hrozbám, odhalovat je a reagovat na ně a poskytuje vám zvýšenou viditelnost do zabezpečení vašich prostředků Azure a kontrolu nad nimi. Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá zjišťovat hrozby, které by jinak nemusely být nepovšimnuty, a funguje s širokým ekosystémem řešení zabezpečení.

Zabezpečení aplikací

Zabezpečení aplikací se zaměřuje na ochranu aplikací před hrozbami v průběhu jejich životního cyklu – od vývoje po nasazení a modul runtime. Azure poskytuje komplexní nástroje pro zabezpečený vývoj, testování a ochranu aplikací. Pokyny k vývoji zabezpečených aplikací najdete v tématu Vývoj zabezpečených aplikací v Azure. Osvědčené postupy zabezpečení specifické pro PaaS najdete v tématu Zabezpečení nasazení PaaS. Zabezpečení nasazení IaaS najdete v tématu Osvědčené postupy zabezpečení pro úlohy IaaS v Azure.

Penetrační testování

Neprovádíme penetrační testování vaší aplikace za vás, ale chápeme, že chcete a potřebujete provést testování na vlastních aplikacích. Oznámení Microsoftu o aktivitách penetračního testování již není nutné, zákazníci však musí stále dodržovat pravidla pro penetrační testování Microsoftu.

Firewall webových aplikací

Firewall webových aplikací (WAF) ve službě Azure Application Gateway poskytuje ochranu webových aplikací před běžnými webovými útoky, jako jsou injektáž SQL, skriptování mezi weby a napadení relací. Je předem nakonfigurovaná tak, aby se chránila před 10 hlavními ohroženími zabezpečení identifikovanými projektem OWASP (Open Web Application Security Project).

Ověřování a autorizace ve službě Azure App Service

Ověřování nebo autorizace služby App Service je funkce, která vaší aplikaci poskytuje způsob, jak se přihlásit uživatele, abyste nemuseli měnit kód v back-endu aplikace. Poskytuje snadný způsob, jak chránit aplikaci a pracovat s uživatelskými daty.

Architektura vrstveného zabezpečení

Vzhledem k tomu, že služba App Service Environment poskytuje izolované běhové prostředí nasazené ve službě Azure Virtual Network, můžou vývojáři vytvořit vrstvenou architekturu zabezpečení poskytující různé úrovně síťového přístupu pro každou aplikační vrstvu. Je běžné skrývat back-endy API před obecným přístupem k internetu a povolit volání těchto rozhraní pouze nadřazenými webovými aplikacemi. Skupiny zabezpečení sítě (NSG) je možné použít v podsítích služby Azure Virtual Network obsahujících službu App Service Environment k omezení veřejného přístupu k aplikacím API.

Webové aplikace App Service nabízejí robustní diagnostické funkce pro zachytávání protokolů z webového serveru i webové aplikace. Tyto diagnostiky jsou rozdělené do diagnostiky webového serveru a diagnostiky aplikací. Diagnostika webového serveru zahrnuje významný pokrok při diagnostice a řešení potíží s weby a aplikacemi.

První nová funkce je informace o stavu aplikací, pracovních procesů, webů, domén aplikací a spouštění požadavků v reálném čase. Druhými novými výhodami jsou podrobné události trasování, které sledují požadavek během celého procesu žádosti a odpovědi.

Aby bylo možné povolit shromažďování těchto událostí trasování, je možné službu IIS 7 nakonfigurovat tak, aby automaticky zaznamenávala komplexní protokoly trasování ve formátu XML pro konkrétní požadavky. Kolekce může být založená na uplynulých časech nebo kódech odpovědí na chyby.

Zabezpečení úložiště

Zabezpečení úložiště je nezbytné pro ochranu dat v klidovém stavu a během přenosu. Azure poskytuje několik vrstev šifrování, řízení přístupu a možností monitorování, aby vaše data zůstala zabezpečená. Podrobné informace o šifrování dat najdete v přehledu služby Azure Encryption. Možnosti správy klíčů najdete v tématu Správa klíčů v Azure. Osvědčené postupy šifrování dat najdete v tématu Osvědčené postupy zabezpečení a šifrování dat Azure.

Řízení přístupu na základě role v Azure (Azure RBAC)

Účet úložiště můžete zabezpečit pomocí řízení přístupu na základě role v Azure (Azure RBAC). Omezení přístupu na základě potřeby znát a zásady zabezpečení s nejnižšími oprávněními je nezbytné pro organizace, které chtějí vynutit zásady zabezpečení pro přístup k datům. Tato přístupová práva jsou udělena přiřazením příslušné role Azure skupinám a aplikacím v určitém rozsahu. K přiřazení oprávnění uživatelům můžete použít předdefinované role Azure, jako je přispěvatel účtu úložiště. Přístup k klíčům úložiště pro účet úložiště pomocí modelu Azure Resource Manager je možné řídit prostřednictvím Azure RBAC.

sdílený přístupový podpis

Sdílený přístupový podpis (SAS) poskytuje delegovaný přístup k prostředkům ve vašem účtu úložiště. SAS znamená, že můžete klientovi udělit omezená oprávnění k objektům ve vašem účtu úložiště po určitou dobu a se zadanou sadou oprávnění. Tato omezená oprávnění můžete udělit, aniž byste museli sdílet přístupové klíče k účtu.

Šifrování během přenosu

Šifrování při přenosu je mechanismus ochrany dat při přenosu mezi sítěmi. Se službou Azure Storage můžete zabezpečit data pomocí:

• Šifrování na úrovni přenosu, například HTTPS při přenosu dat do nebo ze služby Azure Storage.

• Šifrování připojení, jako je šifrování SMB 3.0 pro sdílené složky Azure

• Šifrování na straně klienta pro šifrování dat před přenosem do úložiště a dešifrování dat po jejich přenosu z úložiště.

Šifrování dat v klidu

V mnoha organizacích je šifrování neaktivních uložených dat povinným krokem k ochraně osobních údajů, dodržování předpisů a suverenitě dat. Existují tři funkce zabezpečení úložiště Azure, které poskytují šifrování neaktivních uložených dat:

• Šifrování služby Storage umožňuje požadovat, aby služba úložiště při zápisu do Azure Storage automaticky šifruje data.

• Šifrování na straně klienta také poskytuje funkci šifrování neaktivních uložených dat.

• Azure Disk Encryption pro virtuální počítače s Linuxem a Azure Disk Encryption pro virtuální počítače s Windows umožňuje šifrovat disky s operačním systémem a datové disky používané virtuálním počítačem IaaS.

Analýza úložiště

Azure Analýza úložiště provádí protokolování a poskytuje data metrik pro účet úložiště. Tato data můžete použít k trasování požadavků, analýze trendů použití a diagnostice problémů s účtem úložiště. Analýza úložiště protokoluje podrobné informace o úspěšných a neúspěšných požadavcích na službu úložiště. Tyto informace je možné použít k monitorování jednotlivých požadavků a diagnostice problémů se službou úložiště. Požadavky se zaznamenávají na základě nejlepšího možného úsilí. Protokolují se následující typy ověřených požadavků:

• Úspěšné požadavky.
• Neúspěšné požadavky, včetně vypršení časového limitu, omezení výkonu, síťových, autorizačních a dalších chyb.
• Požadavky využívající sdílený přístupový podpis (SAS), včetně neúspěšných a úspěšných požadavků.
• Požadavky na analytická data

Povolení klientů založených na prohlížeči pomocí CORS

Cross-Origin Resource Sharing (CORS) je mechanismus, který umožňuje doménám vzájemně si udělovat oprávnění pro přístup k prostředkům. Uživatelský agent odesílá další hlavičky, aby zajistil, že kód JavaScriptu načtený z určité domény má povolený přístup k prostředkům umístěným v jiné doméně. Druhá doména pak odpoví dalšími hlavičkami, které povolují nebo zakazují přístup k původním prostředkům domény.

Služby Azure Storage teď podporují CORS, takže jakmile nastavíte pravidla CORS pro službu, vyhodnotí se správně ověřený požadavek vůči službě z jiné domény, abyste zjistili, jestli je povolená podle vámi zadaných pravidel.

Zabezpečení sítě

Zabezpečení sítě řídí tok provozu do a z vašich prostředků Azure. Azure poskytuje komplexní sadu služeb zabezpečení sítě, od základního firewallu po pokročilou ochranu před hrozbami a globální vyrovnávání zatížení. Komplexní informace o zabezpečení sítě najdete v přehledu zabezpečení sítě Azure. Osvědčené postupy zabezpečení sítě najdete v osvědčených postupech zabezpečení sítě Azure.

Ovládací prvky síťové vrstvy

Řízení přístupu k síti je omezení připojení k určitým zařízením nebo podsítím a představuje jádro zabezpečení sítě. Cílem řízení přístupu k síti je zajistit, aby vaše virtuální počítače a služby byly přístupné jenom uživatelům a zařízením, kterým chcete přístup.

Skupiny zabezpečení sítě

Skupina zabezpečení sítě (NSG) je základní stavová brána firewall pro filtrování paketů, která umožňuje řídit přístup na základě pětituply. Skupiny zabezpečení sítě neposkytují kontrolu aplikační vrstvy ani ověřené řízení přístupu. Dají se použít k řízení provozu mezi podsítěmi v rámci virtuální sítě Azure a přenosy mezi virtuální sítí Azure a internetem.

Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jedná se o plně stavový firewall jako služba s integrovanou vysokou dostupností a neomezenou škálovatelností v cloudu. Zajišťuje kontrolu provozu na východ-západ i sever-jih.

Azure Firewall se nabízí ve třech SKU: Basic, Standard a Premium:

• Azure Firewall Basic – Navržená pro malé a střední firmy, která nabízí základní ochranu za cenově dostupnou cenu
• Azure Firewall Standard – poskytuje L3-L7 filtrování, informační kanály analýzy hrozeb od Microsoft Cyber Security a může se škálovat na 30 Gb/s.
• Azure Firewall Premium – Rozšířená ochrana před hrozbami pro vysoce citlivá a regulovaná prostředí s:
  • Kontrola protokolu TLS: Dešifruje odchozí provoz, zpracuje ho pro hrozby a pak se před odesláním do cíle znovu zašifruje.
  • IDPS (systém detekce a prevence neoprávněných vniknutí):: IDPS založené na podpisu s více než 67 000 podpisy ve více než 50 kategoriích, aktualizováno o 20 až 40 nových pravidel denně
  • Filtrování adres URL: Rozšiřuje filtrování plně kvalifikovaného názvu domény tak, aby zahrnulo celou cestu URL.
  • Pokročilé webové kategorie: Rozšířená kategorizace založená na úplných adresách URL pro provoz HTTP i HTTPS
  • Vylepšený výkon: Vertikální navýšení kapacity až 100 Gb/s podporou 10 Gb/s toku tuku
  • Dodržování předpisů PCI DSS: Splňuje standardní požadavky na zabezpečení dat v odvětví platebních karet

Azure Firewall Premium je nezbytné pro ochranu před ransomwarem, protože dokáže detekovat a blokovat připojení k příkazům a řízení (C&C) používané ransomwarem k načtení šifrovacích klíčů. Přečtěte si další informace o ochraně ransomwaru pomocí služby Azure Firewall.

Azure DDoS Protection

Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací nabízí vylepšené funkce pro ochranu před útoky DDoS. Automaticky se doladí tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti. Povolení ochrany je jednoduché v jakékoli nové nebo existující virtuální síti a nevyžaduje žádné změny vašich aplikací nebo prostředků.

Azure DDoS Protection nabízí dvě úrovně: DDoS Network Protection a DDoS IP Protection.

• DDoS Network Protection – poskytuje vylepšené funkce pro ochranu před útoky DDoS (Distributed Denial of Service). Funguje na síťových vrstvách 3 a 4 a zahrnuje pokročilé funkce, jako je podpora rychlé odezvy DDoS, ochrana nákladů a slevy na firewall webových aplikací (WAF).

• Ochrana IP před útoky DDoS – řídí se modelem IP s platbami za chráněnou IP adresu. Zahrnuje stejné základní technické funkce jako DDoS Network Protection, ale nenabízí další služby, jako je podpora rychlých odpovědí DDoS, ochrana nákladů a slevy WAF.

Řízení tras a vynucené tunelování

Schopnost řídit chování směrování ve virtuálních sítích Azure je důležitá schopnost zabezpečení sítě a řízení přístupu. Pokud například chcete zajistit, aby veškerý provoz do a z vaší virtuální sítě Azure procházel přes toto virtuální zařízení zabezpečení, musíte mít možnost řídit a přizpůsobit chování směrování. Můžete to provést konfigurací User-Defined tras v Azure.

User-Defined Trasy umožňují přizpůsobit příchozí a odchozí cesty pro přesuny do jednotlivých virtuálních strojů nebo podsítí a zajistit tak nejbezpečnější možnou trasu. Vynucené tunelování je mechanismus, pomocí kterého můžete zajistit, aby vaše služby nemohly inicializovat připojení k zařízením na internetu.

To se liší od schopnosti přijímat příchozí připojení a reagovat na ně. Front-endové webové servery musí odpovídat na požadavky z internetových hostitelů, a proto je povolený příchozí provoz z internetu na tyto webové servery a webové servery můžou reagovat.

Vynucené tunelování se běžně používá k tomu, aby odchozí provoz do internetu procházel přes místní bezpečnostní proxy servery a brány firewall.

Zařízení zabezpečení virtuální sítě

I když skupiny zabezpečení sítě, uživatelsky definované trasy a vynucené tunelování poskytují úroveň zabezpečení v síťové a přenosové vrstvě modelu OSI, může se stát, že budete chtít povolit zabezpečení ve vyšších vrstvách zásobníku. K těmto rozšířeným funkcím zabezpečení sítě můžete přistupovat pomocí řešení zabezpečení partnerské sítě Azure. Nejnovější řešení zabezpečení partnerských sítí Azure najdete tak, že navštívíte Azure Marketplace a vyhledáte zabezpečení sítě a zabezpečení sítě.

Virtuální síť Azure

Virtuální síť Azure (VNet) je představou vaší vlastní sítě v cloudu. Jedná se o logickou izolaci síťové struktury Azure, která je vyhrazena pro vaše předplatné. Můžete plně řídit bloky IP adres, nastavení DNS, zásady zabezpečení a směrovací tabulky v rámci této sítě. Virtuální síť můžete segmentovat do podsítí a umístit virtuální počítače Azure IaaS do virtuálních sítí Azure.

Kromě toho můžete virtuální síť připojit k místní síti pomocí jedné z možností připojení dostupných v Azure. V podstatě můžete rozšířit síť do Azure s úplnou kontrolou bloků IP adres s výhodou, kterou Poskytuje Azure v podnikovém měřítku.

Sítě Azure podporují různé scénáře zabezpečeného vzdáleného přístupu. Mezi ně patří:

• Připojení jednotlivých pracovních stanic k virtuální síti Azure

• Připojení místní sítě k virtuální síti Azure pomocí sítě VPN

• Připojení místní sítě k virtuální síti Azure pomocí vyhrazeného propojení WAN

• Vzájemné propojení virtuálních sítí Azure

Azure Virtual Network Manager

Azure Virtual Network Manager poskytuje centralizované řešení pro správu a zabezpečení virtuálních sítí ve velkém měřítku. Používá pravidla správce zabezpečení k centrálnímu definování a vynucování zásad zabezpečení v celé organizaci. Pravidla správce zabezpečení mají přednost před pravidly skupiny zabezpečení sítě (NSG) a používají se ve virtuální síti. Umožňuje organizacím vynucovat základní zásady pomocí pravidel správce zabezpečení, zároveň umožňuje podřízeným týmům přizpůsobit NSG podle jejich konkrétních potřeb na úrovni podsítí a síťové karty.

V závislosti na potřebách vaší organizace můžete k vynucování zásad zabezpečení použít akce Povolit, Odepřít nebo Vždy povolit :

Akce pravidla	Description
Allow	Povolí zadaný provoz ve výchozím nastavení. Podřízené skupiny zabezpečení sítě tento provoz stále přijímají a můžou ho zamítnout.
Vždy povolit	Povolte vždy zadaný provoz, bez ohledu na jiná pravidla s nižší prioritou nebo síťové skupiny zabezpečení. To se dá použít k zajištění, že monitorovací agent, řadič domény nebo správní provoz není blokován.
Deny	Zablokujte zadaný provoz. Podřízené NSG nebudou vyhodnocovat tento provoz poté, co byl odepřen pravidlem správce zabezpečení, což zajistí, že vaše vysoce rizikové porty pro stávající a nové virtuální sítě jsou ve výchozím nastavení chráněny.

Ve Službě Azure Virtual Network Manager umožňují skupiny sítí seskupit virtuální sítě pro centralizovanou správu a vynucování zásad zabezpečení. Skupiny sítí jsou logické seskupení virtuálních sítí na základě vašich potřeb z hlediska topologie a zabezpečení. Členství ve virtuální síti ve skupinách sítě můžete aktualizovat ručně nebo můžete definovat podmíněné příkazy se službou Azure Policy , které dynamicky aktualizují skupiny sítě, aby automaticky aktualizovaly členství ve skupině sítě.

Azure Private Link

Azure Private Link umožňuje privátní přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a privátním službám hostovaným zákazníkům nebo partnerským službám Azure ve vaší virtuální síti přes privátní koncový bod. Nastavení a spotřeba s využitím služby Azure Private Link je konzistentní napříč prostředím Azure PaaS, službami vlastněnými zákazníky a sdílenými partnerskými službami. Provoz z vaší virtuální sítě do služby Azure zůstává vždy v páteřní síti Microsoft Azure.

Privátní koncové body umožňují zabezpečit důležité prostředky služby Azure pouze pro vaše virtuální sítě. Privátní koncový bod Azure používá privátní IP adresu z vaší virtuální sítě k privátnímu a bezpečnému připojení ke službě využívající Azure Private Link a efektivně přináší službu do vaší virtuální sítě. Zveřejnění virtuální sítě na veřejný internet už není nutné k využívání služeb v Azure.

Ve virtuální síti můžete také vytvořit vlastní službu privátního propojení. Služba Azure Private Link je odkazem na vaši vlastní službu, která využívá Službu Azure Private Link. Vaše služba, která běží za Službou Azure Standard Load Balancer, může být povolená pro přístup ke službě Private Link, aby k ní uživatelé mohli přistupovat soukromě ze svých vlastních virtuálních sítí. Vaši zákazníci můžou ve své virtuální síti vytvořit privátní koncový bod a namapovat ho na tuto službu. Zpřístupnění vaší služby na veřejném internetu už není nutné k poskytování služeb v Azure.

Brána VPN

Pokud chcete odesílat síťový provoz mezi virtuální sítí Azure a místní lokalitou, musíte pro virtuální síť Azure vytvořit bránu VPN. Brána VPN je typ brány virtuální sítě, která odesílá šifrovaný provoz přes veřejné připojení. Brány VPN můžete také použít k odesílání provozu mezi virtuálními sítěmi Azure přes síťové prostředky infrastruktury Azure.

ExpressRoute

Microsoft Azure ExpressRoute je vyhrazený odkaz WAN, který umožňuje rozšířit místní sítě do cloudu Microsoftu přes vyhrazené privátní připojení, které usnadňuje poskytovatel připojení.

Pomocí ExpressRoute můžete vytvořit připojení ke cloudovým službám Microsoftu, například Microsoft Azure a Microsoft 365. Připojení může být ze sítě VPN typu any-to-any (IP), ethernetové sítě typu point-to-point nebo z virtuálního křížového připojení prostřednictvím poskytovatele připojení v kolokačním zařízení.

Připojení ExpressRoute neprocházejí přes veřejný internet, a proto je možné považovat za bezpečnější než řešení založená na síti VPN. Díky tomu připojení ExpressRoute nabízejí větší spolehlivost, rychlejší rychlost, nižší latenci a vyšší zabezpečení než typická připojení přes internet.

Aplikační brána

Microsoft Azure Application Gateway poskytuje jako službu ADC (Application Delivery Controller) jako službu, která pro vaši aplikaci nabízí různé možnosti vyrovnávání zatížení vrstvy 7.

Umožňuje optimalizovat produktivitu webové farmy tím, že přesměruje ukončení protokolu TLS náročného na procesor do služby Application Gateway (označuje se také jako přesměrování zpracování protokolu TLS nebo přemostění protokolu TLS). Poskytuje také další možnosti směrování vrstvy 7, včetně rozdělení zátěže metodou round-robin pro distribuci příchozího provozu, správy relací na základě cookies, směrování na základě URL cesty a možnosti hostování více webů za jedinou bránou aplikace. Azure Application Gateway je nástroj pro vyrovnávání zatížení vrstvy 7.

Poskytuje převzetí služeb při selhání a výkonové směrování požadavků HTTP mezi různé servery, ať už jsou v cloudu nebo v místním prostředí.

Aplikace poskytuje řadu funkcí ADC (Application Delivery Controller), včetně vyrovnávání zatížení HTTP, založení relací na cookies, TLS odlehčování, vlastních sond stavu, podpory pro více míst a mnoha dalších.

Web Application Firewall

Firewall webových aplikací je funkce služby Azure Application Gateway , která poskytuje ochranu webovým aplikacím, které používají aplikační bránu pro standardní funkce ADC (Application Delivery Control). Firewall webových aplikací to dělá tím, že je chrání před většinou nejčastějších ohrožení zabezpečení webu OWASP.

• Ochrana před útoky prostřednictvím injektáže SQL.

• Ochrana před běžnými webovými útoky, jako jsou injektáž příkazů, pašování požadavků HTTP, rozdělení odpovědí HTTP a vzdálené zahrnutí souborů

• Ochrana před narušením protokolu HTTP.

• Ochrana před anomáliemi protokolu HTTP, například chybějícím hostitelem, uživatelským agentem a hlavičkami accept

• Ochrana před roboty, prohledávacími moduly a skenery.

• Detekce běžných chyb konfigurace aplikací (např. Apache, IIS)

Centralizovaný firewall webových aplikací (WAF) zjednodušuje správu zabezpečení a vylepšuje ochranu před webovými útoky. Poskytuje lepší záruku před hrozbami vniknutí a dokáže rychleji reagovat na bezpečnostní hrozby tím, že opraví známá ohrožení zabezpečení centrálně, a ne zabezpečí každou jednotlivou webovou aplikaci. Stávající aplikační brány je možné snadno upgradovat tak, aby zahrnovaly firewall webových aplikací.

Azure Front Door

Azure Front Door je globální škálovatelný vstupní bod, který používá globální hraniční síť Microsoftu k vytváření rychlých, zabezpečených a široce škálovatelných webových aplikací. Front Door poskytuje:

• Globální vyrovnávání zatížení: Distribuce provozu mezi více back-endy v různých oblastech
• Integrovaná brána firewall webových aplikací: Ochrana před běžnými webovými zranitelnostmi a útoky
• Ochrana před útoky DDoS: Integrovaná ochrana před distribuovanými útoky na dostupnost služby
• Přesměrování zpracování SSL/TLS: Centralizovaná správa certifikátů a šifrování provozu
• Směrování na základě adresy URL: Směrování provozu do různých back-endů na základě vzorů adres URL

Front Door kombinuje doručování obsahu, akceleraci aplikací a zabezpečení do jedné služby.

Správce provozu

Microsoft Azure Traffic Manager umožňuje řídit distribuci uživatelského provozu pro koncové body služeb v různých datacentrech. Koncové body služeb podporované Traffic Managerem zahrnují virtuální počítače Azure, Web Apps a cloudové služby. Traffic Manager můžete použít také s externími koncovými body mimo Azure.

Traffic Manager pomocí systému DNS (Domain Name System) směruje požadavky klientů na nejvhodnější koncový bod na základě metody směrování provozu a stavu koncových bodů. Traffic Manager poskytuje řadu metod směrování provozu, které vyhovují různým potřebám aplikace, monitorování stavu koncových bodů a automatickému převedení při selhání. Traffic Manager je odolný proti selhání, včetně selhání celé oblasti Azure.

Azure Load Balancer

Azure Load Balancer zajišťuje vysokou dostupnost a výkon sítě pro vaše aplikace. Jedná se o nástroj pro vyrovnávání zatížení vrstvy 4 (TCP, UDP), který distribuuje příchozí provoz mezi instance služby definované v sadě s vyrovnáváním zatížení. Azure Load Balancer je možné nakonfigurovat na:

• Vyrovnávání zatížení příchozího internetového provozu do virtuálních počítačů Tato konfigurace se označuje jako veřejné vyrovnávání zatížení.

• Vyrovnávání zatížení provozu mezi virtuálními počítači ve virtuální síti, mezi virtuálními počítači v cloudových službách nebo mezi místními počítači a virtuálními počítači v místní virtuální síti. Tato konfigurace se označuje jako interní vyrovnávání zatížení.

• Přesměrování externího provozu na konkrétní virtuální počítač

Interní DNS

Seznam serverů DNS použitých ve virtuální síti můžete spravovat na portálu pro správu nebo v konfiguračním souboru sítě. Zákazník může přidat až 12 serverů DNS pro každou virtuální síť. Při zadávání serverů DNS je důležité ověřit, že vypíšete servery DNS zákazníka ve správném pořadí pro prostředí zákazníka. Seznamy DNS serverů nefungují metodou round-robin. Použijí se v pořadí, ve kterém jsou zadané. Pokud je možné získat přístup k prvnímu serveru DNS v seznamu, klient použije tento server DNS bez ohledu na to, jestli server DNS funguje správně nebo ne. Pokud chcete změnit pořadí serverů DNS pro virtuální síť zákazníka, odeberte servery DNS ze seznamu a přidejte je zpět v požadovaném pořadí. DNS podporuje aspekt dostupnosti triády "CIA".

Azure DNS

DNS (Domain Name System) je zodpovědný za překlad (nebo rozlišení) názvu webu nebo služby na jeho IP adresu. Azure DNS je hostitelská služba pro domény DNS, která poskytuje překlad názvů pomocí infrastruktury Microsoft Azure. Pokud svoje domény hostujete v Azure, můžete spravovat svoje DNS záznamy pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure. DNS podporuje aspekt dostupnosti tří prvků bezpečnosti "CIA".

Skupiny zabezpečení sítě ve službě Azure Monitor

U NSG můžete povolit následující kategorie diagnostických protokolů:

• Událost: Obsahuje položky, pro které se pravidla NSG použijí na virtuální počítače a role instancí na základě adresy MAC. Stav těchto pravidel se shromažďuje každých 60 sekund.

• Čítač pravidel: Obsahuje položky pro to, kolikrát je každé pravidlo NSG použito k povolení nebo odepření provozu.

Microsoft Defender for Cloud

Microsoft Defender for Cloud průběžně analyzuje stav zabezpečení vašich prostředků Azure a hledá osvědčené postupy zabezpečení sítě. Když Defender for Cloud identifikuje potenciální ohrožení zabezpečení, vytvoří doporučení , která vás provedou procesem konfigurace potřebných ovládacích prvků pro posílení a ochranu vašich prostředků.

Advanced Container Networking Services (ACNS)

Advanced Container Networking Services (ACNS) je komplexní sada navržená tak, aby zvýšila provozní efektivitu clusterů Azure Kubernetes Service (AKS). Poskytuje pokročilé funkce zabezpečení a pozorovatelnosti, které řeší složitost správy infrastruktury mikroslužeb ve velkém měřítku.

Tyto funkce jsou rozdělené do dvou hlavních pilířů:

• Zabezpečení: Pro clustery využívající Azure CNI Powered by Cilium zahrnují zásady sítě plně kvalifikované filtrování názvu domény (FQDN) pro řešení složitosti údržby konfigurace.

• Pozorovatelnost: Tato funkce sady Advanced Container Networking Services přináší výkon řídicí roviny Hubble do roviny dat Cilium i non-Cilium Linux a poskytuje lepší přehled o sítích a výkonu.

Operace zabezpečení a správa

Správa a monitorování zabezpečení prostředí Azure je nezbytná pro zajištění silného stavu zabezpečení. Azure poskytuje komplexní nástroje pro operace zabezpečení, detekci hrozeb a reakce na incidenty. Podrobné informace o správě a monitorování zabezpečení najdete v přehledu správy a monitorování zabezpečení Azure. Osvědčené postupy provozního zabezpečení najdete v osvědčených postupech provozního zabezpečení Azure. Přehled komplexního provozního zabezpečení najdete v přehledu provozního zabezpečení Azure.

Microsoft Sentinel

Microsoft Sentinel je škálovatelné řešení pro orchestraci zabezpečení, automatizaci a odpovědi (SOAR) nativní pro cloud a správu událostí (SIEM). Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzy hrozeb v celém podniku a poskytuje jediné řešení pro detekci útoků, viditelnost hrozeb, proaktivní proaktivní proaktivní vyhledávání a reakci na hrozby.

Microsoft Sentinel je nyní k dispozici na portálu Microsoft Defender pro všechny zákazníky a nabízí jednotné prostředí pro operace zabezpečení, které zjednodušuje pracovní postupy a vylepšuje viditelnost. Integrace se službou Security Copilot umožňuje analytikům pracovat s daty Microsoft Sentinelu pomocí přirozeného jazyka, generovat dotazy proaktivního vyhledávání a automatizovat vyšetřování pro rychlejší reakci na hrozby.

Microsoft Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně, a to se zvýšenou viditelností a kontrolou zabezpečení vašich prostředků Azure. Microsoft Defender for Cloud poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá zjišťovat hrozby, které by jinak nemusely být nepozorované, a funguje s širokým ekosystémem řešení zabezpečení.

Microsoft Defender for Cloud nabízí komplexní ochranu s plány specifickými pro úlohy, mezi které patří:

• Defender for Servers – Rozšířená ochrana před hrozbami pro servery s Windows a Linuxem
• Defender for Containers – Zabezpečení kontejnerizovaných aplikací a Kubernetes
• Defender for Storage – Detekce hrozeb s vyhledáváním malwaru a zjišťováním citlivých dat
• Defender for Databases – Ochrana pro Azure SQL, Azure Database for MySQL a PostgreSQL
• Defender for AI Services – Ochrana za běhu pro služby Azure AI před pokusy o jailbreak, vystavení dat a vzory podezřelého přístupu
• CSPM v programu Defender – Správa stavu zabezpečení cloudu s využitím analýzy cest útoku, zásad správného řízení zabezpečení a správy stavu zabezpečení AI

Defender for Cloud navíc pomáhá s operacemi zabezpečení tím, že vám poskytne jeden řídicí panel, který zobrazí výstrahy a doporučení, která se dají okamžitě reagovat. Integrace služby Security Copilot poskytuje souhrny generované AI, skripty pro nápravu a možnosti delegování, které urychlují nápravu rizik.

Komplexní možnosti detekce hrozeb v Azure najdete v tématu Ochrana před hrozbami Azure.

Azure Resource Manager

Azure Resource Manager umožňuje pracovat s prostředky ve vašem řešení jako se skupinou. Všechny prostředky pro vaše řešení můžete nasadit, aktualizovat nebo odstranit v rámci jediné koordinované operace. K nasazení použijete šablonu Azure Resource Manageru a tato šablona může fungovat pro různá prostředí, jako je testování, příprava a produkce. Resource Manager poskytuje funkce zabezpečení, auditování a označování, které vám po nasazení pomohou prostředky spravovat.

Nasazení založená na šablonách Azure Resource Manageru pomáhají zlepšit zabezpečení řešení nasazených v Azure, protože standardní nastavení řízení zabezpečení a je možné je integrovat do standardizovaných nasazení založených na šablonách. Šablony snižují riziko chyb konfigurace zabezpečení, ke kterým může dojít během ručního nasazení.

Application Insights

Application Insights je flexibilní služba APM (Application Performance Management) určená pro webové vývojáře. Umožňuje monitorovat živé webové aplikace a automaticky zjišťovat problémy s výkonem. Pomocí výkonných analytických nástrojů můžete diagnostikovat problémy a získat přehled o interakcích uživatelů s vašimi aplikacemi. Application Insights monitoruje vaši aplikaci nepřetržitě od vývoje až po testování a do produkčního prostředí.

Application Insights generuje přehledné grafy a tabulky, které zobrazují špičku doby aktivity uživatelů, rychlost odezvy aplikací a výkon všech externích služeb, na které spoléhá.

Pokud dojde k chybám, selháním nebo problémům s výkonem, můžete podrobně prohledat data a diagnostikovat příčinu. A služba vám pošle e-maily, pokud dojde ke změnám dostupnosti a výkonu vaší aplikace. Application Insight se tak stává cenným nástrojem zabezpečení, protože pomáhá s dostupností v triádě zabezpečení důvěrnosti, integrity a dostupnosti.

Azure Monitor

Azure Monitor nabízí vizualizaci, dotazování, směrování, upozorňování, automatické škálování a automatizaci dat z předplatného Azure (protokol aktivit) i jednotlivých prostředků Azure (protokolů prostředků). Azure Monitor můžete použít k upozorňování na události související se zabezpečením, které se generují v protokolech Azure.

Protokoly služby Azure Monitor

Protokoly služby Azure Monitor poskytují řešení pro správu IT pro místní i cloudovou infrastrukturu třetích stran (například Amazon Web Services) kromě prostředků Azure. Data ze služby Azure Monitor je možné směrovat přímo do protokolů služby Azure Monitor, abyste viděli metriky a protokoly pro celé prostředí na jednom místě.

Protokoly azure Monitoru můžou být užitečným nástrojem pro forenzní a další analýzu zabezpečení, protože nástroj umožňuje rychle vyhledávat velké množství položek souvisejících se zabezpečením pomocí flexibilního přístupu k dotazům. Kromě toho je možné exportovat místní protokoly brány firewall a proxy serveru do Azure a zpřístupnit je k analýze pomocí protokolů služby Azure Monitor.

Azure Advisor

Azure Advisor je individuální cloudový konzultant, který vám pomůže optimalizovat nasazení Azure. Analyzuje konfiguraci prostředků a data o využití. Pak doporučí řešení, která vám pomůžou zlepšit výkon, zabezpečení a spolehlivost vašich prostředků a zároveň hledat příležitosti ke snížení celkové útraty za Azure. Azure Advisor poskytuje doporučení zabezpečení, která můžou výrazně zlepšit celkový stav zabezpečení pro řešení, která nasazujete v Azure. Tato doporučení vycházejí z analýzy zabezpečení prováděné programem Microsoft Defender for Cloud.

Správa identit a přístupu

Identita je primární hraniční zabezpečení v cloud computingu. Ochrana identit a řízení přístupu k prostředkům je zásadní pro zabezpečení prostředí Azure. Microsoft Entra ID poskytuje komplexní možnosti správy identit a přístupu. Podrobné informace najdete v přehledu správy identit Azure. Osvědčené postupy správy identit najdete v tématu Osvědčené postupy správy identit Azure a řízení přístupu. Pokyny k zabezpečení infrastruktury identit najdete v pěti krocích zabezpečení infrastruktury identit.

Microsoft Entra ID

Microsoft Entra ID je cloudová služba pro správu identit a přístupu od Microsoftu. Poskytuje:

• Jednotné Sign-On přihlašování (SSO): Povolení přístupu uživatelů k více aplikacím pomocí jedné sady přihlašovacích údajů
• Vícefaktorové ověřování (MFA): K přihlášení vyžaduje více formulářů ověření.
• Podmíněný přístup: Řízení přístupu k prostředkům na základě uživatele, zařízení, umístění a rizika
• Identity Protection: Detekce rizik založených na identitách a reakce na ně
• Privileged Identity Management (PIM): Poskytnutí privilegovaného přístupu k prostředkům Azure v pravý čas
• Zásady správného řízení identit: Správa životního cyklu identit a přístupových práv

Řízení přístupu na základě rolí (RBAC)

Řízení přístupu na základě role v Azure (RBAC) pomáhá spravovat, kdo má přístup k prostředkům Azure, co může s těmito prostředky dělat a k jakým oblastem má přístup. RBAC poskytuje jemně odstupňovanou správu přístupu pro prostředky Azure a umožňuje uživatelům udělit jenom práva, která potřebují k provádění svých úloh.

Microsoft Entra Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. PIM poskytuje aktivaci role na základě času a schválení, která zmírňují rizika nadměrného, zbytečného nebo zneužití přístupových oprávnění.

Spravované identity pro prostředky Azure

Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu ve službě Microsoft Entra ID. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.

Aktualizace oprav poskytují základ pro hledání a řešení potenciálních problémů a zjednodušují proces správy aktualizací softwaru tím, že snižují počet aktualizací softwaru, které musíte nasadit ve svém podniku, a tím, že zvýšíte schopnost monitorovat dodržování předpisů.

Správa a reportování zásad zabezpečení

Defender for Cloud pomáhá předcházet hrozbám, odhalovat je a reagovat na ně a poskytuje vám zvýšenou viditelnost do zabezpečení vašich prostředků Azure a kontrolu nad nimi. Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá zjišťovat hrozby, které by jinak nemusely být nepovšimnuty, a funguje s širokým ekosystémem řešení zabezpečení.

Zabezpečená identita

Microsoft ke správě identit a přístupu využívá více postupů a technologií zabezpečení v rámci svých produktů a služeb.

• Vícefaktorové ověřování vyžaduje, aby uživatelé používali více metod pro přístup, místní i v cloudu. Poskytuje silné ověřování s celou řadou možností snadného ověření a současně uživatelům umožňuje jednoduchý proces přihlašování.

• Microsoft Authenticator poskytuje uživatelsky přívětivé prostředí pro multifaktorové ověřování, které funguje jak s Microsoft Entra ID, tak s účty Microsoft, a zahrnuje podporu pro nositelnou elektroniku a schválení na základě otisků prstů.

• Vynucení zásad hesel zvyšuje zabezpečení tradičních hesel tím, že ukládá požadavky na délku a složitost, vynucené pravidelné obměny a uzamčení účtu po neúspěšných pokusech o ověření.

• Ověřování na základě tokenů umožňuje ověřování prostřednictvím ID Microsoft Entra.

• Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje udělit přístup na základě přiřazené role uživatele, což usnadňuje uživatelům jenom přístup, který potřebují k výkonu svých pracovních povinností. Azure RBAC můžete přizpůsobit podle obchodního modelu vaší organizace a tolerance rizik.

• Integrovaná správa identit (hybridní identita) umožňuje udržovat kontrolu nad přístupem uživatelů napříč interními datacentry a cloudovými platformami a vytvořit jednu identitu uživatele pro ověřování a autorizaci pro všechny prostředky.

Zabezpečení aplikací a dat

Microsoft Entra ID, komplexní řešení správy identit a přístupu, pomáhá zabezpečit přístup k datům v aplikacích na webu a v cloudu a zjednodušuje správu uživatelů a skupin. Kombinuje základní adresářové služby, pokročilé zásady správného řízení identit, zabezpečení a správu přístupu k aplikacím a usnadňuje vývojářům vytváření správy identit založených na zásadách do svých aplikací. Pokud chcete vylepšit ID Microsoft Entra, můžete přidat placené funkce pomocí edicí Microsoft Entra Basic, Premium P1 a Premium P2.

Bezplatné nebo běžné funkce	Základní funkce	Funkce Premium P1	Prémiové funkce P2	Připojení Microsoft Entra – funkce pouze související s Windows 10
Objekty adresáře, správa uživatelů/skupin (přidání, aktualizace, odstranění)/ Účelové zřizování uživatelů, registrace zařízení, jednotné přihlašování (SSO), Samoobslužná změna hesla pro cloudové uživatele, Připojení (synchronizační modul, který rozšiřuje místní adresáře do Microsoft Entra ID), Zabezpečení a sestavy využití	Správa přístupu na základě skupin/zřizování, Samoobslužné resetování hesla pro cloudové uživatele, Branding společnosti (přizpůsobení stránek přihlášení/přístupových panelů), Aplikační proxy, SLA 99.9%	Samoobslužná správa skupin a aplikací / Samoobslužné přidání aplikací / dynamické skupiny, Samoobslužné resetování/změna/odemknutí hesla pomocí místních zpětných zápisů, vícefaktorové ověřování (cloudové a místní (MFA servery)), MIM CAL + MIM Server, Cloud App Discovery, Connect Health, Automatické obnovování hesel pro skupinové účty	Identity Protection, Privileged Identity Management	Připojení zařízení k Microsoft Entra ID, jednotnému přihlašování na desktopu, Microsoft Passportu pro Microsoft Entra ID, obnovení BitLockeru správcem, automatické registraci MDM, samoobslužnému obnovení BitLockeru, dalším místním správcům zařízení s Windows 10 skrze připojení k Microsoft Entra

• Cloud App Discovery je prémiová funkce Microsoft Entra ID, která umožňuje identifikovat cloudové aplikace, které používají zaměstnanci ve vaší organizaci.

• Microsoft Entra ID Protection je služba zabezpečení, která používá možnosti detekce anomálií Microsoft Entra k zajištění konsolidovaného přehledu o detekcích rizik a potenciálních ohroženích zabezpečení, která by mohla ovlivnit identity vaší organizace.

• Služba Microsoft Entra Domain Services umožňuje připojit virtuální počítače Azure k doméně bez nutnosti nasazovat řadiče domény. Uživatelé se k těmto virtuálním počítačům přihlašují pomocí svých podnikových přihlašovacích údajů služby Active Directory a můžou bez problémů přistupovat k prostředkům.

• Microsoft Entra B2C je vysoce dostupná globální služba pro správu identit pro aplikace určené pro spotřebitele, které se můžou škálovat na stovky milionů identit a integrovat je mezi mobilními a webovými platformami. Vaši zákazníci se můžou přihlásit ke všem vašim aplikacím prostřednictvím přizpůsobitelných prostředí, která používají existující účty sociálních médií, nebo můžete vytvořit nové samostatné přihlašovací údaje.

• Spolupráce Microsoft Entra B2B je zabezpečené řešení pro integraci partnerů, které podporuje vztahy mezi společnostmi tím, že partnerům umožňuje selektivní přístup k podnikovým aplikacím a datům pomocí vlastních identit.

• Microsoft Entra join umožňuje rozšířit cloudové možnosti na zařízení s Windows 10 pro centralizovanou správu. Umožňuje uživatelům připojit se k podnikovému nebo organizačnímu cloudu prostřednictvím Microsoft Entra ID a zjednodušit přístup k aplikacím a prostředkům.

• Proxy aplikací Microsoft Entra poskytuje jednotné přihlašování a zabezpečený vzdálený přístup pro webové aplikace hostované místně.

Další kroky

• Seznamte se se sdílenou odpovědností v cloudu.

• Přečtěte si, jak vám Může Microsoft Defender pro cloud pomoct předcházet hrozbám, zjišťovat je a reagovat na ně se zvýšenou viditelností a kontrolou zabezpečení vašich prostředků Azure.

• Prozkoumejte osvědčené postupy a vzory zabezpečení Azure a podívejte se na další doporučení zabezpečení.

• Projděte si srovnávací test zabezpečení cloudu Microsoftu a přečtěte si komplexní pokyny k zabezpečení.

• Kompletní zabezpečení v Azure najdete v tématu Ochrana, detekce a odezva architektury zabezpečení Azure.