Bevezetés a Azure biztonságba

A biztonság a mai felhőkörnyezetben kritikus fontosságú. A kiberfenyegetések folyamatosan fejlődnek, és az adatok, alkalmazások és infrastruktúra védelme átfogó, többrétegű megközelítést igényel. A biztonság a felhőben elsődleges szempont, és fontos, hogy pontos és naprakész információt találjon az Azure biztonságról.

Ez a cikk átfogó áttekintést nyújt a Azure elérhető biztonságról. Az Azure védelmi, észlelési és válaszképességek által szervezett biztonságának teljes körű megtekintéséhez olvassa el az Azure végponttól végpontig terjedő biztonsága című dokumentumot.

Azure mélységi védelemre épülő biztonsági megközelítése

Azure egy részletes védelmi stratégiát alkalmaz, amely több biztonsági réteget biztosít a teljes veremen – a fizikai adatközpontoktól a számításig, a tárolásig, a hálózatkezelésig, az alkalmazásokig és az identitásig. Ez a többrétegű megközelítés biztosítja, hogy ha egy réteg megsérül, további rétegek védjék az erőforrásokat.

Az Azure infrastruktúráját aprólékosan az alapoktól kezdve alakították ki, a fizikai létesítményektől az alkalmazásokig mindent magában foglalva, hogy egyszerre több millió ügyfelet biztonságosan legyen képes kiszolgálni. Ez a robusztus alap lehetővé teszi a vállalkozások számára, hogy magabiztosan megfeleljenek a biztonsági követelményeknek. Az Azure platform microsoftos védelméről a Azure infrastruktúra-biztonság című témakörben talál további információt. A fizikai adatközpontok biztonságáról további információt a Azure fizikai biztonság című témakörben talál.

Azure egy nyilvános felhőszolgáltatási platform, amely számos operációs rendszert, programozási nyelvet, keretrendszert, eszközt, adatbázist és eszközt támogat. Linux-tárolókat futtathat Docker-integrációval; alkalmazásokat építhet JavaScript, Python, .NET, PHP, Java és Node.js használatával, valamint háttérrendszereket hozhat létre iOS, Android és Windows eszközökhöz. Azure nyilvános felhőszolgáltatások ugyanazokat a technológiákat támogatják, amelyekben fejlesztők és informatikai szakemberek milliói már megbíznak és megbíznak.

Beépített platformbiztonság

Azure a platformba beépített alapértelmezett biztonsági védelmet nyújt, amely segít megvédeni az erőforrásokat az üzembe helyezésük pillanatától kezdve. A Azure platformbiztonsági képességeivel kapcsolatos átfogó információkért tekintse meg Azure platformbiztonság áttekintését.

• Network Protection: Azure DDoS Protection automatikusan védi az erőforrásokat az elosztott szolgáltatásmegtagadásos támadásoktól.
• Encryption by Default: Az inaktív adattitkosítás alapértelmezés szerint engedélyezve van Azure Storage, AZ SQL Database és sok más szolgáltatás esetében.
• Identity Security: Microsoft Entra ID biztonságos hitelesítést és engedélyezést biztosít az összes Azure szolgáltatáshoz.
• Threat Detection: A beépített veszélyforrások észlelése figyeli a gyanús tevékenységeket az Azure-erőforrásokban.
• Compliance: Azure az iparág legnagyobb megfelelőségi portfolióját tartja fenn, segít a szabályozási követelmények teljesítésében.

Ezek az alapvető biztonsági vezérlők folyamatosan a háttérben működnek a felhőinfrastruktúra védelme érdekében, az alapszintű védelemhez nincs szükség további konfigurációra.

Megosztott feladatkörök a felhőben

Bár Azure robusztus platformbiztonságot biztosít, a felhőbeli biztonság a Microsoft és Ön közös felelőssége. A feladatok felosztása az üzembehelyezési modelltől függ (IaaS, PaaS vagy SaaS):

• Microsoft felelőssége: Azure biztosítja a mögöttes infrastruktúrát, beleértve a fizikai adatközpontokat, a hardvert, a hálózati infrastruktúrát és a gazdagép operációs rendszerét.
• Az Ön felelőssége: Ön felel az adatok, alkalmazások, identitások és hozzáférés-kezelés biztonságáért.

Minden számítási feladat és alkalmazás eltérő, és az iparági előírásokon, adatérzékenységen és üzleti igényeken alapuló egyedi biztonsági követelményekkel rendelkezik. Ebben játszanak szerepet Azure speciális biztonsági szolgáltatásai. A megosztott felelősségi modellről további információt a megosztott felelősség a felhőben című témakörben talál.

Note

A dokumentum elsődleges témája az ügyfelek számára elérhető vezérlők, amelyekkel testre szabhatja és növelheti az alkalmazások és szolgáltatások biztonságát.

Speciális biztonsági szolgáltatások minden számítási feladathoz

Az egyedi biztonsági követelményeknek való megfelelés érdekében Azure a speciális biztonsági szolgáltatások átfogó csomagját kínálja, amelyet konfigurálhat és testre szabhat az adott igényeknek megfelelően. Ezek a szolgáltatások hat funkcionális területre vannak rendszerezve: műveletek, alkalmazások, tárolás, hálózatkezelés, számítás és identitás. A biztonsági szolgáltatások és technológiák átfogó katalógusát a Azure biztonsági szolgáltatások és technológiák című témakörben talál.

Emellett a Azure számos konfigurálható biztonsági lehetőséget biztosít, és szabályozhatja őket, így testre szabhatja a biztonságot, hogy megfeleljen a szervezet központi telepítéseinek egyedi követelményeinek. Ez a dokumentum segít megérteni, hogy Azure biztonsági képességek hogyan segíthetnek ezeknek a követelményeknek a teljesítésében.

A Azure biztonsági vezérlők és alapkonfigurációk strukturált megtekintéséhez tekintse meg a Microsoft felhőbiztonsági teljesítménytesztet, amely átfogó biztonsági útmutatást nyújt Azure szolgáltatásokhoz. Az Azure technikai biztonsági képességeiről további információt a Azure biztonsági technikai képességek című témakörben talál.

Számítási biztonság

A virtuális gépek és számítási erőforrások védelme alapvető fontosságú a számítási feladatok Azure való védelméhez. Azure több számítási biztonsági réteget biztosít a hardveralapú védelemtől a szoftveralapú fenyegetésészlelésig. A virtuális gépek biztonsági információiról a Azure Virtual Machines biztonsági áttekintésében olvashat.

Megbízható indítás

A megbízható indítás az alapértelmezett az újonnan létrehozott 2. generációs Azure virtuális gépek és Virtual Machine Scale Sets esetében. A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikákkal szemben, beleértve a rendszerindító készleteket, a rootkiteket és a kernelszintű kártevőket.

A megbízható indítás a következő lehetőségeket biztosítja:

• Biztonságos rendszerindítás: Védelmet nyújt a kártevőalapú rootkitek és rendszerindító készletek telepítésével szemben, mivel biztosítja, hogy csak aláírt operációs rendszerek és illesztőprogramok indulhatnak el
• vTPM (virtuális megbízható platformmodul): Dedikált biztonságos tároló kulcsokhoz és mérésekhez, amelyek lehetővé teszik az igazolást és a rendszerindítási integritás ellenőrzését
• A rendszerindítási lánc integritásának monitorozása: Igazolást használ Microsoft Defender for Cloud a rendszerindítási lánc integritásának ellenőrzéséhez és a hibákra vonatkozó riasztásokhoz

Engedélyezheti a megbízható indítást a meglévő virtuális gépeken és virtuális gép méretkészleteken.

Azure bizalmas számítástechnika

Azure bizalmas számítástechnika biztosítja az adatvédelmi rejtvény utolsó hiányzó darabját. Ez lehetővé teszi, hogy az adatok mindig titkosítva maradjanak - nyugalmi állapotban, a hálózaton keresztüli mozgás közben, és most, még akkor is, ha betöltik a memóriába és használat közben. A távoli igazolás lehetővé tételével kriptográfiailag ellenőrizheti, hogy a telepített virtuális gép biztonságosan indult-e el, és megfelelően van-e konfigurálva az adatok zárolásának feloldása előtt.

A lehetőségek köre a meglévő alkalmazások "átemelési" forgatókönyveinek engedélyezésétől a biztonsági funkciók teljes körű ellenőrzéséig terjed. A szolgáltatásként nyújtott infrastruktúra (IaaS) esetében a következőt használhatja:

• Az AMD SEV-SNP által üzemeltetett bizalmas virtuális gépek: Hardveralapú memóriatitkosítás akár 256 GB-os titkosított memóriával
• Bizalmas virtuális gépek Intel TDX-sel: Az Intel trust domain extensions továbbfejlesztett teljesítményt és biztonságot nyújt
• Bizalmas virtuális gépek NVIDIA H100 GPU-kkal: GPU-gyorsított bizalmas számítástechnika AI/ML számítási feladatokhoz
• Bizalmas alkalmazás-enklávék az Intel SGX-sel: Alkalmazásszintű elkülönítés bizalmas kódok és adatok esetében

A szolgáltatásként nyújtott platform (PaaS) esetében a Azure több container-alapú bizalmas számítási lehetőséget kínál, beleértve a Azure Kubernetes Service (AKS) integrációját is.

Kártevőirtó és víruskereső

Az IaaS Azure olyan biztonsági gyártók kártevőirtó szoftvereit használhatja, mint a Microsoft, a Symantec, a Trend Micro, a McAfee és a Kaspersky, hogy megvédje a virtuális gépeket a rosszindulatú fájloktól, az adware-től és más fenyegetésektől. Microsoft Antimalware Azure Virtual Machines egy védelmi képesség, amely segít azonosítani és eltávolítani a vírusokat, kémprogramokat és egyéb rosszindulatú szoftvereket. A Microsoft Antimalware konfigurálható riasztásokat biztosít, ha ismert rosszindulatú vagy nemkívánatos szoftverek próbálják telepíteni magát vagy futtatni a Azure rendszereken. A Microsoft Antimalware-t a Microsoft Defender for Cloud használatával is üzembe helyezheti.

Note

A modern védelem érdekében fontolja meg a kiszolgálókhoz készült Microsoft Defender amely fejlett veszélyforrások elleni védelmet nyújt, beleértve a végpontészlelést és a választ (EDR) a Végponthoz készült Microsoft Defender integrációja révén.

Hardveres biztonsági modul

A titkosítás és a hitelesítés csak akkor növeli a biztonságot, ha maguk a kulcsok védettek. A kritikus titkos kulcsok és kulcsok kezelését és biztonságát egyszerűsítheti, ha Azure Key Vault tárolja őket. Key Vault lehetővé teszi a kulcsok tárolását a FIPS 140-3 level 3 szabványnak megfelelő hardveres biztonsági modulokban (HSM-ek). A SQL Server titkosítási kulcsokat biztonsági mentéshez vagy az átlátszó adattitkosításhoz a Key Vaultban tárolhatja, az alkalmazásokból származó bármely kulcs vagy titok mellett. Microsoft Entra ID kezeli a védett elemek engedélyeit és hozzáférését.

Az olyan kulcskezelési lehetőségekről, mint a Azure Key Vault, a felügyelt HSM és a fizetési HSM, a Kulcskezelés a Azure című témakörben olvashat.

Virtuális gép biztonsági mentése

Azure Backup olyan megoldás, amely nulla tőkebefektetéssel és minimális üzemeltetési költségekkel védi az alkalmazás adatait. Az alkalmazáshibák ronthatják az adatokat, és az emberi hibák olyan hibákat okozhatnak az alkalmazásokban, amelyek biztonsági problémákhoz vezethetnek. A Azure Backup a Windows és Linux rendszert futtató virtuális gépek védettek.

Azure Site Recovery

A szervezet üzletmenet-folytonossági/vészhelyreállítási (BCDR) stratégiájának fontos része a vállalati számítási feladatok és alkalmazások üzemkészségének fenntartása a tervezett és nem tervezett leállások esetén. Azure Site Recovery segít a számítási feladatok és alkalmazások replikálásának, feladatátvételének és helyreállításának vezénylésében, hogy az elsődleges hely leállása esetén másodlagos helyről legyenek elérhetők.

SQL VM TDE

A transzparens adattitkosítás (TDE) és az oszlopszintű titkosítás (CLE) az SQL Server titkosítási funkciói. Ez a titkosítási forma megköveteli a titkosításhoz használt titkosítási kulcsok kezelését és tárolását.

A Azure Key Vault (AKV) szolgáltatás úgy lett kialakítva, hogy biztonságos és magas rendelkezésre állású helyen javítsa ezeknek a kulcsoknak a biztonságát és kezelését. A SQL Server-összekötő lehetővé teszi, hogy a SQL Server használja ezeket a kulcsokat az Azure Key Vaultból.

Ha helyszíni gépeken futtatja az SQL Server-t, akkor a lépéseket követve hozzáférhet az Azure Key Vault-hoz a helyszíni SQL Server példányából. Ha az SQL Server az Azure virtuális gépeken fut, időt takaríthat meg az Azure Key Vault integrációs funkcióval. Ha néhány Azure PowerShell parancsmagot használ a funkció engedélyezéséhez, automatizálhatja az SQL-beli virtuális gépek kulcstartóhoz való hozzáféréséhez szükséges konfigurációt.

Az adatbázisok biztonsági ajánlott eljárásainak átfogó listáját az Azure adatbázis biztonsági ellenőrzőlistájában találja.

Virtuálisgép-lemeztitkosítás

Fontos

Azure Disk Encryption tervezetten megszűnik 2028. szeptember 15-én. Addig a dátumig zavartalanul használhatja a Azure Disk Encryption. 2028. szeptember 15-én az ADE-kompatibilis számítási feladatok továbbra is futnak, a titkosított lemezek azonban nem fognak feloldani a virtuális gép újraindítása után, ami szolgáltatáskimaradást eredményez.

Használjon hostoldali titkosítást új virtuális gépekhez, vagy fontolja meg bizalmas VM-méreteket operációs rendszer lemeztitkosítással a bizalmas számítási feladatokhoz. A szolgáltatáskimaradás elkerülése érdekében az összes ADE által támogatott virtuális gépet (beleértve a biztonsági mentéseket is) át kell állítani a gazdagépen végzett titkosításra a nyugdíjazási dátum előtt. A részletekért lásd: Az Azure Disk Encryptionről való áttérés a hoszton történő titkosításra.

A modern virtuális gépek titkosításához Azure a következőket kínálja:

• Titkosítás a gazdagépen: Végpontok közötti titkosítást biztosít a virtuálisgép-adatokhoz, beleértve az ideiglenes lemezeket és az operációsrendszer-/adatlemez-gyorsítótárakat.
• Bizalmas lemeztitkosítás: A hardveralapú titkosításhoz bizalmas virtuális gépeken érhető el.
• Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal: Saját titkosítási kulcsok kezelése Azure Key Vault vagy Azure Key Vault felügyelt HSM használatával.

További információ: A felügyelt lemeztitkosítási lehetőségek áttekintése.

Virtuális hálózat

A virtuális gépeknek hálózati kapcsolatra van szükségük. A követelmény támogatásához az Azure virtuális gépeket csatlakoztatni kell egy Azure virtuális hálózathoz. A Azure Virtual Network a fizikai Azure hálózati hálóra épülő logikai szerkezet. Minden logikai Azure Virtual Network el van különítve minden más Azure virtuális hálózattól. Ez az elkülönítés biztosítja, hogy a telepítések hálózati adatforgalma ne legyen elérhető más Microsoft Azure ügyfelek számára.

Javítócsomag frissítések

A javításfrissítések biztosítják a lehetséges problémák megtalálásának és javításának alapját, és leegyszerűsítik a szoftverfrissítés-kezelési folyamatot. Csökkentik a vállalatnál üzembe helyezendő szoftverfrissítések számát, és növelik a megfelelőség monitorozásának képességét.

Biztonsági szabályzatok kezelése és jelentése

Defender for Cloud segít megelőzni, észlelni és reagálni a fenyegetésekre. Ez nagyobb betekintést biztosít a Azure-erőforrások biztonságába és felügyeletébe. Integrált biztonsági monitorozást és szabályzatkezelést biztosít a Azure-előfizetésekben. Segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek, és a biztonsági megoldások széles ökoszisztémájával működik együtt.

Alkalmazások biztonsága

Az alkalmazásbiztonság az alkalmazások veszélyekkel szembeni védelmére összpontosít az életciklusuk során – a fejlesztéstől az üzembe helyezésig és a futtatókörnyezetig. Azure átfogó eszközöket biztosít az alkalmazások biztonságos fejlesztéséhez, teszteléséhez és védelméhez. A biztonságos alkalmazásfejlesztési útmutatóért lásd: A biztonságos alkalmazások fejlesztése Azure. A PaaS-specifikus biztonsági ajánlott eljárásokért tekintse meg a PaaS-üzemelő példányok biztonságossá tételét. Az IaaS üzembehelyezési biztonságát illetően lásd a Biztonsági ajánlott eljárások IaaS-munkaterhelésekhez az Azure-ban.

Behatolástesztelés

A Microsoft nem végez behatolástesztelést a(z) alkalmazásán, de tisztában van azzal, hogy ön szeretné és el kell végeznie a saját alkalmazásaiban a tesztelést. Többé nem kell értesítenie Microsoft a tolltesztelési tevékenységekről, de Önnek (vagy az Ön nevében engedélyezett harmadik fél által végzett tesztelésnek) továbbra is meg kell felelnie az Microsoft Cloud Unified Penetration Testing Rules of Engagement.

Webalkalmazási tűzfal

A Azure Application Gateway (WAF) védelmet nyújt a webalkalmazásoknak az olyan gyakori webalapú támadásokkal szemben, mint az SQL-injektálás, a helyek közötti szkriptelés és a munkamenet-eltérítés. Előre konfigurálva van az Open Web Application Security Project (OWASP) által azonosított 10 legfontosabb biztonsági rés ellen.

Hitelesítés és engedélyezés a Azure App Service

Az App Service-hitelesítés/engedélyezés olyan szolgáltatás, amely lehetővé teszi az alkalmazás számára a felhasználók bejelentkezését, hogy ne kelljen módosítania a kódot az alkalmazás háttérrendszerén. Egyszerű módot kínál az alkalmazás védelmére és a felhasználónkénti adatokkal való munkavégzésre.

Rétegzett biztonsági architektúra

Mivel a App Service Environments egy Azure Virtual Network-ben üzembe helyezett elkülönített futtatókörnyezetet biztosít, a fejlesztők rétegzett biztonsági architektúrát hozhatnak létre, amely különböző szintű hálózati hozzáférést biztosít az egyes alkalmazásszintekhez. Gyakori, hogy elrejti az API háttérrendszereit az általános internet-hozzáférés elől, és csak a felsőbb rétegbeli webalkalmazások engedélyezik az API-k meghívását. Az Azure Virtual Network alhálózataiban elhelyezkedő App Service-környezetekhez tartozó Network Biztonsági csoportokkal (NSG-k) korlátozhatja az API-alkalmazásokhoz való nyilvános hozzáférést.

Az App Service webalkalmazások robusztus diagnosztikai képességeket kínálnak a naplók webkiszolgálóról és webalkalmazásból történő rögzítéséhez. Ezek a diagnosztikák a webkiszolgálók diagnosztikáiba és az alkalmazásdiagnosztikába vannak besorolva. A webkiszolgáló-diagnosztika jelentős előrelépéseket tartalmaz a webhelyek és alkalmazások diagnosztizálására és hibaelhárítására.

Az első új funkció az alkalmazáskészletekkel, feldolgozói folyamatokkal, helyekkel, alkalmazástartományokkal és futó kérésekkel kapcsolatos valós idejű állapotinformáció. A második új funkció azokat a részletes nyomkövetési eseményeket tartalmazza, amelyek nyomon követik a kéréseket a teljes kérelem- és válaszfolyamat során.

A nyomkövetési események gyűjtésének engedélyezéséhez konfigurálhatja az IIS 7-et, hogy automatikusan rögzítse az átfogó nyomkövetési naplókat XML formátumban adott kérésekhez. A gyűjtemény az eltelt idő vagy hibaválaszkódok alapján is használható.

Tárbiztonság

A tárolási biztonság elengedhetetlen az inaktív és az átvitel alatt lévő adatok védelméhez. Azure több réteg titkosítási, hozzáférés-vezérlési és monitorozási képességeket biztosít az adatok biztonságának biztosítása érdekében. Az adattitkosítással kapcsolatos részletes információkért lásd Azure titkosítás áttekintését. A kulcskezelési lehetőségekről a Kulcskezelés a Azure című témakörben olvashat. Ajánlott adattitkosítási eljárások: Azure adatbiztonság és titkosítás ajánlott eljárásai.

Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)

Biztosíthatja tárfiókját Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC). Az adathozzáféréshez szükséges biztonsági szabályzatok érvényesítéséhez korlátozza a hozzáférést a szükséges ismeretek és a legkevésbé jogosultsági biztonsági alapelvek alapján. A hozzáférési jogosultságok biztosításához rendelje hozzá a megfelelő Azure szerepkört egy adott hatókörben lévő csoportokhoz és alkalmazásokhoz. Azure beépített szerepköreit, például a Tárfiók-közreműködő szerepkört használva, jogosultságokat rendelhet felhasználókhoz. A tárfiókok tárkulcsaihoz való hozzáférést a Azure Resource Manager modellel szabályozhatja Azure RBAC-n keresztül.

Közös hozzáférésű jogosultságkód

A közös hozzáférésű jogosultságkód (SAS) delegált hozzáférést biztosít a tárfiókon lévő erőforrásokhoz. Az SAS használatával korlátozott engedélyeket adhat egy ügyfélnek a tárfiókban lévő objektumokhoz egy adott időtartamra és egy meghatározott engedélykészlettel. Adja meg ezeket a korlátozott engedélyeket anélkül, hogy meg kellene osztania a fiók hozzáférési kulcsait.

Titkosítás az átvitel során

Az átvitel közbeni titkosítás az adatok védelmének mechanizmusa, amikor azokat hálózatokon keresztül továbbítják. A Azure Storage a következőkkel biztosíthatja az adatok védelmét:

• Transport szintű titkosítás, például HTTPS, amikor adatokat továbbít a Azure Storage-be vagy onnan.

• Wire titkosítás, például SMB 3.0 titkosításAzure fájlmegosztásokhoz.

• Ügyféloldali titkosítás, az adatok titkosítása a tárolóba való átvitel előtt, valamint az adatok visszafejtése a tárolóból való átvitel után.

Titkosítás inaktív állapotban

Számos szervezet számára a nyugalmi állapotban lévő adatok titkosítása kötelező lépés az adatvédelem, a megfelelőség és az adatszuverenitás felé. Három Azure tárolási biztonsági funkció biztosítja a inaktív adatok titkosítását:

• A tárhely szolgáltatás titkosítása automatikusan titkosítja az adatokat, amikor az Azure Storage-ba ír.

• Az ügyféloldali titkosítás a inaktív titkosítás funkcióját is biztosítja.

Tárolási elemzések

Azure Storage Analytics naplózást végez, és metrikaadatokat biztosít egy tárfiókhoz. Ezekkel az adatokkal nyomon követheti a kéréseket, elemezheti a használati trendeket, és diagnosztizálhatja a tárfiókkal kapcsolatos problémákat. Storage Analytics naplózza a tárolási szolgáltatásnak küldött sikeres és sikertelen kérelmek részletes adatait. Ezekkel az információkkal figyelheti az egyes kéréseket, és diagnosztizálhatja a tárolási szolgáltatásokkal kapcsolatos problémákat. A kéréseket a lehető legjobb erőfeszítéssel naplózzuk. A hitelesített kérések alábbi típusai vannak rögzítve:

• Sikeres kérések.
• Sikertelen kérések, beleértve az időtúllépést, a szabályozást, a hálózatot, az engedélyezést és egyéb hibákat.
• Közös hozzáférésű jogosultságkódot (SAS) használó kérések, beleértve a sikertelen és a sikeres kéréseket is.
• Elemzési adatokra vonatkozó kérések.

Böngészőalapú ügyfelek engedélyezése a CORS használatával

A forrásközi erőforrás-megosztás (CORS) egy olyan mechanizmus, amely lehetővé teszi, hogy a tartományok engedélyt adjanak egymásnak az erőforrások elérésére. A felhasználói ügynök további fejléceket küld annak biztosítására, hogy egy adott tartományból betöltött JavaScript-kód hozzáférhessen egy másik tartomány erőforrásaihoz. Az utóbbi tartomány ezután további fejlécekkel válaszol, amelyek lehetővé teszik vagy megtagadják az eredeti tartomány hozzáférését az erőforrásaihoz.

Azure tárolási szolgáltatások mostantól támogatják a CORS-t. A szolgáltatás CORS-szabályainak beállítása után a rendszer kiértékel egy másik tartományból származó, a szolgáltatásra vonatkozó, megfelelően hitelesített kérést, amely meghatározza, hogy az engedélyezett-e a megadott szabályok szerint.

Hálózati biztonság

A hálózati biztonság szabályozza az Azure erőforrások felé és onnan érkező forgalmat. Azure a hálózati biztonsági szolgáltatások átfogó készletét nyújtja az alapszintű tűzfalkészítéstől a fejlett veszélyforrások elleni védelemig és a globális terheléselosztásig. Az átfogó hálózati biztonsági információkért lásd Azure hálózatbiztonsági áttekintést. A hálózati biztonsági ajánlott eljárásokért tekintse meg a Azure hálózati biztonsági ajánlott eljárásokat.

Hálózati réteg vezérlői

A hálózati hozzáférés-vezérlés az adott eszközökhöz vagy alhálózatokhoz való csatlakozás korlátozását jelenti, és a hálózati biztonság magját képviseli. A hálózati hozzáférés-vezérlés célja, hogy a virtuális gépek és szolgáltatások csak az Ön által engedélyezett felhasználók és eszközök számára legyenek elérhetők.

Hálózati biztonsági csoportok

A hálózati biztonsági csoport (NSG) egy alapszintű állapotalapú csomagszűrési tűzfal. Ez lehetővé teszi a hozzáférés szabályozását egy ötfős rendszer alapján. Az NSG-k nem biztosítanak alkalmazásréteg-ellenőrzést vagy hitelesített hozzáférés-vezérlést. Ezekkel szabályozhatja a Azure Virtual Network belüli alhálózatok közötti, valamint a Azure Virtual Network és az internet közötti forgalmat.

Azure Firewall

Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít a Azure futó felhőbeli számítási feladatok számára. Ez egy szolgáltatásként nyújtott, teljesen állapotalapú tűzfal, beépített, magas rendelkezésre állással és korlátlan felhőalapú skálázhatósággal. Kelet-nyugati és észak-déli forgalmi ellenőrzést is biztosít.

Azure Firewall három termékváltozatban érhető el: Alapszintű, Standard és Prémium:

• Azure Firewall Basic – Kis- és középvállalkozások számára készült, alapvető védelmet kínál megfizethető áron.
• Azure Firewall Standard – L3-L7 szűrést, fenyegetésfelderítési hírcsatornákat biztosít a Microsoft Cyber Securitytől, és 30 Gb/s-ra skálázható.
• Azure Firewall Premium – Fokozott veszélyforrások elleni védelem a rendkívül érzékeny és szabályozott környezetekhez a következőkkel:
  • TLS-ellenőrzés: Visszafejti a kimenő forgalmat, feldolgozza a fenyegetéseket, majd újra titkosítja a célhelyre való küldés előtt.
  • IDPS (Behatolásészlelési és megelőzési rendszer):: Aláírás-alapú IDPS több mint 67 000 aláírással több mint 50 kategóriában, naponta több mint 20-40 új szabvánnyal frissítve.
  • URL-szűrés: Kibővíti az FQDN-szűrést, hogy figyelembe vegye a teljes URL-elérési utat.
  • Speciális webkategóriák: Továbbfejlesztett kategorizálás a HTTP- és HTTPS-forgalom teljes URL-címén alapuló kategorizáláshoz.
  • Továbbfejlesztett teljesítmény: Akár 100 Gb/s-re skálázható, támogatja a 10 Gb/s-os nagy sávszélességű adatfolyamokat.
  • PCI DSS-megfelelőség: Megfelel a payment card industry data security standard követelményeinek.

Azure Firewall Prémium nélkülözhetetlen a zsarolóprogramok elleni védelemhez, mivel képes észlelni és letiltani a Command and Control (C&C) kapcsolatokat, amelyeket a zsarolóprogramok használnak a titkosítási kulcsok lekéréséhez. Tudjon meg többet az Azure Firewall általi ransomware elleni védelemről.

Azure DDoS Protection

Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett funkciókat kínál a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja az adott Azure erőforrások védelmére egy virtuális hálózaton. A védelem engedélyezése minden új vagy meglévő virtuális hálózaton egyszerű, és nem igényel módosításokat az alkalmazásokon vagy erőforrásokon.

Azure DDoS Protection két szintet kínál: DDoS Network Protection és DDoS IP Protection.

• DDoS Network Protection – Továbbfejlesztett funkciókat biztosít az elosztott szolgáltatásmegtagadási (DDoS-) támadások elleni védelemhez. A 3. és 4. hálózati rétegben működik, és olyan speciális funkciókat tartalmaz, mint a DDoS gyorsreagálás támogatása, a költségvédelem és a Web Application Firewall (WAF) kedvezményei.

• DDoS IP Protection – Egy fizetős, védett IP-modellt követ. Ugyanazokat az alapvető mérnöki funkciókat tartalmazza, mint a DDoS Network Protection, de nem kínál olyan további szolgáltatásokat, mint a DDoS gyorsreagálás támogatása, a költségvédelem és a WAF-kedvezmények.

Útvonal-vezérlés és kényszerített bújtatás

A Azure virtuális hálózatok útválasztási viselkedésének szabályozása kritikus hálózati biztonsági és hozzáférés-vezérlési képesség. Ha például meg szeretné győződni arról, hogy a Azure Virtual Network felé irányuló és onnan érkező összes forgalom áthalad ezen a virtuális biztonsági berendezésen, képesnek kell lennie az útválasztási viselkedés szabályozására és testreszabására. Azure-ban a Felhasználó által meghatározott útvonalak konfigurálásával végezheti el ezt a vezérlést és testreszabást.

User-Defined Útvonalak lehetővé teszik a bejövő és kimenő útvonalak testreszabását az egyes virtuális gépekre vagy alhálózatokra irányuló forgalomhoz a lehető legbiztonságosabb útvonal biztosítása érdekében. A kényszerített bújtatás olyan mechanizmus, amellyel gondoskodhat arról, hogy a szolgáltatások ne kezdeményezhessenek kapcsolatot az internetes eszközökkel.

Ez a korlátozás nem azonos a bejövő kapcsolatok elfogadásával, majd azok megválaszolásával. Az előtérbeli webkiszolgálóknak válaszolniuk kell az internetes gazdagépektől érkező kérésekre. Ezért az internetről érkező forgalom engedélyezett ezekre a webkiszolgálókra, és a webkiszolgálók válaszolhatnak.

Általában kényszerített bújtatással kényszerítse ki az internet felé irányuló kimenő forgalmat a helyszíni biztonsági proxykon és tűzfalakon való áthaladásra.

Virtuális hálózati biztonsági berendezések

Bár a hálózati biztonsági csoportok, a felhasználó által meghatározott útvonalak és a kényszerített alagútkezelés az OSI-modell hálózati és átviteli rétegeinek biztonsági szintjét biztosítják, előfordulhat, hogy a protokollkészlet magasabb szintjein szeretné engedélyezni a biztonságot. Ezeket a továbbfejlesztett hálózati biztonsági funkciókat egy Azure partnerhálózati biztonsági berendezés megoldásával érheti el. A legújabb Azure partnerhálózati biztonsági megoldásokat a Azure Marketplace felkeresésével és a security és network security keresésével találja.

Azure Virtual Network

A Azure virtuális hálózat (VNet) a saját hálózatának ábrázolása a felhőben. Ez az előfizetéshez dedikált Azure hálózati háló logikai elkülönítése. A hálózaton belül teljes mértékben irányíthatja az IP-címblokkokat, a DNS-beállításokat, a biztonsági házirendeket és az útválasztási táblázatokat. A virtuális hálózatot alhálózatokra szegmentálhatja, és Azure IaaS virtuális gépeket (virtuális gépeket) helyezhet el Azure virtuális hálózatokon.

Emellett csatlakoztathatja a virtuális hálózatot a helyszíni hálózathoz a Azure elérhető kapcsolódási lehetőségek egyikével. Lényegében kibővítheti a hálózatát az Azure-be, és teljes mértékben szabályozhatja az IP-címblokkokat, kihasználva az Azure által nyújtott nagyvállalati skálázás előnyeit.

Azure hálózatkezelés különböző biztonságos távelérési forgatókönyveket támogat. Néhány ilyen forgatókönyv a következő:

• Egyes munkaállomások csatlakoztatása egy Azure Virtual Network

• Helyszíni hálózat csatlakoztatása egy VPN-sel rendelkező Azure Virtual Networkhöz

• Helyszíni hálózat csatlakoztatása egy Azure Virtual Networkhöz dedikált WAN-kapcsolattal

• Kapcsolódjon Azure virtuális hálózatok egymáshoz

Azure Virtual Network Manager

Azure Virtual Network Manager központi megoldást kínál a virtuális hálózatok nagy léptékű kezeléséhez és biztonságossá tételéhez. Biztonsági rendszergazdai szabályokat használ a biztonsági szabályzatok központi meghatározására és kikényszerítésére a teljes szervezetben. A biztonsági rendszergazdai szabályok elsőbbséget élveznek a hálózati biztonsági csoport (NSG) szabályaival szemben, és a virtuális hálózaton vannak alkalmazva. Ez az elsőbbség lehetővé teszi a szervezetek számára, hogy biztonsági rendszergazdai szabályokkal kényszerítsék ki az alapvető szabályzatokat, ugyanakkor lehetővé teszik az alsóbb rétegbeli csapatok számára, hogy az NSG-ket az alhálózat és a hálózati adapter szintjén igényeiknek megfelelően alakítsák ki.

A szervezet igényeitől függően az Engedélyezés, a Megtagadás vagy az Always Allow szabályműveletekkel kényszerítheti ki a biztonsági szabályzatokat:

Szabályművelet	Description
Engedélyezés	Alapértelmezés szerint engedélyezi a megadott forgalmat. Az alsóbb rétegbeli NSG-k továbbra is megkapják ezt a forgalmat, és megtagadhatják azt.
Mindig engedélyezés	Mindig engedélyezze a megadott forgalmat, függetlenül az alacsonyabb prioritású vagy NSG-ket tartalmazó egyéb szabályoktól. Ezzel a szabálysal biztosíthatja, hogy a figyelési ügynök, a tartományvezérlő vagy a felügyeleti forgalom ne legyen blokkolva.
Megtagadás	Tiltsa le a megadott forgalmat. Az alsóbb rétegbeli NSG-k nem értékelik ki ezt a forgalmat, miután egy biztonsági rendszergazdai szabály megtagadta, így a meglévő és az új virtuális hálózatok magas kockázatú portjai alapértelmezés szerint védettek lesznek.

A Azure Virtual Network Manager hálózati csoportok lehetővé teszik a virtuális hálózatok csoportosítását a biztonsági szabályzatok központosított kezelése és betartatása érdekében. A hálózati csoportok a virtuális hálózatok logikai csoportosítását képezik a topológia és a biztonsági szempontok alapján. Manuálisan frissítheti a hálózati csoportok virtuális hálózati tagságát, vagy feltételes utasításokat határozhat meg az Azure Policy használatával a hálózati csoportok dinamikus frissítéséhez és a hálózati csoporttagság automatikus frissítéséhez.

Azure Private Link

Azure Private Link lehetővé teszi Azure PaaS-szolgáltatások (például Azure Storage és SQL Database) elérését, valamint Azure a virtuális hálózatban privátan üzemeltetett ügyfél-/partnerszolgáltatásokat egy private-végponton keresztül. A Azure Private Link használatával történő beállítás és használat konzisztens Azure PaaS-, ügyfél- és megosztott partnerszolgáltatásokban. A virtuális hálózatról a Azure szolgáltatásba érkező forgalom mindig a Microsoft Azure gerinchálózaton marad.

A private-végpontok használatával csak a virtuális hálózatok számára biztosíthatja a kritikus Azure szolgáltatás erőforrásait. Azure privát végpont egy privát IP-címet használ a virtuális hálózatról, hogy privátan és biztonságosan csatlakoztasson egy Azure Private Link által működtetett szolgáltatáshoz, amely hatékonyan hozza a szolgáltatást a virtuális hálózatba. A virtuális hálózat nyilvános internetre való felfedése már nem szükséges a szolgáltatások Azure való használatához.

Saját privát kapcsolati szolgáltatást is létrehozhat a virtuális hálózatában. Azure Private Link szolgáltatás a Azure Private Link által működtetett saját szolgáltatásra mutató hivatkozás. A Azure standard Load Balancer mögött futó szolgáltatás engedélyezhető Private Link hozzáféréshez, hogy a szolgáltatás felhasználói privát módon férhessenek hozzá a saját virtuális hálózataikról. Az ügyfelek létrehozhatnak egy privát végpontot a virtuális hálózaton belül, és leképíthetik erre a szolgáltatásra. A szolgáltatás nyilvános interneten való megjelenítésére már nincs szükség a szolgáltatások Azure való megjelenítéséhez.

VPN átjáró

Ha hálózati forgalmat szeretne küldeni az Ön Azure Virtual Network hálózata és a helyszíni hálózata között, létre kell hoznia egy VPN-átjárót az Azure Virtual Network számára. A VPN-átjárók olyan virtuális hálózati átjárók, amelyek titkosított forgalmat küldenek egy nyilvános kapcsolaton keresztül. VPN-átjárókkal is küldhet forgalmat Azure virtuális hálózatok között a Azure hálózati hálón keresztül.

ExpressRoute

Microsoft Azure ExpressRoute egy dedikált WAN-hivatkozás, amellyel kiterjesztheti helyszíni hálózatait a Microsoft-felhőbe egy kapcsolatszolgáltató által megkönnyített dedikált privát kapcsolaton keresztül.

Az ExpressRoute-tal kapcsolatot létesíthet a Microsoft felhőszolgáltatásaival, például Microsoft Azure és Microsoft 365. Kapcsolódás lehet bármilyen-bármilyen (IP VPN) hálózatból, pont-pont közötti Ethernet hálózatból, vagy egy kapcsolatszolgáltatón keresztüli virtuális keresztkapcsolatból egy kolokációs létesítményben.

Az ExpressRoute-kapcsolatok nem mennek át a nyilvános interneten, és biztonságosabbak, mint a VPN-alapú megoldások. Ez a kialakítás lehetővé teszi, hogy az ExpressRoute-kapcsolatok nagyobb megbízhatóságot, gyorsabb sebességet, alacsonyabb késéseket és nagyobb biztonságot nyújtsanak, mint a tipikus internetes kapcsolatok.

Alkalmazáskiszolgáló

A Microsoft Azure Application Gateway egy Application Delivery Controller (ADC) szolgáltatást biztosít, amely 7. rétegbeli terheléselosztási képességeket kínál az alkalmazás számára.

Lehetővé teszi a webfarmok termelékenységének optimalizálását a processzorigényes TLS-leállításnak az Application Gatewayre való kiszervezésével ( más néven TLS-kiszervezéssel vagy TLS-áthidalással). Emellett további 7. rétegbeli útválasztási képességeket is biztosít, például a bejövő forgalom ciklikus időszeleteléses elosztását, a cookie-alapú munkamenet-affinitást, az URL-alapú útválasztást, valamint több webhely üzemeltetését egyetlen Application Gateway mögött. Azure Application Gateway egy 7. rétegbeli terheléselosztó.

Feladatátvételt és teljesítményalapú útválasztást biztosít a HTTP-kérelmek számára különböző kiszolgálók között, függetlenül attól, hogy a felhőben vagy a helyszínen vannak.

Az alkalmazás számos alkalmazáskézbesítési vezérlőt (ADC) kínál, például HTTP-terheléselosztást, cookie-alapú munkamenet-affinitást, TLS-kiszervezést, egyéni állapotmintákat, többhelyes támogatásokat és sok mást.

Webalkalmazási tűzfal

A Web Application Firewall a Azure Application Gateway egyik funkciója, amely az Application Gatewayt a standard Application Delivery Control (ADC) függvényekhez használó webalkalmazásokat védi. A webalkalmazási tűzfal védi őket az OWASP 10 leggyakoribb webes biztonsági résével szemben.

• SQL-injektálás elleni védelem

• Védelem a gyakori webes támadások ellen, például parancsinjektálás, HTTP-kérések csempészése, HTTP-válasz felosztása és távoli fájlbefoglalás

• HTTP protokoll megsértése elleni védelem

• Védelem az HTTP protokoll rendellenességei, például a hiányzó kiszolgáló, böngésző és elfogadás fejlécek ellen.

• Robotprogramok, webbejárók és képolvasók elleni védelem

• Gyakori alkalmazáskonfigurációk észlelése (például Apache, IIS)

A központosított webalkalmazási tűzfal (WAF) leegyszerűsíti a biztonságkezelést, és fokozza a webes támadások elleni védelmet. Nagyobb biztonságot nyújt a behatolási fenyegetések ellen, és gyorsabban tud reagálni a biztonsági fenyegetésekre az ismert biztonsági rések központi javításával, nem pedig az egyes webalkalmazások biztonságossá tételével. A meglévő alkalmazásátjárók egyszerűen frissíthetők webalkalmazási tűzfallal.

Azure Front Door

Azure Front Door egy globális, méretezhető belépési pont, amely a Microsoft globális peremhálózatát használja gyors, biztonságos és széles körben méretezhető webalkalmazások létrehozásához. A Front Door a következő lehetőségeket biztosítja:

• Globális terheléselosztás: Forgalom elosztása több háttérrendszer között különböző régiókban
• Integrated Web Application Firewall: Védelem a gyakori webes biztonsági rések és támadások ellen
• DDoS-védelem: Beépített védelem az elosztott szolgáltatásmegtagadásos támadások ellen
• SSL/TLS-kiszervezés: Központosított tanúsítványkezelés és forgalomtitkosítás
• URL-alapú útválasztás: Forgalom átirányítása különböző háttérrendszerekre URL-minták alapján

A Front Door egyetlen szolgáltatásban egyesíti a tartalomkézbesítést, az alkalmazások gyorsítását és a biztonságot.

Forgalomirányító

Microsoft Azure Traffic Manager lehetővé teszi a felhasználói forgalom elosztását a különböző adatközpontokban található szolgáltatásvégpontok számára. A Traffic Manager által támogatott szolgáltatásvégpontok közé tartoznak Azure virtuális gépek, Web Apps és felhőszolgáltatások. A Traffic Managert külső, nem Azure végpontokkal is használhatja.

A Traffic Manager a DNS használatával irányítja az ügyfélkéréseket a legmegfelelőbb végpontra a forgalom-útválasztási módszer és a végpontok állapota alapján. A Traffic Manager számos forgalom-útválasztási módszert kínál a különböző alkalmazásigényeknek, a végpont állapotának monitorozásához és az automatikus feladatátvételhez. A Traffic Manager ellenáll a hibáknak, beleértve egy teljes Azure régió meghibásodását is.

Azure Load Balancer

Azure Load Balancer magas rendelkezésre állást és hálózati teljesítményt biztosít az alkalmazások számára. Ez egy 4. rétegbeli (TCP, UDP) terheléselosztó, amely elosztott terhelésű készletben definiált szolgáltatások kifogástalan állapotú példányai között osztja el a bejövő forgalmat. A Azure Load Balancer a következőre konfigurálhatja:

• Terheléselosztás a virtuális gépek felé irányuló bejövő internetes forgalom között. Ezt a konfigurációt nyilvános terheléselosztásnak nevezzük.

• A terheléselosztást elvégezheti a virtuális hálózat virtuális gépei között, a felhőszolgáltatások virtuális gépei között, valamint a helyszíni számítógépek és a virtuális gépek közötti több telephelyes virtuális hálózatban. Ezt a konfigurációt belső terheléselosztásnak nevezzük.

• Külső forgalom továbbítása egy adott virtuális gépre

Belső DNS

A virtuális hálózatokban használt DNS-kiszolgálók listáját a Azure portálon vagy a hálózati konfigurációs fájlban kezelheti. Az egyes virtuális hálózatokhoz legfeljebb 12 DNS-kiszolgálót adhat hozzá. DNS-kiszolgálók megadásakor ellenőrizze, hogy a DNS-kiszolgálókat a környezetének megfelelő sorrendben listázta-e. A DNS-kiszolgálólisták nem működnek körkörös eljárással. A rendszer a megadott sorrendben használja őket. Ha a listában szereplő első DNS-kiszolgáló elérhető, az ügyfél ezt a DNS-kiszolgálót használja, függetlenül attól, hogy a DNS-kiszolgáló megfelelően működik-e. A virtuális hálózat DNS-kiszolgálói sorrendjének módosításához távolítsa el a DNS-kiszolgálókat a listáról, és adja hozzá őket a kívánt sorrendbe. A DNS támogatja a "CIA" biztonsági triád rendelkezésre állási aspektusát.

Azure DNS

A tartománynévrendszer vagy a DNS felelős azért, hogy lefordítsa (vagy feloldsa) a webhely vagy szolgáltatás nevét az IP-címére. Azure DNS a DNS-tartományok üzemeltetési szolgáltatása, amely Microsoft Azure infrastruktúrával biztosít névfeloldást. Ha tartományait Azure üzemelteti, a DNS-rekordokat ugyanazokkal a hitelesítő adatokkal, API-kkal, eszközökkel és számlázással kezelheti, mint a többi Azure szolgáltatását. A DNS támogatja a "CIA" biztonsági triád rendelkezésre állási aspektusát.

Azure Monitor naplózza az NSG-ket

Az NSG-khez a következő diagnosztikai naplókategóriákat engedélyezheti:

• Esemény: Olyan bejegyzéseket tartalmaz, amelyekhez a rendszer NSG-szabályokat alkalmaz a MAC-cím alapján a virtuális gépekre és a példányszerepkörökre. Ezeknek a szabályoknak az állapotát 60 másodpercenként gyűjtjük össze.

• Szabályszámláló: A bejegyzések tartalmazzák, hányszor alkalmazza az egyes NSG-szabályokat a forgalom engedélyezésére vagy megtagadására.

Felhőhöz készült Microsoft Defender

Microsoft Defender for Cloud folyamatosan elemzi a Azure-erőforrások biztonsági állapotát a hálózati biztonsági ajánlott eljárásokhoz. Amikor a Defender for Cloud azonosítja a lehetséges biztonsági réseket , olyan javaslatokat hoz létre, amelyek végigvezetik az erőforrások keményítéséhez és védelméhez szükséges vezérlők konfigurálásának folyamatán.

Advanced Container Networking Services (ACNS)

Advanced Container Networking Services (ACNS) egy átfogó csomag, amely az Azure Kubernetes Service (AKS)-fürtök működési hatékonyságának javítására szolgál. Fejlett biztonsági és megfigyelhetőségi funkciókat biztosít, amelyek a mikroszolgáltatási infrastruktúra nagy léptékű kezelésének összetettségével foglalkoznak.

Ezek a funkciók két fő pillérre oszlanak:

• Security: A Cilium által üzemeltetett Azure CNI-t használó fürtök esetében a hálózati házirendek teljes tartománynév-szűrést (FQDN) tartalmaznak a konfiguráció fenntartásának bonyolultságainak megoldásához.

• Megfigyelhetőség: Az Advanced Container Networking Services csomag ezen funkciója a Hubble vezérlősíkjának erejét a Cilium és a nem Cilium Linux adatsíkok számára is biztosítja, így nagyobb betekintést nyújt a hálózatkezelésbe és a teljesítménybe.

Biztonsági műveletek és felügyelet

A Azure környezet biztonságának kezelése és monitorozása elengedhetetlen az erős biztonsági helyzet fenntartásához. Azure átfogó eszközöket biztosít a biztonsági műveletekhez, a fenyegetések észleléséhez és az incidensek elhárításához. A biztonságkezelés és -figyelés részletes ismertetését lásd: Azure biztonságkezelés és monitorozás áttekintése. A működési biztonsági ajánlott eljárásokért tekintse meg Azure működési biztonsági ajánlott eljárásokat. A működési biztonság átfogó áttekintését a Azure működési biztonság áttekintésében talál.

Microsoft Sentinel

Microsoft Sentinel egy skálázható, natív felhőbeli biztonsági információ- és eseménykezelési (SIEM) és biztonsági vezénylési, automatizálási és válaszmegoldás (SOAR). Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül, egyetlen megoldást biztosítva a támadások észlelésére, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre.

A Microsoft Sentinel mostantól minden ügyfél számára elérhető a Microsoft Defender portálon, amely egységes biztonsági üzemeltetési élményt nyújt, amely leegyszerűsíti a munkafolyamatokat és javítja a láthatóságot. A Biztonsági Copilot integrációja lehetővé teszi az elemzők számára, hogy természetes nyelven kommunikáljanak Microsoft Sentinel adatokkal, keresési lekérdezéseket generáljanak, és automatizálják a kivizsgálásokat a gyorsabb fenyegetéskezelés érdekében.

Felhőhöz készült Microsoft Defender

Microsoft Defender for Cloud segít megelőzni, észlelni és reagálni a fenyegetésekre azáltal, hogy nagyobb betekintést nyújt a Azure erőforrásainak biztonságába és szabályozhatja azokat. Microsoft Defender for Cloud integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben, segít észlelni az egyébként észrevétlenné válható fenyegetéseket, és a biztonsági megoldások széles körű ökoszisztémájával működik.

Microsoft Defender for Cloud átfogó védelmet nyújt számítási feladatokra vonatkozó tervekkel, többek között az alábbiakkal:

• Defender for Servers – Speciális veszélyforrások elleni védelem Windows és Linux-kiszolgálókhoz
• Defender for Containers – Tárolóalapú alkalmazások és Kubernetes biztonsága
• Defender for Storage – Fenyegetésészlelés kártevő-vizsgálattal és bizalmas adatfelderítéssel
• Defender for Databases – Azure SQL, Azure Database for MySQL és PostgreSQL védelme
• Defender for Foundry Tools – Runtime protection for Foundry Tools a jailbreak kísérletek, az adatexpozíció és a gyanús hozzáférési minták ellen
• Defender CSPM – Cloud Security Posture Management a támadási útvonal elemzésével, a biztonsági szabályozással és az AI biztonsági helyzetének kezelésével

A Defender for Cloud emellett segít a biztonsági műveletekben azáltal, hogy egyetlen irányítópultot biztosít, amely azonnal felfedi a riasztásokat és javaslatokat, amelyeken azonnal eljárhat. A biztonsági Copilot integráció AI által létrehozott összefoglalókat, szervizelési szkripteket és delegálási képességeket biztosít a kockázatkezelés felgyorsításához.

Az Azure átfogó fenyegetésészlelési képességeiről lásd: Azure fenyegetésvédelem.

Virtuálisgép-lemeztitkosítás

Alapértelmezés szerint a gazdagép titkosítása segít az IaaS virtuálisgép-lemezek titkosításában. Kiszolgálóoldali titkosítást biztosít a virtuálisgép-gazdagép szintjén az AES 256 titkosítással, amely a FIPS 140-2 szabványnak megfelelő. Ez a titkosítás virtuálisgép-cpu-erőforrások használata nélkül történik, és végpontok közötti titkosítást biztosít az ideiglenes lemezek, operációs rendszerek/adatlemez-gyorsítótárak és adatfolyamok számára Azure Storage. Alapértelmezés szerint platform által felügyelt kulcsokat használ, és nincs szükség további konfigurációra. Igény szerint konfigurálhatja a megoldást Azure Key Vault vagy Azure Key Vault felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsokkal, ha saját lemeztitkosítási kulcsokat kell vezérelnie és kezelnie. A megoldás biztosítja, hogy a virtuálisgép-lemezeken lévő összes adat titkosítva lesz a Azure tárolóban. További információ a kulcskezelési lehetőségekről: Kulcskezelés Azure.

Azure Erőforrás-kezelő

Azure Resource Manager lehetővé teszi, hogy csoportként használja a megoldás erőforrásait. A megoldás összes erőforrását egyetlen, koordinált műveletben telepítheti, frissítheti vagy törölheti. Az üzembe helyezéshez Azure Resource Manager sablont használ, és ez a sablon különböző környezetekhez, például teszteléshez, előkészítéshez és éles környezetekhez használható. Resource Manager biztonsági, naplózási és címkézési funkciókat biztosít az erőforrások üzembe helyezés utáni kezeléséhez.

Azure Resource Manager sablonalapú üzemelő példányok segítenek a Azure üzembe helyezett megoldások biztonságának javításában, mivel a szabványos biztonsági vezérlési beállítások integrálhatók szabványos sablonalapú üzembe helyezésekkel. A sablonok csökkentik a manuális üzembe helyezés során előforduló biztonsági konfigurációs hibák kockázatát.

Application Insights

Az Application Insights egy rugalmas alkalmazásteljesítmény-kezelési (APM) szolgáltatás, amelyet webfejlesztőknek terveztek. Lehetővé teszi az élő webalkalmazások monitorozását és a teljesítményproblémák automatikus észlelését. Hatékony elemzési eszközökkel diagnosztizálhatja a problémákat, és betekintést nyerhet az alkalmazásokkal folytatott felhasználói interakciókba. Az Application Insights folyamatosan figyeli az alkalmazást a fejlesztéstől a tesztelésen át az éles környezetig.

Az Application Insights elemzési diagramokat és táblázatokat hoz létre, amelyek a felhasználói tevékenység csúcsidejének, az alkalmazások válaszkészségének és az általa hivatkozott külső szolgáltatások teljesítményének a feltárását mutatják.

Összeomlások, hibák vagy teljesítményproblémák esetén részletes keresést végezhet az adatok között az ok diagnosztizálásához. A szolgáltatás e-maileket küld, ha az alkalmazás rendelkezésre állása és teljesítménye megváltozik. Az Application Insights így értékes biztonsági eszközké válik, mivel segít a bizalmassági, integritási és rendelkezésre állási biztonsági triád rendelkezésre állásában.

Azure Monitor

Azure Monitor vizualizációt, lekérdezést, útválasztást, riasztást, automatikus skálázást és automatizálást kínál az Azure-előfizetésből (Activity Log) és minden egyes Azure erőforrásból (Forrásnaplók). A Azure Monitor használatával riasztást készíthet Azure naplókban létrehozott biztonsági eseményekről.

Azure Monitor naplók

Azure Monitor naplók az Azure erőforrásokon túl, az IT felügyeleti megoldást biztosít helyszíni és külső, felhőalapú infrastruktúrák, például az Amazon Web Services esetén is. A Azure Monitor adatai közvetlenül Azure Monitor naplókba irányíthatók, így egyetlen helyen tekintheti meg a teljes környezet metrikáit és naplóit.

Azure Monitor naplók hasznosak lehetnek a kriminalisztikai és egyéb biztonsági elemzésekben, mivel az eszköz lehetővé teszi a nagy mennyiségű, biztonsággal kapcsolatos bejegyzés gyors keresését rugalmas lekérdezési megközelítéssel. Ezenkívül a helyszíni tűzfal- és proxynaplók exportálhatók az Azure-be, és elemzés céljából elérhetővé tehetők az Azure Monitor naplók használatával.

Azure Advisor

Azure Advisor egy személyre szabott felhőtanácsadó, amely segít optimalizálni Azure üzemelő példányait. Elemzi az erőforráskonfigurációt és a használati adatokat. Ezután megoldásokat javasol az erőforrásai teljesítményének, biztonságának és megbízhatóságának javítására, miközben lehetőségeket keres az Azure kiadásainak csökkentésére. Azure Advisor biztonsági javaslatokat nyújt, amelyek jelentősen javíthatják a Azure-ben üzembe helyezett megoldások általános biztonsági helyzetét. Ezek a javaslatok Microsoft Defender for Cloud által végzett biztonsági elemzésből származnak.

Identitás- és hozzáférés-kezelés

A felhőalapú számítástechnika elsődleges biztonsági szegélye az identitás. Az identitások védelme és az erőforrásokhoz való hozzáférés szabályozása alapvető fontosságú a Azure környezet védelméhez. Microsoft Entra ID átfogó identitás- és hozzáférés-kezelési képességeket biztosít. További információ: Azure identitáskezelés áttekintése. Az identitáskezelési ajánlott eljárásokért tekintse meg az Azure identitáskezelési és hozzáférés-vezérlési biztonsági ajánlott eljárásokat. Az identitásinfrastruktúra biztonságossá tételével kapcsolatos útmutatásért tekintse meg az identitásinfrastruktúra védelmének öt lépését.

Microsoft Entra ID

Microsoft Entra ID a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. Ez biztosítja:

• Egyetlen Sign-On (egyszeri bejelentkezés): Lehetővé teszi, hogy a felhasználók több alkalmazást is elérhessenek egyetlen hitelesítő adatkészlettel
• Multi-Factor Authentication (MFA):: Több ellenőrzési forma megkövetelése a bejelentkezéshez
• Feltételes hozzáférés: Az erőforrásokhoz való hozzáférés szabályozása felhasználó, eszköz, hely és kockázat alapján
• Identity Protection: Identitásalapú kockázatok észlelése és azokra való reagálás
• Privileged Identity Management (PIM): Igény szerinti jogosultsággal rendelkező hozzáférés biztosítása Azure erőforrásokhoz
• Identitásszabályozás: Identitás életciklusának és hozzáférési jogosultságának kezelése

Szerepkör-alapú hozzáférés-vezérlés (RBAC)

Azure szerepköralapú hozzáférés-vezérlés (RBAC) segítségével kezelheti, hogy kik férhetnek hozzá Azure erőforrásokhoz, mit tehetnek ezekkel az erőforrásokkal, és milyen területekhez férhetnek hozzá. Az RBAC részletes hozzáférés-kezelést biztosít Azure erőforrásokhoz, így csak a feladatok elvégzéséhez szükséges jogosultságokat biztosíthatja a felhasználóknak.

Microsoft Entra Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, vezérlését és monitorozását. A PIM időalapú és jóváhagyási alapú szerepkör-aktiválást biztosít a túlzott, szükségtelen vagy helytelen hozzáférési engedélyek kockázatának csökkentése érdekében.

Felügyelt identitások Azure erőforrásokhoz

Azure erőforrásokhoz tartozó felügyelt identitások egy automatikusan kezelt identitást biztosítanak az Azure szolgáltatásoknak a Microsoft Entra ID-ben. Ezzel az identitással hitelesítést végezhet bármely olyan szolgáltatásban, amely támogatja Microsoft Entra hitelesítést anélkül, hogy hitelesítő adatokkal kellene rendelkeznie a kódban.

A javításfrissítések biztosítják a lehetséges problémák megtalálásának és javításának alapját, és leegyszerűsítik a szoftverfrissítés-kezelési folyamatot. Csökkentik a vállalatnál üzembe helyezendő szoftverfrissítések számát, és növelik a megfelelőség monitorozásának képességét.

Biztonsági szabályzatok kezelése és jelentése

Defender for Cloud segít megelőzni, észlelni és reagálni a fenyegetésekre. Ez nagyobb betekintést biztosít a Azure-erőforrások biztonságába és felügyeletébe. Integrált biztonsági monitorozást és szabályzatkezelést biztosít a Azure-előfizetésekben. Segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek, és a biztonsági megoldások széles ökoszisztémájával működik együtt.

Biztonságos identitás

A Microsoft számos biztonsági gyakorlatot és technológiát használ a termékeiben és szolgáltatásaiban az identitás és a hozzáférés kezeléséhez.

• A többtényezős hitelesítéshez a felhasználóknak több módszert kell használniuk a hozzáféréshez, a helyszínen és a felhőben. Erős hitelesítést biztosít számos egyszerű ellenőrzési lehetőséggel, miközben egyszerű bejelentkezési folyamattal segíti a felhasználókat.

• Microsoft Authenticator felhasználóbarát, többtényezős hitelesítést biztosít, amely Microsoft Entra ID és Microsoft-fiókokkal is működik. Ez magában foglalja a hordható eszközök és az ujjlenyomat-alapú jóváhagyások támogatását.

• A jelszóházirend-kényszerítés növeli a hagyományos jelszavak biztonságát azáltal, hogy hosszú és összetettségi követelményeket, kényszerített rendszeres rotációt és fiókzárolást ír elő a sikertelen hitelesítési kísérletek után.

• Token-alapú hitelesítés engedélyezi a Microsoft Entra ID keresztüli hitelesítést.

• Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) lehetővé teszi a hozzáférés megadását a felhasználó hozzárendelt szerepköre alapján. Egyszerűen csak annyi hozzáférést adhat a felhasználóknak, amennyi a feladataik elvégzéséhez szükséges. Testre szabhatja Azure RBAC-t a szervezet üzleti modelljének és kockázattűrésének megfelelően.

• Az integrált identitáskezelés (hibrid identitás) lehetővé teszi a felhasználók hozzáférésének ellenőrzését belső adatközpontokban és felhőplatformokon. Egyetlen felhasználói identitást hoz létre az összes erőforrás hitelesítéséhez és engedélyezéséhez.

Alkalmazások és adatok védelme

Microsoft Entra ID, egy átfogó identitás- és hozzáférés-kezelési felhőmegoldás, amely segít biztonságossá tenni az adatokhoz való hozzáférést az alkalmazásokban a helyszínen és a felhőben, és leegyszerűsíti a felhasználók és csoportok kezelését. Egyesíti az alapvető címtárszolgáltatásokat, a fejlett identitásszabályozást, a biztonságot és az alkalmazáshozzáférés-kezelést, és megkönnyíti a fejlesztők számára, hogy szabályzatalapú identitáskezelést építsenek az alkalmazásaikba. A Microsoft Entra ID továbbfejlesztéséhez fizetős képességeket adhat hozzá az Microsoft Entra Basic, Premium P1 és Premium P2 kiadással.

Ingyenes vagy gyakori funkciók	Alapfunkciók	Prémium P1 funkciók	Prémium P2-funkciók	Microsoft Entra csatlakozás – csak a Windows 10-hez kapcsolódó funkciók
Directory Objects, User/Group Management (hozzáadás/frissítés/törlés)/ Felhasználóalapú kiépítés, Eszközregisztráció, single sign-on (SSO), Self-Service jelszómódosítás felhőfelhasználók számára, Connect (A helyszíni könyvtárakat Microsoft Entra ID bővítő szinkronizálási motor), Security/Usage Reports	Csoportalapú hozzáférés-kezelés/kiépítés, Önkiszolgáló jelszó-visszaállítás felhőfelhasználóknak, Vállalati márkajelzés (bejelentkezési oldalak/hozzáférési panel testreszabása), Alkalmazás proxy, SLA 99.9%	Önkiszolgáló csoport- és alkalmazásfelügyelet/Önkiszolgáló alkalmazásbővítések/dinamikus csoportok, önkiszolgáló jelszóátállítás/módosítás/zárolás feloldása helyszíni visszaírással, többtényezős hitelesítéssel (felhőalapú és helyszíni (MFA-kiszolgáló)), MIM CAL + MIM-kiszolgáló, cloud app Discovery, Connect Health, automatikus jelszóátállítás csoportfiókokhoz	Identity Protection, Privileged Identity Management	Az eszköz csatlakoztatása a Microsoft Entra ID-hez, asztali egyszeri bejelentkezés, Microsoft Passport a Microsoft Entra ID-hez, rendszergazdai BitLocker-helyreállítás, MDM automatikus regisztráció, önkiszolgáló BitLocker-helyreállítás, további helyi rendszergazdák Windows 10 eszközökhöz Microsoft Entra csatlakozással

• Cloud App Discovery a Microsoft Entra ID prémium funkciója, amellyel azonosíthatja a szervezet alkalmazottai által használt felhőalapú alkalmazásokat.

• Microsoft Entra ID-védelem egy biztonsági szolgáltatás, amely Microsoft Entra anomáliadetektálási képességeket használ, hogy egységes képet nyújtson a kockázatészlelésekről és a szervezet identitásait esetlegesen érintő biztonsági résekről.

• Microsoft Entra tartományi szolgáltatások lehetővé teszi Azure virtuális gépek tartományhoz való csatlakoztatását anélkül, hogy tartományvezérlőket kellene üzembe helyeznie. A felhasználók vállalati Active Directory hitelesítő adataikkal jelentkeznek be ezekbe a virtuális gépekre, és zökkenőmentesen hozzáférhetnek az erőforrásokhoz.

• Microsoft Entra B2C egy magas rendelkezésre állású, globális identitáskezelési szolgáltatás a fogyasztói alkalmazások számára, amelyek több száz millió identitásra méretezhetők, és integrálhatók mobil- és webes platformokon. Az ügyfelek a meglévő közösségimédia-fiókokat használó testre szabható felületen jelentkezhetnek be az összes alkalmazásba, vagy új különálló hitelesítő adatokat hozhatnak létre.

• Microsoft Entra B2B-együttműködés egy biztonságos partnerintegrációs megoldás, amely támogatja a vállalatközi kapcsolatokat azáltal, hogy lehetővé teszi a partnerek számára, hogy szelektíven férhessenek hozzá a vállalati alkalmazásokhoz és adatokhoz saját felügyelt identitásaik használatával.

• Microsoft Entra kapcsolódás lehetővé teszi a felhőalapú képességek kiterjesztését Windows 10 eszközökre a központosított felügyelethez. Lehetővé teszi, hogy a felhasználók Microsoft Entra ID keresztül csatlakozzanak a vállalati vagy szervezeti felhőhöz, és egyszerűbbé teszik az alkalmazásokhoz és erőforrásokhoz való hozzáférést.

• Microsoft Entra alkalmazásproxy egyszeri bejelentkezést és biztonságos távelérést biztosít a helyszíni webalkalmazásokhoz.

Következő lépések

• A felhőben vállalt megosztott felelősség megismerése.

• Megtudhatja, hogyan segíthet a Microsoft Defender for Cloud a fenyegetések megelőzésében, észlelésében és elhárításában azáltal, hogy nagyobb átláthatóságot és ellenőrzést biztosít a Azure-erőforrások biztonsága felett.

• További biztonsági javaslatokért tekintse meg Azure biztonsági ajánlott eljárásokat és mintákat.

• Átfogó biztonsági útmutatásért tekintse át a Microsoft felhőbiztonsági referenciamutatóját .

• Az Azure végponttól végpontig terjedő biztonsága átfogó képet nyújt az Azure biztonsági architektúráról a védelem, észlelés és válaszadás szempontjából.