Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure átfogó biztonsági szolgáltatásokat és technológiákat biztosít a felhőbeli üzemelő példányok minden rétegében. Ez a cikk bemutatja a fő biztonsági képességeket tartomány szerint rendszerezve, további információkért pedig részletes áttekintő cikkekre mutató hivatkozásokat tartalmaz.
Az ajánlott biztonsági eljárásokért és a részletes megvalósítási útmutatóért tekintse meg a jelen dokumentumban hivatkozott, tartományspecifikus áttekintési cikkeket.
Identitás- és hozzáférés-kezelés
| Szolgáltatás | Leírás |
|---|---|
| Microsoft Entra-azonosító | Felhőalapú identitás- és hozzáférés-kezelési szolgáltatás, amely támogatja az egyszeri bejelentkezést (SSO), a többtényezős hitelesítést (MFA), a feltételes hozzáférést és a jelszó nélküli hitelesítést. |
| Azure szerepkör-alapú hozzáférés-vezérlés (RBAC) | Részletes hozzáférés-kezelés beépített és egyéni szerepkörökkel, hozzárendelhető felügyeleti csoporthoz, előfizetéshez, erőforráscsoporthoz vagy erőforrás-hatókörhöz. |
| Microsoft Entra Privileged Identity Management | Az Azure és a Microsoft Entra szerepkörökhöz éppen időben biztosított jogosultsági hozzáférés jóváhagyási munkafolyamatokkal, hozzáférési felülvizsgálatokkal és naplózási előzményekkel. |
| A Microsoft Entra hozzáférési felülvizsgálatai | A csoporttagságok, az alkalmazáshozzáférés és a szerepkör-hozzárendelések ütemezett áttekintése automatizált javaslatokkal és szervizeléssel. |
| Microsoft Entra alkalmazásproxy | Biztonságos távoli hozzáférés a helyszíni webalkalmazásokhoz VPN nélkül a Microsoft Entra-hitelesítés és a feltételes hozzáférés használatával. |
| Microsoft Entra Connect/Cloud Sync | Hibrid identitásszinkronizálás a helyszíni Active Directory és a Microsoft Entra ID között az egységes identitáskezeléshez. |
Az identitásbiztonsági képességekről és az ajánlott eljárásokról az Azure Identity Management biztonsági áttekintésében olvashat.
Hálózati biztonság
| Szolgáltatás | Leírás |
|---|---|
| Azure Virtual Network | Izolált magánhálózat alhálózatokkal, útvonaltáblákkal és DNS-beállításokkal. Az Azure hálózati biztonságának alapja. |
| Hálózati biztonsági csoportok (NSG-k) | Állapotalapú csomagszűrés 5 rekordos szabályokkal, szolgáltatáscímkékkel és alkalmazásbiztonsági csoportokkal a részletes hozzáférés-vezérléshez. |
| Azure Firewall | Natív felhőbeli állapotalapú tűzfal beépített magas rendelkezésre állással. A standard termékváltozat L3-L7 szűrést kínál; A prémium termékváltozat idPS-t és TLS-ellenőrzést ad hozzá. |
| Webalkalmazási tűzfal (WAF) | Központosított védelem az OWASP Top 10 biztonsági rései, az SQL-injektálás, a helyek közötti szkriptelés és a robottámadások ellen. |
| Azure DDoS Protection | Folyamatos forgalomfigyelés adaptív hangolással, valós idejű kockázatcsökkentéssel és támadáselemzéssel a mennyiségi és protokollos támadásokhoz. |
| Azure Private Link | Privát kapcsolat az Azure PaaS-szolgáltatásokhoz egy privát végponton keresztül a virtuális hálózaton, így kiküszöbölve a nyilvános internetes kitettséget. |
| Virtuális hálózati szolgáltatásvégpontok | Közvetlen kapcsolat az Azure-szolgáltatásokhoz az Azure gerinchálózatán keresztül, csak a virtuális hálózatokhoz való hozzáférés korlátozása. |
| Azure VPN Gateway | Titkosított telephelyek közötti összeköttetés IPsec/IKE VPN-alagutakkal, helyszínek közötti és ponttól pontig tartó kapcsolatokhoz. |
| Azure ExpressRoute | Dedikált privát WAN-kapcsolat a Microsoft felhőszolgáltatásaihoz, elkerülve a nyilvános internetet a fokozott biztonság és megbízhatóság érdekében. |
| Azure Application Gateway | 7. rétegbeli terheléselosztó TLS-lezárással, cookie-alapú munkamenet-affinitással, URL-alapú útválasztással és integrált WAF-tal. |
| Azure Front Door | Globális HTTP-terheléselosztó élgyorsítással, integrált WAF-tal, platformszintű DDoS-védelemmel és Private Link háttérrendszerrel. |
| Azure Network Watcher | Hálózatfigyelés, diagnosztika és biztonsági elemzés, beleértve az NSG-folyamatnaplókat, a csomagrögzítést és a kapcsolat hibaelhárítását. |
Átfogó hálózati biztonsági útmutatásért és ajánlott eljárásokért tekintse meg az Azure hálózati biztonsági áttekintését.
Adattitkosítás
| Szolgáltatás | Leírás |
|---|---|
| Azure Storage-szolgáltatás titkosítása | Automatikus AES 256-titkosítás az Azure Blob Storage, az Azure Files, a Queue Storage és a Table Storage összes inaktív adatához. |
| Az Azure SQL Database transzparens adattitkosítása (TDE) | Adatbázisok, biztonsági másolatok és tranzakciónaplók inaktív állapotban történő valós idejű titkosítása. Alapértelmezés szerint engedélyezve van az ügyfél által felügyelt kulcsok támogatásával. |
| Mindig titkosítva | Az Azure SQL Database ügyféloldali titkosítása biztosítja, hogy az adatok az életciklusuk során is titkosítva maradnak, még az adatbázisgazdáktól is. |
| Azure Disk Encryption | Operációs rendszer és adatlemezek titkosítása platform által felügyelt kulcsokkal, ügyfél által felügyelt kulcsokkal vagy kettős titkosítással mindkettővel. |
| Azure Cosmos DB-titkosítás | Automatikus titkosítás nyugalmi állapotban szolgáltatás által felügyelt kulcsokkal, opcionális ügyfél által felügyelt kulcs (CMK) támogatással. |
| Azure Data Lake-titkosítás | Az inaktív adatok titkosítása transzparensen alapértelmezés szerint engedélyezve van a Microsoft által felügyelt vagy ügyfél által felügyelt kulcsok beállításaival. |
| TLS-titkosítás átvitel közben | Transport Layer Security (TLS 1.2+) minden Azure-szolgáltatáskommunikációhoz, tökéletes továbbítási titoktartással (PFS). |
| MACsec adatkapcsolat titkosítása | Pont–pont titkosítás az IEEE 802.1AE használatával az adatközpontok közötti összes Azure-forgalomhoz. |
Részletes titkosítási lehetőségekért és ajánlott eljárásokért tekintse meg az Azure-titkosítás áttekintését.
Kulcs- és titkos kódok kezelése
| Szolgáltatás | Leírás |
|---|---|
| Azure Key Vault | Kulcsok, titkos kulcsok és tanúsítványok biztonságos tárolása a FIPS 140-2 1. szintű (Standard szint) vagy a FIPS 140-3 3. szintű (prémium szintű HSM)-ellenőrzéssel. |
| Azure Key Vault által felügyelt HSM | Egybérlős, FIPS 140-3 3. szintű hitelesített HSM szolgáltatás, amely teljes körű ügyfélvezérlést biztosít bizalmas kulcsok támogatásával. Integrálható az Azure PaaS-szolgáltatásokkal. |
| Azure Cloud HSM | Teljes körűen felügyelt, egybérlős FIPS 140-3 3. szinten hitelesített HSM klaszter, amely támogatja a PKCS#11-et, az SSL/TLS-kiszervezést és a helyszíni migrálási forgatókönyveket. Csak IaaS. |
| Azure Fizetési HSM | Egybérlős, FIPS 140-2 által 3. szintre érvényesített, PCI HSM v3-kompatibilis hardverbiztonsági modul a fizetésfeldolgozási műveletekhez. |
Az átfogó kulcskezelési lehetőségekért lásd: Kulcskezelés az Azure-ban.
Fenyegetésészlelés és -reagálás
| Szolgáltatás | Leírás |
|---|---|
| Microsoft Defender for Cloud | Egységes felhőbiztonság a testtartáskezeléssel (CSPM), a számítási feladatok védelmével (CWP) és a fejlett fenyegetésészleléssel az Azure-ban, AWS-ben, GCP-ben és hibrid környezetekben. Integrálva a Microsoft Defender portállal. |
| Microsoft Sentinel | Natív felhőbeli SIEM- és SOAR-megoldás gépi tanulással, felhasználói és entitás viselkedéselemzéssel (UEBA), fenyegetésintelligencia-integrációval és automatizált forgatókönyvekkel. |
| Microsoft Entra ID-védelem | Kockázatalapú identitásvédelem, amely gépi tanulással észleli a rendellenes bejelentkezési viselkedéseket és a feltört fiókokat. |
| Felhőhöz készült Microsoft Defender-alkalmazások | A Cloud Access Security Broker (CASB) láthatóságot, adatvezérlést és fenyegetésvédelmet biztosít a felhőalkalmazások számára, beleértve az árnyék informatikai felderítését is. |
| Microsoft Antimalware az Azure számára | Az Azure Cloud Services és a virtuális gépek valós idejű védelme, ütemezett vizsgálata és automatikus kártevő-szervizelése. |
A fenyegetésészlelési képességekkel és az ajánlott eljárásokkal kapcsolatos átfogó információkért lásd: Azure Threat Protection.
Platformintegritás
| Szolgáltatás | Leírás |
|---|---|
| Belső vezérlőprogram biztonsága | Az Azure-hardverek ellátási láncának és belső vezérlőprogram-integritásának biztonságos ellenőrzése a gyártástól az üzembe helyezésig. |
| UEFI biztonságos rendszerindítás | Biztosítja, hogy csak aláírt operációs rendszerek és illesztőprogramok indulhatnak el, védve ezzel a belső vezérlőprogramszintű kártevőket. |
| Platformkód integritása | Kódintegritási szabályzatok, amelyek az Azure-infrastruktúrán történő végrehajtás előtt ellenőrzik az összes kódot. |
| Mért rendszerindítási és gazdagépigazolás | A rendszerindítási folyamat kriptográfiai ellenőrzése annak biztosítása érdekében, hogy a hosztok biztonságos és megbízható állapotban legyenek. |
| Project Cerberus | A megbízhatóság hardveres gyökere, amely platformi identitást és integritás-ellenőrzést biztosít. |
| Hipervizor biztonsága | Edzett hipervizor erős elkülönítéssel a virtuális gépek és a gazdakörnyezet között. |
A platform biztonsági architektúrájának részletes ismertetését az Azure platformintegritását és biztonsági áttekintését ismertető cikkben találja.
Virtuális gépek biztonsága
| Szolgáltatás | Leírás |
|---|---|
| Megbízható indítás | A Gen2 rendszerű virtuális gépek alapértelmezett biztonsági rendszerindítási, vTPM- és rendszerindítási integritás-monitorozása, amely védelmet nyújt a rendszerindító készletek, a rootkitek és a kernelszintű kártevők ellen. |
| Bizalmas Azure-számítástechnika | Hardveralapú megbízható végrehajtási környezetek (TEE) az AMD SEV-SNP vagy az Intel TDX használatával az adatvédelemhez használat közben. |
| bizalmas virtuális gépek | Teljes virtuálisgép-memóriatitkosítás hardveresen kényszerített elkülönítéssel a hipervizortól és a gazdagép felügyeleti kódjától. |
| Microsoft Defender kiszolgálókhoz | Fenyegetésészlelés a Microsoft Defender végpontintegrációval, sebezhetőségi felméréssel, igény szerinti virtuálisgép-hozzáféréssel és fájlintegritási monitorozással. |
| Igény szerinti (JIT) virtuálisgép-hozzáférés | Csökkenti a támadási felületet a bejövő forgalom zárolásával és az igény szerinti felügyeleti portokhoz való időkorlátos hozzáférés engedélyezésével. |
| Adaptív alkalmazásvezérlők | A gépi tanuláson alapuló alkalmazás lehetővé teszi annak szabályozását, hogy mely alkalmazások futtathatók a virtuális gépeken. |
| Azure Backup | Független, izolált biztonsági mentések zsarolóprogramok elleni védelemmel, helyreállítható törléssel és Recovery Services-tárolókezeléssel. |
| Azure Site Recovery | Vészhelyreállítási folyamatok vezénylése replikációhoz, feladatátvételhez és helyreállításhoz az Azure-ban vagy egy másodlagos helyszínen. |
A virtuális gépek átfogó biztonsági funkcióiról és útmutatásáért tekintse meg az Azure Virtual Machines biztonsági áttekintését.
Tárolóbiztonság
| Szolgáltatás | Leírás |
|---|---|
| Microsoft Defender a konténerekhez | Futtatókörnyezet-védelem, sebezhetőségi felmérés és Kubernetes-fenyegetésészlelés AKS-, EKS-, GKE- és helyszíni fürtökben. |
| Azure Container Registry | Felügyelt tárolóregisztrációs adatbázis biztonsági rések vizsgálatával, tartalommegbízhatóságtal (képaláírással), georeplikálással és privát végpontokkal. |
| Az Azure Kubernetes Service (AKS) biztonsága | Felügyelt Kubernetes a Microsoft Entra-integrációval, az Azure RBAC-vel, a hálózati szabályzatokkal, a podbiztonsággal és a titkos kódok kezelésével. |
| Bizalmas tárolók az ACI-n | Hardveralapú TEE-védelem AMD-SEV-SNP használatával ellenőrizhető végrehajtási szabályzatokkal és távoli igazolásokkal. |
| Kubernetes által felügyelt üzembe helyezés | A hozzáférés-ellenőrzés megakadályozza az olyan konténerképek üzembe helyezését, amelyek megsértik a biztonsági szabályokat ellenőrző vagy megtagadási módban. |
| Konténerképek vizsgálata | Az AKS-fürtök adatbázisaiban és futtatókörnyezeti tárolóiban lévő tárolólemezképek ügynök nélküli sebezhetőségi felmérése. |
Az átfogó tárolóbiztonsági útmutatásért tekintse meg a Tárolóbiztonság a Microsoft Defender for Cloudban című témakört.
Adatbázis-biztonság
| Szolgáltatás | Leírás |
|---|---|
| Az Azure SQL Database biztonsága | Átfogó biztonság a hálózatelkülönítéssel, a Microsoft Entra-hitelesítéssel, a TDE-titkosítással, az Always Encrypteddel és a naplózással. |
| Microsoft Defender az SQL-hez | Az SQL-injektálást, találgatásos támadásokat, rendellenes tevékenységeket és biztonsági réseket kihasználó fejlett veszélyforrások elleni védelem. |
| SQL-sebezhetőségi felmérés | Felderíti, nyomon követi és segít elháríteni az adatbázis biztonsági réseit a végrehajtható biztonsági javaslatokkal. |
| Row-Level Biztonság (RLS) | A sorhozzáférést a felhasználói identitás, a szerepkör vagy a végrehajtási környezet alapján korlátozza a részletes adathozzáférés-vezérlés érdekében. |
| Dinamikus adatmaszkolás | Maszkolja a bizalmas adatokat a nem kiemelt felhasználók számára anélkül, hogy módosítaná a mögöttes adatokat, csökkentve az expozíciós kockázatot. |
| Azure SQL Database Ledger | Módosításbiztos képességek az adatintegritás ellenőrzésére és a megfelelőség biztosítására nem módosítható tranzakciórekordokkal. |
| Az Azure Cosmos DB biztonsága | Inaktív és átvitel közbeni titkosítás, hálózati elkülönítés, RBAC és naplózás a NoSQL- és többmodelles számítási feladatokhoz. |
Átfogó adatbázisbiztonsági ellenőrzőlistát az Azure-adatbázis biztonsági ellenőrzőlistájában talál.
DevOps biztonság
| Szolgáltatás | Leírás |
|---|---|
| DevOps-hoz készült Microsoft Defender | Egyesített DevOps-biztonság, amely az Azure DevOpsot és a GitHubot köti össze a kódvizsgálattal, az infrastruktúra kódkénti vizsgálatával és a titkos kódok észlelésével. |
| GitHub Advanced Security-integráció | Kód–felhő biztonsági rés nyomon követése futtatási környezet prioritásának meghatározásával és AI vezérelt Copilot Autofix javítással. |
| Folyamaton belüli tárolóvizsgálat | CLI-alapú tároló biztonsági réseinek vizsgálata CI/CD-munkafolyamatok során valós idejű visszajelzéssel a beállításjegyzék leküldése előtt. |
| Függőségi biztonsági rések vizsgálata | Trivy által irányított operációsrendszer- és könyvtárbiztonsági rések észlelése a GitHub és az Azure DevOps adattárakban. |
A DevOps biztonsági ajánlott eljárásaiért tekintse meg a DevOps biztonsági funkcióit a Defender for Cloudban.
Monitorozás és irányítás
| Szolgáltatás | Leírás |
|---|---|
| Azure Monitor | Átfogó monitorozás metrikákkal, naplókkal, Log Analytics-munkaterületekkel, Application Insightsszal, riasztásokkal és munkafüzetekkel. |
| Azure Policy | A szabályozási szolgáltatás szabályzatdefiníciókkal, kezdeményezésekkel, megfelelőségi jelentésekkel és automatikus szervizeléssel kényszeríti ki a szervezeti szabványokat. |
| A Microsoft Defender for Cloud jogszabályi megfelelősége | A microsoftos felhőbiztonsági teljesítményteszthez, az ISO 27001-hez, az NIST-hez, a PCI DSS-hez és más szabványokhoz igazodó beépített és egyéni megfelelőségi értékelések. |
| Azure-tevékenységnapló | Előfizetési szintű naplózási napló, amely 90 napos megőrzéssel rögzíti a felügyeleti műveleteket, a szolgáltatásállapot-eseményeket és az erőforrás-módosításokat. |
| Azure Frissítéskezelő | Egyesített javításkezelés Windows- és Linux rendszerű virtuális gépekhez az Azure-ban, a helyszínen és a többfelhőben ütemezett javításokkal és gyorsjavításokkal. |
| Azure Resource Graph | Az előfizetések közötti gyors lekérdezéssel azonosíthatja az adott konfigurációval vagy biztonsági helyzettel rendelkező erőforrásokat nagy méretekben. |
| Microsoft Cost Management | Költségfigyelés, költségvetések és anomáliadetektálás a biztonsági incidensekre utaló jogosulatlan erőforrás-telepítések azonosításához. |
A biztonságkezelési képességek és az ajánlott eljárások részletes ismertetését az Azure biztonsági felügyeletének és monitorozásának áttekintésében találja.
Biztonsági mentés és katasztrófa utáni helyreállítás
| Szolgáltatás | Leírás |
|---|---|
| Azure Backup | Független, elkülönített biztonsági mentések nulla tőkebefektetéssel, zsarolóprogram-védelemmel, helyreállítható törléssel és régiók közötti visszaállítással. |
| Azure Site Recovery | Üzletmenet-folytonossági és vészhelyreállítási (BCDR) vezénylés az Azure-ba vagy egy másodlagos helyre történő replikációhoz, feladatátvételhez és helyreállításhoz. |
Átfogó biztonsági mentési útmutatásért tekintse meg az Azure Backup dokumentációját.
PaaS üzembehelyezési biztonság
A szolgáltatásként üzemelő platformok – például az App Service, az Azure Functions és a tárolószolgáltatások – biztonságossá tételével kapcsolatos útmutatásért lásd: PaaS-környezetek biztonságossá tétele.
Következő lépések
- Teljes körű biztonság az Azure-ban – Az Azure biztonsági architektúrájának és képességeinek átfogó áttekintése
- Az Azure biztonsági ajánlott eljárásai és mintái – Ajánlott biztonsági eljárások gyűjteménye különböző forgatókönyvekhez
- Microsoft cloud security benchmark – Átfogó biztonsági útmutató az Azure-szolgáltatásokhoz
- Megosztott felelősség a felhőben – Az Ön és a Microsoft között megosztott biztonsági feladatok ismertetése