Végpontok közötti biztonság az Azure-ban
Az Azure alkalmazásokhoz és szolgáltatásokhoz való használatának egyik legjobb oka a biztonsági eszközök és képességek széles skálájának kihasználása. Ezek az eszközök és képességek segítenek biztonságos megoldások létrehozásában a biztonságos Azure-platformon. A Microsoft Azure biztosítja az ügyféladatok bizalmasságát, integritását és rendelkezésre állását, ugyanakkor lehetővé teszi az átlátható elszámoltathatóságot is.
Az alábbi ábra és dokumentáció bemutatja az Azure biztonsági szolgáltatásait. Ezek a biztonsági szolgáltatások segítenek a vállalat biztonsági igényeinek kielégítésében, valamint a felhőben lévő felhasználók, eszközök, erőforrások, adatok és alkalmazások védelmében.
A Microsoft biztonsági szolgáltatásainak térképe
A biztonsági szolgáltatások térképe a szolgáltatásokat az általuk védett erőforrások (oszlop) alapján rendezi. A diagram a szolgáltatásokat a következő kategóriákba (sorba) csoportosítja:
- Biztonság és védelem – Olyan szolgáltatások, amelyek lehetővé teszik a rétegzett, részletes védelmi stratégia megvalósítását az identitások, gazdagépek, hálózatok és adatok között. Ez a biztonsági szolgáltatások és képességek gyűjteménye lehetővé teszi a biztonsági helyzet megértését és javítását az Azure-környezetben.
- Fenyegetések észlelése – Olyan szolgáltatások, amelyek azonosítják a gyanús tevékenységeket, és megkönnyítik a fenyegetés mérséklését.
- Kivizsgálás és válaszadás – A naplózási adatokat lekérő szolgáltatások, amelyek alapján kiértékelheti a gyanús tevékenységeket és válaszolhat.
Biztonsági vezérlők és alapkonfigurációk
A Microsoft felhőbiztonsági referenciamutatója számos nagy hatású biztonsági javaslatot tartalmaz, amelyekkel biztonságossá teheti az Azure-ban használt szolgáltatásokat:
- Biztonsági vezérlők – Ezek a javaslatok általánosan alkalmazhatók az Azure-bérlőre és az Azure-szolgáltatásokra. Minden javaslat azonosítja azoknak az érdekelt feleknek a listáját, akik általában részt vesznek a referenciamutató tervezésében, jóváhagyásában vagy megvalósításában.
- Szolgáltatási alapkonfigurációk – Ezek az egyes Azure-szolgáltatások vezérlőit alkalmazzák, hogy javaslatokat nyújtsanak az adott szolgáltatás biztonsági konfigurációjára.
Biztonság és védelem
| Szolgáltatás | Leírás |
|---|---|
| Felhőhöz készült Microsoft Defender | Egységes infrastruktúrabiztonsági felügyeleti rendszer, amely erősíti az adatközpontok biztonsági pozícióját, és fejlett fenyegetésvédelmet biztosít a hibrid számítási feladatok számára a felhőben – akár az Azure-ban, akár nem – és a helyszínen is. |
| Identitás- és hozzáférés-kezelés | |
| Microsoft Entra ID | A Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. |
| A Feltételes hozzáférés a Microsoft Entra ID által használt eszköz az identitásjelek összevonására, a döntések meghozatalára és a szervezeti szabályzatok kikényszerítésére. | |
| A Domain Services az eszköz, amelyet a Microsoft Entra ID használ olyan felügyelt tartományi szolgáltatások biztosítására, mint a tartományhoz való csatlakozás, a csoportházirend, az egyszerűsített címtárelérési protokoll (LDAP) és a Kerberos/NTLM-hitelesítés. | |
| A Privileged Identity Management (PIM) a Microsoft Entra ID szolgáltatása, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását. | |
| A Többtényezős hitelesítés a Microsoft Entra ID által használt eszköz, amellyel az adatokhoz és alkalmazásokhoz való hozzáférést egy második hitelesítési mód megkövetelésével védheti meg. | |
| Microsoft Entra ID-védelem | Egy olyan eszköz, amely lehetővé teszi a szervezetek számára az identitásalapú kockázatok észlelésének és szervizelésének automatizálását, a kockázatok portálon tárolt adatokkal történő vizsgálatát, valamint a kockázatészlelési adatok külső segédprogramba való exportálását további elemzés céljából. |
| Infrastruktúra és hálózat | |
| VPN Gateway | Egy virtuális hálózati átjáró, amely titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül, és titkosított forgalmat küld az Azure-beli virtuális hálózatok között a Microsoft-hálózaton keresztül. |
| Azure DDoS Protection | Továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. It is automatically tuned to help protect your specific Azure resources in a virtual network. |
| Azure Front Door | Egy globális, méretezhető belépési pont, amely a Microsoft globális peremhálózatát használja gyors, biztonságos és széles körben skálázható webalkalmazások létrehozásához. |
| Azure Firewall | Egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít az Azure-ban futó felhőbeli számítási feladatok számára. Ez egy szolgáltatott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan felhőalapú skálázhatósággal. Az Azure Firewall három termékváltozatban érhető el: Standard, Premium és Basic. |
| Azure Key Vault | Biztonságos titkos kulcstár jogkivonatokhoz, jelszavakhoz, tanúsítványokhoz, API-kulcsokhoz és egyéb titkos kódokhoz. A Key Vault az adatok titkosításához használt titkosítási kulcsok létrehozására és szabályozására is használható. |
| Key Vault által felügyelt HSM | Teljes mértékben felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a titkosítási kulcsok védelmét a felhőalkalmazások számára a FIPS 140-2 3. szintű hitelesített HSM-ekkel. |
| Azure Private Link | Lehetővé teszi az Azure PaaS-szolgáltatások (például az Azure Storage és az SQL Database) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül. |
| Azure Application Gateway | Speciális webes forgalom terheléselosztó, amellyel kezelheti a webalkalmazások forgalmát. Az Application Gateway a HTTP-kérések további attribútumai, például az URI-elérési út vagy a gazdagépfejlécek alapján hozhat útválasztási döntéseket. |
| Azure Service Bus | Teljes körűen felügyelt vállalati üzenetközvetítő üzenetsorokkal és közzétételi feliratkozási témakörökkel. A Service Bus alkalmazásokat és szolgáltatásokat különít el egymástól. |
| Webalkalmazási tűzfal | Központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések és biztonsági rések ellen. A WAF üzembe helyezhető Azure-alkalmazás Gateway és az Azure Front Door használatával. |
| Azure Policy | Segít kikényszeríteni a szervezeti szabványokat, és felmérni a megfelelőséget. A megfelelőségi irányítópulton keresztül egy összesített nézetet biztosít a környezet általános állapotának kiértékeléséhez, amely lehetővé teszi az erőforrások és szabályzatok szintjén történő részletes elemzést is. Ezenfelül segít biztosítani az erőforrások megfelelőségét a meglévő erőforrások tömeges, illetve az új erőforrások automatikus szervizelésével. |
| Data > Alkalmazás | |
| Azure Backup | Egyszerű, biztonságos és költséghatékony megoldásokat kínál az adatok biztonsági mentéséhez és a Microsoft Azure-felhőből való helyreállításához. |
| Azure Storage-szolgáltatás titkosítása | Automatikusan titkosítja az adatokat a tárolás előtt, és a lekéréskor automatikusan visszafejti az adatokat. |
| Azure Information Protection | Felhőalapú megoldás, amely lehetővé teszi a szervezetek számára a dokumentumok és e-mailek felderítését, besorolását és védelmét címkék tartalomra való alkalmazásával. |
| API Management | Konzisztens és modern API-átjárók létrehozása meglévő háttérszolgáltatásokhoz. |
| Azure Confidential Computing | Lehetővé teszi a bizalmas adatok elkülönítését a felhőben történő feldolgozásuk során. |
| Azure DevOps | A fejlesztési projektek az Azure DevOpsban tárolt biztonsági és szabályozási technológiák, üzemeltetési eljárások és megfelelőségi szabályzatok több rétegét is kihasználják. |
| Ügyfélhozzáférés | |
| Microsoft Entra Külső ID | With External Identities in Microsoft Entra ID, you can allow people outside your organization to access your apps and resources, while letting them sign in using whatever identity they prefer. |
| Alkalmazásait és erőforrásait a Microsoft Entra B2B együttműködésével megoszthatja külső felhasználókkal. | |
| Az Azure AD B2C segítségével naponta több millió felhasználót és több milliárd hitelesítést támogathat, figyelheti és automatikusan kezelheti az olyan fenyegetéseket, mint a szolgáltatásmegtagadás, a jelszópermet vagy a találgatásos támadások. |
Fenyegetésészlelés
| Szolgáltatás | Leírás |
|---|---|
| Felhőhöz készült Microsoft Defender | Fejlett, intelligens, azure-beli és hibrid erőforrások és számítási feladatok védelmét biztosítja. A számítási feladatok védelmének irányítópultja Felhőhöz készült Defender biztosítja a környezet felhőbeli számítási feladatok védelmi funkcióinak láthatóságát és ellenőrzését. |
| Microsoft Sentinel | Skálázható, natív felhőbeli, biztonsági információs eseménykezelés (SIEM) és biztonsági vezénylési automatizált válasz (SOAR) megoldás. A Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül, egyetlen megoldást biztosítva a riasztások észlelésére, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre. |
| Identitás- és hozzáférés-kezelés | |
| Microsoft Defender XDR | Egységes, incidens előtti és utáni vállalati védelmi csomag, amely natív módon koordinálja a végpontok, identitások, e-mailek és alkalmazások észlelését, megelőzését, vizsgálatát és válaszát, hogy integrált védelmet nyújtson a kifinomult támadások ellen. |
| Végponthoz készült Microsoft Defender egy vállalati végpontbiztonsági platform, amelynek célja, hogy segítse a vállalati hálózatokat a speciális fenyegetések megelőzésében, észlelésében, kivizsgálásában és megválaszolásában. | |
| A Microsoft Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jelekkel azonosítja, észleli és vizsgálja meg a szervezetre irányított speciális fenyegetéseket, feltört identitásokat és rosszindulatú belső műveleteket. | |
| Microsoft Entra ID-védelem | Kétféle automatikus értesítési e-mailt küld a felhasználói kockázatok és kockázatészlelések kezeléséhez: a veszélyeztetett felhasználók észlelik az e-maileket és a heti kivonatoló e-maileket. |
| Infrastruktúra és hálózat | |
| Azure Firewall | Az Azure Firewall Premium aláírásalapú behatolásészlelési és -megelőzési rendszert (IDPS) biztosít, amely lehetővé teszi a támadások gyors észlelését bizonyos minták, például a hálózati forgalom bájtsorozatai vagy a kártevők által használt ismert rosszindulatú utasítássorozatok keresésével. |
| Microsoft Defender for IoT | Egységes biztonsági megoldás az IoT/OT-eszközök, a biztonsági rések és a fenyegetések azonosításához. Lehetővé teszi a teljes IoT/OT-környezet védelmét, legyen szó meglévő IoT/OT-eszközök védelméről vagy a biztonság új IoT-innovációkba való kiépítéséről. |
| Azure Network Watcher | Eszközöket biztosít a metrikák figyeléséhez, diagnosztizálásához, megtekintéséhez, valamint az Azure-beli virtuális hálózatokban található erőforrások naplóinak engedélyezéséhez vagy letiltásához. A Network Watcher az IaaS-termékek hálózati állapotának figyelésére és javítására szolgál, beleértve a virtuális gépeket, a virtuális hálózatokat, az alkalmazásátjárókat és a terheléselosztókat. |
| Azure Policy | Segít kikényszeríteni a szervezeti szabványokat, és felmérni a megfelelőséget. Az Azure Policy tevékenységnaplókat használ, amelyek automatikusan engedélyezik az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és egyéb hasznos elemeket. |
| Data > Alkalmazás | |
| Microsoft Defender tárolókhoz | Felhőalapú natív megoldás, amely a tárolók védelmére szolgál a fürtök, tárolók és alkalmazásuk biztonságának javítása, monitorozása és fenntartása érdekében. |
| Felhőhöz készült Microsoft Defender-alkalmazások | Felhőbevezetési biztonsági közvetítő (CASB), amely több felhőben működik. Gazdag láthatóságot, az adatutazás szabályozását és kifinomult elemzéseket biztosít a kibertámadások azonosításához és leküzdéséhez az összes felhőszolgáltatásban. |
Vizsgálat és válaszintézkedések
| Szolgáltatás | Leírás |
|---|---|
| Microsoft Sentinel | Hatékony keresési és lekérdezési eszközök a szervezet adatforrásai közötti biztonsági fenyegetések kereséséhez. |
| Azure Monitor-naplók és metrikák | Átfogó megoldást kínál a felhőből és a helyszíni környezetekből származó telemetriai adatok gyűjtésére, elemzésére és kezelésére. Az Azure Monitor különböző forrásokból származó adatokat gyűjt és összesít egy közös adatplatformon, ahol elemzéshez, vizualizációhoz és riasztáshoz használható. |
| Identitás- és hozzáférés-kezelés | |
| Azure AD-jelentések és monitorozás | A Microsoft Entra-jelentések átfogó képet nyújtanak a környezetben végzett tevékenységekről. |
| A Microsoft Entra monitorozása lehetővé teszi a Microsoft Entra tevékenységnaplóinak különböző végpontokra való átirányítását. | |
| A Microsoft Entra PIM naplózási előzményei | Megjeleníti az összes szerepkör-hozzárendelést és aktiválást az elmúlt 30 napban az összes kiemelt szerepkör esetében. |
| Data > Alkalmazás | |
| Felhőhöz készült Microsoft Defender-alkalmazások | Eszközöket biztosít a felhőkörnyezetben zajló események mélyebb megértéséhez. |
További lépések
A felhőben vállalt megosztott felelősség megismerése.
Ismerje meg az Azure-felhőben a rosszindulatú és a nem rosszindulatú felhasználók elkülönítési lehetőségeit.