Udostępnij za pośrednictwem

Zabezpieczenia platformy Azure Operator Nexus

  • Artykuł

Operator Platformy Azure Nexus został zaprojektowany i opracowany w celu wykrywania i obrony przed najnowszymi zagrożeniami bezpieczeństwa oraz zgodności z rygorystycznymi wymaganiami rządu i branżowymi standardami zabezpieczeń. Dwa kamienie węgielne stanowią podstawę swojej architektury zabezpieczeń:

  • Zabezpieczenia domyślnie — odporność zabezpieczeń jest nieodłączną częścią platformy z niewielkimi zmianami konfiguracji potrzebnymi do bezpiecznego korzystania z niej.
  • Przyjmij naruszenie — podstawowym założeniem jest to, że każdy system może zostać naruszony, a w związku z tym celem jest zminimalizowanie wpływu naruszenia zabezpieczeń w przypadku wystąpienia takiego naruszenia.

Operator platformy Azure Nexus zdaje sobie sprawę z powyższego, wykorzystując natywne dla chmury narzędzia zabezpieczeń firmy Microsoft, które zapewniają możliwość poprawy stanu zabezpieczeń chmury, umożliwiając jednocześnie ochronę obciążeń operatorów.

Ochrona całej platformy za pośrednictwem Microsoft Defender dla Chmury

Microsoft Defender dla Chmury to natywna dla chmury platforma ochrony aplikacji (CNAPP), która zapewnia możliwości zabezpieczeń potrzebne do wzmacniania zasobów, zarządzania stanem zabezpieczeń, ochrony przed cyberatakami i usprawnienia zarządzania zabezpieczeniami. Oto niektóre z kluczowych funkcji Defender dla Chmury, które mają zastosowanie do platformy Azure Operator Nexus:

  • Ocena luk w zabezpieczeniach dla maszyn wirtualnych i rejestrów kontenerów — łatwe włączanie rozwiązań do oceny luk w zabezpieczeniach w celu odnajdywania luk w zabezpieczeniach, zarządzania nimi i ich rozwiązywania. Wyświetlanie, badanie i korygowanie wyników bezpośrednio z poziomu Defender dla Chmury.
  • Zabezpieczenia chmury hybrydowej — uzyskaj ujednolicony widok zabezpieczeń we wszystkich obciążeniach lokalnych i w chmurze. Zastosuj zasady zabezpieczeń i stale oceniaj zabezpieczenia obciążeń chmury hybrydowej, aby zapewnić zgodność ze standardami zabezpieczeń. Zbieranie, wyszukiwanie i analizowanie danych zabezpieczeń z wielu źródeł, w tym zapór i innych rozwiązań partnerskich.
  • Alerty ochrony przed zagrożeniami — zaawansowana analiza behawioralna i program Microsoft Intelligent Security Graph zapewniają przewagę nad zmieniającymi się cyberatakami. Wbudowana analiza behawioralna i uczenie maszynowe mogą identyfikować ataki i luki zero-dniowe. Monitorowanie sieci, maszyn, usługi Azure Storage i usług w chmurze pod kątem przychodzących ataków i działań po naruszeniu zabezpieczeń. Usprawnij badanie dzięki interaktywnym narzędziom i kontekstowej analizie zagrożeń.
  • Ocena zgodności pod kątem różnych standardów zabezpieczeń — Defender dla Chmury stale ocenia środowisko chmury hybrydowej, aby analizować czynniki ryzyka zgodnie z mechanizmami kontroli i najlepszymi rozwiązaniami w ramach testu porównawczego zabezpieczeń platformy Azure. Po włączeniu zaawansowanych funkcji zabezpieczeń można zastosować szereg innych standardów branżowych, standardów regulacyjnych i testów porównawczych zgodnie z potrzebami organizacji. Dodaj standardy i śledź zgodność z nimi z poziomu pulpitu nawigacyjnego zgodności z przepisami.
  • Funkcje zabezpieczeń kontenera — korzystaj z zarządzanie lukami w zabezpieczeniach i ochrony przed zagrożeniami w czasie rzeczywistym w środowiskach konteneryzowanych.

Dostępne są ulepszone opcje zabezpieczeń, które umożliwiają ochronę lokalnych serwerów hostów, a także klastrów Kubernetes, które uruchamiają obciążenia operatora. Poniżej opisano te opcje.

Ochrona systemu operacyjnego hosta komputera bez systemu operacyjnego za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender

Maszyny wirtualne bez systemu operacyjnego (BM) operatora platformy Azure, które hostują serwery obliczeniowe infrastruktury lokalnej, są chronione po wybraniu opcji włączenia rozwiązania Ochrona punktu końcowego w usłudze Microsoft Defender. Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia program antywirusowy zapobiegający (AV), wykrywanie i reagowanie w punktach końcowych (EDR) i zarządzanie lukami w zabezpieczeniach Możliwości.

Istnieje możliwość włączenia ochrony Ochrona punktu końcowego w usłudze Microsoft Defender po wybraniu i aktywowaniu planu usługi Microsoft Defender for Servers, ponieważ aktywacja planu usługi Defender for Servers jest warunkiem wstępnym dla Ochrona punktu końcowego w usłudze Microsoft Defender. Po włączeniu konfiguracja Ochrona punktu końcowego w usłudze Microsoft Defender jest zarządzana przez platformę w celu zapewnienia optymalnego bezpieczeństwa i wydajności oraz zmniejszenia ryzyka błędów konfiguracji.

Ochrona obciążenia klastra Kubernetes za pośrednictwem usługi Microsoft Defender for Containers

Lokalne klastry Kubernetes, które uruchamiają obciążenia operatorów, są chronione po wybraniu opcji włączenia rozwiązania Microsoft Defender for Containers. Usługa Microsoft Defender for Containers zapewnia ochronę przed zagrożeniami w czasie wykonywania dla klastrów i węzłów systemu Linux, a także ochronę środowiska klastra przed błędną konfiguracją.

Istnieje możliwość włączenia ochrony usługi Defender for Containers w Defender dla Chmury przez aktywowanie planu usługi Defender for Containers.

Zabezpieczenia w chmurze są wspólną odpowiedzialnością

Ważne jest, aby zrozumieć, że w środowisku chmury bezpieczeństwo jest wspólną odpowiedzialnością między Tobą a dostawcą usług w chmurze. Obowiązki różnią się w zależności od typu usługi w chmurze, na której działają obciążenia, niezależnie od tego, czy jest to oprogramowanie jako usługa (SaaS), platforma jako usługa (PaaS) lub infrastruktura jako usługa (IaaS), a także miejsce hostowania obciążeń — w ramach dostawcy usług w chmurze lub własnych lokalnych centrów danych.

Obciążenia Operatora platformy Azure są uruchamiane na serwerach w centrach danych, dzięki czemu masz kontrolę nad zmianami w środowisku lokalnym. Firma Microsoft okresowo udostępnia nowe wersje platform, które zawierają zabezpieczenia i inne aktualizacje. Następnie należy zdecydować, kiedy należy zastosować te wersje do środowiska zgodnie z potrzebami biznesowymi organizacji.