Kompleksowe zabezpieczenia na platformie Azure
Jednym z najlepszych powodów korzystania z platformy Azure dla aplikacji i usług jest wykorzystanie szerokiej gamy narzędzi i możliwości zabezpieczeń. Te narzędzia i możliwości ułatwiają tworzenie bezpiecznych rozwiązań na bezpiecznej platformie Azure. Platforma Microsoft Azure zapewnia poufność, integralność i dostępność danych klientów, a jednocześnie zapewnia przejrzystość odpowiedzialności.
Na poniższym diagramie i dokumentacji przedstawiono usługi zabezpieczeń na platformie Azure. Te usługi zabezpieczeń pomagają sprostać potrzebom firmy w zakresie zabezpieczeń i chronić użytkowników, urządzenia, zasoby, dane i aplikacje w chmurze.
Mapa usług zabezpieczeń firmy Microsoft
Mapa usług zabezpieczeń organizuje usługi według zasobów, które chronią (kolumnę). Diagram grupuje również usługi w następujących kategoriach (wiersz):
- Zabezpieczanie i ochrona — usługi, które umożliwiają zaimplementowanie warstwowej strategii ochrony w zakresie tożsamości, hostów, sieci i danych. Ta kolekcja usług zabezpieczeń i możliwości zapewnia sposób zrozumienia i poprawy stanu zabezpieczeń w środowisku platformy Azure.
- Wykrywanie zagrożeń — usługi identyfikujące podejrzane działania i ułatwiające łagodzenie zagrożenia.
- Badanie i reagowanie — usługi, które ściągają dane rejestrowania, aby można było ocenić podejrzane działania i reagować.
Mechanizmy kontroli zabezpieczeń i punkty odniesienia
Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zbiór zaleceń dotyczących zabezpieczeń o dużym wpływie, których można użyć w celu zabezpieczenia usług używanych na platformie Azure:
- Mechanizmy kontroli zabezpieczeń — te zalecenia mają ogólne zastosowanie w dzierżawie platformy Azure i usługach platformy Azure. Każde zalecenie identyfikuje listę uczestników projektu, które są zwykle zaangażowane w planowanie, zatwierdzanie lub wdrażanie testu porównawczego.
- Punkty odniesienia usługi — dotyczą one kontrolek poszczególnych usług platformy Azure w celu udostępnienia zaleceń dotyczących konfiguracji zabezpieczeń tej usługi.
Zabezpieczanie i ochrona
| Usługa | opis |
|---|---|
| Microsoft Defender dla Chmury | Ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia stan zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze — niezależnie od tego, czy znajdują się na platformie Azure, czy nie — a także lokalnie. |
| Zarządzanie tożsamościami i dostępem | |
| Tożsamość Microsoft Entra | Oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. |
| Dostęp warunkowy to narzędzie używane przez firmę Microsoft Entra ID do łączenia sygnałów tożsamości, podejmowania decyzji i wymuszania zasad organizacji. | |
| Usługi domenowe to narzędzie używane przez firmę Microsoft Entra ID do dostarczania zarządzanych usług domenowych, takich jak przyłączenie do domeny, zasady grupy, uproszczony protokół dostępu do katalogu (LDAP) i uwierzytelnianie Kerberos/NTLM. | |
| Privileged Identity Management (PIM) to usługa w usłudze Microsoft Entra ID, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji. | |
| Uwierzytelnianie wieloskładnikowe to narzędzie używane przez firmę Microsoft Entra ID, które pomaga chronić dostęp do danych i aplikacji przez wymaganie drugiej formy uwierzytelniania. | |
| Ochrona tożsamości Microsoft Entra | Narzędzie, które umożliwia organizacjom automatyzowanie wykrywania i korygowania zagrożeń opartych na tożsamościach, badanie ryzyka przy użyciu danych w portalu i eksportowanie danych wykrywania ryzyka do narzędzi innych firm w celu dalszej analizy. |
| Infrastruktura i sieć | |
| VPN Gateway | Brama sieci wirtualnej używana do wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu oraz do wysyłania zaszyfrowanego ruchu między sieciami wirtualnymi platformy Azure za pośrednictwem sieci firmy Microsoft. |
| Ochrona przed atakami DDoS | Zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona do ochrony określonych zasobów platformy Azure w sieci wirtualnej. |
| Azure Front Door | Globalny, skalowalny punkt wejścia, który używa globalnej sieci brzegowej firmy Microsoft do tworzenia szybkich, bezpiecznych i szeroko skalowalnych aplikacji internetowych. |
| Azure Firewall | Natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze działających na platformie Azure. Jest to w pełni stanowa zapora oferowana jako usługa, z wbudowaną wysoką dostępnością i możliwością nieograniczonego skalowania w chmurze. Usługa Azure Firewall jest oferowana w trzech jednostkach SKU: Standardowa, Premium i Podstawowa. |
| Azure Key Vault | Bezpieczny magazyn wpisów tajnych dla tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych. Usługa Key Vault może również służyć do tworzenia i kontrolowania kluczy szyfrowania używanych do szyfrowania danych. |
| Zarządzany moduł HSM usługi Key Vault | W pełni zarządzana, wysoce dostępna, zgodna ze standardami usługa w chmurze zgodna ze standardami, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu zweryfikowanych modułów HSM fiPS 140-2 poziom 3. |
| Link prywatny platformy Azure | Umożliwia dostęp do usług Azure PaaS (na przykład Azure Storage i SQL Database) oraz hostowanych przez klienta/partnerów usług platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. |
| Usługa Azure Application Gateway | Zaawansowany moduł równoważenia obciążenia ruchu internetowego, który umożliwia zarządzanie ruchem do aplikacji internetowych. Usługa Application Gateway może podejmować decyzje dotyczące routingu na podstawie dodatkowych atrybutów żądania HTTP, na przykład ścieżki identyfikatora URI lub nagłówków hosta. |
| Azure Service Bus | W pełni zarządzany broker komunikatów przedsiębiorstwa z kolejkami komunikatów i tematami publikowania-subskrybowania. Usługa Service Bus służy do oddzielania od siebie aplikacji i usług. |
| Zapora aplikacji internetowej | Zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki i lukami w zabezpieczeniach. Zapora aplikacji internetowej może być wdrażana za pomocą usługi aplikacja systemu Azure Gateway i usługi Azure Front Door. |
| Azure Policy | Pomaga wymusić standardy organizacyjne i ocenić zgodność na dużą skalę. Za pośrednictwem pulpitu nawigacyjnego zgodności udostępnia zagregowany widok umożliwiający ocenę ogólnego stanu środowiska, z możliwością przechodzenia do szczegółów poszczególnych zasobów i zasad. Pomaga również zapewnić zgodność zasobów dzięki korygowaniu zbiorczemu istniejących zasobów i automatycznemu korygowaniu nowych zasobów. |
| Dane i aplikacja | |
| Azure Backup | Oferuje proste, bezpieczne i ekonomiczne rozwiązania do tworzenia kopii zapasowych danych i odzyskiwania ich z chmury platformy Microsoft Azure. |
| Szyfrowanie usługi Azure Storage | Automatycznie szyfruje dane przed ich zapisaną i automatycznie odszyfruje dane podczas ich pobierania. |
| Azure Information Protection | Rozwiązanie oparte na chmurze, które umożliwia organizacjom odnajdywanie, klasyfikowanie i ochronę dokumentów i wiadomości e-mail przez stosowanie etykiet do zawartości. |
| API Management | Sposób tworzenia spójnych i nowoczesnych bram interfejsu API dla istniejących usług zaplecza. |
| Poufne przetwarzanie na platformie Azure | Umożliwia izolowanie poufnych danych podczas ich przetwarzania w chmurze. |
| Azure DevOps | Projekty programistyczne korzystają z wielu warstw technologii zabezpieczeń i ładu, praktyk operacyjnych i zasad zgodności przechowywanych w usłudze Azure DevOps. |
| Dostęp klienta | |
| Tożsamość zewnętrzna Microsoft Entra | Dzięki funkcji External Identities w usłudze Microsoft Entra ID możesz zezwolić osobom spoza organizacji na dostęp do aplikacji i zasobów, umożliwiając im logowanie się przy użyciu dowolnej preferowanej przez nich tożsamości. |
| Możesz udostępniać swoje aplikacje i zasoby użytkownikom zewnętrznym za pośrednictwem współpracy firmy Microsoft Entra B2B . | |
| Usługa Azure AD B2C umożliwia obsługę milionów użytkowników i miliardów uwierzytelnień dziennie, monitorowanie i automatyczne obsługiwanie zagrożeń, takich jak odmowa usługi, spray haseł lub ataki siłowe. |
Wykrywania zagrożeń
| Usługa | opis |
|---|---|
| Microsoft Defender dla Chmury | Zapewnia zaawansowaną, inteligentną ochronę zasobów i obciążeń hybrydowych platformy Azure oraz zasobów i obciążeń. Pulpit nawigacyjny ochrony obciążenia w programie Defender dla Chmury zapewnia widoczność i kontrolę funkcji ochrony obciążeń w chmurze dla danego środowiska. |
| Microsoft Sentinel | Skalowalne, natywne dla chmury rozwiązanie do zarządzania zdarzeniami informacji zabezpieczeń (SIEM) i automatyczne reagowanie na aranżacje zabezpieczeń (SOAR). Usługa Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie, zapewniając pojedyncze rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. |
| Zarządzanie tożsamościami i dostępem | |
| Microsoft Defender XDR | Ujednolicony pakiet ochrony przedsiębiorstwa przed naruszeniem zabezpieczeń, który natywnie koordynuje wykrywanie, zapobieganie, badanie i reagowanie między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami w celu zapewnienia zintegrowanej ochrony przed zaawansowanymi atakami. |
| Ochrona punktu końcowego w usłudze Microsoft Defender to platforma zabezpieczeń punktu końcowego przedsiębiorstwa zaprojektowana w celu ułatwienia sieciom przedsiębiorstwa zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia. | |
| Usługa Microsoft Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń, które wykorzystuje sygnały lokalna usługa Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych akcji wewnętrznych skierowanych do organizacji. | |
| Ochrona tożsamości Microsoft Entra | Wysyła dwa typy automatycznych wiadomości e-mail z powiadomieniami, które ułatwiają zarządzanie ryzykiem użytkowników i wykrywaniem ryzyka: użytkownicy narażeni na ryzyko wykrycia wiadomości e-mail i wiadomości e-mail szyfrowanych co tydzień. |
| Infrastruktura i sieć | |
| Azure Firewall | Usługa Azure Firewall Premium zapewnia oparte na podpisach system wykrywania i zapobiegania włamaniom (IDPS), aby umożliwić szybkie wykrywanie ataków przez wyszukiwanie określonych wzorców, takich jak sekwencje bajtów w ruchu sieciowym lub znane złośliwe sekwencje instrukcji używane przez złośliwe oprogramowanie. |
| Usługa Microsoft Defender dla IoT | Ujednolicone rozwiązanie zabezpieczeń do identyfikowania urządzeń IoT/OT, luk w zabezpieczeniach i zagrożeń. Umożliwia zabezpieczenie całego środowiska IoT/OT niezależnie od tego, czy musisz chronić istniejące urządzenia IoT/OT, czy tworzyć zabezpieczenia w nowych innowacjach IoT. |
| Azure Network Watcher | Udostępnia narzędzia do monitorowania, diagnozowania, wyświetlania metryk oraz włączania lub wyłączania dzienników dla zasobów w sieci wirtualnej platformy Azure. Usługa Network Watcher została zaprojektowana do monitorowania i naprawiania kondycji sieci produktów IaaS, w tym maszyn wirtualnych, sieci wirtualnych, bram aplikacji i modułów równoważenia obciążenia. |
| Azure Policy | Pomaga wymusić standardy organizacyjne i ocenić zgodność na dużą skalę. Usługa Azure Policy używa dzienników aktywności, które są automatycznie włączone w celu uwzględnienia źródła zdarzeń, daty, użytkownika, znacznika czasu, adresów źródłowych, adresów docelowych i innych przydatnych elementów. |
| Dane i aplikacja | |
| Usługa Microsoft Defender dla kontenerów | Rozwiązanie natywne dla chmury, które służy do zabezpieczania kontenerów, dzięki czemu można ulepszać, monitorować i obsługiwać zabezpieczenia klastrów, kontenerów i ich aplikacji. |
| aplikacje Microsoft Defender dla Chmury | Broker zabezpieczeń dostępu do chmury (CASB), który działa w wielu chmurach. Zapewnia ona bogatą widoczność, kontrolę nad podróżami danych i zaawansowaną analizę w celu identyfikowania i zwalczania cyberataków we wszystkich usługach w chmurze. |
Badanie i reagowanie
| Usługa | opis |
|---|---|
| Microsoft Sentinel | Zaawansowane narzędzia do wyszukiwania i wykonywania zapytań w celu wyszukiwania zagrożeń bezpieczeństwa w źródłach danych organizacji. |
| Dzienniki i metryki usługi Azure Monitor | Dostarcza kompleksowe rozwiązanie do zbierania, analizowania i działania na podstawie danych telemetrycznych ze środowisk chmurowych i lokalnych. Usługa Azure Monitor zbiera i agreguje dane z różnych źródeł w wspólną platformę danych, w której może być używana do analizy, wizualizacji i alertów. |
| Zarządzanie tożsamościami i dostępem | |
| Raporty i monitorowanie usługi Azure AD | Raporty firmy Microsoft Entra zapewniają kompleksowy wgląd w działania w twoim środowisku. |
| Monitorowanie firmy Microsoft Entra umożliwia kierowanie dzienników aktywności firmy Microsoft do różnych punktów końcowych. | |
| Historia inspekcji usługi Microsoft Entra PIM | Przedstawia wszystkie przypisania ról i aktywacje w ciągu ostatnich 30 dni dla wszystkich ról uprzywilejowanych. |
| Dane i aplikacja | |
| aplikacje Microsoft Defender dla Chmury | Udostępnia narzędzia umożliwiające dokładniejsze zrozumienie tego, co dzieje się w środowisku chmury. |
Następne kroki
Zrozumienie wspólnej odpowiedzialności w chmurze.
Poznaj opcje izolacji w chmurze platformy Azure zarówno dla złośliwych, jak i niezwiązanych ze złośliwymi użytkownikami.