Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Azure Government tillhandahåller en rad funktioner och tjänster som du kan använda för att skapa molnlösningar för att uppfylla dina reglerade/kontrollerade databehov. En kompatibel kundlösning kan vara en kombination av effektiv implementering av färdiga Azure Government-funktioner i kombination med en solid datasäkerhetspraxis.
När du är värd för en lösning i Azure Government hanterar Microsoft många av dessa krav på molninfrastrukturnivå.
Följande diagram visar azure defense-in-depth-modellen. Microsoft tillhandahåller till exempel grundläggande DDoS-skydd (Distributed Denial of Service) för molninfrastruktur, tillsammans med kundfunktioner som Azure DDoS Protection eller säkerhetsinstallationer för kundspecifika program-DDoS-behov.
Den här artikeln beskriver de grundläggande principerna för att skydda dina tjänster och program. Den innehåller vägledning och metodtips för hur du tillämpar dessa principer. Till exempel hur du bör använda Azure Government på ett smart sätt för att uppfylla kraven för en lösning som hanterar information som omfattas av ITAR ( International Traffic in Arms Regulations ). Mer information om säkerhetsrekommendationer och implementering som hjälper dig att förbättra din säkerhetsstatus när det gäller Azure-resurser finns i Azure Security Benchmark.
Övergripande principer för att skydda kunddata är:
- Skydda data med kryptering
- Hantera hemligheter
- Isolering för att begränsa dataåtkomst
Dessa principer gäller för både Azure och Azure Government. Som beskrivs i Förstå isolering tillhandahåller Azure Government extra fysisk nätverksisolering och uppfyller kraven på amerikanska myndigheters efterlevnad.
Datakryptering
Att minimera risker och uppfylla regelmässiga skyldigheter driver det ökande fokuset och vikten av datakryptering. Använd en effektiv krypteringsimplementering för att förbättra aktuella nätverks- och programsäkerhetsåtgärder och minska den totala risken för din molnmiljö. Azure har omfattande stöd för att skydda kunddata med hjälp av datakryptering, inklusive olika krypteringsmodeller:
- Kryptering på serversidan som använder tjänsthanterade nycklar, kundhanterade nycklar (CMK) i Azure eller CMK i kundkontrollerad maskinvara.
- Kryptering på klientsidan som gör att du kan hantera och lagra nycklar lokalt eller på en annan säker plats. Kryptering på klientsidan är inbyggt i Java- och .NET-lagringsklientbiblioteken, som kan använda Azure Key Vault-API:er, vilket gör implementeringen enkel. Du kan använda Microsoft Entra-ID för att ge specifika personer åtkomst till Azure Key Vault-hemligheter.
Datakryptering ger isoleringsgarantier som är direkt kopplade till krypteringsnyckelåtkomst. Eftersom Azure använder starka chiffer för datakryptering kan endast entiteter med åtkomst till krypteringsnycklar ha åtkomst till data. Om du tar bort eller återkallar krypteringsnycklar blir motsvarande data otillgängliga.
Kryptering i viloläge
Azure erbjuder omfattande alternativ för kryptering av vilande data som hjälper dig att skydda dina data och uppfylla dina efterlevnadsbehov med hjälp av både Microsoft-hanterade krypteringsnycklar och kundhanterade krypteringsnycklar. Den här processen förlitar sig på flera krypteringsnycklar och tjänster som Azure Key Vault och Microsoft Entra ID för att säkerställa säker nyckelåtkomst och centraliserad nyckelhantering. Mer information om Azure Storage-tjänstkryptering och Azure-diskkryptering finns i Vilande datakryptering.
Kryptering vid överföring
Azure tillhandahåller många alternativ för att kryptera data under överföring. Datakryptering under överföring isolerar nätverkstrafiken från annan trafik och skyddar data från avlyssning. Mer information finns i Datakryptering under överföring.
Den grundläggande kryptering som är tillgänglig för anslutning till Azure Government stöder TLS-protokollet (Transport Layer Security) 1.2 och X.509-certifikat. Fips 140-verifierade kryptografiska algoritmer (Federal Information Processing Standard) används också för nätverksanslutningar för infrastruktur mellan Azure Government-datacenter. Windows-, Windows Server- och Azure-filresurser kan använda SMB 3.0 för kryptering mellan den virtuella datorn (VM) och filresursen. Använd kryptering på klientsidan för att kryptera data innan de överförs till lagring i ett klientprogram och för att dekryptera data när de har överförts från lagringen.
Metodtips för kryptering
- Virtuella IaaS-datorer: Använd Azure-diskkryptering. Aktivera Kryptering av lagringstjänst för att kryptera de VHD-filer som används för att säkerhetskopiera dessa diskar i Azure Storage. Den här metoden krypterar endast nyligen skrivna data. Om du skapar en virtuell dator och sedan aktiverar kryptering av lagringstjänsten på det lagringskonto som innehåller VHD-filen krypteras endast ändringarna, inte den ursprungliga VHD-filen.
- Kryptering på klientsidan: Representerar den säkraste metoden för att kryptera dina data, eftersom den krypterar dem före överföring och krypterar vilande data. Det kräver dock att du lägger till kod i dina program med lagring, vilket du kanske inte vill göra. I dessa fall kan du använda HTTPS för dina data under överföring och Kryptering av lagringstjänst för att kryptera vilande data. Kryptering på klientsidan innebär också mer belastning på klienten som du måste ta hänsyn till i dina skalbarhetsplaner, särskilt om du krypterar och överför mycket data.
Hantera hemligheter
Korrekt skydd och hantering av krypteringsnycklar är viktigt för datasäkerheten. Du bör sträva efter att förenkla nyckelhantering och upprätthålla kontrollen över nycklar som används av molnprogram och tjänster för att kryptera data. Azure Key Vault är en molntjänst för säker lagring och hantering av hemligheter. Med Key Vault kan du lagra dina krypteringsnycklar i maskinvarusäkerhetsmoduler (HSM:er) som är FIPS 140-verifierade . Mer information finns i Datakrypteringsnyckelhantering.
Metodtips för att hantera hemligheter
- Använd Key Vault för att minimera risken för att hemligheter exponeras via hårdkodade konfigurationsfiler, skript eller källkod. För ytterligare säkerhet kan du importera eller generera nycklar i Azure Key Vault HSM:er.
- Programkod och mallar bör endast innehålla URI-referenser till hemligheterna, vilket innebär att de faktiska hemligheterna inte finns i lagringsplatser för kod, konfiguration eller källkod. Den här metoden förhindrar viktiga nätfiskeattacker på interna eller externa lagringsplatser, till exempel skörderobotar på GitHub.
- Använd stark rollbaserad åtkomstkontroll i Azure (RBAC) i Key Vault. En betrodd operatör som lämnar företaget eller överför till en ny grupp inom företaget bör hindras från att komma åt hemligheterna.
Förstå isolering
Isolering i Azure Government uppnås genom implementering av förtroendegränser, segmentering och containrar för att begränsa dataåtkomsten endast till behöriga användare, tjänster och program. Azure Government stöder kontroller och funktioner för miljö- och klientisolering.
Miljöisolering
Azure Government-molnplattformsmiljön för flera innehavare är ett Internetstandardbaserat autonomt system (AS) som är fysiskt isolerat och separat administrerat från resten av det offentliga Azure-molnet. Enligt definitionen i IETF RFC 4271 består AS av en uppsättning växlar och routrar under en enda teknisk administration, med hjälp av ett protokoll för inre gateway och vanliga mått för att dirigera paket inom AS. Ett protokoll för extern gateway används för att dirigera paket till andra AS:er via en enda och tydligt definierad routningsprincip.
Isoleringen av Azure Government-miljön uppnås genom en serie fysiska och logiska kontroller som omfattar:
- Fysiskt isolerad maskinvara
- Fysiska hinder för maskinvaran med biometriska enheter och kameror
- Villkorlig åtkomst (Azure RBAC, arbetsflöde)
- Specifika autentiseringsuppgifter och multifaktorautentisering för logisk åtkomst
- Infrastrukturen för Azure Government finns i USA
I Azure Government-nätverket isoleras interna nätverkssystemkomponenter från andra systemkomponenter genom implementering av separata undernät och principer för åtkomstkontroll i hanteringsgränssnitt. Azure Government är inte direkt peer-kopplat till det offentliga Internet eller med Microsofts företagsnätverk. Azure Government är direkt peer-kopplade till det kommersiella Microsoft Azure-nätverket, som har routnings- och transportfunktioner till Internet och Microsofts företagsnätverk. Azure Government begränsar sin exponerade yta genom att använda extra skydd och kommunikationsfunktioner i vårt kommersiella Azure-nätverk. Dessutom använder Azure Government ExpressRoute (ER) peering med våra kunders nätverk via privata kretsar som inte är internetbaserade för att dirigera DMZ-nätverk för ER-kunder med specifika BGP(Border Gateway Protocol)/AS-peering som en förtroendegräns för programroutning och tillhörande principframtvingande.
Azure Government har följande auktoriseringar:
- FedRAMP High preliminärt tillstånd att verka (P-ATO) utfärdat av FedRAMP Joint Authorization Board (JAB)
- DoD SRG IL4 och IL5 provisoriska auktoriseringar (PA) utfärdade av Defense Information Systems Agency (DISA)
Hyresgästisolering
Separation mellan kunder/klienter är en viktig säkerhetsmekanism för både Azure- och Azure Government-molnmiljöer med flera klientorganisationer. Azure och Azure Government tillhandahåller baslinjekontroller per kund eller klientisolering, inklusive isolering av Hypervisor, rotoperativsystem och virtuella gästdatorer, isolering av infrastrukturkontrollanter, paketfiltrering och VLAN-isolering. Mer information finns i Beräkningsisolering.
Du kan hantera din isoleringsstatus för att uppfylla individuella krav via åtkomstkontroll och uppdelning av nätverk via virtuella datorer, virtuella nätverk, VLAN-isolering, ACL:er, lastbalanserare och IP-filter. Dessutom kan du ytterligare hantera isoleringsnivåer för dina resurser i prenumerationer, resursgrupper, virtuella nätverk och undernät. Kontrollerna för logisk isolering mellan kund och klient hjälper till att förhindra att en klientorganisation stör andra kunders/klientorganisationers åtgärder.
Screening
Alla Azure- och Azure Government-anställda i USA omfattas av Microsofts bakgrundskontroller. Personal med möjlighet att komma åt kunddata i felsökningssyfte i Azure Government är dessutom föremål för verifiering av amerikanskt medborgarskap och extra screeningkrav där det är lämpligt.
Vi undersöker nu alla våra operatörer vid en nivå 3-undersökning (tidigare National Agency Check with Law and Credit, NACLC) enligt definitionen i avsnitt 5.6.2.2 (sida 77) i DoD Cloud Computing SRG:
Anmärkning
Den minsta bakgrundsundersökning som krävs för CSP-personal som har åtkomst till nivå 4- och 5-information baserat på en "icke-kritisk-känslig" (t.ex. DoD:s ADP-2) är en nivå 3-undersökning (för "icke-kritiskt känsliga" entreprenörer) eller en MBI (Moderate Risk Background Investigation) för en "måttlig risk"-position.
| Tillämplig screening och bakgrundskontroll | Miljö | Frekvens | Beskrivning |
|---|---|---|---|
| Ny anställningskontroll | Azure Azure Gov |
Vid anställning | - Utbildningshistoria (högsta grad) - Anställningshistorik (7-års historia) - Personnummersökning - Brottshistorikkontroll (7-års historia) - Office of Foreign Assets Control (OFAC) lista - Bureau of Industry and Security (BIS) lista - Office of Defense Trade Controls (DDTC) avbarrad lista |
| Molnskärm | Azure Azure Gov |
Vartannat år | - Personnummersökning - Brottshistorikkontroll (7-års historia) - Office of Foreign Assets Control (OFAC) lista - Bureau of Industry and Security (BIS) lista - Office of Defense Trade Controls (DDTC) avbarrad lista |
| Amerikanskt medborgarskap | Azure Gov | Vid anställning | - Verifiering av amerikanskt medborgarskap |
| Criminal Justice Information Services (CJIS) | Azure Gov | Vid signerat CJIS-avtal med staten | - Lägger till bakgrundskontroll med fingeravtryck mot FBI-databas – Kontroll av kriminalregister och kreditkontroll |
| Undersökning på nivå 3 | Azure Gov | Vid tecknat kontrakt med sponsorbyrå | - Detaljerad bakgrund och brottsutredning (SF 86) |
För Azure-driftpersonal gäller följande åtkomstprinciper:
- Uppgifter är tydligt definierade, med separata ansvarsområden för att begära, godkänna och distribuera ändringar.
- Åtkomst sker via definierade gränssnitt som har specifika funktioner.
- Åtkomsten är just-in-time (JIT) och beviljas per incident eller för en specifik underhållshändelse och under en begränsad tid.
- Åtkomsten är regelbaserad med definierade roller som endast tilldelas de behörigheter som krävs för felsökning.
Screeningstandarder omfattar validering av amerikanskt medborgarskap för all Microsoft-support och operativ personal innan åtkomst beviljas till Azure Government-värdbaserade system. Supportpersonal som behöver överföra data använder de säkra funktionerna i Azure Government. Säker dataöverföring kräver en separat uppsättning autentiseringsuppgifter för att få åtkomst.
Begränsningar för insideråtkomst
Kontroller för att begränsa insideråtkomst till kunddata är desamma för både Azure och Azure Government. Som beskrivs i föregående avsnitt inför Azure Government extra krav på bakgrundsscreening av personal, inklusive verifiering av amerikanskt medborgarskap.
Anmärkning
Insiderhot kännetecknas som en potential för att tillhandahålla back door-anslutningar och privilegierad administratörsåtkomst till kundens system och data från molntjänstleverantören (CSP). Microsoft erbjuder starka kundåtaganden om vem som kan komma åt kunddata och på vilka villkor. Åtkomst till kunddata av Microsoft-åtgärder och supportpersonal nekas som standard. Åtkomst till kunddata behövs inte för att använda Azure. Dessutom behövs inte åtkomst till kunddata för de flesta supportscenarier som rör kundfelsökningsärenden.
Inga standardåtkomsträttigheter och JIT-åtkomstbestämmelser (Just-in-Time) minskar avsevärt riskerna med traditionella lokala administratörsbehörigheter som vanligtvis kvarstår under anställningstiden. Microsoft gör det betydligt svårare för skadliga insiders att manipulera dina program och data. Samma begränsningar och processer för åtkomstkontroll tillämpas på alla Microsoft-tekniker, inklusive både heltidsanställda och underprocessorer/leverantörer. Följande kontroller finns för att begränsa insideråtkomsten till dina data:
- Interna Microsoft-kontroller som förhindrar åtkomst till produktionssystem såvida det inte är auktoriserat via jit-privilegierat åtkomsthanteringssystem (Just-in-Time), enligt beskrivningen i det här avsnittet.
- Tillämpning av Customer Lockbox som ger dig ansvaret för att godkänna insideråtkomst i support- och felsökningsscenarier, enligt beskrivningen i det här avsnittet. För de flesta supportscenarier krävs inte åtkomst till dina data.
- Datakryptering med alternativ för kundhanterade krypteringsnycklar – krypterade data är endast tillgängliga för entiteter som har nyckeln, enligt beskrivningen tidigare.
- Kundövervakning av extern åtkomst till etablerade Azure-resurser, vilket inkluderar säkerhetsaviseringar enligt beskrivningen i nästa avsnitt.
Krav för åtkomstkontroll
Microsoft vidtar kraftfulla åtgärder för att skydda dina data från olämplig åtkomst eller användning av obehöriga personer. Microsoft-tekniker (inklusive heltidsanställda och underprocessorer/leverantörer) har inte standardåtkomst till dina data i molnet. I stället beviljas de åtkomst, under ledningstillsyn, endast när det behövs. Med hjälp av arbetsflödet för begränsad åtkomst kontrolleras, loggas och återkallas åtkomsten till dina data noggrant när den inte längre behövs. Åtkomst till dina data kan till exempel krävas för att lösa felsökningsbegäranden som du har initierat. Åtkomstkontrollkraven fastställs av följande princip:
- Ingen åtkomst till kunddata, som standard.
- Inga användar- eller administratörskonton på virtuella kunddatorer (VM).
- Bevilja den minsta behörighet som krävs för att slutföra begäranden om uppgifts-, gransknings- och loggåtkomst.
Microsofts tekniker kan beviljas åtkomst till kunddata med hjälp av tillfälliga autentiseringsuppgifter via JIT-åtkomst (Just-in-Time). Det måste finnas en incident som loggas i Azure Incident Management-systemet som beskriver orsaken till åtkomst, godkännandepost, vilka data som användes osv. Den här metoden säkerställer att det finns lämplig tillsyn för all åtkomst till kunddata och att alla JIT-åtgärder (medgivande och åtkomst) loggas för granskning. Bevis för att procedurer har upprättats för att bevilja tillfällig åtkomst för Azure-personal till kunddata och program efter lämpligt godkännande för kundsupport eller incidenthantering finns tillgängliga från Azure SOC 2 Typ 2-attesteringsrapporten som tagits fram av ett oberoende granskningsföretag från tredje part.
JIT-åtkomst fungerar med multifaktorautentisering som kräver att Microsofts tekniker använder ett smartkort för att bekräfta sin identitet. All åtkomst till produktionssystem utförs med hjälp av saws (Secure Admin Workstations) som överensstämmer med publicerad vägledning för att skydda privilegierad åtkomst. Användning av SAW:er för åtkomst till produktionssystem krävs av Microsofts princip och efterlevnaden av den här principen övervakas noggrant. Dessa arbetsstationer använder en fast avbildning med all programvara helt hanterad – endast utvalda aktiviteter tillåts och användarna kan inte oavsiktligt kringgå SAW-designen eftersom de inte har administratörsbehörighet på dessa datorer. Åtkomst tillåts endast med ett smartkort och åtkomsten till varje SAW är begränsad till en specifik uppsättning användare.
Kundlåsbox
Customer Lockbox för Azure är en tjänst som ger dig möjlighet att styra hur en Microsoft-tekniker kommer åt dina data. Som en del av supportarbetsflödet kan en Microsoft-tekniker kräva förhöjd åtkomst till dina data. Customer Lockbox ger dig ansvaret för det beslutet genom att göra det möjligt för dig att godkänna/neka sådana förhöjda begäranden. Customer Lockbox är ett tillägg för JIT-arbetsflödet och levereras med fullständig granskningsloggning aktiverad. Funktionen Customer Lockbox krävs inte för supportärenden som inte omfattar åtkomst till kunddata. I de flesta supportscenarier behövs inte åtkomst till kunddata och arbetsflödet bör inte kräva Kundlåsbox. Microsofts tekniker förlitar sig mycket på loggar för att underhålla Azure-tjänster och tillhandahålla kundsupport.
Customer Lockbox är tillgängligt för alla kunder som har en Azure-supportplan med en lägsta nivå av utvecklare. Du kan aktivera Customer Lockbox från modulen Administration på bladet Kundlåsbox. En Microsoft-tekniker initierar kundlåsbox-begäran om den här åtgärden behövs för att utveckla en kundinitierad supportbegäran. Customer Lockbox är tillgängligt för kunder från alla offentliga Azure-regioner.
Minneskraschdumpar för virtuella gästdatorer
På varje Azure-nod finns det en Hypervisor som körs direkt över maskinvaran och delar in noden i ett variabelt antal virtuella gästdatorer (VM) enligt beskrivningen i Beräkningsisolering. Varje nod har också en särskild virtuell rotdator som kör värdoperativsystemet.
När en virtuell gästdator (även kallad kundens virtuella dator) kraschar kan kunddata finnas i en minnesdumpfil på den virtuella gästdatorn. Som standard har Microsofts tekniker inte åtkomst till virtuella gästdatorer och kan inte granska kraschdumpar på virtuella gästdatorer utan kundens godkännande. Samma process med explicit kundauktorisering används för att styra åtkomsten till kraschdumpar för virtuella gästdatorer om du begär en undersökning av vm-kraschen. Som tidigare beskrivits är åtkomsten gated av JIT-privilegierat åtkomsthanteringssystem och Customer Lockbox så att alla åtgärder loggas och granskas. Den primära framtvingande funktionen för att ta bort minnesdumpar från virtuella gästdatorer är rutinprocessen för vm-återställning som vanligtvis sker minst varannan månad.
Borttagning, kvarhållning och destruktion av data
Som kund har du alltid kontroll över dina kunddata i Azure. Du kan komma åt, extrahera och ta bort dina kunddata som lagras i Azure efter behov. När du avslutar din Azure-prenumeration vidtar Microsoft de åtgärder som krävs för att säkerställa att du fortsätter att äga dina kunddata. Ett vanligt kundproblem vid borttagning av data eller prenumerationsavslut är om en annan kund eller Azure-administratör kan komma åt sina borttagna data. Mer information om hur databorttagning, kvarhållning och förstörelse implementeras i Azure finns i vår onlinedokumentation:
Kundövervakning av Azure-resurser
Det här avsnittet beskriver viktiga Azure-tjänster som du kan använda för att få djupgående inblick i dina etablerade Azure-resurser och få aviseringar om misstänkt aktivitet, inklusive externa attacker som riktas mot dina program och data. En fullständig lista finns i avsnitten i Azure-tjänstkatalogen för Hantering + styrning, nätverk och säkerhet. Dessutom tillhandahåller Azure Security Benchmark säkerhetsrekommendationer och implementeringsinformation som hjälper dig att förbättra din säkerhetsstatus när det gäller Azure-resurser.
Microsoft Defender för molnet (tidigare Azure Security Center) tillhandahåller enhetlig säkerhetshantering och avancerat skydd mot hot i hybridmolnarbetsbelastningar. Det är en viktig tjänst för dig att begränsa din exponering för hot, skydda molnresurser, svara på incidenter och förbättra din regelefterlevnadsstatus.
Med Microsoft Defender för molnet kan du:
- Övervaka säkerheten för lokala arbetsbelastningar och molnarbetsbelastningar.
- Använd avancerad analys och hotinformation för att identifiera attacker.
- Använd åtkomst- och programkontroller för att blockera skadlig aktivitet.
- Hitta och åtgärda säkerhetsrisker innan de kan utnyttjas.
- Förenkla undersökningen när du svarar på hot.
- Tillämpa principen för att säkerställa efterlevnad av säkerhetsstandarder.
För att hjälpa dig med användning av Microsoft Defender för molnet har Microsoft publicerat omfattande onlinedokumentation och flera blogginlägg som täcker specifika säkerhetsämnen:
- Så identifierar Microsoft Defender för molnet en Bitcoin-gruvattack
- Så identifierar Microsoft Defender för molnet DDoS-attacker med hjälp av cyberhotinformation
- Så här hjälper Microsoft Defender för molnet till att identifiera bra program som används skadligt
- Så här presenterar Microsoft Defender för molnet misstänkt PowerShell-attack
- Så här hjälper Microsoft Defender för molnet till att avslöja en cyberattack
- Så här hjälper Microsoft Defender för molnet till att analysera attacker med hjälp av undersöknings- och loggsökning
- Microsoft Defender för molnet lägger till kontextaviseringar för att underlätta hotundersökning
- Så här automatiserar Microsoft Defender för molnet identifieringen av cyberattacker
- Heuristiska DNS-identifieringar i Microsoft Defender för molnet
- Identifiera det senaste utpressningstrojanhotet (Bad Rabbit) med Microsoft Defender för molnet
- Förebyggande av petya utpressningstrojaner och identifiering i Microsoft Defender för molnet
- Identifiera minnesinterna attacker med Sysmon och Microsoft Defender för molnet
- Så här kan Defender för molnet och Log Analytics användas för hotjakt
- Så här hjälper Microsoft Defender för molnet till att identifiera attacker mot dina Linux-datorer
- Använda Microsoft Defender för molnet för att identifiera vid angrepp på Linux-datorer
Azure Monitor hjälper dig att maximera tillgängligheten och prestandan för program genom att leverera en omfattande lösning för att samla in, analysera och agera på telemetri från både molnmiljöer och lokala miljöer. Det hjälper dig att förstå hur dina program fungerar och identifierar proaktivt problem som påverkar distribuerade program och resurser som de är beroende av. Azure Monitor integrerar funktionerna i Log Analytics och Application Insights som tidigare var märkta som fristående tjänster.
Azure Monitor samlar in data från var och en av följande nivåer:
- Programövervakningsdata: Data om prestanda och funktioner i den kod som du har skrivit, oavsett plattform.
- Övervakningsdata för gästoperativsystem: Data om det operativsystem som programmet körs på. Programmet kan köras i Azure, ett annat moln eller lokalt.
- Azure-resursövervakningsdata: Data om driften av en Azure-resurs.
- Övervakningsdata för Azure-prenumerationer: Data om drift och hantering av en Azure-prenumeration och data om hälsotillstånd och drift av Själva Azure.
- Övervakningsdata för Azure-klientorganisationen: Data om driften av Azure-tjänster på klientnivå, till exempel Microsoft Entra-ID.
Med Azure Monitor kan du få en 360-graders vy över dina program, infrastruktur och nätverk med avancerad analys, instrumentpaneler och visualiseringskartor. Azure Monitor ger intelligenta insikter och möjliggör bättre beslut med AI. Du kan analysera, korrelera och övervaka data från olika källor med hjälp av ett kraftfullt frågespråk och inbyggda maskininlärningskonstruktioner. Dessutom tillhandahåller Azure Monitor en inbyggd integrering med populära Verktyg för DevOps, IT Service Management (ITSM) och SIEM (Security Information and Event Management).
Azure Policy möjliggör effektiv styrning av Azure-resurser genom att skapa, tilldela och hantera principer. Dessa principer tillämpar olika regler över etablerade Azure-resurser för att hålla dem kompatibla med dina specifika säkerhets- och sekretessstandarder för företaget. En av de inbyggda principerna för Tillåtna platser kan till exempel användas för att begränsa tillgängliga platser för nya resurser för att framtvinga dina geo-efterlevnadskrav. För ytterligare kundhjälp tillhandahåller Microsoft inbyggda initiativ för regelefterlevnad i Azure Policy, som mappar till efterlevnadsdomäner och kontroller i många amerikanska myndigheter, globala, regionala och branschstandarder. Mer information finns i Azure Policy-exempel. Regelefterlevnad i Azure Policy innehåller inbyggda initiativdefinitioner för att visa en lista över kontroller och efterlevnadsdomäner baserat på ansvar – kund, Microsoft eller delad. För Microsoft-ansvarsfulla kontroller tillhandahåller vi ytterligare information om granskningsresultat baserat på tredjepartsattesteringar och vår kontrollimplementeringsinformation för att uppnå den efterlevnaden. Varje kontroll är associerad med en eller flera Azure Policy-definitioner. Dessa policyer kan hjälpa dig att bedöma efterlevnaden av kontrollen. Efterlevnaden i Azure Policy ger dig dock inte hela bilden av din övergripande efterlevnadsstatus. Azure Policy hjälper till att framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala. Via dess instrumentpanel för efterlevnad finns en sammanställd vy för att utvärdera miljöns övergripande tillstånd, och du kan öka detaljnivån.
Azure Firewall tillhandahåller en hanterad, molnbaserad nätverkssäkerhetstjänst som skyddar dina Azure Virtual Network-resurser. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet som integreras med Azure Monitor för loggning och analys.
Med Network Watcher kan du övervaka, diagnostisera och få insikter om prestanda och hälsotillstånd för ditt virtuella Azure-nätverk. Med flödesloggar för nätverkssäkerhetsgrupper kan du få djupare förståelse för dina nätverkstrafikmönster och samla in data för efterlevnad, granskning och övervakning av nätverkssäkerhetsprofilen. Med paketinsamling kan du samla in trafik till och från dina virtuella datorer för att diagnostisera nätverksavvikelser och samla in nätverksstatistik, inklusive information om nätverksintrång.
Azure DDoS Protection tillhandahåller omfattande DDoS-åtgärdsfunktioner (Distributed Denial of Service) som hjälper dig att skydda dina Azure-resurser mot attacker. Trafikövervakning med alltid aktiv trafik ger nästan realtidsidentifiering av en DDoS-attack, med automatisk minskning av attacken så snart den har identifierats. I kombination med Brandvägg för webbprogram skyddar DDoS Protection mot en omfattande uppsättning nätverksnivåattacker, inklusive SQL-inmatning, skriptattacker mellan webbplatser och sessionskapningar. Azure DDoS Protection är integrerat med Azure Monitor för analys och insikt.
Microsoft Sentinel (tidigare Azure Sentinel) är en molnbaserad SIEM-plattform som använder inbyggd AI som hjälper dig att snabbt analysera stora mängder data i ett företag. Microsoft Sentinel aggregerar data från olika källor, inklusive användare, program, servrar och enheter som körs lokalt eller i något moln, så att du kan resonera över miljontals poster på några sekunder. Med Microsoft Sentinel kan du:
- Samla in data i molnskala för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln.
- Identifiera tidigare oupptäckta hot och minimera falska positiva identifieringar med hjälp av analyser och oefterhärmlig hotintelligens från Microsoft.
- Undersök hoten med AI och leta upp misstänkta aktiviteter i stor skala – till din hjälp har du årtionden av cybersäkerhetsarbete inom Microsoft.
- Svara snabbt på incidenter med inbyggd orkestrering och automatisering av vanliga uppgifter.
Azure Advisor hjälper dig att följa metodtipsen för att optimera dina Azure-distributioner. Den analyserar resurskonfigurationer och användningstelemetri och rekommenderar sedan lösningar som kan hjälpa dig att förbättra kostnadseffektivitet, prestanda, hög tillgänglighet och säkerhet för Azure-resurser.
Nästa steg
- Översikt över Azure Government
- Azure Government Compliance
- Azure och andra Microsoft-tjänster efterlevnadserbjudanden
- Jämföra Azure Government och globala Azure
- Azure-vägledning för säker isolering
- Azure Government-isoleringsriktlinjer för arbetsbelastningar på effektnivå 5
- Översikt över Azure Government DoD
- Dokumentation om grunderna för Azure-säkerhet
- Inbyggda initiativ för regelefterlevnad i Azure Policy