Säkerhet från slutpunkt till slutpunkt i Azure
En av de bästa anledningarna till att använda Azure för dina program och tjänster är att dra nytta av dess breda utbud av säkerhetsverktyg och funktioner. De här verktygen och funktionerna gör det möjligt att skapa säkra lösningar på den säkra Azure-plattformen. Microsoft Azure tillhandahåller konfidentialitet, integritet och tillgänglighet för kunddata, samtidigt som transparent ansvarsskyldighet möjliggörs.
Följande diagram och dokumentation introducerar dig för säkerhetstjänsterna i Azure. Dessa säkerhetstjänster hjälper dig att uppfylla företagets säkerhetsbehov och skydda dina användare, enheter, resurser, data och program i molnet.
Karta över Microsofts säkerhetstjänster
Kartan över säkerhetstjänster organiserar tjänster efter de resurser som de skyddar (kolumn). Diagrammet grupperar även tjänster i följande kategorier (rad):
- Skydda och skydda – Tjänster som gör att du kan implementera en djupgående strategi för skydd på flera nivåer mellan identiteter, värdar, nätverk och data. Den här samlingen av säkerhetstjänster och funktioner är ett sätt att förstå och förbättra din säkerhetsstatus i din Azure-miljö.
- Identifiera hot – tjänster som identifierar misstänkta aktiviteter och underlättar för att minimera hotet.
- Undersök och svara – Tjänster som hämtar loggningsdata så att du kan utvärdera en misstänkt aktivitet och svara.
Säkerhetskontroller och baslinjer
Microsofts prestandamått för molnsäkerhet innehåller en samling säkerhetsrekommendationer med hög påverkan som du kan använda för att skydda de tjänster som du använder i Azure:
- Säkerhetskontroller – De här rekommendationerna gäller vanligtvis för din Azure-klientorganisation och Azure-tjänster. Varje rekommendation identifierar en lista över intressenter som vanligtvis deltar i planering, godkännande eller implementering av riktmärket.
- Tjänstbaslinjer – Dessa tillämpar kontrollerna på enskilda Azure-tjänster för att ge rekommendationer om tjänstens säkerhetskonfiguration.
Skydda och skydda
| Tjänst | beskrivning |
|---|---|
| Microsoft Defender för molnet | Ett enhetligt säkerhetshanteringssystem för infrastruktur som stärker säkerhetsstatusen för dina datacenter och ger avancerat skydd mot hot i dina hybridarbetsbelastningar i molnet – oavsett om de finns i Azure eller inte – samt lokalt. |
| Identitets- och åtkomsthantering | |
| Microsoft Entra ID | Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. |
| Villkorsstyrd åtkomst är det verktyg som används av Microsoft Entra-ID för att samla identitetssignaler, fatta beslut och tillämpa organisationsprinciper. | |
| Domain Services är det verktyg som används av Microsoft Entra ID för att tillhandahålla hanterade domäntjänster som domänanslutning, grupprincip, LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering. | |
| Privileged Identity Management (PIM) är en tjänst i Microsoft Entra-ID som gör att du kan hantera, kontrollera och övervaka åtkomst till viktiga resurser i din organisation. | |
| Multifaktorautentisering är det verktyg som används av Microsoft Entra ID för att skydda åtkomsten till data och program genom att kräva en andra form av autentisering. | |
| Microsoft Entra ID Protection | Ett verktyg som gör det möjligt för organisationer att automatisera identifiering och reparation av identitetsbaserade risker, undersöka risker med hjälp av data i portalen och exportera riskidentifieringsdata till verktyg från tredje part för ytterligare analys. |
| Infrastruktur och nätverk | |
| VPN Gateway | En virtuell nätverksgateway som används för att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet och för att skicka krypterad trafik mellan virtuella Azure-nätverk via Microsoft-nätverket. |
| Azure DDoS-skydd | Ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Det finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. |
| Azure Front Door | En global, skalbar startpunkt som använder Microsofts globala edge-nätverk för att skapa snabba, säkra och mycket skalbara webbprogram. |
| Azure Firewall | En molnbaserad och intelligent nätverksbrandväggssäkerhetstjänst som ger skydd mot hot för dina molnarbetsbelastningar som körs i Azure. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Azure Firewall finns i tre SKU:er: Standard, Premium och Basic. |
| Azure Key Vault | Ett säkert hemlighetsarkiv för token, lösenord, certifikat, API-nycklar och andra hemligheter. Key Vault kan också användas för att skapa och styra krypteringsnycklarna som används för att kryptera dina data. |
| Key Vault Managed HSM | En fullständigt hanterad, högtillgänglig molntjänst med en enda klientorganisation som är standardkompatibel och som gör att du kan skydda kryptografiska nycklar för dina molnprogram med FIPS 140-2 Level 3-verifierade HSM:er. |
| Azure Private Link | Gör att du kan komma åt Azure PaaS Services (till exempel Azure Storage och SQL Database) och Azure-värdbaserade kundägda/partnertjänster via en privat slutpunkt i ditt virtuella nätverk. |
| Azure Application Gateway | En avancerad lastbalanserare för webbtrafik som gör att du kan hantera trafik till dina webbprogram. Application Gateway kan fatta routningsbeslut baserat på ytterligare attribut för en HTTP-begäran, till exempel URI-sökväg eller värdhuvuden. |
| Azure Service Bus | En fullständigt hanterad meddelandekö för företag med meddelandeköer och publicera-prenumerera-ämnen. Service Bus används för att frikoppla program och tjänster från varandra. |
| Brandvägg för webbprogram | Ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter och sårbarheter. WAF kan distribueras med Azure Application Gateway och Azure Front Door. |
| Azure Policy | Hjälper till att framtvinga organisationens standarder och utvärdera efterlevnad i stor skala. Via dess instrumentpanel för efterlevnad finns en sammanställd vy för att utvärdera miljöns övergripande tillstånd, och du kan öka detaljnivån till per resurs och per princip. Du får också hjälp att säkerställa att resurserna efterlever kraven via massåtgärder för befintliga resurser och automatisk reparation för nya resurser. |
| Data och program | |
| Azure Backup | Tillhandahåller enkla, säkra och kostnadseffektiva lösningar för att säkerhetskopiera dina data och återställa dem från Microsoft Azure-molnet. |
| Azure Storage-tjänstkryptering | Krypterar data automatiskt innan de lagras och dekrypterar automatiskt data när du hämtar dem. |
| Azure Information Protection | En molnbaserad lösning som gör det möjligt för organisationer att identifiera, klassificera och skydda dokument och e-postmeddelanden genom att tillämpa etiketter på innehåll. |
| API Management | Ett sätt att skapa konsekventa och moderna API-gatewayer för befintliga serverdelstjänster. |
| Konfidentiell databehandling i Azure | Gör att du kan isolera känsliga data medan de bearbetas i molnet. |
| Azure DevOps | Dina utvecklingsprojekt drar nytta av flera lager av säkerhets- och styrningstekniker, operativa metoder och efterlevnadsprinciper när de lagras i Azure DevOps. |
| Kundåtkomst | |
| Externt ID för Microsoft Entra | Med External Identities i Microsoft Entra ID kan du ge personer utanför organisationen åtkomst till dina appar och resurser, samtidigt som de kan logga in med den identitet de föredrar. |
| Du kan dela dina appar och resurser med externa användare via Microsoft Entra B2B-samarbete . | |
| Med Azure AD B2C kan du stödja miljontals användare och miljarder autentiseringar per dag, övervaka och automatiskt hantera hot som denial-of-service, lösenordsspray eller råstyrkeattacker. |
Identifiera hot
| Tjänst | beskrivning |
|---|---|
| Microsoft Defender för molnet | Ger avancerat, intelligent skydd av dina Azure- och hybridresurser och arbetsbelastningar. Instrumentpanelen för arbetsbelastningsskydd i Defender för molnet ger synlighet och kontroll över molnfunktionerna för arbetsbelastningsskydd för din miljö. |
| Microsoft Sentinel | En skalbar, molnbaserad siem-lösning (security information event management) och soar-lösning (security orchestration automated response). Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar. |
| Identitets- och åtkomsthantering | |
| Microsoft Defender XDR | En enhetlig företagsförsvarssvit före och efter intrång som internt samordnar identifiering, förebyggande, undersökning och svar mellan slutpunkter, identiteter, e-post och program för att ge integrerat skydd mot avancerade attacker. |
| Microsoft Defender för Endpoint är en säkerhetsplattform för företagsslutpunkter som är utformad för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och svara på avancerade hot. | |
| Microsoft Defender for Identity är en molnbaserad säkerhetslösning som utnyttjar dina lokal Active Directory signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder riktade mot din organisation. | |
| Microsoft Entra ID Protection | Skickar två typer av automatiserade e-postmeddelanden för att hjälpa dig att hantera användarrisk och riskidentifieringar: Användare med risk upptäckt e-post och veckovis sammanfattad e-post. |
| Infrastruktur och nätverk | |
| Azure Firewall | Azure Firewall Premium tillhandahåller signaturbaserade intrångsidentifierings- och skyddssystem (IDPS) för att möjliggöra snabb identifiering av attacker genom att söka efter specifika mönster, till exempel bytesekvenser i nätverkstrafik eller kända skadliga instruktionssekvenser som används av skadlig kod. |
| Microsoft Defender för IoT | En enhetlig säkerhetslösning för att identifiera IoT/OT-enheter, sårbarheter och hot. Det gör att du kan skydda hela IoT/OT-miljön, oavsett om du behöver skydda befintliga IoT/OT-enheter eller skapa säkerhet i nya IoT-innovationer. |
| Azure Network Watcher | Innehåller verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för resurser i ett virtuellt Azure-nätverk. Network Watcher är utformat för att övervaka och reparera nätverkshälsan för IaaS-produkter som omfattar virtuella datorer, virtuella nätverk, programgatewayer och lastbalanserare. |
| Azure Policy | Hjälper till att framtvinga organisationens standarder och utvärdera efterlevnad i stor skala. Azure Policy använder aktivitetsloggar som automatiskt aktiveras för att inkludera händelsekälla, datum, användare, tidsstämpel, källadresser, måladresser och andra användbara element. |
| Data och program | |
| Microsoft Defender för containrar | En molnbaserad lösning som används för att skydda dina containrar så att du kan förbättra, övervaka och upprätthålla säkerheten för dina kluster, containrar och deras program. |
| Microsoft Defender för molnet-appar | En molnåtkomstsäkerhetskoordinator (CASB) som fungerar i flera moln. Det ger omfattande synlighet, kontroll över dataresor och avancerad analys för att identifiera och bekämpa cyberhot i alla dina molntjänster. |
Undersöka och svara
| Tjänst | beskrivning |
|---|---|
| Microsoft Sentinel | Kraftfulla sök- och frågeverktyg för att söka efter säkerhetshot i organisationens datakällor. |
| Azure Monitor-loggar och -mått | Ger en omfattande lösning för att samla in, analysera och agera på telemetri från dina molnmiljöer och lokala miljöer. Azure Monitor samlar in och aggregerar data från en mängd olika källor till en gemensam dataplattform där den kan användas för analys, visualisering och aviseringar. |
| Identitets- och åtkomsthantering | |
| Azure AD-rapporter och övervakning | Microsoft Entra-rapporter ger en omfattande vy över aktivitet i din miljö. |
| Med Microsoft Entra-övervakning kan du dirigera dina Microsoft Entra-aktivitetsloggar till olika slutpunkter. | |
| Microsoft Entra PIM-granskningshistorik | Visar alla rolltilldelningar och aktiveringar under de senaste 30 dagarna för alla privilegierade roller. |
| Data och program | |
| Microsoft Defender för molnet-appar | Tillhandahåller verktyg för att få en djupare förståelse för vad som händer i din molnmiljö. |
Nästa steg
Förstå ditt delade ansvar i molnet.
Förstå isoleringsalternativen i Azure-molnet mot både skadliga och icke-skadliga användare.