Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Driftsäkerhet i Azure avser de tjänster, kontroller och funktioner som är tillgängliga för användare för att skydda sina data, program och andra tillgångar i Microsoft Azure. Det är ett ramverk som innehåller den kunskap som erhålls genom en mängd olika funktioner som är unika för Microsoft. Dessa funktioner omfattar Microsoft Security Development Lifecycle (SDL), Microsoft Security Response Center-programmet och djup medvetenhet om cybersäkerhetshotlandskapet.
Azure-hanteringstjänster
Ett IT-driftsteam ansvarar för att hantera datacenterinfrastruktur, program och data, inklusive stabilitet och säkerhet för dessa system. Men att få säkerhetsinsikter i ökande komplexa IT-miljöer kräver ofta att organisationer samlar ihop data från flera säkerhets- och hanteringssystem.
Microsoft Azure Monitor-loggar är en molnbaserad IT-hanteringslösning som hjälper dig att hantera och skydda din lokala infrastruktur och molninfrastruktur. Dess kärnfunktioner tillhandahålls av följande tjänster som körs i Azure. Azure innehåller flera tjänster som hjälper dig att hantera och skydda din lokala infrastruktur och molninfrastruktur. Varje tjänst tillhandahåller en specifik hanteringsfunktion. Du kan kombinera tjänster för att uppnå olika hanteringsscenarier.
Azure Monitor
Azure Monitor samlar in data från hanterade källor till centrala datalager. Dessa data kan omfatta händelser, prestandadata eller anpassade data som tillhandahålls via API:et. När data har samlats in är de tillgängliga för aviseringar, analyser och export.
Du kan konsolidera data från en mängd olika källor och kombinera data från dina Azure-tjänster med din befintliga lokala miljö. Azure Monitor-loggar separerar också tydligt insamlingen av data från den åtgärd som vidtas på dessa data, så att alla åtgärder är tillgängliga för alla typer av data.
Automatisering
Med Azure Automation kan du automatisera manuella, långvariga, felbenägna och ofta upprepade uppgifter som ofta utförs i en moln- och företagsmiljö. Det sparar tid och ökar tillförlitligheten för administrativa uppgifter. De här uppgifterna schemaläggs till och med automatiskt med jämna mellanrum. Du kan automatisera processer med hjälp av runbooks eller automatisera konfigurationshanteringen med hjälp av Desired State Configuration.
Säkerhetskopiera
Azure Backup är den Azure-baserade tjänst som du kan använda för att säkerhetskopiera (eller skydda) och återställa dina data i Microsoft Cloud. Azure Backup ersätter din befintliga lokala eller lokala säkerhetskopieringslösning med en molnbaserad lösning som är tillförlitlig, säker och kostnadskonkurrerad.
Azure Backup erbjuder komponenter som du laddar ned och distribuerar på rätt dator eller server eller i molnet. Komponenten eller agenten som du distribuerar beror på vad du vill skydda. Alla Azure Backup-komponenter (oavsett om du skyddar data lokalt eller i molnet) kan användas för att säkerhetskopiera data till ett Azure Recovery Services-valv i Azure.
Mer information finns i tabellen Azure Backup-komponenter.
Webbplatsåterställning
Azure Site Recovery ger affärskontinuitet genom att samordna replikeringen av lokala virtuella och fysiska datorer till Azure eller till en sekundär plats. Om din primära plats inte är tillgänglig redundansväxlar du till den sekundära platsen så att användarna kan fortsätta att arbeta. Du återgår till tidigare läge när systemen återgår till normalt läge. Använd Microsoft Defender för molnet för att utföra mer intelligent och effektiv hotidentifiering.
Microsoft Entra ID
Microsoft Entra ID är en omfattande identitetstjänst som:
- Aktiverar identitets- och åtkomsthantering (IAM) som en molntjänst.
- Ger central åtkomsthantering, enkel inloggning (SSO) och rapportering.
- Stöder integrerad åtkomsthantering för tusentals program på Azure Marketplace, inklusive Salesforce, Google Apps, Box och Concur.
Microsoft Entra-ID innehåller även en fullständig uppsättning funktioner för identitetshantering, inklusive följande:
- Multifaktorautentisering
- Lösenordshantering med självbetjäning
- Grupphantering med självbetjäning
- Hantering av privilegierade konton
- Rollbaserad åtkomstkontroll i Azure (Azure RBAC)
- Övervakning av programanvändning
- Omfattande granskning
- Säkerhetsövervakning och aviseringar
Med Microsoft Entra-ID har alla program som du publicerar för dina partner och kunder (företag eller konsumenter) samma funktioner för identitets- och åtkomsthantering. På så sätt kan du avsevärt minska driftskostnaderna.
Microsoft Defender for Cloud
Microsoft Defender för molnet hjälper dig att förhindra, identifiera och svara på hot med ökad insyn i (och kontroll över) säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i dina prenumerationer. Den hjälper till att identifiera hot som annars kan gå obemärkt förbi och fungerar med ett brett ekosystem med säkerhetslösningar.
Skydda virtuella datordata (VM) i Azure genom att ge insyn i den virtuella datorns säkerhetsinställningar och övervakning av hot. Defender för molnet kan övervaka dina virtuella datorer för:
- Säkerhetsinställningar för operativsystem med de rekommenderade konfigurationsreglerna.
- Systemsäkerhet och kritiska uppdateringar som saknas.
- Rekommendationer för slutpunktsskydd.
- Verifiering av diskkryptering.
- Nätverksbaserade attacker.
Defender för molnet använder Rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure RBAC tillhandahåller inbyggda roller som kan tilldelas till användare, grupper och tjänster i Azure.
Defender för molnet utvärderar konfigurationen av dina resurser för att identifiera säkerhetsproblem och sårbarheter. I Defender för molnet visas endast information som rör en resurs när du har tilldelats rollen ägare, deltagare eller läsare för den prenumeration eller resursgrupp som en resurs tillhör.
Anteckning
Mer information om roller och tillåtna åtgärder i Defender för molnet finns i Behörigheter i Microsoft Defender för molnet.
Defender för molnet använder Microsoft Monitoring Agent. Det här är samma agent som Azure Monitor-tjänsten använder. Data som samlas in från den här agenten lagras antingen på en befintlig Log Analytics-arbetsyta som är associerad med din Azure-prenumeration eller en ny arbetsyta, med hänsyn till den virtuella datorns geoplats.
Azure Monitor
Prestandaproblem i molnappen kan påverka ditt företag. Med flera sammankopplade komponenter och frekventa versioner kan försämringar ske när som helst. Och om du utvecklar en app upptäcker användarna vanligtvis problem som du inte hittade i testningen. Du bör känna till dessa problem omedelbart och du bör ha verktyg för att diagnostisera och åtgärda problemen.
Azure Monitor är ett grundläggande verktyg för övervakning av tjänster som körs i Azure. Det ger dig data på infrastrukturnivå om dataflödet för en tjänst och den omgivande miljön. Om du hanterar dina appar i Azure och bestämmer om du vill skala upp eller ned resurser är Azure Monitor rätt plats att börja på.
Du kan också använda övervakningsdata för att få djupgående insikter om ditt program. Den kunskapen kan hjälpa dig att förbättra programmets prestanda eller underhåll, eller automatisera åtgärder som annars skulle kräva manuella åtgärder.
Azure Monitor innehåller följande komponenter.
Azure-aktivitetslogg
Azure-aktivitetsloggen ger insikter om de åtgärder som utfördes på resurser i din prenumeration. Det kallades tidigare "granskningslogg" eller "driftlogg", eftersom det rapporterar kontrollplanshändelser för dina prenumerationer.
Azure diagnostikloggar
Azure-diagnostikloggar genereras av en resurs och innehåller omfattande, frekventa data om resursens drift. Innehållet i loggarna varierar beroende på resurstyp.
Windows-händelsesystemloggar är en kategori av diagnostikloggar för virtuella datorer. Loggar för blob, tabell och kö är kategorier av diagnostikloggar för lagringskonton.
Diagnostikloggar skiljer sig från aktivitetsloggen. Aktivitetsloggen ger insikter om de åtgärder som utfördes på resurser i din prenumeration. Diagnostikloggar ger insikter om åtgärder som din resurs utförde själv.
Mått
Azure Monitor tillhandahåller telemetri som ger dig insyn i prestanda och hälsa för dina arbetsbelastningar i Azure. Den viktigaste typen av Azure-telemetridata är de mått (även kallade prestandaräknare) som genereras av de flesta Azure-resurser. Azure Monitor innehåller flera sätt att konfigurera och använda dessa mått för övervakning och felsökning.
Azure Diagnostics
Azure Diagnostics möjliggör insamling av diagnostikdata i ett distribuerat program. Du kan använda diagnostiktillägget från olika källor. För närvarande stöds azure-molntjänstroller, virtuella Azure-datorer som kör Microsoft Windows och Azure Service Fabric.
Azure Network Watcher
Kunder skapar ett nätverk från slutpunkt till slutpunkt i Azure genom att samordna och skapa enskilda nätverksresurser som virtuella nätverk, Azure ExpressRoute, Azure Application Gateway och lastbalanserare. Övervakning är tillgänglig för var och en av nätverksresurserna.
Nätverket från slutpunkt till slutpunkt kan ha komplexa konfigurationer och interaktioner mellan resurser. Resultatet är komplexa scenarier som behöver scenariobaserad övervakning via Azure Network Watcher.
Network Watcher förenklar övervakning och diagnostisering av ditt Azure-nätverk. Du kan använda diagnostik- och visualiseringsverktygen i Network Watcher för att:
- Ta fjärrpaketinsamlingar på en virtuell Azure-dator.
- Få insikter om nätverkstrafiken med hjälp av flödesloggar.
- Diagnostisera Azure VPN Gateway och anslutningar.
Network Watcher har för närvarande följande funktioner:
- Topologi: Ger en vy över de olika sammankopplingarna och associationerna mellan nätverksresurser i en resursgrupp.
- Insamling av variabelpaket: Samlar in paketdata in och ut från en virtuell dator. Avancerade alternativ för filtrering och finjusterade kontroller, till exempel möjligheten att ange tid- och storleksbegränsningar, ger flexibilitet. Paketdata kan lagras i ett bloblager eller på den lokala disken i .cap-format.
- Verifiera IP-flöde: Kontrollerar om ett paket tillåts eller nekas baserat på 5-tuppelns paketparametrar för flödesinformation (mål-IP, käll-IP, målport, källport och protokoll). Om en säkerhetsgrupp nekar paketet returneras regeln och gruppen som nekade paketet.
- Nästa hopp: Avgör nästa hopp för paket som dirigeras i Azure-nätverksinfrastrukturen, så att du kan diagnostisera eventuella felkonfigurerade användardefinierade vägar.
- Säkerhetsgruppsvy: Hämtar de effektiva och tillämpade säkerhetsregler som tillämpas på en virtuell dator.
- NSG-flödesloggar för nätverkssäkerhetsgrupper: Gör att du kan samla in loggar relaterade till trafik som tillåts eller nekas av säkerhetsreglerna i gruppen. Flödet definieras av femfältig information: källadress, måladress, källport, måladressens port och protokoll.
- Felsökning av virtuell nätverksgateway och anslutning: Ger möjlighet att felsöka virtuella nätverksgatewayer och anslutningar.
- Begränsningar för nätverksprenumeration: Gör att du kan visa användningen av nätverksresurser mot gränser.
- Diagnostikloggar: Innehåller ett enda fönster för att aktivera eller inaktivera diagnostikloggar för nätverksresurser i en resursgrupp.
Mer information finns i Konfigurera Network Watcher.
Transparens för åtkomst till molntjänstleverantör
Customer Lockbox för Microsoft Azure är en tjänst som är integrerad i Azure Portal som ger dig explicit kontroll i den sällsynta instansen när en Microsoft-supporttekniker kan behöva åtkomst till dina data för att lösa ett problem.
Det finns mycket få instanser, till exempel ett felsökningsproblem med fjärråtkomst, där en Microsoft-supporttekniker kräver utökade behörigheter för att lösa problemet. I sådana fall använder Microsofts tekniker just-in-time-åtkomsttjänst som ger begränsad, tidsbunden auktorisering med åtkomst som är begränsad till tjänsten.
Även om Microsoft alltid har fått kundmedgivande för åtkomst ger Customer Lockbox dig nu möjlighet att granska och godkänna eller neka sådana förfrågningar från Azure Portal. Microsofts supporttekniker beviljas inte åtkomst förrän du har godkänt begäran.
Standardiserade och kompatibla distributioner
Med Azure Blueprints kan molnarkitekter och centrala informationsteknikgrupper definiera en upprepningsbar uppsättning Azure-resurser som implementerar och följer en organisations standarder, mönster och krav.
Detta möjliggör för DevOps-team att snabbt konstruera och ställa upp nya miljöer och ha förtroende för att de bygger dem med infrastruktur som upprätthåller efterlevnad av organisationspolicyer.
Skisser är ett deklarativt sätt att samordna distributionen av olika resursmallar och andra artefakter, till exempel:
- Rolltilldelningar
- Policytilldelningar
- Azure Resource Manager-mallar
- Resursgrupper
DevOps
Innan utveckling av DevOps-program (Developer Operations) ansvarade teamen för att samla in affärskrav för ett program och skriva kod. Sedan testade ett separat QA-team programmet i en isolerad utvecklingsmiljö. Om kraven uppfylldes släppte QA-teamet koden fri för driftteamet att distribuera. Distributionsteamen fragmenterades ytterligare i grupper som nätverk och databaser. Varje gång ett mjukvaruprogram "skickades vidare" till ett oberoende team, skapade det flaskhalsar.
DevOps gör det möjligt för team att leverera säkrare lösningar av högre kvalitet snabbare och billigare. Kunderna förväntar sig en dynamisk och tillförlitlig upplevelse när de använder programvara och tjänster. Teams måste snabbt iterera på programuppdateringar och mäta effekten av uppdateringarna. De måste svara snabbt med nya utvecklings-iterationer för att åtgärda problem eller ge mer värde.
Molnplattformar som Microsoft Azure har tagit bort traditionella flaskhalsar och hjälpt till att anpassa infrastrukturen. Programvara råder i alla företag som den viktigaste differentiatorn och faktor i affärsresultat. Ingen organisation, utvecklare eller IT-arbetare kan eller bör undvika DevOps-rörelsen.
Mogna DevOps-utövare tillämpar flera av följande metoder. Dessa metoder innebär att människor bildar strategier baserat på affärsscenarier. Verktyg kan hjälpa dig att automatisera de olika metoderna.
- Agil planerings- och projekthanteringstekniker används för att planera och isolera arbete till sprintar, hantera teamkapacitet och hjälpa team att snabbt anpassa sig till föränderliga affärsbehov.
- Versionskontroll, vanligtvis med Git, gör det möjligt för team som finns var som helst i världen att dela källa och integrera med programutvecklingsverktyg för att automatisera versionspipelinen.
- Kontinuerlig integrering driver den pågående sammanslagningen och testningen av kod, vilket leder till att fel hittas tidigt. Andra fördelar är mindre tidsåtgång för att bekämpa sammanslagningsproblem och snabb feedback för utvecklingsteam.
- Kontinuerlig leverans av programvarulösningar till produktions- och testmiljöer hjälper organisationer att snabbt åtgärda buggar och svara på ständigt föränderliga affärskrav.
- Övervakning av program som körs – inklusive produktionsmiljöer för programhälsa samt kundanvändning – hjälper organisationer att skapa en hypotes och snabbt validera eller motbevisa strategier. Omfattande data samlas in och lagras i olika loggningsformat.
- Infrastruktur som kod (IaC) är en metod som möjliggör automatisering och validering av skapande och nedtagning av nätverk och virtuella datorer för att hjälpa till med att leverera säkra, stabila programvärdplattformar.
- Arkitekturen för mikrotjänster används för att isolera affärsanvändningsfall till små återanvändbara tjänster. Den här arkitekturen möjliggör skalbarhet och effektivitet.
Nästa steg
Mer information om säkerhets- och granskningslösningen finns i följande artiklar: