Introduktion till säkerhet i Azure

Översikt

Vi vet att säkerhet är jobb ett i molnet och hur viktigt det är att du hittar korrekt och snabb information om Azure-säkerhet. En av de bästa anledningarna till att använda Azure för dina program och tjänster är att dra nytta av dess breda utbud av säkerhetsverktyg och funktioner. De här verktygen och funktionerna gör det möjligt att skapa säkra lösningar på den säkra Azure-plattformen. Microsoft Azure tillhandahåller konfidentialitet, integritet och tillgänglighet för kunddata, samtidigt som transparent ansvarsskyldighet möjliggörs.

Den här artikeln innehåller en omfattande titt på den säkerhet som är tillgänglig med Azure.

Azure-plattformen

Azure är en plattform för offentliga molntjänster som stöder ett brett urval av operativsystem, programmeringsspråk, ramverk, verktyg, databaser och enheter. Den kan köra Linux-containrar med Docker-integrering. skapa appar med JavaScript, Python, .NET, PHP, Java och Node.js; skapa serverdelar för iOS-, Android- och Windows-enheter.

Azures offentliga molntjänster har stöd för samma teknik som miljontals utvecklare och IT-proffs redan förlitar sig på och litar på. När du bygger på eller migrerar IT-tillgångar till en offentlig molntjänstleverantör förlitar du dig på organisationens förmåga att skydda dina program och data med tjänsterna och de kontroller som de tillhandahåller för att hantera säkerheten för dina molnbaserade tillgångar.

Azures infrastruktur är utformad från anläggning till program för att hantera miljontals kunder samtidigt, och den ger en tillförlitlig grund som företag kan uppfylla sina säkerhetskrav på.

Dessutom ger Azure dig en mängd olika konfigurerbara säkerhetsalternativ och möjlighet att styra dem så att du kan anpassa säkerheten för att uppfylla de unika kraven för organisationens distributioner. Det här dokumentet hjälper dig att förstå hur Azures säkerhetsfunktioner kan hjälpa dig att uppfylla dessa krav.

Kommentar

Det här dokumentet fokuserar främst på kundinriktade kontroller som du kan använda för att anpassa och öka säkerheten för dina program och tjänster.

Information om hur Microsoft skyddar själva Azure-plattformen finns i Säkerhet för Azure-infrastruktur.

Sammanfattning av Säkerhetsfunktioner i Azure

Beroende på molntjänstmodellen finns det ett varierande ansvar för vem som ansvarar för att hantera säkerheten för programmet eller tjänsten. Det finns funktioner i Azure Platform som hjälper dig att uppfylla dessa ansvarsområden via inbyggda funktioner och via partnerlösningar som kan distribueras till en Azure-prenumeration.

De inbyggda funktionerna är ordnade inom sex funktionella områden: Åtgärder, program, lagring, nätverk, beräkning och identitet. Ytterligare information om de funktioner som är tillgängliga i Azure-plattformen inom dessa sex områden tillhandahålls via sammanfattningsinformation.

Operations

Det här avsnittet innehåller ytterligare information om viktiga funktioner i säkerhetsåtgärder och sammanfattningsinformation om dessa funktioner.

Microsoft Sentinel

Microsoft Sentinel är en skalbar, molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för attackidentifiering, hotsynlighet, proaktiv jakt och hotsvar.

Microsoft Defender for Cloud

Microsoft Defender för molnet hjälper dig att förhindra, identifiera och svara på hot med ökad insyn i och kontroll över säkerheten för dina Azure-resurser. Härifrån kan du övervaka och hantera principer för alla Azure-prenumerationer på en gång och upptäcka hot som annars kanske skulle förbli oupptäckta. Azure Security Center fungerar tillsammans med ett vittomfattande ekosystem med säkerhetslösningar.

Dessutom hjälper Defender för molnet med säkerhetsåtgärder genom att ge dig en enda instrumentpanel som visar aviseringar och rekommendationer som kan vidtas omedelbart. Du kan ofta åtgärda problem med ett enda klick i Defender för molnet-konsolen.

Azure Resource Manager

Med Azure Resource Manager kan du arbeta med resurserna i din lösning som en grupp. Du kan distribuera, uppdatera eller ta bort alla resurser i lösningen i en enda, samordnad åtgärd. Du använder en Azure Resource Manager-mall för distribution och den mallen kan fungera för olika miljöer, till exempel testning, mellanlagring och produktion. Resource Manager tillhandahåller säkerhets-, gransknings- och taggningsfunktioner som hjälper dig att hantera dina resurser efter distributionen.

Azure Resource Manager-mallbaserade distributioner bidrar till att förbättra säkerheten för lösningar som distribueras i Azure eftersom standardinställningar för säkerhetskontroll och kan integreras i standardiserade mallbaserade distributioner. Detta minskar risken för säkerhetskonfigurationsfel som kan inträffa under manuella distributioner.

Programinsikter

Application Insights är en utökningsbar tjänst för programprestandahantering (APM) för webbutvecklare. Med Application Insights kan du övervaka dina webbprogram live och automatiskt identifiera prestandaavvikelser. Den innehåller kraftfulla analysverktyg som hjälper dig att diagnostisera problem och förstå vad användarna faktiskt gör med dina appar. Programmet övervakas hela tiden det körs, både under testningen och när du har publicerat eller distribuerat det.

Application Insights skapar diagram och tabeller som visar dig, till exempel vilka tider på dagen du får de flesta användare, hur dynamisk appen är och hur väl den hanteras av externa tjänster som den är beroende av.

Om det uppstår krascher, fel eller prestandaproblem kan du söka igenom telemetridata i detalj för att diagnostisera orsaken. Och tjänsten skickar e-postmeddelanden till dig om det finns några ändringar i appens tillgänglighet och prestanda. Application Insight blir därmed ett värdefullt säkerhetsverktyg eftersom det hjälper till med tillgängligheten i sekretess-, integritets- och tillgänglighetssäkerhetstriaden.

Azure Monitor

Azure Monitor erbjuder visualisering, frågor, routning, aviseringar, automatisk skalning och automatisering av data både från Azure-prenumerationen (aktivitetsloggen) och varje enskild Azure-resurs (resursloggar). Du kan använda Azure Monitor för att varna dig om säkerhetsrelaterade händelser som genereras i Azure-loggar.

Azure Monitor-loggar

Azure Monitor-loggar – Tillhandahåller en IT-hanteringslösning för både lokal och molnbaserad infrastruktur från tredje part (till exempel AWS) utöver Azure-resurser. Data från Azure Monitor kan dirigeras direkt till Azure Monitor-loggar så att du kan se mått och loggar för hela miljön på ett och samma ställe.

Azure Monitor-loggar kan vara ett användbart verktyg i kriminalteknisk och annan säkerhetsanalys, eftersom verktyget gör att du snabbt kan söka igenom stora mängder säkerhetsrelaterade poster med en flexibel frågemetod. Dessutom kan lokala brandväggs - och proxyloggar exporteras till Azure och göras tillgängliga för analys med hjälp av Azure Monitor-loggar.

Azure Advisor

Azure Advisor är en anpassad molnkonsult som hjälper dig att optimera dina Azure-distributioner. Den analyserar din resurskonfiguration och användningstelemetri. Sedan rekommenderar vi lösningar för att förbättra prestanda, säkerhet och tillförlitlighet för dina resurser samtidigt som du letar efter möjligheter att minska dina totala Azure-utgifter. Azure Advisor tillhandahåller säkerhetsrekommendationer som avsevärt kan förbättra din övergripande säkerhetsstatus för lösningar som du distribuerar i Azure. Dessa rekommendationer hämtas från säkerhetsanalyser som utförs av Microsoft Defender för molnet.

Appar

Avsnittet innehåller ytterligare information om viktiga funktioner i programsäkerhet och sammanfattningsinformation om dessa funktioner.

Intrångstester

Vi utför inte intrångstestning av ditt program åt dig, men vi förstår att du vill ha och behöver utföra tester på dina egna program. Det är bra, för när du förbättrar säkerheten för dina program hjälper du till att göra hela Azure-ekosystemet säkrare. Även om det inte längre krävs att meddela Microsoft om penntestningsaktiviteter måste kunderna fortfarande följa Microsoft Cloud Penetration Testing Rules of Engagement.

Brandvägg för webbprogram

Brandväggen för webbprogram (WAF) i Azure Application Gateway hjälper till att skydda webbprogram från vanliga webbaserade attacker som SQL-inmatning, skriptattacker mellan webbplatser och sessionskapning. Den är förkonfigurerad med skydd mot hot som identifieras av Open Web Application Security Project (OWASP) som de 10 vanligaste säkerhetsriskerna.

Autentisering och auktorisering i Azure App Service

App Service-autentisering/auktorisering är en funktion som ger ett sätt för ditt program att logga in användare så att du inte behöver ändra kod på appens serverdel. Det är ett enkelt sätt att skydda ditt program och arbeta med data per användare.

Säkerhetsarkitektur i lager

Eftersom App Service-miljön tillhandahåller en isolerad körningsmiljö som distribueras till ett virtuellt Azure-nätverk kan utvecklare skapa en säkerhetsarkitektur på flera nivåer som ger olika nivåer av nätverksåtkomst för varje programnivå. En vanlig önskan är att dölja API-serverdelar från allmän Internetåtkomst och endast tillåta att API:er anropas av överordnade webbappar. Nätverkssäkerhetsgrupper (NSG:er) kan användas i Azure Virtual Network-undernät som innehåller App Service-miljön för att begränsa offentlig åtkomst till API-program.

Webbserverdiagnostik och programdiagnostik

App Service-webbappar tillhandahåller diagnostikfunktioner för loggningsinformation från både webbservern och webbappen. Dessa är logiskt åtskilda i webbserverdiagnostik och programdiagnostik. Webbservern innehåller två viktiga framsteg när det gäller att diagnostisera och felsöka webbplatser och program.

Den första nya funktionen är tillståndsinformation i realtid om programpooler, arbetsprocesser, webbplatser, programdomäner och begäranden som körs. De andra nya fördelarna är de detaljerade spårningshändelser som spårar en begäran under hela processen för begäran och svar.

För att aktivera insamlingen av dessa spårningshändelser kan IIS 7 konfigureras för att automatiskt samla in fullständiga spårningsloggar i XML-format för en viss begäran baserat på förflutna tids- eller felsvarskoder.

Lagring

Avsnittet innehåller ytterligare information om viktiga funktioner i Azure Storage-säkerhet och sammanfattningsinformation om dessa funktioner.

Rollbaserad åtkomstkontroll i Azure (Azure RBAC)

Du kan skydda ditt lagringskonto med rollbaserad åtkomstkontroll i Azure (Azure RBAC). Att begränsa åtkomsten baserat på behovet av att känna till och minsta möjliga behörighetssäkerhetsprinciper är absolut nödvändigt för organisationer som vill tillämpa säkerhetsprinciper för dataåtkomst. Dessa åtkomsträttigheter beviljas genom att tilldela lämplig Azure-roll till grupper och program i ett visst omfång. Du kan använda inbyggda Roller i Azure, till exempel Lagringskontodeltagare, för att tilldela behörigheter till användare. Åtkomst till lagringsnycklarna för ett lagringskonto med hjälp av Azure Resource Manager-modellen kan styras via Azure RBAC.

Signatur för delad åtkomst

En signatur för delad åtkomst (Shared Access Signature, SAS) ger delegerad åtkomst till resurser på ditt lagringskonto. SAS innebär att du kan bevilja en klient begränsad behörighet till objekt i ditt lagringskonto under en angiven period och med en angiven uppsättning behörigheter. Du kan bevilja dessa begränsade behörigheter utan att behöva dela dina kontoåtkomstnycklar.

Kryptering vid överföring

Kryptering under överföring är en mekanism för att skydda data när de överförs mellan nätverk. Med Azure Storage kan du skydda data med hjälp av:

• Kryptering på transportnivå, till exempel HTTPS när du överför data till eller från Azure Storage.

• Trådkryptering, till exempel SMB 3.0-kryptering för Azure-filresurser.

• Kryptering på klientsidan för att kryptera data innan de överförs till lagring och dekryptera data när de har överförts från lagringen.

Kryptering i vila

För många organisationer är vilande datakryptering ett obligatoriskt steg mot datasekretess, efterlevnad och datasuveränitet. Det finns tre Säkerhetsfunktioner för Azure Storage som tillhandahåller kryptering av data som är "i vila":

• Med kryptering av lagringstjänst kan du begära att lagringstjänsten automatiskt krypterar data när du skriver dem till Azure Storage.

• Kryptering på klientsidan innehåller också funktionen för kryptering i vila.

• Med Azure Disk Encryption för virtuella Linux-datorer och Azure Disk Encryption för virtuella Windows-datorer kan du kryptera os-diskar och datadiskar som används av en virtuell IaaS-dator.

Lagringsanalys

Azure Lagringsanalys utför loggning och tillhandahåller måttdata för ett lagringskonto. Du kan använda dessa data för att spåra förfrågningar, analysera användningstrender och diagnostisera problem med lagringskontot. Lagringsanalys loggar detaljerad information om lyckade och misslyckade begäranden till en lagringstjänst. Den här informationen kan användas för att övervaka enskilda begäranden och för att diagnostisera problem med en lagringstjänst. Begäranden loggas på bästa sätt. Följande typer av autentiserade begäranden loggas:

• Lyckade begäranden.
• Misslyckade begäranden, inklusive timeout, begränsning, nätverk, auktorisering och andra fel.
• Begäranden med en signatur för delad åtkomst (SAS), inklusive misslyckade och lyckade begäranden.
• Begäranden till analysdata.

Aktivera webbläsarbaserade klienter med CORS

Resursdelning mellan ursprung (CORS) är en mekanism som gör det möjligt för domäner att ge varandra behörighet att komma åt varandras resurser. Användaragenten skickar extra huvuden för att säkerställa att JavaScript-koden som läses in från en viss domän tillåts komma åt resurser som finns i en annan domän. Den senare domänen svarar sedan med extra rubriker som tillåter eller nekar den ursprungliga domänen åtkomst till dess resurser.

Azure Storage-tjänster har nu stöd för CORS så att när du har angett CORS-reglerna för tjänsten utvärderas en korrekt autentiserad begäran mot tjänsten från en annan domän för att avgöra om den är tillåten enligt de regler som du har angett.

Nätverk

Avsnittet innehåller ytterligare information om viktiga funktioner i Azure-nätverkssäkerhet och sammanfattningsinformation om dessa funktioner.

Kontroller för nätverksnivå

Nätverksåtkomstkontroll handlar om att begränsa anslutningen till och från specifika enheter eller undernät och representerar kärnan i nätverkssäkerheten. Målet med nätverksåtkomstkontroll är att se till att dina virtuella datorer och tjänster endast är tillgängliga för användare och enheter som du vill att de ska vara tillgängliga för.

Nätverkssäkerhetsgrupper

En nätverkssäkerhetsgrupp (NSG) är en grundläggande tillståndskänslig paketfiltreringsbrandvägg och gör att du kan styra åtkomsten baserat på en 5-tupplar. NSG:er tillhandahåller inte kontroll av programskikt eller autentiserade åtkomstkontroller. De kan användas för att styra trafik som rör sig mellan undernät i ett virtuellt Azure-nätverk och trafik mellan ett virtuellt Azure-nätverk och Internet.

Azure Firewall

Azure Firewall är en molnbaserad och intelligent säkerhetstjänst för nätverksbrandvägg som ger skydd mot hot för dina molnarbetsbelastningar som körs i Azure. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Det ger både trafikinspektion i öst-väst och nord-syd.

Azure Firewall erbjuds i två SKU:er: Standard och Premium. Azure Firewall Standard tillhandahåller L3-L7-filtrering och hotinformationsflöden direkt från Microsoft Cyber Security. Azure Firewall Premium har avancerade funktioner som signaturbaserad IDPS för att möjliggöra snabb identifiering av attacker genom att söka efter specifika mönster.

Vägkontroll och tvingad tunneltrafik

Möjligheten att styra routningsbeteendet i dina virtuella Azure-nätverk är en viktig funktion för nätverkssäkerhet och åtkomstkontroll. Om du till exempel vill se till att all trafik till och från ditt virtuella Azure-nätverk går igenom den virtuella säkerhetsinstallationen måste du kunna styra och anpassa routningsbeteendet. Du kan göra detta genom att konfigurera användardefinierade vägar i Azure.

Med användardefinierade vägar kan du anpassa inkommande och utgående sökvägar för trafik som flyttas till och från enskilda virtuella datorer eller undernät för att säkerställa den säkraste möjliga vägen. Tvingad tunneltrafik är en mekanism som du kan använda för att säkerställa att dina tjänster inte tillåts initiera en anslutning till enheter på Internet.

Detta skiljer sig från att kunna acceptera inkommande anslutningar och sedan svara på dem. Klientwebbservrar måste svara på begäranden från Internetvärdar, och därför tillåts internetbaserad trafik inkommande till dessa webbservrar och webbservrarna kan svara.

Tvingad tunneltrafik används ofta för att tvinga utgående trafik till Internet att gå igenom lokala säkerhetsproxys och brandväggar.

Säkerhetsinstallationer för virtuella nätverk

Nätverkssäkerhetsgrupper, användardefinierade vägar och tvingad tunneltrafik ger dig en säkerhetsnivå i nätverks- och transportskikten i OSI-modellen, men det kan finnas tillfällen då du vill aktivera säkerhet på högre nivåer i stacken. Du kan komma åt dessa förbättrade nätverkssäkerhetsfunktioner med hjälp av en azure-partnerlösning för nätverkssäkerhet. Du hittar de senaste säkerhetslösningarna för Azure-partnernätverk genom att besöka Azure Marketplace och söka efter "säkerhet" och "nätverkssäkerhet".

Azure Virtual Network

Ett Azure-virtuellt nätverk (VNet) är en representation av ditt eget nätverk i molnet. Det är en logisk isolering av Azure-nätverksinfrastrukturen som är dedikerad till din prenumeration. Du kan helt styra IP-adressblocken, DNS-inställningarna, säkerhetsprinciperna och routingtabellerna inom det här nätverket. Du kan segmentera ditt virtuella nätverk i undernät och placera virtuella Azure IaaS-datorer (VM) och/eller molntjänster (PaaS-rollinstanser) på virtuella Azure-nätverk.

Du kan dessutom ansluta det virtuella nätverket till ditt lokala nätverk med ett av anslutningsalternativen som finns i Azure. I princip kan du expandera ditt nätverk till Azure, med fullständig kontroll över IP-adressblock och de fördelar som Azure på företagsnivå erbjuder.

Azure-nätverk stöder olika scenarier för säker fjärråtkomst. Några av dessa är:

• Anslut enskilda arbetsstationer till ett virtuellt Azure-nätverk

• Anslut lokalt nätverk till ett virtuellt Azure-nätverk med ett VPN

• Anslut lokalt nätverk till ett virtuellt Azure-nätverk med en dedikerad WAN-länk

• Anslut virtuella Azure-nätverk till varandra

Azure Virtual Network Manager

Azure Virtual Network Manager är en centraliserad lösning för att skydda dina virtuella nätverk i stor skala. Den använder säkerhetsadministratörsregler för att centralt definiera och tillämpa säkerhetsprinciper för dina virtuella nätverk i hela organisationen. Säkerhetsadministratörsregler har företräde framför regler för nätverkssäkerhetsgrupper (NSG:er) och tillämpas på det virtuella nätverket. Detta gör det möjligt för organisationer att tillämpa kärnprinciper med säkerhetsadministratörsregler, samtidigt som underordnade team kan skräddarsy NSG:er efter deras specifika behov på undernäts- och nätverkskortsnivå. Beroende på organisationens behov kan du använda regelåtgärderna Tillåt, Neka eller Tillåt alltid för att tillämpa säkerhetsprinciper.

Regelåtgärd	beskrivning
Tillåt	Tillåter den angivna trafiken som standard. Underordnade NSG:er tar fortfarande emot den här trafiken och kan neka den.
Tillåt alltid	Tillåt alltid den angivna trafiken, oavsett andra regler med lägre prioritet eller NSG:er. Detta kan användas för att säkerställa att övervakningsagenten, domänkontrollanten eller hanteringstrafiken inte blockeras.
Deny (Neka)	Blockera den angivna trafiken. Underordnade NSG:er utvärderar inte den här trafiken efter att ha nekats av en säkerhetsadministratörsregel, vilket säkerställer att dina högriskportar för befintliga och nya virtuella nätverk skyddas som standard.

I Azure Virtual Network Manager kan du med nätverksgrupper gruppera virtuella nätverk för centraliserad hantering och tillämpning av säkerhetsprinciper. Nätverksgrupper är en logisk gruppering av virtuella nätverk baserat på dina behov ur topologi- och säkerhetsperspektiv. Du kan uppdatera det virtuella nätverksmedlemskapet för dina nätverksgrupper manuellt eller så kan du definiera villkorssatser med Azure Policy för att dynamiskt uppdatera nätverksgrupper för att automatiskt uppdatera ditt nätverksgruppmedlemskap.

Azure Private Link

Med Azure Private Link kan du komma åt Azure PaaS Services (till exempel Azure Storage och SQL Database) och Azure-värdbaserade kundägda/partnertjänster privat i ditt virtuella nätverk via en privat slutpunkt. Konfiguration och förbrukning med Azure Private Link är konsekvent i Azure PaaS, kundägda och delade partnertjänster. Trafik från ditt virtuella nätverk till Azure-tjänsten finns alltid kvar i Microsoft Azure-stamnätverket.

Med privata slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk. Azure Private Endpoint använder en privat IP-adress från ditt virtuella nätverk för att ansluta dig privat och säkert till en tjänst som drivs av Azure Private Link, vilket effektivt för in tjänsten i ditt virtuella nätverk. Det är inte längre nödvändigt att exponera ditt virtuella nätverk för det offentliga Internet för att använda tjänster i Azure.

Du kan också skapa en egen privat länktjänst i ditt virtuella nätverk. Azure Private Link-tjänsten är referensen till din egen tjänst som drivs av Azure Private Link. Din tjänst som körs bakom Azure Standard Load Balancer kan aktiveras för Private Link-åtkomst så att konsumenter till din tjänst kan komma åt den privat från sina egna virtuella nätverk. Dina kunder kan skapa en privat slutpunkt i sitt virtuella nätverk och mappa den till den här tjänsten. Det är inte längre nödvändigt att exponera tjänsten för det offentliga Internet för att rendera tjänster i Azure.

VPN Gateway

Om du vill skicka nätverkstrafik mellan ditt virtuella Azure-nätverk och din lokala plats måste du skapa en VPN-gateway för ditt virtuella Azure-nätverk. En VPN-gateway är en typ av virtuell nätverksgateway som skickar krypterad trafik över en offentlig anslutning. Du kan också använda VPN-gatewayer för att skicka trafik mellan virtuella Azure-nätverk via Azure-nätverksinfrastrukturen.

Express Route

Microsoft Azure ExpressRoute är en dedikerad WAN-länk som gör att du kan utöka dina lokala nätverk till Microsoft-molnet via en dedikerad privat anslutning som underlättas av en anslutningsleverantör.

Med ExpressRoute kan du upprätta anslutningar till Microsofts molntjänster, till exempel Microsoft Azure, Microsoft 365 och CRM Online. Anslutningen kan vara från ett ”any-to-any”-nätverk (IP VPN), ett ”point-to-point”-nätverk med Ethernet eller en virtuell korsanslutning via en anslutningsleverantör på en samlokaliseringsanläggning.

ExpressRoute-anslutningar går inte via det offentliga Internet och kan därför anses vara säkrare än VPN-baserade lösningar. Det innebär att ExpressRoute-anslutningar är tillförlitligare, snabbare, har kortare svarstider och högre säkerhet än vanliga anslutningar över Internet.

Application Gateway

Microsoft Azure Application Gateway tillhandahåller en ADC (Application Delivery Controller) som en tjänst som erbjuder olika lager 7-belastningsutjämningsfunktioner för ditt program.

Det gör att du kan optimera webbgruppens produktivitet genom att avlasta CPU-intensiv TLS-avslutning till Application Gateway (kallas även "TLS-avlastning" eller "TLS-bryggning"). Den innehåller även andra Layer 7-routningsfunktioner, inklusive resursallokeringsdistribution av inkommande trafik, cookiebaserad sessionstillhörighet, URL-sökvägsbaserad routning och möjligheten att vara värd för flera webbplatser bakom en enda Application Gateway. Azure Application Gateway är en Layer 7-lastbalanserare.

Den tillhandahåller redundans och prestandabaserad routning av HTTP-begäranden mellan olika servrar, oavsett om de finns i molnet eller lokalt.

Programmet innehåller många ADC-funktioner (Application Delivery Controller), inklusive HTTP-belastningsutjämning, cookiebaserad sessionstillhörighet, TLS-avlastning, anpassade hälsoavsökningar, stöd för flera webbplatser och många andra.

Brandvägg för webbaserade program

Brandväggen för webbaserade program är en funktion i Azure Application Gateway som ger skydd åt webbprogram som använder programgateway för standardfunktioner för programleveranskontroll (ADC). Brandvägg för webbaserade program gör detta genom att skydda dem mot de flesta av de 10 vanligaste OWASP-säkerhetsproblemen.

• Skydd mot SQL-inmatning

• Skydd mot vanliga webbattacker, som kommandoinmatning, dold HTTP-begäran, delning av HTTP-svar och attack genom införande av fjärrfil

• Skydd mot åtgärder som inte följer HTTP-protokollet

• Skydd mot avvikelser i HTTP-protokollet som att användaragent för värden och accept-huvud saknas

• Skydd mot robotar, crawlers och skannrar

• Identifiering av vanliga programfelkonfigurationer (dvs. Apache, IIS osv.)

En centraliserad brandvägg mot webbattacker underlättar säkerhetshanteringen och håller programmet bättre skyddat mot intrång. En brandväggslösning för webbaserade program kan även reagera snabbare på ett säkerhetshot genom att åtgärda en känd svaghet på en central plats jämfört med om korrigeringar ska utföras i varje enskilt webbprogram. Befintliga programgatewayer kan enkelt konverteras till en programgateway med brandvägg för webbprogram.

Traffic Manager

Med Microsoft Azure Traffic Manager kan du styra distributionen av användartrafik för tjänstslutpunkter i olika datacenter. Tjänstslutpunkter som stöds av Traffic Manager omfattar virtuella Azure-datorer, webbappar och molntjänster. Du kan även använda Traffic Manager med externa slutpunkter som inte tillhör Azure. Traffic Manager använder DNS (Domain Name System) för att dirigera klientbegäranden till den lämpligaste slutpunkten baserat på en trafikroutningsmetod och slutpunkternas hälsotillstånd.

Traffic Manager tillhandahåller en rad olika trafikroutningsmetoder som passar olika programbehov, slutpunktshälsoövervakning och automatisk redundans. Traffic Manager har bra återhämtningsförmåga i händelse av fel, inklusive fel som påverkar en hel Azure-region.

Azure Load Balancer

Azure Load Balancer levererar hög tillgänglighet och nätverksprestanda till dina program. Det är en lastbalanserare för Layer 4 (TCP, UDP) som distribuerar inkommande trafik mellan felfria instanser av tjänster som definierats i en belastningsutjämningsuppsättning. Azure Load Balancer kan konfigureras för att:

• Belastningsutjämning av inkommande Internettrafik till virtuella datorer. Den här konfigurationen kallas offentlig belastningsutjämning.

• Belastningsutjämning av trafik mellan virtuella datorer i ett virtuellt nätverk, mellan virtuella datorer i molntjänster eller mellan lokala datorer och virtuella datorer i ett virtuellt nätverk mellan platser. Den här konfigurationen kallas intern belastningsutjämning.

• Vidarebefordra extern trafik till en specifik virtuell dator

Intern DNS

Du kan hantera listan över DNS-servrar som används i ett virtuellt nätverk i hanteringsportalen eller i nätverkskonfigurationsfilen. Kunden kan lägga till upp till 12 DNS-servrar för varje virtuellt nätverk. När du anger DNS-servrar är det viktigt att kontrollera att du listar kundens DNS-servrar i rätt ordning för kundens miljö. DNS-serverlistor fungerar inte resursallokering. De används i den ordning som de anges. Om den första DNS-servern i listan kan nås använder klienten dns-servern oavsett om DNS-servern fungerar korrekt eller inte. Om du vill ändra DNS-serverordningen för kundens virtuella nätverk tar du bort DNS-servrarna från listan och lägger till dem i den ordning kunden vill. DNS stöder tillgänglighetsaspekten för säkerhetstriaden "CIA".

Azure DNS

Domännamnssystemet, eller DNS, ansvarar för att översätta (eller matcha) en webbplats eller ett tjänstnamn till dess IP-adress. Azure DNS är en värdtjänst för DNS-domäner som ger namnmatchning med hjälp av Microsoft Azure-infrastrukturen. Genom att använda Azure som värd för dina domäner kan du hantera dina DNS-poster med samma autentiseringsuppgifter, API:er, verktyg och fakturering som för dina andra Azure-tjänster. DNS stöder tillgänglighetsaspekten för säkerhetstriaden "CIA".

NSG:er för Azure Monitor-loggar

Du kan aktivera följande diagnostikloggkategorier för NSG:er:

• Händelse: Innehåller poster för vilka NSG-regler tillämpas på virtuella datorer och instansroller baserat på MAC-adress. Statusen för dessa regler samlas in var 60:e sekund.

• Regelräknare: Innehåller poster för hur många gånger varje NSG-regel tillämpas för att neka eller tillåta trafik.

Microsoft Defender for Cloud

Microsoft Defender för molnet analyserar kontinuerligt säkerhetstillståndet för dina Azure-resurser för bästa praxis för nätverkssäkerhet. När Defender för molnet identifierar potentiella säkerhetsrisker skapar den rekommendationer som vägleder dig genom processen att konfigurera de kontroller som behövs för att härda och skydda dina resurser.

Compute

Avsnittet innehåller ytterligare information om viktiga funktioner i det här området och sammanfattningsinformation om dessa funktioner.

Konfidentiell databehandling i Azure

Konfidentiell databehandling i Azure är den sista pusselbiten som saknas i dataskyddspusslet. Det gör att du alltid kan hålla dina data krypterade. När du är i vila, när du är i rörelse via nätverket och nu, även när den läses in i minnet och används. Genom att göra fjärrattestering möjlig kan du dessutom kryptografiskt kontrollera att den virtuella dator som du etablerar har startat på ett säkert sätt och är korrekt konfigurerad innan du låser upp dina data.

Spektrumet av alternativ sträcker sig från att aktivera "lift and shift"-scenarier för befintliga program till en fullständig kontroll av säkerhetsfunktioner. För Infrastruktur som en tjänst (IaaS) kan du använda konfidentiella virtuella datorer som drivs av AMD SEV-SNP eller konfidentiella programklaver för virtuella datorer som kör Intel Software Guard Extensions (SGX). För Plattform som en tjänst har vi flera containerbaserade alternativ, inklusive integreringar med Azure Kubernetes Service (AKS).

Program mot skadlig kod och antivirusprogram

Med Azure IaaS kan du använda program mot skadlig kod från säkerhetsleverantörer som Microsoft, Symantec, Trend Micro, McAfee och Kaspersky för att skydda dina virtuella datorer från skadliga filer, adware och andra hot. Microsoft Antimalware för Azure Cloud Services och Virtual Machines är en skyddsfunktion som hjälper dig att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Microsoft Antimalware tillhandahåller konfigurerbara aviseringar när känd skadlig eller oönskad programvara försöker installera sig själv eller köras på dina Azure-system. Microsoft Antimalware kan också distribueras med hjälp av Microsoft Defender för molnet

Maskinvarusäkerhetsmodul

Kryptering och autentisering förbättrar inte säkerheten om inte själva nycklarna är skyddade. Du kan förenkla hanteringen och säkerheten för dina kritiska hemligheter och nycklar genom att lagra dem i Azure Key Vault. Key Vault ger möjlighet att lagra dina nycklar i maskinvarusäkerhetsmoduler (HSM:er) som är certifierade enligt FIPS 140-verifierade standarder. Dina SQL Server-krypteringsnycklar för säkerhetskopiering eller transparent datakryptering kan lagras i Key Vault med nycklar eller hemligheter från dina program. Behörigheter och åtkomst till dessa skyddade objekt hanteras via Microsoft Entra-ID.

Säkerhetskopiering av virtuell dator

Azure Backup är en lösning som skyddar dina programdata utan kapitalinvesteringar och minimala driftskostnader. Programfel kan skada dina data och mänskliga fel kan introducera buggar i dina program som kan leda till säkerhetsproblem. Med Azure Backup skyddas dina virtuella datorer som kör Windows och Linux.

Azure Site Recovery

En viktig del av din organisations bcdr-strategi för affärskontinuitet/haveriberedskap är att ta reda på hur du håller företagets arbetsbelastningar och appar igång när planerade och oplanerade avbrott inträffar. Azure Site Recovery hjälper till att samordna replikering, redundans och återställning av arbetsbelastningar och appar så att de är tillgängliga från en sekundär plats om den primära platsen slutar fungera.

SQL VM TDE

Transparent datakryptering (TDE) och kryptering på kolumnnivå (CLE) är SQL Server-krypteringsfunktioner. Den här typen av kryptering kräver att kunderna hanterar och lagrar de kryptografiska nycklar som du använder för kryptering.

Tjänsten Azure Key Vault (AKV) är utformad för att förbättra säkerheten och hanteringen av dessa nycklar på en säker och högtillgänglig plats. SQL Server-Anslut eller gör det möjligt för SQL Server att använda dessa nycklar från Azure Key Vault.

Om du kör SQL Server med lokala datorer finns det steg du kan följa för att få åtkomst till Azure Key Vault från din lokala SQL Server-instans. Men för SQL Server på virtuella Azure-datorer kan du spara tid med hjälp av Azure Key Vault-integreringsfunktionen. Med några Azure PowerShell-cmdletar för att aktivera den här funktionen kan du automatisera den konfiguration som krävs för att en virtuell SQL-dator ska få åtkomst till ditt nyckelvalv.

Diskkryptering för virtuella datorer

Azure Disk Encryption för virtuella Linux-datorer och Azure Disk Encryption för virtuella Windows-datorer hjälper dig att kryptera dina virtuella IaaS-datordiskar. Den tillämpar bitLocker-funktionen för branschstandard i Windows och DM-Crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna. Lösningen är integrerad med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter i din Key Vault-prenumeration. Lösningen säkerställer också att alla data på de virtuella datordiskarna krypteras i vila i Azure Storage.

Virtuellt nätverk

Virtuella datorer behöver nätverksanslutning. För att stödja det kravet kräver Azure att virtuella datorer är anslutna till ett virtuellt Azure-nätverk. Ett virtuellt Azure-nätverk är en logisk konstruktion som bygger på den fysiska Azure-nätverksinfrastrukturen. Varje logiskt virtuellt Azure-nätverk är isolerat från alla andra virtuella Azure-nätverk. Den här isoleringen säkerställer att nätverkstrafiken i dina distributioner inte är tillgänglig för andra Microsoft Azure-kunder.

Korrigera Uppdateringar

Korrigering Uppdateringar utgör grunden för att hitta och åtgärda potentiella problem och förenkla hanteringsprocessen för programuppdateringar, både genom att minska antalet programuppdateringar som du måste distribuera i företaget och genom att öka din förmåga att övervaka efterlevnad.

Hantering och rapportering av säkerhetsprinciper

Defender för molnet hjälper dig att förhindra, identifiera och reagera på hot och ger dig bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer, hjälper till att identifiera hot som annars skulle gå obemärkt förbi och fungerar med ett brett ekosystem av säkerhetslösningar.

Identitets- och åtkomsthantering

Skydd av system, program och data börjar med identitetsbaserade åtkomstkontroller. Funktionerna för identitets- och åtkomsthantering som är inbyggda i Microsofts företagsprodukter och -tjänster hjälper till att skydda din organisations och personliga information från obehörig åtkomst samtidigt som den görs tillgänglig för legitima användare när och var de än behöver den.

Säker identitet

Microsoft använder flera säkerhetsmetoder och tekniker i sina produkter och tjänster för att hantera identitet och åtkomst.

• Multi-Factor Authentication kräver att användarna använder flera metoder för åtkomst, lokalt och i molnet. Det ger stark autentisering med en rad enkla verifieringsalternativ, samtidigt som användarna får en enkel inloggningsprocess.

• Microsoft Authenticator tillhandahåller en användarvänlig Multi-Factor Authentication-upplevelse som fungerar med både Microsoft Entra-ID och Microsoft-konton och innehåller stöd för wearables och fingeravtrycksbaserade godkännanden.

• Tillämpning av lösenordsprinciper ökar säkerheten för traditionella lösenord genom att införa längd- och komplexitetskrav, tvingad regelbunden rotation och kontoutelåsning efter misslyckade autentiseringsförsök.

• Tokenbaserad autentisering möjliggör autentisering via Microsoft Entra-ID.

• Med rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du bevilja åtkomst baserat på användarens tilldelade roll, vilket gör det enkelt att bara ge användarna den åtkomst de behöver för att utföra sina arbetsuppgifter. Du kan anpassa Azure RBAC enligt organisationens affärsmodell och risktolerans.

• Med integrerad identitetshantering (hybrididentitet) kan du behålla kontrollen över användarnas åtkomst över interna datacenter och molnplattformar, vilket skapar en enskild användaridentitet för autentisering och auktorisering för alla resurser.

Skydda appar och data

Microsoft Entra ID, en omfattande molnlösning för identitets- och åtkomsthantering, hjälper till att skydda åtkomsten till data i program på plats och i molnet och förenklar hanteringen av användare och grupper. Den kombinerar kärnkatalogtjänster, avancerad identitetsstyrning, säkerhet och åtkomsthantering för program och gör det enkelt för utvecklare att skapa principbaserad identitetshantering i sina appar. För att förbättra ditt Microsoft Entra-ID kan du lägga till betalfunktioner med hjälp av versionerna Microsoft Entra Basic, Premium P1 och Premium P2.

Kostnadsfria/vanliga funktioner	Grundläggande funktioner	Premium P1-funktioner	Premium P2-funktioner	Microsoft Entra Join – Endast Windows 10-relaterade funktioner
Katalogobjekt, användar-/grupphantering (lägg till/uppdatera/ta bort)/ Användarbaserad etablering, Enhetsregistrering, enkel inloggning (SSO), Lösenordsändring via självbetjäning för molnanvändare, Anslut (Synkroniseringsmotor som utökar lokala kataloger till Microsoft Entra-ID), Säkerhets-/användningsrapporter	Gruppbaserad åtkomsthantering/etablering, självbetjäning av lösenordsåterställning för molnanvändare, företagsanpassning (inloggningssidor/Åtkomstpanelen anpassning), Programproxy, SLA 99,9 %	Självbetjäningsgrupp och apphantering/självbetjäningsprogramtillägg/dynamiska grupper, självbetjäning av lösenordsåterställning/ändring/upplåsning med lokal tillbakaskrivning, multifaktorautentisering (moln- och lokal (MFA-server))), MIM CAL + MIM Server, Cloud App Discovery, Anslut Health, automatisk lösenordsåterställning för gruppkonton	Identity Protection, Privileged Identity Management	Ansluta en enhet till Microsoft Entra ID, Desktop SSO, Microsoft Passport for Microsoft Entra ID, Administrator BitLocker Recovery, MDM auto-enrollment, Self-Service BitLocker recovery, Ytterligare lokala administratörer till Windows 10-enheter via Microsoft Entra-anslutning

• Cloud App Discovery är en premiumfunktion i Microsoft Entra-ID som gör att du kan identifiera molnprogram som används av de anställda i din organisation.

• Microsoft Entra ID Protection är en säkerhetstjänst som använder avvikelseidentifieringsfunktioner i Microsoft Entra för att ge en samlad vy över riskidentifieringar och potentiella sårbarheter som kan påverka organisationens identiteter.

• Med Microsoft Entra Domain Services kan du ansluta virtuella Azure-datorer till en domän utan att behöva distribuera domänkontrollanter. Användare loggar in på dessa virtuella datorer med sina företagsautentiseringsuppgifter för Active Directory och kan sömlöst komma åt resurser.

• Azure Active Directory B2C är en global identitetshanteringstjänst med hög tillgänglighet för konsumentinriktade appar som kan skalas till hundratals miljoner identiteter och integreras på mobila plattformar och webbplattformar. Dina kunder kan logga in på alla dina appar via anpassningsbara upplevelser som använder befintliga konton för sociala medier, eller så kan du skapa nya fristående autentiseringsuppgifter.

• Microsoft Entra B2B Collaboration är en säker partnerintegreringslösning som stöder dina relationer mellan företag genom att ge partner åtkomst till företagets program och data selektivt med hjälp av sina självhanterade identiteter.

• Med Microsoft Entra-ansluten kan du utöka molnfunktionerna till Windows 10-enheter för centraliserad hantering. Det gör det möjligt för användare att ansluta till företags- eller organisationsmolnet via Microsoft Entra-ID och förenklar åtkomsten till appar och resurser.

• Microsoft Entra-programproxy tillhandahåller enkel inloggning och säker fjärråtkomst för webbprogram som finns lokalt.

Nästa steg

• Förstå ditt delade ansvar i molnet.

• Lär dig hur Microsoft Defender för molnet kan hjälpa dig att förhindra, identifiera och svara på hot med ökad synlighet och kontroll över säkerheten för dina Azure-resurser.