你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 的端到端安全服务
将 Azure 用于应用程序和服务的最合理原因之一是可以利用其各种安全工具和功能。 这些工具和功能可帮助在安全的 Azure 平台上创建安全的解决方案。 Microsoft Azure 提供具备保密性、完整性和可用性的客户数据,同时还能实现透明的问责制。
下面的图表和文档介绍了 Azure 中的安全服务。 这些安全服务有助于你满足业务的安全需求,并在云中保护用户、设备、资源、数据和应用程序。
Microsoft 安全服务图
此安全服务图按服务所保护的资源(列)组织服务。 此图表还将服务分为以下类别(行):
- 保护 - 支持在标识、主机、网络和数据层面实现分层深度防护策略的服务。 此安全服务和功能集合提供了一种了解和改善整个 Azure 环境安全状况的方法。
- 检测威胁 - 用于识别可疑活动并帮助缓解威胁的服务。
- 调查和响应 - 用于拉取日志记录数据,以便你评估可疑活动并做出响应的服务。
安全控制和基线
Microsoft 云安全基准包括一系列具有重要影响的安全建议,你可以使用这些建议来帮助保护在 Azure 中使用的服务:
- 安全控制 - 一般而言,在你的 Azure 租户和 Azure 服务中,这些建议都是适用的。 每个建议都会标识出利益干系人的列表,这些利益干系人通常会涉及到基准的规划、审批或实现。
- 服务基线 - 这些基线将控制应用于单个 Azure 服务,以提供有关该服务的安全配置的建议。
保护
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 一个统一的基础结构安全管理系统,可以增强数据中心的安全状况,以及为云中(无论是否在 Azure 中)和本地的混合工作负荷提供高级威胁防护。 |
| 标识和访问管理 | |
| Microsoft Entra ID | Microsoft 基于云的标识和访问管理服务。 |
| 条件访问是 Microsoft Entra ID 用来统合标识信号、做出决策以及强制执行组织策略的工具。 | |
| 域服务是 Microsoft Entra ID 用来提供托管域服务(例如域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证)的工具。 | |
| Privileged Identity Management 是 Microsoft Entra ID 中的一项服务,可以通过该服务管理、控制和监视对组织中重要资源的访问。 | |
| 多重身份验证是 Microsoft Entra ID 用来帮助保护对数据和应用程序的访问(通过要求完成第二种身份验证方法)的工具。 | |
| Microsoft Entra ID 保护 | 借助该工具,组织可以自动检测和修复基于标识的风险,使用门户中的数据调查风险,以及将风险检测数据导出到第三方实用工具来进行进一步分析。 |
| 基础结构和网络 | |
| VPN 网关 | 这是一种虚拟网络网关,用于通过公共 Internet 发送 Azure 虚拟网络和本地位置之间的加密流量,以及通过 Microsoft 网络发送 Azure 虚拟网络之间的加密流量。 |
| Azure DDoS 防护 | 提供增强的 DDoS 缓解功能来抵御 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。 |
| Azure Front Door | 可缩放的全局入口点,它使用 Microsoft 全球边缘网络来创建快速、安全且可大规模缩放的 Web 应用程序。 |
| Azure 防火墙 | 一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。 Azure 防火墙提供三种 SKU:标准版、高级版和基本版。 |
| Azure Key Vault | 一种安全的机密存储,适用于令牌、密码、证书、API 密钥以及其他机密。 通过 Key Vault,还可以创建和控制用于加密数据的加密密钥。 |
| Key Vault 托管 HSM | 一项完全托管、高度可用、单租户、符合标准的云服务,通过该服务,你可以使用 FIPS 140-2 级别 3 验证的 HSM 保护云应用程序的加密密钥。 |
| Azure 专用链接 | 借助该服务,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的客户拥有的服务/合作伙伴服务。 |
| Azure 应用程序网关 | 一种高级 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。 应用程序网关可以根据 HTTP 请求的其他属性(例如 URI 路径或主机头)进行路由决策。 |
| Azure 服务总线 | 一个完全托管的企业消息中转站,其中包含消息队列和发布订阅主题。 可使用服务总线将应用程序和服务相互分离。 |
| Web 应用程序防火墙 | 可在出现常见攻击和漏洞时为 Web 应用程序提供集中保护。 WAF 可以通过 Azure 应用程序网关和 Azure Front Door 部署。 |
| Azure Policy | 可帮助强制执行组织标准并大规模评估合规性。 Azure Policy 通过其合规性仪表板提供一个聚合视图来评估环境的整体状态,并允许用户按资源、按策略粒度向下钻取。 它还通过对现有资源的批量修正以及对新资源的自动修正,帮助资源符合规范。 |
| 数据和应用程序 | |
| Azure 备份 | 提供简单、安全且经济高效的解决方案来备份数据,并从 Microsoft Azure 云恢复数据。 |
| Azure 存储服务加密 | 在存储数据前自动加密数据,并在你检索数据时自动解密数据。 |
| Azure 信息保护 | 一种基于云的解决方案,使组织能够通过将标签应用于内容来发现文档及电子邮件并进行分类和保护。 |
| API 管理 | 一种为现有后端服务创建一致且现代化的 API 网关的方法。 |
| Azure 机密计算 | 通过该服务,可在云中处理敏感数据时将这些数据隔离。 |
| Azure DevOps | 当开发项目存储在 Azure DevOps 中时,它们会从多个层面的安全和管理技术、操作做法和合规策略中受益。 |
| 客户访问 | |
| Microsoft Entra 外部 ID | 借助 Microsoft Entra ID 中的外部标识,你可以允许组织外部人员访问应用和资源,同时允许他们使用自己喜欢的任何标识进行登录。 |
| 可以通过 Microsoft Entra B2B 协作与外部用户共享应用和资源。 | |
| 使用 Azure AD B2C 时,每天能够支持数百万个用户以及几十亿次身份验证,并监视和自动处理拒绝服务、密码喷射或暴力攻击之类的威胁。 |
检测威胁
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 为 Azure 和混合资源及工作负载提供高级智能保护。 通过 Defender for Cloud 中的工作负载保护仪表板可显示和控制环境的云工作负载保护功能。 |
| Microsoft Sentinel | 可缩放的云原生安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。 Sentinel 在整个企业范围内提供智能安全分析和威胁智能,为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。 |
| 标识和访问管理 | |
| Microsoft Defender XDR | 一款统一的破坏前/后企业防御套件,它以本机方式协调各终结点、标识、电子邮件和应用程序中的威胁检测、阻止、调查和响应,以提供针对复杂攻击的综合保护。 |
| Microsoft Defender for Endpoint 是一个企业终结点安全平台,专门用于帮助企业网络防御、检测、调查和响应高级威胁。 | |
| Microsoft Defender for Identity 是一个基于云的安全解决方案,可利用本地 Active Directory 信号识别、检测并调查针对组织的高级威胁、身份盗用和恶意内部操作。 | |
| Microsoft Entra ID 保护 | 可发送两种类型的自动通知电子邮件,来帮助你管理用户风险和风险检测:“检测到有风险的用户”电子邮件以及“每周摘要”电子邮件。 |
| 基础结构和网络 | |
| Azure 防火墙 | Azure 防火墙高级版提供基于签名的入侵检测和防护系统 (IDPS),允许通过查找特定模式(例如网络流量中的字节序列或恶意软件使用的已知恶意指令序列)来快速检测攻击。 |
| Microsoft Defender for IoT | 一种统一的安全解决方案,用于识别 IoT/OT 设备、漏洞和威胁。 无论你是需要保护现有的 IoT/OT 设备还是为新的 IoT 创新构建安全性,它都使你能够保护整个 IoT/OT 环境。 |
| Azure 网络观察程序 | 提供所需的工具用于监视、诊断 Azure 虚拟网络中的资源并查看其指标,以及为其启用或禁用日志。 网络观察程序用于监视和修复 IaaS 产品的网络运行状况,其中包括虚拟机、虚拟网络、应用程序网关和负载均衡器。 |
| Azure Policy | 可帮助强制执行组织标准并大规模评估合规性。 Azure Policy 使用自动启用的活动日志来包括事件源、日期、用户、时间戳、源地址、目标地址和其他有用的元素。 |
| 数据和应用程序 | |
| 适用于容器的 Microsoft Defender | 用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。 |
| Microsoft Defender for Cloud Apps | 可在多个云中运行的云访问安全代理 (CASB)。 它提供了丰富的显示效果、数据旅程控制和成熟分析服务,用于跨所有云服务发现和防范网络威胁。 |
调查和响应
| 服务 | 说明 |
|---|---|
| Microsoft Sentinel | 强大的搜索和查询工具,可用于在整个组织的数据源中搜寻安全威胁。 |
| Azure Monitor 日志和指标 | 提供了一个全面的解决方案,用于从云和本地环境收集、分析和处理遥测数据。 Azure Monitor 会将各种源中的数据收集并聚合到一个通用数据平台,在该平台中,可以使用这些数据进行分析、实现可视化和发出警报。 |
| 标识和访问管理 | |
| Azure AD 报表和监视 | 可以通过 Microsoft Entra 报表全面了解环境中的活动。 |
| 可以通过 Microsoft Entra 监视将 Microsoft Entra 活动日志路由到其他终结点。 | |
| Microsoft Entra PIM 审核历史记录 | 显示过去 30 天内对所有特权角色的所有角色分配和激活情况。 |
| 数据和应用程序 | |
| Microsoft Defender for Cloud Apps | 提供可让你深入了解云环境中活动的工具。 |
后续步骤
了解云中责任分担。
了解针对恶意用户和非恶意用户的 Azure 云隔离选项。