你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 操作安全性概述

Azure 操作安全性是指用户可用于在 Microsoft Azure 中保护其数据、应用程序和其他资产的服务、控件和功能。 它是一个结合了从各种 Microsoft 独有功能获取的知识的框架。 这些功能包括 Microsoft 安全开发生命周期 (SDL)、Microsoft 安全响应中心计划以及对网络安全威胁态势的深入感知。

Azure 管理服务

IT 运营团队负责管理数据中心基础结构、应用程序和数据,包括这些系统的稳定性和安全性。 但是,若要获得日益增多的复杂 IT 环境的安全洞察信息,通常需要组织从多个安全性和管理系统收集数据。

Microsoft Azure Monitor 日志是基于云的 IT 管理解决方案,可帮助你管理和保护本地和云基础结构。 其核心功能由在 Azure 中运行的以下服务提供。 Azure 包含多个服务,这些服务可帮助你管理和保护本地和云基础结构。 每项服务都提供特定的管理功能。 可合并服务,实现不同的管理方案。

Azure Monitor

Azure Monitor 可将来自托管源的数据收集到中央数据存储中。 这些数据可能包括事件、性能数据或通过 API 提供的自定义数据。 收集数据后,可分析、导出数据或发出警报。

可整合来自各种源的数据,并将 Azure 服务中的数据合并到现有的本地环境。 此外,Azure Monitor 日志还能将数据收集与针对该数据执行的操作明确区分开来,以便能够针对所有类型的数据执行所有操作。

自动化

借助 Azure 自动化,可自动完成通常要在云环境和企业环境中执行的手动、长时间进行、易出错且重复性高的任务。 不仅节省了时间,还提高了管理任务的可靠性。 甚至还可以计划定期自动执行这些任务。 可使用 Runbook 实现这些过程的自动化,或者使用 Desired State Configuration 实现配置管理的自动化。

备份

Azure 备份是基于 Azure 的服务,可用于备份(或保护)和还原 Microsoft 云中的数据。 Azure 备份将现有的本地或异地备份解决方案替换为安全可靠、性价比高的云端解决方案。

Azure 备份提供多个组件,可将其下载并部署到适当计算机、服务器或云端。 依据要保护的内容选择部署的组件或代理。 无论是保护本地数据还是云端数据,所有 Azure 备份组件均可用于将数据备份到 Azure 中的 Azure 恢复服务保管库中。

有关详细信息,请参阅 Azure 备份组件表

Site Recovery

Azure Site Recovery 通过协调本地虚拟机和物理机到 Azure 或辅助站点的复制来提供业务连续性。 如果主站点不可用,可故障转移到辅助位置,使用户能够继续工作。 系统恢复正常后可故障回复。 使用 Microsoft Defender for Cloud 来执行更智能和更有效的威胁检测。

Azure Active Directory

Azure Active Directory (Azure AD) 是一种综合性的标识服务,该服务可:

  • 启用标识和访问管理 (IAM) 作为云服务。
  • 提供中心访问管理、单一登录 (SSO) 及报告功能。
  • 支持 Azure 市场中数千款应用程序(包括 Salesforce、Google Apps、Box 和 Concur)的集成访问管理。

Azure AD 中还包括了整套标识管理功能,其中包括:

借助 Azure Active Directory,可使为合作伙伴与客户(企业或消费者)发布的所有应用程序都具有相同标识和访问管理功能。 这可让你大幅降低运营成本。

Microsoft Defender for Cloud

Microsoft Defender for Cloud 可帮助预防、检测和响应威胁,同时增强 Azure 资源的可见性和安全可控性。 它为订阅提供集成的安全监控和策略管理。 它有助于检测可能会被忽视的威胁,适用于各种安全解决方案生态系统。

通过 Azure 安全中心可查看虚拟机的安全设置和监视威胁,保护 Azure 中的虚拟机 (VM) 数据。 Defender for Cloud 可监视虚拟机的以下方面:

  • 包含建议配置规则的操作系统安全设置。
  • 缺少的系统安全更新和关键更新。
  • 终结点保护建议。
  • 磁盘加密验证。
  • 基于网络的攻击。

Defender for Cloud 使用 Azure 基于角色的访问控制 (Azure RBAC)。 Azure RBAC 提供的内置角色可分配给 Azure 中的用户、组和服务。

Defender for Cloud 会评估资源的配置以识别安全问题和漏洞。 在 Defender for Cloud 中,仅当分配有资源所属的订阅或资源组的“所有者”、“参与者”或“读取者”角色,才能看到与该资源相关的信息。

注意

若要详细了解 Defender for Cloud 中的角色和允许的操作,请参阅 Microsoft Defender for Cloud 中的权限

Defender for Cloud 使用 Microsoft Monitoring Agent。 此代理与 Azure Monitor 服务使用的代理相同。 通过此代理收集的数据存储在与 Azure 订阅关联的现有 Log Analytics 工作区或新工作区中,具体取决于 VM 的地理位置。

Azure Monitor

云应用中的性能问题可能会影响业务。 使用多个互连的组件和频繁发布版本时,性能随时可能会下降。 开发一款应用后,用户通常会发现其中的问题,而你在测试时却找不到这样的问题。 应该立即发现这些问题,并使用工具来诊断和解决问题。

Azure Monitor 是用于监视 Azure 中运行的服务的基本工具。 它可以提供有关服务吞吐量和周边环境的基础结构级数据。 如果在 Azure 中管理所有应用,并想要确定是否需要增加或减少资源,则可使用 Azure Monitor。

还可以利用监视数据深入了解应用程序的情况。 了解这些情况有助于改进应用程序的性能或可维护性,或者实现本来需要手动干预的操作的自动化。

Azure Monitor 包括以下组件。

Azure 活动日志

Azure 活动日志提供相关信息,方便用户了解对订阅中的资源执行的操作。 Azure 活动日志此前称为“审核日志”或“操作日志”,因为它报告订阅的控制平面事件。

Azure 诊断日志

Azure 诊断日志由资源发出,提供与该资源的操作相关的各种频繁生成的数据。 这些日志的内容因资源类型而异。

Windows 事件系统日志是一种 VM 诊断日志类别。 Blob、表和队列日志是存储帐户的诊断日志类别。

诊断日志与活动日志不同。 活动日志提供针对订阅中的资源执行的操作的深入信息。 诊断日志提供资源本身执行的操作的深入信息。

指标

Azure Monitor 可提供遥测数据,以便用户了解 Azure 上工作负荷的性能与运行状况。 最重要的 Azure 遥测数据类型是大多数 Azure 资源发出的指标(也称为性能计数器)。 Azure 监视器提供多种方式来配置和使用这些指标,以便进行监视与故障排除。

Azure 诊断

Azure 诊断可在部署的应用程序上启用诊断数据收集功能。 可使用各种源的诊断扩展。 目前支持的有 Azure 云服务角色、运行 Microsoft Windows 的 Azure 虚拟机,以及 Azure Service Fabric

Azure 网络观察程序

客户在 Azure 中通过协调与组建虚拟网络、Azure ExpressRoute、Azure 应用程序网关和负载均衡器等网络资源来构建端到端网络。 监视适用于每个网络资源。

端到端网络可能具有复杂的配置以及资源间的交互。 这会导致复杂方案需通过 Azure 网络观察程序进行基于方案的监视。

网络观察程序会简化 Azure 网络的监视和诊断。 可使用网络观察程序中的诊断和可视化工具来:

  • 在 Azure 虚拟机上远程捕获数据包。
  • 使用流日志深入了解网络流量。
  • 诊断 Azure VPN 网关和连接。

网络观察程序目前提供以下功能:

  • 拓扑:提供资源组中网络资源间的各种互连和关联的视图。
  • 可变数据包捕获:捕获传入和传出虚拟机的数据包数据。 高级筛选选项和精细控制(例如设置时间与大小限制的功能)提供了多样性。 数据包数据可以存储在 Blob 存储中,或者以 .cap 格式存储在本地磁盘上。
  • IP 流验证:根据流信息的 5 元组数据包参数(目标 IP、源 IP、目标端口、源端口和协议)检查数据包是被允许还是被拒绝。 如果安全组拒绝数据包,则返回拒绝数据包的规则和组。
  • 下一跃点:确定 Azure 网络结构中路由的数据包的下一跃点,以便诊断任何配置不正确的用户定义的路由。
  • 安全组视图:获取在 VM 上应用的有效安全规则。
  • 网络安全组的 NSG 流日志:用于捕获被组中的安全规则允许或拒绝的流量的相关日志。 流由 5 元组信息(源 IP、目标 IP、源端口、目标端口和协议)定义。
  • 虚拟网络网关和连接故障排除:提供对虚拟网关和连接进行故障排除的功能。
  • 网络订阅限制:用于查看网络资源用量与限制。
  • 诊断日志:提供单个窗格来为资源组中的网络资源启用或禁用诊断日志。

有关详细信息,请参阅配置网络观察程序

云服务提供程序访问透明度

Microsoft Azure 客户密码箱是集成到 Azure 门户中的一项服务,它允许你在 Microsoft 支持工程师需要访问你的数据来解决问题时进行显式控制,这种情况极少出现。 在极少数情况下,例如调试远程访问问题时,Microsoft 支持工程师需要提升的权限来解决此问题。 在这种情况下,Microsoft 工程师使用恰时访问服务,该服务提供有限的限定了时间范围的授权,且仅限访问相关服务。
虽然 Microsoft 在进行访问时始终征求客户同意,但客户密码箱使你能够从 Azure 门户查看并批准或拒绝这样的请求。 在你批准请求前,不会向 Microsoft 支持工程师授予访问权限。

标准且合规的部署

通过 Azure 蓝图,云架构师和中心信息技术组同样可以定义一组可重复的 Azure 资源,这些资源实现并遵守组织的标准、模式和要求。
这使得 DevOps 团队可以快速构建并启动新环境,并有信心使用满足组织合规性的基础设施构建它们。 蓝图提供了一种声明性方法,用于协调各个资源模板和其他项目的部署,例如:

  • 角色分配
  • 策略分配
  • Azure 资源管理器模板
  • 资源组

DevOps

在采用 Developer Operations (DevOps) 应用程序开发前,团队需要负责收集软件程序的业务要求和编写代码。 然后由一个单独的 QA 团队在独立的开发环境中测试该程序。 如果满足要求,则 QA 团队发布要部署的操作代码。 部署团队进一步划分为小组,例如网络小组和数据库小组。 每次将软件程序投放到独立的团队时,就会增加一些瓶颈。

DevOps 可让团队更快、更经济地交付更安全、更优质的解决方案。 使用软件和服务时,客户期望可以获得动态可靠的体验。 团队必须快速迭代软件更新并衡量更新的影响。 他们必须快速响应新的开发迭代,以解决问题或提供更多价值。

Microsoft Azure 等云平台消除了传统的瓶颈,帮助将基础结构商品化。 由于关键的优势以及在营收中的份量,软件在每家企业中都占据主导地位。 没有任何组织、开发人员或者 IT 工作人员可以或者应该避免 DevOps 的活动。

成熟的 DevOps 从业者会采用以下多种做法。 这些做法涉及到基于业务方案构建策略的人员。 工具可以帮助自动完成各种做法。

  • 敏捷的规划和项目管理技巧用于规划工作并将其划分到小组、管理团队效能,以及帮助团队快速适应不断变化的业务需求。
  • 版本控制(通常使用 Git 实现)可让世界各地的团队共享资源,以及集成用于自动化发行管道的软件开发工具。
  • 持续集成能够推动代码的持续合并与测试,帮助提前发现缺陷。 其他优势包括减少应对合并问题所浪费的时间,以及快速获得开发团队的反馈。
  • 向开发和测试环境持续交付软件解决方案可帮助组织快速修复 bug,应对不断变化的业务要求。
  • 运行中应用程序的监视(包括生产环境中应用程序的运行状况)以及客户使用情况信息可帮助组织建立假设,并快速验证或推翻策略。 以各种日志格式捕获和存储丰富的数据。
  • 基础结构即代码 (IaC) 实务可以自动化并验证网络和虚拟机的创建与解除流程,帮助交付安全、稳定的应用程序托管平台。
  • 利用微服务体系结构将业务用例隔离到小型可重用的服务。 此体系结构提高了可伸缩性和效率。

后续步骤

若要了解有关安全和审核解决方案的信息,请参阅以下文章: