Azure 中的端對端安全性
將 Azure 用於應用程式和服務的最佳原因之一,就是利用其廣泛的安全性工具和功能。 這些工具和功能有助於在安全的 Azure 平臺上建立安全的解決方案。 Microsoft Azure 提供客戶數據的機密性、完整性和可用性,同時啟用透明責任。
下圖和檔將為您介紹 Azure 中的安全性服務。 這些安全性服務可協助您符合企業的安全性需求,並保護雲端中的使用者、裝置、資源、數據和應用程式。
Microsoft 安全性服務對應
安全性服務對應會依其保護的資源來組織服務(數據行)。 此圖表也會將服務分組為下列類別(資料列):
- 保護和保護 - 可讓您跨身分識別、主機、網路和數據實作多層式防禦深度策略的服務。 此安全性服務和功能集合提供一種方式,讓您瞭解及改善整個 Azure 環境的安全性狀態。
- 偵測威脅 – 識別可疑活動並協助降低威脅的服務。
- 調查和回應 – 提取記錄數據的服務,讓您可以評估可疑的活動並回應。
安全性控件和基準
Microsoft 雲端安全性效能評定包含一組高影響的安全性建議,可用來協助保護您在 Azure 中使用的服務:
- 安全性控制 - 這些建議通常適用於您的 Azure 租使用者和 Azure 服務。 每項建議都會找出一組清單,列出通常與規劃、核准或基準實作相關的利害關係人。
- 服務基準 - 這些會將控件套用至個別的 Azure 服務,以提供該服務安全性設定的建議。
保護和保護
| 服務 | 描述 |
|---|---|
| 適用於雲端的 Microsoft Defender | 統一的基礎結構安全性管理系統,可強化數據中心的安全性狀態,並在雲端的混合式工作負載之間提供進階威脅防護,無論它們是否在 Azure 中,以及內部部署。 |
| 身分識別與存取管理 | |
| Microsoft Entra ID | Microsoft 的雲端式身分識別和存取管理服務。 |
| 條件式存取 是 Microsoft Entra ID 用來將身分識別訊號結合在一起、做出決策並強制執行組織原則的工具。 | |
| Domain Services 是 Microsoft Entra ID 用來提供受控網域服務的工具,例如加入網域、組策略、輕量型目錄存取通訊協定(LDAP)和 Kerberos/NTLM 驗證。 | |
| Privileged Identity Management (PIM) 是 Microsoft Entra 標識符中的服務,可讓您管理、控制及監視組織中重要資源的存取權。 | |
| Multi-Factor Authentication 是 Microsoft Entra ID 用來協助保護數據與應用程式存取的工具,方法是要求第二種形式的驗證。 | |
| Microsoft Entra ID Protection | 一種工具,可讓組織將身分識別風險的偵測和補救自動化、使用入口網站中的數據調查風險,以及將風險偵測數據匯出至第三方公用程式以進行進一步分析。 |
| 基礎結構和網路 | |
| VPN 閘道 | 虛擬網路閘道,用來透過公用因特網在 Azure 虛擬網路與內部部署位置之間傳送加密流量,以及透過 Microsoft 網路在 Azure 虛擬網路之間傳送加密流量。 |
| Azure DDoS 保護 | 提供增強的 DDoS 風險降低功能,以抵禦 DDoS 攻擊。 其會自動調整,以保護您在虛擬網路中特定的 Azure 資源。 |
| Azure Front Door | 全域、可調整的進入點,使用 Microsoft 全球邊緣網路來建立快速、安全且可廣泛擴充的 Web 應用程式。 |
| Azure 防火牆 | 雲端原生和智慧型手機網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 Azure 防火牆 提供三個 SKU: 標準、進階版和基本。 |
| Azure Key Vault | 令牌、密碼、憑證、API 金鑰和其他秘密的安全秘密存放區。 金鑰保存庫 也可以用來建立及控制用來加密數據的加密金鑰。 |
| 金鑰保存庫 受控 HSM | 完全受控、高可用性、符合標準標準的雲端服務,可讓您使用 FIPS 140-2 層級 3 驗證的 HSM 來保護雲端應用程式的密碼編譯密鑰。 |
| Azure Private Link | 可讓您透過虛擬網路中的私人端點存取 Azure PaaS 服務(例如,Azure 儲存體 和 SQL 資料庫)和 Azure 託管的客戶擁有/合作夥伴服務。 |
| Azure 應用程式閘道 | 進階 Web 流量負載平衡器,可讓您管理 Web 應用程式的流量。 應用程式閘道可讓您根據 HTTP 要求的其他屬性 (例如 URI 路徑或主機標頭) 進行路由決策。 |
| Azure 服務匯流排 | 具有消息佇列和發佈-訂閱主題的完全受控企業訊息代理程式。 服務匯流排可用來將應用程式和服務彼此分離。 |
| Web 應用程式防火牆 | 提供 Web 應用程式的集中式保護,免於常見的惡意探索和弱點。 WAF 可以使用 Azure 應用程式閘道 和 Azure Front Door 進行部署。 |
| Azure 原則 | 協助強制執行組織標準,並大規模評估合規性。 其合規性儀表板會提供彙總檢視,以評估環境的整體狀態,並能夠向下切入至每個資源和每個原則的細微性。 也可透過對現有資源進行大規模補救,以及自動對新資源進行補救來協助您的資源達到合規性。 |
| 數據與應用程式 | |
| Azure 備份 | 提供簡單、安全且符合成本效益的解決方案,以備份您的數據,並從 Microsoft Azure 雲端復原。 |
| Azure 儲存體 服務加密 | 在儲存數據之前自動加密數據,並在擷取數據時自動解密數據。 |
| Azure 資訊保護 | 雲端式解決方案,可讓組織藉由將標籤套用至內容來探索、分類和保護檔和電子郵件。 |
| API 管理 | 為現有後端服務建立一致且新式 API 閘道的方法。 |
| Azure 機密運算 \(英文\) | 可讓您在雲端中處理敏感數據時隔離敏感數據。 |
| Azure DevOps | 在 Azure DevOps 中儲存時,您的開發專案受益於多層安全性和治理技術、作業作法和合規性政策。 |
| 客戶存取 | |
| Microsoft Entra 外部 ID | 透過 Microsoft Entra ID 中的外部身分識別,您可允許組織外部的人員存取您的應用程式和資源,同時讓他們使用自己偏好的任何身分識別進行登入。 |
| 您可以透過 Microsoft Entra B2B 共同作業,與外部使用者共用您的應用程式和資源。 | |
| Azure AD B2C 可讓您每天支援數百萬個使用者和數十億個驗證、監視和自動處理威脅,例如阻斷服務、密碼噴灑或暴力密碼破解攻擊。 |
偵測威脅
| 服務 | 描述 |
|---|---|
| 適用於雲端的 Microsoft Defender | 為您的 Azure 和混合式資源和工作負載帶來進階、智慧型、保護。 適用於雲端的 Defender 中的工作負載保護儀錶板可提供您環境的雲端工作負載保護功能的可見度和控制。 |
| Microsoft Sentinel | 可調整、雲端原生、安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。 Sentinel 在整個企業中提供智慧型手機安全性分析和威脅情報,提供警示偵測、威脅可見度、主動式搜捕和威脅回應的單一解決方案。 |
| 身分識別與存取管理 | |
| Microsoft Defender 全面偵測回應 | 統一的入侵前和入侵後企業防禦套件,原生協調端點、身分識別、電子郵件和應用程式的偵測、預防、調查和回應,以提供針對複雜攻擊的整合式保護。 |
| 適用於端點的 Microsoft Defender 是企業端點安全性平臺,其設計目的是協助企業網路防止、偵測、調查及回應進階威脅。 | |
| 適用於身分識別的 Microsoft Defender 是雲端式安全性解決方案,利用您的 內部部署的 Active Directory 訊號來識別、偵測及調查進階威脅、遭入侵的身分識別,以及針對貴組織的惡意測試人員動作。 | |
| Microsoft Entra ID Protection | 傳送兩種類型的自動化通知電子郵件,以協助您管理用戶風險和風險偵測:有風險的使用者偵測到電子郵件和每周摘要電子郵件。 |
| 基礎結構和網路 | |
| Azure 防火牆 | Azure 防火牆 進階版 提供以簽章為基礎的入侵檢測和預防系統(IDPS),藉由尋找特定模式來快速偵測攻擊,例如網路流量中的位元組序列,或惡意代碼所使用的已知惡意指令序列。 |
| 適用於 IoT 的 Microsoft Defender | 識別IoT/OT裝置、弱點和威脅的統一安全性解決方案。 無論您需要保護現有的IoT/OT裝置,還是將安全性建置到新的IoT創新中,它都可讓您保護整個IoT/OT環境。 |
| Azure 網路監看員 | 提供工具來監視、診斷、檢視計量,以及啟用或停用 Azure 虛擬網路中資源的記錄。 網路監看員的設計目的是監視和修復 IaaS 產品的網路健康情況,其中包括虛擬機器、虛擬網路、應用程式網關和負載平衡器。 |
| Azure 原則 | 協助強制執行組織標準,並大規模評估合規性。 Azure 原則 會使用活動記錄,這些記錄會自動啟用以包含事件來源、日期、使用者、時間戳、來源位址、目的地位址和其他實用元素。 |
| 數據與應用程式 | |
| 適用於容器的 Microsoft Defender | 用來保護您的容器的雲端原生解決方案,可讓您改善、監視和維護叢集、容器及其應用程式的安全性。 |
| 適用於雲端應用程式的 Microsoft Defender | 在多個雲端上運作的雲端存取安全性代理程式 (CASB) 。 其提供豐富的可見度、控制資料流向,以及進行精確的分析,藉此識別並對抗您所有雲端服務的網路威脅。 |
調查及回應
| 服務 | 描述 |
|---|---|
| Microsoft Sentinel | 功能強大的搜尋和查詢工具,可搜尋整個組織數據源的安全性威脅。 |
| Azure 監視器記錄和計量 | 提供完整的解決方案,從雲端和內部部署環境收集、分析及處理遙測。 Azure 監視器 會將各種來源的數據 收集並匯總到通用數據平臺,以便用於分析、視覺效果和警示。 |
| 身分識別與存取管理 | |
| Azure AD 報告和監視 | Microsoft Entra 報告 提供環境中活動的完整檢視。 |
| Microsoft Entra 監視 可讓您將 Microsoft Entra 活動記錄路由傳送至不同的端點。 | |
| Microsoft Entra PIM 稽核記錄 | 顯示所有特殊許可權角色在過去 30 天內的所有角色指派和啟用。 |
| 數據與應用程式 | |
| 適用於雲端應用程式的 Microsoft Defender | 提供工具,讓您更深入瞭解雲端環境中發生的情況。 |
下一步
瞭解您在 雲端中的共同責任。
瞭解 Azure 雲端中針對惡意和非惡意用戶的隔離選擇。