Azure Operational Security best practices
توفر هذه المقالة مجموعة من أفضل الممارسات التشغيلية لحماية البيانات والتطبيقات والأصول الأخرى في Azure.
تستند أفضل الممارسات إلى إجماع الآراء، وهي تعمل مع إمكانات النظام الأساسي الحالي ل Azure ومجموعات الميزات. تتغير الآراء والتقنيات بمرور الوقت ويتم تحديث هذه المقالة بشكل منتظم لتعكس هذه التغييرات.
تحديد ونشر ممارسات أمنية تشغيلية قوية
يشير الأمان التشغيلي ل Azure إلى الخدمات وعناصر التحكم والميزات المتاحة للمستخدمين لحماية بياناتهم وتطبيقاتهم وأصولهم الأخرى في Azure. تم بناء الأمان التشغيلي ل Azure على إطار عمل يتضمن المعرفة المكتسبة من خلال القدرات الفريدة لشركة Microsoft، بما في ذلك دورة حياة تطوير الأمان (SDL)، وبرنامج مركز الاستجابة الأمنية من Microsoft ، والوعي العميق بمشهد تهديدات الأمن السيبراني.
إدارة كلمات مرور المستخدمين ومراقبتها
يسرد الجدول التالي بعض أفضل الممارسات المتعلقة بإدارة كلمات مرور المستخدمين:
أفضل الممارسات: تأكد من حصولك على المستوى المناسب من الحماية بكلمة مرور في السحابة.
التفاصيل: اتبع الإرشادات الواردة في دليل كلمة مرور Microsoft، والذي يتم تحديد نطاقه لمستخدمي الأنظمة الأساسية لهوية Microsoft (Azure Active Directory وActive Directory وحساب Microsoft).
أفضل الممارسات: راقب الإجراءات المشبوهة المتعلقة بحسابات المستخدمين الخاصة بك.
التفاصيل: راقب المستخدمين المعرضين للخطروعمليات تسجيل الدخول المحفوفة بالمخاطر باستخدام تقارير أمان Azure AD.
أفضل الممارسات: اكتشاف كلمات المرور عالية الخطورة ومعالجتها تلقائيا.
التفاصيل: تعد حماية هوية Azure AD ميزة من ميزات إصدار Azure AD Premium P2 الذي يمكنك من:
- اكتشاف الثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك
- تكوين الاستجابات التلقائية للإجراءات المشبوهة المكتشفة المرتبطة بهويات مؤسستك
- التحقيق في الحوادث المشبوهة واتخاذ الإجراءات المناسبة لحلها
تلقي إعلامات الحوادث من Microsoft
تأكد من أن فريق عمليات الأمان يتلقى إعلامات حوادث Azure من Microsoft. يتيح إعلام الحادث لفريق الأمان الخاص بك معرفة أنك قمت باختراق موارد Azure حتى يتمكنوا من الاستجابة بسرعة للمخاطر الأمنية المحتملة ومعالجتها.
في مدخل تسجيل Azure، يمكنك التأكد من أن معلومات الاتصال بالمسؤول تتضمن تفاصيل تقوم بإعلام عمليات الأمان. معلومات الاتصال هي عنوان بريد إلكتروني ورقم هاتف.
تنظيم اشتراكات Azure في مجموعات الإدارة
إذا كان لدى مؤسستك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والسياسات والامتثال لهذه الاشتراكات بكفاءة. توفر مجموعات إدارة Azure مستوى نطاق أعلى من الاشتراكات. تنظم الاشتراكات في حاويات تسمى مجموعات الإدارة وتطبق شروط التحكم الخاصة بك على مجموعات الإدارة. ترث جميع الاشتراكات داخل مجموعة الإدارة الشروط المطبقة على مجموعة الإدارة تلقائياً.
يمكنك إنشاء بنية مرنة لمجموعات الإدارة والاشتراكات في دليل. يتم إعطاء كل دليل مجموعة إدارة واحدة من المستوى الأعلى تسمى مجموعة إدارة الجذر. تُدرج مجموعة إدارة الجذر هذه في التسلسل الهرمي لاستيعاب كافة مجموعات الإدارة والاشتراكات تسمح مجموعة إدارة الجذر بتطبيق النهج العمومية وتعيينات دور Azure على مستوى الدليل.
فيما يلي بعض أفضل الممارسات لاستخدام مجموعات الإدارة:
أفضل الممارسات: تأكد من أن الاشتراكات الجديدة تطبق عناصر الحوكمة مثل السياسات والأذونات عند إضافتها.
التفاصيل: استخدم مجموعة إدارة الجذر لتعيين عناصر أمان على مستوى المؤسسة تنطبق على جميع أصول Azure. النهج والأذونات هي أمثلة على العناصر.
أفضل الممارسات: مواءمة المستويات العليا لمجموعات الإدارة مع استراتيجية التقسيم لتوفير نقطة للتحكم واتساق السياسة داخل كل قطاع.
التفاصيل: إنشاء مجموعة إدارة واحدة لكل شريحة ضمن مجموعة إدارة الجذر. لا تنشئ أي مجموعات إدارة أخرى تحت الجذر.
أفضل الممارسات: الحد من عمق مجموعة الإدارة لتجنب الارتباك الذي يعيق كل من العمليات والأمن.
التفاصيل: حدد التسلسل الهرمي إلى ثلاثة مستويات، بما في ذلك الجذر.
أفضل الممارسات: حدد بعناية العناصر التي سيتم تطبيقها على المؤسسة بأكملها باستخدام مجموعة إدارة الجذر.
التفاصيل: تأكد من أن عناصر مجموعة إدارة الجذر لديها حاجة واضحة لتطبيقها عبر كل مورد وأنها منخفضة التأثير.
تتضمن الترشيحات الجيدة:
- المتطلبات التنظيمية التي لها تأثير واضح على الأعمال (على سبيل المثال، القيود المتعلقة بسيادة البيانات)
- المتطلبات ذات التأثير السلبي المحتمل القريب من الصفر على العمليات، مثل النهج ذي تأثير التدقيق أو تعيينات أذونات Azure RBAC التي تمت مراجعتها بعناية
أفضل الممارسات: يمكنك تخطيط جميع التغييرات على مستوى المؤسسة واختبارها بعناية على مجموعة إدارة الجذر قبل تطبيقها (النهج ونموذج Azure RBAC وما إلى ذلك).
التفاصيل: يمكن أن تؤثر التغييرات في مجموعة إدارة الجذر على كل مورد على Azure. في حين أنها توفر طريقة قوية لضمان الاتساق عبر المؤسسة ، إلا أن الأخطاء أو الاستخدام غير الصحيح يمكن أن يؤثر سلبا على عمليات الإنتاج. اختبر جميع التغييرات التي تطرأ على مجموعة إدارة الجذر في مختبر اختبار أو برنامج تجريبي للإنتاج.
تبسيط إنشاء البيئة باستخدام المخططات
تمكن خدمة Azure Blueprints مهندسي السحابة ومجموعات تكنولوجيا المعلومات المركزية من تحديد مجموعة قابلة للتكرار من موارد Azure التي تنفذ معايير المؤسسة وأنماطها ومتطلباتها وتلتزم بها. تتيح Azure Blueprints لفرق التطوير إنشاء بيئات جديدة والوقوف عليها بسرعة باستخدام مجموعة من المكونات المضمنة والثقة في أنها تنشئ هذه البيئات ضمن الامتثال المؤسسي.
مراقبة خدمات التخزين بحثا عن تغييرات غير متوقعة في السلوك
يمكن أن يكون تشخيص المشكلات واستكشاف الأخطاء وإصلاحها في تطبيق موزع مستضاف في بيئة سحابية أكثر تعقيدا مما هو عليه في البيئات التقليدية. يمكن نشر التطبيقات في البنية الأساسية PaaS أو IaaS أو محليا أو على جهاز محمول أو في مجموعة من هذه البيئات. قد تعبر حركة مرور شبكة تطبيقك الشبكات العامة والخاصة، وقد يستخدم تطبيقك تقنيات تخزين متعددة.
يجب عليك مراقبة خدمات التخزين التي يستخدمها تطبيقك باستمرار لأي تغييرات غير متوقعة في السلوك (مثل أوقات الاستجابة الأبطأ). استخدم التسجيل لجمع بيانات أكثر تفصيلا وتحليل مشكلة بعمق. تساعدك معلومات التشخيص التي تحصل عليها من كل من المراقبة والتسجيل على تحديد السبب الجذري للمشكلة التي واجهها التطبيق. ثم يمكنك استكشاف المشكلة وإصلاحها وتحديد الخطوات المناسبة لمعالجتها.
يقوم Azure Storage Analytics بإجراء التسجيل وتوفير بيانات المقاييس لحساب تخزين Azure. نوصي باستخدام هذه البيانات لتتبع الطلبات وتحليل اتجاهات الاستخدام وتشخيص المشكلات المتعلقة بحساب التخزين.
منع التهديدات وكشفها والاستجابة لها
يساعدك Microsoft Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها من خلال توفير رؤية متزايدة (والتحكم في) أمان موارد Azure الخاصة بك. فهو يوفر مراقبة أمنية متكاملة وإدارة للنهج عبر اشتراكات Azure الخاصة بك، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع حلول الأمان المتنوعة.
توفر الطبقة المجانية من Defender for Cloud أمانا محدودا لموارد Azure فقط. تعمل الطبقة القياسية على توسيع هذه الإمكانات لتشمل السحب المحلية وغيرها. يساعدك Defender for Cloud Standard في العثور على الثغرات الأمنية وإصلاحها، وتطبيق عناصر التحكم في الوصول والتطبيق لمنع النشاط الضار، واكتشاف التهديدات باستخدام التحليلات والاستخبارات، والاستجابة بسرعة عند التعرض للهجوم. يمكنك تجربة Defender for Cloud Standard دون أي تكلفة لأول 60 يوما. نوصي بترقية اشتراكك في Azure إلى Defender for Cloud Standard.
استخدم Defender for Cloud للحصول على عرض مركزي لحالة الأمان لجميع موارد Azure الخاصة بك. في لمحة، تحقق من أن عناصر التحكم الأمنية المناسبة موجودة وتكوينها بشكل صحيح، وحدد بسرعة أي موارد تحتاج إلى الاهتمام.
يتكامل Defender for Cloud أيضا مع الحماية المتقدمة من التهديدات (ATP) من Microsoft Defender، والتي توفر إمكانات شاملة للكشف عن نقاط النهاية والاستجابة لها (الكشف التلقائي والاستجابة على النقط النهائية). باستخدام تكامل Microsoft Defender ATP، يمكنك اكتشاف الشذوذ. يمكنك أيضا اكتشاف الهجمات المتقدمة على نقاط نهاية الخادم التي يراقبها Defender for Cloud والاستجابة لها.
تمتلك جميع مؤسسات المؤسسات تقريبا نظاما لإدارة معلومات الأمان والأحداث (SIEM) للمساعدة في تحديد التهديدات الناشئة من خلال دمج معلومات السجل من أجهزة جمع الإشارات المتنوعة. ثم يتم تحليل السجلات بواسطة نظام تحليل البيانات للمساعدة في تحديد ما هو "مثير للاهتمام" من الضوضاء التي لا مفر منها في جميع حلول جمع السجلات والتحليلات.
Microsoft Sentinel هو حل قابل للتطوير وأصلي سحابي ومعلومات الأمان وإدارة الأحداث (SIEM) وتنسيق الأمان (SOAR). يوفر Microsoft Sentinel تحليلات أمان ذكية ومعلومات استخباراتية عن التهديدات من خلال اكتشاف التنبيهات ورؤية التهديدات والبحث الاستباقي والاستجابة التلقائية للتهديدات.
فيما يلي بعض أفضل الممارسات لمنع التهديدات واكتشافها والاستجابة لها:
أفضل الممارسات: يمكنك زيادة سرعة حل SIEM وقابليته للتوسع باستخدام SIEM المستند إلى السحابة.
التفاصيل: تحقق من ميزات Microsoft Sentinel وقدراته ومقارنتها بإمكانات ما تستخدمه حاليا محليا. فكر في اعتماد Microsoft Sentinel إذا كان يفي بمتطلبات SIEM الخاصة بمؤسستك.
أفضل الممارسات: ابحث عن أخطر الثغرات الأمنية حتى تتمكن من تحديد أولويات التحقيق.
التفاصيل: راجع نقاط Azure الآمنة للاطلاع على التوصيات الناتجة عن سياسات ومبادرات Azure المضمنة في Microsoft Defender for Cloud. تساعد هذه التوصيات في معالجة أهم المخاطر مثل تحديثات الأمان وحماية نقطة النهاية والتشفير وتكوينات الأمان و WAF المفقود والأجهزة الظاهرية المتصلة بالإنترنت وغيرها الكثير.
تتيح لك النتيجة الآمنة، التي تستند إلى عناصر تحكم مركز أمان الإنترنت (CIS)، قياس أمان Azure لمؤسستك مقابل مصادر خارجية. يساعد التحقق الخارجي من صحة استراتيجية أمان فريقك وإثرائها.
أفضل الممارسات: راقب الوضع الأمني للآلات والشبكات وخدمات التخزين والبيانات والتطبيقات لاكتشاف المشكلات الأمنية المحتملة وتحديد أولوياتها.
التفاصيل: اتبع توصيات الأمان الواردة في Defender لبدء تشغيل السحابة، مع العناصر ذات الأولوية القصوى.
أفضل الممارسات: ادمج تنبيهات Defender for Cloud في حل معلومات الأمان وإدارة الأحداث (SIEM).
التفاصيل: تستخدمها معظم المؤسسات التي لديها SIEM كمركز مقاصة مركزي للتنبيهات الأمنية التي تتطلب استجابة المحللين. يتم نشر الأحداث التي تمت معالجتها بواسطة Defender for Cloud في سجل نشاط Azure، وهو أحد السجلات المتوفرة من خلال Azure Monitor. يقدم Azure Monitor تدفقًا مجمعًا لتوجيه أي من بيانات المراقبة الخاصة بك أداة إدارة معلومات الأمان والأحداث. راجع دفق التنبيهات إلى حل SIEM أو SOAR أو إدارة خدمات تكنولوجيا المعلومات للحصول على التعليمات. إذا كنت تستخدم Microsoft Sentinel، فراجع الاتصال Microsoft Defender for Cloud.
أفضل الممارسات: دمج سجلات Azure مع SIEM الخاص بك.
التفاصيل: استخدم Azure Monitor لجمع البيانات وتصديرها. هذه الممارسة ضرورية لتمكين التحقيق في الحوادث الأمنية، والاحتفاظ بالسجلات عبر الإنترنت محدود. إذا كنت تستخدم Microsoft Sentinel، فراجع الاتصال مصادر البيانات.
أفضل الممارسات: يمكنك تسريع عمليات التحقيق والبحث وتقليل الإيجابيات الخاطئة من خلال دمج إمكانات اكتشاف نقاط النهاية والاستجابة لها (الكشف التلقائي والاستجابة على النقط النهائية) في التحقيق في الهجوم.
التفاصيل: قم بتمكين Microsoft Defender لتكامل نقطة النهاية عبر نهج أمان Defender for Cloud. فكر في استخدام Microsoft Sentinel للبحث عن التهديدات والاستجابة للحوادث.
مراقبة مراقبة الشبكة المستندة إلى السيناريو من طرف إلى طرف
يقوم العملاء بإنشاء شبكة شاملة في Azure من خلال الجمع بين موارد الشبكة مثل الشبكة الافتراضية وExpressRoute وبوابة التطبيقات وموازنات التحميل. تتوفر المراقبة على كل من موارد الشبكة.
Azure Network Watcher هي خدمة إقليمية. استخدم أدوات التشخيص والتصور الخاصة به لمراقبة الحالات وتشخيصها على مستوى سيناريو الشبكة داخل Azure وإليه ومنه.
فيما يلي أفضل الممارسات لمراقبة الشبكة والأدوات المتاحة.
أفضل الممارسات: أتمتة مراقبة الشبكة عن بعد باستخدام التقاط الحزم.
التفاصيل: راقب مشكلات الشبكات وشخصها دون تسجيل الدخول إلى الأجهزة الظاهرية باستخدام Network Watcher. قم بتشغيل التقاط الحزم عن طريق تعيين التنبيهات والوصول إلى معلومات الأداء في الوقت الفعلي على مستوى الحزمة. عندما ترى مشكلة، يمكنك التحقيق بالتفصيل للحصول على تشخيصات أفضل.
أفضل الممارسات: احصل على نظرة ثاقبة على حركة مرور الشبكة باستخدام سجلات التدفق.
التفاصيل: يمكنك بناء فهم أعمق لأنماط حركة مرور الشبكة باستخدام سجلات تدفق مجموعة أمان الشبكة. تساعدك المعلومات الموجودة في سجلات التدفق على جمع البيانات للامتثال والتدقيق ومراقبة ملف تعريف أمان الشبكة.
أفضل الممارسات: تشخيص مشكلات اتصال VPN.
التفاصيل: استخدم Network Watcher لتشخيص مشكلات بوابة VPN والاتصال الأكثر شيوعا. لا يمكنك تحديد المشكلة فحسب ، بل يمكنك أيضا استخدام سجلات مفصلة لمزيد من التحقيق.
النشر الآمن باستخدام أدوات DevOps التي أثبتت جدواها
استخدم أفضل ممارسات DevOps التالية لضمان إنتاجية مؤسستك وفرقك وفعاليتها.
أفضل الممارسات: أتمتة إنشاء الخدمات ونشرها.
التفاصيل: البنية التحتية كرمز هي مجموعة من التقنيات والممارسات التي تساعد محترفي تكنولوجيا المعلومات على إزالة عبء البناء اليومي وإدارة البنية التحتية المعيارية. إنه يمكن محترفي تكنولوجيا المعلومات من بناء بيئة الخادم الحديثة الخاصة بهم والحفاظ عليها بطريقة تشبه كيفية قيام مطوري البرامج ببناء رمز التطبيق وصيانته.
يمكنك استخدام Azure Resource Manager لتوفير تطبيقاتك باستخدام قالب تعريفي. في قالب واحد، يمكنك نشر خدمات متعددة إلى جانب تبعياتها. يمكنك استخدام نفس القالب لنشر التطبيق بشكل متكرر في كل مرحلة من مراحل دورة حياة التطبيق.
أفضل الممارسات: يمكنك الإنشاء والنشر تلقائيا على تطبيقات الويب أو الخدمات السحابية من Azure.
التفاصيل: يمكنك تكوين مشاريع Azure DevOps لإنشاء تطبيقات ويب Azure أو الخدمات السحابية ونشرها تلقائيا. يقوم Azure DevOps تلقائيا بنشر الثنائيات بعد إجراء إنشاء إلى Azure بعد كل عملية تسجيل وصول للتعليمات البرمجية. عملية إنشاء الحزمة تعادل الأمر حزمة في Visual Studio، وخطوات النشر تعادل الأمر نشر في Visual Studio.
أفضل الممارسات: أتمتة إدارة الإصدار.
التفاصيل: Azure Pipelines هو حل لأتمتة النشر متعدد المراحل وإدارة عملية الإصدار. أنشئ خطوط أنابيب نشر مستمرة مدارة للتحرير بسرعة وسهولة وفي كثير من الأحيان. باستخدام Azure Pipelines، يمكنك أتمتة عملية الإصدار، ويمكنك الحصول على مهام سير عمل موافقة محددة مسبقا. يمكنك النشر محليا وعلى السحابة وتوسيعها وتخصيصها كما هو مطلوب.
أفضل الممارسات: تحقق من أداء تطبيقك قبل تشغيله أو نشر التحديثات على الإنتاج.
التفاصيل: قم بإجراء اختبارات التحميل المستندة إلى السحابة من أجل:
- ابحث عن مشاكل الأداء في تطبيقك.
- تحسين جودة النشر.
- تأكد من أن تطبيقك متاح دائما.
- تأكد من أن تطبيقك يمكنه التعامل مع الزيارات لحملتك الترويجية أو التسويقية التالية.
Apache JMeter هي أداة مجانية وشعبية مفتوحة المصدر مع دعم قوي من المجتمع.
أفضل الممارسات: مراقبة أداء التطبيق.
التفاصيل: Azure Application Insights هي خدمة إدارة أداء التطبيقات (APM) القابلة للتوسيع لمطوري الويب على منصات متعددة. استخدم Insights التطبيقات لمراقبة تطبيق الويب المباشر الخاص بك. يكتشف تلقائيا الحالات الشاذة في الأداء. ويشمل أدوات تحليلية لمساعدتك في تشخيص المشكلات وفهم ما يفعله المستخدمون فعليا بتطبيقك. إنها مصممة لمساعدتك على تحسين الأداء وسهولة الاستخدام باستمرار.
التخفيف والحماية من DDoS
رفض الخدمة الموزع (DDoS) هو نوع من الهجمات التي تحاول استنفاد موارد التطبيق. الهدف هو التأثير على توفر التطبيق وقدرته على التعامل مع الطلبات المشروعة. أصبحت هذه الهجمات أكثر تطورا وأكبر حجما وتأثيرا. يمكن استهدافها في أي نقطة نهاية يمكن الوصول إليها علنا من خلال الإنترنت.
يتطلب تصميم وبناء مرونة DDoS التخطيط والتصميم لمجموعة متنوعة من أوضاع الفشل. فيما يلي أفضل الممارسات لإنشاء خدمات DDoS مرنة على Azure.
أفضل الممارسات: تأكد من أن الأمان يمثل أولوية طوال دورة حياة التطبيق بأكملها، بدءا من التصميم والتنفيذ وحتى النشر والعمليات. يمكن أن تحتوي التطبيقات على أخطاء تسمح لحجم منخفض نسبيا من الطلبات باستخدام الكثير من الموارد ، مما يؤدي إلى انقطاع الخدمة.
التفاصيل: للمساعدة في حماية خدمة تعمل على Microsoft Azure، يجب أن يكون لديك فهم جيد لبنية التطبيق لديك والتركيز على الركائز الخمس لجودة البرنامج. يجب أن تعرف وحدات تخزين حركة المرور النموذجية، ونموذج الاتصال بين التطبيق والتطبيقات الأخرى، ونقاط نهاية الخدمة التي تتعرض للإنترنت العام.
يعد التأكد من أن التطبيق مرنا بما يكفي للتعامل مع رفض الخدمة الذي يستهدف التطبيق نفسه أمرا بالغ الأهمية. يتم تضمين الأمان والخصوصية في النظام الأساسي Azure، بدءا من دورة حياة تطوير الأمان (SDL). يعالج SDL الأمان في كل مرحلة تطوير ويضمن تحديث Azure باستمرار لجعله أكثر أماناً.
أفضل الممارسات: صمم تطبيقاتك على نطاق أفقي لتلبية الطلب على الحمل المضخم، وتحديدا في حالة حدوث هجوم DDoS. إذا كان التطبيق يعتمد على مثيل واحد من الخدمة، فإنه ينشئ نقطة فشل واحدة. إن توفير مثيلات متعددة يجعل النظام أكثر مرونة وقابلية للتوسع.
التفاصيل: بالنسبة إلى Azure App Service، حدد خطة خدمة التطبيقات التي توفر مثيلات متعددة.
بالنسبة إلى خدمات Azure السحابية، قم بتكوين كل دور من أدوارك لاستخدام مثيلات متعددة.
بالنسبة إلى أجهزة Azure الظاهرية، تأكد من أن بنية الجهاز الظاهري تتضمن أكثر من جهاز ظاهري واحد وأن كل جهاز ظاهري مضمن في مجموعة توفر. نوصي باستخدام مجموعات مقياس الجهاز الظاهري لقدرات التحجيم التلقائي.
أفضل الممارسات: يؤدي وضع طبقات من الدفاعات الأمنية في تطبيق ما إلى تقليل فرصة نجاح الهجوم. نفذ تصميمات آمنة لتطبيقاتك باستخدام الإمكانات المضمنة في النظام الأساسي ل Azure.
التفاصيل: يزداد خطر الهجوم مع حجم (مساحة السطح) للتطبيق. يمكنك تقليل مساحة السطح باستخدام قائمة موافقة لإغلاق مساحة عنوان IP المكشوفة ومنافذ الاستماع غير المطلوبة في موازنات التحميل (Azure Load BalancerوAzure Application Gateway).
مجموعات أمن الشبكة هي طريقة أخرى لتقليل سطح الهجوم. يمكنك استخدام علامات الخدمةومجموعات أمان التطبيقات لتقليل التعقيد لإنشاء قواعد الأمان وتكوين أمان الشبكة، كامتداد طبيعي لبنية التطبيق.
يجب عليك نشر خدمات Azure في شبكة ظاهرية كلما أمكن ذلك. تسمح هذه الممارسة لموارد الخدمة بالتواصل من خلال عناوين IP الخاصة. تستخدم حركة مرور خدمة Azure من شبكة ظاهرية عناوين IP العامة كعناوين IP للمصدر بشكل افتراضي.
يؤدي استخدام نقاط نهاية الخدمة إلى تبديل حركة مرور الخدمة لاستخدام عناوين الشبكة الظاهرية الخاصة كعناوين IP المصدر عند الوصول إلى خدمة Azure من شبكة افتراضية.
غالبا ما نرى موارد العملاء المحلية تتعرض للهجوم إلى جانب مواردهم في Azure. إذا كنت تقوم بتوصيل بيئة محلية ب Azure، فقم بتقليل تعرض الموارد المحلية للإنترنت العام.
لدى Azure عرضان لخدمة DDoS يوفران الحماية من هجمات الشبكة:
- يتم دمج الحماية الأساسية في Azure بشكل افتراضي دون أي تكلفة إضافية. يوفر نطاق وقدرة شبكة Azure المنتشرة عمومياً دفاعاً ضد هجمات طبقة الشبكة الشائعة من خلال مراقبة حركة المرور دائماً والتخفيف في الوقت الفعلي. لا يتطلب Basic أي تكوين مستخدم أو تغييرات في التطبيق ويساعد على حماية جميع خدمات Azure، بما في ذلك خدمات PaaS مثل Azure DNS.
- توفر الحماية القياسية إمكانات متقدمة للتخفيف من هجمات DDoS ضد هجمات الشبكة. يتم ضبطه تلقائيا لحماية موارد Azure المحددة الخاصة بك. الحماية سهلة التمكين أثناء إنشاء الشبكات الافتراضية. يمكن أيضا القيام بذلك بعد الإنشاء ولا يتطلب أي تغييرات في التطبيق أو الموارد.
تمكين سياسة Azure
Azure Policy هي خدمة في Azure تستخدمها لإنشاء النهج وتعيينها وإدارتها. تفرض هذه السياسات القواعد والتأثيرات على مواردك، بحيث تظل هذه الموارد متوافقة مع معايير شركتك واتفاقياتك على مستوى الخدمة. تستوفي سياسة Azure هذه الحاجة من خلال تقييم مواردك لعدم الامتثال للسياسات المعينة.
قم بتمكين سياسة Azure لمراقبة السياسة المكتوبة لمؤسستك وفرضها. سيضمن ذلك الامتثال لمتطلبات الأمان التنظيمية أو شركتك من خلال إدارة سياسات الأمان مركزيا عبر أحمال العمل السحابية المختلطة. تعرف على كيفية إنشاء السياسات وإدارتها لفرض الامتثال. راجع بنية تعريف نهج Azure للحصول على نظرة عامة حول عناصر السياسة.
فيما يلي بعض أفضل ممارسات الأمان التي يجب اتباعها بعد اعتماد نهج Azure:
أفضل الممارسات: تدعم السياسة عدة أنواع من الآثار. يمكنك القراءة عنها في بنية تعريف نهج Azure. يمكن أن تتأثر العمليات التجارية سلبا بتأثير الرفض والتأثير العلاجي ، لذا ابدأ بتأثير التدقيق للحد من مخاطر التأثير السلبي للسياسة.
التفاصيل: ابدأ عمليات نشر النهج في وضع التدقيق ثم تقدم لاحقا للرفض أو المعالجة. اختبر نتائج تأثير التدقيق وراجعها قبل الانتقال إلى الرفض أو المعالجة.
لمزيد من المعلومات، راجع إنشاء سياسات وإدارتها لفرض الامتثال.
أفضل الممارسات: تحديد الأدوار المسؤولة عن رصد انتهاكات السياسات وضمان اتخاذ إجراءات الإصلاح الصحيحة بسرعة.
التفاصيل: اطلب من الدور المعين مراقبة الامتثال من خلال مدخل Azure أو عبر سطر الأوامر.
أفضل الممارسات: سياسة Azure هي تمثيل فني للسياسات المكتوبة للمؤسسة. قم بتعيين جميع تعريفات نهج Azure إلى النهج التنظيمية لتقليل الارتباك وزيادة الاتساق.
التفاصيل: يمكنك تعيين المستند في وثائق مؤسستك أو في تعريف نهج Azure نفسه عن طريق إضافة مرجع إلى النهج التنظيمي في تعريف النهج أو وصف تعريفالمبادرة .
مراقبة تقارير مخاطر Azure AD
تحدث الغالبية العظمى من الخروقات الأمنية عندما يتمكن المهاجمون من الوصول إلى بيئة ما عن طريق سرقة هوية المستخدم. اكتشاف الهويات للخطر ليست مهمة سهلة. يستخدم Azure AD خوارزميات التعلم الآلي التكيفية والأساليب الاستدلالية للكشف عن الإجراءات المشبوهة التي ترتبط بحسابات المستخدمين. يتم تخزين كل إجراء ينطوي على شبهة في سجل يُسمى الكشف عن المخاطر. يتم تسجيل عمليات الكشف عن المخاطر في تقارير أمان Azure AD. لمزيد من المعلومات، اقرأ عن تقرير أمان المستخدمين المعرضين للخطر وتقرير أمانتسجيل الدخول المحفوف بالمخاطر.
الخطوات التالية
راجع أفضل ممارسات وأنماط أمان Azure للحصول على المزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة ونشرها وإدارتها باستخدام Azure .
تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول أمان Azure خدمات Microsoft ذات الصلة:
- مدونة فريق أمان Azure - للحصول على أحدث المعلومات حول أحدث ما توصل إليه أمان Azure
- مركز الاستجابة الأمنية ل Microsoft - حيث يمكن الإبلاغ عن الثغرات الأمنية في Microsoft، بما في ذلك المشكلات المتعلقة ب Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com