مقدمة حول حلول Azure
نظرة عامة
نحن نعلم أن الأمان هو وظيفة واحدة في السحابة ومدى أهمية العثور على معلومات دقيقة وفي الوقت المناسب حول أمان Azure. أحد أفضل الأسباب لاستخدام Azure لتطبيقاتك وخدماتك هو الاستفادة من مجموعة واسعة من أدوات الأمان وقدراته. تساعد هذه الأدوات والقدرات في تسهيل إنشاء حلول آمنة على النظام الأساسي الآمن ل Azure. يوفر Microsoft Azure سرية بيانات العملاء وتكاملها وتوافرها، مع تمكين المساءلة الشفافة أيضا.
توفر هذه المقالة نظرة شاملة على الأمان المتوفر مع Azure.
نظام Azure الأساسي
Azure هو نظام أساسي للخدمة السحابية العامة يدعم مجموعة واسعة من أنظمة التشغيل ولغات البرمجة وأطر العمل والأدوات وقواعد البيانات والأجهزة. يمكنه تشغيل حاويات Linux مع تكامل Docker؛ إنشاء تطبيقات باستخدام JavaScript وPython و.NET وPHP وJava Node.js؛ إنشاء أطراف خلفية لأجهزة iOS وAndroid وWindows.
تدعم خدمات السحابة العامة في Azure نفس التقنيات التي يعتمد عليها بالفعل الملايين من المطورين ومحترفي تكنولوجيا المعلومات والثقة. عند البناء على أصول تكنولوجيا المعلومات أو ترحيلها إلى موفر خدمة سحابة عامة تعتمد على قدرات تلك المؤسسة لحماية تطبيقاتك وبياناتك بالخدمات وعناصر التحكم التي توفرها لإدارة أمان الأصول المستندة إلى السحابة.
تم تصميم البنية الأساسية ل Azure من مرفق إلى تطبيقات لاستضافة ملايين العملاء في وقت واحد، وتوفر أساسا موثوقا به يمكن للشركات أن تفي على أساسه بمتطلبات الأمان الخاصة بها.
بالإضافة إلى ذلك، يوفر لك Azure مجموعة واسعة من خيارات الأمان القابلة للتكوين والقدرة على التحكم فيها بحيث يمكنك تخصيص الأمان لتلبية المتطلبات الفريدة لتوزيعات مؤسستك. يساعدك هذا المستند على فهم كيف يمكن أن تساعدك قدرات أمان Azure على تلبية هذه المتطلبات.
ملاحظة
ينصب التركيز الأساسي لهذا المستند على عناصر التحكم التي تواجه العملاء والتي يمكنك استخدامها لتخصيص وزيادة الأمان لتطبيقاتك وخدماتك.
للحصول على معلومات حول كيفية تأمين Microsoft للنظام الأساسي ل Azure نفسه، راجع أمان البنية الأساسية ل Azure.
ملخص قدرات أمان Azure
اعتمادا على نموذج الخدمة السحابية، هناك مسؤولية متغيرة عمن هو المسؤول عن إدارة أمان التطبيق أو الخدمة. هناك قدرات متوفرة في Azure Platform لمساعدتك في الوفاء بهذه المسؤوليات من خلال الميزات المضمنة، ومن خلال حلول الشركاء التي يمكن نشرها في اشتراك Azure.
يتم تنظيم القدرات المضمنة في ستة مجالات وظيفية: العمليات والتطبيقات والتخزين والشبكات والحوسبة والهوية. يتم توفير تفاصيل إضافية حول الميزات والقدرات المتوفرة في Azure Platform في هذه المجالات الستة من خلال معلومات موجزة.
العمليات
يوفر هذا القسم معلومات إضافية حول الميزات الرئيسية في عمليات الأمان ومعلومات موجزة حول هذه القدرات.
Microsoft Sentinel
Microsoft Azure Sentinel هو حل قابل للتطوير، وسحابة أصلي ومعلومات الأمان وإدارة الأحداث (SIEM) وتنظيم الأمان والتنفيذ التلقائي والاستجابة (SOAR). يوفر Microsoft Azure Sentinel تحليلات أمان ذكية وذكاءً عن التهديدات عبر المؤسسة، مما يوفر حلاً منفردًا لاكتشاف الهجمات وإمكانية رؤية التهديدات والصيد الاستباقي والاستجابة للتهديدات.
Microsoft Defender للسحابة
يساعدك Microsoft Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها مع زيادة الرؤية والتحكم في أمان موارد Azure. يوفر مراقبة أمان متكاملة وإدارة النهج عبر اشتراكات Azure، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من حلول الأمان.
بالإضافة إلى ذلك، يساعد Defender for Cloud في عمليات الأمان من خلال تزويدك بلوحة معلومات واحدة تظهر التنبيهات والتوصيات التي يمكن التصرف بناء عليها على الفور. في كثير من الأحيان، يمكنك معالجة المشكلات بنقرة واحدة داخل وحدة تحكم Defender for Cloud.
Azure Resource Manager
يمكنك Azure Resource Manager من العمل مع الموارد في الحل الخاص بك كمجموعة. يمكنك توزيع كافة الموارد الخاصة بحلك أو تحديثها أو حذفها في عملية واحدة منسقة. يمكنك استخدام قالب Azure Resource Manager للنشر ويمكن أن يعمل هذا القالب لبيئات مختلفة مثل الاختبار والتقسيم المرحلي والإنتاج. يوفر Resource Manager ميزات الأمان والتدقيق ووضع العلامات لمساعدتك على إدارة مواردك بعد النشر.
تساعد عمليات التوزيع المستندة إلى قالب Azure Resource Manager على تحسين أمان الحلول المنشورة في Azure لأن إعدادات التحكم في الأمان القياسية ويمكن دمجها في عمليات النشر الموحدة المستندة إلى القالب. يقلل هذا من مخاطر أخطاء تكوين الأمان التي قد تحدث أثناء عمليات النشر اليدوية.
Application Insights
Application Insights هي خدمة إدارة أداء التطبيقات الموسعة (APM) لمطوري الويب. باستخدام Application Insights، يمكنك مراقبة تطبيقات الويب المباشرة والكشف تلقائيا عن حالات الأداء الخارجة عن المألوف. ويتضمن أدوات تحليلات قوية لمساعدتك في تشخيص المشكلات وفهم ما يفعله المستخدمون بالفعل بتطبيقاتك. يراقب التطبيق الخاص بك طوال الوقت الذي يتم تشغيله فيه، سواء أثناء الاختبار أو بعد نشره أو توزيعه.
ينشئ تطبيق Application Insights مخططات وجداول تعرض لك، على سبيل المثال، الأوقات التي تحصل فيها على معظم المستخدمين، ومدى استجابة التطبيق، ومدى جودة خدمته من قبل أي خدمات خارجية يعتمد عليها.
إذا كانت هناك أعطال أو فشل أو مشكلات في الأداء، يمكنك البحث عن بيانات القياس عن بعد بالتفصيل لتشخيص السبب. وترسل لك الخدمة رسائل بريد إلكتروني إذا كانت هناك أي تغييرات في توفر التطبيق وأدائه. وهكذا يصبح Application Insight أداة أمان قيمة لأنه يساعد في التوفر في ثالوث أمان السرية والتكامل والتوافر.
Azure Monitor
يوفر Azure Monitor المرئيات والاستعلام والتوجيه والتنبيه والتحجيم التلقائي والأتمتة على البيانات من اشتراك Azure (سجل النشاط) وكل مورد Azure فردي (سجلات الموارد). يمكنك استخدام Azure Monitor لتنبيهك بشأن الأحداث المتعلقة بالأمان التي يتم إنشاؤها في سجلات Azure.
سجلات Azure Monitor
سجلات Azure Monitor – توفر حلا لإدارة تكنولوجيا المعلومات لكل من البنية الأساسية المحلية والبنية الأساسية المستندة إلى السحابة التابعة لجهات خارجية (مثل AWS) بالإضافة إلى موارد Azure. يمكن توجيه البيانات من Azure Monitor مباشرة إلى سجلات Azure Monitor حتى تتمكن من رؤية المقاييس والسجلات للبيئة بأكملها في مكان واحد.
يمكن أن تكون سجلات Azure Monitor أداة مفيدة في التحليل الجنائي وتحليل الأمان الآخر، حيث تمكنك الأداة من البحث بسرعة من خلال كميات كبيرة من الإدخالات المتعلقة بالأمان باستخدام نهج استعلام مرن. بالإضافة إلى ذلك، يمكن تصدير سجلات جدار الحماية والوكيل المحلية إلى Azure وإتاحتها للتحليل باستخدام سجلات Azure Monitor.
Azure Advisor
Azure Advisor هو مستشار سحابة مخصص يساعدك على تحسين عمليات توزيع Azure. وهو يحلل تكوين الموارد الخاصة بك والقياس عن بعد للاستخدام. ثم توصي بحلول للمساعدة في تحسين أداء مواردك وأمانها وموثوقيتها في أثناء البحث عن فرص لتقليل إنفاق Azure الإجمالي. يوفر Azure Advisor توصيات الأمان، والتي يمكن أن تحسن بشكل كبير وضع الأمان العام للحلول التي تنشرها في Azure. يتم استخلاص هذه التوصيات من تحليل الأمان الذي يقوم به Microsoft Defender for Cloud.
التطبيقات
يوفر القسم معلومات إضافية حول الميزات الرئيسية في أمان التطبيق ومعلومات موجزة حول هذه الإمكانات.
اختبار الاختراق
لا نقوم بإجراء اختبار اختراق لتطبيقك، ولكننا نفهم أنك تريد وتحتاج إلى إجراء اختبار على تطبيقاتك الخاصة. هذا شيء جيد، لأنه عند تحسين أمان تطبيقاتك، فإنك تساعد في جعل نظام Azure البنائي بأكمله أكثر أمانا. في حين أن إعلام Microsoft بأنشطة اختبار القلم لم يعد مطلوبا يجب على العملاء الالتزام بقواعد التفاوض لاختبار اختراق السحابة من Microsoft.
جدار حماية تطبيق الويب
يساعد جدار حماية تطبيق الويب (WAF) في Azure Application Gateway في حماية تطبيقات الويب من الهجمات الشائعة المستندة إلى الويب مثل حقن SQL وهجمات البرمجة النصية عبر المواقع واختطاف الجلسة. يأتي مكونا مسبقا مع الحماية من التهديدات التي حددها مشروع أمان تطبيق الويب المفتوح (OWASP) كأعلى 10 نقاط ضعف شائعة.
المصادقة والتخويل في Azure App Service
App Service Authentication / Authorization هي ميزة توفر طريقة لتطبيقك لتسجيل دخول المستخدمين بحيث لا تضطر إلى تغيير التعليمات البرمجية على الواجهة الخلفية للتطبيق. يوفر طريقة سهلة لحماية التطبيق الخاص بك والعمل مع البيانات لكل مستخدم.
بنية أمان الطبقات
نظرا لأن App Service Environments توفر بيئة وقت تشغيل معزولة تم نشرها في شبكة Azure الظاهرية، يمكن للمطورين إنشاء بنية أمان ذات طبقات توفر مستويات مختلفة من الوصول إلى الشبكة لكل طبقة تطبيق. الرغبة الشائعة هي إخفاء الأطراف الخلفية لواجهة برمجة التطبيقات من الوصول العام إلى الإنترنت، والسماح فقط باستدعاء واجهات برمجة التطبيقات بواسطة تطبيقات الويب المصدر. يمكن استخدام مجموعات أمان الشبكة (NSGs) على الشبكات الفرعية لشبكة Azure الظاهرية التي تحتوي على بيئات خدمة التطبيقات لتقييد الوصول العام إلى تطبيقات واجهة برمجة التطبيقات.
تشخيصات خادم الويب وتشخيص التطبيق
توفر تطبيقات ويب App Service وظائف تشخيصية لتسجيل المعلومات من كل من خادم الويب وتطبيق الويب. يتم فصلها منطقيا إلى تشخيصات خادم الويب وتشخيص التطبيق. يتضمن خادم الويب تقدمين رئيسيين في تشخيص المواقع والتطبيقات واستكشاف الأخطاء وإصلاحها.
الميزة الجديدة الأولى هي معلومات الحالة في الوقت الحقيقي حول تجمعات التطبيقات وعمليات العامل والمواقع ومجالات التطبيق والطلبات قيد التشغيل. المزايا الجديدة الثانية هي أحداث التتبع التفصيلية التي تتعقب الطلب طوال عملية الطلب والاستجابة الكاملة.
لتمكين مجموعة أحداث التتبع هذه، يمكن تكوين IIS 7 لالتقاط سجلات التتبع الكاملة تلقائيا، بتنسيق XML، لأي طلب معين استنادا إلى الوقت المنقضي أو رموز استجابة الخطأ.
التخزين
يوفر القسم معلومات إضافية حول الميزات الرئيسية في أمان تخزين Azure ومعلومات موجزة حول هذه الإمكانات.
التحكم في الوصول إلى Azure استناداً إلى الدور (Azure RBAC)
يمكنك تأمين حساب التخزين الخاص بك باستخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC). يعد تقييد الوصول استنادا إلى الحاجة إلى معرفة مبادئ الأمان وأقلها امتيازا أمرا ضروريا للمؤسسات التي تريد فرض نهج الأمان للوصول إلى البيانات. يتم منح حقوق الوصول هذه عن طريق تعيين دور Azure المناسب للمجموعات والتطبيقات في نطاق معين. يمكنك استخدام أدوار Azure المضمنة، مثل مساهم حساب التخزين، لتعيين امتيازات للمستخدمين. يمكن التحكم في الوصول إلى مفاتيح التخزين لحساب تخزين باستخدام نموذج Azure Resource Manager من خلال Azure RBAC.
توقيع الوصول المشترك
يوفر توقيع الوصول المشترك (SAS) وصولا مفوضا إلى الموارد في حساب التخزين الخاص بك. يعني SAS أنه يمكنك منح عميل أذونات محدودة للكائنات في حساب التخزين الخاص بك لفترة محددة ومع مجموعة محددة من الأذونات. يمكنك منح هذه الأذونات المحدودة دون الحاجة إلى مشاركة مفاتيح الوصول إلى حسابك.
التشفير أثناء النقل
التشفير أثناء النقل هو آلية لحماية البيانات عند إرسالها عبر الشبكات. باستخدام Azure Storage، يمكنك تأمين البيانات باستخدام:
التشفير على مستوى النقل، مثل HTTPS عند نقل البيانات إلى Azure Storage أو خارجه.
التشفير من جانب العميل، لتشفير البيانات قبل نقلها إلى التخزين وفك تشفير البيانات بعد نقلها من التخزين.
التشفير الثابت
بالنسبة للعديد من المؤسسات، يعد تشفير البيانات الثابتة خطوة إلزامية نحو خصوصية البيانات والامتثال وسيادة البيانات. هناك ثلاث ميزات أمان تخزين Azure توفر تشفير البيانات "الثابتة":
يسمح لك تشفير خدمة التخزين بطلب أن تقوم خدمة التخزين بتشفير البيانات تلقائيا عند كتابتها إلى Azure Storage.
يوفر التشفير من جانب العميل أيضا ميزة التشفير الثابتة.
يسمح لك تشفير قرص Azure بتشفير أقراص نظام التشغيل وأقراص البيانات المستخدمة من قبل جهاز ظاهري IaaS.
Storage Analytics
يقوم Azure Storage Analytics بإجراء التسجيل ويوفر بيانات المقاييس لحساب تخزين. يمكنك استخدام هذه البيانات لتتبع الطلبات وتحليل اتجاهات الاستخدام وتشخيص المشكلات المتعلقة بحساب التخزين. تقوم سجلات Storage Analytics بتقديم معلومات مفصلة حول الطلبات الناجحة والفاشلة لأي خدمة تخزين. يمكن استخدام هذه المعلومات لمراقبة الطلبات الفردية وتشخيص المشكلات المتعلقة بخدمة التخزين. يتم تسجيل الطلبات على أساس أفضل جهد. تُسجل الأنواع التالية من طلبات التخويل:
- الطلبات الناجحة.
- الطلبات الفاشلة، بما في ذلك المهلة والتقييد والشبكة والتخويل والأخطاء الأخرى.
- الطلبات التي تستخدم توقيع الوصول المشترك (SAS)، بما في ذلك الطلبات الفاشلة والناجحة.
- طلبات تحليل البيانات.
تمكين عملاء Browser-Based باستخدام CORS
مشاركة الموارد عبر المنشأ (CORS) هي آلية تسمح للمجالات بمنح بعضها الإذن للوصول إلى موارد بعضها البعض. يرسل عامل المستخدم عناوين إضافية للتأكد من السماح لتعليمة JavaScript البرمجية التي تم تحميلها من مجال معين بالوصول إلى الموارد الموجودة في مجال آخر. ثم يرد المجال الأخير بعناوين إضافية تسمح أو ترفض وصول المجال الأصلي إلى موارده.
تدعم خدمات تخزين Azure الآن CORS بحيث بمجرد تعيين قواعد CORS للخدمة، يتم تقييم طلب مصادق عليه بشكل صحيح مقابل الخدمة من مجال مختلف لتحديد ما إذا كان مسموحا به وفقا للقواعد التي حددتها.
الشبكات
يوفر القسم معلومات إضافية حول الميزات الرئيسية في أمان شبكة Azure ومعلومات موجزة حول هذه الإمكانات.
عناصر تحكم طبقة الشبكة
التحكم في الوصول إلى الشبكة هو إجراء الحد من الاتصال من أجهزة أو شبكات فرعية معينة وإخراجها ويمثل جوهر أمان الشبكة. الهدف من التحكم في الوصول إلى الشبكة هو التأكد من أن الأجهزة والخدمات الظاهرية الخاصة بك يمكن الوصول إليها فقط للمستخدمين والأجهزة التي تريد الوصول إليها.
مجموعات أمان الشبكة
مجموعة أمان الشبكة (NSG) هي جدار حماية أساسي لتصفية الحزمة ذات الحالة ويمكنك من التحكم في الوصول استنادا إلى مجموعة مكونة من 5 مجموعات. لا توفر مجموعات أمان الشبكة فحص طبقة التطبيق أو عناصر التحكم في الوصول المصادق عليها. يمكن استخدامها للتحكم في حركة المرور التي تنتقل بين الشبكات الفرعية داخل شبكة Azure الظاهرية وحركة المرور بين شبكة Azure الظاهرية والإنترنت.
جدار حماية Azure
Azure Firewall هي خدمة أمان جدار حماية شبكة أصلية وذكية على السحابة توفر الحماية من التهديدات لأحمال العمل السحابية التي تعمل في Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة. يوفر كل من التفتيش المروري بين الشرق والغرب والشمال والجنوب.
يتم تقديم جدار حماية Azure في وحدتي SKU: Standard وPremium. يوفر Azure Firewall Standard تصفية L3-L7 وموجزات التحليل الذكي للمخاطر مباشرة من Microsoft Cyber Security. يوفر Azure Firewall Premium قدرات متقدمة تشمل IDPS المستندة إلى التوقيع للسماح بالكشف السريع عن الهجمات من خلال البحث عن أنماط محددة.
التحكم بالمسار والنفق القسري
القدرة على التحكم في سلوك التوجيه على شبكات Azure الظاهرية هي إمكانية هامة لأمن الشبكة والتحكم في الوصول. على سبيل المثال، إذا كنت تريد التأكد من أن جميع نسبة استخدام الشبكة من وإلى شبكة Azure الظاهرية تمر عبر جهاز الأمان الظاهري هذا، فأنت بحاجة إلى أن تكون قادرا على التحكم في سلوك التوجيه وتخصيصه. يمكنك القيام بذلك عن طريق تكوين User-Defined Routes في Azure.
تسمح لك المسارات المعرفة من قبل المستخدم بتخصيص المسارات الواردة والصادرة لحركة المرور التي تنتقل من وإلى الأجهزة الظاهرية الفردية أو الشبكات الفرعية لضمان المسار الأكثر أمانا الممكن. التوجيه النفقي القسري هو آلية يمكنك استخدامها لضمان عدم السماح لخدماتك ببدء اتصال بالأجهزة على الإنترنت.
يختلف هذا عن القدرة على قبول الاتصالات الواردة ثم الاستجابة لها. تحتاج خوادم الويب الأمامية إلى الاستجابة للطلبات من مضيفي الإنترنت، وبالتالي يسمح بنسبة استخدام الشبكة المصدر عبر الإنترنت الواردة إلى خوادم الويب هذه ويمكن لخوادم الويب الاستجابة.
يستخدم التوجيه النفقي القسري بشكل شائع لفرض حركة المرور الصادرة إلى الإنترنت للانتقال من خلال وكلاء الأمان المحليين وجدران الحماية.
أجهزة أمان الشبكة الظاهرية
بينما توفر لك مجموعات أمان الشبكة والمسارات User-Defined والنفق القسري مستوى من الأمان في طبقات الشبكة والنقل من نموذج OSI، قد تكون هناك أوقات تريد فيها تمكين الأمان على مستويات أعلى من المكدس. يمكنك الوصول إلى ميزات أمان الشبكة المحسنة هذه باستخدام حل جهاز أمان شبكة شريك Azure. يمكنك العثور على أحدث حلول أمان شبكة شركاء Azure من خلال زيارة Azure Marketplace والبحث عن "الأمان" و"أمان الشبكة".
Azure Virtual Network
Azure virtual network (VNet) هو تمثيل لشبكتك الخاصة في السحابة. إنه عزل منطقي لنسيج شبكة Azure المخصص لاشتراكك. يمكنك التحكم بالكامل في عمليات حظر عنوان IP وإعدادات DNS ونُهج الأمان وجداول التوجيه ضمن هذه الشبكة. يمكنك تقسيم الشبكة الظاهرية إلى شبكات فرعية ووضع أجهزة Azure IaaS الظاهرية (VMs) و/أو الخدمات السحابية (مثيلات دور PaaS) على شبكات Azure الظاهرية.
بالإضافة إلى ذلك، يمكنك توصيل الشبكة الظاهرية بالشبكة المحلية باستخدام أحد خيارات الاتصال المتوفرة في Azure. في جوهرها، يمكنك توسيع شبكتك إلى Azure، مع التحكم الكامل في كتل عناوين IP مع الاستفادة من مقياس المؤسسة الذي يوفره Azure.
تدعم شبكة Azure العديد من سيناريوهات الوصول عن بعد الآمنة. وبعضها يشمل:
Azure Private Link
يتيح لك Azure Private Link الوصول إلى خدمات Azure PaaS (على سبيل المثال، Azure Storage وSQL Database) والخدمات المملوكة للعميل/الشريك المستضافة من Azure بشكل خاص في شبكتك الظاهرية عبر نقطة نهاية خاصة. الإعداد والاستهلاك باستخدام Azure Private Link متناسق عبر Azure PaaS، والخدمات المملوكة للعملاء والشركاء المشتركين. تظل نسبة استخدام الشبكة من شبكتك الظاهرية إلى خدمة Azure دائما على شبكة Microsoft Azure الأساسية.
تسمح لك نقاط النهاية الخاصة بتأمين موارد خدمة Azure الهامة لشبكاتك الظاهرية فقط. تستخدم نقطة النهاية الخاصة ل Azure عنوان IP خاصا من VNet الخاص بك لتوصيلك بشكل خاص وآمن بخدمة مدعومة من Azure Private Link، مما يؤدي إلى جلب الخدمة بشكل فعال إلى الشبكة الظاهرية الخاصة بك. لم يعد تعريض شبكتك الظاهرية للإنترنت العام ضروريا لاستهلاك الخدمات على Azure.
يمكنك أيضا إنشاء خدمة الارتباط الخاص بك في شبكتك الظاهرية. خدمة Azure Private Link هي المرجع إلى الخدمة الخاصة بك التي يتم تشغيلها بواسطة Azure Private Link. يمكن تمكين الخدمة التي تعمل خلف Azure Standard Load Balancer للوصول إلى Private Link بحيث يمكن للمستهلكين في خدمتك الوصول إليها بشكل خاص من شبكاتهم الظاهرية الخاصة. يمكن لعملائك إنشاء نقطة نهاية خاصة داخل شبكتهم الظاهرية وتعيينها إلى هذه الخدمة. لم يعد تعريض خدمتك للإنترنت العام ضروريا لعرض الخدمات على Azure.
بوابة VPN
لإرسال نسبة استخدام الشبكة بين شبكة Azure الظاهرية وموقعك المحلي، يجب إنشاء بوابة VPN لشبكة Azure الظاهرية. بوابة VPN هي نوع من بوابة الشبكة الظاهرية التي ترسل نسبة استخدام الشبكة المشفرة عبر اتصال عام. يمكنك أيضا استخدام بوابات VPN لإرسال نسبة استخدام الشبكة بين شبكات Azure الظاهرية عبر نسيج شبكة Azure.
Express Route
Microsoft Azure ExpressRoute هو ارتباط WAN مخصص يتيح لك توسيع شبكاتك المحلية إلى سحابة Microsoft عبر اتصال خاص مخصص يسهله موفر الاتصال.
ومع استخدام ExpressRoute، يمكنك إنشاء اتصالات بخدمات سحابة Microsoft، مثل Microsoft Azure وMicrosoft 365 وCRM Online. يمكن أن يكون الاتصال من أي شبكة إلى أي (IP VPN) أو شبكة Ethernet من نقطة إلى نقطة أو اتصال ظاهري عبر من خلال موفر اتصال في منشأة موقع مشترك.
لا تنتقل اتصالات ExpressRoute عبر الإنترنت العام، وبالتالي يمكن اعتبارها أكثر أمانا من الحلول المستندة إلى VPN. يسمح هذا لاتصالات ExpressRoute بتقديم المزيد من الموثوقية وسرعات أسرع وزمن انتقال أقل وأمان أعلى من الاتصالات النموذجية عبر الإنترنت.
Application Gateway
توفر Microsoft Azure Application Gatewayوحدة تحكم تسليم التطبيقات (ADC) كخدمة، وتقدم إمكانات مختلفة لموازنة تحميل الطبقة 7 لتطبيقك.
يسمح لك بتحسين إنتاجية مزرعة الويب عن طريق إلغاء تحميل إنهاء TLS المكثف لوحدة المعالجة المركزية إلى بوابة التطبيق (المعروف أيضا باسم "تفريغ TLS" أو "سد TLS"). كما يوفر إمكانات توجيه الطبقة 7 الأخرى بما في ذلك توزيع الترتيب الدوري لنسبة استخدام الشبكة الواردة، وترابط جلسة العمل المستندة إلى ملفات تعريف الارتباط، والتوجيه المستند إلى مسار URL، والقدرة على استضافة مواقع ويب متعددة خلف بوابة تطبيق واحدة. Azure Application Gateway هو موازن تحميل من الطبقة 7.
يوفر طلبات HTTP لتوجيه الأداء وتجاوز الفشل بين خوادم مختلفة، سواء كانت على السحابة أو محليا.
يوفر التطبيق العديد من ميزات وحدة تحكم تسليم التطبيقات (ADC) بما في ذلك موازنة تحميل HTTP وترابط جلسة العمل المستندة إلى ملفات تعريف الارتباط وإيقاف تحميل TLS وفحوصات السلامة المخصصة ودعم المواقع المتعددة وغيرها الكثير.
جدار حماية تطبيق الويب
جدار حماية تطبيق الويب هو ميزة من ميزات Azure Application Gateway التي توفر الحماية لتطبيقات الويب التي تستخدم بوابة التطبيق لوظائف التحكم في تسليم التطبيقات القياسية (ADC). يقوم جدار حماية تطبيق الويب بذلك عن طريق حمايتهم من معظم أهم 10 ثغرات أمنية شائعة على الويب في OWASP.
حماية حقن SQL
الحماية الشائعة من هجمات الويب مثل إدخال الأوامر وتهريب طلب HTTP وتقسيم استجابة HTTP وهجوم تضمين الملفات عن بعد
الحماية ضد انتهاكات بروتوكول HTTP
الحماية ضد الحالات غير الطبيعية لبروتوكول HTTP مثل فقدان عامل-المستخدم المضيف وقبول الرؤوس
الوقاية من الروبوتات والمتتبعات والماسحات الضوئية
الكشف عن التكوينات الخاطئة الشائعة للتطبيق (أي Apache و IIS وما إلى ذلك)
جدار حماية تطبيق الويب المركزي للحماية من هجمات الويب يجعل إدارة الأمان أبسط بكثير ويعطي ضمانا أفضل للتطبيق ضد تهديدات الاختراقات. يمكن أن يتفاعل حل جدار حماية تطبيق الويب WAF أيضًا مع تهديد أمني بشكل أسرع عن طريق تصحيح ثغرة أمنية معروفة في موقع مركزي في مقابل تأمين كل تطبيق من تطبيقات الويب. يمكن تحويل بوابات التطبيق الموجودة إلى بوابة تطبيق مع جدار حماية تطبيق الويب بسهولة.
Traffic Manager
يسمح لك Microsoft Azure Traffic Manager بالتحكم في توزيع نسبة استخدام الشبكة للمستخدم لنقاط نهاية الخدمة في مراكز بيانات مختلفة. تتضمن نقاط نهاية الخدمة التي يدعمها Traffic Manager أجهزة Azure الظاهرية وتطبيقات الويب وخدمات السحابة. يمكنك أيضًا استخدام Traffic Manager مع نقاط النهاية الخارجية غير التابعة لـ Azure. يستخدم Traffic Manager نظام أسماء المجالات (DNS) لتوجيه طلبات العميل إلى نقطة النهاية الأكثر ملاءمة استنادا إلى أسلوب توجيه نسبة استخدام الشبكة وصحة نقاط النهاية.
يوفر Traffic Manager مجموعة من أساليب توجيه نسبة استخدام الشبكة لتناسب احتياجات التطبيق المختلفة ومراقبة سلامة نقطة النهاية وتجاوز الفشل التلقائي. كما تتميز Traffic Manager بقدرتها على الصمود أمام الفشل، بما في ذلك الفشل في منطقة Azure بأكملها.
موازن تحميل Azure
Azure Load Balancer يوفر قابلية وصول عالية وأداء الشبكة لتطبيقات Azure لديك. إنه موازن تحميل الطبقة 4 (TCP، UDP) الذي يوزع نسبة استخدام الشبكة الواردة بين مثيلات صحية للخدمات المحددة في مجموعة متوازنة التحميل. يمكن تكوين Azure Load Balancer من أجل:
موازنة التحميل لحركة مرور الإنترنت الواردة إلى الأجهزة الظاهرية. يعرف هذا التكوين باسم موازنة التحميل العام.
تحميل نسبة استخدام الشبكة بين الأجهزة الظاهرية في شبكة ظاهرية، بين الأجهزة الظاهرية في الخدمات السحابية، أو بين أجهزة الكمبيوتر المحلية والأجهزة الظاهرية في شبكة ظاهرية متعددة الأماكن. يعرف هذا التكوين باسم موازنة التحميل الداخلية.
إعادة توجيه حركة المرور الخارجية إلى جهاز ظاهري معين
DNS الداخلي
يمكنك إدارة قائمة خوادم DNS المستخدمة في VNet في مدخل الإدارة، أو في ملف تكوين الشبكة. يمكن للعميل إضافة ما يصل إلى 12 خادم DNS لكل شبكة ظاهرية. عند تحديد خوادم DNS، من المهم التحقق من إدراج خوادم DNS للعميل بالترتيب الصحيح لبيئة العميل. لا تعمل قوائم خادم DNS ذهابا وإيابا. يتم استخدامها بالترتيب الذي تم تحديدها به. إذا كان يمكن الوصول إلى خادم DNS الأول في القائمة، يستخدم العميل خادم DNS هذا بغض النظر عما إذا كان خادم DNS يعمل بشكل صحيح أم لا. لتغيير ترتيب خادم DNS للشبكة الظاهرية للعميل، قم بإزالة خوادم DNS من القائمة وإضافتها مرة أخرى بالترتيب الذي يريده العميل. يدعم DNS جانب توفر ثالوث الأمان "CIA".
Azure DNS
نظام أسماء المجالات، أو DNS، مسؤول عن ترجمة (أو حل) موقع ويب أو اسم خدمة إلى عنوان IP الخاص به. يُعد Azure DNS خدمة استضافة لمجالات DNS التي تقدم تحليل الاسم باستخدام البنية الأساسية لـ Microsoft Azure. يمكنك، من خلال استضافة المجالات في Azure، إدارة سجلات DNS باستخدام نفس بيانات الاعتماد وواجهات برمجة التطبيقات والأدوات والفوترة مثل خدمات Azure الأخرى. يدعم DNS جانب توفر ثالوث الأمان "CIA".
سجلات Azure Monitor NSGs
يمكنك تمكين فئات سجل التشخيص التالية ل NSGs:
الحدث: يحتوي على إدخالات يتم تطبيق قواعد NSG لها على الأجهزة الظاهرية وأدوار المثيل استنادا إلى عنوان MAC. يتم جمع حالة هذه القواعد كل 60 ثانية.
عداد القواعد: يحتوي على إدخالات لعدد المرات التي يتم فيها تطبيق كل قاعدة NSG لرفض حركة المرور أو السماح بها.
Microsoft Defender للسحابة
يحلل Microsoft Defender for Cloud باستمرار حالة الأمان لموارد Azure للحصول على أفضل ممارسات أمان الشبكة. عندما يحدد Defender for Cloud الثغرات الأمنية المحتملة، فإنه ينشئ توصيات ترشدك خلال عملية تكوين عناصر التحكم المطلوبة لتقوية مواردك وحمايتها.
Compute
يوفر القسم معلومات إضافية حول الميزات الرئيسية في هذا المجال ومعلومات موجزة حول هذه الإمكانات.
مكافحة البرامج الضارة & مكافحة الفيروسات
باستخدام Azure IaaS، يمكنك استخدام برامج مكافحة البرامج الضارة من موردي الأمان مثل Microsoft وSymantec و Trend Micro و McAfee و Kaspersky لحماية أجهزتك الظاهرية من الملفات الضارة وadware والتهديدات الأخرى. Microsoft Antimalware لخدمات Azure السحابية والأجهزة الظاهرية هي قدرة حماية تساعد على تحديد الفيروسات وبرامج التجسس والبرامج الضارة الأخرى وإزالتها. يوفر Microsoft Antimalware تنبيهات قابلة للتكوين عندما يحاول برنامج ضار أو غير مرغوب فيه معروف تثبيت نفسه أو تشغيله على أنظمة Azure. يمكن أيضا نشر Microsoft Antimalware باستخدام Microsoft Defender for Cloud
وحدة أمان الأجهزة
لا يحسن التشفير والمصادقة الأمان ما لم تكن المفاتيح نفسها محمية. يمكنك تبسيط إدارة وأمان أسرارك ومفاتيحك الهامة عن طريق تخزينها في Azure Key Vault. يوفر Key Vault خيار تخزين المفاتيح في وحدات أمان الأجهزة (HSMs) المعتمدة لمعايير FIPS 140-2 المستوى 2. يمكن تخزين مفاتيح التشفير SQL Server للنسخ الاحتياطي أو تشفير البيانات الشفافة في Key Vault بأي مفاتيح أو أسرار من تطبيقاتك. تتم إدارة الأذونات والوصول إلى هذه العناصر المحمية من خلال Azure Active Directory.
النسخ الاحتياطي للجهاز الظاهري
Azure Backup هو حل يحمي بيانات التطبيق الخاص بك مع استثمار رأسمالي صفري وتكاليف تشغيل دنيا. يمكن أن تؤدي أخطاء التطبيق إلى إتلاف بياناتك، ويمكن للأخطاء البشرية إدخال أخطاء في تطبيقاتك التي يمكن أن تؤدي إلى مشكلات أمنية. باستخدام Azure Backup، تتم حماية الأجهزة الظاهرية التي تعمل بنظامي التشغيل Windows وLinux.
Azure Site Recovery
جزء مهم من استراتيجية استمرارية الأعمال/التعافي من الكوارث (BCDR) لمؤسستك هو معرفة كيفية الحفاظ على أحمال عمل الشركة وتطبيقاتها وتشغيلها عند حدوث انقطاعات مخطط لها وغير مخطط لها. يساعد Azure Site Recovery على تنسيق النسخ المتماثل وتجاوز الفشل واسترداد أحمال العمل والتطبيقات بحيث تكون متوفرة من موقع ثانوي إذا تعطل موقعك الأساسي.
SQL VM TDE
تشفير البيانات الشفاف (TDE) والتشفير على مستوى العمود (CLE) هما ميزات تشفير خادم SQL. يتطلب هذا الشكل من التشفير من العملاء إدارة وتخزين مفاتيح التشفير التي تستخدمها للتشفير.
تم تصميم خدمة Azure Key Vault (AKV) لتحسين أمان وإدارة هذه المفاتيح في موقع آمن ومتاح بشكل كبير. يمكّن موصل خادم SQL Server من استخدام هذه المفاتيح من Azure Key Vault.
إذا كنت تقوم بتشغيل SQL Server مع الأجهزة المحلية، فهناك خطوات يمكنك اتباعها للوصول إلى Azure Key Vault من مثيل SQL Server المحلي. ولكن بالنسبة SQL Server في أجهزة Azure الظاهرية، يمكنك توفير الوقت باستخدام ميزة تكامل Key Vault Azure. مع عدد قليل من أوامر Azure PowerShell cmdlets لتمكين هذه الميزة، يمكنك أتمتة التكوين الضروري لجهاز SQL الظاهري للوصول إلى مخزن المفاتيح الخاص بك.
تشفير قرص الجهاز الظاهري
تشفير قرص Azure هو قدرة جديدة تساعدك على تشفير أقراص الجهاز الظاهري Windows وLinux IaaS. وهو يطبق ميزة BitLocker القياسية في الصناعة لنظام التشغيل Windows وميزة DM-Crypt من Linux لتوفير تشفير وحدة التخزين لنظام التشغيل وأقراص البيانات. يتم دمج الحل مع Azure Key Vault لمساعدتك على التحكم في مفاتيح تشفير القرص والبيانات السرية وإدارتها في اشتراكك في Key Vault. يضمن الحل أيضا تشفير جميع البيانات الموجودة على أقراص الجهاز الظاهري في حالة الثبات في تخزين Azure الخاص بك.
الشبكات الظاهرية
تحتاج الأجهزة الظاهرية إلى اتصال بالشبكة. لدعم هذا المطلب، يتطلب Azure توصيل الأجهزة الظاهرية بشبكة Azure الظاهرية. شبكة Azure الظاهرية هي بنية منطقية مبنية فوق نسيج شبكة Azure الفعلي. يتم عزل كل شبكة Azure ظاهرية منطقية عن جميع شبكات Azure الظاهرية الأخرى. يساعد هذا العزل على التأكد من أن نسبة استخدام الشبكة في عمليات النشر الخاصة بك غير متاحة لعملاء Microsoft Azure الآخرين.
تصحيح التحديثات
توفر التحديثات التصحيح الأساس للبحث عن المشاكل المحتملة وإصلاحها وتبسيط عملية إدارة تحديث البرامج، سواء من خلال تقليل عدد تحديثات البرامج التي يجب نشرها في مؤسستك وزيادة قدرتك على مراقبة التوافق.
إدارة نهج الأمان وإعداد التقارير
يساعدك Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها، ويوفر لك رؤية متزايدة لأمان موارد Azure والتحكم فيه. يوفر مراقبة الأمان المتكاملة وإدارة النهج عبر اشتراكات Azure الخاصة بك، ويساعد على اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من حلول الأمان.
إدارة الهوية والوصول
يبدأ تأمين الأنظمة والتطبيقات والبيانات بعناصر التحكم في الوصول المستندة إلى الهوية. تساعد ميزات إدارة الهوية والوصول المضمنة في منتجات وخدمات الأعمال من Microsoft في حماية معلوماتك التنظيمية والشخصية من الوصول غير المصرح به مع إتاحتها للمستخدمين الشرعيين كلما وأينما احتاجوا إليها.
الهوية الآمنة
تستخدم Microsoft ممارسات وتقنيات أمان متعددة عبر منتجاتها وخدماتها لإدارة الهوية والوصول.
تتطلب المصادقة متعددة العوامل من المستخدمين استخدام أساليب متعددة للوصول، محليا وفي السحابة. يوفر مصادقة قوية مع مجموعة من خيارات التحقق السهلة، مع استيعاب المستخدمين مع عملية تسجيل دخول بسيطة.
يوفر Microsoft Authenticator تجربة مصادقة متعددة العوامل سهلة الاستخدام تعمل مع حسابات Microsoft Azure Active Directory وMicrosoft، وتتضمن دعما للأجهزة القابلة للارتداء والموافقات المستندة إلى بصمات الأصابع.
يزيد فرض نهج كلمة المرور من أمان كلمات المرور التقليدية من خلال فرض متطلبات الطول والتعقيد، والتناوب الدوري القسري، وتأمين الحساب بعد محاولات المصادقة الفاشلة.
تمكن المصادقة المستندة إلى الرمز المميز المصادقة عبر Azure Active Directory.
يتيح لك التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC) منح حق الوصول استنادا إلى الدور المعين للمستخدم، مما يجعل من السهل منح المستخدمين مقدار الوصول الذي يحتاجونه فقط لأداء واجباتهم الوظيفية. يمكنك تخصيص Azure RBAC وفقا لنموذج الأعمال الخاص بمؤسستك والتسامح مع المخاطر.
تمكنك إدارة الهوية المتكاملة (الهوية المختلطة) من الحفاظ على التحكم في وصول المستخدمين عبر مراكز البيانات الداخلية والأنظمة الأساسية السحابية، وإنشاء هوية مستخدم واحدة للمصادقة والتخويل لجميع الموارد.
تأمين التطبيقات والبيانات
يساعد Azure Active Directory، وهو حل سحابي شامل لإدارة الهوية والوصول، على تأمين الوصول إلى البيانات في التطبيقات على الموقع وفي السحابة، ويبسط إدارة المستخدمين والمجموعات. فهو يجمع بين خدمات الدليل الأساسية وإدارة الهوية المتقدمة والأمان وإدارة الوصول إلى التطبيقات، ويجعل من السهل على المطورين بناء إدارة الهوية المستندة إلى النهج في تطبيقاتهم. لتحسين Azure Active Directory، يمكنك إضافة قدرات مدفوعة باستخدام إصدارات Azure Active Directory Basic وPremium P1 وPremium P2.
Cloud App Discovery هي ميزة متميزة في Azure Active Directory تمكنك من تحديد التطبيقات السحابية التي يستخدمها الموظفون في مؤسستك.
Azure Active Directory Identity Protection هي خدمة أمان تستخدم قدرات الكشف عن الحالات الشاذة في Azure Active Directory لتوفير عرض موحد لاكتشاف المخاطر والثغرات الأمنية المحتملة التي يمكن أن تؤثر على هويات مؤسستك.
يمكنك Azure خدمات مجال Active Directory من ضم أجهزة Azure الظاهرية إلى مجال دون الحاجة إلى نشر وحدات التحكم بالمجال. يقوم المستخدمون بتسجيل الدخول إلى هذه الأجهزة الظاهرية باستخدام بيانات اعتماد Active Directory للشركات الخاصة بهم، ويمكنهم الوصول إلى الموارد بسلاسة.
Azure Active Directory B2C هي خدمة إدارة هوية عالمية عالية التوفر للتطبيقات التي تواجه المستهلك والتي يمكنها توسيع نطاقها إلى مئات الملايين من الهويات والتكامل عبر الأنظمة الأساسية للجوال والويب. يمكن لعملائك تسجيل الدخول إلى جميع تطبيقاتك من خلال تجارب قابلة للتخصيص تستخدم حسابات الوسائط الاجتماعية الحالية، أو يمكنك إنشاء بيانات اعتماد مستقلة جديدة.
Azure Active Directory تعاون B2B هو حل تكامل شريك آمن يدعم علاقاتك عبر الشركة من خلال تمكين الشركاء من الوصول إلى تطبيقات شركتك وبياناتها بشكل انتقائي باستخدام هوياتهم المدارة ذاتيا.
يتيح لك Azure Active Directory المنضم توسيع قدرات السحابة إلى Windows 10 الأجهزة للإدارة المركزية. فهو يجعل من الممكن للمستخدمين الاتصال بالسحابة المؤسسية أو المؤسسية من خلال Azure Active Directory ويبسط الوصول إلى التطبيقات والموارد.
يوفر وكيل تطبيق Azure Active Directory تسجيل الدخول الأحادي والوصول الآمن عن بعد لتطبيقات الويب المستضافة محليا.
الخطوات التالية
تعرف على كيفية مساعدة Microsoft Defender for Cloud في منع التهديدات واكتشافها والاستجابة لها من خلال زيادة الرؤية والتحكم في أمان موارد Azure.