Osvědčené postupy pro provozní zabezpečení Azure

  • Článek

Tento článek obsahuje sadu provozních osvědčených postupů pro ochranu dat, aplikací a dalších prostředků v Azure.

Osvědčené postupy vycházejí ze názorů a pracují s aktuálními možnostmi platformy Azure a sadami funkcí. Názory a technologie se v průběhu času mění a tento článek se pravidelně aktualizuje, aby tyto změny odrážely.

Definování a nasazení silných postupů provozního zabezpečení

Provozní zabezpečení Azure označuje služby, ovládací prvky a funkce dostupné uživatelům za účelem ochrany dat, aplikací a dalších prostředků v Azure. Provozní zabezpečení Azure je založené na architektuře, která zahrnuje znalosti získané prostřednictvím schopností, které jsou jedinečné pro Microsoft, včetně životního cyklu vývoje zabezpečení (SDL), programu Microsoft Security Response Center a hlubokého povědomí o oblasti kybernetické hrozby.

Vynucení vícefaktorového ověřování pro uživatele

Doporučujeme, abyste pro všechny uživatele vyžadovali dvoustupňové ověření. To zahrnuje správce a další uživatele ve vaší organizaci, kteří můžou mít významný dopad, pokud dojde k ohrožení jejich účtu (například finanční pracovníci).

Existuje několik možností, jak vyžadovat dvoustupňové ověření. Nejlepší možnost pro vás závisí na vašich cílech, edici Microsoft Entra, kterou používáte, a na licenčním programu. Přečtěte si, jak pro uživatele vyžadovat dvoustupňové ověření, abyste určili nejlepší možnost. Další informace o licencích a cenách najdete na stránkách s cenami vícefaktorového ověřování Microsoft Entra aMicrosoft Entra Authentication .

Tady jsou možnosti a výhody pro povolení dvoustupňového ověřování:

Možnost 1: Povolení vícefaktorového ověřování pro všechny uživatele a metody přihlášení s výhodou výchozích hodnot zabezpečení Microsoft Entra: Tato možnost umožňuje snadno a rychle vynutit vícefaktorové ověřování pro všechny uživatele ve vašem prostředí s přísnými zásadami pro:

  • Výzva k účtům pro správu a mechanismům přihlašování pro správu
  • Vyžadování výzvy vícefaktorového ověřování přes Microsoft Authenticator pro všechny uživatele
  • Omezte starší ověřovací protokoly.

Tato metoda je k dispozici pro všechny úrovně licencování, ale není možné je kombinovat s existujícími zásadami podmíněného přístupu. Další informace najdete v výchozích nastaveních zabezpečení Microsoft Entra.

Možnost 2: Povolení vícefaktorového ověřování změnou stavu uživatele
Výhoda: Jedná se o tradiční metodu pro vyžadování dvoustupňového ověření. Funguje s vícefaktorovým ověřováním Microsoft Entra v cloudu i se serverem Azure Multi-Factor Authentication. Použití této metody vyžaduje, aby uživatelé provedli dvoustupňové ověření při každém přihlášení a přepsání zásad podmíněného přístupu.

Pokud chcete zjistit, kde je potřeba povolit vícefaktorové ověřování, přečtěte si téma Která verze vícefaktorového ověřování Microsoft Entra je pro moji organizaci správná?.

Možnost 3: Povolení vícefaktorového ověřování pomocí zásad podmíněného přístupu Výhoda: Tato možnost umožňuje zobrazit výzvu k dvoustupňovému ověření za určitých podmínek pomocí podmíněného přístupu. Konkrétní podmínky můžou být přihlášení uživatele z různých umístění, nedůvěryhodných zařízení nebo aplikací, které považujete za rizikové. Definování konkrétních podmínek, kdy vyžadujete dvoustupňové ověření, vám umožní vyhnout se neustálé výzvě pro uživatele, což může být nepříjemné uživatelské prostředí.

Toto je nejflexibilnější způsob, jak uživatelům povolit dvoustupňové ověřování. Povolení zásad podmíněného přístupu funguje jenom pro vícefaktorové ověřování Microsoft Entra v cloudu a je prémiovou funkcí Microsoft Entra ID. Další informace o této metodě najdete v tématu Nasazení cloudového vícefaktorového ověřování Microsoft Entra.

Možnost 4: Povolení vícefaktorového ověřování pomocí zásad podmíněného přístupu vyhodnocením zásad podmíněného přístupu na základě rizik
Výhoda: Tato možnost umožňuje:

  • Detekujte potenciální ohrožení zabezpečení, která ovlivňují identity vaší organizace.
  • Nakonfigurujte automatizované odpovědi tak, aby detekovaly podezřelé akce, které souvisejí s identitami vaší organizace.
  • Prozkoumejte podezřelé incidenty a proveďte příslušná opatření k jejich vyřešení.

Tato metoda používá vyhodnocení rizik microsoft Entra ID Protection k určení, jestli se vyžaduje dvoustupňové ověření na základě rizika uživatele a přihlášení pro všechny cloudové aplikace. Tato metoda vyžaduje licencování Microsoft Entra ID P2. Další informace o této metodě najdete v microsoft Entra ID Protection.

Poznámka:

Možnost 2, která umožňuje vícefaktorové ověřování změnou stavu uživatele, přepíše zásady podmíněného přístupu. Protože možnosti 3 a 4 používají zásady podmíněného přístupu, nemůžete s nimi použít možnost 2.

Organizace, které nepřidají další vrstvy ochrany identit, jako je dvoustupňové ověřování, jsou náchylnější k útoku na krádež přihlašovacích údajů. Útok na krádež přihlašovacích údajů může vést k ohrožení dat.

Správa a monitorování uživatelských hesel

Následující tabulka uvádí několik osvědčených postupů souvisejících se správou hesel uživatelů:

Osvědčený postup: Ujistěte se, že máte správnou úroveň ochrany heslem v cloudu.
Podrobnosti: Postupujte podle pokynů v pokynech k heslům Microsoftu, které jsou omezené na uživatele platforem microsoft identity (účet Microsoft Entra ID, Active Directory a Microsoft).

Osvědčený postup: Monitorování podezřelých akcí souvisejících s uživatelskými účty
Podrobnosti: Monitorování rizikových a rizikových přihlášení uživatelů pomocí sestav zabezpečení Microsoft Entra

Osvědčený postup: Automaticky rozpoznává a opravuje vysoce riziková hesla.
Podrobnosti: Microsoft Entra ID Protection je funkce edice Microsoft Entra ID P2, která umožňuje:

  • Zjištění potenciálních ohrožení zabezpečení, která mají vliv na identity vaší organizace
  • Konfigurace automatizovaných odpovědí na zjištěné podezřelé akce související s identitami vaší organizace
  • Prozkoumání podezřelých incidentů a provedení vhodných akcí k jejich vyřešení

Příjem oznámení o incidentech od Microsoftu

Ujistěte se, že váš provozní tým zabezpečení obdrží oznámení o incidentech Azure od Microsoftu. Oznámení incidentu vašemu týmu zabezpečení umožní zjistit, že máte ohrožené prostředky Azure, aby mohli rychle reagovat na potenciální bezpečnostní rizika a napravit je.

Na portálu registrace Azure můžete zajistit, aby kontaktní informace správce obsahovaly podrobnosti, které upozorňují na operace zabezpečení. Kontaktní informace jsou e-mailová adresa a telefonní číslo.

Uspořádání předplatných Azure do skupin pro správu

Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň rozsahu nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a na tyto skupiny pro správu použijete své podmínky zásad správného řízení. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují.

Do adresáře můžete vytvořit flexibilní strukturu skupin pro správu a předplatných. Každému adresáři se přidělí jedna skupina pro správu nejvyšší úrovně označovaná jako kořenová skupina pro správu. Tato kořenová skupina pro správu je integrovaná do hierarchie tak, aby pod ní spadaly všechny skupiny pro správu a všechna předplatná. Kořenová skupina pro správu umožňuje použití globálních zásad a přiřazení rolí Azure na úrovni adresáře.

Tady je několik osvědčených postupů pro používání skupin pro správu:

Osvědčený postup: Ujistěte se, že nová předplatná přidají prvky zásad správného řízení, jako jsou zásady a oprávnění.
Podrobnosti: Pomocí kořenové skupiny pro správu přiřaďte prvky zabezpečení pro celou organizaci, které se vztahují na všechny prostředky Azure. Příkladem prvků jsou zásady a oprávnění.

Osvědčený postup: Zarovnejte nejvyšší úrovně skupin pro správu se strategií segmentace tak, aby poskytovaly bod pro kontrolu a konzistenci zásad v jednotlivých segmentech.
Podrobnosti: Vytvořte jednu skupinu pro správu pro každý segment v kořenové skupině pro správu. V kořenovém adresáři nevytvávejte žádné další skupiny pro správu.

Osvědčený postup: Omezte hloubku skupiny pro správu, abyste se vyhnuli nejasnostem, které brání provozu i zabezpečení.
Podrobnosti: Omezte hierarchii na tři úrovně včetně kořenového adresáře.

Osvědčený postup: Pečlivě vyberte, které položky se mají použít pro celý podnik s kořenovou skupinou pro správu.
Podrobnosti: Ujistěte se, že prvky kořenové skupiny pro správu mají jasný význam pro každý prostředek a že mají nízký dopad.

Mezi vhodné kandidáty patří:

  • Zákonné požadavky, které mají jasný obchodní dopad (například omezení související se suverenitou dat)
  • Požadavky s téměř nulovým potenciálním negativním dopadem na operace, jako jsou zásady s účinkem auditu nebo přiřazení oprávnění Azure RBAC, která byla pečlivě zkontrolována

Osvědčený postup: Před použitím zásad, modelu Azure RBAC a podobně pečlivě naplánujte a otestujte všechny podnikové změny v kořenové skupině pro správu.
Podrobnosti: Změny v kořenové skupině pro správu můžou ovlivnit všechny prostředky v Azure. I když poskytují výkonný způsob, jak zajistit konzistenci v celém podniku, můžou chyby nebo nesprávné využití negativně ovlivnit provozní operace. Otestujte všechny změny kořenové skupiny pro správu v testovacím prostředí nebo v produkčním pilotním nasazení.

Zjednodušení vytváření prostředí pomocí podrobných plánů

Služba Azure Blueprints umožňuje cloudovým architektům a centrálním skupinám informačních technologií definovat opakovatelnou sadu prostředků Azure, které implementují a dodržují standardy, vzory a požadavky organizace. Azure Blueprints umožňuje vývojovým týmům rychle vytvářet a vystavovat nová prostředí se sadou integrovaných komponent a jistotou, že tato prostředí vytvářejí v rámci dodržování předpisů organizace.

Monitorování služeb úložiště pro neočekávané změny chování

Diagnostika a řešení potíží v distribuované aplikaci hostované v cloudovém prostředí může být složitější než v tradičních prostředích. Aplikace je možné nasadit v infrastruktuře PaaS nebo IaaS, místně, na mobilním zařízení nebo v některé kombinaci těchto prostředí. Síťový provoz vaší aplikace může procházet veřejnými a privátními sítěmi a vaše aplikace může používat více technologií úložiště.

Měli byste nepřetržitě monitorovat služby úložiště, které vaše aplikace používá k neočekávaným změnám chování (například pomalejší doby odezvy). Protokolování slouží ke shromažďování podrobnějších dat a k podrobné analýze problému. Diagnostické informace, které získáte z monitorování a protokolování, vám pomůžou určit původní příčinu problému, ke kterému došlo ve vaší aplikaci. Pak můžete tento problém vyřešit a určit příslušné kroky k jeho nápravě.

Azure Analýza úložiště provádí protokolování a poskytuje data metrik pro účet úložiště Azure. Tato data doporučujeme použít ke sledování požadavků, analýze trendů využití a diagnostice problémů s vaším účtem úložiště.

Prevence, detekce a reakce na hrozby

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně tím, že poskytuje lepší přehled o zabezpečení prostředků Azure (a kontrolu nad nimi). Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá zjišťovat hrozby, které by jinak nemusely být nepovšimnuty, a funguje s různými řešeními zabezpečení.

Úroveň Free defenderu pro cloud nabízí omezené zabezpečení vašich prostředků v Azure a také prostředky s podporou Arc mimo Azure. Funkce zabezpečení Enahanced rozšiřují tyto funkce tak, aby zahrnovaly hrozby a správa ohrožení zabezpečení a také vytváření sestav dodržování právních předpisů. Defender for Cloud Plans vám pomůže najít a opravit ohrožení zabezpečení, použít řízení přístupu a aplikací k blokování škodlivých aktivit, detekci hrozeb pomocí analýz a inteligentních funkcí a rychle reagovat při útoku. Defender for Cloud Standard můžete vyzkoušet bez poplatků za prvních 30 dnů. Doporučujeme povolit rozšířené funkce zabezpečení ve vašich předplatných Azure v defenderu pro cloud.

Pomocí Defenderu pro cloud získáte centrální přehled o stavu zabezpečení všech vašich prostředků ve vašich vlastních datových centrech, Azure a dalších cloudech. Na první pohled ověřte, že jsou zavedeny a správně nakonfigurované příslušné kontrolní mechanismy zabezpečení, a rychle identifikujte všechny prostředky, které vyžadují pozornost.

Defender for Cloud se také integruje s Microsoft Defenderem for Endpoint, který poskytuje komplexní funkce detekce a odezvy koncových bodů (EDR). S integrací Microsoft Defenderu pro koncový bod můžete odhalit odchylky a detekovat ohrožení zabezpečení. Můžete také detekovat pokročilé útoky na koncové body serveru monitorované defenderem pro cloud a reagovat na ně.

Téměř všechny podnikové organizace mají systém pro správu bezpečnostních informací a událostí (SIEM), který pomáhá identifikovat vznikající hrozby sloučením informací protokolu z různých zařízení pro shromažďování signálů. Protokoly se pak analyzují systémem pro analýzu dat, který pomáhá zjistit, co je "zajímavé" z šumu, který je nevyhnutelné ve všech řešeních shromažďování protokolů a analýz.

Microsoft Sentinel je škálovatelné řešení automatizované reakce (SOAR) nativní pro cloud, informace o zabezpečení a správu událostí (SIEM) a orchestrace zabezpečení. Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb prostřednictvím detekce výstrah, viditelnosti hrozeb, proaktivního proaktivního vyhledávání a automatizované reakce na hrozby.

Tady je několik osvědčených postupů pro prevenci, detekci a reakci na hrozby:

Osvědčený postup: Zvyšte rychlost a škálovatelnost vašeho řešení SIEM pomocí cloudového SIEM.
Podrobnosti: Prozkoumejte funkce a možnosti služby Microsoft Sentinel a porovnejte je s možnostmi toho, co aktuálně používáte místně. Zvažte přijetí služby Microsoft Sentinel, pokud splňuje požadavky SIEM vaší organizace.

Osvědčený postup: Vyhledejte nejvýraznější ohrožení zabezpečení, abyste mohli určit prioritu šetření.
Podrobnosti: Zkontrolujte skóre zabezpečení Azure a podívejte se na doporučení vyplývající ze zásad a iniciativ Azure integrovaných v Programu Microsoft Defender for Cloud. Tato doporučení pomáhají řešit hlavní rizika, jako jsou aktualizace zabezpečení, ochrana koncových bodů, šifrování, konfigurace zabezpečení, chybějící WAF, virtuální počítače připojené k internetu a mnoho dalších.

Bezpečnostní skóre, které je založené na kontrolních prvcích Center for Internet Security (CIS), umožňuje otestovat zabezpečení Azure vaší organizace vůči externím zdrojům. Externí ověřování pomáhá ověřovat a rozšiřovat strategii zabezpečení vašeho týmu.

Osvědčený postup: Monitorování stavu zabezpečení počítačů, sítí, úložišť a datových služeb a aplikací za účelem zjišťování a stanovení priorit potenciálních problémů se zabezpečením.
Podrobnosti: Postupujte podle doporučení zabezpečení v defenderu pro cloud, počínaje položkami s nejvyšší prioritou.

Osvědčený postup: Integrace výstrah Defenderu pro cloud do řešení zabezpečení a správy událostí (SIEM)
Podrobnosti: Většina organizací se siEM ji používá jako centrální vymazání výstrah zabezpečení, které vyžadují odpověď analytika. Zpracované události vytvořené defenderem pro cloud se publikují do protokolu aktivit Azure, jeden z protokolů dostupných prostřednictvím služby Azure Monitor. Azure Monitor nabízí konsolidovaný kanál pro směrování libovolných dat monitorování do nástroje SIEM. Pokyny najdete v tématu Upozornění služby Stream na řešení SPRÁVY SLUŽEB SIEM, SOAR nebo IT Service Management. Pokud používáte Microsoft Sentinel, přečtěte si Připojení Microsoft Defenderu pro cloud.

Osvědčený postup: Integrace protokolů Azure se siEM
Podrobnosti: Použití služby Azure Monitor ke shromažďování a exportu dat Tento postup je kritický pro povolení vyšetřování incidentů zabezpečení a uchovávání online protokolů je omezené. Pokud používáte Microsoft Sentinel, přečtěte si Připojení zdroje dat.

Osvědčený postup: Urychlíte procesy vyšetřování a proaktivního vyhledávání a omezíte falešně pozitivní výsledky tím, že do vyšetřování útoku integrujete funkce detekce koncových bodů a reakce (EDR).
Podrobnosti: Povolení integrace Microsoft Defenderu for Endpoint prostřednictvím zásad zabezpečení cloudu v Defenderu Zvažte použití Služby Microsoft Sentinel proaktivního vyhledávání hrozeb a reakce na incidenty.

Monitorování kompletního monitorování sítě založené na scénářích

Zákazníci vytvářejí komplexní síť v Azure kombinováním síťových prostředků, jako jsou virtuální síť, ExpressRoute, Application Gateway a nástroje pro vyrovnávání zatížení. Monitorování je k dispozici na všech síťových prostředcích.

Azure Network Watcher je regionální služba. Pomocí svých diagnostických a vizualizačních nástrojů můžete monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure.

Níže jsou uvedené osvědčené postupy pro monitorování sítě a dostupné nástroje.

Osvědčený postup: Automatizace vzdáleného monitorování sítě pomocí zachytávání paketů
Podrobnosti: Monitorování a diagnostika problémů se sítěmi bez přihlášení k virtuálním počítačům pomocí služby Network Watcher Aktivujte zachytávání paketů nastavením výstrah a získáním přístupu k informacím o výkonu v reálném čase na úrovni paketů. Když narazíte na problém, můžete ho prozkoumat podrobněji a lépe diagnostikovat.

Osvědčený postup: Získání přehledu o síťovém provozu pomocí protokolů toků
Podrobnosti: Využijte protokoly toků skupin zabezpečení sítě k hlubšímu pochopení vzorů síťového provozu. Informace v protokolech toku pomáhají shromažďovat data pro dodržování předpisů, auditování a monitorování profilu zabezpečení sítě.

Osvědčený postup: Diagnostika problémů s připojením VPN
Podrobnosti: Pomocí služby Network Watcher můžete diagnostikovat nejběžnější problémy se službou VPN Gateway a připojením. K dalšímu prozkoumání můžete použít nejen identifikaci problému, ale také podrobné protokoly.

Zabezpečení nasazení pomocí osvědčených nástrojů DevOps

Pomocí následujících osvědčených postupů DevOps se ujistěte, že jsou vaše organizace a týmy produktivní a efektivní.

Osvědčený postup: Automatizujte sestavování a nasazování služeb.
Podrobnosti: Infrastruktura jako kód je sada technik a postupů, které pomáhají IT specialistům odstranit každodenní sestavování a správu modulární infrastruktury. Umožňuje IT specialistům vytvářet a udržovat své moderní serverové prostředí způsobem, jakým vývojáři softwaru vytvářejí a udržují kód aplikace.

Pomocí Azure Resource Manageru můžete zřizovat aplikace pomocí deklarativní šablony. S jednou šablonou můžete nasadit několik služeb společně s jejich závislostmi. Stejnou šablonu použijete k opakovanému nasazení aplikace v každé fázi životního cyklu aplikace.

Osvědčený postup: Automatické sestavování a nasazování do webových aplikací Azure nebo cloudových služeb
Podrobnosti: Projekty Azure DevOps můžete nakonfigurovat tak, aby se automaticky sestavily a nasadily do webových aplikací Azure nebo cloudových služeb. Azure DevOps automaticky nasadí binární soubory po provedení sestavení do Azure po každém vrácení kódu se změnami. Proces sestavení balíčku je ekvivalentní příkazu Package v sadě Visual Studio a kroky publikování jsou ekvivalentní příkazu Publikovat v sadě Visual Studio.

Osvědčený postup: Automatizace správy verzí
Podrobnosti: Azure Pipelines je řešení pro automatizaci vícefázového nasazení a správu procesu vydávání verzí. Vytvářejte spravované kanály průběžného nasazování, abyste je mohli rychle, snadno a často vydávat. Pomocí Azure Pipelines můžete automatizovat proces vydávání verzí a můžete mít předdefinované pracovní postupy schválení. Nasazení místně a do cloudu, rozšíření a přizpůsobení podle potřeby

Osvědčený postup: Před spuštěním aplikace zkontrolujte jeho výkon nebo nasaďte aktualizace do produkčního prostředí.
Podrobnosti: Spuštění cloudových zátěžových testů pro:

  • Najděte problémy s výkonem ve vaší aplikaci.
  • Zvýšení kvality nasazení
  • Ujistěte se, že je vaše aplikace vždy dostupná.
  • Ujistěte se, že vaše aplikace dokáže zpracovat provoz pro vaši příští spouštěcí nebo marketingovou kampaň.

Apache JMeter je bezplatný, oblíbený opensourcový nástroj se silnou komunitou.

Osvědčený postup: Monitorování výkonu aplikací
Podrobnosti: Aplikace Azure Přehledy je rozšiřitelná služba pro správu výkonu aplikací (APM) pro webové vývojáře na více platformách. Pomocí Přehledy aplikace můžete monitorovat živou webovou aplikaci. Automaticky detekuje anomálie výkonu. Obsahuje analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, co uživatelé ve skutečnosti dělají s vaší aplikací. Je navržená tak, aby pomáhala průběžně vylepšovat výkon a možnosti využití.

Zmírnění a ochrana před útoky DDoS

Distribuovaný odepření služby (DDoS) je typ útoku, který se snaží vyčerpat prostředky aplikace. Cílem je ovlivnit dostupnost aplikace a její schopnost zpracovávat legitimní požadavky. Tyto útoky se stávají sofistikovanějšími a většími velikostmi a dopadem. Můžou být zacílené na libovolný koncový bod, který je veřejně dostupný přes internet.

Navrhování a sestavování pro odolnost před útoky DDoS vyžaduje plánování a navrhování pro různé režimy selhání. Následují osvědčené postupy pro vytváření služeb odolných proti útoky DDoS v Azure.

Osvědčený postup: Zajistěte, aby zabezpečení bylo prioritou po celý životní cyklus aplikace, od návrhu a implementace až po nasazení a provoz. Aplikace můžou mít chyby, které umožňují relativně nízkému objemu požadavků používat velké množství prostředků, což vede k výpadku služby.
Podrobnosti: Abyste mohli chránit službu spuštěnou v Microsoft Azure, měli byste mít dobrý přehled o architektuře aplikací a zaměřit se na pět pilířů kvality softwaru. Měli byste znát typické objemy přenosů, model připojení mezi aplikací a jinými aplikacemi a koncové body služby, které jsou vystavené veřejnému internetu.

Nejdůležitější je zajistit, aby aplikace byla dostatečně odolná, aby zvládla odepření služby, která je cílem samotné aplikace. Zabezpečení a ochrana osobních údajů jsou integrované na platformě Azure, počínaje životním cyklem SDL (Security Development Lifecycle). SDL řeší zabezpečení v každé fázi vývoje a zajišťuje, že se Azure průběžně aktualizuje, aby byla ještě bezpečnější.

Osvědčený postup: Navrhněte aplikace tak, aby horizontálně škálovali tak, aby splňovaly požadavky na zesílené zatížení, konkrétně v případě útoku DDoS. Pokud vaše aplikace závisí na jedné instanci služby, vytvoří jediný bod selhání. Zřizování více instancí zvyšuje odolnost a škálovatelnost vašeho systému.
Podrobnosti: Pro službu Aplikace Azure vyberte plán služby App Service, který nabízí více instancí.

Pro Azure Cloud Services nakonfigurujte každou z vašich rolí tak, aby používala více instancí.

V případě virtuálních počítačů Azure se ujistěte, že architektura virtuálního počítače zahrnuje více než jeden virtuální počítač a že každý virtuální počítač je součástí skupiny dostupnosti. Pro možnosti automatického škálování doporučujeme použít škálovací sady virtuálních počítačů.

Osvědčený postup: Vrstvení ochrany zabezpečení v aplikaci snižuje pravděpodobnost úspěšného útoku. Implementace zabezpečených návrhů pro vaše aplikace pomocí integrovaných funkcí platformy Azure
Podrobnosti: Riziko útoku se zvyšuje s velikostí (povrchovou oblastí) aplikace. Povrchovou oblast můžete snížit tak, že pomocí seznamu schválení zavřete vystavený adresní prostor IP adres a naslouchají porty, které nejsou potřeba v nástrojích pro vyrovnávání zatížení (Azure Load Balancer a Aplikace Azure Gateway).

Skupiny zabezpečení sítě představují další způsob, jak snížit prostor pro útoky. Značky služeb a skupiny zabezpečení aplikací můžete použít k minimalizaci složitosti vytváření pravidel zabezpečení a konfiguraci zabezpečení sítě jako přirozeného rozšíření struktury aplikace.

Služby Azure byste měli nasadit ve virtuální síti , kdykoli je to možné. Tento postup umožňuje prostředkům služby komunikovat prostřednictvím privátních IP adres. Provoz služeb Azure z virtuální sítě ve výchozím nastavení používá veřejné IP adresy jako zdrojové IP adresy.

Pomocí koncových bodů služby přepne provoz služby tak, aby používal privátní adresy virtuální sítě jako zdrojové IP adresy, když přistupují ke službě Azure z virtuální sítě.

Často vidíme, že místní prostředky zákazníků se společně s jejich prostředky v Azure napadají. Pokud připojujete místní prostředí k Azure, minimalizujte vystavení místních prostředků veřejnému internetu.

Azure nabízí dvě nabídky služby DDoS, které poskytují ochranu před síťovými útoky:

  • Základní ochrana je ve výchozím nastavení integrovaná do Azure bez dalších poplatků. Škálování a kapacita globálně nasazené sítě Azure zajišťuje ochranu před běžnými útoky na síťové vrstvě díky nepřetržitému monitorování provozu a omezování rizik v reálném čase. Základní nevyžaduje žádné změny konfigurace uživatele ani aplikace a pomáhá chránit všechny služby Azure, včetně služeb PaaS, jako je Azure DNS.
  • Standardní ochrana poskytuje pokročilé možnosti omezení rizik útoků DDoS proti síťovým útokům. Je automaticky vyladěná tak, aby chránila vaše konkrétní prostředky Azure. Ochrana je jednoduchá a umožňuje ji při vytváření virtuálních sítí. Dá se také provést po vytvoření a nevyžaduje žádné změny aplikace nebo prostředku.

Povolení služby Azure Policy

Azure Policy je služba v Azure, kterou používáte k vytváření, přiřazování a správě zásad. Tyto zásady vynucují pravidla a účinky na vaše prostředky, takže tyto prostředky zůstanou v souladu s vašimi firemními standardy a smlouvami o úrovni služeb. Služba Azure Policy splňuje tuto potřebu vyhodnocením vašich prostředků z hlediska nedodržování přiřazených zásad.

Povolte službě Azure Policy monitorování a vynucování psaných zásad vaší organizace. Tím zajistíte dodržování předpisů vaší společnosti nebo zákonných požadavků na zabezpečení tím, že centrálně spravujete zásady zabezpečení napříč hybridními cloudovými úlohami. Naučte se vytvářet a spravovat zásady pro vynucování dodržování předpisů. Přehled prvků zásad najdete v definici služby Azure Policy.

Tady je několik osvědčených postupů zabezpečení, které byste měli postupovat po přijetí služby Azure Policy:

Osvědčený postup: Zásady podporují několik typů efektů. O nich si můžete přečíst ve struktuře definic azure Policy. Obchodní operace můžou být negativně ovlivněny efektem zamítnutí a nápravným účinkem, takže začněte účinkem auditu, abyste omezili riziko negativního dopadu ze zásad.
Podrobnosti: Spuštění nasazení zásad v režimu auditování a pozdější postup zamítnutí nebo nápravy. Než přejdete k odepření nebo nápravě, otestujte a zkontrolujte výsledky efektu auditu.

Další informace najdete v tématu Vytváření a správa zásad pro vynucování dodržování předpisů.

Osvědčený postup: Identifikujte role zodpovědné za monitorování porušení zásad a zajistěte rychlé provedení správné nápravné akce.
Podrobnosti: Mít přiřazené dodržování předpisů monitorování rolí prostřednictvím webu Azure Portal nebo přes příkazový řádek.

Osvědčený postup: Azure Policy je technická reprezentace psaných zásad organizace. Namapujte všechny definice Azure Policy na zásady organizace, abyste snížili nejasnost a zvýšili konzistenci.
Podrobnosti: Mapování dokumentů v dokumentaci vaší organizace nebo v samotné definici služby Azure Policy přidáním odkazu na zásady organizace v definici zásady nebo popisu definice iniciativy.

Monitorování sestav rizik Microsoft Entra

Velká většina porušení zabezpečení se provádí, když útočníci získají přístup k prostředí krádeží identity uživatele. Zjišťování ohrožených identit není snadný úkol. Microsoft Entra ID používá algoritmy adaptivního strojového učení a heuristiku k detekci podezřelých akcí souvisejících s vašimi uživatelskými účty. Každá zjištěná podezřelá akce se ukládá do záznamu označovaného jako detekce rizik. Detekce rizik se zaznamenávají v sestavách zabezpečení Microsoft Entra. Další informace najdete v sestavě zabezpečení uživatelů s riziky a sestavě zabezpečení rizikových přihlášení.

Další kroky

Podívejte se na osvědčené postupy a vzory zabezpečení Azure, kde najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.

K dispozici jsou následující zdroje informací, které poskytují obecnější informace o zabezpečení Azure a souvisejících služby Microsoft:

  • Blog týmu zabezpečení Azure – Aktuální informace o nejnovější verzi zabezpečení Azure
  • Microsoft Security Response Center – kde můžou být nahlášená ohrožení zabezpečení Microsoftu, včetně problémů s Azure, nebo prostřednictvím e-mailu secure@microsoft.com