Kontrolní seznam k provoznímu zabezpečení Azure

Nasazení cloudové aplikace v Azure je rychlé, snadné a nákladově efektivní. Před nasazením aplikace je užitečné mít kontrolní seznam. Kontrolní seznam vám může pomoct při vyhodnocování aplikace se seznamem základních a doporučených akcí zabezpečení.

Úvod

Azure poskytuje sadu služeb infrastruktury, které můžete použít k nasazení aplikací. Provozní zabezpečení Azure označuje služby, ovládací prvky a funkce, které jsou uživatelům k dispozici za účelem ochrany dat, aplikací a dalších prostředků v Microsoft Azure.

Pokud chcete získat maximální výhodu z cloudové platformy, doporučujeme používat služby Azure a postupovat podle kontrolního seznamu. Organizace, které investují čas a prostředky, vyhodnocují provozní připravenost svých aplikací před spuštěním, mají vyšší míru spokojenosti než ty, které ne. Při provádění této práce můžou být kontrolní seznamy neocenitelným mechanismem, který zajistí, aby se aplikace vyhodnocovaly konzistentně a holisticky.

Kontrolní seznam

Tento kontrolní seznam má pomoct podnikům při nasazování sofistikovaných podnikových aplikací v Azure přemýšlet o různých aspektech provozního zabezpečení. Dá se také použít k vytvoření zabezpečené strategie migrace a provozu cloudu pro vaši organizaci.

Kategorie kontrolního seznamu	Popis
Role zabezpečení a řízení přístupu	Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete poskytnout konkrétní uživatele, který se používá k přiřazování oprávnění uživatelům, skupinám a aplikacím v určitém rozsahu.
Ochrana dat a úložiště	Zabezpečení roviny správy použijte k zabezpečení účtu úložiště pomocí řízení přístupu na základě role v Azure (Azure RBAC). Zabezpečení roviny dat pro zabezpečení přístupu k datům pomocí sdílených přístupových podpisů (SAS) a uložených zásad přístupu. Použijte šifrování na úrovni přenosu – Použití PROTOKOLU HTTPS a šifrování používané protokoly SMB (protokoly bloku zpráv serveru) 3.0 pro sdílené složky Azure. Šifrování na straně klienta slouží k zabezpečení dat odesílaných do účtů úložiště, pokud potřebujete výhradní kontrolu nad šifrovacími klíči. Šifrování služby Storage (SSE) slouží k automatickému šifrování dat ve službě Azure Storage a Azure Disk Encryption pro virtuální počítače s Linuxem a azure Disk Encryption pro virtuální počítače s Windows k šifrování souborů disků virtuálního počítače pro disky s operačním systémem a datovými disky. K monitorování typu autorizace použijte Azure Analýza úložiště. Podobně jako u služby Blob Storage můžete zjistit, jestli uživatelé použili sdílený přístupový podpis nebo klíče účtu úložiště. Sdílení prostředků mezi zdroji (CORS) slouží k přístupu k prostředkům úložiště z různých domén.
Zásady zabezpečení a doporučení	K nasazení řešení koncových bodů použijte Microsoft Defender for Cloud . Přidejte firewall webových aplikací (WAF) pro zabezpečení webových aplikací. Pomocí služby Azure Firewall můžete zvýšit ochranu zabezpečení. Použijte podrobnosti o kontaktu zabezpečení pro vaše předplatné Azure. Microsoft Security Response Center (MSRC) vás kontaktuje, pokud zjistí, že vaše zákaznická data byla přístupná neoprávněnou nebo neoprávněnou stranou.
Správa identit a přístupu	Synchronizujte místní adresář s cloudovým adresářem pomocí ID Microsoft Entra. Jednotné přihlašování umožňuje uživatelům přístup k aplikacím SaaS na základě účtu organizace v Azure AD. Sestava aktivity registrace resetování hesla slouží k monitorování uživatelů, kteří se registrují. Povolte vícefaktorové ověřování (MFA) pro uživatele. Vývojáři používají zabezpečené funkce identit pro aplikace, jako je Microsoft Security Development Lifecycle (SDL). Aktivně monitorujte podezřelé aktivity pomocí sestav anomálií Microsoft Entra ID P1 nebo P2 a funkce microsoft Entra ID Protection.
Průběžné monitorování zabezpečení	K hlášení stavu antimalwarové ochrany ve vaší infrastruktuře použijte protokoly azure Monitoru pro posouzení malwaru. Pomocí řešení Update Management můžete určit celkovou expozici potenciálním problémům se zabezpečením a zjistit, jestli jsou tyto aktualizace důležité pro vaše prostředí. Centrum pro správu Microsoft Entra poskytuje přehled o integritě a zabezpečení adresáře vaší organizace.
Možnosti detekce cloudu v programu Microsoft Defender for Cloud	Využijte správu stavu zabezpečení cloudu (CSPM) k posílení zabezpečení, které vám pomůžou efektivně a efektivně zlepšit zabezpečení. Upozornění použijte k oznámení, když se hrozby identifikují ve vašem cloudu, hybridním nebo místním prostředí. Pomocí zásad zabezpečení, iniciativ a doporučení můžete zlepšit stav zabezpečení.

Závěr

Řada organizací úspěšně nasadila a provozovala své cloudové aplikace v Azure. Kontrolní seznamy zvýrazňují několik kontrolních seznamů, které jsou nezbytné, a pomáhají zvýšit pravděpodobnost úspěšných nasazení a bez frustrace provozu. Důrazně doporučujeme tyto provozní a strategické aspekty pro vaše stávající a nová nasazení aplikací v Azure.

Další kroky

Další informace o zabezpečení v Azure najdete v následujících článcích:

• Sdílená odpovědnost v cloudu
• Kompletní zabezpečení v Azure
• Ochrana ransomwaru v Azure