Seznámení se zabezpečením Azure
Přehled
Víme, že zabezpečení je první úlohou v cloudu a jak důležité je najít přesné a včasné informace o zabezpečení Azure. Jedním z nejlepších důvodů, proč používat Azure pro vaše aplikace a služby, je využít výhod široké škály nástrojů a možností zabezpečení. Tyto nástroje a možnosti pomáhají vytvářet zabezpečená řešení na zabezpečené platformě Azure. Microsoft Azure zajišťuje důvěrnost, integritu a dostupnost zákaznických dat a zároveň umožňuje transparentní odpovědnost.
Tento článek poskytuje komplexní přehled o zabezpečení dostupném v Azure.
Platforma Azure
Azure je veřejná cloudová platforma, která podporuje širokou škálu operačních systémů, programovacích jazyků, architektur, nástrojů, databází a zařízení. Může spouštět linuxové kontejnery s integrací Dockeru. vytváření aplikací pomocí JavaScriptu, Pythonu, .NET, PHP, Javy a Node.js; Vytváření back-endsů pro zařízení s iOSem, Androidem Windows zařízeními
Veřejné cloudové služby Azure podporují stejné technologie, na které už miliony vývojářů a IT specialistů spoléhají a důvěřují jim. Při sestavování nebo migraci IT prostředků na poskytovatele veřejných cloudových služeb spoléháte na schopnosti této organizace chránit vaše aplikace a data pomocí služeb a ovládacích prvků, které poskytují ke správě zabezpečení cloudových prostředků.
Infrastruktura Azure je navržená od zařízení až po aplikace pro současné hostování milionů zákazníků a poskytuje důvěryhodný základ, na kterém mohou firmy splňovat své požadavky na zabezpečení.
Azure navíc poskytuje širokou škálu konfigurovatelných možností zabezpečení a možnost jejich řízení, abyste mohli zabezpečení přizpůsobit tak, aby splňovalo jedinečné požadavky nasazení vaší organizace. Tento dokument vám pomůže pochopit, jak vám funkce zabezpečení Azure můžou pomoct splnit tyto požadavky.
Poznámka
Tento dokument se primárně zaměřuje na ovládací prvky pro zákazníky, které můžete použít k přizpůsobení a zvýšení zabezpečení aplikací a služeb.
Informace o tom, jak Microsoft zabezpečuje samotnou platformu Azure, najdete v tématu Zabezpečení infrastruktury Azure.
Shrnutí možností zabezpečení Azure
V závislosti na modelu cloudové služby existuje proměnlivá odpovědnost za to, kdo zodpovídá za správu zabezpečení aplikace nebo služby. Na platformě Azure jsou k dispozici funkce, které vám pomohou s plněním těchto zodpovědností prostřednictvím integrovaných funkcí a prostřednictvím partnerských řešení, která je možné nasadit do předplatného Azure.
Integrované funkce jsou uspořádané do šesti funkčních oblastí: Operace, Aplikace, Storage, Sítě, Výpočetní prostředky a Identita. Další podrobnosti o funkcích a možnostech dostupných na platformě Azure v těchto šesti oblastech najdete prostřednictvím souhrnných informací.
Operace
Tato část obsahuje další informace týkající se klíčových funkcí operací zabezpečení a souhrnné informace o těchto možnostech.
Microsoft Defender for Cloud
Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně s lepším přehledem o zabezpečení vašich prostředků Azure a kontrolou nad ním. Poskytuje integrované bezpečnostní sledování a správu zásad ve vašich předplatných Azure, pomáhá zjišťovat hrozby, kterých byste si jinak nevšimli, a spolupracuje s řadou řešení zabezpečení.
Kromě toho Defender for Cloud pomáhá s operacemi zabezpečení tím, že poskytuje jeden řídicí panel, který poskytuje výstrahy a doporučení, na základě kterých je možné okamžitě jednat. Často můžete problémy vyřešit jediným kliknutím v konzole defenderu for cloud.
Azure Resource Manager
Azure Resource Manager vám umožňuje pracovat s prostředky ve vašem řešení jako se skupinou. Všechny prostředky pro vaše řešení můžete nasadit, aktualizovat nebo odstranit v rámci jediné koordinované operace. Šablonu šablony Azure Resource Manager pro nasazení a tato šablona může fungovat pro různá prostředí, jako je testování, pracovní a produkční prostředí. Resource Manager poskytuje funkce zabezpečení, auditování a označování, které vám po nasazení pomohou prostředky spravovat.
Azure Resource Manager nasazení založená na šablonách pomáhají zlepšit zabezpečení řešení nasazených v Azure, protože standardní nastavení bezpečnostních kontrol je možné integrovat do standardizovaných nasazení založených na šablonách. Tím se snižuje riziko chyb konfigurace zabezpečení, ke které může dojít během ručního nasazení.
Application Insights
Application Přehledy je rozšiřitelná služba APM (Application Performance Management) pro webové vývojáře. Pomocí služby Application Přehledy můžete monitorovat živé webové aplikace a automaticky zjišťovat anomálie výkonu. Obsahuje výkonné analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, co uživatelé ve skutečnosti s vašimi aplikacemi dělají. Aplikace se monitoruje po celou dobu, kdy je spuštěná, a to jak během testování, tak i po publikování nebo nasazení.
Aplikační Přehledy vytváří grafy a tabulky, které vám například ukážou, v jaké denní době získáte většinu uživatelů, jak je aplikace responzivní a jak dobře ji posloužily externí služby, na kterých závisí.
Pokud dojde k selháním, selháním nebo problémům s výkonem, můžete si podrobně prohledat telemetrická data a diagnostikovat příčinu. A služba vám pošle e-maily, pokud dojde ke změnám dostupnosti a výkonu vaší aplikace. Application Insight se tak stává cenným nástrojem zabezpečení, protože pomáhá s dostupností v případě důvěrnosti, integrity a dostupnosti.
Azure Monitor
Azure Monitor nabízí vizualizaci, dotazování, směrování, upozornění, automatické škálování a automatizaci dat z předplatného Azure(protokolaktivit) i jednotlivých prostředků Azure(protokoly prostředků). Pomocí této Azure Monitor upozorníte na události související se zabezpečením, které se generují v protokolech Azure.
Protokoly služby Azure Monitor
Azure Monitor protokolů – Kromě prostředků Azure poskytuje řešení pro správu IT pro místní cloudovou infrastrukturu i cloudovou infrastrukturu třetích stran (například AWS). Data z Azure Monitor můžete směrovat přímo do Azure Monitor protokolů, abyste na jednom místě viděli metriky a protokoly pro celé prostředí.
Azure Monitor protokoly mohou být užitečným nástrojem pro forenzní a jinou analýzu zabezpečení, protože vám umožňuje rychle prohledávat velké objemy položek souvisejících se zabezpečením s flexibilním přístupem k dotazům. Kromě toho je možné místní protokoly brány firewall a proxy serveru exportovat do Azure a získejte je k dispozici pro analýzu pomocí Azure Monitor protokolů.
Azure Advisor
Azure Advisor je přizpůsobený cloudový konzultant, který vám pomůže optimalizovat nasazení Azure. Analyzuje telemetrii využití a konfiguraci prostředků. Následně doporučí řešení, která vám pomůžou zlepšit výkon,zabezpečení a spolehlivost vašich prostředků a zároveň hledat příležitosti ke snížení celkové náklady na Azure. Azure Advisor poskytuje doporučení k zabezpečení, která mohou výrazně zlepšit celkový stav zabezpečení pro řešení, která nasazujete v Azure. Tato doporučení jsou čeržena z analýzy zabezpečení, kterou provádí Microsoft Defender for Cloud.
Aplikace
Tato část obsahuje další informace týkající se klíčových funkcí zabezpečení aplikace a souhrnné informace o těchto možnostech.
Kontrola ohrožení zabezpečení webové aplikace
Jedním z nejjednodušších způsobů, jak začít s testováním ohrožení zabezpečení ve vaší aplikaci App Service, je použít integraci se zabezpečením Tinfoil k provedení kontroly ohrožení zabezpečení jedním kliknutím ve vaší aplikaci. Výsledky testů si můžete prohlédnout ve snadno pochopitelné sestavě a pomocí podrobných pokynů se dozvíte, jak vyřešit jednotlivá ohrožení zabezpečení.
Penetrační testování
Penetrační testování vaší aplikace za vás provádět nebudeme, ale chápeme, že chcete a potřebujete provádět testování ve svých vlastních aplikacích. To je dobrá věc, protože když zvýšíte zabezpečení aplikací, zvýšíte zabezpečení celého ekosystému Azure. Přestože se od Microsoftu už nevyžaduje upozorňovat na aktivity penetračního testování, zákazníci musí stále dodržovat pravidla zapojení testování průniku docloudu od Microsoftu.
Firewall webových aplikací
Firewall webových aplikací (WAF) ve službě Azure Application Gateway pomáhá chránit webové aplikace před běžnými webovými útoky, jako jsou injektáž SQL, skriptování mezi weby a napadení relace. Obsahuje předem nakonfigurovanou ochranu před hrozbami identifikované OWASP (Open Web Application Security Project) jako 10 nejčastějších ohrožení zabezpečení.
Ověřování a autorizace v prostředí Azure App Service
App Service ověřování / autorizace je funkce, která vaší aplikaci umožňuje přihlašovat uživatele, abyste v back-endu aplikace nechcete měnit kód. Poskytuje snadný způsob, jak chránit aplikaci a pracovat s uživatelskými daty.
Architektura vrstveného zabezpečení
Vzhledem k tomu, App Service prostředí poskytují izolované běhové prostředí nasazené do Azure Virtual Network,mohou vývojáři vytvořit vrstvené architektury zabezpečení poskytující různé úrovně síťového přístupu pro každou aplikační vrstvu. Běžnou snahou je skrýt back-ends rozhraní API před obecným přístupem k internetu a povolit volání rozhraní API pouze pomocí upstreamových webových aplikací. Skupiny zabezpečení sítě (NSG) je možné použít v podsítích Azure Virtual Network, které obsahují App Service Environment, a omezit tak veřejný přístup k aplikacím API.
Diagnostika webového serveru a diagnostika aplikací
App Service webové aplikace poskytují diagnostické funkce pro protokolování informací z webového serveru i webové aplikace. Ty jsou logicky rozdělené na diagnostiku webového serveru a diagnostiku aplikací. Webový server zahrnuje dva hlavní pokroky v diagnostice a řešení potíží s weby a aplikacemi.
První novou funkcí jsou informace o stavu fondů aplikací, pracovních procesů, webů, domén aplikací a spuštěných žádostí v reálném čase. Druhou novou výhodou jsou podrobné události trasování, které sledují požadavek během celého procesu požadavku a odpovědi.
Pokud chcete povolit shromažďování těchto událostí trasování, je možné službu IIS 7 nakonfigurovat tak, aby automaticky zachytávání protokolů úplného trasování ve formátu XML pro jakýkoli konkrétní požadavek na základě uplynulého času nebo kódů chybových odpovědí.
Storage
Tato část obsahuje další informace týkající se klíčových funkcí zabezpečení úložiště Azure a souhrnné informace o těchto možnostech.
Řízení přístupu na základě role Azure (Azure RBAC)
Účet úložiště můžete zabezpečit pomocí řízení přístupu na základě role v Azure (Azure RBAC). Omezení přístupu na základě potřeby znát principy zabezpečení a principy zabezpečení s nejmenšími oprávněními je nezbytné pro organizace, které chtějí vynucovat zásady zabezpečení pro přístup k datům. Tato přístupová práva se udělují přiřazením příslušné role Azure ke skupinám a aplikacím v určitém oboru. K přiřazení oprávnění uživatelům můžete použít předdefinované role Azure,jako je Storage přispěvatel účtů. Přístup ke klíčům úložiště pro účet úložiště pomocí modelu Azure Resource Manager je možné řídit prostřednictvím Azure RBAC.
Sdílený přístupový podpis
Sdílený přístupový podpis (SAS) poskytuje delegovaný přístup k prostředkům ve vašem účtu úložiště. SAS znamená, že můžete klientovi udělit omezená oprávnění k objektům ve vašem účtu úložiště po zadanou dobu a se zadanou sadu oprávnění. Tato omezená oprávnění můžete udělit, aniž byste museli sdílet přístupové klíče účtu.
Šifrování během přenosu
Šifrování během přenosu je mechanismus ochrany dat při přenosu mezi sítěmi. S Azure Storage můžete zabezpečit data pomocí:
Šifrování na úrovni přenosu,například HTTPS při přenosu dat do nebo z Azure Storage.
Šifrování přenosu, jako je šifrování SMB 3.0 pro sdílené složky Azure.
Šifrování na straně klienta k šifrování dat před jejich přenosem do úložiště a k dešifrování dat po jejich přenosu z úložiště.
Šifrování neaktivních uložených dat
V mnoha organizacích je šifrování dat v klidové době povinným krokem k ochraně osobních údajů v datech, dodržování předpisů a suverenity dat. Existují tři funkce zabezpečení úložiště Azure, které poskytují šifrování dat, která jsou "v klidech":
Storage služby umožňuje požadovat, aby služba úložiště při zápisu dat do služby Azure Storage.
Šifrování na straně klienta také poskytuje funkci šifrování v klidových klidech.
Azure Disk Encryption umožňuje šifrovat disky s operačním systémem a datové disky používané virtuálním počítači IaaS.
Storage Analytics
Azure Storage Analytics provádí protokolování a poskytuje data metrik pro účet úložiště. Tato data můžete použít k trasování požadavků, analýze trendů využití a diagnostice problémů s účtem úložiště. Analýza úložiště protokoluje podrobné informace o úspěšných a neúspěšných požadavcích na službu úložiště. Tyto informace je možné použít k monitorování jednotlivých požadavků a diagnostice problémů se službou úložiště. Požadavky se protokolut s maximálním úsilím. Protokolují se následující typy ověřovaných požadavků:
- Úspěšné požadavky.
- Neúspěšné požadavky, včetně chyb časového limitu, omezování, sítě, autorizace a dalších chyb
- Žádosti používající sdílený přístupový podpis (SAS), včetně neúspěšných a úspěšných požadavků
- Požadavky na analytická data.
Povolení klientů Browser-Based pomocí CORS
Sdílení prostředků mezi zdroji (CORS) je mechanismus, který doménám umožňuje vzájemně si udělit oprávnění pro přístup k prostředkům ostatních. Uživatelský agent odesílá další hlavičky, aby se zajistilo, že javascriptový kód načtený z určité domény bude mít povolený přístup k prostředkům umístěným v jiné doméně. Druhá doména pak odpoví dodatečnými hlavičkami, které původní doméně povolují nebo odmítnou přístup k prostředkům.
Služby úložiště Azure teď podporují CORS, takže po nastavení pravidel CORS pro službu se vyhodnotí správně ověřený požadavek na službu z jiné domény, aby se zjistilo, jestli je povolená podle pravidel, která jste zadali.
Sítě
Tato část obsahuje další informace týkající se klíčových funkcí zabezpečení sítě Azure a souhrnné informace o těchto možnostech.
Ovládací prvky síťové vrstvy
Řízení přístupu k síti je omezení připojení ke konkrétním zařízením nebo podsítím a představuje jádro zabezpečení sítě. Cílem řízení přístupu k síti je zajistit, aby vaše virtuální počítače a služby byly přístupné jenom uživatelům a zařízením, ke kterým chcete mít přístup.
Network Security Groups (Skupiny zabezpečení sítě)
Skupina zabezpečení sítě (NSG) je základní brána firewall pro filtrování stavových paketů, která umožňuje řídit přístup na základě řazené kolekce 5 členů. Skupiny NSG neposkytují kontrolu aplikační vrstvy ani ověřené řízení přístupu. Můžete je použít k řízení provozu mezi podsítěmi v rámci azure Virtual Network a provozem mezi azure Virtual Network a internetem.
Řízení tras a vynucené tunelování
Schopnost řídit chování směrování ve virtuálních sítích Azure je důležitou funkcí zabezpečení sítě a řízení přístupu. Pokud například chcete zajistit, aby veškerý provoz do a z Azure Virtual Network prošel přes toto virtuální bezpečnostní zařízení, musíte být schopni řídit a přizpůsobovat chování směrování. Můžete to udělat tak, že nakonfigurujete User-Defined trasy v Azure.
Trasy definované uživatelem umožňují přizpůsobit příchozí a odchozí cesty pro přenosy do a z jednotlivých virtuálních počítačů nebo podsítí, abyste zajistili nejbezpečnější možnou trasu. Vynucené tunelování je mechanismus, který můžete použít k zajištění toho, aby vaše služby nebyly povolené iniciovat připojení k zařízením na internetu.
To se liší od toho, že je možné přijímat příchozí připojení a pak na ně reagovat. Front-endové webové servery musí reagovat na žádosti od internetových hostitelů, takže internetový provoz je povolený pro příchozí provoz na tyto webové servery a webové servery reagovat.
Vynucené tunelování se běžně používá k vynucení odchozího provozu do internetu, aby prošly místními zabezpečovacími proxy a bránami firewall.
Virtual Network Security Appliance
Zatímco skupiny zabezpečení sítě, trasy User-Defined a vynucené tunelování poskytují úroveň zabezpečení na síťové a přenosové vrstvě modelu OSI,může se zobrazit čas, kdy chcete povolit zabezpečení na vyšších úrovních zásobníku. K těmto rozšířeným funkcím zabezpečení sítě můžete přistupovat pomocí partnerského řešení pro zabezpečení sítě Azure. Nejdélnější řešení zabezpečení sítě partnerů Azure najdete v Azure Marketplace a hledáním "zabezpečení" a "zabezpečení sítě".
Azure Virtual Network
Virtuální síť Azure je reprezentace vaší vlastní sítě v cloudu. Jedná se o logickou izolaci prostředků infrastruktury sítě Azure vyhrazených pro vaše předplatné. V rámci této sítě máte plnou kontrolu nad bloky IP adres, nastavením DNS, zásadami zabezpečení a směrovacími tabulkami. Virtuální síť můžete segmentovat do podsítí a umístit virtuální počítače Azure IaaS nebo cloudové služby (instance rolí PaaS) do virtuálních sítí Azure.
Virtuální síť můžete navíc připojit k místní síti pomocí jedné z možností připojení dostupných v Azure. V podstatě můžete svoji síť rozšířit do Azure s úplnou kontrolou nad bloky IP adres a s výhodou poskytovatelů Azure celopodnikového rozsahu.
Sítě Azure podporují různé scénáře zabezpečeného vzdáleného přístupu. Zde jsou některá z vylepšení:
Připojení jednotlivých pracovních stanic do azure Virtual Network
Připojení místní sítě do služby Azure Virtual Network pomocí sítě VPN
Připojení místní sítě do služby Azure Virtual Network vyhrazeným propojením WAN
Azure Private Link
Azure Private Link umožňuje privátní přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a partnerským službám vlastněných zákazníky nebo vlastněných Azure ve vaší virtuální síti přes privátní koncový bod. Nastavení a využití pomocí Azure Private Link je konzistentní napříč Azure PaaS, službami vlastněných zákazníky a sdílenými partnerskými službami. Provoz z vaší virtuální sítě do služby Azure vždy zůstává v Microsoft Azure páteřní síti.
Privátní koncové body umožňují zabezpečit důležité prostředky služeb Azure pouze ve vašich virtuálních sítích. Privátní koncový bod Azure používá privátní IP adresu z vaší virtuální sítě k privátnímu a bezpečnému připojení ke službě využívající službu Azure Private Link, která tuto službu skutečně přináší do vaší virtuální sítě. Vystavení virtuální sítě veřejnému internetu už není nutné k používání služeb v Azure.
Ve své virtuální síti můžete také vytvořit vlastní službu privátního propojení. Azure Private Link service je odkaz na vaši vlastní službu, která využívá Azure Private Link. Službu, která běží za službou Azure Standard Load Balancer, je možné povolit Private Link tak, aby k ní spotřebitelé mohli přistupovat soukromě ze svých vlastních virtuálních sítí. Vaši zákazníci mohou ve své virtuální síti vytvořit privátní koncový bod a namapovat ho na tuto službu. Vystavení vaší služby veřejnému internetu už není nutné k vykreslování služeb v Azure.
VPN Gateway
Pokud chcete odesílat síťový provoz mezi službou Azure Virtual Network a místní lokalitou, musíte vytvořit bránu VPN pro vaši službu Azure Virtual Network. Brána VPN gateway je typ brány virtuální sítě, která odesílá šifrovaný provoz přes veřejné připojení. Brány VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi Azure přes prostředky infrastruktury sítě Azure.
Express Route
Microsoft Azure ExpressRoute je vyhrazené propojení WAN, které umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes vyhrazené privátní připojení, které usnadňuje poskytovatel připojení.
Pomocí ExpressRoute můžete vytvořit připojení ke cloudovým službám Microsoftu, jako jsou Microsoft Azure, Microsoft 365 a CRM Online. Co se týká připojení, může se jednat o síť typu any-to-any (IP VPN), síť Ethernet typu point-to-point nebo virtuální křížové připojení prostřednictvím poskytovatele připojení ve společném umístění.
Připojení ExpressRoute nepocházují přes veřejný internet, a proto je možné je považovat za bezpečnější než řešení založená na síti VPN. To dovoluje připojením ExpressRoute poskytovat větší spolehlivost, vyšší rychlost, nižší latenci a vyšší zabezpečení než typická připojení přes internet.
Application Gateway
Microsoft Azure Application Gateway poskytuje kontroler doručování aplikací (ADC) jako službu, který vaší aplikaci nabízí různé možnosti vyrovnávání zatížení vrstvy 7.
Umožňuje optimalizovat produktivitu webové farmy tím, že se ukončení protokolu TLS náročné na procesor přesouváním na Application Gateway (označuje se také jako "snižování zátěže TLS" nebo "přemostění TLS"). Poskytuje také další možnosti směrování vrstvy 7, včetně kruhového dotazování na distribuci příchozích přenosů, spřažení relací na základě souborů cookie, směrování na základě cest URL a možnosti hostování několika webů za jedním Application Gateway. Služba Azure Application Gateway je nástroj pro vyrovnávání zatížení vrstvy 7.
Poskytuje převzetí služeb při selhání, směrování výkonu požadavků HTTP mezi různými servery, ať už jsou místní nebo v cloudu.
Aplikace poskytuje mnoho funkcí kontroleru doručování aplikací (ADC), včetně vyrovnávání zatížení HTTP, spřažení relací na základě souborů cookie, snižování zátěže protokolu TLS,vlastních sond stavu, podpory více webů a mnoha dalších.
Firewall webových aplikací
Web Application Firewall je funkce služby Azure Application Gateway, která poskytuje ochranu webovým aplikacím, které používají aplikační bránu pro standardní funkce řízení doručování aplikací (ADC). Firewall webových aplikací chrání webové aplikace před většinou z 10 nejčastějších webových hrozeb podle OWASP.
Ochrana před útoky prostřednictvím injektáže SQL.
Ochrana před běžnými webovými útoky, jako je například injektáž příkazů, pronášení požadavků HTTP, rozdělování odpovědí protokolu HTTP a útok pomocí vložení vzdáleného souboru.
Ochrana před narušením protokolu HTTP.
Ochrana před anomáliemi protokolu HTTP, jako například chybějící údaj user-agent hostitele nebo hlavičky Accept.
Ochrana před roboty, prohledávacími moduly a skenery.
Detekce běžných chyb konfigurace aplikací (tj. Apache, IIS atd.)
Centralizovaný firewall webových aplikací, který chrání před webovými útoky, značně zjednodušuje správu zabezpečení a nabízí lepší ochranu aplikací před hrozbami neoprávněného vniknutí. Řešení Firewall webových aplikací (WAF) může také rychleji reagovat na ohrožení zabezpečení, protože opravuje známé chyby zabezpečení v centrálním umístění, namísto zabezpečování jednotlivých webových aplikací. Firewall webových aplikací umožňuje jednoduše převést stávající aplikační brány do služby Application Gateway.
Traffic Manager
Microsoft Azure Traffic Manager umožňuje řídit distribuci uživatelského provozu pro koncové body služby v různých datových centrech. Mezi koncové body služby podporované Traffic Manager patří virtuální počítače Azure, Web Apps a cloudové služby. Službu Traffic Manager můžete použít také s externími koncovými body mimo Azure. Traffic Manager ke směrování požadavků klientů do nejvhodnějšího koncového bodu na základě metody směrování provozu a stavu koncových bodů používá systém DNS (Domain Name System).
Traffic Manager poskytuje řadu metod směrování provozu, které vyhovují různým potřebám aplikací, monitorování stavu koncových bodů a automatické převzetí služeb při selhání. Služba Traffic Manager je odolná vůči selhání, a to i selhání celé oblasti Azure.
Azure Load Balancer
Azure Load Balancer poskytuje vašim aplikacím vysokou dostupnost a výkon sítě. Jedná se o nástroj pro vyrovnávání zatížení vrstvy 4 (TCP, UDP), který distribuuje příchozí provoz mezi instance služeb, které jsou v pořádku, definované v sadě s vyrovnáváním zatížení. Azure Load Balancer můžete nakonfigurovat na:
Vyrovnávání zatížení příchozího internetového provozu do virtuálních počítačů Tato konfigurace se označuje jako veřejné vyrovnávání zatížení.
Vyrovnávání zatížení provozu mezi virtuálními počítači ve virtuální síti, mezi virtuálními počítači v cloudových službách nebo mezi místními počítači a virtuálními počítači ve virtuální síti mezi různými umístěními. Tato konfigurace se označuje jako interní vyrovnávání zatížení.
Přesměrování externího provozu na konkrétní virtuální počítač
Interní DNS
Seznam serverů DNS používaných ve virtuální síti můžete spravovat v Portál pro správu nebo v konfiguračním souboru sítě. Zákazník může pro každou virtuální síť přidat až 12 serverů DNS. Při zadávání serverů DNS je důležité ověřit, že vypište servery DNS zákazníka ve správném pořadí podle prostředí zákazníka. Seznamy serverů DNS nefungují s kruhovým dotazováním. Používají se v zadaném pořadí. Pokud je možné získat přístup k prvnímu serveru DNS v seznamu, klient použije tento server DNS bez ohledu na to, jestli server DNS funguje správně nebo ne. Pokud chcete změnit pořadí serverů DNS pro virtuální síť zákazníka, odeberte servery DNS ze seznamu a přidejte je zpět v pořadí, v pořadí, ve které zákazník chce. DNS podporuje aspekt dostupnosti triády zabezpečení CIA.
Azure DNS
Dns (Domain Name System) zodpovídá za překlad (nebo překlad) názvu webu nebo služby na jeho IP adresu. Azure DNS je hostitelská služba určená pro domény DNS a zajišťuje překlad názvů s využitím infrastruktury Microsoft Azure. Pokud svoje domény hostujete v Azure, můžete spravovat svoje DNS záznamy pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure. DNS podporuje aspekt dostupnosti triády zabezpečení CIA.
Azure Monitor protokoluje NSG
Pro skupiny zabezpečení sítě můžete povolit následující kategorie diagnostických protokolů:
Událost: Obsahuje položky, pro které se pravidla NSG aplikují na virtuální počítače a role instancí na základě adresy MAC. Stav těchto pravidel se shromažďuje každých 60 sekund.
Čítač pravidel: Obsahuje položky, kolikrát se každé pravidlo NSG použije k odepření nebo povolení provozu.
Defender for Cloud
Microsoft Defender for Cloud průběžně analyzuje stav zabezpečení vašich prostředků Azure a využívá osvědčené postupy zabezpečení sítě. Když Defender for Cloud identifikuje potenciální ohrožení zabezpečení, vytvoří doporučení, která vás provede procesem konfigurace potřebných ovládacích prvků pro zlepšení a ochranu vašich prostředků.
Compute
Tato část obsahuje další informace týkající se klíčových funkcí v této oblasti a souhrnné informace o těchto možnostech.
Antimalwarová & Antivirus
S Azure IaaS můžete k ochraně virtuálních počítačů před škodlivými soubory, adwarem a dalšími hrozbami používat antimalwarový software od dodavatelů zabezpečení, jako jsou Microsoft, Symantec, Trend Micro, McSense a Microsoft Antimalware pro Azure Cloud Services a Virtual Machines je funkce ochrany, která pomáhá identifikovat a odstraňovat viry, spyware a další škodlivý software. Microsoft Antimalware poskytuje konfigurovatelné výstrahy, když se známý škodlivý nebo nežádoucí software pokusí nainstalovat nebo spustit na vašich systémech Azure. Microsoft Antimalware je také možné nasadit pomocí programu Microsoft Defender for Cloud.
Modul hardwarového zabezpečení
Šifrování a ověřování nevylepšují zabezpečení, pokud nejsou chráněné samotné klíče. Správu a zabezpečení důležitých tajných kódů a klíčů můžete zjednodušit jejich uložením do Azure Key Vault. Key Vault nabízí možnost ukládat klíče do hardwarových modulů zabezpečení (HSM) certifikovaných podle standardů FIPS 140-2 Level 2. Vaše SQL Server šifrovací klíče pro zálohování nebo transparentní šifrování dat je možné ukládat ve službě Key Vault s libovolnými klíči nebo tajnými kódy z vašich aplikací. Oprávnění a přístup k těmto chráněným položkám se spravují prostřednictvím Azure Active Directory.
Zálohování virtuálních počítačů
Azure Backup je řešení, které chrání data aplikací s nulovými kapitálovými investicemi a minimálními provozními náklady. Chyby aplikací mohou poškodit vaše data a lidské chyby mohou do vašich aplikací vnášit chyby, které mohou vést k problémům se zabezpečením. Díky Azure Backup virtuální počítače se systémem Windows a Linux jsou chráněné.
Azure Site Recovery
Důležitou součástí strategie provozní kontinuity a zotavení po havárii (BCDR) vaší organizace je přijít na to, jak zajistit provoz podnikových úloh a aplikací v případě plánovaných a neplánovaných výpadků. Azure Site Recovery pomáhá orchestrovat replikaci, převzetí služeb při selhání a obnovení úloh a aplikací tak, aby byly dostupné ze sekundárního umístění v případě, že dojde k selhání primárního umístění.
SQL TDE virtuálního počítače
Transparentní šifrování dat (TDE) a šifrování na úrovni sloupců (CLE) SQL šifrování serveru. Tato forma šifrování vyžaduje, aby zákazníci spravovat a ukládat kryptografické klíče, které používáte k šifrování.
Služba Azure Key Vault (AKV) je navržená tak, aby vylepšuje zabezpečení a správu těchto klíčů v zabezpečeném a vysoce dostupném umístění. Konektor SQL Server Connector umožňuje SQL Server klíče z Azure Key Vault.
Pokud používáte SQL Server s místními počítači, můžete postupovat podle kroků pro přístup k Azure Key Vault z místní instance SQL Server počítače. Pro SQL Server virtuálních počítačech Azure ale můžete ušetřit čas pomocí funkce Azure Key Vault integrace. S několika Azure PowerShell, které tuto funkci povolí, můžete automatizovat konfiguraci potřebnou pro přístup virtuálního SQL virtuálního počítače pro přístup k trezoru klíčů.
Šifrování disků virtuálního počítače
Azure Disk Encryption je nová funkce, která pomáhá šifrovat disky Windows virtuálních počítačů IaaS s Linuxem. Používá standardní funkci BitLockeru systému Windows a DM-Crypt systému Linux k zajištění šifrování svazků pro operační systém a datové disky. Řešení je integrované s Azure Key Vault, které vám pomůžou řídit a spravovat klíče a tajné kódy pro šifrování disků ve Key Vault předplatném. Toto řešení také zajišťuje, aby všechna data na discích virtuálního počítače byla v úložišti Azure zašifrovaná.
Virtuální síť
Virtuální počítače potřebují připojení k síti. Pro podporu tohoto požadavku Azure vyžaduje, aby virtuální počítače měly připojení k azure Virtual Network. Azure Virtual Network je logická konstrukce postavená na fyzických síťových fabricech Azure. Každá logická služba Azure Virtual Network izolovaná od všech ostatních virtuálních sítí Azure. Tato izolace pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný pro ostatní Microsoft Azure zákazníky.
Aktualizace oprav
Aktualizace oprav poskytují základ pro hledání a opravy potenciálních problémů a zjednodušují proces správy aktualizací softwaru, a to snížením počtu aktualizací softwaru, které musíte nasadit v podniku, a zvýšením schopnosti monitorovat dodržování předpisů.
Správa a vytváření sestav zásad zabezpečení
Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně a poskytuje lepší přehled o zabezpečení vašich prostředků Azure a kontrolu nad tím. Poskytuje integrované monitorování zabezpečení a správu zásad v rámci vašich předplatných Azure, pomáhá zjišťovat hrozby, které by jinak mohly být bez přehledu, a spolupracuje s širokou škálou řešení zabezpečení.
Správa identit a přístupu
Zabezpečení systémů, aplikací a dat začíná řízením přístupu na základě identit. Funkce správy identit a přístupu, které jsou integrované v obchodních produktech a službách Microsoftu, pomáhají chránit vaše organizace a osobní údaje před neoprávněným přístupem a zároveň je z zpřístupnění oprávněným uživatelům kdykoli a kdekoli je potřebují.
Zabezpečená identita
Microsoft ke správě identit a přístupu používá několik postupů a technologií zabezpečení napříč svými produkty a službami.
Vícefaktorové ověřování vyžaduje, aby uživatelé pro přístup místně i v cloudu používají více metod. Poskytuje silné ověřování s celou řadou možností snadného ověření a zároveň umožňuje uživatelům jednoduchý proces přihlašování.
Microsoft Authenticator poskytuje uživatelsky přívětivé prostředí služby Multi-Factor Authentication, které funguje s účty Microsoft Azure Active Directory i Microsoft a zahrnuje podporu pro wearables a schválení na základě otisků prstů.
Vynucování zásad hesel zvyšuje zabezpečení tradičních hesel tím, že se na základě požadavků na délku a složitost, vynucená pravidelná rotace a uzamčení účtu po neúspěšných pokusech o ověření zvyšuje.
Ověřování na základě tokenů umožňuje ověřování prostřednictvím Azure Active Directory.
Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje udělit přístup na základě přiřazené role uživatele, což uživatelům usnadňuje udělení jenom toho, k čemu potřebují přístup k plnění svých pracovních povinností. Azure RBAC si můžete přizpůsobit podle obchodního modelu vaší organizace a tolerance rizik.
Integrovaná správa identit (hybridní identita) umožňuje zachovat kontrolu nad přístupem uživatelů napříč interními datacentra a cloudovými platformami a vytvořit jedinou identitu uživatele pro ověřování a autorizaci pro všechny prostředky.
Zabezpečení aplikací a dat
Azure Active Directory, komplexní cloudové řešení pro správu identit a přístupu, pomáhá zabezpečit přístup k datům v aplikacích v lokalitě i v cloudu a zjednodušuje správu uživatelů a skupin. Kombinuje základní adresářové služby, pokročilé zásady správného řízení identit, zabezpečení a správu přístupu k aplikacím a vývojářům usnadňuje zabudování správy identit na základě zásad do svých aplikací. Pokud chcete zvýšit úroveň Azure Active Directory, můžete přidat placené funkce prostřednictvím edic Azure Active Directory Basic, Premium P1 a Premium P2.
| Bezplatné a běžné funkce | Základní funkce | Premium Funkce P1 | Premium Funkce P2 | Azure Active Directory Join – Windows 10 pouze související funkce |
|---|---|---|---|---|
| Objektyadresáře, správa uživatelů nebo skupin (přidání,aktualizace nebo odstranění) / zřizování na základě uživatele, registrace zařízení Sign-On, jednotné přihlašování (SSO),samoobslužná změna hesla pro cloudovéuživatele , Připojení (synchronizační modul, který rozšiřuje místní adresáře na Azure Active Directory),sestavy zabezpečení / využití | Správa přístupu nazákladě skupin / zřizování, samoobslužné resetování hesla pro uživatelecloudu, branding společnosti (přihlašovací stránky / přizpůsobení Přístupový panel), proxy aplikací, SLA 99,9 % | Samoobslužná správa skupin a aplikací / Samoobslužné přidávání aplikací /Dynamické skupiny, Samoobslužné resetování hesla, Změna nebo odemknutí pomocí místního back-backu,Multi-Factor Authentication (cloud a místní (MFA Server)), MIM CAL + MIM Server, Cloud App Discovery, Připojení Stav, Automatická výměna hesel pro skupinové účty | Identity Protection, Privileged Identity Management | Připojení zařízení ke službě Azure AD, jednotné přihlašování na ploše, Microsoft Passport pro Azure AD, obnovení nástroje BitLocker správce,automatická registrace MDM, obnovení nástroje Self-Service BitLocker, další místní správci pro Windows 10 zařízení prostřednictvím služby Azure AD Join |
Cloud App Discovery je prémiová funkce Azure Active Directory, která umožňuje identifikovat cloudové aplikace, které používají zaměstnanci ve vaší organizaci.
Azure Active Directory Identity Protection je služba zabezpečení, která pomocí možností detekce anomálií poskytuje konsolidované zobrazení detekce rizik Azure Active Directory potenciálních ohrožení zabezpečení, která by mohla ovlivnit identity vaší organizace.
Azure Active Directory Domain Services umožňuje připojit virtuální počítače Azure k doméně bez nutnosti nasazovat řadiče domény. Uživatelé se k těmto virtuálním počítačům přihlašují pomocí podnikových přihlašovacích údajů služby Active Directory a mohou bez problémů přistupovat k prostředkům.
Azure Active Directory B2C je vysoce dostupná globální služba pro správu identit pro aplikace orientované na uživatele, která se může škálovat na stovky milionů identit a integrovat napříč mobilními a webovými platformami. Vaši zákazníci se mohou přihlásit ke všem vašim aplikacím prostřednictvím přizpůsobitelných prostředí, která používají existující účty sociálních médií, nebo můžete vytvořit nové samostatné přihlašovací údaje.
Azure Active Directory B2B Collaboration je zabezpečené řešení pro integraci partnerů, které podporuje vztahy mezi firmami tím, že umožňuje partnerům selektivně přistupovat k firemním aplikacím a datům pomocí jejich samoobslužných identit.
Azure Active Directory připojené umožňuje rozšířit možnosti cloudu na Windows 10 pro centralizovanou správu. Umožňuje uživatelům připojit se k podnikovému nebo organizačnímu cloudu prostřednictvím Azure Active Directory zjednodušuje přístup k aplikacím a prostředkům.
Azure Active Directory proxy aplikací poskytuje jednotné přihlašování a zabezpečený vzdálený přístup pro webové aplikace hostované místně.
Další kroky
Zjistěte, jak vám Microsoft Defender for Cloud může pomoct předcházet hrozbám, zjišťovat je a reagovat na ně s vyšší viditelností a kontrolou nad zabezpečením vašich prostředků Azure.