Bevezetés az Azure biztonsági megoldásaiba

Áttekintés

Tudjuk, hogy a biztonság a felhőben az első feladat, és mennyire fontos, hogy pontos és időzítse az Azure-biztonságra vonatkozó információkat. Az Azure alkalmazásokhoz és szolgáltatásokhoz való használatának egyik legjobb oka a biztonsági eszközök és képességek széles skálájának kihasználása. Ezek az eszközök és képességek segítenek biztonságos megoldások létrehozásában a biztonságos Azure-platformon. A Microsoft Azure biztosítja az ügyféladatok bizalmasságát, integritását és rendelkezésre állását, ugyanakkor lehetővé teszi az átlátható elszámoltathatóságot is.

Ez a cikk átfogó áttekintést nyújt az Azure-ban elérhető biztonságról.

Azure-platform

Az Azure egy nyilvános felhőszolgáltatási platform, amely számos operációs rendszert, programozási nyelvet, keretrendszert, eszközt, adatbázist és eszközt támogat. Linux-tárolókat futtathat Docker-integrációval; alkalmazások létrehozása JavaScript, Python, .NET, PHP, Java és Node.js; háttérrendszerek létrehozása iOS, Android és Windows rendszerű eszközökhöz.

Az Azure nyilvános felhőszolgáltatásai fejlesztők és informatikai szakemberek milliói támogatják ugyanazokat a technológiákat, és megbíznak benne. Amikor egy nyilvános felhőszolgáltatóra épít vagy migrál informatikai eszközöket, a szervezet képességeire támaszkodik az alkalmazások és az adatok védelme érdekében a felhőalapú eszközök biztonságának kezeléséhez biztosított szolgáltatásokkal és vezérlőkkel.

Az Azure infrastruktúráját a létesítménytől az ügyfelek millióinak egyidejű üzemeltetésére szolgáló alkalmazásokig tervezték, és megbízható alapot biztosít, amelyre a vállalatok képesek megfelelni a biztonsági követelményeknek.

Az Azure emellett számos konfigurálható biztonsági lehetőséget biztosít, és szabályozhatja őket, így testre szabhatja a biztonságot, hogy megfeleljen a szervezet központi telepítéseinek egyedi követelményeinek. Ez a dokumentum segít megérteni, hogyan segíthetnek az Azure biztonsági képességei ezeknek a követelményeknek a teljesítésében.

Feljegyzés

A dokumentum elsődleges témája az ügyfelek számára elérhető vezérlők, amelyekkel testre szabhatja és növelheti az alkalmazások és szolgáltatások biztonságát.

Az Azure-platform védelmének módjáról az Azure-infrastruktúra biztonságáról szóló cikkben olvashat.

Az Azure biztonsági képességeinek összefoglalása

A felhőszolgáltatás-modelltől függően változó felelősség terheli az alkalmazás vagy szolgáltatás biztonságának kezeléséért felelős személyeket. Az Azure Platformban olyan képességek érhetők el, amelyekkel a beépített funkciókkal és az Azure-előfizetésben üzembe helyezhető partnermegoldásokkal segítheti ezeket a feladatokat.

A beépített képességek hat funkcionális területen vannak rendszerezve: műveletek, alkalmazások, tárolás, hálózatkezelés, számítás és identitás. A hat területen az Azure Platformon elérhető funkciókról és képességekről további részleteket összefoglaló információk nyújtanak.

Üzemeltetés

Ez a szakasz további információkat tartalmaz a biztonsági műveletek legfontosabb funkcióiról, valamint az ezekről a képességekről szóló összefoglaló információkat.

Microsoft Sentinel

A Microsoft Sentinel egy méretezhető, natív felhőbeli, biztonsági információ- és eseménykezelési (SIEM) és biztonsági vezénylési, automatizálási és válaszmegoldás (SOAR). A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésintelligencia-információkat biztosít a vállalaton belül, egyetlen megoldást biztosítva a támadások észlelésére, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre.

Microsoft Defender for Cloud

Felhőhöz készült Microsoft Defender segít megelőzni, észlelni és reagálni a fenyegetésekre az Azure-erőforrások biztonságának nagyobb átláthatóságával és ellenőrzésével. Az ügyfél összes előfizetésére kiterjedő, integrált biztonsági monitorozást és szabályzatkezelést biztosít, megkönnyíti a nehezen észlelhető fenyegetések azonosítását, és számos biztonsági megoldással együttműködik.

Emellett Felhőhöz készült Defender a biztonsági műveletekhez is segítséget nyújt, ha egyetlen irányítópultot biztosít, amely azonnal megjelenő riasztásokat és javaslatokat jelenít meg. A Felhőhöz készült Defender konzolon gyakran egyetlen kattintással elháríthatja a problémákat.

Azure Resource Manager

Az Azure Resource Manager lehetővé teszi, hogy csoportként működjön együtt a megoldás erőforrásaival. A megoldás összes erőforrását egyetlen, koordinált műveletben telepítheti, frissítheti vagy törölheti. Azure Resource Manager-sablont használ az üzembe helyezéshez, és ez a sablon különböző környezetekhez, például teszteléshez, előkészítéshez és éles környezetekhez használható. A Resource Manager biztonsági, naplózási és címkézési szolgáltatásokat biztosít, hogy segítsen az erőforrások kezelésében a telepítést követően.

Az Azure Resource Manager sablonalapú üzembe helyezései segítenek az Azure-ban üzembe helyezett megoldások biztonságának javításában, mivel a szabványos biztonsági vezérlési beállítások és a szabványos sablonalapú üzembe helyezések integrálhatók. Ez csökkenti a manuális üzembe helyezés során előforduló biztonsági konfigurációs hibák kockázatát.

Application Insights

Az Alkalmazás Elemzések egy bővíthető alkalmazásteljesítmény-kezelési (APM) szolgáltatás webfejlesztők számára. Az Alkalmazás Elemzések segítségével figyelheti élő webalkalmazásait, és automatikusan észlelheti a teljesítmény rendellenességeit. Hatékony elemzési eszközöket tartalmaz a problémák diagnosztizálásához és annak megértéséhez, hogy a felhasználók valójában mit csinálnak az alkalmazásokkal. Folyamatosan figyeli az alkalmazást, mind a tesztelés során, mind pedig a közzététel vagy üzembe helyezés után.

Az alkalmazás Elemzések olyan diagramokat és táblázatokat hoz létre, amelyek például azt mutatják, hogy a legtöbb felhasználó milyen napszakokat kap, mennyire rugalmas az alkalmazás, és hogy milyen jól szolgálja ki azokat a külső szolgáltatások, amelyektől függ.

Összeomlások, hibák vagy teljesítményproblémák esetén részletes keresést végezhet a telemetriai adatok között az ok diagnosztizálásához. A szolgáltatás pedig e-maileket küld, ha az alkalmazás rendelkezésre állása és teljesítménye megváltozik. Az Application Insights így értékes biztonsági eszközké válik, mivel segít a bizalmassági, integritási és rendelkezésre állási biztonsági triád rendelkezésre állásában.

Azure Monitor

Az Azure Monitor vizualizációt, lekérdezést, útválasztást, riasztást, automatikus skálázást és automatizálást kínál mind az Azure-előfizetésből (tevékenységnaplóból), mind az egyes Azure-erőforrásokból (erőforrásnaplókból) származó adatokon. Az Azure Monitor használatával riasztást készíthet az Azure-naplókban létrehozott biztonsági eseményekről.

Azure Monitor-naplók

Azure Monitor-naplók – Az Azure-erőforrások mellett a helyszíni és a külső felhőalapú infrastruktúrához (például AWS) is biztosít informatikai felügyeleti megoldást. Az Azure Monitorból származó adatok közvetlenül az Azure Monitor-naplókba irányíthatók, így egyetlen helyen tekintheti meg a teljes környezet metrikáit és naplóit.

Az Azure Monitor-naplók hasznosak lehetnek a kriminalisztikai és egyéb biztonsági elemzésekben, mivel az eszköz lehetővé teszi a nagy mennyiségű, biztonsággal kapcsolatos bejegyzés gyors keresését rugalmas lekérdezési megközelítéssel. Emellett a helyszíni tűzfal és a proxynaplók exportálhatók az Azure-ba, és az Azure Monitor-naplók használatával elemzés céljából elérhetővé tehetők.

Azure Advisor

Az Azure Advisor egy személyre szabott felhőtanácsadó, amely segít optimalizálni az Azure-üzemelő példányokat. A program elemzi az erőforrás-konfigurációs és -használati telemetriákat, Ezután megoldásokat javasol az erőforrások teljesítményének, biztonságának és megbízhatóságának javítására, miközben lehetőségeket keres az Azure-kiadások csökkentésére. Az Azure Advisor biztonsági javaslatokat nyújt, amelyek jelentősen javíthatják az Azure-ban üzembe helyezett megoldások általános biztonsági helyzetét. Ezek a javaslatok a Felhőhöz készült Microsoft Defender által végzett biztonsági elemzésből származnak.

Alkalmazások

A szakasz további információkat tartalmaz az alkalmazásbiztonság legfontosabb funkcióiról, valamint az ezekről a képességekről szóló összefoglaló információkat.

Behatolástesztelés

Nem hajtjuk végre az alkalmazás behatolási tesztelését , de tisztában vagyunk azzal, hogy saját alkalmazásaiban szeretné és kell elvégeznie a tesztelést. Ez jó dolog, mert az alkalmazások biztonságának növelésekor segít a teljes Azure-ökoszisztéma biztonságosabbá tételében. Bár már nem szükséges értesíteni a Microsoftot a tolltesztelési tevékenységekről, az ügyfeleknek továbbra is meg kell felelniük a Microsoft felhőbehatolás tesztelési szabályainak.

Webalkalmazási tűzfal

A Azure-alkalmazás Gateway webalkalmazási tűzfala (WAF) segít megvédeni a webalkalmazásokat az olyan gyakori webalapú támadásoktól, mint az SQL-injektálás, a helyek közötti szkriptelési támadások és a munkamenet-eltérítés. Előre konfigurálva van az Open Web Application Security Project (OWASP) által a 10 leggyakoribb biztonsági résként azonosított fenyegetések elleni védelemmel.

Hitelesítés és engedélyezés az Azure App Service-ben

Az App Service-hitelesítés/engedélyezés olyan szolgáltatás, amely lehetővé teszi az alkalmazás számára a felhasználók bejelentkezését, hogy ne kelljen módosítania a kódot az alkalmazás háttérrendszerén. Egyszerű módot kínál az alkalmazás védelmére és a felhasználónkénti adatokkal való munkavégzésre.

Rétegzett biztonsági architektúra

Mivel az App Service-környezetek egy Azure-beli virtuális hálózatban üzembe helyezett elkülönített futtatókörnyezetet biztosítanak, a fejlesztők létrehozhatnak egy rétegzett biztonsági architektúrát, amely különböző szintű hálózati hozzáférést biztosít az egyes alkalmazásszintekhez. Gyakori cél, hogy elrejtse az API háttérrendszereit az általános internet-hozzáférés elől, és csak az API-k meghívását engedélyezze a felsőbb rétegbeli webalkalmazások számára. A hálózati biztonsági csoportok (NSG-k) az App Service-környezeteket tartalmazó Azure Virtual Network-alhálózatokon használhatók az API-alkalmazásokhoz való nyilvános hozzáférés korlátozásához.

Webkiszolgáló-diagnosztika és alkalmazásdiagnosztika

Az App Service webalkalmazások diagnosztikai funkciókat biztosítanak mind a webkiszolgálóról, mind a webalkalmazásból származó naplózási információkhoz. Ezek logikailag elválasztva vannak a webkiszolgálók diagnosztikáitól és az alkalmazásdiagnosztikáktól. A webkiszolgáló két jelentős előrelépést tartalmaz a webhelyek és alkalmazások diagnosztizálásában és hibaelhárításában.

Az első új funkció az alkalmazáskészletekkel, feldolgozói folyamatokkal, helyekkel, alkalmazástartományokkal és futó kérésekkel kapcsolatos valós idejű állapotinformáció. A második új előny a részletes nyomkövetési események, amelyek nyomon követik a kéréseket a teljes kérelem- és válaszfolyamat során.

Ezeknek a nyomkövetési eseményeknek a gyűjtésének engedélyezéséhez az IIS 7 konfigurálható úgy, hogy automatikusan rögzítse a teljes nyomkövetési naplókat XML formátumban, az eltelt idő vagy hibaválaszkódok alapján minden egyes kéréshez.

Tárolás

A szakasz további információkat tartalmaz az Azure Storage biztonságának főbb funkcióiról, és összefoglaló információkat tartalmaz ezekről a képességekről.

Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)

A tárfiókot azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) is biztonságossá teheti. A hozzáférés ismerete és a minimális jogosultsági biztonsági alapelvek alapján történő korlátozása elengedhetetlen azon szervezetek számára, amelyek biztonsági szabályzatokat szeretnének kikényszeríteni az adathozzáféréshez. Ezeket a hozzáférési jogosultságokat úgy biztosítjuk, hogy a megfelelő Azure-szerepkört hozzárendeljük a csoportokhoz és alkalmazásokhoz egy bizonyos hatókörben. Az Azure beépített szerepkörei, például a Tárfiók közreműködője segítségével jogosultságokat rendelhet a felhasználókhoz. A tárfiók tárkulcsaihoz való hozzáférés az Azure Resource Manager-modellel szabályozható az Azure RBAC-vel.

Közös hozzáférésű jogosultságkód

A közös hozzáférésű jogosultságkód (SAS) delegált hozzáférést biztosít a tárfiókon lévő erőforrásokhoz. Az SAS azt jelenti, hogy korlátozott engedélyeket adhat egy ügyfélnek a tárfiókban lévő objektumokhoz egy adott időszakra és egy meghatározott engedélykészlettel. Ezeket a korlátozott engedélyeket anélkül adhatja meg, hogy meg kellene osztania a fiók hozzáférési kulcsait.

Titkosítás az átvitel során

Az átvitel közbeni titkosítás az adatok védelmének mechanizmusa, amikor azokat hálózatokon keresztül továbbítják. Az Azure Storage-nal az adatok védelmét a következőkkel végezheti el:

• Átviteli szintű titkosítás, például HTTPS, amikor adatokat továbbít az Azure Storage-ba vagy onnan ki.

• Vezetékes titkosítás, például SMB 3.0-s titkosítás azure-fájlmegosztásokhoz.

• Ügyféloldali titkosítás, az adatok titkosítása a tárolóba való átvitel előtt, valamint az adatok visszafejtése a tárolóból való átvitel után.

Titkosítás inaktív állapotban

Számos szervezet számára az inaktív adatok titkosítása kötelező lépés az adatvédelem, a megfelelőség és az adatelkonvertség felé. Három Olyan Azure Storage-biztonsági szolgáltatás létezik, amely "inaktív" adatok titkosítását biztosítja:

• A Storage Service Encryption segítségével kérheti, hogy a tárolási szolgáltatás automatikusan titkosítsa az adatokat az Azure Storage-ba való íráskor.

• Az ügyféloldali titkosítás a inaktív titkosítás funkcióját is biztosítja.

• A Linux rendszerű virtuális gépekhez készült Azure Disk Encryption és a Windows rendszerű virtuális gépekhez készült Azure Disk Encryption lehetővé teszi az IaaS virtuális gépek által használt operációsrendszer-lemezek és adatlemezek titkosítását.

Storage Analytics

Az Azure Storage Analytics naplózást végez, és metrikaadatokat biztosít egy tárfiókhoz. Ezekkel az adatokkal kérések követhetők nyomon, elemezhetők a használati trendek és diagnosztizálni lehet a tárfiókokkal kapcsolatos problémákat. A Storage Analytics naplózza a tárolási szolgáltatásoknak elküldött sikeres és sikertelen kérelmek részletes információit. Ezekkel az információkkal monitorozhatók az egyes kérelmek és diagnosztizálhatók a tárolási szolgáltatások problémái. A kérések naplózása a legjobb munkamennyiség alapján történik. A hitelesített kérések alábbi típusai vannak rögzítve:

• Sikeres kérések.
• Sikertelen kérések, beleértve az időtúllépést, a szabályozást, a hálózatot, az engedélyezést és egyéb hibákat.
• Közös hozzáférésű jogosultságkódot (SAS) használó kérések, beleértve a sikertelen és a sikeres kéréseket is.
• Elemzési adatokra vonatkozó kérések.

Böngészőalapú ügyfelek engedélyezése CORS használatával

A forrásközi erőforrás-megosztás (CORS) egy olyan mechanizmus, amely lehetővé teszi, hogy a tartományok engedélyt adjanak egymásnak az erőforrások elérésére. A felhasználói ügynök további fejléceket küld annak biztosítására, hogy egy adott tartományból betöltött JavaScript-kód hozzáférhessen egy másik tartomány erőforrásaihoz. Az utóbbi tartomány ezután további fejlécekkel válaszol, amelyek lehetővé teszik vagy megtagadják az eredeti tartomány hozzáférését az erőforrásaihoz.

Az Azure Storage-szolgáltatások mostantól támogatják a CORS-t, így a szolgáltatás CORS-szabályainak beállítása után a rendszer kiértékel egy, a szolgáltatással szemben egy másik tartományból érkező, megfelelően hitelesített kérést, amely megállapítja, hogy az engedélyezett-e a megadott szabályok szerint.

Hálózatkezelés

A szakasz további információkat nyújt az Azure hálózati biztonságának főbb funkcióiról, és összefoglaló információkat tartalmaz ezekről a képességekről.

Hálózati réteg vezérlői

A hálózati hozzáférés-vezérlés az adott eszközökhöz vagy alhálózatokhoz való csatlakozás korlátozását jelenti, és a hálózati biztonság magját képviseli. A hálózati hozzáférés-vezérlés célja, hogy a virtuális gépek és szolgáltatások csak azokhoz a felhasználókhoz és eszközökhöz legyenek elérhetők, amelyekhez el szeretné érni őket.

Network Security Groups (Hálózati biztonsági csoportok)

A hálózati biztonsági csoport (NSG) egy alapszintű állapotalapú csomagszűrési tűzfal, amely lehetővé teszi a hozzáférés vezérlését egy 5-tus alapján. Az NSG-k nem biztosítanak alkalmazásréteg-ellenőrzést vagy hitelesített hozzáférés-vezérlést. Ezek segítségével szabályozható a forgalom az Azure-beli virtuális hálózaton belüli alhálózatok, valamint az Azure-beli virtuális hálózat és az internet közötti forgalom között.

Azure Firewall

Az Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít az Azure-ban futó felhőbeli számítási feladatok számára. Ez egy szolgáltatott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan felhőalapú skálázhatósággal. Kelet-nyugati és észak-déli forgalmi ellenőrzést is biztosít.

Az Azure Firewall két termékváltozatban érhető el: Standard és Premium. Az Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. Az Azure Firewall Premium speciális képességeket biztosít, például az aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését adott minták keresésével.

Útvonal-vezérlés és kényszerített bújtatás

Az azure-beli virtuális hálózatok útválasztási viselkedésének szabályozása kritikus fontosságú hálózatbiztonsági és hozzáférés-vezérlési képesség. Ha például meg szeretné győződni arról, hogy az Azure-beli virtuális hálózatra irányuló és onnan érkező összes forgalom áthalad ezen a virtuális biztonsági berendezésen, képesnek kell lennie az útválasztási viselkedés szabályozására és testreszabására. Ehhez konfigurálhatja a felhasználó által definiált útvonalakat az Azure-ban.

A felhasználó által megadott útvonalak lehetővé teszik a bejövő és kimenő útvonalak testreszabását az egyes virtuális gépekre vagy alhálózatokra irányuló forgalomhoz, hogy a lehető legbiztonságosabb útvonalat biztosíthassa. A kényszerített bújtatás olyan mechanizmus, amellyel biztosítható, hogy a szolgáltatások ne kezdeményezhessenek kapcsolatot az interneten található eszközökkel.

Ez különbözik attól, hogy képes fogadni a bejövő kapcsolatokat, majd válaszolni rájuk. Az előtérbeli webkiszolgálóknak válaszolniuk kell az internetes gazdagépektől érkező kérésekre, így az internetről érkező forgalom engedélyezett ezeken a webkiszolgálókon, és a webkiszolgálók válaszolhatnak.

A kényszerített bújtatást általában arra használják, hogy kényszerítse az internet felé irányuló kimenő forgalmat a helyszíni biztonsági proxykon és tűzfalakon való áthaladásra.

Virtuális hálózati biztonsági berendezések

Bár a hálózati biztonsági csoportok, a felhasználó által definiált útvonalak és a kényszerített bújtatás az OSI-modell hálózati és átviteli rétegeinek biztonsági szintjét biztosítják, előfordulhat, hogy a verem magasabb szintjein szeretné engedélyezni a biztonságot. Ezeket a továbbfejlesztett hálózati biztonsági funkciókat egy Azure-partner hálózati biztonsági berendezés megoldásával érheti el. A legfrissebb Azure-partnerhálózati biztonsági megoldásokat az Azure Marketplace-en találja, és a "biztonság" és a "hálózati biztonság" kifejezésre keres.

Azure Virtual Network

Az Azure virtuális hálózat (VNet) a saját, felhőben található hálózatának megfelelője. Ez az előfizetéshez dedikált Azure network fabric logikai elkülönítése. A hálózaton belül teljes mértékben irányíthatja az IP-címblokkokat, a DNS-beállításokat, a biztonsági házirendeket és az útválasztási táblázatokat. A virtuális hálózatot alhálózatokra szegmentálhatja, és Azure IaaS virtuális gépeket (virtuális gépeket) és/vagy felhőszolgáltatásokat (PaaS-szerepkörpéldányokat) helyezhet el az Azure-beli virtuális hálózatokon.

A virtuális hálózatot ezen felül a helyszíni hálózathoz is csatlakoztathatja az Azure-ban elérhető kapcsolati lehetőségek egyikével. Lényegében kiterjesztheti a hálózatot az Azure-ra, az IP-címblokkok teljes körű irányítása és a vállalati méretű Azure által nyújtott előnyök mellett.

Az Azure-hálózatkezelés különböző biztonságos távelérési forgatókönyveket támogat. Ilyenek például a következők:

• egyéni munkaállomások Csatlakozás azure-beli virtuális hálózatba

• helyszíni hálózat Csatlakozás VPN-sel rendelkező Azure-beli virtuális hálózatba

• Csatlakozás helyszíni hálózatot egy dedikált WAN-kapcsolattal rendelkező Azure-beli virtuális hálózatra

• Azure-beli virtuális hálózatok Csatlakozás egymáshoz

Azure Virtual Network Manager

Az Azure Virtual Network Manager központi megoldást kínál a virtuális hálózatok nagy léptékű védelmére. Biztonsági rendszergazdai szabályokkal központilag határozza meg és kényszeríti ki a virtuális hálózatokra vonatkozó biztonsági szabályzatokat a teljes szervezetben. A biztonsági rendszergazdai szabályok elsőbbséget élveznek a hálózati biztonsági csoport (NSG-k) szabályaival szemben, és a virtuális hálózaton vannak alkalmazva. Ez lehetővé teszi a szervezetek számára, hogy biztonsági rendszergazdai szabályokkal kényszerítsék ki az alapvető szabályzatokat, miközben az alsóbb rétegbeli csapatok továbbra is az alhálózat és a hálózati adapter szintjén igényeiknek megfelelően alakíthatják az NSG-ket. A szervezet igényeitől függően az Engedélyezés, a Megtagadás vagy az Always Allow szabályműveletekkel kényszerítheti ki a biztonsági szabályzatokat.

Szabályművelet	Leírás
Engedélyezés	Alapértelmezés szerint engedélyezi a megadott forgalmat. Az alsóbb rétegbeli NSG-k továbbra is megkapják ezt a forgalmat, és megtagadhatják azt.
Mindig engedélyezés	Mindig engedélyezze a megadott forgalmat, függetlenül az alacsonyabb prioritású vagy NSG-ket tartalmazó egyéb szabályoktól. Ezzel biztosítható, hogy a figyelési ügynök, a tartományvezérlő vagy a felügyeleti forgalom ne legyen blokkolva.
Deny	Tiltsa le a megadott forgalmat. Az alsóbb rétegbeli NSG-k nem értékelik ki ezt a forgalmat, miután egy biztonsági rendszergazdai szabály megtagadta őket, biztosítva, hogy a meglévő és az új virtuális hálózatok magas kockázatú portjai alapértelmezés szerint védettek legyenek.

Az Azure Virtual Network Managerben a hálózati csoportok lehetővé teszik a virtuális hálózatok csoportosítását a biztonsági szabályzatok központosított kezelése és betartatása érdekében. A hálózati csoportok a virtuális hálózatok logikai csoportosítását képezik a topológia és a biztonsági szempontok alapján. Manuálisan frissítheti a hálózati csoportok virtuális hálózati tagságát, vagy feltételes utasításokat határozhat meg az Azure Policy használatával a hálózati csoportok dinamikus frissítéséhez a hálózati csoporttagság automatikus frissítéséhez.

Azure Private Link

Az Azure Private Link lehetővé teszi az Azure PaaS-szolgáltatások (például az Azure Storage és az SQL Database) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások privát módon való elérését a virtuális hálózaton egy privát végponton keresztül. Az Azure Private Link használatával történő beállítás és használat konzisztens az Azure PaaS, az ügyfél tulajdonában lévő és a megosztott partnerszolgáltatások között. A virtuális hálózatról az Azure szolgáltatásba érkező forgalom mindig a Microsoft Azure gerinchálózatán marad.

A privát végpontok lehetővé teszik a kritikus Azure-szolgáltatás erőforrásainak védelmét csak a virtuális hálózatok számára. Az Azure Private Endpoint egy privát IP-címet használ a virtuális hálózatról, hogy privátan és biztonságosan csatlakoztasson egy Azure Private Link által működtetett szolgáltatáshoz, amely hatékonyan hozza a szolgáltatást a virtuális hálózatba. A virtuális hálózat nyilvános interneten való felfedése már nem szükséges az Azure-szolgáltatások használatához.

Saját privát kapcsolati szolgáltatást is létrehozhat a virtuális hálózatában. Az Azure Private Link szolgáltatás az Azure Private Link által üzemeltetett saját szolgáltatásra mutató hivatkozás. Az Azure Standard Load Balancer mögött futó szolgáltatás engedélyezhető privát kapcsolathoz való hozzáféréshez, hogy a szolgáltatás felhasználói privát módon férhessenek hozzá a saját virtuális hálózataikról. Az ügyfelek létrehozhatnak egy privát végpontot a virtuális hálózaton belül, és leképíthetik erre a szolgáltatásra. A szolgáltatás nyilvános interneten való megjelenítésére már nincs szükség az Azure-beli szolgáltatások megjelenítéséhez.

VPN Gateway

Ha hálózati forgalmat szeretne küldeni az Azure-beli virtuális hálózat és a helyszíni hely között, létre kell hoznia egy VPN-átjárót az Azure Virtual Network számára. A VPN-átjárók olyan virtuális hálózati átjárók, amelyek titkosított forgalmat küldenek egy nyilvános kapcsolaton keresztül. VPN-átjárókkal is küldhet forgalmat az Azure-beli virtuális hálózatok között az Azure hálózati hálón keresztül.

Express Route

A Microsoft Azure ExpressRoute egy dedikált WAN-hivatkozás, amellyel a helyszíni hálózatokat kiterjesztheti a Microsoft-felhőbe egy dedikált privát kapcsolaton keresztül, amelyet egy kapcsolatszolgáltató tesz lehetővé.

Az ExpressRoute-tal kapcsolatot létesíthet a Microsoft felhőszolgáltatásaival, például a Microsoft Azure-ral, a Microsoft 365-kel és a CRM Online-nal. A kapcsolatok lehetnek: bármely elemek közötti (IP VPN) hálózat, pontok közötti Ethernet-hálózat vagy egy virtuális keresztkapcsolat egy kapcsolatszolgáltatón keresztül egy közös elhelyezési létesítményben.

Az ExpressRoute-kapcsolatok nem jutnak át a nyilvános interneten, ezért biztonságosabbnak tekinthetők, mint a VPN-alapú megoldások. Így az ExpressRoute-kapcsolatok a tipikus internetes kapcsolatoknál megbízhatóbbak, gyorsabbak, gyorsabb a válaszidejük, és biztonságosabbak.

Application Gateway

A Microsoft Azure-alkalmazás Gateway egy alkalmazáskézbesítési vezérlőt (ADC) biztosít szolgáltatásként, amely 7. rétegbeli terheléselosztási képességeket kínál az alkalmazás számára.

Lehetővé teszi a webfarmok termelékenységének optimalizálását a processzorigényes TLS-leállításnak az Application Gatewayre való kiszervezésével (más néven "TLS-kiszervezés" vagy "TLS áthidalás"). Emellett további 7. rétegbeli útválasztási képességeket is biztosít, például a bejövő forgalom ciklikus időszeleteléses elosztását, a cookie-alapú munkamenet-affinitást, az URL-alapú útválasztást, valamint több webhely üzemeltetését egyetlen Application Gateway mögött. Az Azure Application Gateway egy 7. rétegbeli terheléselosztó.

Feladatátvételt és teljesítményalapú útválasztást biztosít a HTTP-kérelmek számára különböző kiszolgálók között, függetlenül attól, hogy a felhőben vagy a helyszínen vannak.

Az alkalmazás számos alkalmazáskézbesítési vezérlőt (ADC) kínál, például HTTP-terheléselosztást, cookie-alapú munkamenet-affinitást, TLS-kiszervezést, egyéni állapotmintákat, többhelyes támogatásokat és sok mást.

Webalkalmazási tűzfal

A webalkalmazási tűzfal a Azure-alkalmazás Gateway szolgáltatása, amely védelmet nyújt azoknak a webalkalmazásoknak, amelyek az Application Gatewayt használják a szabványos Alkalmazáskézbesítés-vezérlési (ADC) függvényekhez. A webalkalmazási tűzfal ezt úgy éri el, hogy védelmet nyújt az alkalmazásoknak az OWASP 10 leggyakoribb webes biztonsági résének többségével szemben.

• SQL-injektálás elleni védelem

• Gyakori webes támadások (például parancsinjektálás, HTTP-kéréscsempészet, HTTP-válaszfelosztás és távolifájl-beszúrásos támadás) elleni védelem

• HTTP protokoll megsértése elleni védelem

• HTTP protokollanomáliák (például hiányzó gazdagép-felhasználói ügynök és Accept (Elfogadás) fejlécek) elleni védelem

• Robotprogramok, webbejárók és képolvasók elleni védelem

• Gyakori alkalmazáskonfigurációk észlelése (vagyis Apache, IIS stb.)

A webes támadásokkal szembeni védelmet nyújtó központi webalkalmazási tűzfal egyszerűbbé teszi a biztonságfelügyeletet, és nagyobb biztonságot ad az alkalmazásnak a behatolások jelentette veszéllyel szemben. Emellett a WAF-megoldás gyorsabban képes kezelni a biztonsági fenyegetéseket azáltal, hogy kijavítja az ismert biztonsági réseket egy központi helyen, ahelyett hogy az egyes webalkalmazások védelmét biztosítaná. A meglévő alkalmazásátjárókat egyszerűen lehet átalakítani webalkalmazási tűzfallal rendelkező alkalmazásátjárókká.

Traffic Manager

A Microsoft Azure Traffic Manager lehetővé teszi a felhasználói forgalom elosztásának szabályozását a különböző adatközpontokban található szolgáltatásvégpontok esetében. A Traffic Manager által támogatott szolgáltatásvégpontok közé tartoznak az Azure-beli virtuális gépek, a webalkalmazások és a felhőszolgáltatások. A Traffic Manager külső, nem Azure-végpontokkal együtt is használható. A Traffic Manager a DNS használatával irányítja az ügyfélkéréseket a legmegfelelőbb végpontra a forgalom-útválasztási módszer és a végpontok állapota alapján.

A Traffic Manager számos forgalom-útválasztási módszert kínál a különböző alkalmazásigényeknek, a végpont állapotának monitorozásához és az automatikus feladatátvételhez. A Traffic Manager ellenáll a meghibásodásoknak, beleértve akár egy egész Azure-régió meghibásodását is.

Azure Load Balancer

Az Azure Load Balancer magas rendelkezésre állást és hálózati teljesítményt biztosít alkalmazásai számára. Ez egy 4. rétegbeli (TCP, UDP) terheléselosztó, amely elosztott terhelésű készletben definiált szolgáltatások kifogástalan állapotú példányai között osztja el a bejövő forgalmat. Az Azure Load Balancer a következőre konfigurálható:

• Terheléselosztás a virtuális gépek felé irányuló bejövő internetes forgalom között. Ezt a konfigurációt nyilvános terheléselosztásnak nevezzük.

• A terheléselosztás a virtuális hálózat virtuális gépei, a felhőszolgáltatásokban lévő virtuális gépek, illetve a helyszíni számítógépek és a helyszíni virtuális hálózatok virtuális gépei között. Ezt a konfigurációt belső terheléselosztásnak nevezzük.

• Külső forgalom továbbítása egy adott virtuális gépre

Belső DNS

A felügyeleti portálon vagy a hálózati konfigurációs fájlban kezelheti a virtuális hálózatokban használt DNS-kiszolgálók listáját. Az ügyfél legfeljebb 12 DNS-kiszolgálót adhat hozzá az egyes virtuális hálózatokhoz. A DNS-kiszolgálók megadásakor fontos ellenőrizni, hogy az ügyfél DNS-kiszolgálóit a megfelelő sorrendben listázta-e az ügyfél környezetéhez. A DNS-kiszolgálólisták nem működnek ciklikus időszeletelésben. A rendszer a megadott sorrendben használja őket. Ha a lista első DNS-kiszolgálója elérhető, az ügyfél ezt a DNS-kiszolgálót használja, függetlenül attól, hogy a DNS-kiszolgáló megfelelően működik-e. Az ügyfél virtuális hálózatának DNS-kiszolgálói sorrendjének módosításához távolítsa el a DNS-kiszolgálókat a listából, és adja hozzá őket az ügyfél által kívánt sorrendbe. A DNS támogatja a "CIA" biztonsági triád rendelkezésre állási aspektusát.

Azure DNS

A tartománynévrendszer vagy a DNS felelős azért, hogy lefordítsa (vagy feloldsa) a webhely vagy szolgáltatás nevét az IP-címére. Az Azure DNS egy üzemeltetési szolgáltatás, amely a Microsoft Azure infrastruktúráját használja a DNS-tartományok névfeloldásához. Ha tartományait az Azure-ban üzemelteti, DNS-rekordjait a többi Azure-szolgáltatáshoz is használt hitelesítő adatokkal, API-kkal, eszközökkel és számlázási információkkal kezelheti. A DNS támogatja a "CIA" biztonsági triád rendelkezésre állási aspektusát.

Az Azure Monitor naplózza az NSG-ket

Az NSG-khez a következő diagnosztikai naplókat engedélyezheti:

• Esemény: Olyan bejegyzéseket tartalmaz, amelyekhez a rendszer NSG-szabályokat alkalmaz a MAC-cím alapján a virtuális gépekre és a példányszerepkörökre. Ezeknek a szabályoknak az állapotát 60 másodpercenként gyűjtjük össze.

• Szabályszámláló: A rendszer hányszor alkalmazza az egyes NSG-szabályokat a forgalom megtagadására vagy engedélyezésére.

Microsoft Defender for Cloud

Felhőhöz készült Microsoft Defender folyamatosan elemzi az Azure-erőforrások biztonsági állapotát a hálózati biztonsági ajánlott eljárásokhoz. Amikor Felhőhöz készült Defender azonosítja a lehetséges biztonsági réseket, javaslatokat hoz létre, amelyek végigvezetik a szükséges vezérlők konfigurálásának folyamatán az erőforrások megerősítése és védelme érdekében.

Compute

A szakasz további információkat tartalmaz a terület főbb funkcióiról, és összefoglaló információkat tartalmaz ezekről a képességekről.

Azure Confidential Computing

Az Azure bizalmas számítástechnika biztosítja az adatvédelmi rejtvény utolsó, hiányzó darabját. Ez lehetővé teszi, hogy az adatok mindig titkosítva maradjanak. Inaktív állapotban, amikor mozgásban van a hálózaton keresztül, és most, még akkor is, ha a memóriában és használatban van. Emellett a távoli igazolás lehetővé tételével kriptográfiailag ellenőrizheti, hogy a kiépített virtuális gép biztonságosan elindult-e, és megfelelően van-e konfigurálva az adatok zárolásának feloldása előtt.

A lehetőségek spektruma a meglévő alkalmazások "átemelési" forgatókönyveinek engedélyezésétől a biztonsági funkciók teljes körű ellenőrzéséig terjed. A szolgáltatásként nyújtott infrastruktúra (IaaS) esetében az AMD Standard kiadás V-SNP által üzemeltetett bizalmas virtuális gépeket vagy az Intel Software Guard-bővítményeket (SGX) futtató virtuális gépek bizalmas alkalmazás-enklávéit használhatja. Szolgáltatásként nyújtott platform esetén több tárolóalapú lehetőségünk van, beleértve az Azure Kubernetes Service-vel (AKS) való integrációt is.

Kártevőirtó és víruskereső

Az Azure IaaS-ben olyan biztonsági gyártók kártevőirtó szoftvereit használhatja, mint a Microsoft, a Symantec, a Trend Micro, a McAfee és a Kaspersky, hogy megvédje a virtuális gépeket a rosszindulatú fájloktól, az adware-től és más fenyegetésektől. Az Azure Cloud Serviceshez és a virtuális gépekhez készült Microsoft Antimalware egy védelmi képesség, amely segít azonosítani és eltávolítani a vírusokat, kémprogramokat és egyéb rosszindulatú szoftvereket. A Microsoft Antimalware konfigurálható riasztásokat biztosít, ha ismert rosszindulatú vagy nemkívánatos szoftverek próbálják telepíteni magát vagy futtatni az Azure-rendszereken. A Microsoft Antimalware Felhőhöz készült Microsoft Defender használatával is üzembe helyezhető

Hardveres biztonsági modul

A titkosítás és a hitelesítés csak akkor növeli a biztonságot, ha maguk a kulcsok védettek. Az Azure Key Vaultban való tárolással egyszerűsítheti a kritikus fontosságú titkos kulcsok és kulcsok kezelését és biztonságát. A Key Vault lehetővé teszi a kulcsok tárolását a FIPS 140 által ellenőrzött szabványoknak megfelelő hardveres biztonsági modulokban (HSM-ek). A biztonsági mentéshez vagy transzparens adattitkosításhoz használt SQL Server-titkosítási kulcsok mind tárolhatók a Key Vaultban az alkalmazások kulcsaival vagy titkos kulcsaival. A védett elemek engedélyeinek és hozzáférésének kezelése a Microsoft Entra-azonosítón keresztül történik.

Virtuális gép biztonsági mentése

Az Azure Backup egy olyan megoldás, amely nulla tőkebefektetéssel és minimális üzemeltetési költségekkel védi az alkalmazásadatokat. Az alkalmazáshibák ronthatják az adatokat, és az emberi hibák olyan hibákat okozhatnak az alkalmazásokban, amelyek biztonsági problémákhoz vezethetnek. Az Azure Backup segítségével a Windowst és Linuxot futtató virtuális gépek védettek.

Azure Site Recovery

A szervezet üzletmenet-folytonossági/vészhelyreállítási (BCDR) stratégiájának fontos része a vállalati számítási feladatok és alkalmazások üzemkészségének fenntartása a tervezett és nem tervezett leállások esetén. Az Azure Site Recovery segít a számítási feladatok és alkalmazások replikációjának, feladatátvételének és helyreállításának vezénylésében, hogy az elsődleges hely leállása esetén másodlagos helyről is elérhetők legyenek.

SQL VM TDE

A transzparens adattitkosítás (TDE) és az oszlopszintű titkosítás (CLE) az SQL Server titkosítási funkciói. Ez a titkosítási forma megköveteli az ügyfelek számára a titkosításhoz használt titkosítási kulcsok kezelését és tárolását.

Az Azure Key Vault (AKV) szolgáltatás úgy lett kialakítva, hogy biztonságos és magas rendelkezésre állású helyen javítsa ezeknek a kulcsoknak a biztonságát és kezelését. Az SQL Server Csatlakozás or lehetővé teszi, hogy az SQL Server ezeket a kulcsokat az Azure Key Vaultból használja.

Ha az SQL Servert helyszíni gépekkel futtatja, kövesse az Azure Key Vault helyszíni SQL Server-példányból való eléréséhez szükséges lépéseket. Az Azure-beli virtuális gépeken futó SQL Server esetében azonban időt takaríthat meg az Azure Key Vault integrációs funkciójával. A funkció engedélyezéséhez néhány Azure PowerShell-parancsmaggal automatizálhatja az SQL-beli virtuális gépek kulcstartóhoz való hozzáféréséhez szükséges konfigurációt.

Virtuálisgép-lemeztitkosítás

A Linux rendszerű virtuális gépekHez készült Azure Disk Encryption és a Windows rendszerű virtuális gépekhez készült Azure Disk Encryption segít az IaaS virtuálisgép-lemezek titkosításában. A Windows iparági szabvány bitlocker funkcióját és a Linux DM-Crypt funkcióját alkalmazza az operációs rendszer és az adatlemezek kötettitkosításának biztosítására. A megoldás integrálva van az Azure Key Vaulttal, így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat a Key Vault-előfizetésben. A megoldás azt is biztosítja, hogy a virtuálisgép-lemezeken lévő összes adat titkosítva lesz az Azure Storage-ban.

Virtuális hálózat

A virtuális gépeknek hálózati kapcsolatra van szükségük. Ennek a követelménynek a támogatásához az Azure megköveteli a virtuális gépek Azure-beli virtuális hálózathoz való csatlakoztatását. Az Azure Virtual Network egy logikai szerkezet, amely a fizikai Azure hálózati hálóra épül. Minden logikai Azure-beli virtuális hálózat el van különítve az összes többi Azure-beli virtuális hálózattól. Ez az elkülönítés biztosítja, hogy az üzemelő példányok hálózati forgalma ne legyen elérhető más Microsoft Azure-ügyfelek számára.

Javítás Frissítések

A Frissítések javítással megkeresheti és kijavíthatja a lehetséges problémákat, és egyszerűsítheti a szoftverfrissítés-kezelési folyamatot, mind a vállalatnál üzembe helyezendő szoftverfrissítések számának csökkentésével, mind a megfelelőség monitorozási lehetőségének növelésével.

Biztonsági szabályzatok kezelése és jelentése

Felhőhöz készült Defender segít megelőzni, észlelni és reagálni a fenyegetésekre, és nagyobb betekintést nyújt az Azure-erőforrások biztonságába, és szabályozhatja azokat. Integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben, segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek, és a biztonsági megoldások széles körű ökoszisztémájával működik együtt.

Identitás- és hozzáférés-kezelés

A rendszerek, alkalmazások és adatok védelme identitásalapú hozzáférés-vezérléssel kezdődik. A Microsoft üzleti termékeibe és szolgáltatásaiba beépített identitás- és hozzáférés-kezelési funkciók segítenek megvédeni a szervezeti és személyes adatokat a jogosulatlan hozzáféréstől, miközben azokat a jogos felhasználók számára bármikor és bárhol elérhetővé teszik, amikor csak szükségük van rá.

Biztonságos identitás

A Microsoft számos biztonsági gyakorlatot és technológiát használ a termékeiben és szolgáltatásaiban az identitás és a hozzáférés kezeléséhez.

• A Multi-Factor Authentication használatához a felhasználóknak több módszert kell használniuk a hozzáféréshez, a helyszínen és a felhőben. Erős hitelesítést biztosít számos egyszerű ellenőrzési lehetőséggel, miközben egyszerű bejelentkezési folyamattal segíti a felhasználókat.

• A Microsoft Authenticator felhasználóbarát Multi-Factor Authentication-élményt nyújt, amely a Microsoft Entra-azonosítóval és a Microsoft-fiókkal is működik, és támogatja a hordható és ujjlenyomatalapú jóváhagyásokat.

• A jelszóházirend-kényszerítés növeli a hagyományos jelszavak biztonságát azáltal, hogy hosszú és összetettségi követelményeket, kényszerített rendszeres rotációt és fiókzárolást ír elő a sikertelen hitelesítési kísérletek után.

• A jogkivonatalapú hitelesítés lehetővé teszi a Microsoft Entra-azonosítón keresztüli hitelesítést.

• Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) lehetővé teszi a hozzáférés megadását a felhasználó hozzárendelt szerepköre alapján, így egyszerűen csak annyi hozzáférést adhat a felhasználóknak, amennyi szükséges a feladataik elvégzéséhez. Testre szabhatja az Azure RBAC-t a szervezet üzleti modellje és kockázattűrése szerint.

• Az integrált identitáskezelés (hibrid identitás) lehetővé teszi a felhasználók hozzáférésének ellenőrzését belső adatközpontokban és felhőplatformokon, így egyetlen felhasználói identitást hozhat létre a hitelesítéshez és az összes erőforráshoz való engedélyezéshez.

Alkalmazások és adatok védelme

A Microsoft Entra ID, egy átfogó identitás- és hozzáférés-kezelési felhőmegoldás segít biztonságosan hozzáférni az adatokhoz az alkalmazásokban a helyszínen és a felhőben, és leegyszerűsíti a felhasználók és csoportok kezelését. Egyesíti az alapvető címtárszolgáltatásokat, a fejlett identitásszabályozást, a biztonságot és az alkalmazáshozzáférés-kezelést, és megkönnyíti a fejlesztők számára, hogy szabályzatalapú identitáskezelést építsenek az alkalmazásaikba. A Microsoft Entra-azonosító továbbfejlesztéséhez fizetős képességeket adhat hozzá a Microsoft Entra Basic, a Premium P1 és a Premium P2 kiadással.

Ingyenes / Gyakori funkciók	Alapvető funkciók	Prémium P1 funkciók	Prémium P2 funkciók	Microsoft Entra join – Csak a Windows 10-hez kapcsolódó funkciók
Címtárobjektumok, felhasználó-/csoportkezelés (hozzáadás/frissítés/törlés)/ Felhasználóalapú kiépítés, eszközregisztráció, egyszeri bejelentkezés (SSO), önkiszolgáló jelszómódosítás a felhőfelhasználók számára, Csatlakozás (a helyszíni címtárakat a Microsoft Entra-azonosítóra kiterjesztő szinkronizálási motor), biztonsági/ használati jelentések	Csoportalapú hozzáférés-kezelés / kiépítés, önkiszolgáló jelszó-visszaállítás felhőfelhasználók számára, Vállalati védjegyezés (bejelentkezési lapok/hozzáférési panel testreszabása), alkalmazásproxy, SLA 99,9%	Önkiszolgáló csoport- és alkalmazásfelügyelet/Önkiszolgáló alkalmazásbővítések/dinamikus csoportok, önkiszolgáló jelszóátállítás/módosítás/feloldás helyszíni visszaírással, többtényezős hitelesítés (felhő- és helyszíni (MFA-kiszolgáló)), MIM CAL + MIM-kiszolgáló, felhőalkalmazás-felderítés, Csatlakozás állapot, automatikus jelszóátállítás csoportfiókokhoz	Identity Protection, Privileged Identity Management	Eszköz csatlakoztatása Microsoft Entra-azonosítóhoz, asztali SSO-hoz, Microsoft Passport for Microsoft Entra ID-hoz, Rendszergazda istrator BitLocker-helyreállításhoz, MDM automatikus regisztrációhoz, Önkiszolgáló BitLocker-helyreállításhoz, Windows 10-eszközök további helyi rendszergazdáihoz a Microsoft Entra-csatlakozáson keresztül

• A Cloud App Discovery a Microsoft Entra ID prémium funkciója, amely lehetővé teszi a szervezet alkalmazottai által használt felhőalkalmazások azonosítását.

• Microsoft Entra ID-védelem egy biztonsági szolgáltatás, amely a Microsoft Entra anomáliadetektálási képességeivel egységes képet nyújt a kockázatészlelésekről és a szervezet identitásait esetlegesen érintő lehetséges biztonsági résekről.

• A Microsoft Entra Domain Services lehetővé teszi az Azure-beli virtuális gépek tartományhoz való csatlakoztatását anélkül, hogy tartományvezérlőket kellene üzembe helyeznie. A felhasználók vállalati Active Directory-hitelesítő adataikkal jelentkeznek be ezekbe a virtuális gépekre, és zökkenőmentesen hozzáférhetnek az erőforrásokhoz.

• Az Azure Active Directory B2C egy magas rendelkezésre állású, globális identitáskezelési szolgáltatás a felhasználók számára elérhető alkalmazásokhoz, amelyek több száz millió identitásra méretezhetők, és integrálhatók mobil- és webplatformokon. Az ügyfelek a meglévő közösségimédia-fiókokat használó testre szabható felületen jelentkezhetnek be az összes alkalmazásba, vagy új különálló hitelesítő adatokat hozhatnak létre.

• A Microsoft Entra B2B-együttműködés egy biztonságos partnerintegrációs megoldás, amely támogatja a vállalatközi kapcsolatokat azáltal, hogy lehetővé teszi a partnerek számára, hogy szelektíven férhessenek hozzá a vállalati alkalmazásokhoz és adatokhoz saját felügyelt identitásaik használatával.

• A Microsoft Entra csatlakoztatása lehetővé teszi a felhőalapú képességek kiterjesztését Windows 10 rendszerű eszközökre a központosított felügyelet érdekében. Lehetővé teszi, hogy a felhasználók a Microsoft Entra ID-jával csatlakozzanak a vállalati vagy szervezeti felhőhöz, és egyszerűbbé teszik az alkalmazásokhoz és erőforrásokhoz való hozzáférést.

• A Microsoft Entra alkalmazásproxy egyszeri bejelentkezést és biztonságos távelérést biztosít a helyszínen üzemeltetett webalkalmazásokhoz.

Következő lépések

• A felhőben vállalt megosztott felelősség megismerése.

• Megtudhatja, hogyan segíthet a Felhőhöz készült Microsoft Defender megelőzni, észlelni és reagálni a fenyegetésekre az Azure-erőforrások nagyobb láthatóságával és biztonságának ellenőrzésével.