Обзор управления безопасностью Azure и ее мониторинга

Эта статья содержит обзор функций безопасности и служб, предоставляемых Azure для упрощения управления облачными службами Azure и виртуальными машинами, а также их мониторинга.

Управление доступом на основе ролей Azure

Управление доступом на основе ролей Azure (Azure RBAC) обеспечивает детализированное управление доступом к ресурсам Azure. С помощью Azure RBAC можно предоставлять пользователям доступ, строго необходимый для выполнения поставленных перед ними задач. Также Azure RBAC позволяет гарантировать, что уволенные сотрудники теряют доступ к ресурсам в облаке.

Подробнее:

• Управление доступом на основе ролей в Azure (Azure RBAC).

Защита от вредоносных программ;

Azure предлагает антивредоносное ПО таких ведущих поставщиков систем безопасности, как корпорация Майкрософт, Symantec, Trend Micro, McAfee и Kaspersky. Это ПО помогает защитить ваши виртуальные машины от вредоносных файлов, программ для показа рекламы и других угроз.

Антивредоносное ПО Майкрософт для облачных служб и виртуальных машин Azure позволяет установить агент защиты от вредоносных программ для ролей PaaS и виртуальных машин. Этот компонент, основанный на System Center Endpoint Protection, переносит проверенные в локальной среде технологии безопасности в облако.

Azure также поддерживает продукт Symantec Endpoint Protection (SEP). Посредством интеграции с порталом можно указать, что вы планируете использовать SEP на виртуальной машине. SEP можно установить на новой виртуальной машине с помощью портала Azure или на имеющейся виртуальной машине с помощью PowerShell.

Подробнее:

• Антивредоносное ПО Майкрософт для облачных служб и виртуальных машин Azure
• Новые возможности защиты виртуальных машин Azure от вредоносных программ

Многофакторная проверка подлинности

Многофакторная проверка подлинности Microsoft Entra — это метод проверки подлинности, который требует использования нескольких методов проверки. При ее использовании добавляется второй уровень безопасности, который применяется для входа пользователя в систему и выполнения транзакций.

Многофакторная проверка подлинности помогает защитить доступ к данным и приложениям во время удовлетворения требований пользователей к простому процессу входа. Она обеспечивает строгую проверку подлинности с помощью различных способов — телефонного звонка, текстового сообщения, уведомления в мобильном приложении, кода подтверждения или сторонних маркеров OATH.

Подробнее:

• Многофакторная идентификация
• Как работает многофакторная проверка подлинности Microsoft Entra

ExpressRoute

Azure ExpressRoute позволяет переносить локальные сети в Microsoft Cloud по выделенному закрытому подключению, которое обеспечивается поставщиком услуг подключения. ExpressRoute позволяет устанавливать подключения к облачным службам (Майкрософт), таким как Azure, Microsoft 365 и CRM Online. Возможно исходящее подключение с помощью:

• сети типа "любой к любому" (IP VPN);
• сети Ethernet типа "точка — точка";
• виртуального распределенного подключения через поставщик услуг подключения в помещении совместного размещения.

Подключения ExpressRoute не проходят через общедоступный Интернет. Они отличаются повышенной надежностью, более высокой скоростью, меньшей задержкой и дополнительной безопасностью по сравнению с обычными подключениями через Интернет.

Подробнее:

• Технический обзор ExpressRoute

Шлюзы виртуальной сети

VPN-шлюзы, или шлюзы виртуальных сетей Azure, используются для обмена сетевым трафиком между виртуальными и локальными сетями. Они также используются для отправки трафика между несколькими виртуальными сетями в Azure (из сети в сеть). VPN-шлюзы обеспечивают безопасное корпоративное подключение между Azure и вашей инфраструктурой.

Подробнее:

• Шлюзы VPN
• Обзор сетевой безопасности Azure

Управление привилегированными пользователями

Иногда пользователям требуется выполнять привилегированные операции с ресурсами в Azure или других приложениях SaaS. Это часто означает, что организации предоставляют им постоянный привилегированный доступ в идентификаторе Microsoft Entra.

При этом возрастает угроза безопасности ресурсов, размещенных в облаке, так как организация не может эффективно отслеживать действия пользователей с привилегированным доступом. Кроме того, скомпрометированная учетная запись с привилегированным доступом может повлиять на общую безопасность облака в организации. Microsoft Entra управление привилегированными пользователями помогает устранить этот риск, уменьшая время воздействия привилегий и повышая видимость использования.

Управление привилегированными пользователями (PIM) вводит понятие временного администратора для роли или JIT-доступа с правами администратора. Такого рода администратор — это пользователь, которому необходимо выполнить процесс активации для этой назначенной роли. Процесс активации изменяет назначение пользователя роли в идентификаторе Microsoft Entra с неактивного на активный в течение указанного периода времени.

Подробнее:

• Microsoft Entra управление привилегированными пользователями
• Начало использования управление привилегированными пользователями

Защита идентификации

Защита идентификации Microsoft Entra предоставляет консолидированное представление подозрительных действий входа и потенциальных уязвимостей для защиты бизнеса. Служба защиты идентификации обнаруживает подозрительные действия с участием пользователей и привилегированных удостоверений (администраторов) на основании следующих сигналов:

• атаки методом подбора;
• Утечка учетных данных.
• попытки входа из неизвестных расположений и с зараженных устройств.

Предоставляя уведомления и рекомендации по исправлению, служба защиты идентификации помогает снизить риски в режиме реального времени. Она вычисляет серьезность риска пользователя. Политики на основе рисков можно настроить для автоматической защиты доступа к приложению от будущих угроз.

Подробнее:

• Защита идентификации Microsoft Entra

Defender для облака

Microsoft Defender для облака позволяет предотвращать и обнаруживать угрозы, а также реагировать на них. Defender для облака предоставляет лучшую видимость и контроль за безопасностью для ресурсов в Azure и в гибридной облачной среде.

Defender для облака выполняет непрерывную оценку безопасности подключенных ресурсов и сравнивает их конфигурацию и развертывание с Microsoft cloud security benchmark для предоставления подробных рекомендаций по безопасности, адаптированных для вашей среды.

Defender для облака позволяет оптимизировать безопасность ресурсов Azure и отслеживать ее благодаря следующим возможностям.

• Включение определения политик для ресурсов подписки Azure в соответствии с приведенными ниже инструкциями.
  • Потребности в безопасности вашей организации.
  • типом приложений или конфиденциальностью данных в каждой подписке.
  • любыми отраслевыми или нормативными стандартами или тестами производительности, которые вы применяете к подпискам.
• Мониторинг состояния сети, приложений и виртуальных машин Azure.
• Предоставление списка приоритетных оповещений безопасности, включая оповещения из интегрированных решений партнеров. Кроме того, предоставляются сведения, необходимые для быстрого анализа атаки, и рекомендации о способах ее устранения.

Подробнее:

• Общие сведения о Microsoft Defender для облака
• Улучшение результатов оценки безопасности в Microsoft Defender для облака

Дальнейшие действия

Сведения о модели общей ответственности и о том, какие задачи безопасности выполняет корпорация Майкрософт, и какие остаются в вашей зоне ответственности.

Дополнительные сведения об управлении безопасностью см. в статье Управление безопасностью в Azure.