Säkerhet från start till slut i Azure

Ett av de bästa skälen till att använda Azure för dina program och tjänster är att dra nytta av dess breda utbud av säkerhetsverktyg och -funktioner. Dessa verktyg och funktioner gör det möjligt att skapa säkra lösningar på den säkra Azure-plattformen. Microsoft Azure ger konfidentialitet, integritet och tillgänglighet för kunddata, samtidigt som transparent ansvarstagande möjliggörs.

Följande diagram och dokumentation ger en översikt över säkerhetstjänsterna i Azure. Dessa säkerhetstjänster hjälper dig att uppfylla företagets säkerhetsbehov och skydda dina användare, enheter, resurser, data och program i molnet.

Karta över Microsoft-säkerhetstjänster

Säkerhetstjänstkartan ordnar tjänsterna efter de resurser som de skyddar (kolumn). Diagrammet grupperar även tjänster i följande kategorier (rad):

  • Skydda och skydda – Tjänster som gör att du kan implementera en djupskyddsstrategi i flera lager för identiteter, värdar, nätverk och data. Den här samlingen säkerhetstjänster och säkerhetsfunktioner är ett sätt att förstå och förbättra din säkerhetsstatus i din Azure-miljö.
  • Identifiera hot – Tjänster som identifierar misstänkta aktiviteter och underlättar åtgärder mot hotet.
  • Undersök och svara – Tjänster som hämtar loggningsdata så att du kan utvärdera en misstänkt aktivitet och svara.

Diagrammet innehåller Programmet Azure Security Benchmark, en samling säkerhetsrekommendationer med stor inverkan som du kan använda för att skydda de tjänster som du använder i Azure.

Diagram som visar säkerhetstjänster från start till slut i Azure.

Säkerhetskontroller och baslinjer

Azure Security Benchmark-programmet innehåller en samling säkerhetsrekommendationer med hög inverkan som du kan använda för att skydda de tjänster som du använder i Azure:

  • Säkerhetskontroller – De här rekommendationerna gäller vanligtvis för din Azure-klientorganisation och dina Azure-tjänster. Varje rekommendation identifierar en lista över intressenter som vanligtvis deltar i planering, godkännande eller implementering av benchmark.
  • Tjänstbaslinjer – Dessa tillämpar kontrollerna på enskilda Azure-tjänster för att ge rekommendationer om tjänstens säkerhetskonfiguration.

Skydda och skydda

Diagram som visar Azure-tjänster som hjälper dig att skydda dina molnresurser.

Tjänst Beskrivning
Microsoft Defender för molnet Ett enhetligt system för hantering av infrastruktursäkerhet som förstärker dina datacenters säkerhetsstatus och ger avancerat skydd mot hot i dina hybridarbetsbelastningar i molnet – oavsett om de finns i Azure eller inte – samt lokalt.
**  &     Identitetsåtkomsthantering**
Azure Active Directory (AD) Microsofts molnbaserade tjänst för identitets- och åtkomsthantering.
Villkorsstyrd åtkomst är det verktyg som används av Azure AD för att samla identitetssignaler, fatta beslut och genomdriva organisationsprinciper.
Domain Services är det verktyg som används av Azure AD för att tillhandahålla hanterade domäntjänster som domänkoppling, grupprincip, LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering.
Privileged Identity Management (PIM) är en tjänst i Azure AD som gör att du kan hantera, kontrollera och övervaka åtkomsten till viktiga resurser i din organisation.
Multifaktorautentisering är det verktyg som används av Azure AD för att skydda åtkomsten till data och program genom att kräva en andra form av autentisering.
Azure AD Identity Protection Ett verktyg som gör det möjligt för organisationer att automatisera identifiering och reparation av identitetsbaserade risker, undersöka risker med hjälp av data i portalen och exportera riskidentifieringsdata till verktyg från tredje part för ytterligare analys.
**  &   Infrastrukturnätverk**
VPN Gateway En virtuell nätverksgateway som används för att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet och för att skicka krypterad trafik mellan virtuella Azure-nätverk över Microsoft-nätverket.
Azure DDoS Protection Standard Innehåller förbättrade DDoS-skyddsfunktioner för skydd mot DDoS-attacker. Det finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk.
Azure Front Door En global, skalbar startpunkt som använder Microsofts globala gränsnätverk för att skapa snabba, säkra och mycket skalbara webbprogram.
Azure Firewall En hanterad, molnbaserad tjänst för nätverkssäkerhet som skyddar dina Azure Virtual Network resurser. Det är en fullständigt tillståndskänslig tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet.
Azure Key Vault Ett säkert lagringslager för hemligheter för token, lösenord, certifikat, API-nycklar och andra hemligheter. Key Vault kan också användas för att skapa och kontrollera de krypteringsnycklar som används för att kryptera dina data.
Key Vault Managed HSM En fullständigt hanterad molntjänst med hög tillgänglig standardstandard med en klientorganisation som gör att du kan skydda kryptografiska nycklar för dina molnprogram med FIPS 140-2 Level 3-verifierade HSM:er.
Azure Private Link Gör att du kan komma åt Azure PaaS-tjänster (till exempel Azure Storage och SQL Database) och Azure-värdbaserade kundägda/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.
Azure Application Gateway En avancerad lastbalanserare för webbtrafik som gör att du kan hantera trafik till dina webbappar. Application Gateway kan fatta beslut om routning baserat på ytterligare attribut för en HTTP-begäran, till exempel URI-sökväg eller värdhuvuden.
Azure Service Bus En fullständigt hanterad meddelandekoordinator för företag med meddelandeköer och publicera/prenumerera-ämnen. Service Bus används för att frikoppla program och tjänster från varandra.
Brandvägg för webbaserade program Ger ett centraliserat skydd av dina webbprogram mot vanliga kryphål och sårbarheter. WAF kan distribueras med Azure Application Gateway och Azure Front Door.
Data & program
Azure Backup Tillhandahåller enkla, säkra och kostnadseffektiva lösningar för att räva upp dina data och återställa dem från Microsoft Azure molnet.
Azure Storage Tjänstkryptering Krypterar data automatiskt innan de lagras och dekrypterar automatiskt data när du hämtar dem.
Azure Information Protection En molnbaserad lösning som gör det möjligt för organisationer att identifiera, klassificera och skydda dokument och e-postmeddelanden genom att använda etiketter på innehåll.
API Management Ett sätt att skapa konsekventa och moderna API-gatewayer för befintliga backend-tjänster.
Konfidentiell databehandling i Azure Gör att du kan isolera känsliga data medan de bearbetas i molnet.
Azure DevOps Dina utvecklingsprojekt drar nytta av flera lager av säkerhets- och styrningstekniker, operativa metoder och efterlevnadsprinciper när de lagras i Azure DevOps.
Kundåtkomst
Azure AD External Identities Med External Identities i Azure AD kan du ge personer utanför organisationen åtkomst till dina appar och resurser, samtidigt som de kan logga in med vilken identitet de föredrar.
Du kan dela dina appar och resurser med externa användare via Azure AD B2B-samarbete.
Azure AD B2C kan du stödja miljontals användare och miljarder autentiseringar per dag, övervaka och automatiskt hantera hot som Denial-of-Service, lösenordsattacker eller brute force-attacker.

Identifiera hot

Diagram som visar Azure-tjänster som identifierar hot.

Tjänst Beskrivning
Microsoft Defender för molnet Ger dig avancerade, intelligenta skydd av dina Azure-resurser och hybridresurser och arbetsbelastningar. Instrumentpanelen för arbetsbelastningsskydd i Defender for Cloud ger synlighet och kontroll över funktionerna för arbetsbelastningsskydd i molnet för din miljö.
Microsoft Sentinel En skalbar, molnbaserad händelsehantering med säkerhetsinformation (SIEM) och en lösning för automatiserad svarshantering för säkerhetsorkestrering (SOAR). Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar.
**  &     Identitetsåtkomsthantering**
Microsoft 365 Defender En enhetlig företagsskyddssvit före och efter intrång som inbyggt samordnar identifiering, skydd, undersökning och svar i slutpunkter, identiteter, e-post och program för att ge integrerat skydd mot sofistikerade attacker.
Microsoft Defender för slutpunkt är en plattform för slutpunktssäkerhet för företag som utformats för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och svara på avancerade hot.
Microsoft Defender for Identity är en molnbaserad säkerhetslösning som utnyttjar dina lokal Active Directory-signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder riktade mot din organisation.
Azure AD Identity Protection Skickar två typer av automatiserade e-postmeddelanden som hjälper dig att hantera risk- och riskidentifiering för användare: Användare i riskzonen har identifierat e-postmeddelanden och e-postmeddelanden med sammanfattning per vecka.
Infrastructure & Network
Microsoft Defender för IoT En enhetlig säkerhetslösning för att identifiera IoT/OT-enheter, sårbarheter och hot. Det gör att du kan skydda hela IoT/OT-miljön, oavsett om du behöver skydda befintliga IoT/OT-enheter eller bygga in säkerhet i nya IoT-innovationer.
Azure Network Watcher Innehåller verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för resurser i ett virtuellt Azure-nätverk. Network Watcher har utformats för att övervaka och reparera nätverkshälsan för IaaS-produkter som omfattar virtuella datorer, virtuella nätverk, programgatewayer och lastbalanserare.
Azure Policy granskningsloggning Hjälper till att framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala. Azure Policy använder aktivitetsloggar, som aktiveras automatiskt för att inkludera händelsekälla, datum, användare, tidsstämpel, källadresser, måladresser och andra användbara element.
Data & program
Microsoft Defender för containerregister Innehåller en sårbarhetsskanner för att söka igenom Azure Resource Manager i dina Azure Container Registry register och ge djupare insyn i dina bilders sårbarheter.
Microsoft Defender för Kubernetes Ger skydd på klusternivå genom att övervaka dina AKS-hanterade tjänster via loggarna som hämtas av Azure Kubernetes Service (AKS).
Microsoft Defender för Cloud Apps En autjämnare för molnåtkomstsäkerhet (CASB) som fungerar i flera moln. Den ger omfattande synlighet, kontroll över datatrafik och avancerad analys för att identifiera och bekämpa cyberhot i alla dina molntjänster.

Undersöka och svara

Diagram som visar Azure-tjänster som hjälper dig att undersöka och svara på hot.

Tjänst Beskrivning
Microsoft Sentinel Kraftfulla sök- och frågeverktyg för att söka efter säkerhetshot i organisationens datakällor.
Azure       Monitor-loggar   och mått Ger en heltäckande lösning för att samla in, analysera och agera på telemetri från dina molnmiljöer och lokala miljöer. Azure Monitor samlar in och aggregerar data från olika källor till en gemensam dataplattform där den kan användas för analys, visualisering och aviseringar.
**  &     Identitetsåtkomsthantering**
Rapporter   och   övervakning   i   Azure AD Azure AD-rapporter ger en omfattande vy över aktiviteten i din miljö.
Med Azure AD-övervakning kan du dirigera dina Azure AD-aktivitetsloggar till olika slutpunkter.
Azure AD PIM-granskningshistorik Visar alla rolltilldelningar och aktiveringar under de senaste 30 dagarna för alla privilegierade roller.
Data & program
Microsoft Defender för Cloud Apps Innehåller verktyg för att få en djupare förståelse för vad som händer i din molnmiljö.

Nästa steg