Introduktion till Azure-säkerhet
Översikt
Vi vet att säkerhet är ett jobb i molnet och hur viktigt det är att du hittar korrekt och aktuell information om Azure-säkerhet. Ett av de bästa skälen till att använda Azure för dina program och tjänster är att dra nytta av dess breda utbud av säkerhetsverktyg och -funktioner. Dessa verktyg och funktioner gör det möjligt att skapa säkra lösningar på den säkra Azure-plattformen. Microsoft Azure ger konfidentialitet, integritet och tillgänglighet för kunddata, samtidigt som transparent ansvarstagande möjliggörs.
Den här artikeln innehåller en omfattande översikt över säkerheten som är tillgänglig i Azure.
Azure-plattformen
Azure är en offentlig molntjänstplattform som stöder ett brett urval av operativsystem, programmeringsspråk, ramverk, verktyg, databaser och enheter. Den kan köra Linux-containrar med Docker-integrering; skapa appar med JavaScript, Python, .NET, PHP, Java och Node.js; skapa backend-enheter för iOS, Android Windows enheter.
Offentliga Azure-molntjänster stöder samma tekniker som miljontals utvecklare och IT-proffs som redan förlitar sig på och litar på. När du bygger på eller migrerar IT-tillgångar till en offentlig molntjänstleverantör förlitar du dig på organisationens förmåga att skydda dina program och data med tjänsterna och de kontroller som de tillhandahåller för att hantera säkerheten för dina molnbaserade tillgångar.
Azures infrastruktur är utformad från anläggning till program för att vara värd för miljontals kunder samtidigt och ger en tillförlitlig grund som företag kan uppfylla sina säkerhetskrav på.
Dessutom ger Azure dig en mängd olika konfigurerbara säkerhetsalternativ och möjlighet att kontrollera dem så att du kan anpassa säkerheten för att uppfylla de unika kraven för organisationens distributioner. Det här dokumentet hjälper dig att förstå hur azures säkerhetsfunktioner kan hjälpa dig att uppfylla dessa krav.
Anteckning
Det här dokumentet fokuserar främst på kundriktade kontroller som du kan använda för att anpassa och öka säkerheten för dina program och tjänster.
Information om hur Microsoft skyddar själva Azure-plattformen finns i Säkerhet för Azure-infrastruktur.
Sammanfattning av Säkerhetsfunktioner i Azure
Beroende på molntjänstmodellen finns det varierande ansvar för vem som ansvarar för att hantera säkerheten för programmet eller tjänsten. Det finns funktioner i Azure-plattformen som hjälper dig att uppfylla dessa ansvarsområden via inbyggda funktioner och via partnerlösningar som kan distribueras till en Azure-prenumeration.
De inbyggda funktionerna är ordnade i sex funktionella områden: åtgärder, program, Storage, nätverk, beräkning och identitet. Mer information om de funktioner som är tillgängliga i Azure-plattformen inom dessa sex områden finns via sammanfattningsinformation.
Operations
Det här avsnittet innehåller ytterligare information om viktiga funktioner i säkerhetsåtgärder och sammanfattningsinformation om dessa funktioner.
Microsoft Defender för molnet
Defender for Cloud hjälper dig att förhindra, identifiera och svara på hot med bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Härifrån kan du övervaka och hantera principer för alla Azureprenumerationer på en gång och upptäcka hot som annars kanske skulle förbli oupptäckta. Azure Security Center fungerar tillsammans med ett vittomfattande ekosystem med säkerhetslösningar.
Dessutom hjälper Defender for Cloud till med säkerhetsåtgärder genom att tillhandahålla en enda instrumentpanel som visar aviseringar och rekommendationer som kan åtgärdas omedelbart. Ofta kan du åtgärda problem med ett enda klick i Defender for Cloud-konsolen.
Azure Resource Manager
Azure Resource Manager kan du arbeta med resurserna i din lösning som en grupp. Du kan distribuera, uppdatera eller ta bort alla resurser i lösningen i en enda, samordnad åtgärd. Du använder en Azure Resource Manager för distribution och mallen kan fungera för olika miljöer, till exempel testning, mellanlagring och produktion. Resource Manager tillhandahåller säkerhets-, gransknings- och taggningsfunktioner som hjälper dig att hantera dina resurser efter distributionen.
Azure Resource Manager mallbaserade distributioner bidrar till att förbättra säkerheten för lösningar som distribueras i Azure eftersom standardinställningar för säkerhetskontroll och kan integreras i standardiserade mallbaserade distributioner. Detta minskar risken för säkerhetskonfigurationsfel som kan ske under manuella distributioner.
Application Insights
Application Insights är en utökningsbar APM-tjänst (Application Performance Management) för webbutvecklare. Med Application Insights kan du övervaka dina live-webbappar och automatiskt identifiera prestandaavvikelser. Den innehåller kraftfulla analysverktyg som hjälper dig att diagnostisera problem och förstå vad användarna faktiskt gör med dina appar. Det övervakar ditt program hela tiden det körs, både under testningen och efter att du har publicerat eller distribuerat det.
Program Insights skapar diagram och tabeller som visar till exempel vilka tider på dagen du får de flesta användare, hur responsiv appen är och hur väl den betjänas av externa tjänster som den är beroende av.
Om det finns krascher, fel eller prestandaproblem kan du söka igenom telemetridata i detalj för att diagnostisera orsaken. Och tjänsten skickar dig e-postmeddelanden om det finns några ändringar i tillgängligheten och prestandan för din app. Application Insight blir därför ett värdefullt säkerhetsverktyg eftersom det hjälper till med tillgängligheten i säkerhetstriads för sekretess, integritet och tillgänglighet.
Azure Monitor
Azure Monitor erbjuder visualisering, fråga, routning, aviseringar, automatisk skalning och automatisering avdata både från Azure-prenumerationen (aktivitetsloggen) och varje enskild Azure-resurs(resursloggar). Du kan använda Azure Monitor för att varna dig om säkerhetsrelaterade händelser som genereras i Azure-loggar.
Azure Monitor-loggar
Azure Monitor loggar – Tillhandahåller en IT-hanteringslösning för både lokal och molnbaserad infrastruktur från tredje part (till exempel AWS) utöver Azure-resurser. Data från Azure Monitor kan dirigeras direkt till Azure Monitor så att du kan se mått och loggar för hela miljön på ett och samma ställe.
Azure Monitor kan vara ett användbart verktyg inom datasäkerhet och annan säkerhetsanalys, eftersom verktyget gör att du snabbt kan söka igenom stora mängder säkerhetsrelaterade poster med en flexibel frågemetod. Dessutom kan lokala brandväggs- och proxyloggar exporteras till Azure och göras tillgängliga för analys med hjälp av Azure Monitor loggar.
Azure Advisor
Azure Advisor är en anpassad molnkonsult som hjälper dig att optimera dina Azure-distributioner. Den analyserar din resurskonfiguration och användningstelemetri. Den rekommenderar sedan lösningar för att förbättra prestanda,säkerhet och tillförlitlighet för dina resurser samtidigt som du letar efter möjligheter att minska dina totala Azure-utgifter. Azure Advisor säkerhetsrekommendationer som avsevärt kan förbättra din övergripande säkerhetsstatus för lösningar som du distribuerar i Azure. Dessa rekommendationer hämtas från säkerhetsanalys som utförs av Microsoft Defender för molnet.
Program
Avsnittet innehåller ytterligare information om viktiga funktioner i programsäkerhet och sammanfattningsinformation om dessa funktioner.
Genomsökning av säkerhetsrisk för webbprogram
Ett av de enklaste sätten att komma igång med att testa sårbarheter i din App Service-app är att använda integreringen med Tinfoil Security för att utföra sårbarhetsgenomsökning med ett klick i appen. Du kan visa testresultaten i en lätt förstånde rapport och lära dig hur du åtgärdar varje säkerhetsrisk med stegvisa instruktioner.
Intrångstester
Vi utför inte intrångstester av ditt program åt dig, men vi förstår att du vill och behöver utföra tester på dina egna program. Det är bra, för när du förbättrar säkerheten för dina program hjälper du till att göra hela Azure-ekosystemet säkrare. Kunder som meddelar Microsoft om penntestningsaktiviteter behöver inte längre följa Microsoft Cloud Penetration Testing Rules of Engagement.
Brandvägg för webbaserade program
Brandväggen för webbaserade program (WAF) i Azure Application Gateway skyddar webbprogram mot vanliga webbaserade attacker som SQL-ktion, skriptattacker mellan webbplatser och sessionskapning. Den är förkonfigurerad med skydd mot hot som identifieras av Open Web Application Security Project (OWASP) som de 10 vanligaste sårbarheterna.
Autentisering och auktorisering i Azure App Service
App Service autentisering/auktorisering är en funktion som gör det möjligt för ditt program att logga in användare så att du inte behöver ändra kod på appens serversida. Det är ett enkelt sätt att skydda ditt program och arbeta med data per användare.
Arkitektur med säkerhet på flera lager
Eftersom App Service-miljöer tillhandahåller en isolerad körningsmiljö som distribueras till en Azure Virtual Networkkan utvecklare skapa en flernivåsäkerhetsarkitektur med olika nivåer av nätverksåtkomst för varje programnivå. En vanlig önskemål är att dölja API-backend-delar från allmän Internetåtkomst och endast tillåta att API:er anropas av överordnade webbappar. Nätverkssäkerhetsgrupper (NSG: er) kan användas i Azure Virtual Network-undernät som innehåller App Service-miljöer för att begränsa offentlig åtkomst till API-program.
Webbserverdiagnostik och programdiagnostik
App Service-webbappar tillhandahåller diagnostiska funktioner för loggning av information från både webbservern och webbprogrammet. Dessa är logiskt indelade i webbserverdiagnostik och programdiagnostik. Webbservern har två stora framsteg inom diagnostisering och felsökning av webbplatser och program.
Den första nya funktionen är tillståndsinformation i realtid om programpooler, arbetsprocesser, webbplatser, programdomäner och begäranden som körs. De andra nya fördelarna är de detaljerade spårningshändelserna som spårar en begäran under hela processen för begäran och svar.
För att aktivera insamling av dessa spårningshändelser kan IIS 7 konfigureras för att automatiskt samla in fullständiga spårningsloggar i XML-format för en viss begäran baserat på förfluten tid eller felsvarskoder.
Storage
Avsnittet innehåller ytterligare information om viktiga funktioner i Azure Storage-säkerhet och sammanfattningsinformation om dessa funktioner.
Azure RBAC (rollbaserad åtkomstkontroll)
Du kan skydda ditt lagringskonto med rollbaserad åtkomstkontroll i Azure (Azure RBAC). Det är mycket viktigt att begränsa åtkomsten baserat på behovet av att känna till säkerhetsprinciper med minsta behörighet för organisationer som vill framtvinga säkerhetsprinciper för dataåtkomst. Dessa åtkomsträttigheter beviljas genom att tilldela lämplig Azure-roll till grupper och program i ett visst omfång. Du kan använda inbyggda Azure-roller,till exempel Storage-kontodeltagare, för att tilldela behörigheter till användare. Åtkomst till lagringsnycklarna för ett lagringskonto med Azure Resource Manager kan styras via Azure RBAC.
Signatur för delad åtkomst
En signatur för delad åtkomst (Shared Access Signature, SAS) ger delegerad åtkomst till resurser på ditt lagringskonto. SAS innebär att du kan ge en klient begränsad behörighet till objekt i ditt lagringskonto under en angiven period och med en angiven uppsättning behörigheter. Du kan bevilja dessa begränsade behörigheter utan att behöva dela åtkomstnycklarna för ditt konto.
Kryptering vid överföring
Kryptering under överföring är en mekanism för att skydda data när de överförs i nätverk. Med Azure Storage kan du skydda data med hjälp av:
Kryptering på transportnivå,till exempel HTTPS när du överför data till eller från Azure Storage.
Trådkryptering,till exempel SMB 3.0-kryptering för Azure-filresurser.
Kryptering på klientsidan, för att kryptera data innan de överförs till lagringen och för att dekryptera data när de har överförts utanför lagringen.
Kryptering i vila
För många organisationer är datakryptering i vila ett obligatoriskt steg mot datasekretess, efterlevnad och datasuveränitet. Det finns tre säkerhetsfunktioner i Azure Storage som ger kryptering av data som är "i vila":
Storage krypteringstjänst kan du begära att lagringstjänsten automatiskt krypterar data när du skriver dem till Azure Storage.
Kryptering på klientsidan innehåller också funktionen för kryptering i vila.
Azure Disk Encryption kan du kryptera OS-diskar och datadiskar som används av en virtuell IaaS-dator.
Lagringsanalys
Azure Storage Analytics utför loggning och tillhandahåller måttdata för ett lagringskonto. Du kan använda dessa data för att spåra begäranden, analysera användningstrender och diagnostisera problem med ditt lagringskonto. Lagringsanalys loggar detaljerad information om lyckade och misslyckade begäranden till en lagringstjänst. Den här informationen kan användas för att övervaka enskilda begäranden och för att diagnostisera problem med en lagringstjänst. Begäranden loggas efter bästa möjliga ansträngning. Följande typer av autentiserade begäranden loggas:
- Lyckade begäranden.
- Misslyckade begäranden, inklusive timeout, begränsning, nätverk, auktorisering och andra fel.
- Begäranden som använder en signatur för delad åtkomst (SAS), inklusive misslyckade och lyckade begäranden.
- Begäranden till analysdata.
Aktivera Browser-Based med CORS
Resursdelning för korsande ursprung (CORS) är en mekanism som gör att domäner kan ge varandra behörighet att komma åt varandras resurser. Användaragenten skickar extra huvuden för att säkerställa att JavaScript-koden som läses in från en viss domän får åtkomst till resurser som finns i en annan domän. Den senare domänen svarar sedan med extra huvuden som tillåter eller nekar den ursprungliga domänåtkomsten till dess resurser.
Azure Storage-tjänsterna stöder nu CORS så att när du har angett CORS-reglerna för tjänsten utvärderas en korrekt autentiserad begäran mot tjänsten från en annan domän för att avgöra om den tillåts enligt de regler som du har angett.
Nätverk
Avsnittet innehåller ytterligare information om viktiga funktioner i Nätverkssäkerhet i Azure och sammanfattningsinformation om dessa funktioner.
Kontroller för nätverkslager
Åtkomstkontroll i nätverk begränsar anslutningen till och från specifika enheter eller undernät och representerar kärnan i nätverkssäkerheten. Målet med nätverksåtkomstkontroll är att se till att dina virtuella datorer och tjänster endast är tillgängliga för användare och enheter som du vill att de ska vara tillgängliga för.
Nätverkssäkerhetsgrupper
En nätverkssäkerhetsgrupp (NSG) är en grundläggande tillståndsfull brandvägg för paketfiltrering som gör att du kan styra åtkomsten baserat på en 5-tuppel. NSG:er tillhandahåller inte kontroll på programlager eller autentiserade åtkomstkontroller. De kan användas för att styra trafik som flyttas mellan undernät inom en Azure-Virtual Network och trafik mellan en Azure Virtual Network och Internet.
Vägkontroll och tvingad tunneling
Möjligheten att styra routningsbeteendet i dina virtuella Azure-nätverk är en viktig funktion för nätverkssäkerhet och åtkomstkontroll. Om du till exempel vill se till att all trafik till och från Azure Virtual Network går igenom den virtuella säkerhetsinstallationen måste du kunna styra och anpassa routningsbeteendet. Du kan göra detta genom att konfigurera User-Defined vägar i Azure.
Med användardefinierade vägar kan du anpassa inkommande och utgående vägar för trafik som flyttas till och från enskilda virtuella datorer eller undernät för att säkerställa den säkraste vägen. Tvingad tunneltrafik är en mekanism som du kan använda för att säkerställa att dina tjänster inte tillåts initiera en anslutning till enheter på Internet.
Detta skiljer sig från att kunna acceptera inkommande anslutningar och sedan svara på dem. Frontend-webbservrar måste svara på begäranden från Internetvärdar, och därför tillåts inkommande trafik från Internet till dessa webbservrar och webbservrarna kan svara.
Tvingad tunneltrafik används ofta för att tvinga utgående trafik till Internet att gå igenom lokala säkerhetsproxier och brandväggar.
Virtual Network säkerhetsapparater
Även om nätverkssäkerhetsgrupper, User-Defined-vägar och tvingad tunneltrafik ger dig en säkerhetsnivå för nätverks-och transportlagren i OSI-modellen, kan det finnas tillfällen när du vill aktivera säkerhet på högre nivåer av stacken. Du kan komma åt dessa förbättrade nätverkssäkerhetsfunktioner med hjälp av en azure-partnerlösning för nätverkssäkerhet. Du hittar de senaste säkerhetslösningarna för Azure-partnernätverk genom att besöka Azure Marketplace och söka efter "säkerhet" och "nätverkssäkerhet".
Azure Virtual Network
Ett Azure-virtuellt nätverk (VNet) är en representation av ditt eget nätverk i molnet. Det är en logisk isolering av Azure-nätverks fabric som är dedikerad till din prenumeration. Du kan helt styra IP-adressblocken, DNS-inställningarna, säkerhetsprinciperna och routingtabellerna inom det här nätverket. Du kan segmentera ditt VNet i undernät och placera virtuella Azure IaaS-datorer (VM) och/eller molntjänster (PaaS-rollinstanser) i virtuella Azure-nätverk.
Du kan dessutom ansluta det virtuella nätverket till ditt lokala nätverk med ett av anslutningsalternativen som finns i Azure. I princip kan du expandera ditt nätverk till Azure, med fullständig kontroll över IP-adressblock och de fördelar som Azure på företagsnivå erbjuder.
Azure-nätverk stöder olika scenarier för säker fjärråtkomst. Några av dessa är:
Anslut enskilda arbetsstationer till en Azure-Virtual Network
Anslut lokalt nätverk till en Azure-Virtual Network med ett VPN
Anslut lokalt nätverk till en Azure-Virtual Network med en dedikerad WAN-länk
Azure Private Link
Azure Private Link kan du komma åt Azure PaaS-tjänster (till exempel Azure Storage och SQL Database) och Azure-värdbaserade kundägda/partnertjänster privat i ditt virtuella nätverk via en privat slutpunkt. Konfiguration och förbrukning med Azure Private Link är konsekvent i Azure PaaS, kundägda och delade partnertjänster. Trafik från ditt virtuella nätverk till Azure-tjänsten finns alltid kvar på Microsoft Azure stamnätverk.
Med privata slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk. Privat Azure-slutpunkt använder en privat IP-adress från ditt VNet för att ansluta dig privat och säkert till en tjänst som drivs av Azure Private Link, vilket effektivt för in tjänsten i ditt VNet. Det är inte längre nödvändigt att exponera ditt virtuella nätverk för det offentliga Internet för att använda tjänster i Azure.
Du kan också skapa en egen privat länktjänst i ditt virtuella nätverk. Azure Private Link tjänst är referensen till din egen tjänst som drivs av Azure Private Link. Din tjänst som körs bakom Azure Standard Load Balancer kan aktiveras för Private Link åtkomst så att användare till din tjänst kan komma åt den privat från sina egna virtuella nätverk. Dina kunder kan skapa en privat slutpunkt i sitt virtuella nätverk och mappa den till den här tjänsten. Det är inte längre nödvändigt att exponera tjänsten för det offentliga Internet för att kunna rendera tjänster i Azure.
VPN Gateway
Om du vill skicka nätverkstrafik mellan din Azure Virtual Network och din lokala plats måste du skapa en VPN-gateway för din Azure-Virtual Network. En VPN-gateway är en typ av virtuell nätverksgateway som skickar krypterad trafik via en offentlig anslutning. Du kan också använda VPN-gatewayer för att skicka trafik mellan virtuella Azure-nätverk via Azure-nätverkets infrastruktur.
Express Route
Microsoft Azure ExpressRoute är en dedikerad WAN-länk som gör att du kan utöka dina lokala nätverk till Microsoft-molnet via en dedikerad privat anslutning som underlättas av en anslutningsleverantör.
Med ExpressRoute kan du upprätta anslutningar till Microsofts molntjänster, till exempel Microsoft Azure, Microsoft 365 och CRM Online. Anslutningen kan vara från ett ”any-to-any”-nätverk (IP VPN), ett ”point-to-point”-nätverk med Ethernet eller en virtuell korsanslutning via en anslutningsleverantör på en samlokaliseringsanläggning.
ExpressRoute-anslutningar går inte via det offentliga Internet och kan därför anses vara säkrare än VPN-baserade lösningar. Det innebär att ExpressRoute-anslutningar är tillförlitligare, snabbare, har kortare svarstider och högre säkerhet än vanliga anslutningar över Internet.
Application Gateway
Microsoft Azure Application Gateway tillhandahåller en ADC (Application Delivery Controller) som en tjänst och erbjuder olika layer 7-belastningsutjämningsfunktioner för ditt program.
Det gör att du kan optimera webbservergruppens produktivitet genom att avlasta CPU-intensiv TLS-avslutning till Application Gateway (även kallat "TLS-avlastning" eller "TLS-bryggning"). Den tillhandahåller även andra Layer 7-routningsfunktioner, inklusive resursallokeringsdistribution av inkommande trafik, cookiebaserad sessionstillhörighet, URL-sökvägsbaserad routning och möjligheten att vara värd för flera webbplatser bakom en enda Application Gateway. Azure Application Gateway är en Layer 7-lastbalanserare.
Den tillhandahåller redundans och prestandabaserad routning av HTTP-begäranden mellan olika servrar, oavsett om de finns i molnet eller lokalt.
Programmet innehåller många ADC-funktioner (Application Delivery Controller), inklusive HTTP-belastningsutjämning, cookiebaserad sessionstillhörighet, TLS-avlastning,anpassade hälsoavsökningar, stöd för flera platser och många andra.
Brandvägg för webbaserade program
Web Application Firewall är en funktion i Azure Application Gateway som ger skydd till webbprogram som använder Application Gateway för ADC-standardfunktioner (Application Delivery Control). Brandvägg för webbaserade program gör detta genom att skydda dem mot de flesta av de 10 vanligaste OWASP-säkerhetsproblemen.
Skydd mot SQL-inmatning
Skydd mot vanliga webbattacker, som kommandoinmatning, dold HTTP-begäran, delning av HTTP-svar och attack genom införande av fjärrfil
Skydd mot åtgärder som inte följer HTTP-protokollet
Skydd mot avvikelser i HTTP-protokollet som att användaragent för värden och accept-huvud saknas
Skydd mot robotar, crawlers och skannrar
Identifiering av vanliga programfelkonfigurationer (t.ex. Apache, IIS osv.)
En centraliserad brandvägg mot webbattacker underlättar säkerhetshanteringen och håller programmet bättre skyddat mot intrång. En brandväggslösning för webbaserade program kan även reagera snabbare på ett säkerhetshot genom att åtgärda en känd svaghet på en central plats jämfört med om korrigeringar ska utföras i varje enskilt webbprogram. Befintliga programgatewayer kan enkelt konverteras till en programgateway med brandvägg för webbprogram.
Traffic Manager
Med Microsoft Azure Traffic Manager du styra distributionen av användartrafik för tjänstslutpunkter i olika datacenter. Tjänstslutpunkter som stöds av Traffic Manager omfattar virtuella Azure-datorer, Web Apps och molntjänster. Du kan även använda Traffic Manager med externa slutpunkter som inte är Azure-relaterade. Traffic Manager använder Domain Name System (DNS) för att dirigera klientbegäranden till den lämpligaste slutpunkten baserat på en trafikroutningsmetod och hälsotillståndet för slutpunkterna.
Traffic Manager en mängd olika trafikroutningsmetoder som passar olika programbehov, övervakning av slutpunktshälsaoch automatisk redundans. Traffic Manager har bra återhämtningsförmåga i händelse av fel, inklusive fel som påverkar en hel Azure-region.
Azure Load Balancer
Azure Load Balancer levererar hög tillgänglighet och nätverksprestanda till dina program. Det är en layer 4-lastbalanserare (TCP, UDP) som distribuerar inkommande trafik mellan felfria instanser av tjänster som definierats i en belastningsutjämnad uppsättning. Azure Load Balancer kan konfigureras för att:
Belastningsutjämna inkommande Internettrafik till virtuella datorer. Den här konfigurationen kallas för offentlig belastningsutjämning.
Belastningsutjämna trafik mellan virtuella datorer i ett virtuellt nätverk, mellan virtuella datorer i molntjänster eller mellan lokala datorer och virtuella datorer i ett virtuellt nätverk mellan olika platser. Den här konfigurationen kallas intern belastningsutjämning.
Vidarebefordra extern trafik till en specifik virtuell dator
Intern DNS
Du kan hantera listan över DNS-servrar som används i ett VNet i Hanteringsportal eller i nätverkskonfigurationsfilen. Kunden kan lägga till upp till 12 DNS-servrar för varje VNet. När du anger DNS-servrar är det viktigt att kontrollera att du listar kundens DNS-servrar i rätt ordning för kundens miljö. DNS-serverlistor fungerar inte med resursallokering. De används i den ordning som de anges. Om den första DNS-servern i listan kan nås använder klienten den DNS-servern oavsett om DNS-servern fungerar korrekt eller inte. Om du vill ändra DNS-serverordningen för kundens virtuella nätverk tar du bort DNS-servrarna från listan och lägger till dem i den ordning som kunden vill ha. DNS stöder tillgänglighetsaspekten i säkerhets triaden "CIA".
Azure DNS
Den Domain Name System, eller DNS, ansvarar för att översätta (eller matcha) ett webbplats- eller tjänstnamn till dess IP-adress. Azure DNS är en värdtjänst för DNS-domäner som ger namnmatchning med hjälp av Microsoft Azure-infrastrukturen. Genom att använda Azure som värd för dina domäner kan du hantera dina DNS-poster med samma autentiseringsuppgifter, API:er, verktyg och fakturering som för dina andra Azure-tjänster. DNS stöder tillgänglighetsaspekten i säkerhets triaden "CIA".
Azure Monitor loggar NSG:er
Du kan aktivera följande diagnostikloggkategorier för NSG:er:
Händelse: Innehåller poster som NSG-regler tillämpas på virtuella datorer och instansroller för baserat på MAC-adress. Statusen för dessa regler samlas in var 60:e sekund.
Regelräknare: Innehåller poster för hur många gånger varje NSG-regel tillämpas för att neka eller tillåta trafik.
Defender for Cloud
Microsoft Defender for Cloud analyserar kontinuerligt säkerhetstillståndet för dina Azure-resurser för bästa praxis för nätverkssäkerhet. När Defender for Cloud identifierar potentiella säkerhetsproblem skapas rekommendationer som vägleder dig genom processen med att konfigurera de nödvändiga kontrollerna för att härda och skydda dina resurser.
Compute
Avsnittet innehåller ytterligare information om viktiga funktioner i det här området och sammanfattningsinformation om dessa funktioner.
Program mot skadlig & antivirus
Med Azure IaaS kan du använda program mot skadlig kod från säkerhetsleverantörer som Microsoft, Symantec, Trend Micro, McAfee ochPersona för att skydda dina virtuella datorer från skadliga filer, adware och andra hot. Microsoft Antimalware för Azure Cloud Services och Virtual Machines är en skyddskapacitet som hjälper till att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Microsoft Antimalware tillhandahåller konfigurerbara aviseringar när känd skadlig eller oönskad programvara försöker installera sig själv eller köras på dina Azure-system. Microsoft Antimalware kan också distribueras med Microsoft Defender för molnet
Maskinvarusäkerhetsmodul
Kryptering och autentisering förbättrar inte säkerheten om inte själva nycklarna är skyddade. Du kan förenkla hanteringen och säkerheten för dina kritiska hemligheter och nycklar genom att lagra dem i Azure Key Vault. Key Vault alternativet att lagra dina nycklar i maskinvarubaserade säkerhetsmoduler (HSM)-certifierade enligt FIPS 140-2 Level 2-standarder. Dina SQL Server krypteringsnycklar för säkerhetskopiering eller transparent datakryptering kan lagras i Key Vault med nycklar eller hemligheter från dina program. Behörigheter och åtkomst till dessa skyddade objekt hanteras via Azure Active Directory.
Säkerhetskopiering av virtuell dator
Azure Backup är en lösning som skyddar dina programdata utan kapitalinvestering och minimala driftskostnader. Programfel kan skada dina data, och mänskliga fel kan introducera buggar i dina program som kan leda till säkerhetsproblem. Med Azure Backup skyddas dina virtuella datorer Windows och Linux.
Azure Site Recovery
En viktig del av organisationens STRATEGI för affärskontinuisering/haveriberedskap (BCDR) är att lista ut hur du håller företagets arbetsbelastningar och appar igång när planerade och oplanerade avbrott inträffar. Azure Site Recovery hjälper till att samordna replikering, redundans och återställning av arbetsbelastningar och appar så att de är tillgängliga från en sekundär plats om din primära plats ligger nere.
SQL TDE för virtuell dator
Transparent datakryptering (TDE) och kryptering på kolumnnivå (CLE) SQL funktioner för serverkryptering. Den här krypteringsformen kräver att kunderna hanterar och lagrar de kryptografiska nycklar som du använder för kryptering.
Tjänsten Azure Key Vault (AKV) är utformad för att förbättra säkerheten och hanteringen av dessa nycklar på en säker plats med hög tillgång. Med SQL Server Connector kan SQL Server använda dessa nycklar från Azure Key Vault.
Om du kör SQL Server med lokala datorer finns det steg som du kan följa för att komma Azure Key Vault från din lokala SQL Server instans. Men för SQL Server virtuella Azure-datorer kan du spara tid med hjälp av Azure Key Vault integration. Med några få Azure PowerShell för att aktivera den här funktionen kan du automatisera konfigurationen som krävs för att en virtuell SQL dator ska få åtkomst till ditt nyckelvalv.
Diskkryptering för virtuell dator
Azure Disk Encryption är en ny funktion som hjälper dig att kryptera dina virtuella Windows- och Linux IaaS-datordiskar. Den använder branschstandardfunktionen BitLocker i Windows och DM-Crypt i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna. Lösningen är integrerad med Azure Key Vault som hjälper dig att kontrollera och hantera diskkrypteringsnycklar och hemligheter i din Key Vault prenumeration. Lösningen ser också till att alla data på de virtuella datordiskarna krypteras i vila i Azure-lagringen.
Virtuellt nätverk
Virtuella datorer behöver nätverksanslutning. För att stödja det kravet kräver Azure att virtuella datorer är anslutna till en Azure-Virtual Network. En Azure Virtual Network är en logisk konstruktion som bygger på den fysiska Azure-nätverks fabricen. Varje logisk Azure Virtual Network är isolerad från alla andra virtuella Azure-nätverk. Den här isoleringen säkerställer att nätverkstrafiken i dina distributioner inte är tillgänglig för andra Microsoft Azure kunder.
Korrigeringsuppdateringar
Korrigeringsuppdateringar utgör grunden för att hitta och åtgärda potentiella problem och förenkla hanteringen av programuppdateringar, både genom att minska antalet programuppdateringar som du måste distribuera i företaget och genom att öka din möjlighet att övervaka efterlevnad.
Hantering och rapportering av säkerhetsprinciper
Defender for Cloud hjälper dig att förhindra, identifiera och svara på hot och ger dig bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i alla dina Azure-prenumerationer, hjälper till att identifiera hot som annars kan gå obemärkt förbi och fungerar med ett brett ekosystem med säkerhetslösningar.
Identitets- och åtkomsthantering
Skydd av system, program och data börjar med identitetsbaserade åtkomstkontroller. Identitets- och åtkomsthanteringsfunktionerna som är inbyggda i Microsofts affärsprodukter och -tjänster hjälper till att skydda din organisations och personliga information från obehörig åtkomst samtidigt som den blir tillgänglig för legitima användare när och var de än behöver den.
Säker identitet
Microsoft använder flera säkerhetsmetoder och tekniker i sina produkter och tjänster för att hantera identitet och åtkomst.
Multifaktorautentisering kräver att användarna använder flera metoder för åtkomst, lokalt och i molnet. Den ger stark autentisering med en mängd enkla verifieringsalternativ, samtidigt som användarna kan använda en enkel inloggningsprocess.
Microsoft Authenticator ger en användarvänlig Multi-Factor Authentication-upplevelse som fungerar med både Microsoft Azure Active Directory- och Microsoft-konton och har stöd för bärbara och fingeravtrycksbaserade godkännanden.
Tvingande lösenordsprincip ökar säkerheten för traditionella lösenord genom att införa krav på längd och komplexitet, framtvingad periodisk rotation och kontolåsning efter misslyckade autentiseringsförsök.
Tokenbaserad autentisering möjliggör autentisering via Azure Active Directory.
Med rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du bevilja åtkomst baserat på användarens tilldelade roll, vilket gör det enkelt att ge användarna den åtkomst de behöver för att utföra sina arbetsuppgifter. Du kan anpassa Azure RBAC efter organisationens affärsmodell och risktolerans.
Med integrerad identitetshantering (hybrididentitet) kan du behålla kontrollen över användarnas åtkomst över interna datacenter och molnplattformar och skapa en enda användaridentitet för autentisering och auktorisering för alla resurser.
Säkra appar och data
Azure Active Directory, en omfattande molnlösning för identitets- och åtkomsthantering, hjälper till att skydda åtkomsten till data i program på plats och i molnet och förenklar hanteringen av användare och grupper. Den kombinerar viktiga katalogtjänster, avancerad identitetsstyrning, säkerhet och åtkomsthantering för program och gör det enkelt för utvecklare att bygga in principbaserad identitetshantering i sina appar. För att förbättra ditt Azure Active Directory kan du lägga till betalfunktioner med hjälp av Azure Active Directory Basic-, Premium P1- och Premium P2-versionerna.
| Kostnadsfria/vanliga funktioner | Grundläggande funktioner | Premium P1-funktioner | Premium P2-funktioner | Azure Active Directory Anslut – Windows 10 endast relaterade funktioner |
|---|---|---|---|---|
| Katalogobjekt, Användar-/grupphantering (lägg till/uppdatera/ta bort)/Användarbaserad etablering, Enhetsregistrering, Enkel Sign-On (SSO) ,Lösenordsändring via självbetjäning för molnanvändare , Anslut (synkroniseringsmotorsom utökar lokala kataloger till Azure Active Directory) , Säkerhets-/användningsrapporter | Gruppbaserad åtkomsthantering/etablering, lösenordsåterställning via självbetjäning för molnanvändare , Företagsanpassning (anpassning av inloggningssidor/Åtkomstpanelen), Programproxy, SLA 99,9 % | Grupp- och apphantering via självbetjäning/tillägg för självbetjäningsprogram/dynamiska grupper, återställning av lösenord via självbetjäning/ändring/upplåsning med lokal tillbakaskrivning , Multi-Factor Authentication (moln- och lokal (MFA Server)), MIM CAL + MIM Server, Cloud App Discovery, Anslut-hälsa , automatisk lösenordsförsoveringför gruppkonton | Identity Protection, Privileged Identity Management | Ansluta en enhet till Azure AD, enkel inloggning för skrivbord, Microsoft Passport för Azure AD, bitLocker-administratörsåterställning, automatisk MDM-registrering, Self-Service BitLocker-återställning, ytterligare lokala administratörer till Windows 10-enheter via Azure AD-anslutning |
Cloud App Discovery är en premiumfunktion i Azure Active Directory som gör att du kan identifiera molnprogram som används av anställda i din organisation.
Azure Active Directory Identity Protection är en säkerhetstjänst som använder Azure Active Directory-funktioner för avvikelseidentifiering för att tillhandahålla en samlad vy över riskidentifiering och potentiella sårbarheter som kan påverka organisationens identiteter.
Azure Active Directory Domain Services kan du ansluta virtuella Azure-datorer till en domän utan att behöva distribuera domänkontrollanter. Användare loggar in på de här virtuella datorerna med sina företagsautentiseringsuppgifter för Active Directory och kan sömlöst komma åt resurser.
Azure Active Directory B2C är en global identitetshanteringstjänst med hög tillgång för konsumentriktade appar som kan skalas till hundratals miljoner identiteter och integreras på mobil- och webbplattformar. Dina kunder kan logga in på alla dina appar via anpassningsbara upplevelser som använder befintliga konton för sociala medier, eller så kan du skapa nya fristående autentiseringsuppgifter.
Azure Active Directory B2B Collaboration är en säker partnerintegreringslösning som stöder dina relationer mellan företag genom att ge partner åtkomst till företagets program och data selektivt genom att använda sina egen hanterade identiteter.
Azure Active Directory kan du utöka molnfunktionerna till att Windows 10 enheter för centraliserad hantering. Det gör det möjligt för användare att ansluta till företagets eller organisationens moln via Azure Active Directory och förenklar åtkomsten till appar och resurser.
Azure Active Directory Programproxy tillhandahåller enkel inloggning och säker fjärråtkomst för webbprogram som körs lokalt.
Nästa steg
Förstå ditt delade ansvar i molnet.
Lär dig hur Microsoft Defender for Cloud kan hjälpa dig att förhindra, identifiera och svara på hot med ökad synlighet och kontroll över säkerheten för dina Azure-resurser.