Azure 安全性簡介 \(部分機器翻譯\)
概觀
我們知道安全性是雲端中的工作一項,以及您找到 Azure 安全性的準確且及時的資訊有多重要。 將 Azure 用於應用程式和服務的最佳原因之一,就是利用其廣泛的安全性工具和功能。 這些工具和功能有助於在安全的 Azure 平臺上建立安全的解決方案。 Microsoft Azure 提供客戶數據的機密性、完整性和可用性,同時啟用透明責任。
本文提供 Azure 可用安全性的完整探討。
Azure 平台
Azure 是公用雲端服務平臺,可支援廣泛的作業系統、程式設計語言、架構、工具、資料庫和裝置。 它可以使用 Docker 整合來執行 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 和 Node.js建置應用程式;針對 iOS、Android 和 Windows 裝置建置後端。
Azure 公用雲端服務支援數百萬開發人員和IT專業人員已經依賴和信任的相同技術。 當您建置 IT 資產或將 IT 資產移轉至公用雲端服務提供者時,您會依賴該組織的能力,使用服務來保護應用程式和數據,以及其所提供的控制,以管理雲端式資產的安全性。
Azure 的基礎結構是從設施到應用程式設計,可同時裝載數百萬個客戶,並提供值得信任的基礎,讓企業能夠符合其安全性需求。
此外,Azure 提供各種可設定的安全性選項,以及控制這些選項的能力,讓您能夠自定義安全性,以符合組織部署的獨特需求。 本文件可協助您瞭解 Azure 安全性功能如何協助您滿足這些需求。
Azure 安全性功能的摘要
視雲端服務模型而定,負責管理應用程式或服務安全性的人員會有可變責任。 Azure 平臺中提供的功能可協助您透過內建功能,以及可部署至 Azure 訂用帳戶的合作夥伴解決方案,達成這些責任。
內建功能分為六個功能區域:Operations、Applications、儲存體、Networking、Compute 和 Identity。 透過摘要資訊,提供這六個區域中 Azure 平臺中可用之特性和功能的其他詳細數據。
Operations
本節提供有關安全性作業中重要功能的其他資訊,以及這些功能的摘要資訊。
Microsoft Sentinel
Microsoft Sentinel 是可調整、雲端原生、安全性資訊和事件管理 (SIEM) 和安全性協調流程、自動化和回應 (SOAR) 解決方案。 Microsoft Sentinel 提供整個企業的智慧型安全性分析與威脅情報,並針對攻擊偵測、威脅可見性、積極式搜捕及回應威脅,提供單一的解決方案。
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 可協助您防止、偵測及回應威脅,並提升對 Azure 資源安全性的可見度和控制。 它提供 Azure 訂用帳戶之間的整合式安全性監視和原則管理、協助偵測可能未注意到的威脅,並搭配廣泛的安全性解決方案生態系統使用。
此外,適用於雲端的 Defender 提供單一儀錶板來呈現可立即採取行動的警示和建議,藉此協助您進行安全性作業。 通常,您可以在 適用於雲端的 Defender 主控台內補救單鍵的問題。
Azure Resource Manager
Azure Resource Manager 可讓您將解決方案中的資源當作群組使用。 您可以透過單一、協調的作業來部署、更新或刪除解決方案的所有資源。 您可以使用 Azure Resource Manager 範本進行部署,且該範本適用於不同的環境,例如測試、預備和生產環境。 Resource Manager 提供安全性、稽核和標記功能,可協助您在部署后管理資源。
Azure Resource Manager 範本型部署可協助改善在 Azure 中部署的解決方案安全性,因為標準安全性控制設定,並可整合到標準化的範本型部署中。 這樣可降低在手動部署期間可能發生的安全性設定錯誤風險。
Application Insights
Application Insights 是適用於 Web 開發人員的可延伸應用程式效能管理 (APM) 服務。 透過 Application Insights,您可以監視即時 Web 應用程式,並自動偵測效能異常。 它包含功能強大的分析工具,可協助您診斷問題,以及瞭解用戶實際使用應用程式的功能。 它會在測試期間和發佈或部署應用程式之後,隨時監視應用程式。
Application Insights 會建立圖表和數據表來顯示您,例如,您取得大部分使用者的一天中的哪些時間、應用程式的回應程度,以及它所依賴的任何外部服務如何提供服務。
如果發生當機、失敗或效能問題,您可以詳細搜尋遙測數據來診斷原因。 如果應用程式的可用性和效能有任何變更,服務就會傳送電子郵件給您。 因此,Application Insight 會成為寶貴的安全性工具,因為它有助於機密性、完整性和可用性安全性三者的可用性。
Azure 監視器
Azure 監視器針對來自 Azure 訂用帳戶(活動記錄)和每個個別 Azure 資源的數據,提供視覺效果、查詢、路由、警示、自動調整和自動化。 您可以使用 Azure 監視器,針對 Azure 記錄中產生的安全性相關事件發出警示。
Azure 監視器記錄
Azure 監視器記錄 – 除了 Azure 資源之外,還提供內部部署和第三方雲端式基礎結構(例如 AWS)的 IT 管理解決方案。 Azure 監視器中的數據可以直接路由傳送至 Azure 監視器記錄,讓您可以在一個位置查看整個環境的計量和記錄。
Azure 監視器記錄可以是鑑識和其他安全性分析的實用工具,因為此工具可讓您使用彈性的查詢方法來快速搜尋大量的安全性相關專案。 此外,內部部署 防火牆和 Proxy 記錄可以匯出至 Azure,並可供使用 Azure 監視器記錄進行分析。
Azure Advisor
Azure Advisor 是個人化的雲端顧問,可協助您優化 Azure 部署。 它會分析您的資源組態和使用方式遙測。 然後建議解決方案,以協助改善資源的效能、安全性和可靠性,同時尋找減少整體 Azure 費用的機會。 Azure Advisor 提供安全性建議,可大幅改善您在 Azure 中部署解決方案的整體安全性狀態。 這些建議取自 適用於雲端的 Microsoft Defender 所執行的安全性分析。
應用程式
本節提供有關應用程式安全性中重要功能的其他資訊,以及這些功能的摘要資訊。
滲透測試
我們不會為您執行 應用程式的滲透測試 ,但我們確實瞭解您想要且需要在您自己的應用程式上執行測試。 這是件好事,因為當您增強應用程式的安全性時,有助於讓整個 Azure 生態系統更安全。 雖然通知 Microsoft 的手寫筆測試活動已不再需要客戶仍 必須遵守 Microsoft 雲端滲透測試參與規則。
Web 應用程式防火牆
Azure 應用程式閘道 中的 Web 應用程式防火牆 (WAF) 可協助保護 Web 應用程式免於常見的 Web 型攻擊,例如 SQL 插入式攻擊、跨網站腳本攻擊和會話劫持。 它已預先設定為 Open Web Application Security Project (OWASP) 識別的威脅 防護,成為前 10 個常見弱點。
Azure App Service 中的驗證與授權
App Service 驗證/授權 是一項功能,可讓您的應用程式登入使用者,讓您不需要在應用程式後端變更程式代碼。 它提供簡單的方法來保護您的應用程式,並使用每個用戶的數據。
分層式安全性架構
由於 App Service 環境 提供部署至 Azure 虛擬網絡 的隔離運行時間環境,因此開發人員可以建立分層式安全性架構,為每個應用層提供不同的網路存取層級。 常見的願望是將 API 後端從一般因特網存取中隱藏,並且只允許上游 Web 應用程式呼叫 API。 網路安全組 (NSG) 可用於包含 App Service 環境 的 Azure 虛擬網絡 子網,以限制對 API 應用程式的公用存取。
Web 伺服器診斷和應用程式診斷
App Service Web 應用程式 提供診斷功能,以記錄來自 Web 伺服器和 Web 應用程式的資訊。 這些邏輯上會分成 Web 伺服器診斷和應用程式診斷。 網頁伺服器包含診斷和疑難解答網站和應用程式的兩個主要進展。
第一項新功能是應用程式集區、背景工作進程、月臺、應用程式域和執行要求的相關實時狀態資訊。 第二個新優點是追蹤整個完整要求和回應流程中追蹤要求的詳細追蹤事件。
若要啟用這些追蹤事件的收集,IIS 7 可以設定為根據經過的時間或錯誤回應碼,自動擷取 XML 格式的完整追蹤記錄。
儲存體
本節提供有關 Azure 記憶體安全性中重要功能的其他資訊,以及這些功能的摘要資訊。
Azure 角色型存取控制 (Azure RBAC)
您可以使用 Azure 角色型存取控制(Azure RBAC)保護您的記憶體帳戶。 根據需要知道和最低許可權安全性原則限制存取,對於想要強制執行數據存取安全策略的組織而言,勢在必行。 這些訪問許可權是藉由將適當的 Azure 角色指派給特定範圍的群組和應用程式來授與。 您可以使用 Azure 內建角色,例如 儲存體 帳戶參與者,將許可權指派給使用者。 您可以使用 Azure Resource Manager 模型存取記憶體帳戶的記憶體密鑰,可以透過 Azure RBAC 來控制。
共用存取簽章
共用存取簽章 (SAS) 可提供您儲存體帳戶中資源的委派存取。 SAS 表示您可以在指定的期間內,將有限的許可權授與記憶體帳戶中的物件,以及具有一組指定的許可權。 您可以授與這些有限的許可權,而不需要共用您的帳戶存取密鑰。
傳輸中加密
傳輸中的加密是跨網路傳輸數據時保護數據的機制。 透過 Azure 儲存體,您可以使用:
傳輸層級加密,例如當您將數據傳入或移出 Azure 儲存體 時,HTTPS。
網路加密,例如 Azure 檔案共用的 SMB 3.0 加密。
用戶端加密,在將數據傳輸至記憶體之前加密數據,並在數據從記憶體傳輸出去之後解密數據。
待用加密
對於許多組織而言,待用數據加密是數據隱私權、合規性和數據主權的必要步驟。 有三個 Azure 記憶體安全性功能可提供「待用」數據的加密:
儲存體 服務加密可讓您要求記憶體服務在將數據寫入 Azure 儲存體 時自動加密。
用戶端加密 也提供待用加密的功能。
適用於 Linux VM 和 Windows VM Azure 磁碟加密 的 Azure 磁碟加密 可讓您加密 IaaS 虛擬機所使用的 OS 磁碟和數據磁碟。
Storage Analytics
Azure 儲存體 Analytics 會執行記錄,並提供記憶體帳戶的計量數據。 您可以使用此資料來追蹤要求、分析使用趨勢,以及診斷儲存體帳戶的問題。 儲存體分析會記錄對儲存體服務之成功和失敗要求的詳細資訊。 這項資訊可用來監視個別要求,並診斷儲存體服務的問題。 系統會以最佳方式來記錄要求。 系統會記錄下列類型的驗證要求:
- 成功要求。
- 失敗的要求,包括逾時、節流、網路、授權和其他錯誤。
- 使用共用存取簽章的要求(SAS),包括失敗和成功的要求。
- 對分析數據的要求。
使用 CORS 啟用瀏覽器型用戶端
跨原始來源資源分享 (CORS) 是一種機制,可讓網域互相授與存取彼此資源的許可權。 使用者代理程式會傳送額外的標頭,以確保允許從特定網域載入的 JavaScript 程式代碼存取位於另一個網域的資源。 后一個網域接著會以額外的標頭回復,允許或拒絕原始網域對其資源的存取。
Azure 記憶體服務現在支援 CORS,如此一旦您設定服務的 CORS 規則,就會評估針對不同網域的服務提出的正確驗證要求,以根據您指定的規則來判斷是否允許它。
網路
本節提供有關 Azure 網路安全性中重要功能的其他資訊,以及這些功能的摘要資訊。
網路層控件
網路訪問控制是限制對特定裝置或子網的連線,並代表網路安全性的核心動作。 網路訪問控制的目標是確保您的虛擬機和服務只能存取您想要存取的用戶和裝置。
網路安全性群組
網路安全組 (NSG) 是基本的具狀態封包篩選防火牆,可讓您根據 5 元組來控制存取。 NSG 不提供應用層檢查或已驗證的訪問控制。 它們可用來控制在 Azure 虛擬網絡 內的子網之間移動的流量,以及 Azure 虛擬網絡 與因特網之間的流量。
Azure 防火牆
Azure 防火牆 是雲端原生和智慧型手機網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 其同時提供東西向和南北向的流量檢查。
Azure 防火牆於兩個 SKU 中提供:標準版和進階版。 Azure 防火牆 Standard 直接從 Microsoft 網路安全提供 L3-L7 篩選和威脅情報摘要。 Azure 防火牆 進階版 提供進階功能包括簽章型 IDPS,以透過尋找特定模式來快速偵測攻擊。
路由控制和強制通道
在 Azure 虛擬網絡 上控制路由行為的能力,是重要的網路安全性和存取控制功能。 例如,如果您想要確定來自 Azure 虛擬網絡 的所有流量都經過該虛擬安全性設備,您必須能夠控制及自定義路由行為。 您可以在 Azure 中設定使用者定義的路由,以執行此動作。
使用者定義的路由 可讓您自定義進出個別虛擬機或子網之流量的輸入和輸出路徑,以確保最安全的路由。 強制通道 是一種機制,可用來確保您的服務不允許起始與因特網上裝置的連線。
這與能夠接受連入連線,然後回應它們不同。 前端網頁伺服器需要回應來自因特網主機的要求,因此允許因特網來源流量輸入到這些網頁伺服器,而網頁伺服器可以回應。
強制通道通常用來強制輸出流量到因特網,以通過內部部署安全性 Proxy 和防火牆。
虛擬網絡 安全性設備
雖然網路安全組、使用者定義的路由和強制通道提供 OSI 模型網路和傳輸層的安全性層級,但有時候您可能會想要在較高層級的堆疊上啟用安全性。 您可以使用 Azure 合作夥伴網路安全性裝置解決方案來存取這些增強的網路安全性功能。 您可以造訪 Azure Marketplace 並搜尋「安全性」和「網路安全性」,以找到最新的 Azure 合作夥伴網路安全性解決方案。
Azure 虛擬網路
Azure 虛擬網路 (VNet) 代表您自己的雲端網路。 這是訂用帳戶專用的 Azure 網路網狀架構的邏輯隔離。 您可以完整控制此網路內的 IP 位址區塊、DNS 設定、安全性原則和路由表。 您可以將 VNet 分割成子網,並將 Azure IaaS 虛擬機(VM)和/或雲端服務(PaaS 角色實例)放在 Azure 虛擬網絡 上。
此外,您可以使用 Azure 中可用的其中 一個連線選項 ,將虛擬網路連線到內部部署網路。 基本上,您可以將網路擴充至 Azure,並完全控制具有 Azure 企業級優點的 IP 位址區塊。
Azure 網路支援各種安全的遠端訪問案例。 其中包括:
Azure Virtual Network Manager
Azure 虛擬網絡 Manager 提供集中式解決方案,可大規模保護您的虛擬網路。 它會使用 安全性系統管理員規則 ,集中定義並強制執行整個組織虛擬網路的安全策略。 安全性系統管理員規則優先於網路安全組(NSG)規則,並套用在虛擬網路上。 這可讓組織使用安全性系統管理員規則來強制執行核心原則,同時仍可讓下游小組根據子網和 NIC 層級的特定需求量身打造 NSG。 視組織的需求而定,您可以使用 [允許]、 [拒絕] 或 [一律允許 ] 規則動作來強制執行安全策略。
| 規則動作 | 描述 |
|---|---|
| 允許 | 默認允許指定的流量。 下游 NSG 仍會收到此流量,並可能會拒絕該流量。 |
| 永遠允許 | 不論優先順序較低或 NSG 的其他規則為何,一律允許指定的流量。 這可用來確保監視代理程式、域控制器或管理流量未遭到封鎖。 |
| 拒絕 | 封鎖指定的流量。 下游 NSG 在安全性管理規則遭到拒絕後,將不會評估此流量,確保現有和新虛擬網路的高風險埠預設會受到保護。 |
在 Azure 虛擬網絡 管理員中,網路群組可讓您將虛擬網路群組在一起,以便集中管理和強制執行安全策略。 網路群組是以拓撲和安全性觀點為基礎的虛擬網路邏輯群組。 您可以手動更新網路群組的虛擬網路成員資格,或使用 Azure 原則 定義條件語句,以動態更新網路群組,以自動更新您的網路群組成員資格。
Azure Private Link
Azure Private Link 可讓您透過私人端點在虛擬網路中私下存取 Azure PaaS 服務(例如,Azure 儲存體 和 SQL 資料庫)和 Azure 託管的客戶擁有/合作夥伴服務。 在 Azure PaaS 服務、客戶擁有的服務和共用合作夥伴服務中,使用 Azure Private Link 的設定和取用都是一致的。 從您虛擬網路到 Azure 服務的流量一定會保留在 Microsoft Azure 骨幹網路上。
私人端點 可讓您將重要的 Azure 服務資源只保護您的虛擬網路。 Azure 私人端點會使用來自 VNet 的私人 IP 位址,以私人且安全地連線到由 Azure Private Link 提供的服務,有效地將服務帶入 VNet。 不再需要將虛擬網路公開至公用因特網,才能取用 Azure 上的服務。
您也可以在虛擬網路中建立自己的私人連結服務。 Azure Private Link 服務 是 Azure Private Link 所提供自有服務的參考。 您可以在 Azure Standard Load Balancer 後方執行的服務啟用 Private Link 存取,讓服務取用者可以從自己的虛擬網路私下存取它。 您的客戶可以在其虛擬網路內建立私人端點,並將其對應到此服務。 不再需要將服務公開至公用因特網,才能在 Azure 上轉譯服務。
VPN 閘道
若要在 Azure 虛擬網絡 與內部部署網站之間傳送網路流量,您必須為 Azure 虛擬網絡 建立 VPN 閘道。 VPN 閘道是一種虛擬網路閘道,可跨公用連線傳送加密流量。 您也可以使用 VPN 閘道,透過 Azure 網路網狀架構在 Azure 虛擬網絡 之間傳送流量。
Express Route
Microsoft Azure ExpressRoute 是專用的 WAN 連結,可讓您透過連線提供者所促進的專用私人連線,將內部部署網路延伸至 Microsoft 雲端。
使用 ExpressRoute,即可和 Microsoft 雲端服務建立連線,例如 Microsoft Azure、Microsoft 365 和 CRM Online。 連線 能力可以是來自任意對任意(IP VPN)網路、點對點乙太網路,或透過共同位置設施連線提供者的虛擬交叉連線。
ExpressRoute 連線不會經過公用因特網,因此可視為比 VPN 型解決方案更安全。 這可讓 ExpressRoute 連線提供比透過因特網一般連線更高的可靠性、更快的速度、較低的延遲和更高的安全性。
應用程式閘道
Microsoft Azure 應用程式閘道 提供應用程式傳遞控制器(ADC)即服務,為您的應用程式提供各種第 7 層負載平衡功能。
它可讓您將 CPU 密集 TLS 終止卸除至 應用程式閘道,以優化 Web 伺服器陣列生產力(也稱為「TLS 卸除」或「TLS 橋接」)。 它也提供其他第 7 層路由功能,包括傳入流量的迴圈配置、以 Cookie 為基礎的會話親和性、URL 路徑型路由,以及在單一 應用程式閘道 後方裝載多個網站的能力。 Azure 應用程式閘道 是第 7 層負載平衡器。
它提供不同伺服器之間的故障轉移、效能路由 HTTP 要求,無論是位於雲端還是內部部署。
應用程式提供許多應用程式傳遞控制器 (ADC) 功能,包括 HTTP 負載平衡、Cookie 型會話親和性、 TLS 卸除、自定義健康情況探查、多網站支援,以及其他許多功能。
Web 應用程式防火牆
Web 應用程式防火牆 是一項 Azure 應用程式閘道 功能,可為使用應用程式閘道進行標準應用程式傳遞控制 (ADC) 函式的 Web 應用程式提供保護。 Web 應用程式防火牆會藉由保護它們抵禦 OWASP 前 10 大常見 Web 弱點來進行此作業。
SQL 插入式攻擊保護
常見的 Web 攻擊防護,例如命令插入、HTTP 要求走私、HTTP 回應分割,以及遠端檔案包含攻擊
防範 HTTP 通訊協議違規
防範 HTTP 通訊協定異常,例如遺失主機使用者代理程式及接受標頭
防止 Bot、編目程式和掃描器
偵測常見的應用程式設定錯誤(也就是 Apache、IIS 等)
集中式 Web 應用程式防火牆可防範 Web 攻擊,可讓安全性管理更簡單,並針對入侵的威脅為應用程式提供更好的保證。 對比於保護個別的 Web 應用程式,WAF 解決方案也可透過在中央位置修補已知弱點,更快地回應安全性威脅。 現有的應用程式閘道可以輕鬆地轉換成具有 Web 應用程式防火牆的應用程式閘道。
流量管理員
Microsoft Azure 流量管理員 可讓您控制不同數據中心服務端點的使用者流量分佈。 流量管理員 支援的服務端點包括 Azure VM、Web Apps 和雲端服務。 您也可以對外部非 Azure 端點使用流量管理員。 流量管理員 會使用功能變數名稱系統(DNS),根據流量路由方法和端點的健康情況,將用戶端要求導向至最適當的端點。
流量管理員 提供一系列流量路由方法,以符合不同的應用程式需求、端點健康情況監視和自動故障轉移。 流量管理員可彈性應變失敗,包括整個 Azure 區域的失敗。
Azure Load Balancer
Azure Load Balancer 可為您的應用程式提供高可用性和網路效能。 它是第 4 層 (TCP、UDP) 負載平衡器,可將連入流量分散到負載平衡集中所定義之服務狀況良好的實例。 Azure Load Balancer 可以設定為:
將連入因特網流量負載平衡至虛擬機。 此組態稱為 公用負載平衡。
在虛擬網路中的虛擬機、雲端服務中的虛擬機之間,或在內部部署計算機與跨單位虛擬網路中的虛擬機之間平衡流量。 此設定稱為 內部負載平衡。
將外部流量轉送至特定虛擬機
內部 DNS
您可以在管理入口網站或網路組態檔中管理 VNet 中使用的 DNS 伺服器清單。 客戶可以為每個 VNet 新增最多 12 部 DNS 伺服器。 指定 DNS 伺服器時,請務必確認您依照客戶環境的正確順序列出客戶的 DNS 伺服器。 DNS 伺服器清單無法運作迴圈配置資源。 它們會依指定的順序使用。 如果清單上的第一部 DNS 伺服器能夠連線,用戶端就會使用該 DNS 伺服器,而不論 DNS 伺服器是否正常運作。 若要變更客戶虛擬網路的 DNS 伺服器訂單,請從清單中移除 DNS 伺服器,並在客戶想要的順序中將其加回。 DNS 支援「CIA」 安全性三合奏的可用性層面。
Azure DNS
功能變數名稱系統或 DNS 負責將網站或服務名稱轉譯為其 IP 位址。 Azure DNS 是 DNS 網域的裝載服務,使用 Microsoft Azure 基礎結構提供名稱解析。 在 Azure 中裝載網域,即可使用與其他 Azure 服務相同的認證、API、工具和計費來管理 DNS 記錄。 DNS 支援「CIA」 安全性三合奏的可用性層面。
Azure 監視器記錄 NSG
您可以開啟 NSG 的下列診斷記錄類別:
事件:包含根據 MAC 位址將 NSG 規則套用至 VM 和實例角色的專案。 這些規則的狀態會每隔 60 秒收集一次。
規則計數器:包含每個 NSG 規則套用至拒絕或允許流量的次數專案。
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 會持續分析 Azure 資源的安全性狀態,以取得網路安全性最佳做法。 當 適用於雲端的 Defender 識別潛在的安全性弱點時,它會建立建議,引導您完成設定所需控件以強化和保護資源的程式。
計算
本節提供有關此區域中重要功能的其他資訊,以及這些功能的摘要資訊。
Azure 機密運算 \(英文\)
Azure 機密運算 提供數據保護難題的最終、遺漏部分。 它可讓您隨時保持數據加密。 待用時,透過網路移動時,即使載入記憶體和使用中也一段時間。 此外,藉由讓 遠程證明 成為可能,它可讓您在解除鎖定數據之前,以密碼編譯方式確認您布建的 VM 是否已安全地開機,並已正確設定。
選項範圍的範圍從啟用現有應用程式的「隨即轉移」案例到完全控制安全性功能。 針對基礎結構即服務 (IaaS),您可以使用 AMD SEV-SNP 提供電源的機密虛擬機,或針對執行 Intel Software Guard Extensions (SGX) 的虛擬機使用機密應用程式記憶體保護區。 針對平臺即服務,我們有多個 容器型 選項,包括與 Azure Kubernetes Service (AKS) 的整合。
反惡意代碼和防病毒軟體
透過 Azure IaaS,您可以使用來自 Microsoft、Symantec、Trend Micro、McAfee 和卡巴斯基等安全性廠商的反惡意代碼軟體,保護您的虛擬機免於惡意檔案、廣告軟體和其他威脅。 適用於 Azure 雲端服務 和 虛擬機器 的 Microsoft Antimalware 是一項保護功能,可協助識別和移除病毒、間諜軟體和其他惡意軟體。 當已知的惡意或垃圾軟體嘗試自行安裝或在您的 Azure 系統上執行時,Microsoft Antimalware 會提供可設定的警示。 您也可以使用 適用於雲端的 Microsoft Defender 部署 Microsoft Antimalware
硬體安全性模組
除非金鑰本身受到保護,否則加密和驗證不會改善安全性。 您可以將金鑰儲存在 Azure 金鑰保存庫 中,以簡化重要秘密和金鑰的管理和安全性。 金鑰保存庫 提供選項,將您的金鑰儲存在經認證的硬體安全性模組 (HSM) 中FIPS 140 已驗證的標準。 備份或透明數據加密的 SQL Server 加密金鑰全都可以儲存在 金鑰保存庫 中,其中包含來自您應用程式的任何金鑰或秘密。 這些受保護項目的許可權和存取權是透過 Microsoft Entra ID 來管理。
虛擬機器備份
Azure 備份 是一種解決方案,可保護您的應用程式數據,且資本投資不高,營運成本最低。 應用程式錯誤可能會損毀您的資料,而人為錯誤可能會對可能導致安全性問題的應用程式造成錯誤。 透過 Azure 備份,執行 Windows 和 Linux 的虛擬機會受到保護。
Azure Site Recovery
組織 商務持續性/災害復原(BCDR) 策略的一個重要部分是瞭解如何在計劃性和非計劃性中斷發生時讓公司工作負載和應用程式保持啟動並執行。 Azure Site Recovery 可協助協調工作負載和應用程式的複寫、故障轉移和復原,以便在主要位置關閉時從次要位置取得它們。
SQL VM TDE
透明資料加密 (TDE) 和資料行層級加密 (CLE) 是 SQL Server 加密功能。 這種形式的加密需要客戶管理和儲存您用於加密的密碼編譯密鑰。
Azure Key Vault (AKV) 服務旨在改善這些金鑰在安全且高可用性位置的安全性和管理。 SQL Server 連接器 讓 SQL Server 可以從 Azure 金鑰保存庫使用這些金鑰。
如果您使用內部部署機器執行 SQL Server,您可以從內部部署 SQL Server 實例存取 Azure 金鑰保存庫。 但是對於 Azure VM 中的 SQL Server,您可以使用 Azure 金鑰保存庫 整合功能來節省時間。 透過幾個 Azure PowerShell Cmdlet 來啟用此功能,您可以將 SQL VM 存取金鑰保存庫所需的設定自動化。
VM 磁碟加密
適用於 Linux VM 和 Windows VM Azure 磁碟加密 的 Azure 磁碟加密 可協助您加密 IaaS 虛擬機磁碟。 它會套用 Windows 的業界標準 BitLocker 功能和 Linux 的 DM-Crypt 功能,以提供 OS 和數據磁碟的磁碟區加密。 此解決方案與 Azure 金鑰保存庫 整合,可協助您控制和管理 金鑰保存庫 訂用帳戶中的磁碟加密密鑰和秘密。 此解決方案也可確保虛擬機磁碟上的所有數據都會在 Azure 記憶體中待用加密。
虛擬網路
虛擬機需要網路連線能力。 為了支援該需求,Azure 需要虛擬機連線到 Azure 虛擬網絡。 Azure 虛擬網絡 是建置在實體 Azure 網路網狀架構之上的邏輯建構。 每個邏輯 Azure 虛擬網絡 都會與所有其他 Azure 虛擬網絡 隔離。 此隔離可協助確保其他 Microsoft Azure 客戶無法存取您部署中的網路流量。
修補程式 更新
修補程式 更新 提供尋找和修正潛在問題的基礎,並簡化軟體更新管理程式,這兩者都是藉由減少您必須在企業中部署的軟體更新數目,以及增加監視合規性的能力。
安全策略管理和報告
適用於雲端的 Defender 可協助您防止、偵測及回應威脅,並讓您更瞭解及控制 Azure 資源的安全性。 它提供 Azure 訂用帳戶之間的整合式安全性監視和原則管理、協助偵測可能未注意到的威脅,並搭配廣泛的安全性解決方案生態系統使用。
身分識別和存取管理
保護系統、應用程式和數據從身分識別型訪問控制開始。 Microsoft 商務產品和服務中內建的身分識別和存取管理功能可協助保護組織與個人資訊免於未經授權的存取,同時隨時隨地提供給合法使用者使用。
安全身分識別
Microsoft 在其產品和服務中使用多個安全性做法和技術來管理身分識別和存取。
Multi-Factor Authentication 需要使用者使用多個方法來存取、內部部署和雲端。 它提供一系列簡單驗證選項的強式驗證,同時可讓使用者採用簡單的登入程式。
Microsoft Authenticator 提供方便使用的 Multi-Factor Authentication 體驗,可搭配 Microsoft Entra ID 和 Microsoft 帳戶使用,並包含可穿戴裝置和指紋型核准的支援。
密碼原則強制執行 會藉由強加長度和複雜度需求、強制定期輪替,以及失敗的驗證嘗試后帳戶鎖定,來增加傳統密碼的安全性。
令牌型驗證 可透過 Microsoft Entra ID 進行驗證。
Azure 角色型訪問控制 (Azure RBAC) 可讓您根據使用者指派的角色授與存取權,讓使用者只需提供執行其工作職責所需的存取權數量即可。 您可以根據組織的商務模型和風險承受能力來自定義 Azure RBAC。
整合式身分識別管理(混合式身分識別) 可讓您維護使用者跨內部數據中心和雲端平臺的存取控制權,建立單一使用者身分識別來驗證和授權所有資源。
保護應用程式和數據
Microsoft Entra ID 是完整的身分識別和存取管理雲端解決方案,可協助保護網站和雲端應用程式中數據的存取,並簡化使用者和群組的管理。 它結合了核心目錄服務、進階身分識別治理、安全性和應用程式存取管理,並讓開發人員輕鬆地將原則型身分識別管理建置到其應用程式中。 若要增強 Microsoft Entra 識別符,您可以使用 Microsoft Entra Basic、進階版 P1 和 進階版 P2 版本來新增付費功能。
| 免費/通用功能 | 基本功能 | 進階版 P1 功能 | 進階版 P2 功能 | Microsoft Entra join – 僅限 Windows 10 相關功能 |
|---|---|---|---|---|
| 目錄物件、使用者/群組管理(新增/更新/刪除)/使用者型布建、裝置註冊、單一登錄(SSO)、雲端使用者的自助式密碼變更、連線(將內部部署目錄擴充至 Microsoft Entra ID 的同步處理引擎)、安全性/使用量報告 | 群組型存取管理/布建、雲端使用者的自助式密碼重設、公司商標(登入頁面/存取面板 自定義)、應用程式 Proxy、SLA 99.9% | 自助式群組和應用程式管理/自助式應用程式新增/動態群組、自助式密碼重設/變更/解除鎖定與內部部署回寫、Multi-Factor Authentication (雲端和內部部署 (MFA Server)、MIM CAL + MIM 伺服器、Cloud App Discovery、連線 健全狀況、群組帳戶的自動密碼變換 | Identity Protection、 Privileged Identity Management | 透過 Microsoft Entra join 將裝置加入 Microsoft Entra ID、Desktop SSO、Microsoft Passport for Microsoft Entra ID、管理員 istrator BitLocker 復原、MDM 自動註冊、自助式 BitLocker 復原、透過 Microsoft Entra 加入 Windows 10 裝置的其他本機系統管理員 |
Cloud App Discovery 是 Microsoft Entra ID 的進階功能,可讓您識別組織中員工所使用的雲端應用程式。
Microsoft Entra ID Protection 是一項安全性服務,使用 Microsoft Entra 異常偵測功能來提供風險偵測和可能影響組織身分識別的潛在弱點的合併檢視。
Microsoft Entra Domain Services 可讓您將 Azure VM 加入網域,而不需要部署域控制器。 使用者使用其公司 Active Directory 認證登入這些 VM,而且可以順暢地存取資源。
Azure Active Directory B2C 是適用於取用者面向應用程式的高可用性全域身分識別管理服務,可調整為數億個身分識別,並跨行動和 Web 平臺整合。 您的客戶可以透過使用現有社交媒體帳戶的可自定義體驗登入所有應用程式,或者您可以建立新的獨立認證。
Microsoft Entra B2B 共同作業 是安全的合作夥伴整合解決方案,可讓合作夥伴使用其自我管理身分識別,選擇性地存取公司應用程式和數據,以支援您的跨公司關係。
加入 Microsoft Entra 可讓您將雲端功能延伸至 Windows 10 裝置以進行集中式管理。 讓用戶能夠透過 Microsoft Entra ID 連線到公司或組織雲端,並簡化對應用程式和資源的存取。
Microsoft Entra 應用程式 Proxy 為裝載於內部部署的 Web 應用程式提供 SSO 和安全遠端訪問。