Azure 安全性簡介
概觀
我們知道安全性是雲端中的首要工作和其重要性,因為您可在其中找到精確且及時的 Azure 安全性資訊。 針對您的應用程式和服務使用 Azure 的最佳原因之一是可以利用它的各種安全性工具和功能。 這些工具和功能可協助您在安全的 Azure 平台上建立安全的解決方案。 Microsoft Azure 提供客戶資料的機密性、完整性和可用性,同時也能釐清責任。
本文提供 Azure 可用安全性的完整探討。
Azure 平台
Azure 是一個公用雲端服務平台,支援廣泛的作業系統、程式設計語言、架構、工具、資料庫及裝置等選擇。 它可以透過 Docker 整合執行 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 及 Node.js 建置應用程式;為 iOS、Android 及 Windows 裝置建置後端。
Azure 公用雲端服務支援數百萬名開發人員和 IT 專家早已仰賴和信任的相同技術。 當您建置 IT 資產或將其移轉至公用雲端服務提供者時,您正是依賴該組織的能力,利用他們提供來管理您雲端式資產安全性的服務與控制機制,來保護您的應用程式和資料。
Azure 的基礎結構設計涵蓋設備與應用程式,可同時裝載數以百萬計的客戶,並提供值得信任的基礎以使企業可符合其安全性需求。
此外,Azure 也為您提供各式各樣可設定的安全性選項及控制它們的功能,讓您能夠自訂安全性以符合組織部署的特殊需求。 本文件有助於您了解 Azure 安全性功能如何協助您滿足這些需求。
Azure 安全性功能的摘要
負責管理應用程式或服務安全性之人員應負的責任會根據雲端服務模型而不同。 Azure 平台中提供一些功能,可協助您透過內建功能,以及透過可部署到 Azure 訂用帳戶的協力廠商解決方案,來達成這些職責。
內建功能分為六個功能區域:作業、應用程式、儲存體、網路、計算和身分識別。 透過摘要資訊提供這六個區域中 Azure 平臺中可用特性和功能的其他詳細資料。
Operations
本節提供關於安全性作業中主要功能的其他資訊,以及這些功能的摘要資訊。
Microsoft Sentinel
Microsoft Sentinel 是可調整、雲端原生、安全性資訊和事件管理 (SIEM) 和安全性協調流程、自動化和安全性協調流程、自動化和安全性回應 (SOAR) 解決方案。 Microsoft Sentinel 提供整個企業的智慧型安全性分析與威脅情報,並針對攻擊偵測、威脅可見性、主動搜捕及威脅回應,提供單一解決方案。
適用於雲端的 Microsoft Defender
適用于雲端的 Microsoft Defender 可協助您防止、偵測及回應威脅,並提升對 Azure 資源安全性的可見度和控制。 它提供您 Azure 訂用帳戶之間的整合式安全性監視和原則管理,協助您偵測可能會忽略的威脅,且適用於廣泛的安全性解決方案生態系統。
此外,適用于雲端的 Defender 可提供單一儀表板來呈現可立即採取行動的警示和建議,協助您進行安全性作業。 通常,您可以在適用于雲端的 Defender 主控台內按一下來補救問題。
Azure Resource Manager
Azure Resource Manager可讓您將解決方案中的資源當作群組使用。 您可以透過單一、協調的作業來部署、更新或刪除方案的所有資源。 您會使用 Azure Resource Manager 範本 (英文) 部署,該範本可用於不同的環境,例如測試、預備和生產環境。 Resource Manager 會提供安全性、稽核和標記功能,以協助您在部署後管理您的資源。
以 Azure Resource Manager 範本為基礎的部署,有助於提升部署於 Azure 中之解決方案的安全性 (因為標準的安全性控制設定),並且可整合至以標準化範本為基礎的部署中。 這會降低可能需要在手動部署期間執行的安全性設定錯誤風險。
Application Insights
Application Insights 是適用于 Web 開發人員的可延伸應用程式效能管理 (APM) 服務。 使用 Application Insights,您可以即時監視 Web 應用程式,並自動偵測效能異常。 其中包括強大的分析工具可協助您診斷問題,並了解使用者實際如何運用您的應用程式。 它會在您的應用程式執行時全程加以監視,包括測試期間,以及您加以發佈或部署之後。
Application Insights 會建立圖表和資料表為您顯示多種資訊,例如,您在一天中的哪些時間有最多使用者、應用程式的回應性如何,以及它所依存的任何外部服務是否順暢地為其提供服務。
如果有當機、失敗或效能問題,您可以搜尋詳細的遙測資料,以診斷原因。 此外,如果應用程式的可用性和效能有任何變更,服務會傳送電子郵件給您。 Application Insight 因而成為一個非常實用的安全性工具,因為它有助於提供機密性、完整性和可用性安全性三部曲中的「可用性」。
Azure 監視器
Azure 監視器 提供 Azure 訂用帳戶 (活動記錄) 和每個個別 Azure 資源 (資源 記錄) 資料的視覺效果、查詢、路由、警示、自動調整和自動化。 您可以使用 Azure 監視器,在 Azure 記錄中產生安全性相關事件時接收警示通知。
Azure 監視器記錄
Azure 監視器記錄 – 除了 Azure 資源之外,也提供內部部署和協力廠商雲端式基礎結構 (的 IT 管理解決方案,例如 AWS) 。 Azure 監視器中的資料可以直接路由傳送至 Azure 監視器記錄,讓您可以在單一位置查看整個環境的計量和記錄。
Azure 監視器記錄是鑒識和其他安全性分析的公用程式,因為此工具可讓您使用彈性查詢方法來快速搜尋大量的安全性相關專案。 此外, 內部部署防火牆和 Proxy 記錄可以匯出至 Azure,並使用 Azure 監視器記錄進行分析。
Azure Advisor
Azure Advisor 是個人化雲端顧問,可協助您將 Azure 部署最佳化。 它會分析您的資源及用量遙測, 然後建議解決方案來協助改善資源的效能、安全性和可靠性,同時尋找減少整體 Azure 支出的機會。 Azure Advisor 提供安全性建議,讓您能夠大幅改善您部署於 Azure 中之解決方案的整體安全性狀態。 這些建議取自適用于雲端的 Microsoft Defender所執行的安全性分析。
應用程式
本節提供關於應用程式安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
滲透測試
我們不會為您執行應用程式的 滲透測試 ,但我們確實瞭解您想要且需要對您自己的應用程式執行測試。 這是件好事,因為當您增強應用程式的安全性時,可協助讓整個 Azure 生態系統更安全。 雖然通知 Microsoft 的手寫筆測試活動已不再需要客戶仍必須遵守 Microsoft 雲端滲透測試參與規則。
Web 應用程式防火牆
Azure 應用程式閘道中的 Web 應用程式防火牆 (WAF) 可協助保護 Web 應用程式,以免於常見的 Web 型攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊和工作階段攔截。 其已預先設定 Open Web Application Security Project (OWASP) 認定為前 10 大常見漏洞的威脅防護。
Azure App Service 中的驗證與授權
App Service 驗證/授權是可讓應用程式接受使用者登入的一種功能,而不需要您在應用程式後端變更程式碼。 它提供簡單的方法來保護您的應用程式,以及使用每位使用者的資料。
分層式安全性架構
由於 App Service 環境提供部署至 Azure 虛擬網路的隔離執行階段環境,因此開發人員能夠建立分層式安全性架構,針對每個應用程式層提供不同層級的網路存取。 常見的需求之一,是要隱藏對 API 後端的一般網際網路存取,而只允許由上游 Web 應用程式呼叫 API。 網路安全性群組 (NSG) 可用於包含 App Service 環境的 Azure 虛擬網路子網路,以限制對 API 應用程式的公用存取。
Web 伺服器診斷和應用程式診斷
App Service Web 應用程式提供診斷功能,以記錄來自 Web 服務器和 Web 應用程式的資訊。 這些資訊邏輯上可區分為 [Web 伺服器診斷]與 [應用程式診斷]。 Web 伺服器在針對網站和應用程式進行診斷及疑難排解方面包含了兩個重大進展。
第一個新功能是關於應用程式集區、背景工作處理序、網站、應用程式定義域和執行中要求的即時狀態資訊。 第二個新優點是詳細的追蹤事件,可在整個完成要求與回應程序中追蹤要求。
若要能夠收集這些追蹤事件,您可以設定 IIS 7,針對任何以經過時間或錯誤回應碼為基礎的特定要求,自動擷取完整的追蹤記錄 (XML 格式)。
儲存體
本節提供關於 Azure 儲存體安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
Azure 角色型存取控制 (Azure RBAC)
您可以使用 Azure 角色型存取控制來保護儲存體帳戶, (Azure RBAC) 。 根據 需要知道 和 最低許可權 安全性原則來限制存取,對於想要強制執行資料存取安全性原則的組織而言,是不可或缺的。 這些存取權限會藉由將適當的 Azure 角色指派給特定範圍的群組和應用程式來授與。 您可以使用 Azure 內建角色,例如儲存體帳戶參與者,將許可權指派給使用者。 您可以使用Azure Resource Manager模型來控制儲存體帳戶的儲存體金鑰存取權,可以透過 Azure RBAC 來控制。
共用存取簽章
(SAS) 共用存取簽章會提供儲存體帳戶中資源的委派存取權。 SAS 意謂著您可以將儲存體帳戶中物件的有限權限授與用戶端,讓該用戶端可以在一段指定期間內使用一組指定的權限進行存取。 您可以在不須分享您帳戶存取金鑰的情況下,授與這些有限的權限。
傳輸中加密
傳輸中加密是透過網路傳輸資料時用來保護資料的機制。 透過 Azure 儲存體,您可以使用下列各項來保護資料:
傳輸層級加密,例如當您將資料傳入或移出 Azure 儲存體時,HTTPS。
用戶端加密,在將資料傳輸至儲存體之前加密資料,以及自儲存體傳出後解密資料。
待用加密
對許多組織來說,待用資料加密是達到資料隱私權、合規性及資料主權的必要步驟。 有三個 Azure 儲存體安全性功能可提供「待用」資料的加密:
儲存體服務加密 可讓您要求儲存體服務在將資料寫入 Azure 儲存體時自動加密資料。
用戶端加密 也提供待用加密的功能。
Azure 磁碟加密 允許您加密 IaaS 虛擬機器所使用的作業系統磁碟和資料磁碟。
儲存體分析
Azure 儲存體分析會執行記錄,並提供儲存體帳戶的計量資料。 您可以使用此資料來追蹤要求、分析使用量趨勢,以及診斷儲存體帳戶的問題。 儲存體分析會記錄對儲存體服務之成功和失敗要求的詳細資訊。 這項資訊可用來監視個別要求,並診斷儲存體服務的問題。 系統會以最佳方式來記錄要求。 系統將記錄下列類型的驗證要求:
- 成功的要求。
- 失敗的要求,包括逾時、節流、網路、授權和其他錯誤。
- 使用共用存取簽章 (SAS) 的要求,包括失敗和成功的要求。
- 分析資料的要求。
使用 CORS 啟用瀏覽器型用戶端
跨原始來源資源共用 (CORS) 這個機制可讓網域能夠為彼此提供權限來存取彼此的資源。 使用者代理程式會傳送額外的標頭,以確保允許從特定網域載入的 JavaScript 程式碼存取位於另一個網域的資源。 第二個網域接著會利用額外的標頭回覆,以允許或拒絕對其資源的原始網域存取。
Azure 儲存體服務目前支援 CORS,因此,一旦您設定服務的 CORS 規則之後,即會評估從不同網域對服務所提出的適當驗證要求,以判斷是否可根據您指定的規則來允許它。
網路
本節提供關於 Azure 網路安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
網路層控制
網路存取控制是指限制與特定裝置或子網路間之連線的動作,並代表網路安全性的核心。 網路存取控制的目的是確定只有您想要它們存取的使用者和裝置,才能存取您的虛擬機器和服務。
網路安全性群組
網路安全性群組 (NSG) 是基本的具狀態封包篩選防火牆,可讓您根據 5 元組控制存取。 NSG 未提供應用程式層級檢查或已驗證的存取控制。 它們可用來控制在 Azure 虛擬網路內子網路之間移動的流量,以及在 Azure 虛擬網路與網際網路之間的流量。
Azure 防火牆
Azure 防火牆是雲端原生且智慧型的網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 此服務也提供東西和南北流量檢查。
Azure 防火牆提供兩個 SKU:標準版和進階版。 Azure 防火牆 Standard會直接從 Microsoft 網路安全性提供 L3-L7 篩選和威脅情報摘要。 Azure 防火牆 Premium提供進階功能,包括簽章型 IDPS,以透過尋找特定模式來允許快速偵測攻擊。
路由控制和強制通道
控制您 Azure 虛擬網路上路由行為的能力是重大網路安全性和存取控制功能。 例如,如果您想要確定進出 Azure 虛擬網路的所有流量都會經過該虛擬安全性設備,您需要能夠控制和自訂路由行為。 做法是在 Azure 中設定使用者定義的路由。
使用者定義的路由可讓您自訂移入和移出個別虛擬機器或子網路之流量的連入和連出路徑,盡可能確保最安全的路由。 強制通道 是一種機制,可讓您用來確保服務不允許起始網際網路上裝置的連線。
這與能夠接受連入連線,然後回應它們不同。 前端 Web 伺服器需要回應來自網際網路主機的要求,因此允許來自網際網路的流量傳入到這些 Web 伺服器,而 Web 伺服器可以回應。
強制通道處理通常用來強制傳至網際網路的連出流量通過內部部署安全性 Proxy 和防火牆。
虛擬網路安全性應用裝置
雖然網路安全性群組、使用者定義路由和強制通道處理提供 OSI 模型 (英文) 之網路和傳輸層的安全性層級,但是您有時可能想要啟用較高堆疊層級的安全性。 您可以使用 Azure 合作夥伴網路安全性設備解決方案,來存取這些增強的網路安全性功能。 您可以流覽Azure Marketplace並搜尋「安全性」和「網路安全性」,以找到最新的 Azure 合作夥伴網路安全性解決方案。
Azure 虛擬網路
Azure 虛擬網路 (VNet) 是您的網路在雲端中的身分。 它是專屬於您訂用帳戶的 Azure 網路網狀架構邏輯隔離。 您可以完全控制此網路內的 IP 位址區塊、DNS 設定、安全性原則和路由表。 您可以將 VNet 分成數個子網路,並在 Azure 虛擬網路上放置 Azure IaaS 虛擬機器 (VM) 和/或雲端服務 (PaaS 角色執行個體)。
另外,您也可以使用 Azure 中提供的其中一個連線選項將虛擬網路連線到內部部署網路。 基本上,您可以將您的網路延伸至 Azure,透過 Azure 提供的企業級好處完整控制 IP 位址區塊。
Azure 網路功能支援各種安全遠端存取案例。 其中包含:
Azure Private Link
Azure Private Link可讓您透過私人端點在虛擬網路中私下存取 Azure PaaS 服務 (,例如 Azure 儲存體和SQL Database) 和 Azure 裝載的客戶擁有/合作夥伴服務。 使用 Azure Private Link 進行設定和取用的方式,在 Azure PaaS、客戶自有服務和共用合作夥伴服務之間是一致的。 從您的虛擬網路到 Azure 服務的流量一律會保留在 Microsoft Azure 骨幹網路上。
私人端點 可讓您僅將重要的 Azure 服務資源安全到您的虛擬網路。 Azure 私人端點會使用來自 VNet 的私人 IP 位址,以私下且安全地連線到由 Azure Private Link 提供的服務,有效地將服務帶入您的 VNet。 不再需要將虛擬網路公開至公用網際網路,才能取用 Azure 上的服務。
您也可以在虛擬網路中建立自己的私人連結服務。 Azure Private Link服務是由Azure Private Link所提供之您自己的服務參考。 您可以在 Azure Standard Load Balancer 後方執行的服務啟用,以進行Private Link存取,讓服務取用者可從自己的虛擬網路私下存取它。 您的客戶可以在其虛擬網路內建立私人端點,並將其對應至此服務。 不再需要將服務公開至公用網際網路,才能在 Azure 上轉譯服務。
VPN 閘道
若要在 Azure 虛擬網路和您的內部部署網站之間傳送網路流量,就必須為 Azure 虛擬網路建立 VPN 閘道。 VPN 閘道是一種虛擬網路閘道,可透過公用連線傳送加密流量。 您也可以使用 VPN 閘道,透過 Azure 網路網狀架構傳送 Azure 虛擬網路之間的流量。
快速路由
Microsoft Azure ExpressRoute 是專用的 WAN 連結,可讓您透過連線提供者所提供的專用私人連接,將內部部署網路擴充至 Microsoft 雲端。
使用 ExpressRoute,即可和 Microsoft 雲端服務建立連線,例如 Microsoft Azure、Microsoft 365 和 CRM Online。 從任意點對任意點 (IP VPN) 網路、點對點乙太網路,或在共置設施上透過連線提供者的虛擬交叉連接,都可以進行連線。
ExpressRoute 連接不會經過公用網際網路,因此可視為比 VPN 型解決方案更安全。 相較於一般網際網路連線,這可讓 ExpressRoute 連線提供更可靠、更快速、延遲更短和更安全的連線。
應用程式閘道
Microsoft Azure 應用程式閘道會以服務形式提供應用程式傳遞控制器 (ADC) (英文),為您的應用程式提供各種第 7 層負載平衡功能。
它可讓您將 CPU 密集 TLS 終止卸載 應用程式閘道 (至也稱為「TLS 卸載」或「TLS 橋接」) ,以優化 Web 服務器陣列生產力。 它也提供其他第 7 層路由功能,包括循環配置傳入流量、以 Cookie 為基礎的工作階段同質性、URL 路徑型路由,以及在單一應用程式閘道背後代管多個網站的能力。 Azure 應用程式閘道是第 7 層負載平衡器。
不論是在雲端或內部部署中,此閘道均提供在不同伺服器之間進行容錯移轉及效能路由傳送 HTTP 要求。
應用程式提供許多應用程式傳遞控制器 (ADC) 功能,包括 HTTP 負載平衡、Cookie 型會話親和性、 TLS 卸載、自訂健康情況探查、支援多網站,以及其他許多功能。
Web 應用程式防火牆
Web 應用程式防火牆是 Azure 應用程式閘道的一項功能,可保護使用應用程式閘道執行標準應用程式傳遞控制 (ADC) 功能的 Web 應用程式。 Web 應用程式防火牆的做法是保護應用程式以防範 OWASP 前 10 個最常見的 Web 弱點。
SQL 插入式攻擊保護
常見 Web 攻擊保護,例如命令插入式攻擊、HTTP 要求走私、HTTP 回應分割和遠端檔案包含攻擊
防範 HTTP 通訊協定違規
防範 HTTP 通訊協定異常行為,例如遺漏主機使用者代理程式和接受標頭
防範 Bot、編目程式和掃描器
偵測一般應用程式錯誤組態 (也就是 Apache、IIS 等)
防止 Web 攻擊的集中式 Web 應用程式防火牆可簡化安全性管理作業,並更加確保應用程式能夠對抗入侵威脅。 相較於保護每個個別的 Web 應用程式,WAF 方案還可透過在中央位置修補已知弱點,更快地因應安全性威脅。 現有的應用程式閘道可以輕易地轉換成具有 Web 應用程式防火牆的應用程式閘道。
流量管理員
Microsoft Azure 流量管理員可讓您控制使用者流量,將流量分散到不同資料中心的服務端點。 流量管理員支援的服務端點包括 Azure VM、Web Apps 和雲端服務。 您也可以將流量管理員使用於外部、非 Azure 端點。 流量管理員會使用網域名稱系統 (DNS) ,根據 流量路由方法和 端點的健康情況,將用戶端要求導向至最適當的端點。
流量管理員提供各種流量路由方法,以符合不同的應用程式需求、端點健全狀況監視、及自動容錯移轉。 流量管理員可彈性應變失敗,包括整個 Azure 區域的失敗。
Azure Load Balancer
Azure Load Balancer 可為您的應用程式提供高可用性和網路效能。 這是 Layer 4 (TCP、UDP) 負載平衡器,可將連入流量分配到負載平衡集中所定義服務的狀況良好執行個體。 Azure Load Balancer 可以設定為:
對虛擬機器的連入網際網路流量進行負載平衡。 此設定稱為 公用負載平衡。
平衡虛擬網路中的虛擬機器之間、雲端服務中的虛擬機器之間,或內部部署電腦與跨單位部署虛擬網路中的虛擬機器之間的流量負載。 這個組態稱為 內部負載平衡。
將外部流量轉送到特定的虛擬機器
內部 DNS
您可以在管理入口網站或網路組態檔中,管理用於 VNet 的 DNS 伺服器清單。 客戶可以為每個 VNet 新增最多 12 部 DNS 伺服器。 指定 DNS 伺服器時,請務必確認您會針對客戶環境以正確順序列出客戶的 DNS 伺服器。 DNS 伺服器清單不會使用循環配置資源, 而會依其指定的順序來使用。 如果可以連接至清單上的第一部 DNS 伺服器,用戶端就會使用該 DNS 伺服器,而無論該 DNS 伺服器是否運作正常。 若要變更客戶虛擬網路的 DNS 伺服器順序,請從清單中移除 DNS 伺服器,然後以客戶想要的順序將其重新加入。 DNS 支援 “CIA” 安全性三部曲的可用性層面。
Azure DNS
網域名稱系統 (DNS) 負責將網站或服務名稱轉譯 (或解析) 為其 IP 位址。 Azure DNS 是 DNS 網域的裝載服務,可使用 Microsoft Azure 基礎結構提供名稱解析。 在 Azure 中裝載網域,即可使用與其他 Azure 服務相同的認證、API、工具和計費來管理 DNS 記錄。 DNS 支援 “CIA” 安全性三部曲的可用性層面。
Azure 監視器記錄 NSG
您可以啟用下列 NSG 的診斷記錄類別︰
事件︰包含要將 NSG 規則套用到以 MAC 位址為基礎的 VM 和執行個體角色的項目。 每隔 60 秒會收集一次這些規則的狀態。
規則計數器:包含套用每個 NSG 規則以拒絕或允許流量之次數的項目。
適用於雲端的 Microsoft Defender
適用于雲端的 Microsoft Defender 會持續分析 Azure 資源的安全性狀態,以取得網路安全性最佳做法。 當適用于雲端的 Defender 識別潛在的安全性弱點時,它會建立 建議 ,引導您完成設定必要控制項以強化和保護資源的程式。
計算
本節提供關於這個領域中主要功能的其他資訊,以及這些功能的摘要資訊。
反惡意程式碼 & 防毒軟體
運用 Azure IaaS,您可以使用來自安全性廠商 (例如 Microsoft、Symantec、Trend Micro、McAfee 和 Kaspersky) 的反惡意程式碼軟體,以保護您的虛擬機器來抵禦惡意檔案、廣告軟體和其他威脅。 適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware 是一項保護功能,有助於識別和移除病毒、間諜軟體和其他惡意軟體。 Microsoft Antimalware 會提供可設定的警示,在已知的惡意或垃圾軟體嘗試自行安裝或在您的 Azure 系統上執行時發出警示。 您也可以使用適用于雲端的 Microsoft Defender 來部署Microsoft Antimalware
硬體安全性模型
加密和驗證不會改善安全性,除非金鑰本身也受到保護。 您可以將金鑰儲存在Azure 金鑰保存庫,以簡化重要秘密和安全性的管理和安全性。 Key Vault 讓您能選擇將金鑰存放在通過 FIPS 140-2 Level 2 標準認證的硬體安全性模組 (HSM) 中。 備份或 透明資料加密 的 SQL Server 加密金鑰都能與應用程式的任何金鑰或密碼一起存放在金鑰保存庫中。 這些受保護項目的權限和存取權是透過 Azure Active Directory來管理。
虛擬機器備份
Azure 備份是一種解決方案,可以不需成本地保護您的應用程式資料,以及將操作成本降到最低。 應用程式錯誤可能導致資料損毀,而人為錯誤可能會將 Bug 導入應用程式,因而引發安全性問題。 使用 Azure 備份,您執行 Windows 與 Linux 的虛擬機器會受到保護。
Azure Site Recovery
組織之商務持續性/災害復原 (BCDR) 策略的一個重要部分是,找出在發生計劃中和非計劃中的中斷時讓企業工作負載和應用程式保持啟動並執行的方法。 Azure Site Recovery 有助於協調工作負載和應用程式的複寫、容錯移轉及復原,因此能夠在主要位置發生故障時,透過次要位置提供工作負載和應用程式。
SQL VM TDE
透明資料加密 (TDE)和資料行層級加密 (CLE) 都是 SQL Server 加密功能。 此形式的加密需要客戶管理和儲存您用來加密的密碼編譯金鑰。
Azure 金鑰保存庫 (AKV) 服務是設計來改善這些金鑰在安全且高度可用位置的安全性和管理。 SQL Server 連接器讓 SQL Server 可以從 Azure Key Vault 使用這些金鑰。
如果您使用內部部署機器執行SQL Server,則可以遵循下列步驟,從內部部署SQL Server實例存取 Azure 金鑰保存庫。 但是對於 Azure VM 中的 SQL Server,您可以使用 Azure Key Vault 整合功能來節省時間。 使用一些 Azure PowerShell Cmdlet 來啟用這項功能,您可以自動化 SQL VM 存取您的金鑰保存庫所需的組態。
VM 磁碟加密
Azure 磁片加密 是一項新功能,可協助您加密 Windows 和 Linux IaaS 虛擬機器磁片。 它運用 Windows 的業界標準 BitLocker 功能和 Linux 的 DM-Crypt 功能,為 OS 和資料磁碟提供磁碟區加密。 此解決方案會與 Azure Key Vault 整合,以協助您控制及管理 Key Vault 訂用帳戶中的磁碟加密金鑰與密碼。 此解決方案也可確保虛擬機器磁碟上的所有待用資料都會在您的 Azure 儲存體中加密。
虛擬網路
虛擬機器需要遠端連線。 為了支援該需求,Azure 需要虛擬機器連接到 Azure 虛擬網路。 Azure 虛擬網路是以實體 Azure 網路網狀架構為基礎所建置的邏輯建構。 每個邏輯Azure 虛擬網路都會與其他所有 Azure 虛擬網路隔離。 此隔離可協助確保其他 Microsoft Azure 客戶無法存取您部署中的網路流量。
修補程式更新
修補程式更新提供尋找及修正潛在問題的基礎並簡化軟體更新管理程序,方法是減少您必須在企業中部署的軟體更新數目,以及增強您監視合規性的能力。
安全性原則管理和報告
適用于雲端的 Defender 可協助您防止、偵測及回應威脅,並讓您更瞭解及控制 Azure 資源的安全性。 它提供您 Azure 訂用帳戶之間的整合式安全性監視和原則管理、協助偵測可能忽略的威脅,並適用於廣泛的安全性解決方案生態系統。
身分識別和存取管理
保護系統、應用程式及資料是從以身分識別為基礎的存取控制開始。 內建於 Microsoft 商務產品和服務的身分識別與存取管理功能,可協助保護您的組織和個人資訊免於遭受未經授權的存取,同時讓合法的使用者隨時隨地都能視需要來使用它。
安全的身分識別
Microsoft 在其產品與服務上使用多個安全性作法與技術來管理身分識別與存取。
Multi-Factor Authentication 需要使用者在內部部署和雲端中使用多種方法進行存取。 它使用一些簡單驗證選項來提供堅固的驗證,同時透過簡易登入程序來因應使用者。
Microsoft Authenticator (英文) 提供易於使用的 Multi-Factor Authentication 體驗,可搭配 Microsoft Azure Active Directory 和 Microsoft 帳戶一起使用,並包括對於穿戴式裝置與指紋式核准的支援。
密碼原則強制執行藉由加強長度和複雜度需求、強制定期循環,以及在失敗的驗證嘗試之後鎖定帳戶,來提高傳統密碼的安全性。
權杖型驗證可透過 Azure Active Directory 啟用驗證。
Azure 角色型存取控制 (Azure RBAC) 可讓您根據使用者指派的角色授與存取權,讓使用者只需提供他們執行工作職責所需的存取權量。 您可以為每個組織的商務模型和風險承受度自訂 Azure RBAC。
整合式身分識別管理 (混合式身分識別) 可讓您維持控制使用者在內部資料中心和雲端平台上的存取權,建立單一使用者身分識別,以便對所有資源進行驗證與授權。
保護應用程式和資料
Azure Active Directory 是全面性的身分識別和存取管理雲端解決方案,可協助保護對現場與雲端中應用程式內資料的存取,並簡化使用者和群組的管理。 它結合了核心目錄服務、進階身分識別控管、安全性,以及應用程式存取管理,並讓開發人員能夠輕鬆地將以原則為基礎的身分識別管理建置到他們的應用程式中。 若要增強您的 Azure Active Directory,您可以使用 Azure Active Directory Basic、Premium P1 及 Premium P2 版本來新增付費功能。
Cloud App Discovery 是 Azure Active Directory 的一個高階功能,可讓您識別組織中的員工所使用的雲端應用程式。
Azure Active Directory Identity Protection 是一項安全性服務,其使用 Azure Active Directory 異常偵測功能來提供風險偵測的合併檢視,以及可能會影響貴組織身分識別的潛在弱點。
Azure Active Directory Domain Services 可讓您將 Azure VM 加入至網域,而不需部署網域控制站。 使用者利用其公司的 Active Directory 認證登入這些 VM,並可順暢地存取資源。
Azure Active Directory B2C 是一個高可用性的全域身分識別管理服務,適用於可處理數億個身分識別並跨行動裝置與 Web 平台整合的消費者端應用程式。 您的客戶可以透過可自訂的體驗 (現有的社交媒體帳戶) 登入您所有的應用程式,或者您可以建立新的獨立認證。
Azure Active Directory B2B 共同作業是一個安全的合作夥伴整合解決方案,可支援公司間的關係,方法則是讓合作夥伴使用由其自行管理的身分識別,選擇性地存取您的公司應用程式和資料。
已加入 Azure Active Directory可讓您將雲端功能延伸至Windows 10裝置以進行集中式管理。 它可讓使用者透過 Azure Active Directory 連接到公司或組織雲端,並簡化對應用程式和資源的存取。
Azure Active Directory 應用程式 Proxy 為內部部署裝載的 Web 應用程式提供 SSO 及安全的遠端存取。
後續步驟
了解雲端的共同責任。
了解適用於雲端的 Microsoft Defender 如何協助您利用加強對 Azure 資源的可見度和安全性控制權,以防止、偵測和回應威脅。