Přehled správy a monitorování zabezpečení Azure

Tento článek obsahuje přehled funkcí zabezpečení a služeb, které Azure poskytuje pro účely správy a monitorování cloudových služeb a virtuálních počítačů Azure.

Řízení přístupu na základě rolí Azure

Řízení přístupu na základě role v Azure (Azure RBAC) poskytuje podrobnou správu přístupu pro prostředky Azure. Pomocí Azure RBAC můžete uživatelům udělit jenom množství přístupu, které potřebují k provádění svých úloh. Azure RBAC vám také může pomoct zajistit, že když lidé opustí organizaci, ztratí přístup k prostředkům v cloudu.

Další informace:

• Řízení přístupu Azure na základě rolí (Azure RBAC)

antimalware

S Azure můžete používat antimalwarový software od hlavních dodavatelů zabezpečení, jako jsou Microsoft, Symantec, Trend Micro, McAfee a Kaspersky. Tento software pomáhá chránit vaše virtuální počítače před škodlivými soubory, adwarem a dalšími hrozbami.

Microsoft Antimalware pro Azure Cloud Services a Virtual Machines nabízí možnost nainstalovat antimalwarového agenta pro role PaaS i virtuální počítače. Na základě služby System Center Endpoint Protection přináší tato funkce do cloudu prověřenou místní technologii zabezpečení.

V Azure se podporuje také Symantec Endpoint Protection (SEP). Prostřednictvím integrace portálu můžete určit, že chcete na virtuálním počítači používat SEP. SEP je možné nainstalovat na nový virtuální počítač prostřednictvím webu Azure Portal nebo ho můžete nainstalovat na existující virtuální počítač přes PowerShell.

Další informace:

• Microsoft Antimalware pro Azure Cloud Services a Virtual Machines
• Nové antimalwarové možnosti ochrany virtuálních počítačů Azure

Vícefaktorové ověřování

Vícefaktorové ověřování Microsoft Entra je metoda ověřování, která vyžaduje použití více než jedné metody ověření. Přidá kritickou druhou vrstvu zabezpečení k přihlašování a transakcím uživatelů.

Vícefaktorové ověřování pomáhá chránit přístup k datům a aplikacím, zatímco splňuje požadavky uživatelů na jednoduchý proces přihlašování. Zajišťuje silné ověřování prostřednictvím řady možností ověření (telefonní hovor, textová zpráva nebo oznámení mobilní aplikace nebo ověřovací kód) a tokenů OATH třetích stran.

Další informace:

• Vícefaktorové ověřování
• Jak funguje vícefaktorové ověřování Microsoft Entra

ExpressRoute

Azure ExpressRoute můžete použít k rozšíření místních sítí do cloudu Microsoftu přes vyhrazené privátní připojení, které poskytovatel připojení usnadňuje. Pomocí ExpressRoute můžete navázat připojení ke cloudovým službám Microsoftu, jako jsou Azure, Microsoft 365 a CRM Online. Připojení může být z:

• Síť VPN typu any-to-any (IP).
• Ethernetová síť typu point-to-point.
• Virtuální křížové připojení prostřednictvím poskytovatele připojení ve společném umístění.

Připojení ExpressRoute neprocházejí přes veřejný internet. Můžou nabízet větší spolehlivost, rychlejší rychlost, nižší latenci a vyšší zabezpečení než typická připojení přes internet.

Další informace:

• Technický přehled ExpressRoute

Brány virtuálních sítí

Brány VPN, označované také jako brány virtuální sítě Azure, slouží k odesílání síťového provozu mezi virtuálními sítěmi a místními umístěními. Používají se také k odesílání provozu mezi několika virtuálními sítěmi v Rámci Azure (síť do sítě). Brány VPN poskytují zabezpečené připojení mezi různými místy mezi Azure a vaší infrastrukturou.

Další informace:

• Informace o branách VPN
• Přehled zabezpečení sítě Azure

Privileged Identity Management

Někdy uživatelé potřebují provádět privilegované operace v prostředcích Azure nebo v jiných aplikacích SaaS. To často znamená, že organizace jim dávají trvalý privilegovaný přístup v Microsoft Entra ID.

Jedná se o rostoucí riziko zabezpečení pro prostředky hostované v cloudu, protože organizace nemůžou dostatečně monitorovat, co tito uživatelé dělají se svým privilegovaným přístupem. Navíc pokud dojde k ohrožení uživatelského účtu s privilegovaným přístupem, může to mít vliv na celkové zabezpečení cloudu organizace. Microsoft Entra Privileged Identity Management pomáhá toto riziko vyřešit snížením doby vystavení oprávnění a zvýšením přehledu o využití.

Privileged Identity Management zavádí koncept dočasného správce pro přístup správce role nebo přístup správce "za běhu". Tento druh správce je uživatel, který musí dokončit proces aktivace pro danou přiřazenou roli. Proces aktivace změní přiřazení uživatele k roli v ID Microsoft Entra z neaktivního na aktivní po zadanou dobu.

Další informace:

• Microsoft Entra Privileged Identity Management
• Začínáme používat Privileged Identity Management

Identity Protection

Microsoft Entra ID Protection poskytuje konsolidované zobrazení podezřelých aktivit přihlašování a potenciálních ohrožení zabezpečení, které pomáhají chránit vaši firmu. Identity Protection detekuje podezřelé aktivity pro uživatele a privilegované identity (správce) na základě signálů, jako jsou:

• Útoky hrubou silou.
• Uniklé přihlašovací údaje.
• Přihlášení z neznámých umístění a napadených zařízení

Díky poskytování oznámení a doporučené nápravy pomáhá Služba Identity Protection zmírnit rizika v reálném čase. Vypočítá závažnost rizika uživatele. Můžete nakonfigurovat zásady založené na rizicích, které automaticky pomáhají chránit přístup aplikací před budoucími hrozbami.

Další informace:

• Microsoft Entra ID Protection

Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně. Defender for Cloud vám poskytuje lepší přehled o zabezpečení vašich prostředků Azure a také o zabezpečení prostředků Azure a také o tom, které máte v hybridním cloudovém prostředí.

Defender for Cloud provádí nepřetržité posouzení zabezpečení připojených prostředků a porovnává jejich konfiguraci a nasazení s srovnávacím testem zabezpečení cloudu Microsoftu a poskytuje podrobná doporučení zabezpečení přizpůsobená vašemu prostředí.

Defender for Cloud vám pomůže optimalizovat a monitorovat zabezpečení prostředků Azure pomocí následujících možností:

• Povolení definování zásad pro prostředky předplatného Azure podle:
  • Potřeby vaší organizace v oblasti zabezpečení.
  • Typ aplikací nebo citlivost dat v každém předplatném.
  • Jakékoli oborové nebo regulační standardy nebo srovnávací testy, které se vztahují na vaše předplatná.
• Monitorování stavu virtuálních počítačů, sítí a aplikací Azure
• Poskytuje seznam výstrah zabezpečení s prioritou, včetně výstrah z integrovaných partnerských řešení. Poskytuje také informace, které potřebujete k rychlému prozkoumání útoku a doporučení, jak ho napravit.

Další informace:

• Úvod do Microsoft Defenderu pro cloud
• Vylepšení skóre zabezpečení v Microsoft Defenderu pro cloud

Další kroky

Seznamte se s modelem sdílené odpovědnosti a o tom, které úlohy zabezpečení zpracovává Microsoft a které úkoly jsou zpracovávány vámi.

Další informace o správě zabezpečení najdete v tématu Správa zabezpečení v Azure.