Udostępnij za pośrednictwem


Najlepsze rozwiązania dotyczące zabezpieczeń operacyjnych platformy Azure

Ten artykuł zawiera zestaw najlepszych rozwiązań operacyjnych dotyczących ochrony danych, aplikacji i innych zasobów na platformie Azure.

Najlepsze rozwiązania są oparte na konsensusie opinii i współpracują z bieżącymi możliwościami i zestawami funkcji platformy Azure. Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł jest regularnie aktualizowany w celu odzwierciedlenia tych zmian.

Definiowanie i wdrażanie silnych praktyk zabezpieczeń operacyjnych

Zabezpieczenia operacyjne platformy Azure odnoszą się do usług, mechanizmów kontroli i funkcji dostępnych dla użytkowników w celu ochrony danych, aplikacji i innych zasobów na platformie Azure. Zabezpieczenia operacyjne platformy Azure są oparte na strukturze, która obejmuje wiedzę zdobytą dzięki możliwościom unikatowym dla firmy Microsoft, w tym cyklu życia programowania zabezpieczeń (SDL), programowi Microsoft Security Response Center i głębokiej świadomości krajobrazu zagrożeń cyberbezpieczeństwa.

Wymuszanie weryfikacji wieloskładnikowej dla użytkowników

Zalecamy wymaganie weryfikacji dwuetapowej dla wszystkich użytkowników. Obejmuje to administratorów i innych użytkowników w organizacji, którzy mogą mieć znaczący wpływ na ich konto (na przykład pracownicy finansowi).

Istnieje wiele opcji wymagających weryfikacji dwuetapowej. Najlepsza opcja zależy od Twoich celów, wersji Microsoft Entra, która jest uruchomiona, oraz programu licencjonowania. Zobacz Jak wymagać weryfikacji dwuetapowej dla użytkownika , aby określić najlepszą opcję. Aby uzyskać więcej informacji na temat licencji i cen, zobacz strony cennika Microsoft Entra ID i Microsoft Entra MultiFactor Authentication.

Poniżej przedstawiono opcje i korzyści dotyczące włączania weryfikacji dwuetapowej:

Opcja 1: Włącz uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników i metod logowania przy użyciu korzyści domyślnych zabezpieczeń firmy Microsoft: Ta opcja umożliwia łatwe i szybkie wymuszanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników w środowisku przy użyciu rygorystycznych zasad:

  • Kwestionowanie kont administracyjnych i mechanizmów logowania administracyjnego
  • Wymaganie wyzwania uwierzytelniania wieloskładnikowego za pośrednictwem aplikacji Microsoft Authenticator dla wszystkich użytkowników
  • Ogranicz starsze protokoły uwierzytelniania.

Ta metoda jest dostępna dla wszystkich warstw licencjonowania, ale nie może być mieszana z istniejącymi zasadami dostępu warunkowego. Więcej informacji można znaleźć w temacie Microsoft Entra Security Defaults (Domyślne ustawienia zabezpieczeń firmy Microsoft)

Opcja 2. Włączanie uwierzytelniania wieloskładnikowego przez zmianę stanu użytkownika.
Korzyść: jest to tradycyjna metoda wymagania weryfikacji dwuetapowej. Działa zarówno z uwierzytelnianiem wieloskładnikowym firmy Microsoft w chmurze, jak i z serwerem usługi Azure Multi-Factor Authentication. Użycie tej metody wymaga od użytkowników przeprowadzenia weryfikacji dwuetapowej za każdym razem, gdy logują się i zastępują zasady dostępu warunkowego.

Aby określić, gdzie należy włączyć uwierzytelnianie wieloskładnikowe, zobacz Która wersja uwierzytelniania wieloskładnikowego firmy Microsoft jest odpowiednia dla mojej organizacji?.

Opcja 3. Włączanie uwierzytelniania wieloskładnikowego przy użyciu zasad dostępu warunkowego. Korzyść: Ta opcja umożliwia wyświetlenie monitu o weryfikację dwuetapową w określonych warunkach przy użyciu dostępu warunkowego. Określone warunki mogą być logowaniem użytkownika z różnych lokalizacji, niezaufanych urządzeń lub aplikacji, które uważasz za ryzykowne. Definiowanie określonych warunków, w których wymagana jest weryfikacja dwuetapowa, pozwala uniknąć ciągłego monitowania użytkowników, co może być nieprzyjemnym środowiskiem użytkownika.

Jest to najbardziej elastyczny sposób włączania weryfikacji dwuetapowej dla użytkowników. Włączenie zasad dostępu warunkowego działa tylko w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft w chmurze i jest funkcją Premium identyfikatora Entra firmy Microsoft. Więcej informacji na temat tej metody można znaleźć w temacie Wdrażanie uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze firmy Microsoft.

Opcja 4. Włączanie uwierzytelniania wieloskładnikowego przy użyciu zasad dostępu warunkowego przez ocenę zasad dostępu warunkowego opartego na ryzyku.
Korzyść: ta opcja umożliwia:

  • Wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji.
  • Skonfiguruj automatyczne odpowiedzi na wykryte podejrzane akcje powiązane z tożsamościami organizacji.
  • Zbadaj podejrzane zdarzenia i podejmij odpowiednie działania, aby je rozwiązać.

Ta metoda używa oceny ryzyka Ochrona tożsamości Microsoft Entra w celu określenia, czy weryfikacja dwuetapowa jest wymagana na podstawie ryzyka związanego z użytkownikiem i logowaniem dla wszystkich aplikacji w chmurze. Ta metoda wymaga licencjonowania microsoft Entra ID P2. Więcej informacji na temat tej metody można znaleźć w Ochrona tożsamości Microsoft Entra.

Uwaga

Opcja 2, włączenie uwierzytelniania wieloskładnikowego przez zmianę stanu użytkownika, zastępuje zasady dostępu warunkowego. Ponieważ opcje 3 i 4 używają zasad dostępu warunkowego, nie można użyć opcji 2 z nimi.

Organizacje, które nie dodają dodatkowych warstw ochrony tożsamości, takich jak weryfikacja dwuetapowa, są bardziej podatne na atak kradzieży poświadczeń. Atak kradzieży poświadczeń może prowadzić do naruszenia bezpieczeństwa danych.

Zarządzanie hasłami użytkowników i monitorowanie ich

W poniższej tabeli wymieniono niektóre najlepsze rozwiązania związane z zarządzaniem hasłami użytkowników:

Najlepsze rozwiązanie: upewnij się, że masz odpowiedni poziom ochrony haseł w chmurze.
Szczegóły: postępuj zgodnie ze wskazówkami w artykule Wskazówki dotyczące haseł firmy Microsoft, które są ograniczone do użytkowników Platforma tożsamości Microsoft (microsoft Entra ID, Active Directory i konto Microsoft).

Najlepsze rozwiązanie: Monitoruj podejrzane akcje związane z kontami użytkowników.
Szczegóły: Monitorowanie zagrożonych użytkowników i ryzykownych logowań przy użyciu raportów zabezpieczeń firmy Microsoft Entra.

Najlepsze rozwiązanie: Automatyczne wykrywanie i korygowanie haseł wysokiego ryzyka.
Szczegóły: Ochrona tożsamości Microsoft Entra jest funkcją wersji Microsoft Entra ID P2, która umożliwia:

  • Wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji
  • Konfigurowanie automatycznych odpowiedzi na wykryte podejrzane akcje powiązane z tożsamościami organizacji
  • Badanie podejrzanych zdarzeń i podjęcie odpowiednich działań w celu ich rozwiązania

Otrzymywanie powiadomień o zdarzeniach od firmy Microsoft

Upewnij się, że zespół ds. operacji zabezpieczeń odbiera powiadomienia o zdarzeniach platformy Azure od firmy Microsoft. Powiadomienie o zdarzeniu pozwala zespołowi ds. zabezpieczeń wiedzieć, że naruszono zabezpieczenia zasobów platformy Azure, dzięki czemu mogą szybko reagować na potencjalne zagrożenia bezpieczeństwa i korygować je.

W portalu rejestracji platformy Azure możesz upewnić się, że informacje kontaktowe administratora zawierają szczegółowe informacje, które powiadamiają o operacjach zabezpieczeń. Informacje kontaktowe to adres e-mail i numer telefonu.

Organizowanie subskrypcji platformy Azure w grupy zarządzania

Jeśli Twoja organizacja ma wiele subskrypcji, konieczny może być sposób na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji. Subskrypcje można organizować w kontenery nazywane grupami zarządzania i stosować warunki ładu do grup zarządzania. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do tej grupy zarządzania.

Można utworzyć elastyczną strukturę grup zarządzania i subskrypcji w katalogu. Każdy katalog ma pojedynczą grupę zarządzania najwyższego poziomu nazywaną główną grupą zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje pod nią podlegały. Główna grupa zarządzania umożliwia stosowanie zasad globalnych i przypisań ról platformy Azure na poziomie katalogu.

Poniżej przedstawiono kilka najlepszych rozwiązań dotyczących używania grup zarządzania:

Najlepsze rozwiązanie: Upewnij się, że nowe subskrypcje stosują elementy ładu, takie jak zasady i uprawnienia podczas ich dodawania.
Szczegóły: Użyj głównej grupy zarządzania, aby przypisać elementy zabezpieczeń dla całego przedsiębiorstwa, które mają zastosowanie do wszystkich zasobów platformy Azure. Zasady i uprawnienia to przykłady elementów.

Najlepsze rozwiązanie: Dopasuj najwyższe poziomy grup zarządzania do strategii segmentacji, aby zapewnić punkt kontroli i spójności zasad w poszczególnych segmentach.
Szczegóły: Utwórz pojedynczą grupę zarządzania dla każdego segmentu w głównej grupie zarządzania. Nie twórz żadnych innych grup zarządzania w katalogu głównym.

Najlepsze rozwiązanie: Ogranicz głębokość grupy zarządzania, aby uniknąć nieporozumień, które utrudniają zarówno operacje, jak i zabezpieczenia.
Szczegóły: ogranicz hierarchię do trzech poziomów, w tym katalogu głównego.

Najlepsze rozwiązanie: starannie wybierz elementy, które mają być stosowane do całego przedsiębiorstwa z główną grupą zarządzania.
Szczegóły: Upewnij się, że elementy głównej grupy zarządzania muszą być stosowane w każdym zasobie i że mają one niewielki wpływ.

Dobrymi kandydatami są:

  • Wymagania prawne, które mają wyraźny wpływ na działalność biznesową (na przykład ograniczenia związane z niezależnością danych)
  • Wymagania z niemal zerowym potencjalnym negatywnym wpływem na operacje, takie jak zasady z efektem inspekcji lub przypisaniami uprawnień RBAC platformy Azure, które zostały dokładnie przejrzene

Najlepsze rozwiązanie: Starannie zaplanuj i przetestuj wszystkie zmiany w całej firmie w głównej grupie zarządzania przed ich zastosowaniem (zasady, model RBAC platformy Azure itd.).
Szczegóły: zmiany w głównej grupie zarządzania mogą mieć wpływ na każdy zasób na platformie Azure. Chociaż zapewniają one zaawansowany sposób zapewnienia spójności w całym przedsiębiorstwie, błędy lub nieprawidłowe użycie mogą negatywnie wpływać na operacje produkcyjne. Przetestuj wszystkie zmiany w głównej grupie zarządzania w laboratorium testowym lub w środowisku produkcyjnym.

Usprawnij tworzenie środowiska za pomocą strategii

Usługa Azure Blueprints umożliwia architektom chmury i centralnym grupom technologii informatycznych definiowanie powtarzalnego zestawu zasobów platformy Azure, które implementują standardy, wzorce i wymagania organizacji oraz są zgodne z nimi. Usługa Azure Blueprints umożliwia zespołom deweloperów szybkie tworzenie i tworzenie nowych środowisk z zestawem wbudowanych składników oraz pewność, że tworzą te środowiska w ramach zgodności organizacji.

Monitorowanie usług magazynu pod kątem nieoczekiwanych zmian zachowania

Diagnozowanie i rozwiązywanie problemów w aplikacji rozproszonej hostowanej w środowisku chmury może być bardziej złożone niż w tradycyjnych środowiskach. Aplikacje można wdrażać w infrastrukturze PaaS lub IaaS, lokalnie, na urządzeniu przenośnym lub w niektórych kombinacjach tych środowisk. Ruch sieciowy aplikacji może przechodzić przez sieci publiczne i prywatne, a aplikacja może korzystać z wielu technologii magazynowania.

Należy stale monitorować usługi magazynu używane przez aplikację pod kątem jakichkolwiek nieoczekiwanych zmian zachowania (takich jak wolniejsze czasy odpowiedzi). Rejestrowanie służy do zbierania bardziej szczegółowych danych i analizowania problemu w głębi systemu. Informacje diagnostyczne, które uzyskujesz zarówno z monitorowania, jak i rejestrowania, ułatwiają ustalenie głównej przyczyny napotkanego problemu przez aplikację. Następnie możesz rozwiązać ten problem i określić odpowiednie kroki, aby je skorygować.

Usługa Azure analityka magazynu wykonuje rejestrowanie i udostępnia dane metryk dla konta usługi Azure Storage. Zalecamy użycie tych danych do śledzenia żądań, analizowania trendów użycia i diagnozowania problemów z kontem magazynu.

Zapobieganie zagrożeniom, wykrywanie i reagowanie na nie

Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie, zapewniając lepszy wgląd (i kontrolę nad) zabezpieczeniami zasobów platformy Azure. Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure, pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziałają z różnymi rozwiązaniami zabezpieczeń.

Warstwa Bezpłatna Defender dla Chmury oferuje ograniczone zabezpieczenia zasobów na platformie Azure, a także zasoby z obsługą usługi Arc poza platformą Azure. Funkcje zabezpieczeń enahanced rozszerzają te możliwości w celu uwzględnienia Zarządzanie zagrożeniami i lukami, a także raportowania zgodności z przepisami. plany Defender dla Chmury ułatwiają znajdowanie i naprawianie luk w zabezpieczeniach, stosowanie kontroli dostępu i aplikacji w celu blokowania złośliwych działań, wykrywania zagrożeń przy użyciu analizy i analizy oraz szybkiego reagowania w przypadku ataku. Możesz wypróbować Defender dla Chmury Standard bez ponoszenia kosztów przez pierwsze 30 dni. Zalecamy włączenie rozszerzonych funkcji zabezpieczeń w subskrypcjach platformy Azure w Defender dla Chmury.

Użyj Defender dla Chmury, aby uzyskać centralny widok stanu zabezpieczeń wszystkich zasobów we własnych centrach danych, na platformie Azure i w innych chmurach. Na pierwszy rzut oka sprawdź, czy odpowiednie mechanizmy kontroli zabezpieczeń zostały prawidłowo skonfigurowane i szybko zidentyfikuj wszelkie zasoby, które wymagają uwagi.

Defender dla Chmury integruje się również z Ochrona punktu końcowego w usłudze Microsoft Defender, która zapewnia kompleksowe funkcje wykrywania i reagowania na punkty końcowe (EDR). Dzięki integracji Ochrona punktu końcowego w usłudze Microsoft Defender można wykrywać nieprawidłowości i wykrywać luki w zabezpieczeniach. Możesz również wykrywać zaawansowane ataki na punkty końcowe serwera monitorowane przez Defender dla Chmury i reagować na nie.

Prawie wszystkie organizacje przedsiębiorstwa mają system zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), aby ułatwić identyfikowanie pojawiających się zagrożeń przez konsolidowanie informacji dzienników z różnych urządzeń zbierających sygnały. Dzienniki są następnie analizowane przez system analizy danych, aby pomóc zidentyfikować", co jest "interesujące" od szumu nieuniknionego we wszystkich rozwiązaniach zbierania dzienników i analizy.

Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń za pośrednictwem wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i automatycznego reagowania na zagrożenia.

Poniżej przedstawiono kilka najlepszych rozwiązań dotyczących zapobiegania zagrożeniom, wykrywania ich i reagowania na nie:

Najlepsze rozwiązanie: zwiększ szybkość i skalowalność rozwiązania SIEM przy użyciu rozwiązania SIEM opartego na chmurze rozwiązania SIEM.
Szczegóły: Zbadaj funkcje i możliwości usługi Microsoft Sentinel i porównaj je z możliwościami aktualnie używanymi lokalnie. Rozważ wdrożenie usługi Microsoft Sentinel, jeśli spełnia wymagania rozwiązania SIEM organizacji.

Najlepsze rozwiązanie: znajdowanie najpoważniejszych luk w zabezpieczeniach, aby można było ustalić priorytety badania.
Szczegóły: Przejrzyj wskaźnik bezpieczeństwa platformy Azure, aby zobaczyć zalecenia wynikające z zasad i inicjatyw platformy Azure wbudowanych w Microsoft Defender dla Chmury. Te zalecenia pomagają w rozwiązywaniu najważniejszych zagrożeń, takich jak aktualizacje zabezpieczeń, ochrona punktu końcowego, szyfrowanie, konfiguracje zabezpieczeń, brak zapory aplikacji internetowej, maszyny wirtualne połączone z Internetem i wiele innych.

Wskaźnik bezpieczeństwa oparty na mechanizmach kontroli CIS (Center for Internet Security) umożliwia porównywanie zabezpieczeń platformy Azure organizacji przed źródłami zewnętrznymi. Weryfikacja zewnętrzna pomaga zweryfikować i wzbogacić strategię zabezpieczeń twojego zespołu.

Najlepsze rozwiązanie: Monitorowanie stanu zabezpieczeń maszyn, sieci, magazynów i usług danych oraz aplikacji w celu odnajdywania i określania priorytetów potencjalnych problemów z zabezpieczeniami.
Szczegóły: Postępuj zgodnie z zaleceniami dotyczącymi zabezpieczeń w Defender dla Chmury począwszy od elementów o najwyższym priorytcie.

Najlepsze rozwiązanie: integrowanie alertów Defender dla Chmury z rozwiązaniem do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Szczegóły: Większość organizacji z rozwiązaniem SIEM używa go jako centralnego magazynu rozliczeń dla alertów zabezpieczeń, które wymagają odpowiedzi analityka. Przetworzone zdarzenia generowane przez Defender dla Chmury są publikowane w dzienniku aktywności platformy Azure— jednym z dzienników dostępnych za pośrednictwem usługi Azure Monitor. Usługa Azure Monitor oferuje skonsolidowany potok do routingu dowolnych danych monitorowania do narzędzia SIEM. Aby uzyskać instrukcje, zobacz Przesyłanie strumieniowe alertów do rozwiązania SIEM, SOAR lub IT Service Management. Jeśli używasz usługi Microsoft Sentinel, zobacz Łączenie Microsoft Defender dla Chmury.

Najlepsze rozwiązanie: integrowanie dzienników platformy Azure z rozwiązaniem SIEM.
Szczegóły: użyj usługi Azure Monitor do zbierania i eksportowania danych. Ta praktyka ma kluczowe znaczenie dla włączenia badania zdarzeń zabezpieczeń, a przechowywanie dzienników online jest ograniczone. Jeśli używasz usługi Microsoft Sentinel, zobacz Łączenie źródeł danych.

Najlepsze rozwiązanie: przyspieszanie procesów badania i wyszukiwania zagrożeń oraz zmniejszanie wyników fałszywie dodatnich dzięki integracji funkcji wykrywania i reagowania na punkty końcowe (EDR) w ramach badania ataku.
Szczegóły: Włącz integrację Ochrona punktu końcowego w usłudze Microsoft Defender za pośrednictwem zasad zabezpieczeń Defender dla Chmury. Rozważ użycie usługi Microsoft Sentinel na potrzeby wyszukiwania zagrożeń i reagowania na zdarzenia.

Monitorowanie kompleksowego monitorowania sieci opartego na scenariuszach

Klienci tworzą kompleksową sieć na platformie Azure, łącząc zasoby sieciowe, takie jak sieć wirtualna, usługa ExpressRoute, usługa Application Gateway i moduły równoważenia obciążenia. Monitorowanie jest dostępne w każdym zasobie sieciowym.

Azure Network Watcher to usługa regionalna. Użyj swoich narzędzi diagnostycznych i wizualizacji, aby monitorować i diagnozować warunki na poziomie sieci w systemach, do i z platformy Azure.

Poniżej przedstawiono najlepsze rozwiązania dotyczące monitorowania sieci i dostępnych narzędzi.

Najlepsze rozwiązanie: Automatyzowanie monitorowania sieci zdalnej za pomocą funkcji przechwytywania pakietów.
Szczegóły: Monitorowanie i diagnozowanie problemów z siecią bez logowania się na maszynach wirtualnych przy użyciu usługi Network Watcher. Wyzwalanie przechwytywania pakietów przez ustawienie alertów i uzyskanie dostępu do informacji o wydajności w czasie rzeczywistym na poziomie pakietu. Możesz szczegółowo analizować problemy w celu lepszego ich diagnozowania.

Najlepsze rozwiązanie: uzyskiwanie wglądu w ruch sieciowy przy użyciu dzienników przepływu.
Szczegóły: Lepiej zrozumieć wzorce ruchu sieciowego przy użyciu dzienników przepływu sieciowej grupy zabezpieczeń. Informacje w dziennikach przepływu ułatwiają zbieranie danych pod kątem zgodności, inspekcji i monitorowania profilu zabezpieczeń sieci.

Najlepsze rozwiązanie: diagnozowanie problemów z łącznością sieci VPN.
Szczegóły: Użyj usługi Network Watcher, aby zdiagnozować najbardziej typowe problemy z usługą VPN Gateway i połączeniem. Możesz nie tylko zidentyfikować problem, ale także użyć szczegółowych dzienników do dalszego zbadania.

Bezpieczne wdrażanie przy użyciu sprawdzonych narzędzi DevOps

Skorzystaj z poniższych najlepszych rozwiązań metodyki DevOps, aby upewnić się, że twoje przedsiębiorstwo i zespoły są produktywne i wydajne.

Najlepsze rozwiązanie: Automatyzowanie kompilowania i wdrażania usług.
Szczegóły: Infrastruktura jako kod to zestaw technik i praktyk, które pomagają informatykom w usuwaniu obciążenia codziennego tworzenia i zarządzania infrastrukturą modułową. Umożliwia ona informatykom tworzenie i utrzymywanie nowoczesnego środowiska serwera w taki sposób, jak deweloperzy oprogramowania tworzą i utrzymują kod aplikacji.

Za pomocą usługi Azure Resource Manager możesz aprowizować aplikacje przy użyciu szablonu deklaratywnego. Pojedynczy szablon umożliwia wdrożenie wielu usług wraz z ich zależnościami. Ten sam szablon jest używany do wielokrotnego wdrażania aplikacji na każdym etapie cyklu życia aplikacji.

Najlepsze rozwiązanie: automatyczne kompilowanie i wdrażanie w aplikacjach internetowych platformy Azure lub usługach w chmurze.
Szczegóły: Możesz skonfigurować usługę Azure DevOps Projects w celu automatycznego kompilowania i wdrażania w aplikacjach internetowych platformy Azure lub usługach w chmurze. Usługa Azure DevOps automatycznie wdraża pliki binarne po wykonaniu kompilacji na platformie Azure po każdym zaewidencjonowania kodu. Proces kompilacji pakietu jest odpowiednikiem polecenia Package w programie Visual Studio, a kroki publikowania są równoważne poleceniu Publish w programie Visual Studio.

Najlepsze rozwiązanie: Automatyzowanie zarządzania wydaniami.
Szczegóły: Usługa Azure Pipelines to rozwiązanie do automatyzacji wdrażania wieloetapowego i zarządzania procesem wydawania. Tworzenie zarządzanych potoków ciągłego wdrażania w celu szybkiego, łatwego i częstego wydawania. Za pomocą usługi Azure Pipelines możesz zautomatyzować proces wydawania i mieć wstępnie zdefiniowane przepływy pracy zatwierdzania. Wdróż lokalnie i w chmurze, rozszerz i dostosuj zgodnie z potrzebami.

Najlepsze rozwiązanie: przed uruchomieniem aplikacji lub wdrożeniem aktualizacji w środowisku produkcyjnym sprawdź wydajność aplikacji.
Szczegóły: Uruchamianie testów obciążeniowych opartych na chmurze w celu:

  • Znajdowanie problemów z wydajnością w aplikacji.
  • Poprawianie jakości wdrożenia.
  • Upewnij się, że aplikacja jest zawsze dostępna.
  • Upewnij się, że aplikacja może obsługiwać ruch w następnej kampanii startowej lub marketingowej.

Apache JMeter to bezpłatne, popularne narzędzie typu open source z silnym poparciem społeczności.

Najlepsze rozwiązanie: Monitorowanie wydajności aplikacji.
Szczegóły: aplikacja systemu Azure Insights to rozszerzalna usługa zarządzania wydajnością aplikacji (APM) dla deweloperów sieci Web na wielu platformach. Usługa Application Insights służy do monitorowania aktywnej aplikacji internetowej. Automatycznie wykrywa anomalie wydajności. Obejmuje ona narzędzia analityczne ułatwiające diagnozowanie problemów i zrozumienie, co użytkownicy faktycznie robią z aplikacją. Usługa ta pomaga w ciągłym doskonaleniu wydajności i użyteczności tworzonych rozwiązań.

Eliminowanie i ochrona przed atakami DDoS

Rozproszona odmowa usługi (DDoS) to typ ataku, który próbuje wyczerpać zasoby aplikacji. Celem jest wpływanie na dostępność aplikacji i jej zdolność do obsługi uzasadnionych żądań. Ataki te stają się coraz bardziej wyrafinowane i mają większy rozmiar i wpływ. Mogą one być kierowane do dowolnego punktu końcowego, który jest publicznie dostępny za pośrednictwem Internetu.

Projektowanie i tworzenie pod kątem odporności DDoS wymaga planowania i projektowania dla różnych trybów awarii. Poniżej przedstawiono najlepsze rozwiązania dotyczące tworzenia usług DDoS odpornych na błędy na platformie Azure.

Najlepsze rozwiązanie: upewnij się, że bezpieczeństwo jest priorytetem w całym cyklu życia aplikacji, od projektowania i implementacji po wdrażanie i operacje. Aplikacje mogą zawierać usterki, które umożliwiają stosunkowo małą ilość żądań korzystania z wielu zasobów, co powoduje awarię usługi.
Szczegóły: Aby ułatwić ochronę usługi działającej na platformie Microsoft Azure, należy dobrze zrozumieć architekturę aplikacji i skoncentrować się na pięciu filarach jakości oprogramowania. Należy znać typowe woluminy ruchu, model łączności między aplikacją i innymi aplikacjami oraz punkty końcowe usługi, które są widoczne dla publicznego Internetu.

Zapewnienie, że aplikacja jest wystarczająco odporna, aby obsługiwać odmowę usługi, która jest przeznaczona dla samej aplikacji, jest najważniejsza. Zabezpieczenia i prywatność są wbudowane w platformę Azure, począwszy od cyklu projektowania zabezpieczeń (SDL). SDL zajmuje się zabezpieczeniami w każdej fazie programowania i zapewnia, że platforma Azure jest stale aktualizowana, aby była jeszcze bezpieczniejsza.

Najlepsze rozwiązanie: Projektowanie aplikacji w celu skalowania w poziomie w celu zaspokojenia zapotrzebowania na zwiększone obciążenie, w szczególności w przypadku ataku DDoS. Jeśli aplikacja zależy od pojedynczego wystąpienia usługi, tworzy pojedynczy punkt awarii. Aprowizowanie wielu wystąpień sprawia, że system jest bardziej odporny i bardziej skalowalny.
Szczegóły: w przypadku usługi aplikacja systemu Azure wybierz plan usługi App Service, który oferuje wiele wystąpień.

W przypadku usług Azure Cloud Services skonfiguruj każdą z ról, aby używać wielu wystąpień.

W przypadku usługi Azure Virtual Machines upewnij się, że architektura maszyny wirtualnej zawiera więcej niż jedną maszynę wirtualną i że każda maszyna wirtualna jest uwzględniona w zestawie dostępności. Zalecamy używanie zestawów skalowania maszyn wirtualnych na potrzeby możliwości skalowania automatycznego.

Najlepsze rozwiązanie: warstwowanie zabezpieczeń w aplikacji zmniejsza prawdopodobieństwo pomyślnego ataku. Zaimplementuj bezpieczne projekty dla aplikacji przy użyciu wbudowanych funkcji platformy Azure.
Szczegóły: ryzyko ataku zwiększa się wraz z rozmiarem (obszarem powierzchniowym) aplikacji. Obszar powierzchni można zmniejszyć, używając listy zatwierdzeń, aby zamknąć uwidocznione przestrzenie adresów IP i porty nasłuchiwania, które nie są potrzebne w modułach równoważenia obciążenia (Azure Load Balancer i aplikacja systemu Azure Gateway).

Sieciowe grupy zabezpieczeń to kolejny sposób zmniejszenia obszaru ataków. Tagi usług i grupy zabezpieczeń aplikacji umożliwiają zminimalizowanie złożoności tworzenia reguł zabezpieczeń i konfigurowania zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji.

Usługi platformy Azure należy wdrożyć w sieci wirtualnej, gdy jest to możliwe. Dzięki temu zasoby usługi mogą komunikować się za pośrednictwem prywatnych adresów IP. Ruch usługi platformy Azure z sieci wirtualnej domyślnie używa publicznych adresów IP jako źródłowych adresów IP.

Używanie punktów końcowych usługi przełącza ruch usługi w celu używania prywatnych adresów sieci wirtualnej jako źródłowych adresów IP podczas uzyskiwania dostępu do usługi platformy Azure z sieci wirtualnej.

Często widzimy, że zasoby lokalne klientów są atakowane wraz z ich zasobami na platformie Azure. Jeśli łączysz środowisko lokalne z platformą Azure, zminimalizuj narażenie zasobów lokalnych na publiczny Internet.

Platforma Azure oferuje dwie oferty usługi DDoS, które zapewniają ochronę przed atakami sieciowymi:

  • Podstawowa ochrona jest domyślnie zintegrowana z platformą Azure bez dodatkowych kosztów. Skala i pojemność globalnie wdrożonej sieci platformy Azure zapewnia ochronę przed powszechnymi atakami w warstwie sieciowej za pośrednictwem zawsze włączonego monitorowania ruchu i mitygacji ryzyka w czasie rzeczywistym. Podstawowa nie wymaga żadnych zmian konfiguracji użytkownika ani aplikacji i pomaga chronić wszystkie usługi platformy Azure, w tym usługi PaaS, takie jak Azure DNS.
  • Ochrona w warstwie Standardowa zapewnia zaawansowane możliwości ograniczania ryzyka ataków DDoS przed atakami sieciowymi. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure. Ochrona jest prosta do włączenia podczas tworzenia sieci wirtualnych. Można to również zrobić po utworzeniu i nie wymaga żadnych zmian aplikacji ani zasobów.

Włączanie usługi Azure Policy

Azure Policy to usługa platformy Azure, która służy do tworzenia, przypisywania i zarządzania zasadami. Te zasady wymuszają reguły i efekty dotyczące zasobów, dzięki czemu zasoby te pozostają zgodne ze standardami firmy i umowami dotyczącymi poziomu usług. Usługa Azure Policy spełnia to wymaganie, oceniając zasoby pod kątem niezgodności z przypisanymi zasadami.

Włącz usługę Azure Policy, aby monitorować i wymuszać zapisane zasady organizacji. Zapewni to zgodność z wymaganiami firmy lub zabezpieczeń regulacyjnych przez centralne zarządzanie zasadami zabezpieczeń w ramach obciążeń chmury hybrydowej. Dowiedz się, jak tworzyć zasady i zarządzać nimi w celu wymuszania zgodności. Zobacz Struktura definicji usługi Azure Policy, aby zapoznać się z omówieniem elementów zasad.

Poniżej przedstawiono niektóre najlepsze rozwiązania w zakresie zabezpieczeń, które należy zastosować po przyjęciu usługi Azure Policy:

Najlepsze rozwiązanie: zasady obsługują kilka typów efektów. Informacje o nich można znaleźć w strukturze definicji usługi Azure Policy. Operacje biznesowe mogą mieć negatywny wpływ na efekt odmowy i efekt zaradczy , więc zacznij od efektu inspekcji , aby ograniczyć ryzyko negatywnego wpływu z zasad.
Szczegóły: Uruchamianie wdrożeń zasad w trybie inspekcji, a następnie postęp w celu odmowy lub korygowania. Przetestuj i przejrzyj wyniki efektu inspekcji przed przejściem do odmowy lub skorygowania.

Aby uzyskać więcej informacji, zobacz Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności.

Najlepsze rozwiązanie: identyfikowanie ról odpowiedzialnych za monitorowanie naruszeń zasad i szybkie podejmowanie odpowiednich działań korygujących.
Szczegóły: czy przypisana rola monitoruje zgodność za pośrednictwem witryny Azure Portal lub za pośrednictwem wiersza polecenia.

Najlepsze rozwiązanie: Usługa Azure Policy to techniczna reprezentacja napisanych zasad organizacji. Zamapuj wszystkie definicje usługi Azure Policy na zasady organizacyjne, aby zmniejszyć zamieszanie i zwiększyć spójność.
Szczegóły: Mapowanie dokumentów w dokumentacji organizacji lub w samej definicji usługi Azure Policy przez dodanie odwołania do zasad organizacji w definicji zasad lub opisu definicji inicjatywy.

Monitorowanie raportów o ryzyku firmy Microsoft

Zdecydowana większość naruszeń zabezpieczeń odbywa się, gdy osoby atakujące uzyskują dostęp do środowiska, kradnąc tożsamość użytkownika. Odnajdywanie tożsamości, których bezpieczeństwo zostało naruszone, nie jest łatwe. Microsoft Entra ID używa adaptacyjnych algorytmów uczenia maszynowego i heurystyki do wykrywania podejrzanych akcji związanych z kontami użytkowników. Każda wykryta podejrzana akcja jest przechowywana w rekordzie nazywanym wykrywaniem ryzyka. Wykrycia ryzyka są rejestrowane w raportach zabezpieczeń firmy Microsoft Entra. Aby uzyskać więcej informacji, przeczytaj raport dotyczący zabezpieczeń zagrożonych użytkowników i raport zabezpieczeń ryzykownych logowań.

Następne kroki

Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure, aby uzyskać więcej najlepszych rozwiązań dotyczących zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.

Dostępne są następujące zasoby, aby uzyskać bardziej ogólne informacje na temat zabezpieczeń platformy Azure i powiązanych usługi firmy Microsoft:

  • Blog zespołu ds. zabezpieczeń platformy Azure — aby uzyskać aktualne informacje na temat najnowszych informacji w usłudze Azure Security
  • Centrum zabezpieczeń firmy Microsoft — gdzie luki w zabezpieczeniach firmy Microsoft, w tym problemy z platformą Azure, mogą być zgłaszane lub za pośrednictwem poczty e-mail secure@microsoft.com