Wprowadzenie do zabezpieczeń platformy Azure

Omówienie

Wiemy, że bezpieczeństwo jest zadaniem w chmurze i jak ważne jest znalezienie dokładnych i terminowych informacji o zabezpieczeniach platformy Azure. Jednym z najlepszych powodów korzystania z platformy Azure dla aplikacji i usług jest wykorzystanie szerokiej gamy narzędzi i możliwości zabezpieczeń. Te narzędzia i możliwości ułatwiają tworzenie bezpiecznych rozwiązań na bezpiecznej platformie Azure. Platforma Microsoft Azure zapewnia poufność, integralność i dostępność danych klientów, a jednocześnie zapewnia przejrzystość odpowiedzialności.

Ten artykuł zawiera kompleksowy przegląd zabezpieczeń dostępnych na platformie Azure.

Platforma Azure

Azure to platforma usług w chmurze publicznej, która obsługuje szeroki wybór systemów operacyjnych, języków programowania, struktur, narzędzi, baz danych i urządzeń. Może uruchamiać kontenery systemu Linux z integracją platformy Docker; tworzenie aplikacji za pomocą języków JavaScript, Python, .NET, PHP, Java i Node.js; tworzenie zapleczy dla urządzeń z systemami iOS, Android i Windows.

Usługi w chmurze publicznej platformy Azure obsługują te same technologie, na których korzystają już miliony deweloperów i specjalistów IT. Podczas kompilowania lub migrowania zasobów IT do dostawcy usług w chmurze publicznej można polegać na możliwości ochrony aplikacji i danych w tej organizacji. Zapewniają one usługi i mechanizmy kontroli w celu zarządzania zabezpieczeniami zasobów opartych na chmurze.

Infrastruktura platformy Azure jest skrupulatnie spreparowana od podstaw, obejmująca wszystko, od obiektów fizycznych po aplikacje, po bezpieczne hostowanie milionów klientów jednocześnie. Ta solidna podstawa umożliwia firmom pewne spełnienie wymagań w zakresie zabezpieczeń.

Ponadto platforma Azure oferuje szeroką gamę konfigurowalnych opcji zabezpieczeń oraz możliwość kontrolowania ich, dzięki czemu można dostosować zabezpieczenia w celu spełnienia unikatowych wymagań wdrożeń organizacji. Ten dokument pomaga zrozumieć, w jaki sposób możliwości zabezpieczeń platformy Azure mogą pomóc spełnić te wymagania.

Uwaga

Głównym celem tego dokumentu jest kontrola skierowana do klientów, których można użyć do dostosowywania i zwiększania bezpieczeństwa aplikacji i usług.

Aby uzyskać informacje na temat sposobu zabezpieczania samej platformy Azure przez firmę Microsoft, zobacz Zabezpieczenia infrastruktury platformy Azure.

Podsumowanie możliwości zabezpieczeń platformy Azure

W zależności od modelu usług w chmurze istnieje zmienna odpowiedzialność za to, kto jest odpowiedzialny za zarządzanie zabezpieczeniami aplikacji lub usługi. W ramach platformy Azure dostępne są funkcje ułatwiające spełnienie tych obowiązków za pomocą wbudowanych funkcji oraz rozwiązań partnerskich, które można wdrożyć w ramach subskrypcji platformy Azure.

Wbudowane funkcje są zorganizowane w sześciu obszarach funkcjonalnych: Operacje, Aplikacje, Magazyn, Sieć, Obliczenia i Tożsamość. Więcej szczegółowych informacji na temat funkcji i możliwości dostępnych na platformie Azure w tych sześciu obszarach zawiera podsumowanie informacji.

Operacje

Ta sekcja zawiera dodatkowe informacje dotyczące kluczowych funkcji operacji zabezpieczeń i podsumowania informacji o tych funkcjach.

Microsoft Sentinel

Microsoft Sentinel to skalowalne, natywne dla chmury, informacje o zabezpieczeniach i zarządzanie zdarzeniami (SIEM) oraz aranżacja zabezpieczeń, automatyzacja i reagowanie (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie. Usługa Microsoft Sentinel udostępnia jedno rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.

Microsoft Defender for Cloud

Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie dzięki zwiększonemu wglądowi i kontroli nad zabezpieczeniami zasobów platformy Azure. Microsoft Defender dla Chmury zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure. Microsoft Defender dla Chmury pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziałają z szerokim ekosystemem rozwiązań zabezpieczeń.

Ponadto Defender dla Chmury pomaga w operacjach zabezpieczeń, udostępniając pojedynczy pulpit nawigacyjny, który wyświetla alerty i zalecenia, które mogą być natychmiast wykonywane. Często można rozwiązać problemy z pojedynczym wyborem w konsoli Defender dla Chmury.

Azure Resource Manager

Usługa Azure Resource Manager umożliwia pracę z zasobami w rozwiązaniu jako grupą. Wszystkie zasoby danego rozwiązania można wdrożyć, zaktualizować lub usunąć w ramach jednej skoordynowanej operacji. Szablon usługi Azure Resource Manager jest używany do wdrażania i ten szablon może działać w różnych środowiskach, takich jak testowanie, przemieszczanie i produkcja. Usługa Resource Manager zapewnia funkcje zabezpieczeń, inspekcji i tagowania ułatwiające zarządzanie zasobami po wdrożeniu.

Wdrożenia oparte na szablonach usługi Azure Resource Manager pomagają zwiększyć bezpieczeństwo rozwiązań wdrożonych na platformie Azure, ponieważ standardowe ustawienia kontroli zabezpieczeń i można je zintegrować ze standardowymi wdrożeniami opartymi na szablonach. Szablony zmniejszają ryzyko błędów konfiguracji zabezpieczeń, które mogą wystąpić podczas wdrożeń ręcznych.

Szczegółowe dane dotyczące aplikacji

Application Insights to elastyczna usługa zarządzania wydajnością aplikacji (APM) przeznaczona dla deweloperów sieci Web. Umożliwia ona monitorowanie na żywo aplikacji internetowych i automatyczne wykrywanie problemów z wydajnością. Dzięki zaawansowanym narzędziom analitycznym można diagnozować problemy i uzyskiwać wgląd w interakcje użytkowników z aplikacjami. Usługa Application Insights stale monitoruje aplikację od programowania przez testowanie i do środowiska produkcyjnego.

Usługa Application Insights generuje szczegółowe wykresy i tabele, które ujawniają szczytowe czasy aktywności użytkowników, czas reakcji aplikacji i wydajność wszelkich usług zewnętrznych, na których się opiera.

Jeśli występują awarie, awarie lub problemy z wydajnością, możesz szczegółowo wyszukać dane, aby zdiagnozować przyczynę. Ponadto usługa wysyła wiadomości e-mail, jeśli istnieją jakiekolwiek zmiany w dostępności i wydajności aplikacji. Usługa Application Insights staje się zatem cennym narzędziem zabezpieczeń, ponieważ ułatwia dostępność w triadach zabezpieczeń poufności, integralności i dostępności.

Azure Monitor

Usługa Azure Monitor oferuje wizualizacje, zapytania, routing, alerty, skalowanie automatyczne i automatyzację danych zarówno z subskrypcji platformy Azure (dziennika aktywności), jak i poszczególnych zasobów platformy Azure (dzienniki zasobów). Za pomocą usługi Azure Monitor możesz otrzymywać alerty dotyczące zdarzeń związanych z zabezpieczeniami generowanych w dziennikach platformy Azure.

Dzienniki usługi Azure Monitor

Dzienniki usługi Azure Monitor — udostępnia rozwiązanie do zarządzania it zarówno dla infrastruktury lokalnej, jak i infrastruktury opartej na chmurze firmy Microsoft (takiej jak Amazon Web Services) oprócz zasobów platformy Azure. Dane z usługi Azure Monitor można kierować bezpośrednio do dzienników usługi Azure Monitor, dzięki czemu można wyświetlać metryki i dzienniki dla całego środowiska w jednym miejscu.

Dzienniki usługi Azure Monitor mogą być przydatnym narzędziem do analizy śledczej i innych analiz zabezpieczeń, ponieważ narzędzie umożliwia szybkie wyszukiwanie dużych ilości wpisów związanych z zabezpieczeniami przy użyciu elastycznego podejścia do zapytań. Ponadto lokalne dzienniki zapory i serwera proxy można eksportować na platformę Azure i udostępniać do analizy przy użyciu dzienników usługi Azure Monitor.

Azure Advisor

Azure Advisor to spersonalizowany konsultant ds. chmury, który ułatwia optymalizowanie wdrożeń platformy Azure. Analizuje konfigurację zasobów i dane użycia. Następnie zaleca rozwiązania ułatwiające zwiększenie wydajności, bezpieczeństwa i niezawodności zasobów, a jednocześnie szuka możliwości zmniejszenia ogólnych wydatków na platformę Azure. Usługa Azure Advisor udostępnia zalecenia dotyczące zabezpieczeń, które mogą znacząco poprawić ogólny poziom zabezpieczeń dla rozwiązań wdrażanych na platformie Azure. Te zalecenia są pobierane z analizy zabezpieczeń przeprowadzonej przez Microsoft Defender dla Chmury.

Aplikacje

Sekcja zawiera dodatkowe informacje dotyczące kluczowych funkcji zabezpieczeń aplikacji i podsumowanie informacji o tych możliwościach.

Testy penetracyjne

Nie przeprowadzamy testów penetracyjnych aplikacji, ale rozumiemy, że chcesz i musisz przeprowadzić testy we własnych aplikacjach. Powiadomienie firmy Microsoft o działaniach związanych z testowaniem penetralnym nie jest już wymagane, aby klienci nadal musieli przestrzegać reguł testowania penetracyjnego w chmurze firmy Microsoft.

Zapora aplikacji internetowej

Zapora aplikacji internetowej w usłudze aplikacja systemu Azure Gateway pomaga chronić aplikacje internetowe przed typowymi atakami internetowymi, takimi jak wstrzyknięcie kodu SQL, ataki skryptowe między witrynami i przejęcie sesji. Jest on wstępnie skonfigurowany z ochroną przed zagrożeniami zidentyfikowanymi przez projekt Open Web Application Security Project (OWASP) jako 10 najważniejszych typowych luk w zabezpieczeniach.

Uwierzytelnianie i autoryzacja w usłudze Azure App Service

Uwierzytelnianie/autoryzacja usługi App Service to funkcja, która umożliwia aplikacji logowanie użytkowników, aby nie trzeba było zmieniać kodu w zapleczu aplikacji. Zapewnia łatwy sposób ochrony aplikacji i pracy z danymi poszczególnych użytkowników.

Architektura zabezpieczeń warstwowych

Ponieważ środowiska App Service Environment zapewniają izolowane środowisko uruchomieniowe wdrożone w usłudze Azure Virtual Network, deweloperzy mogą utworzyć architekturę zabezpieczeń warstwową zapewniającą różne poziomy dostępu do sieci dla każdej warstwy aplikacji. Często ukrywanie zapleczy interfejsu API przed ogólnym dostępem do Internetu i zezwalanie na wywoływanie interfejsów API tylko przez nadrzędne aplikacje internetowe. Sieciowe grupy zabezpieczeń (NSG) mogą być używane w podsieciach usługi Azure Virtual Network zawierających środowiska App Service Environment w celu ograniczenia publicznego dostępu do aplikacji interfejsu API.

Aplikacje internetowe usługi App Service oferują niezawodne funkcje diagnostyczne służące do przechwytywania dzienników zarówno z serwera internetowego, jak i aplikacji internetowej. Te dane diagnostyczne są podzielone na diagnostykę serwera internetowego i diagnostykę aplikacji. Diagnostyka serwera sieci Web obejmuje znaczne postępy w diagnozowaniu i rozwiązywaniu problemów z witrynami i aplikacjami.

Pierwsza nowa funkcja to informacje o stanie w czasie rzeczywistym dotyczące pul aplikacji, procesów roboczych, lokacji, domen aplikacji i uruchomionych żądań. Drugą nową zaletą są szczegółowe zdarzenia śledzenia, które śledzą żądanie w całym procesie żądania i odpowiedzi.

Aby umożliwić zbieranie tych zdarzeń śledzenia, usługi IIS 7 można skonfigurować tak, aby automatycznie przechwytywać kompleksowe dzienniki śledzenia w formacie XML dla określonych żądań. Kolekcja może być oparta na upływie czasu lub kodach odpowiedzi o błędach.

Storage

Sekcja zawiera dodatkowe informacje dotyczące kluczowych funkcji zabezpieczeń usługi Azure Storage i podsumowanie informacji o tych możliwościach.

Kontrola dostępu na podstawie ról na platformie Azure (Azure RBAC)

Konto magazynu można zabezpieczyć za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure. Ograniczenie dostępu na podstawie konieczności znajomości i zasad zabezpieczeń o najniższych uprawnieniach jest konieczne dla organizacji, które chcą wymuszać zasady zabezpieczeń na potrzeby dostępu do danych. Te prawa dostępu są przyznawane przez przypisanie odpowiedniej roli platformy Azure do grup i aplikacji w określonym zakresie. Możesz użyć wbudowanych ról platformy Azure, takich jak Współautor konta magazynu, aby przypisać uprawnienia do użytkowników. Dostęp do kluczy magazynu dla konta magazynu przy użyciu modelu usługi Azure Resource Manager można kontrolować za pośrednictwem kontroli dostępu opartej na rolach platformy Azure.

Sygnatura dostępu współdzielonego

Sygnatura dostępu współdzielonego (SAS, shared access signature) zapewnia delegowany dostęp do zasobów w ramach konta magazynu. Sygnatura dostępu współdzielonego oznacza, że można przyznać klientowi ograniczone uprawnienia do obiektów na koncie magazynu przez określony okres i z określonym zestawem uprawnień. Możesz udzielić tych ograniczonych uprawnień bez konieczności udostępniania kluczy dostępu do konta.

Szyfrowanie podczas transferu

Szyfrowanie podczas przesyłania to mechanizm ochrony danych przesyłanych między sieciami. Za pomocą usługi Azure Storage można zabezpieczyć dane przy użyciu:

• Szyfrowanie na poziomie transportu, takie jak HTTPS podczas transferu danych do lub z usługi Azure Storage.

• Szyfrowanie przewodowe, takie jak szyfrowanie SMB 3.0 dla udziałów plików platformy Azure.

• Szyfrowanie po stronie klienta w celu zaszyfrowania danych przed ich przesłaniem do magazynu i odszyfrowywanie danych po ich przeniesieniu z magazynu.

Szyfrowanie w spoczynku

W przypadku wielu organizacji szyfrowanie danych magazynowanych jest obowiązkowym krokiem w kierunku prywatności, zgodności i niezależności danych. Istnieją trzy funkcje zabezpieczeń usługi Azure Storage, które zapewniają szyfrowanie danych magazynowanych:

• Szyfrowanie usługi Storage umożliwia żądanie, aby usługa magazynu automatycznie szyfruje dane podczas zapisywania ich w usłudze Azure Storage.

• Szyfrowanie po stronie klienta zapewnia również funkcję szyfrowania magazynowanych.

• Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux i usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows umożliwia szyfrowanie dysków systemu operacyjnego i dysków danych używanych przez maszynę wirtualną IaaS.

Analityka magazynu

Usługa Azure analityka magazynu wykonuje rejestrowanie i udostępnia dane metryk dla konta magazynu. Dane te mogą posłużyć do śledzenia żądań, analizy tendencji użycia oraz diagnozowania problemów z kontem magazynu. Usługa Storage Analytics rejestruje szczegółowe informacje dotyczące żądań do usługi magazynu zakończonych powodzeniem i niepowodzeniem. Tych informacji można używać na potrzeby monitorowania poszczególnych żądań i diagnozowania problemów z usługą magazynu. Żądania są rejestrowane na podstawie najlepszych wysiłków. Rejestrowane są następujące typy żądań uwierzytelnionych:

• Żądania zakończone powodzeniem.
• Żądania, w tym przekroczenie limitu czasu, ograniczanie przepustowości, sieć, autoryzacja i inne błędy.
• Żądania korzystające z sygnatury dostępu współdzielonego (SAS), w tym żądania zakończone niepowodzeniem i pomyślne.
• Żądania dotyczące danych analitycznych.

Włączanie klientów opartych na przeglądarce przy użyciu mechanizmu CORS

Współużytkowanie zasobów między źródłami (CORS) to mechanizm, który umożliwia domenom przyznawanie sobie uprawnień dostępu do zasobów nawzajem. Agent użytkownika wysyła dodatkowe nagłówki, aby upewnić się, że kod JavaScript załadowany z określonej domeny może uzyskiwać dostęp do zasobów znajdujących się w innej domenie. Ta ostatnia domena odpowiada następnie dodatkowym nagłówkom zezwalającym lub odmawiającym oryginalnego dostępu do zasobów domeny.

Usługi magazynu platformy Azure obsługują teraz mechanizm CORS, dzięki czemu po ustawieniu reguł CORS dla usługi jest oceniane prawidłowo uwierzytelnione żądanie względem usługi z innej domeny w celu określenia, czy jest dozwolone zgodnie z określonymi regułami.

Sieć

Sekcja zawiera dodatkowe informacje dotyczące kluczowych funkcji zabezpieczeń sieci platformy Azure i podsumowania informacji o tych możliwościach.

Kontrolki warstwy sieciowej

Kontrola dostępu do sieci to czynność ograniczania łączności z określonymi urządzeniami lub podsieciami i reprezentuje rdzeń zabezpieczeń sieci. Celem kontroli dostępu do sieci jest upewnienie się, że maszyny wirtualne i usługi są dostępne tylko dla użytkowników i urządzeń, do których mają być dostępne.

Grupy zabezpieczeń sieci

Sieciowa grupa zabezpieczeń to podstawowa zapora filtrowania pakietów stanowych i umożliwia kontrolowanie dostępu na podstawie pięciu krotk. Sieciowe grupy zabezpieczeń nie zapewniają inspekcji warstw aplikacji ani uwierzytelnionych kontroli dostępu. Mogą służyć do kontrolowania ruchu między podsieciami w sieci wirtualnej platformy Azure i ruchu między siecią wirtualną platformy Azure a Internetem.

Azure Firewall

Usługa Azure Firewall to natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze działających na platformie Azure. Jest to w pełni stanowa zapora oferowana jako usługa, z wbudowaną wysoką dostępnością i możliwością nieograniczonego skalowania w chmurze. Zapewnia zarówno inspekcję ruchu na wschód-zachód, jak i północ-południe.

Usługa Azure Firewall jest oferowana w dwóch jednostkach SKU: w warstwie Standardowa i Premium. Usługa Azure Firewall w warstwie Standardowa zapewnia filtrowanie L3-L7 i źródła danych analizy zagrożeń bezpośrednio z usługi Microsoft Cyber Security. Usługa Azure Firewall Premium oferuje zaawansowane funkcje, takie jak idPS oparte na podpisach, aby umożliwić szybkie wykrywanie ataków, wyszukując określone wzorce.

Sterowanie trasami i wymuszone tunelowanie

Możliwość kontrolowania zachowania routingu w sieciach wirtualnych platformy Azure jest krytyczną funkcją zabezpieczeń sieci i kontroli dostępu. Jeśli na przykład chcesz upewnić się, że cały ruch do i z sieci wirtualnej platformy Azure przechodzi przez to wirtualne urządzenie zabezpieczeń, musisz mieć możliwość kontrolowania i dostosowywania zachowania routingu. Można to zrobić, konfigurując trasy zdefiniowane przez użytkownika na platformie Azure.

Trasy zdefiniowane przez użytkownika umożliwiają dostosowywanie ścieżek ruchu przychodzącego i wychodzącego dla ruchu przechodzącego do i z poszczególnych maszyn wirtualnych lub podsieci w celu zapewnienia możliwie najbezpieczniejszej trasy. Wymuszone tunelowanie to mechanizm, którego można użyć, aby upewnić się, że usługi nie mogą inicjować połączenia z urządzeniami w Internecie.

Różni się to od możliwości akceptowania połączeń przychodzących, a następnie odpowiadania na nie. Serwery internetowe frontonu muszą odpowiadać na żądania z hostów internetowych, dlatego ruch pochodzący z Internetu może być przychodzący do tych serwerów sieci Web, a serwery internetowe mogą odpowiadać.

Wymuszone tunelowanie jest często używane do wymuszania ruchu wychodzącego do Internetu w celu przechodzenia przez lokalne serwery proxy zabezpieczeń i zapory.

Wirtualne urządzenia zabezpieczeń sieci

Podczas gdy sieciowe grupy zabezpieczeń, trasy zdefiniowane przez użytkownika i wymuszone tunelowanie zapewniają poziom zabezpieczeń w warstwach sieci i transportu modelu OSI, mogą wystąpić czasy włączenia zabezpieczeń na wyższych poziomach stosu. Dostęp do tych rozszerzonych funkcji zabezpieczeń sieci można uzyskać przy użyciu rozwiązania zabezpieczeń sieciowych partnera platformy Azure. Najbardziej aktualne rozwiązania zabezpieczeń sieci partnerów platformy Azure można znaleźć w witrynie Azure Marketplace i wyszukać zabezpieczenia i zabezpieczenia sieciowe.

Azure Virtual Network

Sieć wirtualna Azure odzwierciedla w chmurze Twoją sieć. Jest to logiczna izolacja sieci szkieletowej platformy Azure przeznaczona dla twojej subskrypcji. W ramach tej sieci można w pełni kontrolować bloki adresów IP, ustawienia DNS, zasady zabezpieczeń i tabele tras. Sieć wirtualną można podzielić na podsieci i umieścić maszyny wirtualne IaaS platformy Azure i/lub usługi w chmurze (wystąpienia ról PaaS) w sieciach wirtualnych platformy Azure.

Dodatkowo można połączyć sieć wirtualną z siecią lokalną przy użyciu jednej z opcji łączności dostępnej na platformie Azure. W zasadzie można rozbudować swoją sieć do sieci Azure, zachowując pełną kontrolę nad blokami adresów IP i wykorzystując zapewnianą przez platformę Azure skalowalność klasy korporacyjnej.

Sieć platformy Azure obsługuje różne scenariusze bezpiecznego dostępu zdalnego. Oto niektóre poprawki:

• Łączenie poszczególnych stacji roboczych z siecią wirtualną platformy Azure

• Łączenie sieci lokalnej z siecią wirtualną platformy Azure przy użyciu sieci VPN

• Łączenie sieci lokalnej z siecią wirtualną platformy Azure za pomocą dedykowanego łącza sieci WAN

• Łączenie sieci wirtualnych platformy Azure ze sobą

Azure Virtual Network Manager

Usługa Azure Virtual Network Manager udostępnia scentralizowane rozwiązanie do ochrony sieci wirtualnych na dużą skalę. Używa reguł administratora zabezpieczeń do centralnego definiowania i wymuszania zasad zabezpieczeń dla sieci wirtualnych w całej organizacji. Reguły administratora zabezpieczeń mają pierwszeństwo przed regułami sieciowej grupy zabezpieczeń i są stosowane w sieci wirtualnej. Dzięki temu organizacje mogą wymuszać podstawowe zasady przy użyciu reguł administratora zabezpieczeń, jednocześnie umożliwiając zespołom podrzędnym dostosowanie sieciowych grup zabezpieczeń zgodnie z ich konkretnymi potrzebami na poziomie podsieci i karty sieciowej. W zależności od potrzeb organizacji można użyć akcji Zezwalaj, Odmów lub Zawsze zezwalaj na regułę, aby wymusić zasady zabezpieczeń.

Akcja reguły	opis
Zezwalaj	Zezwala na określony ruch domyślnie. Podrzędne sieciowe grupy zabezpieczeń nadal odbierają ten ruch i mogą go blokować.
Zawsze zezwalaj	Zawsze zezwalaj na określony ruch, niezależnie od innych reguł z niższym priorytetem lub sieciowymi grupami zabezpieczeń. Może to służyć do zapewnienia, że agent monitorowania, kontroler domeny lub ruch zarządzania nie jest blokowany.
Deny	Blokuj określony ruch. Podrzędne sieciowe grupy zabezpieczeń nie będą oceniać tego ruchu po odmowie przez regułę administratora zabezpieczeń, zapewniając, że porty wysokiego ryzyka dla istniejących i nowych sieci wirtualnych są domyślnie chronione.

W usłudze Azure Virtual Network Manager grupy sieciowe umożliwiają grupowanie sieci wirtualnych w celu scentralizowanego zarządzania i wymuszania zasad zabezpieczeń. Grupy sieciowe to logiczne grupowanie sieci wirtualnych na podstawie potrzeb z perspektywy topologii i zabezpieczeń. Możesz ręcznie zaktualizować członkostwo w sieci wirtualnej grup sieciowych lub zdefiniować instrukcje warunkowe za pomocą usługi Azure Policy , aby dynamicznie aktualizować grupy sieciowe w celu automatycznego aktualizowania członkostwa w grupie sieciowej.

Link prywatny platformy Azure

Usługa Azure Private Link umożliwia dostęp do usług Azure PaaS (na przykład Azure Storage i SQL Database) oraz hostowanych prywatnie usług klienta/partnerów platformy Azure w sieci wirtualnej za pośrednictwem prywatnego punktu końcowego. Konfiguracja i zużycie przy użyciu usługi Azure Private Link jest spójna w należących do klienta usługach PaaS platformy Azure i udostępnionych usługach partnerskich. Ruch z sieci wirtualnej do usługi platformy Azure zawsze pozostaje w sieci szkieletowej platformy Microsoft Azure.

Prywatne punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych. Prywatny punkt końcowy platformy Azure używa prywatnego adresu IP z sieci wirtualnej, aby połączyć Cię prywatnie i bezpiecznie z usługą obsługiwaną przez usługę Azure Private Link, efektywnie przenosząc usługę do sieci wirtualnej. Uwidacznianie sieci wirtualnej publicznej w Internecie nie jest już konieczne do korzystania z usług na platformie Azure.

Możesz również utworzyć własną usługę łącza prywatnego w sieci wirtualnej. Usługa Azure Private Link to odwołanie do własnej usługi obsługiwanej przez usługę Azure Private Link. Usługę działającą za usługą Azure usługa Load Balancer w warstwie Standardowa można włączyć na potrzeby dostępu do usługi Private Link, aby użytkownicy usługi mogli uzyskiwać do niej dostęp prywatnie z własnych sieci wirtualnych. Klienci mogą utworzyć prywatny punkt końcowy w sieci wirtualnej i zamapować go na tę usługę. Udostępnianie usługi publicznej sieci Internet nie jest już konieczne do renderowania usług na platformie Azure.

VPN Gateway

Aby wysyłać ruch sieciowy między usługą Azure Virtual Network i lokacją lokalną, należy utworzyć bramę sieci VPN dla usługi Azure Virtual Network. Brama sieci VPN to typ bramy sieci wirtualnej, która wysyła zaszyfrowany ruch przez połączenie publiczne. Bramy sieci VPN umożliwiają również wysyłanie ruchu między sieciami wirtualnymi platformy Azure za pośrednictwem sieci szkieletowej platformy Azure.

Express Route

Microsoft Azure ExpressRoute to dedykowany link sieci WAN, który umożliwia rozszerzenie sieci lokalnych do chmury firmy Microsoft za pośrednictwem dedykowanego połączenia prywatnego obsługiwanego przez dostawcę łączności.

Usługa ExpressRoute umożliwia nawiązywanie połączeń z usługami w chmurze firmy Microsoft, takimi jak Microsoft Azure, Microsoft 365 i CRM Online. Łączność może być nawiązywana z sieci typu dowolna-dowolna (IP VPN), sieci Ethernet typu punkt-punkt lub wirtualnego połączenia krzyżowego za pośrednictwem dostawcy łączności w ramach obiektu kolokacji.

Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i dlatego można je uznać za bezpieczniejsze niż rozwiązania oparte na sieci VPN. Dzięki temu oferują one większą niezawodność i szybkość oraz mniejsze opóźnienia i lepsze zabezpieczenia niż typowe połączenia przez Internet.

Application Gateway

Usługa Microsoft aplikacja systemu Azure Gateway udostępnia kontroler dostarczania aplikacji (ADC) jako usługę, oferując różne możliwości równoważenia obciążenia warstwy 7 dla aplikacji.

Pozwala to zoptymalizować produktywność farmy internetowej przez odciążanie kończenia żądań protokołu TLS intensywnie korzystających z procesora CPU do usługi Application Gateway (nazywanej również odciążaniem protokołu TLS lub mostkowaniem TLS). Zapewnia również inne funkcje routingu w warstwie 7, w tym okrężną dystrybucję ruchu przychodzącego, koligację sesji opartą na plikach cookie, routing oparty na ścieżkach URL i możliwość hostowania wielu witryn internetowych za pojedynczą usługą Application Gateway. Usługa Azure Application Gateway to moduł równoważenia obciążenia warstwy 7.

Udostępnia tryb failover, oparty na wydajności routing żądań HTTP między różnymi serwerami — w chmurze i lokalnymi.

Aplikacja udostępnia wiele funkcji kontrolera dostarczania aplikacji (ADC), w tym równoważenie obciążenia HTTP, koligację sesji opartą na plikach cookie, odciążanie protokołu TLS, niestandardowe sondy kondycji, obsługę wielu witryn i wiele innych.

Web Application Firewall

Zapora aplikacji internetowej to funkcja usługi aplikacja systemu Azure Gateway, która zapewnia ochronę aplikacji internetowych korzystających z bramy aplikacji dla standardowych funkcji usługi Application Delivery Control (ADC). Zapora aplikacji internetowej realizuje ten cel, chroniąc je przed większością z 10 najpopularniejszych luk w zabezpieczeniach w Internecie OWASP.

• Ochrona przed atakami polegającymi na iniekcji SQL

• Częste ataki w ramach sieci Web polegające na iniekcji poleceń, przemycaniu żądań HTTP, rozdzielaniu odpowiedzi HTTP i zdalnym dołączaniu plików

• Ochrona przed naruszeniami protokołu HTTP

• Ochrona przed nieprawidłowościami protokołu HTTP, takimi jak brakujące powiązania agenta i użytkownika hosta oraz akceptowanie nagłówków

• Zapobieganie atakom z użyciem robotów, przeszukiwarek i skanerów

• Wykrywanie typowych błędów konfiguracji aplikacji (tj. Apache, IIS itp.)

Scentralizowana zapora aplikacji internetowej chroniąca przed atakami internetowymi ułatwia zarządzanie zabezpieczeniami i zapewnia lepszą gwarancję aplikacji przed zagrożeniami włamań. Zapora aplikacji internetowej może reagować na zagrożenia bezpieczeństwa szybciej — poprzez wdrażanie poprawek zapobiegających wykorzystaniu znanych luk w zabezpieczeniach w centralnej lokalizacji zamiast w poszczególnych aplikacjach internetowych. Istniejące bramy aplikacji można łatwo przekonwertować na bramę aplikacji z zaporą aplikacji internetowej.

Traffic Manager

Usługa Microsoft Azure Traffic Manager umożliwia kontrolowanie dystrybucji ruchu użytkowników dla punktów końcowych usługi w różnych centrach danych. Punkty końcowe usługi obsługiwane przez usługę Traffic Manager obejmują maszyny wirtualne platformy Azure, aplikacje internetowe i usługi w chmurze. Usługi Traffic Manager można również używać z zewnętrznymi punktami końcowymi poza platformą Azure. Usługa Traffic Manager używa systemu nazw domen (DNS) do kierowania żądań klientów do najbardziej odpowiedniego punktu końcowego na podstawie metody routingu ruchu i kondycji punktów końcowych.

Usługa Traffic Manager udostępnia szereg metod routingu ruchu, które odpowiadają różnym potrzebom aplikacji, monitorowaniu kondycji punktu końcowego i automatycznemu przejściu w tryb failover. Usługa Traffic Manager jest odporna na awarie, w tym awarię całego regionu platformy Azure.

Azure Load Balancer

Usługa Azure Load Balancer zapewnia aplikacjom wysoką dostępność i wydajność sieci. Jest to moduł równoważenia obciążenia warstwy 4 (TCP, UDP), który dystrybuuje ruch przychodzący między wystąpienia usług w dobrej kondycji zdefiniowane w zestawie o zrównoważonym obciążeniu. Usługę Azure Load Balancer można skonfigurować do:

• Równoważenie obciążenia przychodzącego ruchu internetowego do maszyn wirtualnych. Ta konfiguracja jest nazywana publicznym równoważeniem obciążenia.

• Równoważenie obciążenia ruchu między maszynami wirtualnymi w sieci wirtualnej, między maszynami wirtualnymi w usługach w chmurze lub między komputerami lokalnymi i maszynami wirtualnymi w sieci wirtualnej obejmującej wiele lokalizacji. Ta konfiguracja jest znana jako wewnętrzne równoważenie obciążenia.

• Przekazywanie ruchu zewnętrznego do określonej maszyny wirtualnej

Wewnętrzny system DNS

Listę serwerów DNS używanych w sieci wirtualnej można zarządzać w portalu zarządzania lub w pliku konfiguracji sieci. Klient może dodać do 12 serwerów DNS dla każdej sieci wirtualnej. Podczas określania serwerów DNS ważne jest, aby sprawdzić, czy wyświetlasz listę serwerów DNS klienta w odpowiedniej kolejności dla środowiska klienta. Listy serwerów DNS nie działają w trybie okrężnym. Są one używane w podanej kolejności. Jeśli pierwszy serwer DNS na liście jest w stanie uzyskać dostęp, klient używa tego serwera DNS niezależnie od tego, czy serwer DNS działa prawidłowo, czy nie. Aby zmienić kolejność serwera DNS dla sieci wirtualnej klienta, usuń serwery DNS z listy i dodaj je z powrotem w żądanej kolejności. System DNS obsługuje aspekt dostępności triady zabezpieczeń "CIA".

Usługa DNS platformy Azure

System nazw domen lub DNS jest odpowiedzialny za tłumaczenie (lub rozpoznawanie) witryny internetowej lub nazwy usługi na jego adres IP. Azure DNS to usługa hostingowa przeznaczona dla domen DNS, która umożliwia rozpoznawanie nazw przy użyciu infrastruktury platformy Microsoft Azure. Dzięki hostowaniu swoich domen na platformie Azure możesz zarządzać rekordami DNS z zastosowaniem tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co w przypadku innych usług platformy Azure. System DNS obsługuje aspekt dostępności triady zabezpieczeń "CIA".

Sieciowe grupy zabezpieczeń dzienników usługi Azure Monitor

Dla sieciowych grup zabezpieczeń można włączyć następujące kategorie dzienników diagnostycznych:

• Zdarzenie: zawiera wpisy, dla których reguły sieciowej grupy zabezpieczeń są stosowane do maszyn wirtualnych i ról wystąpień na podstawie adresu MAC. Stan tych reguł jest zbierany co 60 sekund.

• Licznik reguł: zawiera wpisy, ile razy każda reguła sieciowej grupy zabezpieczeń jest stosowana do odmowy lub zezwalania na ruch.

Microsoft Defender for Cloud

Microsoft Defender dla Chmury stale analizuje stan zabezpieczeń zasobów platformy Azure pod kątem najlepszych rozwiązań dotyczących zabezpieczeń sieci. Gdy Defender dla Chmury identyfikuje potencjalne luki w zabezpieczeniach, tworzy zalecenia, które przeprowadzą Cię przez proces konfigurowania wymaganych mechanizmów kontroli w celu zabezpieczenia i ochrony zasobów.

Advanced Container Networking Services (ACNS)

Advanced Container Networking Services (ACNS) to kompleksowy pakiet zaprojektowany w celu podniesienia wydajności operacyjnej klastrów usługi Azure Kubernetes Service (AKS). Zapewnia zaawansowane funkcje zabezpieczeń i możliwości obserwacji, zwracając się do złożoności zarządzania infrastrukturą mikrousług na dużą skalę.

Te funkcje są podzielone na dwa główne filary:

• Zabezpieczenia: w przypadku klastrów korzystających z usługi Azure CNI obsługiwanej przez cilium zasady sieciowe obejmują filtrowanie w pełni kwalifikowanej nazwy domeny (FQDN) w celu rozwiązywania złożoności konserwacji konfiguracji.

• Możliwość obserwowania: ta funkcja pakietu Advanced Container Networking Services zapewnia możliwości płaszczyzny sterowania Hubble'a zarówno do płaszczyzn danych Cilium, jak i innych niż Cilium Linux, zapewniając lepszy wgląd w sieć i wydajność.

Compute

Sekcja zawiera dodatkowe informacje dotyczące kluczowych funkcji w tym obszarze i podsumowanie informacji o tych możliwościach.

Poufne przetwarzanie na platformie Azure

Poufne przetwarzanie na platformie Azure zapewnia ostatni, brakujący element zagadki ochrony danych. Dzięki niemu dane są zawsze szyfrowane. Podczas magazynowania, gdy w ruchu przez sieć, a teraz, nawet podczas ładowania w pamięci i w użyciu. Ponadto dzięki możliwości zdalnego zaświadczania można zweryfikować kryptograficznie, czy wdrożona maszyna wirtualna została bezpiecznie uruchomiony i jest poprawnie skonfigurowana przed odblokowaniem danych.

Spektrum opcji waha się od włączania scenariuszy "lift and shift" istniejących aplikacji do pełnej kontroli nad funkcjami zabezpieczeń. W przypadku infrastruktury jako usługi (IaaS) można używać poufnych maszyn wirtualnych obsługiwanych przez firmę AMD SEV-SNP lub poufnych enklaw aplikacji dla maszyn wirtualnych z uruchomionymi rozszerzeniami Intel Software Guard (SGX). W przypadku platformy jako usługi mamy wiele opcji opartych na kontenerach, w tym integracji z usługą Azure Kubernetes Service (AKS).

Oprogramowanie chroniące przed złośliwym oprogramowaniem i oprogramowaniem antywirusowym

Dzięki usłudze Azure IaaS można używać oprogramowania chroniącego przed złośliwym oprogramowaniem od dostawców zabezpieczeń, takich jak Microsoft, Symantec, Trend Micro, McAfee i Kaspersky, aby chronić maszyny wirtualne przed złośliwymi plikami, oprogramowaniem adware i innymi zagrożeniami. Microsoft Antimalware dla usług Azure Cloud Services i Virtual Machines to funkcja ochrony, która pomaga identyfikować i usuwać wirusy, programy szpiegujące i inne złośliwe oprogramowanie. Program Microsoft Antimalware udostępnia konfigurowalne alerty, gdy znane złośliwe lub niechciane oprogramowanie próbuje zainstalować się lub uruchomić w systemach platformy Azure. Program Microsoft Antimalware można również wdrożyć przy użyciu Microsoft Defender dla Chmury

Sprzętowy moduł zabezpieczeń

Szyfrowanie i uwierzytelnianie nie zwiększają bezpieczeństwa, chyba że same klucze są chronione. Zarządzanie krytycznymi wpisami tajnymi i kluczami oraz ich zabezpieczenia można uprościć, przechowując je w usłudze Azure Key Vault. Usługa Key Vault umożliwia przechowywanie kluczy w sprzętowych modułach zabezpieczeń (HSM) certyfikowanych do zweryfikowanych standardów FIPS 140. Klucze szyfrowania programu SQL Server na potrzeby tworzenia kopii zapasowych lub przezroczystego szyfrowania danych mogą być przechowywane w usłudze Key Vault przy użyciu dowolnych kluczy lub wpisów tajnych z aplikacji. Uprawnienia i dostęp do tych chronionych elementów są zarządzane za pośrednictwem identyfikatora Entra firmy Microsoft.

Kopia zapasowa maszyny wirtualnej

Azure Backup to rozwiązanie, które chroni dane aplikacji przy użyciu zerowych inwestycji kapitałowych i minimalnych kosztów operacyjnych. Błędy aplikacji mogą uszkodzić dane, a błędy ludzkie mogą powodować błędy w aplikacjach, które mogą prowadzić do problemów z zabezpieczeniami. Dzięki usłudze Azure Backup maszyny wirtualne z systemami Windows i Linux są chronione.

Azure Site Recovery

Ważną częścią strategii ciągłości biznesowej/odzyskiwania po awarii (BCDR) organizacji jest ustalenie, jak utrzymać obciążenia i aplikacje firmowe w przypadku planowanych i nieplanowanych awarii. Usługa Azure Site Recovery pomaga organizować replikację, tryb failover i odzyskiwanie obciążeń i aplikacji, aby były dostępne z lokalizacji dodatkowej, jeśli lokalizacja podstawowa ulegnie awarii.

Funkcja TDE maszyny wirtualnej SQL

Funkcja Transparent Data Encryption (TDE) i szyfrowanie na poziomie kolumn (CLE) to funkcje szyfrowania serwera SQL. Ta forma szyfrowania wymaga od klientów zarządzania kluczami kryptograficznymi używanymi do szyfrowania i przechowywania ich.

Usługa Azure Key Vault (AKV) została zaprojektowana w celu poprawy bezpieczeństwa i zarządzania tymi kluczami w bezpiecznej i wysoce dostępnej lokalizacji. Łącznik programu SQL Server umożliwia programowi SQL Server używanie tych kluczy z usługi Azure Key Vault.

Jeśli używasz programu SQL Server z maszynami lokalnymi, możesz wykonać kroki umożliwiające uzyskanie dostępu do usługi Azure Key Vault z lokalnego wystąpienia programu SQL Server. Jednak w przypadku programu SQL Server na maszynach wirtualnych platformy Azure możesz zaoszczędzić czas przy użyciu funkcji integracji z usługą Azure Key Vault. Za pomocą kilku poleceń cmdlet programu Azure PowerShell w celu włączenia tej funkcji można zautomatyzować konfigurację niezbędną dla maszyny wirtualnej SQL w celu uzyskania dostępu do magazynu kluczy.

Szyfrowanie dysków maszyny wirtualnej

Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux i usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows ułatwia szyfrowanie dysków maszyn wirtualnych IaaS. Stosuje standardową w branży funkcję BitLocker systemu Windows i funkcję DM-Crypt systemu Linux w celu zapewnienia szyfrowania woluminów dla systemu operacyjnego i dysków danych. Rozwiązanie jest zintegrowane z usługą Azure Key Vault, aby ułatwić kontrolowanie kluczy i wpisów tajnych szyfrowania dysków oraz zarządzanie nimi w ramach subskrypcji usługi Key Vault. Rozwiązanie zapewnia również, że wszystkie dane na dyskach maszyny wirtualnej są szyfrowane w spoczynku w usłudze Azure Storage.

Sieć wirtualna

Maszyny wirtualne wymagają łączności sieciowej. Aby zapewnić obsługę tego wymagania, platforma Azure wymaga połączenia maszyn wirtualnych z siecią wirtualną platformy Azure. Sieć wirtualna platformy Azure to konstrukcja logiczna oparta na fizycznej sieci szkieletowej sieci platformy Azure. Każda logiczna sieć wirtualna platformy Azure jest odizolowana od wszystkich innych sieci wirtualnych platformy Azure. Ta izolacja pomaga zapewnić, że ruch sieciowy we wdrożeniach nie jest dostępny dla innych klientów platformy Microsoft Azure.

Aktualizacje poprawek

Aktualizacje poprawek stanowią podstawę do znajdowania i rozwiązywania potencjalnych problemów oraz upraszczania procesu zarządzania aktualizacjami oprogramowania, zarówno poprzez zmniejszenie liczby aktualizacji oprogramowania, które należy wdrożyć w przedsiębiorstwie, oraz zwiększenie możliwości monitorowania zgodności.

Zarządzanie zasadami zabezpieczeń i raportowanie

Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie oraz zapewnia lepszy wgląd w zasoby platformy Azure oraz kontrolę nad nimi. Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure, pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziałają z szerokim ekosystemem rozwiązań zabezpieczeń.

Zarządzanie tożsamościami i dostępem

Zabezpieczanie systemów, aplikacji i danych rozpoczyna się od kontroli dostępu opartej na tożsamościach. Funkcje zarządzania tożsamościami i dostępem wbudowane w produkty i usługi biznesowe firmy Microsoft pomagają chronić dane organizacyjne i osobiste przed nieautoryzowanym dostępem, jednocześnie udostępniając je uprawnionym użytkownikom w dowolnym miejscu i miejscu, w którym ich potrzebują.

Bezpieczna tożsamość

Firma Microsoft używa wielu rozwiązań w zakresie zabezpieczeń i technologii w swoich produktach i usługach do zarządzania tożsamościami i dostępem.

• Uwierzytelnianie wieloskładnikowe wymaga od użytkowników użycia wielu metod dostępu, środowiska lokalnego i w chmurze. Zapewnia silne uwierzytelnianie z szeregiem łatwych opcji weryfikacji, a jednocześnie zapewnia użytkownikom prosty proces logowania.

• Aplikacja Microsoft Authenticator zapewnia przyjazne dla użytkownika środowisko uwierzytelniania wieloskładnikowego, które współpracuje zarówno z identyfikatorem Microsoft Entra ID, jak i kontami Microsoft, oraz zapewnia obsługę zatwierdzeń opartych na odciskach palców.

• Wymuszanie zasad haseł zwiększa bezpieczeństwo tradycyjnych haseł przez nakładanie wymagań dotyczących długości i złożoności, wymuszonej okresowej rotacji i blokady konta po nieudanych próbach uwierzytelniania.

• Uwierzytelnianie oparte na tokenach umożliwia uwierzytelnianie za pośrednictwem identyfikatora Entra firmy Microsoft.

• Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia udzielanie dostępu na podstawie przypisanej roli użytkownika, dzięki czemu można łatwo przyznać użytkownikom tylko dostęp potrzebny do wykonywania zadań. Kontrolę dostępu opartą na rolach platformy Azure można dostosować zgodnie z modelem biznesowym organizacji i tolerancją ryzyka.

• Zintegrowane zarządzanie tożsamościami (tożsamość hybrydowa) umożliwia utrzymanie kontroli dostępu użytkowników między wewnętrznymi centrami danych i platformami w chmurze, tworząc jedną tożsamość użytkownika na potrzeby uwierzytelniania i autoryzacji dla wszystkich zasobów.

Zabezpieczanie aplikacji i danych

Microsoft Entra ID, kompleksowe rozwiązanie do zarządzania tożsamościami i dostępem w chmurze, pomaga zabezpieczyć dostęp do danych w aplikacjach w witrynie i w chmurze oraz upraszcza zarządzanie użytkownikami i grupami. Łączy podstawowe usługi katalogowe, zaawansowane zarządzanie tożsamościami, zabezpieczenia i zarządzanie dostępem do aplikacji oraz ułatwia deweloperom tworzenie zarządzania tożsamościami opartymi na zasadach w aplikacjach. Aby ulepszyć identyfikator Entra firmy Microsoft, możesz dodać płatne możliwości przy użyciu wersji Microsoft Entra Basic, Premium P1 i Premium P2.

Bezpłatne/typowe funkcje	Podstawowe funkcje	Funkcje Premium P1	Funkcje premium P2	Microsoft Entra join — tylko powiązane funkcje systemu Windows 10
Obiekty katalogów, zarządzanie użytkownikami/grupami (dodawanie/aktualizowanie/usuwanie)/ Aprowizowanie oparte na użytkownikach, Rejestracja urządzenia, logowanie jednokrotne, samoobsługowa zmiana hasła dla użytkowników chmury, Łączenie (aparat synchronizacji rozszerzający katalogi lokalne na identyfikator Firmy Microsoft Entra), Raporty zabezpieczeń/ użycia	Zarządzanie dostępem opartym na grupach/aprowizowanie, samoobsługowe resetowanie haseł dla użytkowników chmury, znakowanie firmy (dostosowywanie stron/Panel dostępu logowania), serwer proxy aplikacji, umowa SLA 99,9%	Samoobsługowe zarządzanie grupami i aplikacjami/dodawaniem aplikacji samoobsługowych/grup dynamicznych, samoobsługowym resetowaniem haseł/zmienianiem/odblokowywaniem przy użyciu lokalnego zapisu zwrotnego, uwierzytelniania wieloskładnikowego (chmura i lokalny serwer MFA), jednostki MIM CAL i serwera PROGRAMU MIM, rozwiązania Cloud App Discovery, Connect Health, automatyczne przerzucanie haseł dla kont grup	Identity Protection, Privileged Identity Management	Dołączanie urządzenia do programu Microsoft Entra ID, Desktop SSO, Microsoft Passport for Microsoft Entra ID, Odzyskiwanie funkcji BitLocker przez administratora, automatyczne rejestrowanie w oprogramowaniu MDM, odzyskiwanie funkcji BitLocker samoobsługi, dodatkowe lokalne administratory urządzeń z systemem Windows 10 za pośrednictwem dołączania do firmy Microsoft

• Cloud App Discovery to funkcja Premium identyfikatora Entra firmy Microsoft, która umożliwia identyfikowanie aplikacji w chmurze używanych przez pracowników w organizacji.

• Ochrona tożsamości Microsoft Entra to usługa zabezpieczeń, która korzysta z funkcji wykrywania anomalii firmy Microsoft w celu zapewnienia skonsolidowanego wglądu w wykrywanie ryzyka i potencjalne luki w zabezpieczeniach, które mogą mieć wpływ na tożsamości organizacji.

• Usługi Microsoft Entra Domain Services umożliwiają dołączanie maszyn wirtualnych platformy Azure do domeny bez konieczności wdrażania kontrolerów domeny. Użytkownicy logują się do tych maszyn wirtualnych przy użyciu poświadczeń firmowych usługi Active Directory i mogą bezproblemowo uzyskiwać dostęp do zasobów.

• Microsoft Entra B2C to globalna usługa zarządzania tożsamościami o wysokiej dostępności dla aplikacji przeznaczonych dla konsumentów, która może skalować do setek milionów tożsamości i integrować je na różnych platformach mobilnych i internetowych. Klienci mogą logować się do wszystkich aplikacji za pomocą dostosowywalnych środowisk korzystających z istniejących kont w mediach społecznościowych lub tworzyć nowe autonomiczne poświadczenia.

• Microsoft Entra B2B Collaboration to bezpieczne rozwiązanie integracji partnerów, które obsługuje relacje między firmami, umożliwiając partnerom selektywne uzyskiwanie dostępu do aplikacji i danych firmowych przy użyciu tożsamości zarządzanych przez siebie.

• Firma Microsoft Entra dołączyła , umożliwia rozszerzanie możliwości chmury na urządzenia z systemem Windows 10 na potrzeby scentralizowanego zarządzania. Umożliwia użytkownikom łączenie się z chmurą firmową lub organizacyjną za pośrednictwem identyfikatora Entra firmy Microsoft i upraszcza dostęp do aplikacji i zasobów.

• Serwer proxy aplikacji Microsoft Entra zapewnia logowanie jednokrotne i bezpieczny dostęp zdalny dla aplikacji internetowych hostowanych lokalnie.

Następne kroki

• Zrozumienie wspólnej odpowiedzialności w chmurze.

• Dowiedz się, jak Microsoft Defender dla Chmury mogą pomóc w zapobieganiu zagrożeniom, wykrywaniu ich i reagowaniu na nie dzięki zwiększonej widoczności i kontroli nad zabezpieczeniami zasobów platformy Azure.