Omówienie zarządzania zabezpieczeniami i monitorowania platformy Azure

Ten artykuł zawiera omówienie funkcji zabezpieczeń i usług oferowanych przez platformę Azure w celu pomocy w zarządzaniu i monitorowaniu usług w chmurze i maszyn wirtualnych platformy Azure.

Kontrola dostępu na podstawie ról na platformie Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure zapewnia szczegółowe zarządzanie dostępem dla zasobów platformy Azure. Korzystając z kontroli dostępu opartej na rolach platformy Azure, możesz przyznać osobom tylko dostęp potrzebny do wykonywania swoich zadań. Kontrola dostępu oparta na rolach platformy Azure może również pomóc w zapewnieniu, że gdy osoby opuszczają organizację, utracą dostęp do zasobów w chmurze.

Więcej informacji:

• Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)

Oprogramowanie chroniące przed złośliwym kodem

Platforma Azure umożliwia korzystanie z oprogramowania chroniącego przed złośliwym kodem od głównych dostawców zabezpieczeń, takich jak Microsoft, Symantec, Trend Micro, McAfee i Kaspersky. To oprogramowanie pomaga chronić maszyny wirtualne przed złośliwymi plikami, oprogramowaniem adware i innymi zagrożeniami.

Program Microsoft Antimalware dla usług Azure Cloud Services i maszyn wirtualnych oferuje możliwość zainstalowania agenta ochrony przed złośliwym kodem zarówno dla ról PaaS, jak i maszyn wirtualnych. W oparciu o program System Center Endpoint Protection ta funkcja zapewnia sprawdzoną lokalną technologię zabezpieczeń w chmurze.

Program Symantec Endpoint Protection (SEP) jest również obsługiwany na platformie Azure. Za pomocą integracji z portalem można określić, że zamierzasz używać programu SEP na maszynie wirtualnej. Program SEP można zainstalować na nowej maszynie wirtualnej za pośrednictwem witryny Azure Portal lub zainstalować go na istniejącej maszynie wirtualnej za pośrednictwem programu PowerShell.

Więcej informacji:

• Oprogramowanie firmy Microsoft chroniące przed złośliwym kodem dla usług Azure Cloud Services i maszyn wirtualnych
• Nowe opcje ochrony przed złośliwym kodem na potrzeby ochrony maszyn wirtualnych platformy Azure

Uwierzytelnianie wieloskładnikowe

Microsoft Entra multifactor authentication to metoda uwierzytelniania, która wymaga użycia więcej niż jednej metody weryfikacji. Dodaje on krytyczną drugą warstwę zabezpieczeń do logowania i transakcji użytkownika.

Uwierzytelnianie wieloskładnikowe pomaga chronić dostęp do danych i aplikacji, jednocześnie spełniając wymagania użytkowników dotyczące prostego procesu logowania. Zapewnia silne uwierzytelnianie za pośrednictwem szeregu opcji weryfikacji (połączenia telefonicznego, wiadomości SMS lub powiadomienia aplikacji mobilnej lub kodu weryfikacyjnego) oraz tokenów OATH innych firm.

Więcej informacji:

• Uwierzytelnianie wieloskładnikowe
• Jak działa uwierzytelnianie wieloskładnikowe firmy Microsoft

ExpressRoute

Za pomocą usługi Azure ExpressRoute możesz rozszerzyć sieci lokalne na chmurę firmy Microsoft za pośrednictwem dedykowanego połączenia prywatnego, które jest obsługiwane przez dostawcę łączności. Usługa ExpressRoute umożliwia nawiązywanie połączeń z usługami w chmurze firmy Microsoft, takimi jak Azure, Microsoft 365 i CRM Online. Łączność może pochodzić z:

• Sieć typu dowolna-dowolna (IP VPN).
• Sieć Ethernet typu punkt-punkt.
• Wirtualne połączenie krzyżowe za pośrednictwem dostawcy łączności w placówce wspólnej lokalizacji.

Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet. Mogą one oferować większą niezawodność, szybsze szybkości, mniejsze opóźnienia i wyższe zabezpieczenia niż typowe połączenia przez Internet.

Więcej informacji:

• Omówienie techniczne usługi ExpressRoute

Bramy sieci wirtualnej

Bramy sieci VPN, nazywane również bramami sieci wirtualnej platformy Azure, są używane do wysyłania ruchu sieciowego między sieciami wirtualnymi i lokalizacjami lokalnymi. Są one również używane do wysyłania ruchu między wieloma sieciami wirtualnymi na platformie Azure (sieć do sieci). Bramy sieci VPN zapewniają bezpieczną łączność między lokalizacjami między platformą Azure a infrastrukturą.

Więcej informacji:

• Informacje o bramach sieci VPN
• Omówienie zabezpieczeń sieci na platformie Azure

Privileged Identity Management

Czasami użytkownicy muszą wykonywać operacje uprzywilejowane w zasobach platformy Azure lub innych aplikacjach SaaS. Często oznacza to, że organizacje zapewniają im stały uprzywilejowany dostęp w usłudze Microsoft Entra ID.

Jest to rosnące zagrożenie bezpieczeństwa dla zasobów hostowanych w chmurze, ponieważ organizacje nie mogą wystarczająco monitorować tego, co ci użytkownicy robią z uprzywilejowanym dostępem. Ponadto w przypadku naruszenia zabezpieczeń konta użytkownika z uprzywilejowanym dostępem jedno naruszenie może mieć wpływ na ogólne zabezpieczenia w chmurze organizacji. Usługa Microsoft Entra Privileged Identity Management pomaga rozwiązać to ryzyko, obniżając czas ekspozycji uprawnień i zwiększając wgląd w użycie.

Usługa Privileged Identity Management wprowadza koncepcję tymczasowego administratora roli lub dostępu administratora "just in time". Ten rodzaj administratora to użytkownik, który musi ukończyć proces aktywacji dla tej przypisanej roli. Proces aktywacji zmienia przypisanie użytkownika do roli w identyfikatorze Entra firmy Microsoft od nieaktywnego do aktywnego przez określony czas.

Więcej informacji:

• Microsoft Entra Privileged Identity Management
• Rozpoczynanie korzystania z usługi Privileged Identity Management

Identity Protection

Ochrona tożsamości Microsoft Entra zapewnia skonsolidowany widok podejrzanych działań związanych z logowaniem i potencjalnych luk w zabezpieczeniach w celu ochrony firmy. Usługa Identity Protection wykrywa podejrzane działania dla użytkowników i tożsamości uprzywilejowanych (administratorów) na podstawie sygnałów, takich jak:

• Ataki siłowe.
• Ujawnione poświadczenia.
• Logowania z nieznanych lokalizacji i zainfekowanych urządzeń.

Dostarczając powiadomienia i zalecane korygowanie, usługa Identity Protection pomaga ograniczyć ryzyko w czasie rzeczywistym. Oblicza ważność ryzyka użytkownika. Możesz skonfigurować zasady oparte na ryzyku, aby automatycznie chronić dostęp aplikacji przed przyszłymi zagrożeniami.

Więcej informacji:

• Ochrona tożsamości Microsoft Entra

Defender dla Chmury

Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie. Defender dla Chmury zapewnia zwiększony wgląd i kontrolę nad zabezpieczeniami zasobów platformy Azure, a także tymi w środowisku chmury hybrydowej.

Defender dla Chmury przeprowadza ciągłe oceny zabezpieczeń połączonych zasobów i porównuje ich konfigurację i wdrożenie z Test porównawczy zabezpieczeń w chmurze firmy Microsoft w celu udostępnienia szczegółowych zaleceń dotyczących zabezpieczeń dostosowanych do danego środowiska.

Defender dla Chmury ułatwia optymalizowanie i monitorowanie zabezpieczeń zasobów platformy Azure przez:

• Umożliwienie definiowania zasad dla zasobów subskrypcji platformy Azure zgodnie z:
  • Wymagania organizacji dotyczące zabezpieczeń.
  • Typ aplikacji lub poufność danych w każdej subskrypcji.
  • Wszelkie standardy branżowe lub standardy prawne lub testy porównawcze stosowane do subskrypcji.
• Monitorowanie stanu maszyn wirtualnych platformy Azure, sieci i aplikacji.
• Udostępnianie listy priorytetowych alertów zabezpieczeń, w tym alertów zintegrowanych rozwiązań partnerskich. Zawiera również informacje potrzebne do szybkiego zbadania ataku i zaleceń dotyczących sposobu ich korygowania.

Więcej informacji:

• Wprowadzenie do Microsoft Defender dla Chmury
• Zwiększanie wskaźnika bezpieczeństwa w Microsoft Defender dla Chmury

Następne kroki

Dowiedz się więcej o modelu wspólnej odpowiedzialności i zadaniach zabezpieczeń, które są obsługiwane przez firmę Microsoft i które zadania są obsługiwane przez Ciebie.

Aby uzyskać więcej informacji na temat zarządzania zabezpieczeniami, zobacz Zarządzanie zabezpieczeniami na platformie Azure.