解决方案构想
本文介绍了一种解决方案构想。 云架构师可以通过本指南来帮助可视化此体系结构的典型实现的主要组件。 以本文为起点,设计一个符合工作负荷特定要求的架构合理的解决方案。
许多组织在混合环境中运行,并且资源托管在 Azure 和本地。 大多数 Azure 资源(例如虚拟机 (VM)、Azure 应用程序和 Microsoft Entra ID)都可以使用 Azure 的内置安全服务进行保护。
此外,组织经常订阅 Microsoft 365,为用户提供 Word、Excel、PowerPoint 和 Exchange Online 等应用程序。 Microsoft 365 还提供安全服务,你可以使用这些服务为一些最广泛使用的 Azure 资源添加额外的安全层。
要有效利用 Microsoft 365 安全服务,请务必了解 Microsoft 365 服务的关键术语和结构。 本系列五篇文章中的第四篇文章更详细地探讨了这些主题,基于以前文章中介绍的概念,特别是:
Microsoft 365 和 Office 365 是基于云的服务,旨在满足组织对强大的安全性、可靠性和更高用户工作效率的需求。 Microsoft 365 包括 Power Automate、Forms、Stream、Sway 和 Office 365 等服务。 Office 365 特别包含熟悉的生产力应用程序套件。 有关这两个服务的订阅选项的详细信息,请参阅 Microsoft 365 和 Office 365 计划选项。
根据为 Microsoft 365 获取的许可证,还可以获取 Microsoft 365 的安全服务。 这些安全服务称作 Microsoft Defender XDR,它提供多个服务:
- Microsoft Defender for Endpoint (MDE)
- Microsoft Defender for Identity (MDI)
- Microsoft Defender for Office (MDO)
- Microsoft Defender for Cloud Apps (MDA)
- 通过“security.microsoft.com”访问的“Microsoft Defender for Cloud 应用”与通过“portal.azure.com”访问的另一种安全解决方案“Microsoft Defender for Cloud”不同。
下图说明了 Microsoft 365 提供的解决方案和主要服务之间的关系,但并没有列出所有服务。
可能的用例
用户经常会对 Microsoft 365 安全服务及其在 IT 网络安全中的角色感到困惑。 造成这种混淆的主要原因是名称相似,包括一些 Azure 安全服务,如 Microsoft Defender for Cloud(以前称为 Azure 安全中心)和 Defender for Cloud 应用(以前称为 Microsoft Cloud App Security)。
然而,混乱不仅仅局限于术语。 某些服务提供类似的保护,但适用于不同的资源。 例如,Defender for Identity 和 Azure Identity Protection 都保护标识服务,但 Defender for Identity(通过 Active Directory 域服务和 Kerberos 身份验证)保护本地标识,而 Azure 标识保护(通过 Microsoft Entra ID 和 OAuth 身份验证)保护云标识。
这些示例强调了了解 Microsoft 365 安全服务与 Azure 安全服务有何不同的重要性。 通过了解这一点,可以在 Microsoft 云中更有效地规划安全策略,同时为 IT 环境保持强大的安全态势。 本文旨在帮助你实现这一目标。
下图显示了 Microsoft Defender XDR 安全服务的实际用例。 它显示需要保护的资源、环境中运行的服务以及一些潜在威胁。 Microsoft Defender XDR 服务处于中间位置,保护组织的资源免受这些威胁的影响。
体系结构
Microsoft 的扩展检测和响应 (XDR) 解决方案(称为 Microsoft Defender XDR)集成了多种安全工具和服务,以跨终结点、标识、电子邮件、应用程序和云环境提供统一的保护、检测和响应。 它结合了高级威胁智能、自动化和 AI 驱动的分析,可实时检测和应对复杂的网络威胁,使安全团队能够快速降低风险并降低攻击的影响。 通过整合来自各种来源的安全数据,Microsoft Defender XDR 可帮助组织在整个 IT 基础架构中实现全面、简化的防御。
下图显示了一个标记为 DEFENDER 的层,表示 Microsoft Defender XDR 安全服务。 将这些服务添加到 IT 环境有助于为环境构建更好的防御。 Defender 层中的服务可与 Azure 安全服务协同工作。
下载此体系结构的 Visio 文件。
©2021 The MITRE Corporation。 本作品经 MITRE Corporation 许可复制和分发。
工作流
用于终结点的 Microsoft Defender
Defender for Endpoint 保护企业中的终结点,旨在为网络防御、检测、调查和响应高级威胁提供帮助。 它为在本地和 Azure 上运行的 VM 创建保护层。 若要详细了解它可以保护的内容,请参阅 Microsoft Defender for Endpoint。
Microsoft Defender for Cloud Apps
Defender for Cloud Apps 以前称为 Microsoft Cloud Application Security,是支持多种部署模式的云访问安全代理 (CASB)。 这些模式包括日志收集、API 连接器和反向代理。 它提供了丰富的显示效果、数据旅程控制和成熟分析服务,用于跨所有 Microsoft 和第三方云服务发现和防范网络威胁。 它为云应用以及一些在本地运行的应用提供保护和风险缓解。 它还为访问这些应用的用户提供保护层。 有关详细信息,请参阅 Microsoft Defender for Cloud Apps 概述。
请务必不要将 Microsoft Defender for Cloud Apps 与Microsoft Defender for Cloud 混淆,后者提供服务器、应用、存储帐户等在 Azure、本地和其他云中运行的资源的安全状况的分数及建议。 Defender for Cloud 整合了之前的两个服务,即 Azure 安全中心和 Azure Defender。
Microsoft Defender for Office
Defender for Office 365 保护组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。 它为电子邮件和协作提供保护。 根据许可证的不同,你可以添加泄露后调查、搜索和响应,以及自动化和模拟(用于培训)。 有关许可选项的详细信息,请参阅 Microsoft Defender for Office 365 安全概述。
Microsoft Defender for Identity
Defender for Identity 是一个基于云的安全解决方案,可利用本地 Active Directory 信号识别、检测并调查针对组织的高级威胁、身份盗用和恶意内部操作。 它保护在本地运行的 Active Directory 域服务 (AD DS)。 尽管此服务在云上运行,但它仍可用于保护本地标识。 Defender for Identity 以前名为 Azure 高级威胁防护。 有关详细信息,请参阅什么是 Microsoft Defender for Identity?
如果需要对 Microsoft Entra ID 提供的、在云中以原生方式运行的标识进行保护,请考虑使用 Microsoft Entra ID 标识保护。
Intune (以前是 Microsoft Endpoint Manager 的一部分)
Microsoft Intune 是一项基于云的服务,可帮助组织管理和保护其设备、应用和数据。 它使 IT 管理员能够控制公司设备(如笔记本电脑、智能手机和平板电脑)的使用方式,确保符合安全策略。 借助 Intune,你可以使用条件访问和远程擦除等功能强制实施设备配置、部署软件、管理移动应用程序和保护公司数据。 它特别适用于启用安全远程工作、管理公司拥有的设备和个人 (BYOD) 设备,并在各种平台(如 Windows、iOS、Android 和 macOS)中确保数据安全。
Endpoint Manager 的另一项服务是 Configuration Manager,这是一种本地管理解决方案,可用于管理网络中直接连接或通过 Internet 连接的客户端和服务器计算机。 可以启用云功能,将 Configuration Manager 与 Intune、Microsoft Entra ID、Defender for Endpoint 及其他云服务集成。 使用它来部署应用、软件更新和操作系统。 还可以监视合规性、查询对象以及实时操作客户端等。 若要了解所有可用服务,请参阅 Microsoft Endpoint Manager 概述。
示例威胁的攻击顺序
图中列出的威胁遵循常见攻击顺序:
攻击者发送一封附加恶意软件的钓鱼电子邮件。
最终用户打开附加的恶意软件。
恶意软件在后端安装,用户不会察觉。
已安装的恶意软件会窃取某些用户的凭据。
攻击者使用凭据来访问敏感帐户。
如果凭据提供对具有提升权限的帐户的访问权限,攻击者会入侵其他系统。
此图还显示标记为 DEFENDER 的层,Microsoft Defender XDR 服务可以监视和缓解这些攻击。 此示例可以说明 Defender 是如何提供可与 Azure 安全服务配合使用的额外的安全层,从而为图中所示的资源提供额外的保护。 若要详细了解潜在攻击如何威胁 IT 环境,请参阅本系列中的第二篇文章将威胁映射到 IT 环境。 有关 Microsoft Defender XDR 的详细信息,请参阅 Microsoft Defender XDR。
访问和管理 Microsoft Defender XDR 安全服务
下图显示了当前可用的门户及其彼此之间的关系。 在本文更新时,其中一些门户可能已经被弃用。
Security.microsoft.com 是目前可用的最重要的门户,因为它带来了来自 Microsoft Defender for Office 365 (1)、Defender for Endpoint (2)、Defender for Office (3)、Defender for Identity (5)、Defender for Apps (4) 以及 Microsoft Sentinel 的功能。
值得一提的是,Microsoft Sentinel 的一些功能仍然只能在 Azure 门户 (portal.azure.com) 上运行。
最后,endpoint.microsoft.com 主要为 Intune 和 Configuration Manager 提供功能,但也为 Endpoint Manager 的其他服务提供功能。 由于 security.microsoft.com 和 endpoint.microsoft.com 为终结点提供安全保护,因此它们之间有许多交互 (9),为终结点提供良好的安全态势。
组件
本文中的示例体系结构使用以下 Azure 组件:
Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务。 Microsoft Entra ID 可帮助用户访问外部资源,例如 Microsoft 365、Azure 门户和数以千计的其他 SaaS 应用程序。 该服务还可以帮助用户访问内部资源,例如公司 Intranet 网络上的应用。
Azure 虚拟网络是 Azure 中专用网络的基本构建基块。 借助虚拟网络,多种类型的 Azure 资源可相互之间、与 Internet 以及与本地网络安全通信。 虚拟网络提供了从 Azure 的基础结构受益(如缩放、可用性和隔离)的虚拟网络。
Azure 负载均衡器是一项适用于所有 UDP 和 TCP 协议的高性能、低延迟第 4 层负载均衡服务(入站和出站)。 该服务旨在处理每秒数百万个请求,同时确保解决方案高度可用。 Azure 负载均衡器是区域冗余的,可确保整个可用性区域的高可用性。
虚拟机是 Azure 提供的按需分配可缩放的计算资源之一。 使用 Azure 虚拟机 (VM) 可以灵活进行虚拟化,而无需购买和维护运行 VM 的物理硬件。
Azure Kubernetes 服务 (AKS) 是一项完全托管的 Kubernetes 服务,用于部署和管理容器化应用程序。 AKS 提供无服务器 Kubernetes、持续集成/持续交付 (CI/CD) 以及企业级安全性和治理。
Azure 虚拟桌面,它是在云中运行的一项桌面和应用虚拟化服务,可面向远程用户提供桌面。
Web 应用是一项基于 HTTP 的服务,用于托管 Web 应用程序、REST API 和移动后端。 可以使用自己喜欢的语言进行开发,应用程序可在基于 Windows 或 Linux 的环境中轻松地运行和缩放。
Azure 存储是云中各种数据对象(包括对象、Blob、文件、磁盘、队列和表存储)的高度可用、可大规模缩放、持久且安全的存储。 该服务会对写入到 Azure 存储帐户的所有数据进行加密。 Azure 存储可以精细地控制谁可以访问你的数据。
Azure SQL 数据库是一个完全托管的 PaaS 数据库引擎,可处理绝大部分数据库管理功能,如升级、修补、备份和监视。 该引擎在提供这些功能时无需用户参与。 SQL 数据库提供一系列内置安全性和合规性功能,可帮助应用程序满足安全性和合规性要求。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Rudnei Oliveira | 高级客户工程师
其他参与者:
- Gary Moore | 程序员/作家
- Andrew Nathan | 高级客户工程经理
后续步骤
- 通过 Microsoft 365 抵御威胁
- 使用 Microsoft Defender XDR 检测和响应网络攻击
- Microsoft Defender XDR 入门
- 在 Microsoft 365 中实现威胁情报
- 通过 Microsoft 365 管理安全性
- 使用 Microsoft Defender for Office 365 防范恶意威胁
- 使用 Microsoft Defender for Cloud for Identity 保护本地标识
相关资源
有关此参考体系结构的更多详细信息,请参阅本系列的其他文章:
- 第 1 部分:使用 Azure 监视集成安全组件
- 第 2 部分:将威胁映射到 IT 环境
- 第 3 部分:使用 Azure 安全服务构建第一层防御
- 第 5 部分:集成 Azure 和 Microsoft Defender XDR 安全服务