通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 运营商关系安全

  • 项目

Azure 运营商关系的设计和构建是为了检测和防御最新的安全威胁,并遵守政府和行业安全标准的严格要求。 两大基石构成了其安全体系结构的基础:

  • 默认安全性 - 安全复原能力是平台固有的一部分,几乎不需要任何配置更改即可安全使用。
  • 假设存在漏洞 - 基本假设是任何系统都可能遭到入侵,因此目标是在出现安全漏洞时将其影响降至最低。

Azure 运营商关系通过利用 Microsoft 云原生安全工具实现上述目标,这些工具使你能够改善云安全态势,同时允许你保护运营商工作负荷。

通过 Microsoft Defender for Cloud 提供平台范围的保护

Microsoft Defender for Cloud 是一个云原生应用程序保护平台 (CNAPP),可提供强化资源、管理安全态势、防范网络攻击和简化安全管理所需的安全功能。 下面是 Defender for Cloud 的一些主要功能,这些功能适用于 Azure 运营商关系平台:

  • 针对虚拟机和容器注册表的漏洞评估 - 轻松启用漏洞评估解决方案来发现、管理和解决漏洞。 直接从 Defender for Cloud 中查看、调查和修正结果。
  • 混合云安全 - 在所有本地工作负荷和云工作负荷上获得统一的安全视图。 应用安全策略并持续评估混合云工作负载的安全性,确保符合安全标准。 收集、搜索并分析来自多个源(包括防火墙和其他合作伙伴解决方案)的安全数据。
  • 威胁防护警报 - 高级行为分析和 Microsoft Intelligent Security Graph 针对不断演变的网络攻击提供防护边界。 内置行为分析和机器学习可识别攻击和零时差攻击。 监视网络、计算机、Azure 存储和云服务是否出现即将来袭的攻击和攻破后活动。 使用交互工具和上下文威胁智能简化调查。
  • 根据各种安全标准进行合规性评估 - Defender for Cloud 持续评估混合云环境,根据 Azure 安全基准中的控制措施和最佳做法来分析风险因素。 启用高级安全功能后,可以根据组织的需要应用一系列其他行业标准、监管标准和基准。 添加标准并在监管合规性仪表板中跟踪是否符合这些标准。
  • 容器安全功能 - 获得在容器化环境中进行漏洞管理和实时威胁保护的好处。

有增强的安全选项可让你保护本地主机服务器以及运行运营商工作负荷的 Kubernetes 群集。 下面介绍这些选项。

通过 Microsoft Defender for Endpoint 进行裸机主机操作系统保护

选择启用 Microsoft Defender for Endpoint 解决方案时,托管本地基础结构计算服务器的 Azure 运营商关系裸机 (BMM) 会受到保护。 Microsoft Defender for Endpoint 提供预防性防病毒 (AV)、终结点检测和响应 (EDR) 以及漏洞管理功能。

选择并激活 Microsoft Defender for Servers 计划后,可以选择启用 Microsoft Defender for Endpoint 保护,因为 Defender for Servers 计划激活是 Microsoft Defender for Endpoint 的先决条件。 一旦启用该保护,Microsoft Defender for Endpoint 配置就将由平台管理,以确保最佳的安全性和性能,并降低发生配置错误的风险。

通过 Microsoft Defender for Containers 进行 Kubernetes 群集工作负荷保护

选择启用 Microsoft Defender for Containers 解决方案时,运行运营商工作负荷的本地 Kubernetes 群集会受到保护。 Microsoft Defender for Containers 为群集和 Linux 节点提供运行时威胁防护,并强化群集环境以防止配置错误。

可以选择通过激活 Defender for Containers 计划在 Defender for Cloud 中启用 Defender for Containers 保护。

云安全是一项共同的责任

重要的是要了解,在云环境中,安全性是你和云提供商的共同责任。 责任取决于工作负荷运行时所基于的云服务类型(不管是服务型软件 (SaaS)、平台即服务 (PaaS) 还是基础结构即服务 (IaaS)),以及工作负荷的托管位置(是在云提供商的数据中心内,还是在你自己的本地数据中心内)。

Azure 运营商关系工作负荷在数据中心的服务器上运行,因此你可以控制对本地环境的更改。 Microsoft 定期发布包含安全更新和其他更新的新平台版本。 然后,你必须根据组织的业务需求决定何时将这些版本应用到你的环境中。