你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 安全性简介

概述

我们知道,安全是云中的首要任务,及时找到有关 Azure 安全性的准确信息极其重要。 将 Azure 用于应用程序和服务的最合理原因之一是可以利用其各种安全工具和功能。 这些工具和功能可帮助在安全的 Azure 平台上创建安全的解决方案。 Microsoft Azure 提供具备保密性、完整性和可用性的客户数据,同时还能实现透明的问责制。

本文全面介绍了 Azure 提供的安全机制。

Azure 平台

Azure 是一个公有云服务平台,支持极为广泛的操作系统、编程语言、框架、工具、数据库和设备选择。 它可运行与 Docker 集成的 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 和 Node.js 生成应用;生成适用于 iOS、Android 和 Windows 设备的后端。

Azure 公有云服务支持数百万开发人员和 IT 专业人士已经有所依赖并信任的相同技术。 构建 IT 资产或将 IT 资产迁移到公有云服务提供商时,需要依赖于该组织保护应用程序和数据的能力。 它们提供服务和控制来管理基于云的资产的安全性。

Azure 的基础结构从头开始精心设计,涵盖从物理设施到应用程序的所有内容,可同时安全地托管数百万客户。 这一强大的基础使企业能够自信地满足其安全要求。

此外,Azure 还提供广泛的可配置安全选项以及对这些选项进行控制的功能,方便用户自定义安全措施来满足组织部署的独特要求。 本文档可帮助用户了解 Azure 安全功能如何帮助满足这些要求。

注意

本文档重点介绍面向客户的控件,客户可以使用这些控件自定义和提高应用程序和服务的安全性。

有关 Microsoft 如何保护 Azure 平台本身的信息,请参阅 Azure 基础结构安全性

Azure 安全功能汇总

根据云服务模型,负责管理应用程序或服务的安全的人员需承担各种不同的责任。 Azure 平台中提供的功能可帮助用户通过内置功能以及可部署到 Azure 订阅中的合作伙伴解决方案来履行这些职责。

内置功能划分为六个功能区:操作、应用程序、存储、网络、计算和标识。 摘要信息对 Azure 平台在这六个区域内提供的特性和功能进行了详细介绍。

Operations

本部分提供了关于安全操作中主要特性的其他信息以及有关这些功能的摘要信息。

Microsoft Sentinel

Microsoft Sentinel 是可缩放的云原生安全信息与事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 解决方案。 Microsoft Sentinel 跨企业提供智能安全分析和威胁情报。 Microsoft Sentinel 为攻击检测、威胁可见性、主动搜寻和威胁响应提供了单一解决方案。

Microsoft Defender for Cloud

Microsoft Defender for Cloud 可帮助预防、检测和响应威胁,同时增强 Azure 资源的可见性和安全可控性。 Microsoft Defender for Cloud 为 Azure 订阅提供集成的安全监视和策略管理。 Microsoft Defender for Cloud 有助于检测可能会被忽视的威胁,适用于各种安全解决方案生态系统。

此外,Defender for Cloud 通过提供单个仪表板实现可立即执行的警报和建议,从而帮助进行安全操作。 通常,只需在 Defender for Cloud 控制台中进行单一选择就可修复问题。

Azure 资源管理器

可以使用 Azure Resource Manager 将解决方案中的资源作为一个组进行处理。 可以通过一个协调的操作为解决方案部署、更新或删除所有资源。 可以使用 Azure 资源管理器模板来完成部署,该模板适用于测试、过渡和生产等不同环境。 Resource Manager 提供安全、审核和标记功能,以帮助你在部署后管理资源。

基于 Azure 资源管理器模板的部署因其标准的安全控制设置,有助于提高 Azure 中部署的解决方案的安全性,并且还可以集成到基于标准化模板的部署中。 模板可以降低手动部署期间可能发生的安全配置错误风险。

Application Insights

Application Insights 是面向 Web 开发人员的灵活应用程序性能管理 (APM) 服务。 它使你可以监视实时 Web 应用程序并自动检测性能问题。 借助功能强大的分析工具,你可以诊断问题并深入了解用户与应用之间的交互。 Application Insights 会从开发到测试再到生产持续监视你的应用程序。

Application Insights 将生成富有见解的图表和表,揭示用户活动的高峰时段、应用的响应能力以及它所依赖的任何外部服务的性能。

如果出现崩溃、故障或性能问题,可以搜索详细的数据来诊断原因。 此外,如果应用的可用性和性能有任何变化,该服务还会向用户发送电子邮件。 Application Insight 就是这样因其有助于实现保密性、完整性和可用性安全三元素的可用性而成为有价值的安全工具。

Azure Monitor

Azure Monitor 对来自 Azure 订阅(活动日志)和每个单独的 Azure 资源(资源日志)的数据提供可视化效果、查询、路由、警报、自动缩放和自动化功能。 可以使用 Azure Monitor 对 Azure 日志中生成的与安全相关的事件发出警报。

Azure Monitor 日志

Azure Monitor 日志 - 为本地基础结构和非 Microsoft 基于云的基础结构(例如 Amazon Web Services),以及 Azure 资源提供 IT 管理解决方案。 可以将来自 Azure Monitor 的数据直接路由到 Azure Monitor 日志,因此可以在一个位置查看整个环境的指标和日志。

在取证和其他安全分析中,Azure Monitor 日志是非常有用的工具,因为使用该工具能通过灵活的查询方法快速搜索大量与安全相关的条目。 此外,本地防火墙和代理日志可以导出到 Azure 中,并可以使用 Azure Monitor 日志进行分析

Azure 顾问

Azure 顾问是一种个性化的云顾问,可帮助优化 Azure 部署。 它分析资源配置和使用情况数据。 然后,它会推荐解决方案来帮助提高资源的性能安全性可靠性,同时寻找机会减少总体 Azure 支出。 Azure 顾问提供安全建议,可显著提高在 Azure 中部署的解决方案的总体安全状况。 这些建议来自于 Microsoft Defender for Cloud 执行的安全分析。

应用程序

本部分提供了关于应用程序安全中主要特性的其他信息以及有关这些功能的摘要信息。

渗透测试

我们不会为你执行应用程序的渗透测试,但我们确实理解你希望并且需要对自己的应用程序执行渗透测试。 虽然执行渗透测试活动时无需再通知 Microsoft,但客户仍必须遵守 Microsoft 云渗透测试参与规则

Web 应用程序防火墙

Azure 应用程序网关中的 Web 应用程序防火墙 (WAF) 可帮助保护 Web 应用程序,使其免受常见基于 Web 的攻击威胁,例如 SQL 注入、跨站点脚本攻击和会话劫持。 同时预先配置保护,免受 Open Web Application Security Project (OWASP) 标识为前 10 种常见漏洞的威胁攻击。

Azure 应用服务中的身份验证和授权

应用服务身份验证/授权是一项功能,方便应用程序登录用户,避免在应用后端更改代码。 该功能可以方便地保护应用程序和处理每个用户的数据。

分层安全体系结构

由于应用服务环境提供部署到 Azure 虚拟网络的隔离运行时环境,因此开发人员能够创建分层安全体系结构,针对每个应用层提供不同级别的网络访问权限。 通常需要隐藏对 API 后端的常规 Internet 访问,而只允许由上游 Web 应用调用 API。 可以在包含应用服务环境的 Azure 虚拟网络子网上使用网络安全组 (NSG),限制对 API 应用程序的公共访问。

应用服务 Web 应用提供强大的诊断功能,用于从 Web 服务器和 Web 应用程序捕获日志。 这些诊断分为 Web 服务器诊断和应用程序诊断。 Web 服务器诊断包括对站点和应用程序进行诊断和故障排除方面的重大改进。

第一个新特点是有关应用程序池、工作进程、站点、应用程序域和运行请求的实时状态信息。 第二个新特点是在整个请求和响应过程中跟踪请求的详细跟踪事件。

要启用这些跟踪事件的收集,可以将 IIS 7 配置为自动捕获特定请求的完整跟踪日志(采用 XML 格式)。 收集可以基于已用时间或错误响应代码。

存储

本部分提供了关于 Azure 存储安全中主要特性的其他信息以及有关这些功能的摘要信息。

Azure 基于角色的访问控制 (Azure RBAC)

可以使用 Azure 基于角色的访问控制 (Azure RBAC) 来保护存储帐户。 对于想要实施数据访问安全策略的组织而言,必须根据需知原则最低权限安全原则限制访问权限。 这些访问权限是通过将相应的 Azure 角色分配给特定范围内的组和应用程序来授予的。 可以使用Azure 内置角色(例如存储帐户参与者)将权限分配给用户。 可以通过 Azure RBAC 来控制对使用 Azure 资源管理器模型的存储帐户的存储密钥的访问权限。

共享访问签名

共享访问签名 (SAS) 用于对存储帐户中的资源进行委托访问。 使用 SAS,意味着可以授权客户端在指定时间段内,以一组指定权限有限访问存储帐户中的对象。 可以授予这些有限的权限,而不必共享帐户访问密钥。

传输中加密

传输中加密是通过网络传输数据时保护数据的一种机制。 在 Azure 存储中,可以使用以下加密方式来保护数据:

静态加密

对许多组织而言, 静态数据加密 是实现数据隐私性、合规性和数据所有权的必要措施。 有三项 Azure 存储安全功能可提供静态数据加密:

存储分析

Azure 存储分析执行日志记录并为存储帐户提供指标数据。 可以使用此数据为存储帐户跟踪请求、分析使用趋势和诊断问题。 存储分析记录成功和失败的存储服务请求的详细信息。 可以使用该信息监视各个请求和诊断存储服务问题。 将最大程度地记录请求。 将记录以下类型的经过身份验证的请求:

  • 成功的请求。
  • 失败的请求,包括超时、限制、网络、授权和其他错误。
  • 使用共享访问签名 (SAS) 的请求,包括失败和成功的请求。
  • 分析数据的请求。

使用 CORS 启用基于浏览器的客户端

跨源资源共享 (CORS) 是一种允许域授予彼此资源访问权限的机制。 用户代理发送额外的标头,以确保允许从特定域中加载的 JavaScript 代码访问位于另一个域的资源。 然后,后一个域使用额外标头进行回复,允许或拒绝原始域访问其资源。

Azure 存储服务现支持 CORS,因此,为服务设置 CORS 规则后,便会对从另一个域对服务发出的经过正确验证的请求进行评估,以根据指定的规则确定是否允许该请求。

网络

本部分提供了关于 Azure 网络安全中主要特性的其他信息以及有关这些功能的摘要信息。

网络层控制

网络访问控制是限制特定设备或子网之间的连接的行为,代表了网络安全的核心。 网络访问控制的目标是确保只有有权限的用户和设备才能访问虚拟机和服务。

网络安全组

网络安全组 (NSG) 是基本监控状态数据包筛选防火墙,利用它可以基于某个 5 元组来控制访问。 NSG 不提供应用程序层检查或经过身份验证的访问控制。 它们可用于控制在 Azure 虚拟网络中的子网之间移动的流量以及控制 Azure 虚拟网络和 Internet 之间的流量。

Azure 防火墙

Azure 防火墙是一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。 它提供东西流量和南北流量检查。

Azure 防火墙是以两种 SKU 提供的:“标准”和“高级”。 Azure 防火墙标准版直接从“Microsoft 网络安全”提供 L3-L7 筛选和威胁情报源。 Azure 防火墙高级版提供了高级功能,包括基于签名的 IDPS,以允许通过查找特定模式来快速检测攻击。

路由控制和强制隧道

控制 Azure 虚拟网络上的路由行为是关键的网络安全和访问控制功能。 例如,如果要确保与 Azure 虚拟网络之间的所有流量都通过该虚拟安全设备,则必须能够控制和自定义路由行为。 可以通过在 Azure 中配置用户定义的路由实现此操作。

用户定义的路由允许用户为进出单个虚拟机或子网的流量自定义入站和出站路径,以确保最安全的路由。 强制隧道是一种机制,可用于确保不允许服务启动与 Internet 上设备的连接。

这不同于能够接受传入连接然后对其作出响应。 前端 Web 服务器需要响应来自 Internet 主机的请求,因此允许源自 Internet 的流量传入到这些 Web 服务器,而且这些 Web 服务器可以作出响应。

强制隧道通常用于强制到 Internet 的外部流量通过本地安全代理和防火墙。

虚拟网络安全设备

虽然网络安全组、用户定义的路由和强制隧道在 OSI 模型的网络层和传输层为用户提供了一定程度的安全性,但有时可能想要启用堆栈的更高级别安全性。 可以使用 Azure 合作伙伴安全设备解决方案访问这些增强的网络安全功能。 通过访问 Azure 市场并搜索安全网络安全,可以找到最新的 Azure 合作伙伴网络安全解决方案。

Azure 虚拟网络

Azure 虚拟网络 (VNet) 是你自己的网络在云中的表示形式。 它是对专用于订阅的 Azure 网络结构进行的逻辑隔离。 可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。 可以将 VNet 细分成各个子网,并在 Azure 虚拟网络上放置 Azure IaaS 虚拟机 (VM) 和/或云服务(PaaS 角色实例)

此外,还可以使用 Azure 中提供的连接选项 之一将虚拟网络连接到本地网络。 实际上,可以将网络扩展到 Azure,对 IP 地址块进行完全的控制,并享受企业级 Azure 带来的好处。

Azure 网络支持各种安全远程访问方案。 其中包括:

Azure Virtual Network Manager

Azure Virtual Network Manager 提供了一种集中式解决方案,可大规模保护虚拟网络。 它使用安全管理规则集中定义安全策略,并对整个组织中的虚拟网络强制实施这些策略。 安全管理规则优先于网络安全组 (NSG) 规则,并应用于虚拟网络。 这样,组织就可以使用安全管理规则强制实施核心策略,同时仍允许下游团队根据子网和 NIC 级别的特定需求来定制 NSG。 根据组织的需求,可以使用“允许”、“拒绝”或“始终允许”规则操作来强制实施安全策略

规则操作 说明
允许 默认允许指定的流量。 下游 NSG 仍会收到此流量,并可能拒绝该流量。
始终允许 始终允许指定的流量,而不考虑优先级更低的其他规则或 NSG。 这可用于确保监视代理、域控制器或管理流量不会被阻止。
拒绝 阻止指定的流量。 下游 NSG 在安全管理规则拒绝此流量后将不对其进行评估,从而确保现有和新虚拟网络的高风险端口在默认情况下受到保护。

在 Azure Virtual Network Manager 中,网络组可用于将虚拟网络归组到一起,以便集中管理和强制实施安全策略。 网络组基于拓扑和安全方面的需求对虚拟网络进行逻辑分组。 可以手动更新网络组的虚拟网络成员身份,也可以使用 Azure Policy 定义条件语句动态更新网络组,以自动更新网络组成员身份。

使用 Azure 专用链接,可通过专用终结点来秘密访问虚拟网络中的 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的由客户拥有的服务/合作伙伴服务。 使用 Azure 专用链接的设置和使用体验在 Azure PaaS、客户自有服务和共享合作伙伴服务中是一致的。 从虚拟网络发往 Azure 服务的流量始终保留在 Microsoft Azure 主干网络中。

使用专用终结点可以保护关键的 Azure 服务资源,只允许在客户自己的虚拟网络中对其进行访问。 Azure 专用终结点使用你的 VNet 中的专用 IP 地址将你秘密且安全地连接到由 Azure 专用链接提供支持的服务,有效地将服务引入到你的 VNet 中。 不再需要为了使用 Azure 上的服务而向公共 Internet 公开你的虚拟网络。

你还可以在虚拟网络中创建自己的专用链接服务。 Azure 专用链接服务是对你自己的服务(由 Azure 专用链接提供支持)的引用。 可以为在 Azure 标准负载均衡器后面运行的服务启用专用链接访问,使该服务的使用者能够从他们自己的虚拟网络以私密方式访问该服务。 你的客户可在他们的虚拟网络中创建专用终结点,并将此终结点映射到此服务。 不再需要为了在 Azure 上呈现服务而向公共 Internet 公开服务。

VPN 网关

若要在 Azure 虚拟网络与本地站点之间发送网络流量,必须为 Azure 虚拟网络创建 VPN 网关。 VPN 网关是一种虚拟网络网关,可以通过公共连接发送加密流量。 也可以使用 VPN 网关在基于 Azure 网络结构的 Azure 虚拟网络之间发送流量。

Express Route

Microsoft Azure ExpressRoute 是专用 WAN 链接,可让用户通过连接服务提供商所提供的专用连接,将本地网络扩展到 Microsoft 云。

Express Route

使用 ExpressRoute 可与 Microsoft Azure、Microsoft 365 和 CRM Online 等 Microsoft 云服务建立连接。 可以从任意位置之间的 (IP VPN) 网络、点到点以太网或在场地租用设施上通过连接服务提供商的虚拟交叉连接来建立这种连接。

ExpressRoute 连接不会通过公共 Internet,因此可以认为它比基于 VPN 的解决方案更安全。 与通过 Internet 的典型连接相比,ExpressRoute 连接提供更高的可靠性、更快的速度、更低的延迟和更高的安全性。

应用程序网关

Microsoft Azure 应用程序网关以服务形式提供应用程序传送控制器 (ADC),借此为应用程序提供第 7 层各种负载均衡功能。

应用程序网关

它使用户能够通过将 CPU 密集型 TLS 终止卸载到应用程序网关(也称为TLS 卸载TLS 桥接)来优化 Web 场生产率。 它还提供第 7 层其他路由功能,包括传入流量的轮循机制分配、基于 Cookie 的会话相关性、基于 URL 路径的路由,以及在单个应用程序网关后面托管多个网站的能力。 Azure 应用程序网关是第 7 层负载均衡器。

它在不同服务器之间提供故障转移和性能路由 HTTP 请求,而不管它们是在云中还是本地。

应用程序提供许多应用程序传送控制器 (ADC) 功能,包括 HTTP 负载均衡、基于 cookie 的会话相关性、TLS 卸载、自定义运行状况探测、多站点支持,以及许多其他功能。

Web 应用程序防火墙

Web 应用程序防火墙是 Azure 应用程序网关的一项功能,它为使用应用程序网关实现标准应用程序传递控制 (ADC) 功能的 Web 应用程序提供保护。 Web 应用程序防火墙的此功能可以保护 Web 应用程序免受 OWASP 十大常见 Web 漏洞中的大部分漏洞的威胁。

Web 应用程序防火墙

  • SQL 注入保护

  • 常见 Web 攻击保护,例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含攻击

  • 防止 HTTP 协议违反行为

  • 防止 HTTP 协议异常行为,例如缺少主机用户代理和接受标头

  • 防止自动程序、爬网程序和扫描程序

  • 检测常见应用程序错误配置(即 Apache、IIS 等)

可防止 Web 攻击的集中式 Web 应用程序防火墙,可简化安全管理,并可针对入侵威胁为应用程序提供更好的保障。 相较保护每个单独的 Web 应用程序,WAF 解决方案还可通过在中央位置修补已知漏洞,更快地响应安全威胁。 现有应用程序网关可以轻松地转换为带 Web 应用程序防火墙的应用程序网关。

流量管理器

使用 Microsoft Azure 流量管理器,可以控制用户流量在不同数据中心内的服务终结点上的分布。 流量管理器支持的服务终结点包括 Azure VM、Web 应用和云服务。 也可将流量管理器用于外部的非 Azure 终结点。 流量管理器根据流量路由方法和终结点的运行状况,使用域名系统 (DNS) 将客户端请求定向到最合适的终结点。

流量管理器提供多种流量路由方法来满足不同的应用程序需求、终结点运行状况监视和自动故障转移。 流量管理器能够灵活应对故障,包括整个 Azure 区域的故障。

Azure 负载均衡器

Azure 负载均衡器可提高应用程序的可用性和网络性能。 它是第 4 层(TCP、UDP)类型的负载均衡器,可在负载均衡集中定义的运行状况良好的服务实例之间分配传入流量。 可以将 Azure 负载均衡器配置为:

  • 对传入到虚拟机的 Internet 流量进行负载均衡。 此配置称为公共负载均衡

  • 对虚拟网络中虚拟机之间的流量、云服务中虚拟机之间的流量或本地计算机和跨界虚拟网络中虚拟机之间的流量进行负载均衡。 此配置称为 负载均衡

  • 将外部流量转发到特定的虚拟机

内部 DNS

可以在管理门户或网络配置文件中管理 VNet 中使用的 DNS 服务器列表。 客户最多可以为每个 VNet 添加 12 个 DNS 服务器。 指定 DNS 服务器时,请务必按照客户环境的正确顺序列出客户的 DNS 服务器。 DNS 服务器列表不采用轮循机制。 需要按指定顺序使用这些服务器。 如果可访问列表上的第一个 DNS 服务器,则无论该 DNS 服务器是否运行正常,客户端都将使用该服务器。 要更改客户的虚拟网络的 DNS 服务器顺序,请从列表中删除 DNS 服务器,并按客户希望的顺序重新添加这些服务器。 DNS 支持“CIA”安全三因素的可用性方面。

Azure DNS

域名系统或 DNS 负责将网站或服务名称转换(或解析)为它的 IP 地址。 Azure DNS 是 DNS 域的托管服务,它使用 Microsoft Azure 基础结构提供名称解析。 通过在 Azure 中托管域,可以使用与其他 Azure 服务相同的凭据、API、工具和计费来管理 DNS 记录。 DNS 支持“CIA”安全三因素的可用性方面。

Azure Monitor 日志 NSG

可以为 NSG 启用以下诊断日志类别:

  • 事件:包含根据 MAC 地址向 VM 和实例角色应用的 NSG 规则条目。 每隔 60 秒收集一次这些规则的状态。

  • 规则计数器:包含应用每个 NSG 规则以拒绝或允许流量的次数的条目。

Microsoft Defender for Cloud

Microsoft Defender for Cloud 不断分析 Azure 资源的安全状态,以实现网络安全最佳做法。 在 Defender for Cloud 识别出潜在的安全漏洞时,它会创建一些建议,指导完成配置所需控件以强化和保护资源的过程。

高级容器网络服务 (ACNS)

高级容器网络服务 (ACNS) 是一套服务,旨在提高 Azure Kubernetes 服务 (AKS) 群集的运营效率。 它提供了高级安全性和可观测性功能,解决了大规模管理微服务基础结构的复杂性问题。

这些功能分为两个主要支柱:

  • 安全性:对于使用由 Cilium 提供支持的 Azure CNI 的群集,网络策略包括完全限定的域名 (FQDN) 筛选,以解决维护配置的复杂性问题。

  • 可观测性:高级容器网络服务套件的此功能将 Hubble 控制平面的强大功能引入 Cilium 和非 Cilium Linux 数据平面,提升了网络和性能的可见性。

计算

本部分提供了关于此区域中主要特性的其他信息以及有关这些功能的摘要信息。

Azure 机密计算

Azure 机密计算提供了数据保护拼图缺失的最后一块。 它使你能够实现始终对数据进行加密。 包括在静态时,当通过网络传输时,现在,甚至在内存中加载时和使用时也是如此。 此外,通过启用远程证明,可以在解锁数据之前,通过加密方式验证部署的 VM 是否已安全启动并正确配置。

从启用现有应用程序的“直接迁移”方案到完全控制各种安全功能,选项的范围十分广泛。 对于基础结构即服务 (IaaS),可以将由 AMD SEV-SNP 提供支持的机密虚拟机或机密应用程序 enclave 用于运行 Intel Software Guard Extensions (SGX) 的虚拟机。 对于平台即服务,我们有多个基于容器的选项,包括与 Azure Kubernetes 服务 (AKS) 集成。

反恶意软件和防病毒软件

借助 Azure IaaS,可以使用来自 Microsoft、Symantec、Trend Micro、McAfee 和 Kaspersky 等安全性供应商的反恶意软件,以保护虚拟机免受恶意文件、广告软件和其他威胁的侵害。 适用于 Azure 云服务和虚拟机的 Microsoft 反恶意软件是一种保护功能,可帮助识别并删除病毒、间谍软件和其他恶意软件。 当已知恶意软件或不需要的软件试图在 Azure 系统上安装自身或运行时,Microsoft 反恶意软件将提供可配置的警报。 还可以使用 Microsoft Defender for Cloud 部署 Microsoft Antimalware

硬件安全模块

加密和身份验证不会提高安全性,除非密钥本身受到保护。 通过将关键密码和密钥存储在 Azure Key Vault 中,可以简化此类密码和密钥的管理和保护。 Key Vault 提供将密钥存储在已通过 FIPS 140 验证标准认证的硬件安全模块 (HSM) 中的选项。 用于备份或 透明数据加密 的 SQL Server 加密密钥可以存储在密钥保管库中,此外还可存储应用程序中的任意密钥或机密。 对这些受保护项的权限和访问权限通过 Microsoft Entra ID 进行管理。

虚拟机备份

Azure 备份是一种解决方案,无需资本投资便可保护应用程序数据,最大限度降低运营成本。 应用程序错误可能损坏数据,人为错误可能将 bug 引入应用程序,从而导致安全问题。 使用 Azure 备份可以保护运行 Windows 和 Linux 的虚拟机。

Azure Site Recovery

组织的业务连续性/灾难恢复 (BCDR) 策略的其中一个重要部分是,找出在发生计划内和计划外的中断时让企业工作负荷和应用保持启动并运行的方法。 Azure Site Recovery 可帮助协调工作负荷和应用的复制、故障转移及恢复,因此能够在主要位置发生故障时通过辅助位置来提供工作负荷和应用。

SQL VM TDE

SQL Server 加密功能包括透明数据加密 (TDE)和列级加密 (CLE)。 这种加密形式要求客户管理和存储用于加密的加密密钥。

Azure Key Vault (AKV) 服务专用于在一个高度可用的安全位置改进这些密钥的安全性和管理。 SQL Server 连接器使 SQL Server 能够使用 Azure Key Vault 中的这些密钥。

如果在本地计算机上运行 SQL Server,请按照此处步骤通过本地 SQL Server 实例访问 Azure Key Vault。 但对于 Azure VM 中的 SQL Server,可以使用 Azure Key Vault 集成功能节省时间。 通过使用几个 Azure PowerShell cmdlet 来启用此功能,可以自动为 SQL VM 进行必要的配置以便访问密钥保管库。

VM 磁盘加密

适用于 Linux VM 的 Azure 磁盘加密适用于 Windows VM 的 Azure 磁盘加密可帮助加密 IaaS 虚拟机磁盘。 它应用 Windows 的行业标准 BitLocker 功能和 Linux 的 DM-Crypt 功能,为 OS 和数据磁盘提供卷加密。 该解决方案与 Azure Key Vault 集成,帮助用户控制和管理 Key Vault 订阅中的磁盘加密密钥和机密。 此解决方案还可确保虚拟机磁盘上的所有数据在 Azure 存储中静态加密。

虚拟网络

虚拟机需要网络连接。 为了满足该要求,Azure 需要虚拟机连接到 Azure 虚拟网络。 Azure 虚拟网络是构建在物理 Azure 网络结构基础之上的逻辑构造。 每个逻辑 Azure 虚拟网络都独立于所有其他 Azure 虚拟网络。 这种隔离可帮助确保部署中的网络流量对于其他 Microsoft Azure 客户不可访问。

修补程序更新

修补程序更新可以减少必须在企业中部署的软件更新数目并提高监视符合性的能力,从而提供查找及修复潜在问题的基础并简化软件更新管理过程。

安全策略管理和报告

Defender for Cloud 可帮助你预防、检测和响应威胁,同时提高对 Azure 资源的可见性和安全可控性。 它提供对 Azure 订阅的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于广泛的安全解决方案生态系统。

标识和访问管理

保护系统、应用程序和以基于标识的访问控制开始的数据。 Microsoft 企业产品和服务内置的标识和访问管理功能有助于保护组织和个人信息免受未经授权的访问,同时向合法用户提供随时随地访问权限。

安全标识

Microsoft 在其产品和服务中使用多种安全实践和技术来管理标识和访问权限。

  • 多重身份验证要求用户在本地和云中使用多种方法进行访问。 它提供强大的身份验证和一系列简单的验证选项,同时满足用户对简单登录过程的需求。

  • Microsoft Authenticator 提供了一种用户友好型多重身份验证体验,它可与 Microsoft Entra ID 和 Microsoft 帐户兼容,并支持可穿戴设备和基于指纹的批准。

  • 强制实施密码策略通过强制执行长度和复杂性要求、强制定期轮换和身份验证尝试失败后的帐户锁定来提高传统密码的安全性。

  • 基于令牌的身份验证允许通过 Microsoft Entra ID 进行身份验证。

  • Azure 基于角色的访问控制 (Azure RBAC) 能够根据用户分配的角色来授予访问权限,从而轻松为用户仅提供执行作业所需的访问量。 可以根据组织的业务模型和风险允许范围自定义 Azure RBAC。

  • 集成标识管理(混合标识)能够保持对用户在内部数据中心和云平台中的访问控制,并为所有资源的身份验证和授权创建单个用户标识。

保护应用和数据

Microsoft Entra ID 是综合性的标识和访问管理云解决方案,可帮助确保安全访问站点和云中的应用程序数据,并简化对用户和组的管理。 它结合了核心目录服务、高级 Identity Governance、安全性以及应用程序访问管理,使开发人员可以轻松在其应用中构建基于策略的标识管理。 若要增强 Microsoft Entra ID,可以使用 Microsoft Entra Basic、Premium P1、和 Premium P2 版添加付费功能。

免费/常用功能 基本功能 高级 P1 功能 高级 P2 功能 Microsoft Entra 加入 – 仅适用于 Windows 10 的相关功能
Directory 对象用户/组管理(添加/更新/删除)/基于用户的预配,设备注册单一登录 (SSO)云用户的自助密码更改Connect(将本地目录扩展到 Microsoft Entra ID 的同步引擎)安全/使用情况报告 基于组的访问管理/预配云用户的自助密码重置公司品牌(登录页/访问面板自定义)应用程序代理SLA 99.9% 自助组和应用管理/自助应用程序添加件/动态组通过本地回写实现自助密码重置/更改/解锁多重身份验证(云和本地(MFA 服务器))MIM CAL + MIM 服务器Cloud App DiscoveryConnect Health组帐户的自动密码变换 标识保护Privileged Identity Management 让设备加入 Microsoft Entra ID、Desktop SSO、Microsoft Passport for Microsoft Entra ID 和 Administrator BitLocker 恢复MDM 自动注册,自助 BitLocker 恢复,通过 Microsoft Entra 加入将其他本地管理员加入 Windows 10 设备
  • Cloud App Discovery 是 Microsoft Entra ID 的一项高级功能,能够识别组织中的人员所使用的云应用程序。

  • Microsoft Entra ID 保护是一种安全服务,它使用 Microsoft Entra 异常检测功能对风险检测和可能影响组织标识的潜在漏洞提供综合视图。

  • Microsoft Entra 域服务让用户可以将 Active VM 加入一个域,且无需部署域控制器。 用户可使用他们的企业 Active Directory 凭证登录这些 VM,且可以无缝访问资源。

  • Microsoft Entra B2C 是一个高度可用的全局性标识管理服务,该服务适用于面向用户且可通过伸缩来处理数以亿计标识的应用程序,并可跨移动平台和 Web 平台集成。 客户可以通过使用现有社交媒体帐户的自定义体验登录所有应用,也可以创建新的独立凭据。

  • Microsoft Entra B2B 协作是一种安全的合作伙伴集成解决方案,可让合作伙伴使用其自行管理的标识有选择性地访问企业应用程序和数据,为跨公司合作关系提供支持。

  • 加入 Microsoft Entra 可以将云功能扩展到 Windows 10 设备进行集中管理。 它使用户可以通过 Microsoft Entra ID 连接到企业或组织云,并简化对应用和资源的访问。

  • Microsoft Entra 应用程序代理为本地托管的 Web 应用程序提供 SSO 和安全远程访问。

后续步骤