Azure 作業安全性最佳做法
本文提供一組作業最佳做法,以便保護 Azure 中的資料、應用程式和其他資產。
最佳作法是根據共識的意見,並使用目前的 Azure 平台功能及功能集。 意見和技術會隨著時間改變,這篇文章會定期進行更新以反映這些變更。
定義和部署強式作業安全性做法
Azure 作業安全性是指使用者可在 Azure 中用來保護其資料、應用程式和其他資產的服務、控制措施與功能。 Azure 作業安全性的基礎架構涵蓋透過 Microsoft 特有功能獲得的知識,包括安全性開發週期 (SDL)、Microsoft Security Response Center 方案,以及對網路安全性威脅型態的深層認知。
對使用者強制執行多重要素驗證
建議您要求所有使用者都使用雙步驟驗證。 這包括您組織中其帳戶遭到入侵時可能會產生重大影響的系統管理員和其他人 (例如財務長)。
有很多選項可供您要求使用雙步驟驗證。 最適合您的選擇取決於您的目標、您正在執行的 Microsoft Entra 版本,以及您的授權方案。 請參閱如何要求使用者使用雙步驟驗證,以判斷最適合您的選項。 如需有關授權和定價的詳細資訊,請參閱 Microsoft Entra ID 和 Microsoft Entra 多重要素驗證 定價頁面。
以下是啟用雙步驟驗證的選項和優點:
選項 1:使用 Microsoft Entra 安全性預設值針對所有使用者和登入方法啟用 MFA優點:此選項可讓您使用嚴格的原則,輕鬆且快速地針對您環境中的所有使用者強制執行 MFA:
- 挑戰系統管理帳戶和系統管理登入機制
- 要求所有使用者都要透過 Microsoft Authenticator 進行 MFA 挑戰
- 限制舊版的驗證通訊協定。
此方法適用於所有授權層級,但不能與現有的條件式存取原則混合使用。 您可以在 Microsoft Entra 安全性預設值 (部分機器翻譯) 中找到詳細資訊
選項 2:變更使用者狀態來啟用多重要素驗證 (部分機器翻譯)。
優點:這是要求使用雙步驟驗證的傳統方法。 同時適用於雲端中的 Microsoft Entra 多重要素驗證與 Azure Multi-Factor Authentication Server (部分機器翻譯)。 如果使用這種方法,則會要求使用者在每次登入時執行雙步驟驗證,並且會覆寫條件式存取原則。
若要判斷哪裡需要啟用多重要素驗證,請參閱哪個 Microsoft Entra 多重要素驗證版本適合我的組織? (部分機器翻譯)。
選項 3:使用條件式存取原則啟用多重要素驗證 (部分機器翻譯)。 優點:此選項可讓您使用條件式存取 (部分機器翻譯),在特定條件下提示使用雙步驟驗證。 特定條件可以是使用者從不同的位置、不受信任的裝置,或您認為有危險的應用程式登入。 定義您要求使用雙步驟驗證的特定條件,可讓您避免要持續提示使用者,這可能會帶來不愉快的使用者體驗。
這是最具彈性的方法,可為您的使用者啟用雙步驟驗證。 啟用條件式存取原則,只適用於雲端中的 Microsoft Entra 多重要素驗證,而且是 Microsoft Entra ID 的進階功能。 您可以在部署雲端式 Microsoft Entra 多重要素驗證 (部分機器翻譯) 中找到這個方法的詳細資訊。
選項 4:透過評估風險型條件式存取原則 (部分機器翻譯),使用條件式存取原則啟用多重要素驗證。
優點:此選項可讓您:
- 偵測會影響貴組織身分識別的潛在弱點。
- 針對偵測到的與您組織的身分識別有關的可疑動作,設定自動回應。
- 調查可疑事件並採取適當動作以解決它們。
這個方法使用 Microsoft Entra ID Protection 風險評估,根據所有雲端應用程式的使用者和登入風險來判斷是否需要雙步驟驗證。 此方法需要 Microsoft Entra ID P2 授權。 您可以在 Microsoft Entra ID Protection (部分機器翻譯) 中找到這個方法的詳細資訊。
注意
選項 2,透過變更使用者狀態來啟用多重要素驗證,進而覆寫條件式存取原則。 選項 3 和 4 會使用條件式存取原則,所以您無法使用選項 2 來搭配它們。
未新增額外身分識別保護層 (例如雙步驟驗證) 的組織比較容易遭受認證竊取攻擊。 認證竊取攻擊可能會導致資料洩漏。
管理和監視使用者密碼
下表列出與管理使用者密碼相關的一些最佳做法:
最佳做法:確定您在雲端中有適當層級的密碼保護。
詳細資料:遵循 Microsoft 密碼指引中的指引,其範圍限定為 Microsoft 身分識別平台 (Microsoft Entra ID、Active Directory 和 Microsoft 帳戶) 的使用者。
最佳做法:監視與使用者帳戶相關的可疑動作。
詳細資料:使用 Microsoft Entra 安全性報告來監視有風險的使用者和有風險的登入。
最佳做法:自動偵測並補救高風險的密碼。
詳細資料:Microsoft Entra ID Protection 是 Microsoft Entra ID P2 版本的功能,可讓您:
- 偵測會影響貴組織身分識別的潛在弱點
- 針對偵測到的與您組織的身分識別有關的可疑動作,設定自動回應
- 調查可疑事件並採取適當動作以解決它們
從 Microsoft 接收事件通知
確定您的安全性作業小組收到來自 Microsoft 的 Azure 事件通知。 事件通知可讓安全性小組得知您已危害 Azure 資源,以便他們快速回應並補救潛在的安全性風險。
在 Azure 註冊入口網站中,您可以確定系統管理員連絡資訊包含通知安全性作業的詳細資料。 連絡人資訊是電子郵件地址和電話號碼。
將 Azure 訂用帳戶組織成管理群組
如果您的組織有許多訂用帳戶,則可能需要有效管理這些訂用帳戶的存取權、原則與合規性方法。 Azure 管理群組可提供訂用帳戶之上的範圍層級。 您可將訂閱組織成稱為「管理群組」的容器,並將治理條件套用到管理群組。 管理群組內的所有訂用帳戶都會自動繼承套用到管理群組的條件。
您可以將管理群組和訂用帳戶的彈性結構打造成目錄。 每個目錄會都會有一個最上層管理群組,名為根管理群組。 這個根管理群組會建置於階層內,讓所有的管理群組和訂用帳戶摺疊於其中。 根管理群組可讓全域原則和 Azure 角色指派在目錄層級套用。
以下是使用管理群組的一些最佳做法:
最佳做法:確定新的訂用帳戶會在原則和權限等治理元素新增時予以套用。
詳細資料:使用根管理群組來指派適用於所有 Azure 資產的整個企業安全性元素。 原則和權限是元素的範例。
最佳做法:讓最上層的管理群組與分段策略保持一致,以提供控制點和每個區段內的原則一致性。
詳細資料:為根管理群組下的每個區段建立單一管理群組。 請勿在根目錄下建立任何其他管理群組。
最佳做法:限制管理群組深度,以免產生會妨礙作業和安全性的混淆。
詳細資料:將您的階層限制為三個層級,包括根目錄。
最佳做法:仔細選取項目以套用至具有根管理群組的整個企業。
詳細資料:確定根管理群組元素清楚需要套用於每個資源,而且影響很低。
好的候選者包括:
- 具有清楚業務影響的法規需求 (例如,資料主權相關限制)
- 對作業有近乎零潛在負面影響的需求,例如具有稽核效果的原則,或已仔細檢閱的 Azure RBAC 權限指派
最佳做法:在套用之前,請先仔細規劃和測試根管理群組上的所有全企業變更 (原則、Azure RBAC 模型等)。
詳細資料:根管理群組中的變更可能會影響 Azure 上的每個資源。 雖然它們提供強大的方法來確保整個企業的一致性,但錯誤或不正確的使用方式可能會對生產作業造成負面影響。 在測試實驗室或生產試驗中測試根管理群組的所有變更。
使用藍圖簡化環境建立
Azure 藍圖服務可讓雲端架構設計師和中央資訊技術人員定義一組可重複使用的 Azure 資源,其中實作並遵循組織的標準、模式和需求。 Azure 藍圖可讓開發小組使用一組內建元件快速建置及設定新環境,並確信他們在組織合規性內建立這些環境。
監視儲存體服務是否有非預期的行為變更
與傳統環境相比,在雲端環境託管的分散式應用程式一旦發生問題,無論要為其進行診斷或疑難排解,都更加複雜。 應用程式可以在 PaaS 或 IaaS 基礎架構、內部部署環境、行動裝置或是這幾種環境的組合上部署。 您應用程式的網路流量可能會周遊公用及私人網路,而且您的應用程式可能會使用多個儲存技術。
您應該持續監視您應用程式使用的儲存服務在行為上是否有任何非預期的變更 (例如回應時間更慢)。 使用記錄收集更多詳細的資料,並深入分析問題。 透過監視與記錄取得的診斷資訊將有助於判斷應用程式所遭遇問題的根本原因。 之後,您才能針對問題進行疑難排解,並決定該採取哪些合宜的步驟來矯正它。
Azure 儲存體分析可執行記錄,並提供 Azure 儲存體帳戶的計量資料。 建議您使用此資料來追蹤要求、分析使用量趨勢,以及診斷儲存體帳戶的問題。
防範、偵測和回應威脅
適用於雲端的 Microsoft Defender 可協助您藉由加強對 Azure 資源的可見度和安全性控制權,以防止、偵測和回應威脅。 它會在您的 Azure 訂用帳戶之間提供整合式安全性監視和原則管理,協助您偵測可能會忽略的威脅,且適用於各種安全性解決方案。
適用於雲端的 Defender 免費層可為 Azure 中您的資源,以及 Azure 外部已啟用 Arc 的資源提供有限的安全性。 增強式安全性功能會擴充這些功能,以包含威脅和弱點管理,以及法規合規性報告。 適用於雲端的 Defender 方案可協助您尋找和修正安全性弱點、套用存取和應用程式控制以封鎖惡意活動、使用分析和情報來偵測威脅,以及在遭受攻擊時迅速回應。 前 30 天可以免費試用適用於雲端的 Defender 標準。 建議您在適用於雲端的Defender 的 Azure 訂用帳戶上啟用增強式安全性功能。
請使用適用於雲端的 Defender,來集中檢視您在自有資料中心、Azure 和其他雲端中的所有資源。 只需看一眼,便可確認安全性控制項是否已就緒並正確設定,並快速找出任何需要注意的資源。
適用於雲端的 Defender 也會與適用於端點的 Microsoft Defender 整合,以提供完整的端點偵測和回應 (EDR) 功能。 使用適用於端點的 Microsoft Defender 整合,您可以找出異常狀況並偵測弱點。 您也可以偵測及回應適用於雲端的 Defender 所監視的伺服器端點上的進階攻擊。
幾乎所有企業組織都有安全性資訊與事件管理 (SIEM) 系統,藉由合併來自各種訊號蒐集裝置的記錄資訊來協助識別新興威脅。 接著,資料分析系統會分析記錄,協助識別所有記錄收集和分析解決方案中無可避免的「有趣」雜訊。
Microsoft Sentinel 為可調整的雲端原生安全性資訊與事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。 Microsoft Sentinel 透過警示偵測、威脅可見性、主動式搜捕及自動化回應威脅,提供智慧型安全性分析與威脅情報。
以下是防止、偵測及回應威脅的一些最佳做法:
最佳做法:使用雲端式 SIEM 來提升 SIEM 解決方案的速度和延展性。
詳細資料:調查 Microsoft Sentinel 的特性與功能,並將其與目前使用的內部部署功能進行比較。 如果 Microsoft Sentinel 符合貴組織的 SIEM 需求,請考慮採用 Microsoft Sentinel。
最佳做法:找出最嚴重的資訊安全漏洞,以便優先安排調查。
詳細資料:檢閱您的 Azure 安全分數,以查看適用於雲端的 Microsoft Defender 內建的 Azure 原則和計畫所產生的建議。 這些建議有助於解決安全性更新、端點保護、加密、安全性設定、遺漏 WAF、網際網路連線 VM 等最高風險。
安全分數是以網際網路安全中心 (CIS) 控制項為基礎,可讓您根據外部來源對組織的 Azure 安全性進行基準測試。 外部驗證有助於驗證和擴充小組的安全性策略。
最佳做法:監視電腦、網路、儲存體與資料服務及應用程式的安全性態勢,找出並設定潛在安全性問題的優先順序。
詳細資料:遵循適用於雲端的 Defender 中的安全性建議,從最高優先順序的項目著手。
最佳做法:將適用於雲端的 Defender 警示整合到安全性資訊與事件管理 (SIEM) 解決方案中。
詳細資料:具有 SIEM 的大部分組織都會使用其作為需要分析師回應的安全性警示的中央資訊交換中心。 適用於雲端的 Defender 產生的已處理事件會發佈到 Azure 活動記錄檔,這是可透過 Azure 監視器取得的其中一種記錄。 Azure 監視器提供合併的管線,將您的所有監視資料路由傳送至 SIEM 工具。 如需指示,請參閱將警示串流至 SIEM、SOAR 或 IT 服務管理解決方案。 如果您使用 Microsoft Sentinel,請參閱連線適用於雲端的 Microsoft Defender。
最佳做法:整合 Azure 記錄與您的 SIEM。
詳細資料:使用 Azure 監視器來收集和匯出資料。 此做法對於啟用安全性事件調查非常重要,而且線上記錄保留有限。 如果您使用 Microsoft Sentinel,請參閱連線資料來源。
最佳做法:將端點偵測和回應 (EDR) 功能整合到攻擊調查中,以加速調查和搜捕程序並減少誤判。
詳細資料:透過適用於雲端的 Defender 安全性原則,啟用適用於端點的 Microsoft Defender 整合。 考量使用 Microsoft Sentinel 進行威脅搜捕和事件回應。
監視以端對端案例為基礎的網路監視
客戶會透過結合虛擬網路、ExpressRoute、應用程式閘道和負載平衡器之類的網路資源,在 Azure 中建置端對端網路。 監視可在每個網路資源上取得。
Azure 網路監看員是地區服務。 使用其診斷和視覺效果工具來監視和診斷往返於 Azure 的網路案例層級的情況。
下列是網路監視的最佳做法和可用工具。
最佳做法:利用封包擷取自動化遠端網路監視作業。
詳細資料:使用網路監看員無須登入您的 VM,就能監視及診斷網路問題。 您可以設定警示來觸發封包擷取,並能存取封包層級的即時效能資訊。 當您發現問題時,可以詳加調查,從而進行更好的診斷。
最佳做法:使用流量記錄獲取對網路流量的見解。
詳細資料:使用網路安全性群組流量記錄,更深入了解您的網路流量模式。 流量記錄中的資訊可協助您收集合規性資料,並稽核及監視您的網路安全性設定檔。
最佳做法:診斷 VPN 連線問題。
詳細資料:使用網路監看員診斷最常見的 VPN 閘道和連線問題。 您不僅可以識別問題,還可以使用詳細記錄來進一步調查。
使用經證實的 DevOps 工具進行安全的部署
使用下列 DevOps 最佳做法以確保您企業和團隊的生產力與效率。
最佳做法:自動建置及部署服務。
詳細資料:基礎架構即程式碼是一組技術和實作,可協助 IT 專業人員減輕每日建置及管理模組化基礎架構的負擔。 它可讓 IT 專業人員建置並維護其新式伺服器環境,就像是軟體開發人員建置並維護應用程式程式碼一樣。
您可以使用 Azure Resource Manager 搭配宣告式範本佈建應用程式。 在單一的範本中,您可以部署多個服務及其相依性。 您可以使用相同的範本,在應用程式生命週期的每個階段重複部署應用程式。
最佳做法:自動建置並部署至 Azure Web 應用程式或雲端服務。
詳細資料:您可以將 Azure DevOps 專案設定為自動建置和部署至 Azure Web 應用程式或雲端服務。 Azure DevOps 會在對 Azure 執行組建之後,將二進位檔自動部署至每個程式碼簽入後面。 套件建置程序等同於 Visual Studio 中的 [套件] 命令,而發佈步驟等同於 Visual Studio 中的 [發佈] 命令。
最佳做法:自動化發行管理。
詳細資料:Azure Pipelines 是用於自動化多階段部署及管理發行程序的解決方案。 建立受控持續部署管線以快速、輕鬆且經常發行。 您可以使用 Azure Pipelines,將發行程序自動化,而且可以擁有預先定義的核准工作流程。 在內部部署及部署至雲端、擴充,並視需要自訂。
最佳做法:在您啟動應用程式或將更新部署至生產環境之前,請先檢查該應用程式的效能。
詳細資料:執行雲端式負載測試,以:
- 尋找您應用程式中的效能問題。
- 提升部署品質。
- 確定您的應用程式仍可使用。
- 確定您的應用程式可以處理後續上市或行銷活動的流量。
Apache JMeter 是免費的熱門開放原始碼工具,具有強大的社群後盾。
最佳做法:監視應用程式效能。
詳細資料:Azure Application Insights 是多個平台上的 Web 開發人員所適用的可延伸「應用程式效能管理」(APM) 服務。 使用 Application Insights 監視您的即時 Web 應用程式。 它會自動偵測效能異常。 其中包括分析工具可協助您診斷問題,並了解使用者實際如何運用您的應用程式。 它是設計來協助您持續改善效能和可用性。
減少並防範 DDoS
分散式阻斷服務 (DDoS) 是一種嘗試耗盡應用程式資源的攻擊類型。 目標是影響應用程式的可用性,及其處理合法要求的能力。 這些攻擊會變得越來越複雜,而且大小和影響越來越大。 它們可以鎖定可透過網際網路公開觸達的任何端點。
設計及建置 DDoS 復原需要規劃與設計各種不同的失敗模式。 以下是在 Azure 上建置 DDoS 復原服務的最佳做法。
最佳做法:確保安全性在應用程式的整個生命週期 (從設計和實作到部署與作業) 中具有優先順序。 應用程式可能存在一些錯誤 (bug),讓非常小量的要求使用大量資源,因而導致服務中斷。
詳細資料:若要協助保護在 Microsoft Azure 上執行的服務,您應該對您應用程式架構有良好的了解,而且必須專注於軟體品質的五大要素。 您應該了解一般流量、應用程式與其他應用程式之間的連線模型,以及公開至公用網際網路的服務端點。
確保應用程式有足夠的彈性,能夠處理以應用程式本身為目標的阻斷服務,至關重要。 從安全性開發週期 (SDL) 開始,安全性和隱私權便會內建於 Azure 平台之中。 SDL 會解決每個開發階段的安全性,並確保 Azure 持續更新,使其更加安全。
最佳做法:將應用程式設計為可水平調整以滿足放大負載的需求,遭遇 DDoS 攻擊時尤其需要。 如果您的應用程式相依於服務的單一執行個體,它會建立單一失敗點。 佈建多個執行個體可讓系統更有彈性且更具延展性。
詳細資料:若是 Azure App Service,選取可提供多個執行個體的 App Service 方案。
對於 Azure 雲端服務,設定您的每個角色以使用多個執行個體。
對於 Azure 虛擬機器,確保 VM 架構包含多個 VM,而且每個 VM 都包含於可用性設定組中。 建議您使用虛擬機器擴展集,自動調整功能。
最佳做法:將應用程式中的安全性防禦分層,可降低成功攻擊的機會。 使用 Azure 平台的內建功能,為您的應用程式實作安全設計。
詳細資料:攻擊的風險會隨著應用程式大小 (介面區) 而提高。 您可以使用核准清單來關閉負載平衡器 (Azure Load Balancer 和 Azure 應用程式閘道) 上不需要的公開 IP 位址空間和接聽連接埠,以減少介面區。
網路安全性群組是減少攻擊面的另一種方法。 您可以使用服務標記和應用程式安全性群組,將建立安全性規則與設定網路安全性的複雜性近可能降低,直到成為應用程式結構的自然延伸。
應盡可能將 Azure 服務部署於虛擬網路上。 此種做法可讓服務資源透過私人 IP 位址進行通訊。 根據預設,來自虛擬網路的 Azure 服務流量會使用公用 IP 位址作為來源 IP 位址。
使用服務端點會在從虛擬網路存取 Azure 服務時,將服務流量切換為使用虛擬網路私人位址作為來源 IP 位址。
我們通常會看到客戶的內部部署資源連同其在 Azure 中的資源遭受攻擊。 如果您將內部部署環境連線到 Azure,請將內部部署資源在公用網際網路上的曝光率降至最低。
Azure 有兩個 DDoS 服務供應項目,可防止網路攻擊:
- 基本保護預設會整合到 Azure 中,不需任何額外成本。 Azure 全球部署網路的規模與能力可提供防禦,透過一律啟動的流量監視和即時緩和,來抵禦常見的網路層攻擊。 基本保護不需要設定使用者也不需要變更應用程式,而且有助於保護所有 Azure 服務,包括像是 Azure DNS 的 PaaS 服務。
- 標準保護則針對網路攻擊,提供進階的 DDoS 防護功能。 其會自動調整以保護特定的 Azure 資源。 只需在建立虛擬網路時啟用保護即可。 您也可以在建立之後再啟用保護,而不需進行任何應用程式或資源變更。
啟用 Azure 原則
Azure 原則是 Azure 中的一個服務,您可以用來建立、指派和管理原則。 這些原則會對您的資源強制執行規則和效果,讓這些資源能符合公司標準和服務等級協定的規範。 Azure 原則會透過評估您的資源是否符合指派的原則來滿足此需求。
啟用 Azure 原則以監視及強制執行貴組織的書面原則。 這會集中管理混合式雲端工作負載的安全性原則,以確保符合貴公司或法規的安全性需求。 了解如何建立和管理原則來強制執行合規性。 如需原則元素的概觀,請參閱 Azure 原則定義結構。
以下是採用 Azure 原則之後所要遵循的一些安全性最佳做法:
最佳做法:原則支援數種類型的效果。 您可以在 Azure 原則定義結構中加以了解。 拒絕效果和補救效果可能會對商務營運造成負面影響,因此從稽核效果著手,以限制來自原則的負面影響風險。
詳細資料:在稽核模式中開始原則部署,稍後再進行拒絕或補救。 在您繼續拒絕或補救之前,請先測試並檢閱稽核效果的結果。
如需詳細資訊,請參閱建立和管理原則來強制執行合規性。
最佳做法:找出負責監視原則違規的角色,並確保快速採取正確的補救動作。
詳細資料:讓指派的角色透過 Azure 入口網站或命令列監視合規性。
最佳做法:Azure 原則是組織書面原則的技術呈現。 將所有 Azure 原則定義對應至組織原則,以減少混淆並提高一致性。
詳細資料:藉由在原則定義或計畫定義描述中新增組織原則的參考,以在組織的文件或 Azure 原則定義本身中紀載對應。
監視 Microsoft Entra 風險報告
大部分的安全性缺口出現於當攻擊者藉由竊取使用者的身分識別來取得環境的存取權時。 發現遭入侵身分識別並非易事。 Microsoft Entra ID 會使用調適性機器學習服務演算法和啟發學習法,來偵測與您使用者帳戶相關的可疑動作。 所偵測到的每個可疑動作都會儲存在名為風險偵測的記錄中。 風險偵測會記錄在 Microsoft Entra 安全性報告中。 如需詳細資訊,請參閱有風險的安全性報告上的使用者和有風險的登入安全性報告。
下一步
如需更多安全性最佳做法,請參閱 Azure 安全性最佳做法與模式,以便在使用 Azure 設計、部署和管理雲端解決方案時使用。
下列資源可提供更多有關 Azure 安全性和相關 Microsoft 服務的一般資訊:
- Azure 安全性小組部落格 - Azure 安全性的最新資訊
- Microsoft 安全性回應中心 -- 可在其中回報 Microsoft 安全性弱點 (包括 Azure 的問題) 或透過電子郵件傳送給 secure@microsoft.com