Azure 安全性簡介 \(部分機器翻譯\)
概觀
我們知道安全性是雲端中的首要工作和其重要性,因為您可在其中找到精確且及時的 Azure 安全性資訊。 針對您的應用程式和服務使用 Azure 的最佳原因之一是可以利用它的各種安全性工具和功能。 這些工具和功能可協助您在安全的 Azure 平台上建立安全的解決方案。 Microsoft Azure 提供客戶資料的機密性、完整性和可用性,同時也能釐清責任。
本文完整說明 Azure 提供的安全性。
Azure 平台
Azure 是一個公用雲端服務平台,支援廣泛的作業系統、程式設計語言、架構、工具、資料庫及裝置等選擇。 它可以透過 Docker 整合執行 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 及 Node.js 建置應用程式;為 iOS、Android 及 Windows 裝置建置後端。
Azure 公用雲端服務支援數百萬名開發人員和 IT 專家早已仰賴和信任的相同技術。 當您建置 IT 資產或將 IT 資產移轉至公用雲端服務提供者時,您會依賴該組織保護應用程式和數據的能力。 它們提供服務和控件來管理雲端式資產的安全性。
Azure 的基礎結構是從頭開始精心製作的,包含從實體設施到應用程式的所有專案,以安全地同時裝載數百萬個客戶。 這個強大的基礎可讓企業自信地符合其安全性需求。
此外,Azure 也為您提供各式各樣可設定的安全性選項及控制它們的功能,讓您能夠自訂安全性以符合組織部署的特殊需求。 本文件有助於您了解 Azure 安全性功能如何協助您滿足這些需求。
注意
本文件的主要焦點是客戶面對的控制,您可以使用這些控制來自訂並提升應用程式和服務的安全性。
如需 Microsoft 如何保護 Azure 平台本身的相關資訊,請參閱 Azure 基礎結構安全性。
Azure 安全性功能摘要
視雲端服務模型而定,負責管理應用程式或服務安全性的人員會有可變責任。 Azure 平台中提供一些功能,可協助您透過內建功能,以及透過可部署到 Azure 訂用帳戶的協力廠商解決方案,來達成這些職責。
內建功能分成六個功能領域︰作業、應用程式、儲存體、網路功能、計算及身分識別。 您可以透過摘要資訊,進一步瞭解 Azure 平臺在這六個區域中可用的特性和功能。
Operations
本節提供關於安全性作業中主要功能的其他資訊,以及這些功能的摘要資訊。
Microsoft Sentinel
Microsoft Sentinel 是可調整、雲端原生、安全性資訊和事件管理 (SIEM) 和安全性協調流程、自動化和回應 (SOAR) 解決方案。 Microsoft Sentinel 可在整個企業內提供智慧型安全性分析和威脅情報。 Microsoft Sentinel 為攻擊偵測、威脅可見性、主動搜捕以及威脅回應提供單一解決方案。
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 可協助您利用加強對 Azure 資源的可見度和安全性控制權,以防止、偵測和回應威脅。 適用於雲端的 Microsoft Defender 提供 Azure 訂用帳戶之間的整合式安全性監視和原則管理。 適用於雲端的 Microsoft Defender 可協助偵測可能未注意到的威脅,並與廣泛的安全性解決方案生態系統搭配使用。
此外,適用於雲端的 Defender 透過提供單一儀錶板來呈現可立即採取行動的警示和建議,協助您進行安全性作業。 通常,您可以在 適用於雲端的 Defender 主控台內補救單一選取項目的問題。
Azure Resource Manager
Azure Resource Manager 可讓您將方案中的資源做為群組使用。 您可以透過單一、協調的作業來部署、更新或刪除解決方案的所有資源。 您會使用 Azure Resource Manager 範本 (英文) 部署,該範本可用於不同的環境,例如測試、預備和生產環境。 Resource Manager 會提供安全性、稽核和標記功能,以協助您在部署後管理您的資源。
以 Azure Resource Manager 範本為基礎的部署,有助於提升部署於 Azure 中之解決方案的安全性 (因為標準的安全性控制設定),並且可整合至以標準化範本為基礎的部署中。 範本可降低在手動部署期間可能發生的安全性設定錯誤風險。
Application Insights
Application Insights 是專為 Web 開發人員設計的彈性應用程式效能管理 (APM) 服務。 它可讓您監視即時 Web 應用程式,並自動偵測效能問題。 使用功能強大的分析工具,您可以診斷問題,並深入瞭解使用者與應用程式的互動。 Application Insights 會持續監視您的應用程式,從開發到測試和生產環境。
Application Insights 會產生深入解析圖表和數據表,以顯示尖峰用戶啟用時間、應用程式回應性,以及其所依賴之任何外部服務的效能。
如果發生當機、失敗或效能問題,您可以詳細搜尋數據來診斷原因。 此外,如果應用程式的可用性和效能有任何變更,服務會傳送電子郵件給您。 Application Insight 因而成為一個非常實用的安全性工具,因為它有助於提供機密性、完整性和可用性安全性三部曲中的「可用性」。
Azure 監視器
Azure 監視器針對來自 Azure 訂閱 (活動記錄) 及每個個別的 Azure 資源 (資源記錄) 的資料,提供視覺效果、查詢、路由、警示、自動調整及自動化功能。 您可以使用 Azure 監視器,在 Azure 記錄中產生安全性相關事件時接收警示通知。
Azure 監視器記錄
Azure 監視器記錄 – 除了 Azure 資源之外,還提供內部部署和非Microsoft雲端式基礎結構(例如 Amazon Web Services)的 IT 管理解決方案。 Azure 監視器中的資料可以直接路由至 Azure 監視器記錄,以便您可以在同一個地方看到整個環境的計量與記錄。
Azure 監視器記錄在鑑識和其他安全性分析方面是一個非常實用的工具,因為此工具可讓您利用彈性查詢方法快速搜尋大量的安全性相關項目。 此外,內部部署的防火牆和 Proxy 記錄可匯出到 Azure,並使用 Azure 監視器記錄來分析它們。
Azure Advisor
Azure Advisor 是個人化雲端顧問,可協助您將 Azure 部署最佳化。 它會分析您的資源組態和使用方式數據。 接著會建議解決方案,以協助改善資源的效能、安全性及可靠性,同時尋找降低整體 Azure 費用的機會。 Azure Advisor 提供安全性建議,讓您能夠大幅改善您部署於 Azure 中之解決方案的整體安全性狀態。 這些建議均取自適用於雲端的 Microsoft Defender 所執行的安全性分析。
應用程式
本節提供關於應用程式安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
滲透測試
我們不會為您對應用程式執行滲透測試,但我們了解,您想要並需要對自己的應用程式執行測試。 客戶不再需要Microsoft手寫筆測試活動的通知,仍 必須遵守Microsoft雲端滲透測試參與規則。
Web 應用程式防火牆
Azure 應用程式閘道中的 Web 應用程式防火牆 (WAF) 可協助保護 Web 應用程式,以免於常見的 Web 型攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊和工作階段攔截。 其已預先設定 Open Web Application Security Project (OWASP) 認定為前 10 大常見漏洞的威脅防護。
Azure App Service 中的驗證與授權
App Service 驗證/授權是可讓應用程式接受使用者登入的一種功能,而不需要您在應用程式後端變更程式碼。 它提供簡單的方法來保護您的應用程式,以及使用每位使用者的資料。
分層式安全性架構
由於 App Service 環境提供部署至 Azure 虛擬網路的隔離執行階段環境,因此開發人員能夠建立分層式安全性架構,針對每個應用程式層提供不同層級的網路存取。 通常會隱藏來自一般因特網存取的 API 後端,並且只允許上游 Web 應用程式呼叫 API。 網路安全性群組 (NSG) 可用於包含 App Service 環境的 Azure 虛擬網路子網路,以限制對 API 應用程式的公用存取。
App Service Web 應用程式 提供強大的診斷功能,可從 Web 伺服器和 Web 應用程式擷取記錄。 這些診斷會分類為 Web 伺服器診斷和應用程式診斷。 Web 伺服器診斷包括診斷和疑難解答網站和應用程式的重大進步。
第一個新功能是關於應用程式集區、背景工作處理序、網站、應用程式定義域和執行中要求的即時狀態資訊。 第二個新優點是詳細的追蹤事件,可在整個完成要求與回應程序中追蹤要求。
若要啟用這些追蹤事件的收集,可以設定 IIS 7,以 XML 格式自動擷取特定要求的完整追蹤記錄。 集合可以根據經過的時間或錯誤回應碼。
儲存體
本節提供關於 Azure 儲存體安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
Azure 角色型存取控制 (Azure RBAC)
您可以使用 Azure 角色型存取控制 (Azure RBAC) 保護儲存體帳戶。 對於想要強制執行資料存取安全性原則的組織,根據需要知道 (英文) 和最低權限 (英文) 安全性主體限制存取權限是必須做的事。 在特定範圍將適當的 Azure 角色指派給群組和應用程式,即可授與這些存取權限。 您可以使用 Azure 內建角色 (例如儲存體帳戶參與者) 將權限指派給使用者。 使用 Azure Resource Manager 模型來存取儲存體帳戶的儲存體金鑰,可以透過 Azure RBAC 來控制。
共用存取簽章
共用存取簽章 (SAS) 可提供您儲存體帳戶中資源的委派存取。 SAS 意謂著您可以將儲存體帳戶中物件的有限權限授與用戶端,讓該用戶端可以在一段指定期間內使用一組指定的權限進行存取。 您可以在不須分享您帳戶存取金鑰的情況下,授與這些有限的權限。
傳輸中加密
傳輸中加密是在透過網路傳輸資料時用來保護資料的機制。 透過 Azure 儲存體,您可以使用下列各項來保護資料:
傳輸層級加密,例如從 Azure 儲存體傳入或傳出資料時的 HTTPS。
連線加密,例如 Azure 檔案共用的 SMB 3.0 加密。
用戶端加密,可在將資料傳輸到儲存體之前加密資料,並在從儲存體傳出資料之後將資料解密。
待用加密
對許多組織來說,待用資料加密是達到資料隱私權、合規性及資料主權的必要步驟。 有三個 Azure 記憶體安全性功能可提供待用數據的加密:
儲存體服務加密 可讓您要求儲存體服務在將資料寫入 Azure 儲存體時自動加密資料。
用戶端加密 也會提供待用加密的功能。
適用於 Linuz VM 的 Azure 磁碟加密與適用於 Windows VM 的 Azure 磁碟加密可讓您加密 IaaS 虛擬機器所使用的 OS 磁碟與資料磁碟。
Storage Analytics
Azure 儲存體分析會執行記錄,並提供儲存體帳戶的計量資料。 您可以使用此資料來追蹤要求、分析使用趨勢,以及診斷儲存體帳戶的問題。 儲存體分析會記錄對儲存體服務之成功和失敗要求的詳細資訊。 這項資訊可用來監視個別要求,並診斷儲存體服務的問題。 系統會以最佳方式來記錄要求。 系統會記錄下列類型的驗證要求:
- 成功的要求。
- 失敗的要求,包括逾時、節流、網路、授權和其他錯誤。
- 使用共用存取簽章 (SAS) 的要求,包括失敗和成功的要求。
- 分析資料的要求。
使用 CORS 啟用瀏覽器型用戶端
跨原始來源資源共用 (CORS) 這個機制可讓網域能夠為彼此提供權限來存取彼此的資源。 使用者代理程式會傳送額外的標頭,以確保允許從特定網域載入的 JavaScript 程式碼存取位於另一個網域的資源。 第二個網域接著會利用額外的標頭回覆,以允許或拒絕對其資源的原始網域存取。
Azure 記憶體服務現在支援 CORS,如此一旦您設定服務的 CORS 規則,就會評估針對不同網域的服務提出的正確驗證要求,以根據您指定的規則來判斷它是否允許。
網路
本節提供關於 Azure 網路安全性中主要功能的其他資訊,以及這些功能的摘要資訊。
網路層控制
網路存取控制是指限制與特定裝置或子網路間之連線的動作,並代表網路安全性的核心。 網路存取控制的目的是確定只有您想要它們存取的使用者和裝置,才能存取您的虛擬機器和服務。
網路安全性群組
網路安全組 (NSG) 是基本的具狀態封包篩選防火牆,可讓您根據五個 Tuple 來控制存取。 NSG 不提供應用層檢查或已驗證的訪問控制。 它們可用來控制在 Azure 虛擬網路內子網路之間移動的流量,以及在 Azure 虛擬網路與網際網路之間的流量。
Azure 防火牆
Azure 防火牆是一項雲端原生和智慧型網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 其同時提供東西向和南北向的流量檢查。
Azure 防火牆於兩個 SKU 中提供:標準版和進階版。 Azure 防火牆標準版提供 L3-L7 篩選功能,以及直接來自 Microsoft 網路安全性的威脅情報摘要。 Azure 防火牆進階版提供多種進階功能,包括以特徵碼為基礎的 IDPS,可協助尋找特定模式來快速偵測攻擊。
路由控制和強制通道
控制您 Azure 虛擬網路上路由行為的能力是重大網路安全性和存取控制功能。 例如,如果您想要確定進出 Azure 虛擬網路的所有流量都會經過該虛擬安全性設備,您需要能夠控制和自訂路由行為。 做法是在 Azure 中設定使用者定義的路由。
使用者定義的路由可讓您自訂移入和移出個別虛擬機器或子網路之流量的連入和連出路徑,盡可能確保最安全的路由。 強制通道 是一種機制,可用來確保您的服務不允許起始因特網上裝置的連線。
這與能夠接受連入連線,然後回應它們不同。 前端 Web 伺服器需要回應來自網際網路主機的要求,因此允許來自網際網路的流量傳入到這些 Web 伺服器,而 Web 伺服器可以回應。
強制通道處理通常用來強制傳至網際網路的連出流量通過內部部署安全性 Proxy 和防火牆。
虛擬網路安全性應用裝置
雖然網路安全組、使用者定義的路由和強制通道提供 OSI 模型網路和傳輸層的安全性層級,但有時候您可能會想要在較高層級的堆疊上啟用安全性。 您可以使用 Azure 合作夥伴網路安全性設備解決方案,來存取這些增強的網路安全性功能。 您可以流覽 Azure Marketplace 並搜尋安全性和網路安全性,以找到最新的 Azure 合作夥伴網路安全性解決方案。
Azure 虛擬網路
Azure 虛擬網路 (VNet) 代表您自己的雲端網路。 這是訂用帳戶專用的 Azure 網路網狀架構邏輯隔離。 您可以完整控制此網路內的 IP 位址區塊、DNS 設定、安全性原則和路由表。 您可以將 VNet 分成數個子網路,並在 Azure 虛擬網路上放置 Azure IaaS 虛擬機器 (VM) 和/或雲端服務 (PaaS 角色執行個體)。
另外,您也可以使用 Azure 中提供的其中一個連線選項將虛擬網路連線到內部部署網路。 基本上,您可以將您的網路延伸至 Azure,透過 Azure 提供的企業級好處完整控制 IP 位址區塊。
Azure 網路功能支援各種安全遠端存取案例。 其中包括:
Azure Virtual Network Manager
Azure Virtual Network Manager 提供集中式解決方案,可大規模保護您的虛擬網路。 其使用安全性系統管理員規則,集中定義並強制執行整個組織虛擬網路的安全原則。 安全性系統管理員規則優先於網路安全組(NSG)規則,並套用在虛擬網路上。 這可讓組織使用安全性系統管理員規則來強制執行核心原則,同時仍可讓下游小組根據子網路和 NIC 層級的特定需求量身打造 NSG。 視組織的需求而定,您可以使用 [允許]、 [拒絕] 或 [永遠允許 規則] 動作來強制執行安全策略。
| 規則動作 | 描述 |
|---|---|
| 允許 | 預設允許指定的流量。 下游 NSG 仍會收到此流量,並可能會拒絕此流量。 |
| 一律允許 | 不論優先順序較低或 NSG 的其他規則為何,一律允許指定的流量。 這可用來確保監視代理程式、域控制器或管理流量不會遭到封鎖。 |
| 拒絕 | 封鎖指定的流量。 下游 NSG 在安全性管理規則遭到拒絕後不會評估此流量,確保現有和新虛擬網路的高風險埠預設會受到保護。 |
在 Azure 虛擬網路管理員中,網路群組可讓您將虛擬網路群組在一起,以便集中管理和強制執行安全原則。 網路群組是以拓撲和安全性觀點為基礎的虛擬網路邏輯群組。 您可以手動更新網路群組的虛擬網路成員資格,也可以使用 Azure 原則定義條件語句,以動態更新網路群組,藉此自動更新您的網路群組成員資格。
Azure Private Link
Azure Private Link 可讓您透過虛擬網路中的私人端點,存取 Azure PaaS 服務 (例如 Azure 儲存體和 SQL Database) 和 Azure 裝載的客戶擁有/合作夥伴服務。 在 Azure PaaS 服務、客戶擁有的服務和共用合作夥伴服務中,使用 Azure Private Link 的設定和取用都是一致的。 從您虛擬網路到 Azure 服務的流量一定會保留在 Microsoft Azure 骨幹網路上。
私人端點可讓您將重要的 Azure 服務資源只放到您的虛擬網路保護。 Azure 私人端點使用您 VNet 中的私人 IP 位址,讓您私下安全地連到 Azure Private Link 支援的服務,進而有效地將服務帶入 VNet。 使用 Azure 上的服務,不再需要將虛擬網路公開至公用網際網路。
您也可以在虛擬網路中建立自己的 Private Link 服務。 Azure Private Link 服務是由 Azure Private Link 所支援的自有服務參考。 您可以針對在 Azure 標準負載平衡器後方執行的服務,啟用 Private Link 存取,讓服務取用者可以從自己的虛擬網路私下存取服務。 您的客戶可以在其虛擬網路內建立私人端點,並將其對應到此服務。 在 Azure 上轉譯服務不再需要向公用網際網路公開。
VPN 閘道
若要在 Azure 虛擬網路和您的內部部署網站之間傳送網路流量,就必須為 Azure 虛擬網路建立 VPN 閘道。 VPN 閘道是一種虛擬網路閘道,可透過公用連接傳送加密的流量。 您也可以使用 VPN 閘道,透過 Azure 網路網狀架構傳送 Azure 虛擬網路之間的流量。
Express Route
Microsoft Azure ExpressRoute 是專用的 WAN 連結,可讓您透過連線提供者所提供的專用私人連接,將內部部署網路擴充至 Microsoft 雲端。
使用 ExpressRoute,即可和 Microsoft 雲端服務建立連線,例如 Microsoft Azure、Microsoft 365 和 CRM Online。 連線可以來自任意 (IP VPN) 網路、點對點乙太網路,也可以是在共置設施透過連線提供者的虛擬交叉連線。
ExpressRoute 連線不會經過公用因特網,因此可視為比 VPN 型解決方案更安全。 相較於一般網際網路連線,這可讓 ExpressRoute 連線提供更可靠、更快速、延遲更短和更安全的連線。
應用程式閘道
Microsoft Azure 應用程式閘道會以服務形式提供應用程式傳遞控制器 (ADC) (英文),為您的應用程式提供各種第 7 層負載平衡功能。
它可讓您將 CPU 密集 TLS 終止卸除至 應用程式閘道(也稱為 TLS 卸除或 TLS 橋接)來優化 Web 伺服器數位生產力。 它也提供其他第 7 層路由功能,包括循環配置傳入流量、以 Cookie 為基礎的工作階段同質性、URL 路徑型路由,以及在單一應用程式閘道背後代管多個網站的能力。 Azure 應用程式閘道是第 7 層負載平衡器。
不論是在雲端或內部部署中,此閘道均提供在不同伺服器之間進行容錯移轉及效能路由傳送 HTTP 要求。
應用程式提供許多應用程式傳遞控制器 (ADC) 功能,包括 HTTP 負載平衡、以 Cookie 為基礎的工作階段同質性、TLS 卸載、自訂健康狀態探查、支援多網站,以及許多其他功能。
Web 應用程式防火牆
Web 應用程式防火牆是 Azure 應用程式閘道的一項功能,可保護使用應用程式閘道執行標準應用程式傳遞控制 (ADC) 功能的 Web 應用程式。 Web 應用程式防火牆的做法是保護應用程式以防範 OWASP 前 10 個最常見的 Web 弱點。
SQL 插入式攻擊保護
常見 Web 攻擊保護,例如命令插入式攻擊、HTTP 要求走私、HTTP 回應分割和遠端檔案包含攻擊
防範 HTTP 通訊協定違規
防範 HTTP 通訊協定異常行為,例如遺漏主機使用者代理程式和接受標頭
防範 Bot、編目程式和掃描器
偵測一般應用程式錯誤組態 (也就是 Apache、IIS 等)
集中式 Web 應用程式防火牆可防範 Web 攻擊,可讓安全性管理更簡單,並針對入侵的威脅為應用程式提供更好的保證。 對比於保護個別的 Web 應用程式,WAF 解決方案也可透過在中央位置修補已知弱點,更快地回應安全性威脅。 現有的應用程式閘道可以輕易地轉換成具有 Web 應用程式防火牆的應用程式閘道。
流量管理員
Microsoft Azure 流量管理員可讓您控制使用者流量,將流量分散到不同資料中心的服務端點。 流量管理員支援的服務端點包括 Azure VM、Web Apps 和雲端服務。 您也可以對外部非 Azure 端點使用流量管理員。 流量管理員會使用網域名稱系統 (DNS),根據流量路由方法和端點的健全狀況,將用戶端要求導向到最適當的端點。
流量管理員提供各種流量路由方法,以符合不同的應用程式需求、端點健全狀況監視、及自動容錯移轉。 流量管理員可彈性應變失敗,包括整個 Azure 區域的失敗。
Azure Load Balancer
Azure Load Balancer 可為您的應用程式提供高可用性和網路效能。 它是第 4 層 (TCP、UDP) 負載平衡器,可將連入流量分散到負載平衡集中所定義之服務狀況良好的實例。 Azure Load Balancer 可以設定為:
對虛擬機器的連入網際網路流量進行負載平衡。 這種設定稱為公用負載平衡。
平衡虛擬網路中的虛擬機器之間、雲端服務中的虛擬機器之間,或內部部署電腦與跨單位部署虛擬網路中的虛擬機器之間的流量負載。 這個組態稱為 內部負載平衡。
將外部流量轉送到特定的虛擬機器
內部 DNS
您可以在管理入口網站或網路組態檔中,管理用於 VNet 的 DNS 伺服器清單。 客戶可以為每個 VNet 新增最多 12 部 DNS 伺服器。 指定 DNS 伺服器時,請務必確認您會針對客戶環境以正確順序列出客戶的 DNS 伺服器。 DNS 伺服器清單無法運作迴圈配置資源。 它們會依指定的順序使用。 如果可以連接至清單上的第一部 DNS 伺服器,用戶端就會使用該 DNS 伺服器,而無論該 DNS 伺服器是否運作正常。 若要變更客戶虛擬網路的 DNS 伺服器順序,請從清單中移除 DNS 伺服器,然後以客戶想要的順序將其重新加入。 DNS 支援 “CIA” 安全性三部曲的可用性層面。
Azure DNS
網域名稱系統 (DNS) 負責將網站或服務名稱轉譯 (或解析) 為其 IP 位址。 Azure DNS 是 DNS 網域的主機服務,採用 Microsoft Azure 基礎結構提供名稱解析。 在 Azure 中裝載網域,即可使用與其他 Azure 服務相同的認證、API、工具和計費來管理 DNS 記錄。 DNS 支援 “CIA” 安全性三部曲的可用性層面。
Azure 監視器記錄 NSG
您可以啟用下列 NSG 的診斷記錄類別︰
事件︰包含要將 NSG 規則套用到以 MAC 位址為基礎的 VM 和執行個體角色的項目。 每隔 60 秒會收集一次這些規則的狀態。
規則計數器:包含套用每個 NSG 規則以拒絕或允許流量之次數的項目。
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 會持續分析 Azure 資源的安全性狀態,以提供網路安全性最佳做法。 當適用於雲端的 Defender 識別可能的安全性弱點,即會建立建議來逐步引導設定所需的控制項,以加強和保護您的資源。
進階容器網路服務 (ACNS)
進階容器網路服務 (ACNS) 是一套完整的套件, 旨在提升 Azure Kubernetes Service (AKS) 叢集的操作效率。 它提供進階的安全性和可觀察性功能,以解決大規模管理微服務基礎結構的複雜性。
這些功能分為兩個主要要素:
安全性:針對使用由 Cilium 提供的 Azure CNI 叢集,網路原則包含完整域名 (FQDN) 篩選,以解決維護設定的複雜性。
可觀察性:進階容器網路服務套件的這項功能可將 Hubble 控制平面的強大功能帶入 Cilium 和非 Cilium Linux 數據平面,以提供網路和效能的增強可見度。
計算
本節提供關於這個領域中主要功能的其他資訊,以及這些功能的摘要資訊。
Azure 機密運算 \(英文\)
Azure 機密運算 提供數據保護難題的最終、遺漏部分。 它可讓您一律將數據保持加密。 無論待用時、透過網路移動時都是,現在即使載入記憶體和使用中也不例外。 此外,藉由讓 遠程證明 成為可能,它可讓您在解除鎖定數據之前,以密碼編譯方式確認您部署的 VM 是否已安全開機,並已正確設定。
從啟用現有應用程式的「隨即轉移」案例,到完全控制安全性功能,都在選項範圍內。 針對基礎結構即服務 (IaaS),您可以使用由 AMD SEV-SNP 提供技術的機密虛擬機器,或針對執行 Intel Software Guard Extensions (SGX) 的虛擬機器使用機密應用程式記憶體保護區。 針對平台即服務,我們提供多種容器型選項,包括與 Azure Kubernetes Service (AKS) 的整合。
反惡意程式碼與防毒軟體
運用 Azure IaaS,您可以使用來自安全性廠商 (例如 Microsoft、Symantec、Trend Micro、McAfee 和 Kaspersky) 的反惡意程式碼軟體,以保護您的虛擬機器來抵禦惡意檔案、廣告軟體和其他威脅。 適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware 是一項保護功能,有助於識別和移除病毒、間諜軟體和其他惡意軟體。 Microsoft Antimalware 會提供可設定的警示,在已知的惡意或垃圾軟體嘗試自行安裝或在您的 Azure 系統上執行時發出警示。 您也可以使用適用於雲端的 Microsoft Defender 來部署 Microsoft Antimalware
硬體安全性模型
除非金鑰本身受到保護,否則加密和驗證不會改善安全性。 您可以藉由將關鍵密碼和金鑰存放在 Azure Key Vault,來簡化其管理與安全性。 Key Vault 讓您能選擇將金鑰存放在通過 FIPS 140 驗證標準認證的硬體安全性模組 (HSM) 中。 備份或 透明資料加密 的 SQL Server 加密金鑰都能與應用程式的任何金鑰或密碼一起存放在金鑰保存庫中。 這些受保護項目的權限和存取權是透過 Microsoft Entra ID 來管理。
虛擬機器備份
Azure 備份是一種解決方案,可以不需成本地保護您的應用程式資料,以及將操作成本降到最低。 應用程式錯誤可能導致資料損毀,而人為錯誤可能會將 Bug 導入應用程式,因而引發安全性問題。 使用 Azure 備份,您執行 Windows 與 Linux 的虛擬機器會受到保護。
Azure Site Recovery
組織之商務持續性/災害復原 (BCDR) 策略的一個重要部分是,找出在發生計劃中和非計劃中的中斷時讓企業工作負載和應用程式保持啟動並執行的方法。 Azure Site Recovery 可協助協調工作負載和應用程式的複寫、故障轉移和復原,以便在主要位置關閉時從次要位置取得它們。
SQL VM TDE
透明資料加密 (TDE) 和資料行層級加密 (CLE) 都是 SQL Server 加密功能。 此形式的加密需要客戶管理和儲存您用來加密的密碼編譯金鑰。
Azure Key Vault (AKV) 服務旨在改善這些金鑰在安全且高可用性位置的安全性和管理。 SQL Server 連接器 讓 SQL Server 可以從 Azure 金鑰保存庫使用這些金鑰。
如果您使用內部部署機器執行 SQL Server,您可以從內部部署 SQL Server 實例存取 Azure 金鑰保存庫。 但是對於 Azure VM 中的 SQL Server,您可以使用 Azure Key Vault 整合功能來節省時間。 使用一些 Azure PowerShell Cmdlet 來啟用這項功能,您可以自動化 SQL VM 存取您的金鑰保存庫所需的組態。
VM 磁碟加密
適用於 Linux VM 的 Azure 磁碟加密和適用於 Windows VM 的 Azure 磁碟加密可協助您加密 IaaS 虛擬機器磁碟。 它運用 Windows 的業界標準 BitLocker 功能和 Linux 的 DM-Crypt 功能,為 OS 和資料磁碟提供磁碟區加密。 此解決方案會與 Azure Key Vault 整合,以協助您控制及管理 Key Vault 訂用帳戶中的磁碟加密金鑰與密碼。 此解決方案也可確保虛擬機器磁碟上的所有待用資料都會在您的 Azure 儲存體中加密。
虛擬網路
虛擬機器需要遠端連線。 為了支援該需求,Azure 需要虛擬機器連接到 Azure 虛擬網路。 Azure 虛擬網路是以實體 Azure 網路網狀架構為基礎所建置的邏輯建構。 每個邏輯 Azure 虛擬網路都會與其他所有 Azure 虛擬網路隔離。 此隔離可協助確保部署中的網路流量無法存取其他Microsoft Azure 客戶。
修補程式更新
修補程式更新提供尋找及修正潛在問題的基礎並簡化軟體更新管理程序,方法是減少您必須在企業中部署的軟體更新數目,以及增強您監視合規性的能力。
安全性原則管理和報告
適用於雲端的 Defender 可幫助您防止、偵測和回應威脅,並加強對 Azure 資源的可見度和安全性控制權。 它提供您 Azure 訂用帳戶之間的整合式安全性監視和原則管理、協助偵測可能忽略的威脅,並適用於廣泛的安全性解決方案生態系統。
身分識別和存取管理
保護系統、應用程式及資料是從以身分識別為基礎的存取控制開始。 內建於 Microsoft 商務產品和服務的身分識別與存取管理功能,可協助保護您的組織和個人資訊免於遭受未經授權的存取,同時讓合法的使用者隨時隨地都能視需要來使用它。
安全的身分識別
Microsoft 在其產品與服務上使用多個安全性作法與技術來管理身分識別與存取。
多重要素驗證 需要使用者使用多個方法來存取、內部部署和雲端。 它使用一些簡單驗證選項來提供堅固的驗證,同時透過簡易登入程序來因應使用者。
Microsoft Authenticator 提供方便使用的多重要素驗證體驗,可搭配 Microsoft Entra ID 和 Microsoft 帳戶使用,並包含可穿戴裝置和指紋型核准的支援。
密碼原則強制執行藉由加強長度和複雜度需求、強制定期循環,以及在失敗的驗證嘗試之後鎖定帳戶,來提高傳統密碼的安全性。
權杖型驗證可透過 Microsoft Entra ID 啟用驗證。
Azure 角色型存取控制 (Azure RBAC) 可讓您根據使用者指派的角色來授與存取權限,以便輕鬆地只為使用者提供執行其作業內容所需的存取權限。 您可以針對每個組織的商務模型和風險承受度自訂 Azure RBAC。
整合式身分識別管理 (混合式身分識別) 可讓您維持控制使用者在內部資料中心和雲端平台上的存取權,建立單一使用者身分識別,以便對所有資源進行驗證與授權。
保護應用程式和資料
Microsoft Entra ID、完整的身分識別和存取管理雲端解決方案,可協助保護網站和雲端應用程式中數據的存取,並簡化使用者和群組的管理。 它結合了核心目錄服務、進階身分識別控管、安全性,以及應用程式存取管理,並讓開發人員能夠輕鬆地將以原則為基礎的身分識別管理建置到他們的應用程式中。 若要增強您的 Microsoft Entra ID,您可以使用 Microsoft Entra Basic、Premium P1 及 Premium P2 版本來新增付費功能。
| 免費/常用功能 | 基本功能 | Premium P1 功能 | Premium P2 功能 | Microsoft Entra join – 僅適用於 Windows 10 的相關功能 |
|---|---|---|---|---|
| 目錄物件、使用者/群組管理 (新增/更新/刪除)/以使用者為基礎的佈建、裝置註冊、單一登入 (SSO)、雲端使用者的自助式密碼變更、連線 (針對將內部部署目錄延伸至 Microsoft Entra ID 的引擎進行同步)、安全性/使用量報告 | 群組型存取管理/布建、雲端使用者的自助式密碼重設、公司商標(登入頁面/存取面板 自定義)、應用程式 Proxy、SLA 99.9% | 自助式群組和應用程式管理/自助式應用程式新增/動態群組、自助式密碼重設/變更/解除鎖定與內部部署回寫、多重要素驗證(雲端和內部部署 (MFA Server)、MIM CAL + MIM 伺服器、Cloud App Discovery、Connect Health、自動變換組帳戶的密碼變換 | Identity Protection、Privileged Identity Management | 透過 Microsoft Entra Joina join 將裝置加入至 Microsoft Entra ID、Desktop SSO、Microsoft Passport for Microsoft Entra ID、Administrator BitLocker 複原、MDM 自動註冊、 自助式 BitLocker 復原、額外的本機系統管理員到 Windows 10 裝置 |
Cloud App Discovery 是 Microsoft Entra ID 的一個高階功能,可讓您識別組織中的員工所使用的雲端應用程式。
Microsoft Entra ID Protection 是一種安全性服務,會使用 Microsoft Entra 異常偵測功能來提供可能影響組織身分識別之風險偵測和潛在弱點的合併檢視。
Microsoft Entra Domain Services 可讓您將 Azure VM 加入至網域,而不需部署網域控制站。 使用者利用其公司的 Active Directory 認證登入這些 VM,並可順暢地存取資源。
Microsoft Entra B2C 是適用於消費者面向應用程式的高可用性全域身分識別管理服務,可調整為數億個身分識別,並跨行動和 Web 平臺整合。 您的客戶可以透過可自訂的體驗 (現有的社交媒體帳戶) 登入您所有的應用程式,或者您可以建立新的獨立認證。
Microsoft Entra B2B 共同作業是一個安全的合作夥伴整合解決方案,可支援公司間的關係,方法則是讓合作夥伴使用由其自行管理的身分識別,選擇性地存取您的公司應用程式和資料。
Microsoft Entra joined 可讓您將雲端功能擴充至 Windows 10 裝置以進行集中管理。 它可讓使用者透過 Microsoft Entra ID 連接到公司或組織雲端,並簡化對應用程式和資源的存取。
Microsoft Entra 應用程式 Proxy 為內部部署裝載的 Web 應用程式提供 SSO 及安全的遠端存取。
後續步驟
了解雲端的共同責任。
了解適用於雲端的 Microsoft Defender 如何協助您利用加強對 Azure 資源的可見度和安全性控制權,以防止、偵測和回應威脅。