Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure предоставляет комплексные возможности безопасности во всех уровнях облачных развертываний. Microsoft Azure обеспечивает конфиденциальность, целостность и доступность данных клиентов, обеспечивая прозрачную подотчетность. В этой статье представлена архитектура безопасности Azure, организованная с помощью возможностей защиты, обнаружения и реагирования.
Общие сведения о возможностях безопасности Azure, организованных по функциональной области, см. в статье "Общие сведения о безопасности Azure". Подробные инструкции и лучшие практики см. в обзорных статьях по вопросам безопасности в конкретной области, ссылки на которые приведены в этом документе.
Архитектура безопасности Майкрософт
Службы безопасности Azure организованы по трем базовым категориям:
- Безопасность и защита: Реализация стратегий глубинной защиты в удостоверениях, инфраструктуре, сетях и данных
- Обнаружение угроз: выявление подозрительных действий и потенциальных инцидентов безопасности
- Исследование и реагирование: анализ событий безопасности и выполнение корректирующих действий
На следующей схеме показано, как службы безопасности Azure соответствуют этим категориям и ресурсам, которые они защищают:
Средства и базовые уровни безопасности
Microsoft Cloud Security Benchmark предоставляет комплексные рекомендации по безопасности для служб Azure:
- Элементы управления безопасностью: высокоуровневые рекомендации, применимые в клиенте и службах Azure
- Базовые показатели служб: реализация элементов управления для отдельных служб Azure с определенными рекомендациями по настройке
Используйте следующие элементы управления и базовые показатели:
- Создание стандартов безопасности для облачных развертываний
- Оценка соответствия требованиям в масштабе с помощью панели мониторинга соответствия нормативным требованиям Microsoft Defender для облака
- Сопоставление с отраслевыми стандартами, включая CIS, NIST и PCI-DSS
- Реализация безопасных конфигураций с помощью политики Azure
Сведения о возможностях управления и соответствия требованиям см. в обзоре управления безопасностью и мониторинга Azure.
Безопасность и защита
Azure предоставляет многоуровневые элементы управления безопасностью для удостоверений, инфраструктуры, сетей и данных. Подробные рекомендации по реализации см. в статьях, относящихся к домену.
Защита от угроз
Microsoft Defender для Облака обеспечивает единое управление безопасностью с непрерывной оценкой и расширенной защитой от угроз. Полный охват см. в статье о защите от угроз Azure.
Идентификация и доступ
- Идентификатор Microsoft Entra — облачное удостоверение и управление доступом
- Управление привилегированными удостоверениями — доступ по требованию
- Microsoft Entra ID Protection — автоматическое выявление и устранение рисков
Дополнительные сведения см. в обзоре системы безопасности управления удостоверениями Azure.
Сетевая безопасность
- Брандмауэр Azure — облачный сетевой брандмауэр с системой обнаружения и предотвращения вторжений
- Защита от атак DDoS Azure - Постоянная защита от DDoS-атак
- VPN-шлюз Azure — зашифрованное кросс-локальное подключение
- Azure Front Door — глобальная подсистема балансировки нагрузки с интегрированным WAF
- Приватный канал Azure — частное подключение к службам Azure
Дополнительные сведения см. в обзоре безопасности сети Azure.
Защита данных
- Azure Key Vault — безопасное хранилище ключей и секретов с помощью FIPS 140-2 уровня 1 (уровня "Стандартный") и FIPS 140-3 уровня 3 (уровень "Премиум") проверенных HSM
- Управляемый модуль HSM Key Vault — одноарендаторный модуль FIPS 140-3 уровня 3 HSM
- Шифрование службы хранилища Azure — автоматическое шифрование неактивных данных
- Azure Backup — независимые и изолированные резервные копии
- Конфиденциальные вычисления Azure — защита данных на основе оборудования, используемая с поддержкой GPU AMD SEV-SNP, Intel TDX и NVIDIA H100 GPU
Дополнительные сведения см. в обзоре шифрования Azure и управлении ключами в Azure.
Управление
- Политика Azure . Применение стандартов и оценка соответствия
Дополнительные сведения см. в разделе "Управление безопасностью Azure" и обзор мониторинга.
Обнаружение угроз
Службы обнаружения угроз Azure определяют подозрительные действия и инциденты безопасности в вашей среде.
- Microsoft Defender для облака — расширенная защита от угроз с помощью планов, относящихся к рабочей нагрузке
- Microsoft Sentinel — облачное решение SIEM и SOAR
- Microsoft Defender XDR — единая защита конечных точек, удостоверений, электронной почты и приложений
- Наблюдатель за сетями Azure — мониторинг сети и диагностика
- Microsoft Defender для облачных приложений — брокер безопасности облачного доступа (CASB)
Дополнительные сведения о возможностях обнаружения угроз см. в статье "Защита от угроз Azure".
Исследование и реагирование
Azure предоставляет средства для анализа событий безопасности и реагирования на инциденты.
- Microsoft Sentinel — поиск угроз с помощью средств поиска и запросов
- Azure Monitor — комплексный сбор и анализ данных телеметрии с помощью рабочих областей Log Analytics
- Что такое мониторинг и состояние Microsoft Entra? — журналы действий и журнал аудита
- Microsoft Defender для облачных приложений — средства исследования облачной среды
Сведения о мониторинге и работе см. в обзоре управления безопасностью и мониторинга Azure.
Следующие шаги
- Ознакомьтесь с Общими сведениями о безопасности Azure для комплексного обзора, организованного по функциональным областям
- Ознакомьтесь со службами безопасности Azure и технологиями , чтобы получить полный список возможностей безопасности
- Поймите разделенную ответственность в облаке
- Изучение рекомендаций и шаблонов безопасности Azure
- Узнайте о microsoft cloud security benchmark