Сквозная система безопасности в Azure
Одним из наиболее весомых доводов в пользу использования Azure для приложений и служб является доступ к обширному ассортименту различных инструментов и функций обеспечения безопасности. Эти средства и возможности мы предлагаем вам для создания безопасных решений на безопасной платформе Azure. Microsoft Azure обеспечивает конфиденциальность, целостность и доступность данных клиента, а также прозрачный учет.
На схеме ниже и в документации представлены службы обеспечения безопасности в среде Azure. Эти службы помогают обеспечить надлежащую безопасность всей компании и защитить ее пользователей, устройства, ресурсы, данные и приложения в облаке.
Карта служб Майкрософт для обеспечения безопасности
На карте служб обеспечения безопасности службы организованы по ресурсам, которые они защищают (столбец). На схеме службы также сгруппированы в следующие категории (строка):
- Безопасность и защита: службы, позволяющие реализовать многоуровневую стратегию защиты удостоверений, узлов, сетей и данных. Эта коллекция служб и функций безопасности позволяет понять и улучшить состояние безопасности организации в среде Azure.
- Обнаружение угроз: службы, которые определяют подозрительные действия и помогают устранить угрозу.
- Исследование и реагирование: службы, которые извлекают данные из журналов, чтобы дать вам возможность проанализировать подозрительные действия и ответить на них.
Средства и базовые уровни безопасности
Тест безопасности microsoft cloud security включает в себя коллекцию рекомендаций по обеспечению безопасности с высоким уровнем влияния, которые можно использовать для защиты служб, используемых в Azure:
- Элементы управления безопасностью: эти рекомендации обычно применимы к клиенту Azure и службам Azure. К каждой рекомендации прилагается список заинтересованных лиц, которые обычно участвуют в планировании, утверждении или реализации тестирования.
- Базовые средства для служб: эти средства служат для применения элементов управления к отдельным службам Azure в целях предоставления рекомендаций по настройке безопасности службы.
Безопасность и защита
| Служба | Description |
|---|---|
| Microsoft Defender для облака | Единая система управления безопасностью инфраструктуры, которая повышает уровень защищенности центров обработки данных и предоставляет расширенную защиту от угроз в гибридных рабочих нагрузках в облаке, независимо от того, находятся ли они в Azure, а также локально. |
| Управление удостоверениями и доступом | |
| Microsoft Entra ID | Облачная служба идентификации и управления доступом Microsoft. |
| Условный доступ — это средство, используемое идентификатором Microsoft Entra для объединения сигналов удостоверений, принятия решений и применения политик организации. | |
| Доменные службы — это средство, используемое идентификатором Microsoft Entra для предоставления управляемых доменных служб , таких как присоединение к домену, групповая политика, протокол LDAP и проверка подлинности Kerberos/NTLM. | |
| управление привилегированными пользователями (PIM) — это служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. | |
| Многофакторная проверка подлинности — это средство, используемое идентификатором Microsoft Entra для защиты доступа к данным и приложениям, требуя второй формы проверки подлинности. | |
| Защита идентификации Microsoft Entra | Средство, которое позволяет организациям автоматизировать обнаружение и устранение рисков на основе удостоверений, анализировать риски с помощью данных на портале и экспортировать данные об обнаружении рисков в сторонние программы для дальнейшего анализа. |
| Инфраструктура и сеть | |
| VPN-шлюз | Шлюз виртуальной сети, который используется для пересылки зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет и для пересылки зашифрованного трафика между виртуальными сетями Azure по сети Майкрософт. |
| Защита от атак DDoS Azure | Предоставляет улучшенные функции устранения рисков атаки DDoS, обеспечивающие более надежную защиту от них. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети. |
| Azure Front Door | Глобальная масштабируемая точка входа, использующая глобальную промежуточную подсеть Майкрософт для создания быстрых, безопасных и масштабируемых веб-приложений. |
| Брандмауэр Azure | Ориентированная на облако интеллектуальная служба безопасности сетевого брандмауэра, которая обеспечивает защиту от угроз для ваших облачных рабочих нагрузок, работающих в Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Брандмауэр Azure предлагается в трех номерах SKU: Стандартный, премиум и базовый. |
| Azure Key Vault | Безопасное хранилище секретов для маркеров, паролей, сертификатов, ключей API и других секретных данных. Эта служба позволяет легко создавать и контролировать ключи шифрования, используемые для шифрования данных. |
| Управляемое устройство HSM в Key Vault | Полностью управляемая, высокодоступная, однотенантная, соответствующая стандартам облачная служба, которая позволяет защищать криптографические ключи для облачных приложений, используя устройства HSM, отвечающие стандартам FIPS 140-2 уровня 3. |
| Приватный канал Azure | Обеспечивает доступ к службам Azure PaaS (например, к службе хранилища Microsoft Azure и Базе данных SQL), а также размещенным в Azure службам, которые принадлежат клиенту или партнеру, через частную конечную точку в вашей виртуальной сети. |
| Шлюз приложений Azure | Подсистема балансировки нагрузки веб-трафика, предназначенная для управления трафиком веб-приложений. Шлюза приложений умеет принимать решения о маршрутизации на основе дополнительных атрибутов HTTP-запроса, например пути URI или заголовков узла. |
| Служебная шина Azure | Полностью управляемый брокер сообщений корпоративного типа с поддержкой очередей сообщений и разделов публикации и подписки. Служебная шина используется для разделения приложений и служб. |
| брандмауэр веб-приложения; | Обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. WAF можно развернуть с помощью Шлюза приложений Azure и Azure Front Door. |
| Политика Azure | Помогает применять организационные стандарты и оценивать соответствие нормативным требованиям в больших масштабах. На панели мониторинга "Соответствие требованиям" этой службы доступно агрегированное представление для оценки общего состояния среды с возможностью детализации до уровня конкретных ресурсов и политик. Также вы можете привести ресурсы в соответствие требованиям, используя средства пакетного исправления для существующих ресурсов и автоматического исправления для новых ресурсов. |
| Данные и приложения | |
| Azure Backup | Простые, безопасные и экономичные решения для резервного копирования и восстановления данных из облака Microsoft Azure. |
| Шифрование службы хранилища Azure | Автоматическое шифрование данных перед их сохранением и автоматическая расшифровка после их получения. |
| Azure Information Protection | Облачное решение, которое помогает организациям обнаруживать, классифицировать и защищать документы и сообщения электронной почты, применяя метки к содержимому. |
| Управление API | Позволяет создавать согласованные и современные шлюзы API для имеющихся внутренних служб. |
| Конфиденциальные вычисления Azure | Позволяет изолировать конфиденциальные данные во время их обработки в облаке. |
| Azure DevOps | Проекты, хранящиеся в среде Azure DevOps, получают такие преимущества, как многоуровневые средства обеспечения безопасности и управления, рекомендации и политики соответствия требованиям. |
| Доступ клиентов | |
| Внешняя идентификация Microsoft Entra | Внешние удостоверения в Microsoft Entra ID позволяют предоставлять пользователям вне вашей организации доступ к приложениям и ресурсам, разрешая им вход с любыми удостоверениями на их выбор. |
| Вы можете совместно использовать приложения и ресурсы с внешними пользователями с помощью совместной работы Microsoft Entra B2B . | |
| Azure AD B2C поддерживает миллионы пользователей и миллиарды операций проверки подлинности в день, позволяя отслеживать и автоматически обрабатывать такие угрозы, как отказ в обслуживании, распыление паролей и атаки методом подбора. |
Обнаружение угроз
| Служба | Description |
|---|---|
| Microsoft Defender для облака | Обеспечивает расширенную интеллектуальную защиту для Azure, гибридных ресурсов и рабочих нагрузок. Панель мониторинга защиты рабочих нагрузок в Defender для облака обеспечивает видимость и контроль над функциями защиты облачных рабочих нагрузок для вашей среды. |
| Microsoft Sentinel | Масштабируемое ориентированное на облако решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для оркестрации событий безопасности и автоматического реагирования (SOAR). Sentinel обеспечивает интеллектуальные средства для анализа данных безопасности и аналитику угроз по всему предприятию, предоставляя единое решение для обнаружения предупреждений, видимости угроз, упреждающего поиска и реагирования на угрозы. |
| Управление удостоверениями и доступом | |
| Microsoft Defender XDR | Комплексное средство защиты корпоративного уровня на этапах до и после нарушения безопасности. Это средство координирует функции обнаружения, предотвращения, исследования и реагирования между конечными точками, удостоверениями, электронной почтой и приложениями, обеспечивая интегрированную защиту от изощренных атак. |
| Microsoft Defender для конечной точки — это корпоративная платформа защиты конечных точек, позволяющая организациям предотвращать, обнаруживать, исследовать современные угрозы в сети и реагировать на них. | |
| Microsoft Defender для удостоверений — облачное решение для обеспечения безопасности, которое использует локальные сигналы Active Directory для обнаружения, выявления и анализа сложных угроз, скомпрометированных удостоверений и вредоносных действий внутренних пользователей, направленных на вашу организацию. | |
| Защита идентификации Microsoft Entra | Отправляет два типа автоматических почтовых уведомлений (обнаружение пользователей в группе риска и еженедельный дайджест), помогающих управлять рисками для пользователей и случаями обнаружения рисков. |
| Инфраструктура и сеть | |
| Брандмауэр Azure | Брандмауэр Azure уровня "Премиум" предоставляет систему обнаружения и предотвращения вторжений (IDPS) на основе сигнатур, позволяющую быстро обнаруживать атаки путем поиска определенных шаблонов, таких как последовательности байтов в сетевом трафике или известные вредоносные последовательности инструкций, используемые вредоносными программами. |
| Microsoft Defender для Интернета вещей | Единое решение для обеспечения безопасности, которое обнаруживает устройства, уязвимости и угрозы в сетях IoT/OT. Оно позволяет защитить всю среду IoT/OT, вне зависимости от того, нужно ли защищать существующие устройства IoT/OT или обеспечить безопасность в новых средах IoT. |
| Наблюдатель за сетями Azure | Предоставляет инструменты для мониторинга, диагностики, просмотра метрик и включения или отключения журналов для ресурсов в виртуальной сети Azure. Служба "Наблюдатель за сетями" предназначена для мониторинга и восстановления работоспособности сети для продуктов IaaS (инфраструктура как услуга), в том числе виртуальных машин, виртуальных сетей, шлюзов приложений и подсистем балансировки нагрузки. |
| Политика Azure | Помогает применять организационные стандарты и оценивать соответствие нормативным требованиям в больших масштабах. Политика Azure использует автоматически включаемые журналы действий, содержащие такие сведения, как источник событий, дата, пользователь, метка времени, исходные адреса, адреса назначения и другие полезные элементы. |
| Данные и приложения | |
| Microsoft Defender для контейнеров | Облачное решение, которое используется для защиты контейнеров, чтобы улучшить, отслеживать и поддерживать безопасность кластеров, контейнеров и их приложений. |
| Microsoft Defender for Cloud Apps | Брокер безопасного доступа в облако (CASB), работающий в нескольких облаках. Она обеспечивает широкий уровень видимости, контроль над перемещением данных и сложной аналитикой для выявления и борьбы с киберугрозами во всех облачных службах. |
Исследование и реагирование
| Служба | Description |
|---|---|
| Microsoft Sentinel | Для поиска угроз безопасности в источниках данных организации в Azure Sentinel предусмотрены мощные инструменты поиска, охоты и запросов. |
| Журналы и метрики Azure Monitor | Эта служба является комплексным решением для сбора, анализа и использования телеметрии из облака и локальных сред. Azure Monitor собирает и объединяет данные из различных источников в рамках общей платформы данных, где их можно использовать для анализа, визуализации и отправки оповещений. |
| Управление удостоверениями и доступом | |
| Отчеты и мониторинг Azure AD | Отчеты Microsoft Entra предоставляют комплексное представление действий в вашей среде. |
| Мониторинг Microsoft Entra позволяет направлять журналы действий Microsoft Entra в разные конечные точки. | |
| Журнал аудита Microsoft Entra PIM | Позволяет просмотреть все назначения и активации ролей за последние 30 дней для всех привилегированных ролей. |
| Данные и приложения | |
| Microsoft Defender for Cloud Apps | Инструменты, позволяющие лучше понять, что именно происходит в вашей облачной среде. |
Следующие шаги
Примите к сведению информацию в статье об общей ответственности в облаке.
Ознакомьтесь с описанием методов, используемых в Azure для изоляции от злоумышленников и других пользователей.