Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure операционная безопасность относится к службам, элементам управления и функциям, доступным пользователям для защиты своих данных, приложений и других ресурсов в Microsoft Azure. Это платформа, которая базируется на знаниях, полученных с помощью широкого набора уникальных возможностей корпорации Майкрософт. Сюда входят жизненный цикл разработки защищенных приложений (Майкрософт) (SDL), программа Центр Майкрософт по реагированию на угрозы и глубокая осведомленность о характере угроз кибербезопасности.
службы управления Azure
Группа эксплуатации ИТ отвечает за управление инфраструктурой центров обработки данных, приложениями и данными, включая стабильность и безопасность этих систем. Тем не менее, чтобы получить сведения о безопасности в растущих сложных ИТ-средах, организациям нередко приходится собирать вместе данные из нескольких систем безопасности и управления.
Microsoft Azure Monitor logs — это облачное решение для управления ИТ-клиентами, которое помогает управлять локальной и облачной инфраструктурой и защищать ее. Его основные функции предоставляются следующими службами, которые выполняются в Azure. Azure включает несколько служб, которые помогают управлять и защищать локальную и облачную инфраструктуру. Каждая служба предоставляет определенную функцию управления. Можно объединять службы, чтобы реализовать различные сценарии управления.
монитор Azure
Azure Monitor собирает данные из управляемых источников в центральные хранилища данных. Эти данные могут содержать события, данные о производительности или пользовательские данные, полученные с помощью API. Собранные данные доступны для оповещения, анализа и экспорта.
Вы можете объединить данные из различных источников и объединить данные из служб Azure с существующей локальной средой. Журналы Azure Monitor также четко отделяют процесс сбора данных от действий, выполняемых с этими данными, так что все действия доступны для всех типов данных.
Автоматизация
Cлужба автоматизации Azure позволяет автоматизировать выполнение вручную, длительные, подверженные ошибкам и часто повторяющиеся задачи, которые обычно выполняются в облачной и корпоративной среде. Она позволяет сэкономить время и повышает надежность задач администрирования. Данная служба даже планирует эти задачи, чтобы они автоматически выполнялись через регулярные интервалы. Вы можете автоматизировать процессы с помощью модулей Runbook или автоматизировать управление конфигурацией с помощью Desired State Configuration.
Резервное копирование
Azure Backup — это служба на основе Azure, которую можно использовать для резервного копирования (или защиты) и восстановления данных в Microsoft Cloud. Azure Backup заменяет существующее локальное или внесайтовое решение резервного копирования облачным решением, которое является надежным, безопасным и дорогостоящим.
Azure Backup предлагает компоненты, которые вы загружаете и развертываете на соответствующем компьютере или сервере или в облаке. Компонент или агент, который вы развертываете, зависит от того, что вы хотите защитить. Все компоненты Azure Backup (независимо от того, защищаете ли вы данные в локальной среде или в облаке) можно использовать для резервного копирования данных в хранилище служб восстановления Azure в Azure.
Дополнительные сведения см. в таблице компонентов Azure Backup.
Восстановление сайта
Azure Site Recovery обеспечивает непрерывность бизнес-процессов путем оркестрации репликации локальных виртуальных и физических машин на Azure или на дополнительный сайт. Если основная площадка недоступна, переключитесь на резервную площадку, чтобы пользователи могли продолжить работу. После восстановления работоспособности систем выполняется переключение обратно. Используйте Microsoft Defender для облака для более интеллектуального и эффективного обнаружения угроз.
Microsoft Entra ID
Microsoft Entra ID — это комплексная служба удостоверений, которая:
- Включает идентификацию и управление доступом (IAM) в качестве облачной службы.
- Обеспечивает централизованное управление доступом, единовременную аутентификацию и создание отчетов.
- Поддерживает интегрированное управление доступом для тысячи приложений в Azure Marketplace, включая Salesforce, Google Apps, Box и Concur.
Microsoft Entra ID также включает полный набор возможностей управления идентификацией, включая следующие:
- Многофакторная идентификация
- Самообслуживание управления паролями
- Управление группами самообслуживания
- Управление привилегированными учетными записями
- Контроль доступа на основе ролей Azure (Azure RBAC)
- Мониторинг использования приложений
- Расширенный аудит
- Мониторинг безопасности и оповещения
С помощью Microsoft Entra ID все приложения, которые вы публикуете для партнеров и клиентов (бизнес или потребителей), имеют одинаковые возможности управления идентификацией и доступом. Это значительно снижает эксплуатационные расходы.
Microsoft Defender для облака
Microsoft Defender для облака помогает предотвращать, обнаруживать и реагировать на угрозы с повышенной видимостью и контролем над безопасностью ресурсов Azure. Он включает в себя встроенные функции мониторинга безопасности и управления политиками для подписок. Он помогает обнаруживать угрозы, которые в противном случае могут остаться незамеченными, и работает с широким спектром решений по обеспечению безопасности.
Защитите данные виртуальной машины (VM) в Azure, обеспечивая обзор настроек безопасности вашей виртуальной машины и мониторинг угроз. Защитник для облака может отслеживать ваши виртуальные машины, такие как:
- Соответствие параметров безопасности операционной системы рекомендуемым правилам конфигурации.
- Отсутствующие обновления системной безопасности и критические обновления.
- Рекомендации по защите конечных точек.
- Проверка шифрования дисков.
- Сетевые атаки.
Defender для Облака использует управление доступом на основе ролей в Azure (Azure RBAC). Azure RBAC предоставляет встроенные роли, которые могут быть назначены пользователям, группам и службам в Azure.
Defender для облака оценивает конфигурацию ресурсов, чтобы выявить проблемы безопасности и уязвимости. В Defender для облака отображается только информация, связанная с ресурсами, для которых вам назначена роль владельца, участника или читателя в рамках подписки или группы ресурсов, к которым принадлежит ресурс.
Примечание.
Дополнительные сведения о ролях и разрешенных действиях в Defender для облака см. в статье Permissions в Microsoft Defender для облака.
Defender для облака использует Microsoft Monitoring Agent. Это тот же агент, который использует служба мониторинга Azure. Данные, собранные с этого агента, хранятся в существующей рабочей области Log Analytics, связанной с вашей подпиской Azure, или в новой рабочей области, с учётом геолокации виртуальной машины.
монитор Azure
Проблемы с производительностью в облачном приложении могут повлиять на работу вашей компании. Несколько взаимосвязанных компонентов и частые выпуски могут в любое время привести к снижению производительности. В разработанном приложении пользователи, как правило, находят проблемы, которые не были обнаружены во время тестирования. Вы должны немедленно получать о них сведения и применять средства для их диагностики и устранения.
Azure Monitor — это базовый инструмент для мониторинга служб, работающих на Azure. Оно предоставляет данные уровня инфраструктуры о пропускной способности службы и окружающей среды. Если вы управляете приложениями во всех Azure и решаете, следует ли масштабировать ресурсы вверх или вниз, Azure Monitor — это место для начала.
Кроме того, данные мониторинга можно использовать для получения подробных аналитических сведений о приложении. Эти знания могут помочь повысить его производительность и улучшить возможности обслуживания, а также автоматизировать действия, которые в противном случае выполнялись бы вручную.
Azure Монитор включает следующие компоненты.
журнал действий Azure
Журнал действий Azure предоставляет аналитические сведения о операциях, выполняемых для ресурсов в вашей подписке. Раньше он назывался "журнал аудита" или "операционный журнал", так как он сообщает о событиях плоскости управления для ваших подписок.
журналы диагностики Azure
Диагностические журналы Azure создаются ресурсом и предоставляют детализированные и частые данные о работе этого ресурса. Содержимое этих журналов зависит от типа ресурса.
Системные журналы событий Windows являются одной из категорий журналов диагностики для виртуальных машин. Журналы больших двоичных объектов, таблиц и очередей — это категории журналов диагностики для учетных записей хранения.
Журналы диагностики отличаются от журнала Activity Log. Журнал действий предоставляет информацию об операциях, которые выполнялись с ресурсами в вашей подписке. Журналы диагностики содержат аналитические сведения об операциях, выполняемых самим ресурсом.
Метрики
Azure Monitor предоставляет данные телеметрии, которые позволяют просматривать производительность и работоспособность рабочих нагрузок в Azure. Наиболее важным типом данных телеметрии Azure являются метрики (также называемые счетчиками производительности), создаваемые большинством ресурсов Azure. Azure Monitor предоставляет несколько способов настройки и использования этих метрик для мониторинга и устранения неполадок.
диагностика Azure
Диагностика Azure позволяет собирать диагностические данные в развернутом приложении. Можно использовать расширение диагностики из различных источников. Сейчас поддерживаются роли облачной службы Azure, виртуальные машины Azure под управлением Microsoft Windows и служба Azure Service Fabric.
Наблюдатель за сетями Azure
Клиенты создают сквозную сеть в Azure путем оркестрации и создания отдельных сетевых ресурсов, таких как виртуальные сети, Azure ExpressRoute, Шлюз приложений Azure и подсистемы балансировки нагрузки. Мониторинг доступен для всех сетевых ресурсов.
Комплексная сеть может иметь сложные конфигурации и схемы взаимодействия между ресурсами. Результатом являются сложные сценарии, требующие мониторинга на основе сценариев с помощью Azure Network Watcher.
Наблюдатель за сетями упрощает мониторинг и диагностику Azure сети. Средства диагностики и визуализации можно использовать в Наблюдатель за сетями:
- Выполните захват удаленных пакетов на виртуальной машине Azure.
- Получите представление о вашем сетевом трафике с помощью журналов потоков.
- Диагностика Azure VPN Gateway и подключений.
Наблюдатель за сетями в настоящее время имеет следующие возможности:
- Топология. Обеспечивает представление, в котором показаны различные взаимодействия и связи между сетевыми ресурсами в группе ресурсов.
- Изменяемая запись пакетов. Позволяет записывать входящие и исходящие пакеты данных для виртуальной машины. Дополнительные параметры фильтрации и элементы управления, такие как возможность установить ограничения времени и размера, обеспечивают гибкость в работе. Данные пакетов могут храниться в BLOB-хранилище или на локальном диске в формате .cap-файлов.
- Проверка IP-потока. Позволяет проверить, разрешен или запрещен пакет, на основе информации о потоке, указанной пятью кортежами параметров пакета (конечный IP-адрес, исходный IP-адрес, конечный порт, исходный порт и протокол). Если пакет заблокирован группой безопасности, то возвращаются правило и группа, которые запретили этот пакет.
- Next hop: определяет следующий прыжок для пакетов, которые направляются в сетевой структуре Azure, чтобы можно было диагностировать любые неправильно настроенные пользовательские маршруты.
- Представление групп безопасности. Позволяет просмотреть действующие и примененные правила безопасности, которые применяются к виртуальной машине.
- Журналы потока для групп безопасности сети (NSG) позволяют фиксировать данные, связанные с трафиком, который разрешают или запрещают правила безопасности в данной группе. Поток определяется данными пяти кортежей: исходный IP-адрес, конечный IP-адрес, исходный порт, конечный порт и протокол.
- Устранение неполадок шлюзов и подключений виртуальной сети: Предоставляет возможность диагностики и устранения неполадок шлюзов и подключений виртуальной сети.
- Ограничения подписки на сеть: Позволяет просматривать использование сетевых ресурсов в сравнении с установленными ограничениями.
- Журналы диагностики. Предоставляется отдельная область для включения или отключения журналов диагностики сетевых ресурсов в группе ресурсов.
Дополнительные сведения см. в разделе Configure Наблюдатель за сетями.
Прозрачность доступа у поставщика облачных сервисов
Customer Lockbox для Microsoft Azure — это служба, интегрированная в Azure portal, которая предоставляет явный контроль в редких случаях, когда инженеру службы поддержки Microsoft может потребоваться доступ к вашим данным для устранения проблемы.
Существует очень мало ситуаций, таких как проблема с отладкой удаленного доступа, при которой инженеру службы поддержки Microsoft требуются повышенные разрешения для устранения этой проблемы. В таких случаях инженеры Майкрософт используют службу доступа по запросу, которая обеспечивает ограниченную, по времени ограниченную авторизацию с доступом, ограниченным только сервисом.
Хотя корпорация Майкрософт всегда получала согласие клиента на доступ, Customer Lockbox теперь предоставляет вам возможность просматривать и утверждать или отклонять такие запросы из портала Azure. Инженеры службы поддержки Microsoft не будут иметь доступа до тех пор, пока вы не утвердите запрос.
Стандартизированные и совместимые развертывания
Azure Blueprints позволяют архитекторам и центральным информационным группам определять повторяемый набор ресурсов Azure, которые реализуют и соответствуют стандартам, шаблонам и требованиям организации.
Это позволяет командам DevOps быстро создавать и настраивать новые среды с полной уверенностью, что их базовая инфраструктура полностью соответствует требованиям организации.
Схемы предоставляют декларативный способ оркестрации развертывания различных шаблонов ресурсов и других артефактов, таких как:
- Назначения ролей
- Назначения политик
- Шаблоны Azure Resource Manager
- Группы ресурсов
DevOps
Перед Developer Operations (DevOps) разработки приложений команды отвечали за сбор бизнес-требований к программе и написанию кода. Затем отдельная группа контроля качества проверяет программу в изолированной среде разработки. Если требования выполнены, команда контроля качества выпускает код для развертывания эксплуатационной группой. Команды развертывания разделяются на группы, например, отвечающие за сети и базы данных. Каждый раз, когда программное обеспечение передавалось независимой команде в стиле "сброшено через стену", возникали узкие места.
DevOps позволяет командам создавать более безопасные и качественные решения, затрачивая меньше времени и средств. Клиенты ожидают динамическое и надежное взаимодействие с программным обеспечением и службами. Командам необходимо быстро выполнять итерацию обновлений программного обеспечения и оценивать их влияние. Они должны быстро реагировать, выполняя новые итерации при разработке, чтобы устранить проблемы или обеспечить дополнительные преимущества.
Облачные платформы, такие как Microsoft Azure, устранили традиционные узкие места и способствовали стандартизации инфраструктуры. Программное обеспечение является важнейшим фактором любой организации, так как определяет ключевые преимущества и результативность организации. Ни одна организация, разработчик или ИТ-специалист не может и не должен избегать парадигмы DevOps.
Опытные специалисты по DevOps применяют несколько приведенных ниже рекомендаций. Эти рекомендации подразумевают участие людей в формировании стратегий на основе бизнес-сценариев. Соответствующий инструментарий может автоматизировать различные практики.
- Методы гибкого планирования и управления проектами используются для планирования и разбиения работы на спринты, управления возможностями команды и быстрой адаптации команд к изменяющимся бизнес-потребностям.
- Управление версиями (обычно с помощью Git) позволяет командам, расположенным в любой точке мира, совместно работать над исходным кодом и интегрировать инструменты разработки программного обеспечения для автоматизации конвейера выпуска.
- Непрерывная интеграция обеспечивает динамическое слияние и тестирование кода, что позволяет выявлять дефекты на ранних этапах. Еще одно ее преимущество — затрачивается меньше времени на борьбу с проблемами слияния и обеспечивается быстрая обратная связь с командами разработчиков.
- Непрерывная поставка программных решений в рабочую и тестовую среды помогает организациям быстро исправлять ошибки и реагировать на постоянно меняющиеся бизнес-требования.
- Мониторинг позволяет отслеживать работоспособность запущенных приложений, включая рабочую среду, а также данные об их использовании клиентами. Это поможет организациям формировать гипотезы и быстро подтверждать или опровергать разработанные стратегии. Подробные данные собираются и хранятся в различных форматах ведения журнала.
- Infrastructure as Code (IaC) — это практика, которая позволяет автоматизации и проверке создания и разрыва сетей и virtual machines для обеспечения безопасной, стабильной платформы размещения приложений.
- Архитектура микрослужб позволяет изолировать варианты применения в организации в виде небольших служб, которые можно многократно использовать. Эта архитектура обеспечивает масштабируемость и эффективность.
Следующие шаги
Сведения о решении "Безопасность и аудит" см. в следующих статьях: