Поделиться через

Обзор операционной безопасности Azure

Под операционной безопасностью Azure понимаются службы, элементы управления и функции, которые пользователи могут использовать для защиты своих данных, приложений и других ресурсов в Microsoft Azure. Это платформа, которая базируется на знаниях, полученных с помощью широкого набора уникальных возможностей корпорации Майкрософт. Сюда входят жизненный цикл разработки защищенных приложений (Майкрософт) (SDL), программа Microsoft Security Response Center и глубокая осведомленность о характере угроз кибербезопасности.

Службы управления Azure

Группа эксплуатации ИТ отвечает за управление инфраструктурой центров обработки данных, приложениями и данными, включая стабильность и безопасность этих систем. Тем не менее, чтобы получить сведения о безопасности в растущих сложных ИТ-средах, организациям нередко приходится собирать вместе данные из нескольких систем безопасности и управления.

Журналы Microsoft Azure Monitor — это облачное решение для управления ИТ-средой, которое помогает управлять локальной и облачной инфраструктурой и защищать ее. Его основные функциональные возможности предоставляются с помощью приведенных ниже служб, выполняющихся в Azure. Azure включает несколько служб, которые позволяют управлять и защищать вашу локальную и облачную инфраструктуру. Каждая служба предоставляет определенную функцию управления. Можно объединять службы, чтобы реализовать различные сценарии управления.

Azure Monitor

Azure Monitor собирает данные из управляемых источников в центральные хранилища данных. Эти данные могут содержать события, данные о производительности или пользовательские данные, полученные с помощью API. Собранные данные доступны для оповещения, анализа и экспорта.

Можно консолидировать данные из различных источников таким образом, чтобы вы могли объединять данные из служб Azure с существующей локальной средой. В журналах Azure Monitor также четко разделен сбор данных и действия с этими данными, чтобы все действия были доступны для всех видов данных.

Автоматизация

Служба автоматизации Azure позволяет пользователям автоматизировать стандартные задачи в облачной среде и среде предприятия. Такие задачи обычно выполняются вручную, занимают много времени, подвержены ошибкам и часто повторяются. Она позволяет сэкономить время и повышает надежность задач администрирования. Данная служба даже планирует эти задачи, чтобы они автоматически выполнялись через регулярные интервалы. Можно автоматизировать процессы, используя модули runbook, или автоматизировать управление конфигурацией, используя службу настройки требуемого состояния (DSC).

Резервное копирование

Azure Backup — это служба на платформе Azure, используемая для резервного копирования (или защиты) и восстановления данных в Microsoft Cloud. Azure Backup позволяет заменить существующее локальное или автономное решение для резервного копирования на надежное, безопасное и экономичное облачное решение.

Azure Backup включает в себя несколько компонентов, которые можно скачать и развернуть на соответствующем компьютере, сервере или в облаке. В зависимости от того, что вам нужно защитить, развертываются различные компоненты или агенты. Все компоненты Azure Backup можно использовать для резервного копирования данных в хранилище служб восстановления Azure, независимо от того, защищаются ли локальные или облачные данные.

Чтобы получить дополнительные сведения, ознакомьтесь с таблицей компонентов Azure Backup.

Site Recovery

Azure Site Recovery обеспечивает непрерывность бизнес-процессов, управляя процессами репликации локальных физических компьютеров и виртуальных машин в Azure или на дополнительный сайт. В случае недоступности основного сайта происходит отработка отказа с выполнением перехода на дополнительный сайт, чтобы пользователи могли продолжить работу. После восстановления работоспособности систем выполняется восстановление размещения. Используйте Microsoft Defender для облака с целью более "разумного" и эффективного обнаружения угроз.

Microsoft Entra ID

Идентификатор Microsoft Entra — это комплексная служба удостоверений, которая:

  • обеспечивает управление удостоверениями и доступом (IAM) в качестве облачной службы;
  • обеспечивает централизованное управление доступом, единый вход и формирование отчетов;
  • поддерживает встроенные функции управления доступом к тысячам приложений в Azure Marketplace, включая Salesforce, Google Apps, Box и Concur.

Идентификатор Microsoft Entra также включает полный набор возможностей управления удостоверениями, включая следующие:

С идентификатором Microsoft Entra все приложения, которые вы публикуете для партнеров и клиентов (бизнес или потребителей), имеют одинаковые возможности управления удостоверениями и доступом. Это значительно снижает эксплуатационные расходы.

Microsoft Defender для облака

Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них при одновременном повышении видимости безопасности ресурсов Azure и контроля над ней. Он включает в себя встроенные функции мониторинга безопасности и управления политиками для подписок. Он помогает обнаруживать угрозы, которые в противном случае могут остаться незамеченными, и работает с широким спектром решений по обеспечению безопасности.

Центр безопасности помогает защитить данные виртуальных машин в Azure, обеспечивая представление параметров безопасности и отслеживание угроз. Defender для облака может отслеживать виртуальные машины для обеспечения следующих возможностей:

  • Соответствие параметров безопасности операционной системы рекомендуемым правилам конфигурации.
  • Своевременная установка отсутствующих обновлений системы безопасности и критических обновлений.
  • Рекомендации по защите конечных точек.
  • Проверка шифрования дисков.
  • Сетевые атаки.

Defender для облака использует управление доступом на основе ролей Azure (Azure RBAC). Azure RBAC предоставляет встроенные роли, которые могут назначаться пользователям, группам и службам в Azure.

Defender for Cloud оценивает конфигурацию ресурсов, чтобы выявить проблемы безопасности и уязвимости. В Defender для облака отображается только информация, связанная с ресурсами, для которых вам назначена роль владельца, участника или читателя в рамках подписки или группы ресурсов, к которым принадлежит ресурс.

Примечание.

Дополнительные сведения о ролях и разрешенных действиях в Defender для облака см. в этой статье.

Defender для облака использует Microsoft Monitoring Agent. Это тот же агент, который использует служба Azure Monitor. Данные, собранные из этого агента, сохраняются в существующей рабочей области Log Analytics, связанной с подпиской Azure, или в новой рабочей области с учетом географического расположения виртуальной машины.

Azure Monitor

Проблемы с производительностью в облачном приложении могут повлиять на работу вашей компании. Несколько взаимосвязанных компонентов и частые выпуски могут в любое время привести к снижению производительности. В разработанном приложении пользователи, как правило, находят проблемы, которые не были обнаружены во время тестирования. Вы должны немедленно получать о них сведения и применять средства для их диагностики и устранения.

Azure Monitor — это основное средство для отслеживания служб, выполняемых в Azure. Оно предоставляет данные уровня инфраструктуры о пропускной способности службы и окружающей среды. Если вы управляете всеми своими приложениями в Azure и пытаетесь понять, следует ли увеличить или уменьшить масштаб ресурсов, то вам будет удобно приступить к работе с Azure Monitor.

Кроме того, данные мониторинга можно использовать для получения подробных аналитических сведений о приложении. Эти знания могут помочь повысить его производительность и улучшить возможности обслуживания, а также автоматизировать действия, которые в противном случае выполнялись бы вручную.

Azure Monitor содержит следующие компоненты.

Журнал действий Azure

Журнал действий Azure — это журнал с аналитическими сведениями об операциях, которые выполнялись с ресурсами в подписке. Раньше он назывался журналом аудита или операционным журналом, так как он содержит связанные с подписками события плоскости управления.

Журналы диагностики Azure

Журналы диагностики Azure выдаются ресурсом. Они содержат подробные и своевременные данные о работе этого ресурса. Содержимое этих журналов зависит от типа ресурса.

Системные журналы событий Windows являются одной из категорий журналов диагностики для виртуальных машин. Журналы больших двоичных объектов, таблиц и очередей относятся к категории журналов диагностики для учетных записей хранения.

Журналы диагностики отличаются от журнала действий. Журнал действий Azure — это журнал с информацией об операциях, которые выполнялись с ресурсами в подписке. Журналы диагностики содержат аналитические сведения об операциях, выполняемых самим ресурсом.

Метрики

Azure Monitor предоставляет данные телеметрии, что дает вам возможность отслеживать производительность и работоспособность рабочих нагрузок в Azure. Наиболее важным типом данных телеметрии Azure являются метрики (также называемые счетчиками производительности), создаваемые большинством ресурсов Azure. Azure Monitor предоставляет несколько способов настройки и использования этих метрик для мониторинга и устранения неполадок.

Система диагностики Azure

Система диагностики Azure позволяет собирать диагностические данные развернутого приложения. Можно использовать расширение диагностики из различных источников. В настоящее время поддерживаются веб-роли облачной службы Azure, виртуальные машины Azure под управлением Microsoft Windows и Azure Service Fabric.

Наблюдатель за сетями Azure

Клиенты создают комплексную сеть в Azure, администрируя и сочетая отдельные сетевые ресурсы, в том числе виртуальные сети, каналы Azure ExpressRoute, шлюзы приложений Azure и подсистемы балансировки нагрузки. Мониторинг доступен для всех сетевых ресурсов.

Комплексная сеть может иметь сложные конфигурации и схемы взаимодействия между ресурсами. Это позволяет создавать сложные системы, требующие мониторинга на основе сценариев с помощью службы Наблюдатель за сетями Azure.

Служба "Наблюдатель за сетями" упрощает мониторинг и диагностику сети Azure. Инструменты диагностики и визуализации в службе "Наблюдатель за сетями" можно использовать для:

  • записи удаленных пакетов на виртуальной машине Azure;
  • анализа сетевого трафика с помощью журналов потоков;
  • диагностики Azure VPN-шлюза и подключений.

В настоящее время Наблюдатель за сетями имеет следующие возможности.

  • Топология. Обеспечивает представление, в котором показаны различные взаимодействия и связи между сетевыми ресурсами в группе ресурсов.
  • Изменяемая запись пакетов. Позволяет записывать входящие и исходящие пакеты данных для виртуальной машины. Дополнительные параметры фильтрации и элементы управления, такие как возможность установить ограничения времени и размера, обеспечивают гибкость в работе. Данные пакетов могут храниться в хранилище BLOB-объектов или на локальном диске в виде CAP-файлов.
  • Проверка IP-потока. Позволяет проверить, разрешен или запрещен пакет, на основе информации о потоке, указанной пятью кортежами параметров пакета (конечный IP-адрес, исходный IP-адрес, конечный порт, исходный порт и протокол). Если пакет отклонен группой безопасности, возвращаются правило и группа, которые запретили этот пакет.
  • Определение следующего прыжка. Позволяет определить следующий прыжок для пакетов, маршрутизируемых в сетевой структуре Azure, что позволяет диагностировать любые неправильные определенные пользователем маршруты.
  • Представление групп безопасности. Позволяет просмотреть действующие и примененные правила безопасности, которые применяются к виртуальной машине.
  • Журналы потоков для групп безопасности сети позволяют записывать журналы, относящиеся к трафику, который разрешают или запрещают правила безопасности в группе. Поток определяется данными пяти кортежей: исходный IP-адрес, конечный IP-адрес, исходный порт, конечный порт и протокол.
  • Устранение неполадок шлюза виртуальной сети и подключений. Дает возможность устранять неполадки шлюза виртуальной сети и подключений.
  • Ограничения сетевых ресурсов подписки. Возможность просмотреть данные об использовании сетевых ресурсов относительно установленных ограничений.
  • Журналы диагностики. Предоставляется отдельная область для включения или отключения журналов диагностики сетевых ресурсов в группе ресурсов.

Дополнительные сведения см. в разделе Создание экземпляра Наблюдателя за сетями Azure.

Прозрачность доступа к поставщику облачной службы

Защищенное хранилище для Microsoft Azure — это интегрированная в портал Azure служба, которая предоставляет вам явный контроль. Это может понадобиться в редких ситуациях, например когда инженеру службы поддержки Майкрософт может потребоваться доступ к вашим данным для устранения проблемы. Такое происходит лишь в особых случаях, например при отладке проблемы с удаленным доступом, для устранения которой инженеру службы поддержки Майкрософт требуется повышенный уровень разрешений. В таких случаях инженеры корпорации Майкрософт применяют JIT-службы доступа для получения ограниченной по правам и срокам авторизации на доступ к конкретной службе.
Хотя корпорация Майкрософт всегда получила согласие клиента на доступ, блокировка клиента теперь дает возможность просматривать и утверждать или отклонять такие запросы от портал Azure. Сотрудники службы поддержки Майкрософт не получат доступ, пока вы не утвердите запрос.

Стандартизированные и соответствующие требованиям развертывания

Служба Azure Blueprints позволяет облачным архитекторам и центральным ИТ-группам определять воспроизводимый набор ресурсов Azure, который реализует стандарты, шаблоны и требования организации и полностью соответствует им.
Это позволяет командам DevOps быстро создавать и настраивать новые среды с полной уверенностью, что их базовая инфраструктура полностью соответствует требованиям организации. Схемы предоставляют декларативный способ для оркестрации развертывания шаблонов ресурсов и других артефактов, таких как:

  • Назначения ролей
  • Назначения политик
  • Шаблоны диспетчера ресурсов Azure
  • Группы ресурсов

DevOps

Перед разработкой приложений согласно DevOps командам разработчиков поручается составить бизнес-требования для программного обеспечения и написание кода. Затем отдельная группа контроля качества проверяет программу в изолированной среде разработки. Если требования выполнены, команда контроля качества выпускает код для развертывания эксплуатационной группой. Команды развертывания разделяются на группы, например, отвечающие за сети и базы данных. Каждый раз, когда программное обеспечение передается независимой команде и предыдущая команда, как говорится, "умывает руки", возникают узкие места.

DevOps позволяет командам создавать более безопасные и качественные решения, затрачивая меньше времени и средств. Клиенты ожидают динамическое и надежное взаимодействие с программным обеспечением и службами. Командам необходимо быстро выполнять итерацию обновлений программного обеспечения и оценивать их влияние. Они должны быстро реагировать, выполняя новые итерации при разработке, чтобы устранить проблемы или обеспечить дополнительные преимущества.

Такие облачные платформы, как Microsoft Azure, лишены традиционных узких мест и помогают упростить инфраструктуру. Программное обеспечение является важнейшим фактором любой организации, так как определяет ключевые преимущества и результативность организации. Ни одна организация, разработчик или ИТ-специалист не может и не должен избегать парадигмы DevOps.

Опытные специалисты по DevOps применяют несколько приведенных ниже рекомендаций. Эти рекомендации подразумевают участие людей в формировании стратегий на основе бизнес-сценариев. Помочь автоматизировать различные рекомендации может соответствующий инструментарий.

  • Методики гибкого планирования и управления проектами используются для планирования и разделения работы на спринты, управления эффективностью команды, а также помогают командам быстро адаптироваться к меняющиеся потребностям организации.
  • Управление версиями (обычно с помощью Git) позволяет командам, расположенным в любой точке мира, совместно работать над исходным кодом и интегрировать инструменты разработки программного обеспечения для автоматизации конвейера выпуска.
  • Непрерывная интеграция обеспечивает динамическое слияние и тестирование кода, что позволяет выявлять дефекты на ранних этапах. Еще одно ее преимущество — затрачивается меньше времени на борьбу с проблемами слияния и обеспечивается быстрая обратная связь с командами разработчиков.
  • Непрерывная поставка программных решений в рабочую и тестовую среды помогает организациям быстро исправлять ошибки и реагировать на постоянно меняющиеся бизнес-требования.
  • Мониторинг позволяет отслеживать работоспособность запущенных приложений, включая рабочую среду, а также данные об их использовании клиентами. Это поможет организациям формировать гипотезы и быстро подтверждать или опровергать разработанные стратегии. Подробные данные собираются и хранятся в различных форматах ведения журнала.
  • Инфраструктура как код (IaC) — это методика, которая позволяет автоматизировать и проверять создание и удаление сетей и виртуальных машин, чтобы обеспечить безопасные и надежные платформы размещения приложений.
  • Архитектура микрослужб позволяет изолировать варианты применения в организации в виде небольших служб, которые можно многократно использовать. Эта архитектура обеспечивает масштабируемость и эффективность.

Следующие шаги

Сведения о решении "Безопасность и аудит" см. в следующих статьях:

  • Last updated on