Общие сведения о безопасности Azure

Безопасность важна в современной облачной среде. Киберугрозы постоянно развиваются, и защита ваших данных, приложений и инфраструктуры требует комплексного многоуровневого подхода. Безопасность — это одно из заданий в облаке, и важно найти точную и своевременную информацию о Azure безопасности.

В этой статье представлен полный обзор безопасности, доступной с помощью Azure. Комплексное представление системы безопасности Azure организовано с помощью возможностей защиты, обнаружения и реагирования, см. в разделе Сквозная безопасность в Azure.

подход многоуровневой безопасности Azure

Azure использует стратегию глубокой защиты, обеспечивая несколько уровней защиты безопасности во всем стеке — от физических центров обработки данных до вычислений, хранения, сети, приложений и удостоверений. Этот многоуровневый подход гарантирует, что если один слой скомпрометирован, дополнительные слои продолжают защищать ресурсы.

инфраструктура Azure тщательно создана с нуля, охватывая все физические объекты до приложений, чтобы обеспечить безопасное размещение миллионов клиентов одновременно. Этот надежный фонд позволяет предприятиям уверенно соответствовать их требованиям к безопасности. Сведения о том, как корпорация Майкрософт защищает саму платформу Azure, см. в статье Azure безопасность инфраструктуры. Подробную информацию о безопасности физического центра обработки данных см. в разделе Azure физическая безопасность.

Azure — это платформа общедоступной облачной службы, которая поддерживает широкий выбор операционных систем, языков программирования, платформ, инструментов, баз данных и устройств. Он может запускать контейнеры Linux с интеграцией Docker; создавайте приложения с помощью JavaScript, Python, .NET, PHP, Java и Node.js; и создавайте серверные части для устройств iOS, Android и Windows. Общедоступные облачные службы Azure поддерживают те же технологии, на которые полагаются и которым доверяют миллионы разработчиков и ИТ-специалистов.

Встроенная безопасность платформы

Azure обеспечивает защиту безопасности по умолчанию, встроенную в платформу, которая помогает защитить ресурсы с момента их развертывания. Подробные сведения о возможностях безопасности платформы Azure см. в статье Azure обзор безопасности платформы.

  • Network Protection: Azure DDoS Protection автоматически защищает ваши ресурсы от распределенных атак типа "отказ в обслуживании".
  • Шифрование по умолчанию: шифрование данных в состоянии покоя включено по умолчанию для Azure Storage, базы данных SQL и многих других служб.
  • Identity Security: Microsoft Entra ID обеспечивает безопасную проверку подлинности и авторизацию для всех служб Azure.
  • Threat Detection: встроенное обнаружение угроз для мониторинга подозрительных действий в ваших ресурсах Azure.
  • Compliance: Azure поддерживает самый большой портфель соответствия требованиям в отрасли, помогая вам соответствовать нормативным требованиям.

Эти базовые средства управления безопасностью постоянно работают в фоновом режиме для защиты облачной инфраструктуры без дополнительной конфигурации, необходимой для базовой защиты.

Разделение ответственности в облаке

Хотя Azure обеспечивает надежную безопасность платформы, безопасность в облаке является общей ответственностью между корпорацией Майкрософт и вами. Разделение обязанностей зависит от модели развертывания (IaaS, PaaS или SaaS):

  • ответственность Microsoft: Azure защищает базовую инфраструктуру, включая физические центры обработки данных, оборудование, сетевую инфраструктуру и операционную систему узла.
  • Ваша ответственность: вы несете ответственность за защиту данных, приложений, удостоверений и управления доступом.

Каждая рабочая нагрузка и приложение отличаются, с уникальными требованиями к безопасности на основе отраслевых правил, конфиденциальности данных и бизнес-потребностей. Именно здесь расширенные службы безопасности Azure играют роль. Дополнительные сведения о модели общей ответственности см. в разделе "Общая ответственность" в облаке.

Note

Основная цель данного документа — элементы управления, которые клиенты могут использовать для настройки и повышения безопасности приложений и служб.

Расширенные службы безопасности для каждой рабочей нагрузки

Для удовлетворения уникальных требований к безопасности Azure предоставляет полный набор расширенных служб безопасности, которые можно сконфигурировать и адаптировать для конкретных нужд. Эти службы организованы в шести функциональных областях: операции, приложения, хранилище, сеть, вычисления и удостоверения. Полный каталог служб безопасности и технологий см. в разделе Azure службы безопасности и технологии.

Кроме того, Azure предоставляет широкий спектр настраиваемых параметров безопасности и возможность управления ими, чтобы обеспечить безопасность в соответствии с уникальными требованиями развертываний вашей организации. В этом документе показано, как Azure возможности безопасности помогут вам выполнить эти требования.

Для структурированного представления контролей безопасности и базовых линий Azure см. Microsoft Cloud Security Benchmark, который предоставляет исчерпывающее руководство по безопасности для служб Azure. Сведения о технических возможностях безопасности Azure см. в разделе Azure технические возможности безопасности.

Безопасность вычислений

Защита виртуальных машин и вычислительных ресурсов является основой для защиты рабочих нагрузок в Azure. Azure предоставляет несколько уровней безопасности вычислений, от аппаратных средств защиты до обнаружения угроз на основе программного обеспечения. Подробные сведения о безопасности виртуальных машин см. в разделе Azure Virtual Machines обзор безопасности.

Доверенный запуск

доверенный запуск используется по умолчанию для только что созданных виртуальных машин поколения 2 Azure и Virtual Machine Scale Sets. Доверенный запуск защищает от продвинутых и настойчивых атак, включая буткиты, руткиты и вредоносные программы на уровне ядра операционной системы.

Доверенный запуск предоставляет:

  • Безопасная загрузка: защищает от установки вредоносных программ rootkits и загрузочных комплектов, обеспечивая загрузку только подписанных операционных систем и драйверов.
  • vTPM (модуль виртуальной доверенной платформы): выделенное безопасное хранилище для ключей и измерений, которое обеспечивает проверку целостности аттестации и загрузки.
  • Мониторинг целостности загрузки: использует подтверждение с помощью Microsoft Defender for Cloud для проверки целостности цепочки загрузки и оповещения о сбоях.

Вы можете включить доверенный запуск на виртуальных машинах и масштабируемых наборах виртуальных машин (Virtual Machine Scale Sets).

Azure конфиденциальные вычисления

Azure Confidential Computing предоставляет последний недостающий элемент для защиты данных. Он позволяет всегда шифровать данные в неактивных режимах, при перемещении по сети, а теперь даже при загрузке в памяти и использовании. Благодаря возможности удаленной аттестации вы также можете криптографически проверить, что виртуальная машина, развернутая вами, загрузилась безопасно и правильно настроена, прежде чем разблокировать данные.

Спектр параметров определяется от включения сценариев "лифта и смены" существующих приложений до полного контроля над функциями безопасности. Для инфраструктуры как службы (IaaS) можно использовать следующее:

Для платформы как службы (PaaS) Azure предлагает несколько вариантов конфиденциальных вычислений на основе container включая интеграцию с Azure Kubernetes Service (AKS).

Антивредоносное ПО и антивирусная программа

С Azure IaaS вы можете использовать антивредоносное программное обеспечение от поставщиков безопасности, таких как Microsoft, Symantec, Trend Micro, McAfee и Kaspersky для защиты виртуальных машин от вредоносных файлов, рекламных программ и других угроз. Microsoft Antimalware для Azure Virtual Machines — это возможность защиты, которая помогает выявлять и удалять вирусы, шпионские программы и другое вредоносное программное обеспечение. Антивредоносная программа Майкрософт предоставляет настраиваемые оповещения, когда известное вредоносное или нежелательное программное обеспечение пытается установить себя или запустить в системах Azure. Вы также можете развернуть Microsoft Antimalware с помощью Microsoft Defender for Cloud.

Note

Для современной защиты рассмотрите возможность Microsoft Defender для серверов, которая обеспечивает расширенную защиту от угроз, включая обнаружение и реакцию на конечных точках (EDR), через интеграцию с Microsoft Defender for Endpoint.

Аппаратный модуль безопасности

Шифрование и проверка подлинности не повышают безопасность, если только сами ключи не защищены. Вы можете упростить управление и безопасность критически важных секретов и ключей, сохраняя их в Azure Key Vault. Key Vault предоставляет возможность хранения ключей в аппаратных модулях безопасности (HSM), сертифицированных для FIPS 140-3 уровня 3. Ключи шифрования SQL Server можно хранить для резервного копирования или использовать с прозрачным шифрованием данных в Key Vault наряду с любыми другими ключами или секретами ваших приложений. Microsoft Entra ID управляет разрешениями и доступом к этим защищенным элементам.

Подробные сведения о вариантах управления ключами, включая Azure Key Vault, управляемый HSM и HSM оплаты, см. в разделе Key management in Azure.

Резервная копия виртуальной машины

Azure Backup — это решение, которое защищает данные приложения от нуля капитальных инвестиций и минимальных операционных затрат. Ошибки приложений могут повредить данные, а человеческие ошибки могут привести к ошибкам в приложениях, которые могут привести к проблемам безопасности. При Azure Backup виртуальные машины под управлением Windows и Linux защищены.

Azure Site Recovery

Важной частью корпоративной стратегии обеспечения непрерывности бизнеса и аварийного восстановления (BCDR) является решение о том, как будет обеспечиваться выполнение корпоративных рабочих нагрузок и приложений при возникновении плановых и внеплановых простоев. Azure Site Recovery помогает управлять репликацией, переключением при отказе и восстановлением приложений и рабочих нагрузок, чтобы они были доступны из вторичного местоположения, если основное местоположение выйдет из строя.

SQL VM TDE (прозрачное шифрование данных)

Существует несколько функций шифрования SQL Server, например прозрачное шифрование данных (TDE) и шифрование на уровне столбцов (CLE). Эта форма шифрования требует управления криптографическими ключами, используемыми для шифрования.

Служба Azure Key Vault (AKV) предназначена для повышения безопасности и управления этими ключами в безопасном и высокодоступном расположении. Соединитель SQL Server позволяет SQL Server использовать эти ключи из Azure Key Vault.

Если вы работаете SQL Server с локальными компьютерами, вы можете выполнить действия, чтобы получить доступ к Azure Key Vault из локального экземпляра SQL Server. Для SQL Server в виртуальных машинах Azure, можно сэкономить время с помощью функции интеграции Azure Key Vault. С помощью нескольких командлетов Azure PowerShell для включения этой функции вы можете автоматизировать настройку, необходимую для того, чтобы виртуальная машина SQL могла получить доступ к вашему хранилищу ключей.

Полный список рекомендаций по обеспечению безопасности базы данных см. в разделе Azure контрольный список безопасности базы данных.

Шифрование дисков виртуальной машины

Это важно

Azure Disk Encryption планируется снятие с эксплуатации 15 сентября 2028 года. До этой даты можно продолжать использовать Azure Disk Encryption без нарушений. 15 сентября 2028 г. рабочие нагрузки с поддержкой ADE будут выполняться, но зашифрованные диски не смогут разблокироваться после перезагрузки виртуальной машины, что приведет к нарушению работы службы.

Используйте шифрование на узле для новых виртуальных машин или рассмотрите размеры конфиденциальных виртуальных машин с шифрованием дисков ОС для рабочих нагрузок конфиденциальных вычислений. Все виртуальные машины с поддержкой ADE (включая резервные копии) должны перенестися в шифрование на узле до даты выхода на пенсию, чтобы избежать прерывания работы службы. Дополнительные сведения см. в разделе Переход от Azure Disk Encryption к шифрованию на уровне хоста.

Для шифрования современных виртуальных машин Azure предлагает:

  • Шифрование на узле: обеспечивает сквозное шифрование данных виртуальной машины, включая временные диски и кэши дисков ОС/данных.
  • Шифрование конфиденциальных дисков: доступно с конфиденциальными виртуальными машинами для аппаратного шифрования.
  • Серверное шифрование с помощью ключей, управляемых клиентом: управление собственными ключами шифрования с помощью Azure Key Vault или Azure Key Vault управляемого устройства HSM.

Дополнительные сведения см. в разделе "Общие сведения о параметрах шифрования управляемых дисков".

Виртуальная сеть

Виртуальным машинам требуется осуществлять взаимодействие по сети. Для поддержки этого требования Azure требуется, чтобы виртуальные машины были подключены к Azure Virtual Network. Azure Virtual Network — это логическая конструкция, построенная на основе физической Azure сетевой структуры. Каждая логическая Azure Virtual Network изолирована от всех остальных Azure виртуальных сетей. Эта изоляция помогает гарантировать, что сетевой трафик в развертываниях недоступен другим Microsoft Azure клиентам.

Обновления патчей

Обновления исправлений предоставляют основу для поиска и устранения потенциальных проблем и упрощения процесса управления обновлениями программного обеспечения. Они сокращают количество обновлений программного обеспечения, которые необходимо развернуть в вашей организации и повысить способность отслеживать соответствие требованиям.

Управление политикой безопасности и отчеты.

Defender для облака позволяет предотвращать, обнаруживать угрозы и реагировать на них. Она обеспечивает повышенную видимость и контроль над безопасностью Azure ресурсов. Он обеспечивает интегрированный мониторинг безопасности и управление политиками в Azure подписках. Он помогает обнаруживать угрозы, которые в противном случае могут остаться незамеченными, и работает с широким спектром решений по обеспечению безопасности.

Безопасность приложений

Безопасность приложений ориентирована на защиту приложений от угроз на протяжении всего жизненного цикла — от разработки до развертывания и среды выполнения. Azure предоставляет комплексные средства для безопасной разработки, тестирования и защиты приложений. Рекомендации по разработке безопасных приложений см. в разделе Develop secure applications on Azure. Рекомендации по обеспечению безопасности для paaS см. в разделе "Защита развертываний PaaS". Сведения о безопасности развертывания IaaS см. в статье Security best practices for IaaS workloads in Azure.

Тестирование на проникновение

Корпорация Майкрософт не выполняет тестирование на проникновение приложения, но понимает, что вам нужно и необходимо выполнить тестирование на собственных приложениях. Вам больше не нужно уведомлять Microsoft о действиях пентестов (тестирования на проникновение), но вы по-прежнему должны соблюдать правила взаимодействия Microsoft Cloud для тестирования на проникновение.

Файрвол для веб-приложений

Web Application Firewall (WAF) в Azure Application Gateway защищает веб-приложения от распространенных веб-атак, таких как внедрение SQL, межсайтовый скрипт и перехват сеансов. Она предварительно настроена для защиты от основных уязвимостей, определенных проектом "Безопасность веб-приложений" (OWASP).

Проверка подлинности и авторизация в Azure App Service

Аутентификация и авторизация службы приложений — это функция, которая позволяет приложению выполнять вход пользователей, не требуя изменения кода в серверной части приложения. Она является простым способом обеспечения защиты приложения и работы с данными пользователей.

Архитектура многоуровневой безопасности

Так как среды службы App предоставляют изолированную среду выполнения, развернутую в Azure Virtual Network, разработчики могут создавать многоуровневую архитектуру безопасности, обеспечивающую различные уровни сетевого доступа для каждого уровня приложений. Обычно бэкэнды API скрываются от общего доступа в Интернет, и API разрешается вызывать только из веб-приложений верхнего уровня. Вы можете использовать группы безопасности Network (NSG) в подсетях Azure Virtual Network, содержащих среды службы приложений, чтобы ограничить общедоступный доступ к приложениям API.

Веб-приложения в службе приложений предоставляют надежные диагностические возможности для сбора логов и с веб-сервера, и веб-приложения. Эти диагностики классифицируются на диагностики веб-сервера и приложения. Диагностика веб-серверов включает значительные улучшения в области диагностики и устранения неполадок сайтов и приложений.

Первая новая возможность — получаемые в режиме реального времени сведения о состоянии пулов приложений, рабочих процессов, узлов, доменов приложений и выполняющихся запросов. Вторая новая функция — это подробные события трассировки, отслеживающие запрос на протяжении всего процесса выполнения запроса и ответа.

Чтобы включить коллекцию этих событий трассировки, можно настроить IIS 7 для автоматического отслеживания полных журналов трассировки в формате XML для конкретных запросов. Коллекция может основываться на основе истекшего времени или на кодах ответов об ошибках.

Безопасность хранения данных

Безопасность хранения данных необходима для защиты данных на хранении и данных в передаче. Azure предоставляет несколько уровней шифрования, управления доступом и мониторинга, чтобы обеспечить безопасность данных. Подробные сведения о шифровании данных см. в обзоре шифрования Azure. Параметры управления ключами см. в разделе Key management in Azure. Рекомендации по шифрованию данных см. в разделе Azure рекомендации по обеспечению безопасности и шифрованию данных.

Azure управление доступом на основе ролей (Azure RBAC)

Учетную запись хранения можно защитить с помощью Azure управления доступом на основе ролей (Azure RBAC). Чтобы применить политики безопасности для доступа к данным, ограничьте доступ на основе необходимости знать и принципы безопасности с наименьшими привилегиями . Предоставьте эти права доступа, назначив соответствующую роль Azure группам и приложениям в определенной области. Используйте встроенные роли Azure, такие как сотрудник учетной записи хранилища, для назначения привилегий пользователям. Вы можете управлять доступом к ключам хранилища для учетной записи хранения с помощью модели Azure Resource Manager с помощью Azure RBAC.

Подпись для общего доступа

Подпись общего доступа (SAS) предоставляет делегированный доступ к ресурсам в вашей учетной записи хранилища. С помощью SAS можно предоставить клиенту ограниченные разрешения для объектов в учетной записи хранения в течение указанного периода и с указанным набором разрешений. Предоставьте эти ограниченные разрешения, не передавая ключи доступа к учетной записи.

Шифрование при передаче

Шифрование при передаче — это механизм защиты данных, передаваемых по сетям. С помощью Azure Storage можно защитить данные с помощью:

  • шифрование транспортного уровня, например, HTTPS при передаче данных в Azure Storage или из него.

  • Шифрование трафика, например шифрование SMB 3.0 для общих папок Azure.

  • Шифрование на стороне клиента для шифрования данных до его передачи в хранилище и расшифровки данных после его передачи из хранилища.

Шифрование при хранении

Для многих организаций шифрование неактивных данных является обязательным шагом для защиты данных, соблюдения стандартов и обеспечения конфиденциальности данных. Три функции безопасности хранилища Azure обеспечивают шифрование неактивных данных:

Аналитика хранилища

Azure Storage Analytics выполняет ведение журнала и предоставляет данные метрик для учетной записи хранения. Эти данные можно использовать для трассировки запросов, анализа тенденций использования и диагностики проблем с учетной записью хранения. Storage Analytics ведет журналы с подробными сведениями о успешно выполненных и неудачных запросах к службе хранилища. Эти сведения можно использовать для мониторинга отдельных запросов и диагностики проблем со службой хранилища. Запросы вносятся в журнал в меру возможностей. Регистрируются запросы, прошедшие проверку подлинности, следующих типов.

  • Успешные запросы.
  • Неудачные запросы, включая те, что вызваны истечением времени ожидания, регулированием, проблемами с сетью, авторизацией и другими ошибками.
  • Запросы с использованием подписей общего доступа (SAS), включая как неудачные, так и успешные запросы.
  • запросы к данным аналитики.

Использование CORS для включения браузерных клиентов

Совместное использование ресурсов между источниками (CORS) — это механизм, позволяющий доменам предоставлять друг другу разрешение на доступ к ресурсам друг друга. Агент пользователя отправляет дополнительные заголовки, чтобы разрешить доступ к ресурсам, расположенным в другом домене, для кода JavaScript, загружаемого из определенного домена. Последний отправляет ответ с дополнительными заголовками, разрешающими или запрещающими исходному домену доступ к его ресурсам.

Azure службы хранилища теперь поддерживают CORS. После установки правил CORS для службы проверяется правильно прошедший проверку подлинности запрос к службе из другого домена, чтобы определить, разрешено ли оно в соответствии с указанными правилами.

Сетевая безопасность

Контроль безопасности сети определяет, как трафик направляется к ресурсам Azure и от них. Azure предоставляет полный набор служб безопасности сети, от базового брандмауэра до расширенной защиты от угроз и глобальной балансировки нагрузки. Подробные сведения о безопасности сети см. в Azure обзоре сетевой безопасности. Рекомендации по обеспечению безопасности сети см. в разделе Azure рекомендации по обеспечению безопасности сети.

Элементы управления сетевым уровнем

Контроль доступа к сети — это процесс ограничения возможностей входящих и исходящих подключений для определенных устройств и подсетей, лежащий в основе сетевой безопасности. Цель управления доступом к сети — убедиться, что виртуальные машины и службы доступны только пользователям и устройствам, которые вы авторизуете.

Группы безопасности сети

Группа безопасности сети (NSG) — это базовый брандмауэр фильтрации пакетов с отслеживанием состояния. Он позволяет управлять доступом на основе пяти кортежей. Группы безопасности сети не обеспечивают инспекцию на уровне приложений или аутентифицированные средства управления доступом. Их можно использовать для управления перемещением трафика между подсетями в Azure Virtual Network и трафике между Azure Virtual Network и Интернетом.

Azure Firewall

Azure Firewall — это облачная и интеллектуальная служба безопасности сетевого брандмауэра, которая обеспечивает защиту от угроз для облачных рабочих нагрузок, работающих в Azure. Это полностью стейтфул межсетевой экран как услуга с встроенной высокой доступностью и неограниченными возможностями облачного масштабирования. Она обеспечивает проверку трафика в направлениях восток-запад и север-юг.

Azure Firewall предлагается в трех номерах SKU: "Базовый", "Стандартный" и "Премиум":

  • Azure Firewall Basic — предназначен для малого и среднего бизнеса, предлагая необходимую защиту по доступной цене.
  • Azure Firewall Standard — предоставляет L3-L7 фильтрацию, источники данных угроз от Microsoft Cyber Security и может масштабироваться до 30 Гбит/с.
  • Azure Firewall Premium — расширенная защита от угроз для высокочувствительных и регулируемых сред с:
    • Проверка TLS: расшифровывает исходящий трафик, обрабатывает его для угроз, а затем повторно шифруется перед отправкой в место назначения.
    • IDPS (система обнаружения и предотвращения вторжений): система, основанная на сигнатурах, с более чем 67 000 сигнатур в более чем 50 категориях, ежедневно обновляется на 20-40+ новых правил.
    • Фильтрация URL-адресов: расширяет фильтрацию полного доменного имени (FQDN), чтобы учитывать весь путь URL.
    • Расширенные веб-категории: расширенная классификация на основе полных URL-адресов для трафика HTTP и HTTPS.
    • Улучшенная производительность: масштабируется до 100 Гбит/с с поддержкой "fat flow" на 10 Гбит/с.
    • Соответствие ТРЕБОВАНИЯМ PCI DSS: соответствует требованиям к стандарту безопасности данных индустрии оплаты.

Azure Firewall Premium является важным для защиты от программ-шантажистов, так как он может обнаруживать и блокировать команды и управление (C& C) подключение, используемое программ-шантажистов для получения ключей шифрования. Дополнительные сведения о защите ransomware с помощью Azure Firewall.

защита от атак DDoS Azure

Azure защита от атак DDoS в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции для защиты от атак DDoS. Он автоматически настраивается для защиты определенных Azure ресурсов в виртуальной сети. Включение защиты просто в любой новой или существующей виртуальной сети и не требует изменений в приложениях или ресурсах.

Azure защита от атак DDoS предоставляет два уровня: защита сети DDoS и защита IP-адресов DDoS.

  • Защита сети от атак DDoS — предоставляет расширенные функции для защиты от атак DDoS. Он работает на сетевых уровнях 3 и 4 и включает дополнительные функции, такие как поддержка быстрого реагирования DDoS, защита затрат и скидки на Web Application Firewall (WAF).

  • Защита IP-адресов от DDoS — применяется модель оплаты за каждый защищенный IP-адрес. Она включает те же инженерные функции, что и Защита сети от DDoS, но не предлагает такие дополнительные услуги, как поддержка быстрого реагирования на DDoS, защита от непредвиденных расходов и скидки на WAF.

Управление маршрутами и принудительное туннелирование

Возможность управления поведением маршрутизации в Azure виртуальных сетей является критически важной функцией управления сетевой безопасностью и доступом. Например, если вы хотите убедиться, что весь трафик в Azure Virtual Network проходит через это виртуальное устройство безопасности, необходимо иметь возможность контролировать и настраивать поведение маршрутизации. Вы можете осуществлять управление и настраивать пользовательские маршруты в Azure.

Пользовательские маршруты позволяют настраивать входящие и исходящие пути трафика в отдельные виртуальные машины или подсети, чтобы обеспечить максимально безопасный маршрут. Принудительное туннелирование — это механизм, который можно использовать для обеспечения того, чтобы службы не могли инициировать подключение к устройствам в Интернете.

Это ограничение отличается от возможности принимать входящие подключения, а затем отвечать на них. Интерфейсные веб-серверы должны отвечать на запросы от узлов Интернета. Таким образом, входящий на эти веб-серверы трафик из Интернета разрешен, и веб-серверы могут на него реагировать.

Как правило, используйте принудительное туннелирование, чтобы принудительно направить исходящий трафик в Интернет через локальные прокси-серверы безопасности и брандмауэры.

Устройства безопасности виртуальных сетей

Хотя группы безопасности сети, маршруты, определяемые пользователем, и принудительное туннелирование обеспечивают уровень безопасности на сетевых и транспортных уровнях модели OSI, могут возникнуть случаи, когда необходимо обеспечить безопасность на более высоких уровнях стека. Вы можете получить доступ к этим расширенным функциям сетевой безопасности, используя решение по безопасности сети от партнера Azure. Вы можете найти самые актуальные решения Azure сетевой безопасности партнеров, перейдя в Azure Marketplace и найдите security и network security.

Виртуальная сеть Azure

Виртуальная сеть Azure — это представление собственной сети в облаке. Это логическая изоляция сетевой инфраструктуры Azure, выделенной для вашей подписки. Вы можете полностью контролировать блоки IP-адресов, параметры DNS, политики безопасности и таблицы маршрутизации в этой сети. Вы можете сегментировать вашу виртуальную сеть (VNet) на подсети и размещать виртуальные машины Azure IaaS в виртуальных сетях Azure.

Кроме того, вы можете подключить виртуальную сеть к локальной сети с помощью одного из параметров connectivity доступны в Azure. По сути, вы можете расширить сеть в Azure, полностью контролируя блоки IP-адресов с преимуществом корпоративного масштаба, который предоставляет Azure.

Azure сети поддерживают различные сценарии безопасного удаленного доступа. Ниже приведены некоторые из следующих сценариев:

Azure Virtual Network Manager

Azure Virtual Network Manager предоставляет централизованное решение для управления и защиты виртуальных сетей в масштабе. Он использует правила администратора безопасности для централизованного определения и применения политик безопасности во всей организации. Правила администратора безопасности имеют приоритет над правилами группы безопасности сети (NSG) и применяются к виртуальной сети. Эта приоритетность позволяет организациям применять основные политики с правилами администратора безопасности, позволяя подчиненным командам адаптировать группы безопасности в соответствии с их конкретными потребностями на уровне подсети и сетевого адаптера.

В зависимости от потребностей вашей организации используйте действия правил Разрешить, Запретить или Всегда разрешать для применения политик безопасности:

Действие правила Description
Разрешить Разрешает указанный трафик по умолчанию. Подчиненные группы безопасности сети по-прежнему будут получать этот трафик и могут его отклонить.
Всегда разрешать Всегда разрешайте указанный трафик вне зависимости от других правил с более низким приоритетом или сетевых групп безопасности (NSG). Используйте это правило, чтобы убедиться, что агент мониторинга, контроллер домена или трафик управления не заблокирован.
Запретить Блокировать указанный трафик. Нижестоящие группы безопасности (NSG) не оценивают этот трафик, если он заблокирован правилом администратора безопасности, обеспечивая защиту портов высокого риска для существующих и новых виртуальных сетей по умолчанию.

В Azure Virtual Network Manager группы network позволяют объединять виртуальные сети для централизованного управления и применения политик безопасности. Группы сети — это логическая группировка виртуальных сетей на основе ваших потребностей с точки зрения топологии и безопасности. Вы можете вручную обновить членство в виртуальной сети групп сети или определить условные инструкции с помощью Azure Policy, чтобы динамически обновлять сетевые группы и их членство автоматически.

Azure Private Link позволяет получить доступ к службам PaaS Azure (например, Azure Storage и SQL Database) и размещенным в Azure службам, принадлежащим клиентам или партнерам, в приватном режиме в вашей виртуальной сети через частную конечную точку . Настройка и использование Azure Private Link единообразна в Azure PaaS, клиентских и совместно используемых партнерских служб. Трафик из виртуальной сети в службу Azure всегда остается в магистральной сети Microsoft Azure.

Используя приватные конечные точки, вы можете защитить критически важные ресурсы службы Azure только для ваших виртуальных сетей. Azure Private Endpoint использует частный IP-адрес из вашей виртуальной сети для безопасного и частного подключения к службе, предоставляемой Azure Private Link, что фактически интегрирует эту службу в вашу виртуальную сеть. Предоставление виртуальной сети общедоступному Интернету больше не требуется для использования служб в Azure.

Вы также можете создать собственную службу частных соединений в виртуальной сети. служба Azure Private Link — это ссылка на собственную службу, которая работает на Azure Private Link. Служба, которая работает за Azure Standard Load Balancer, может использовать Private Link для доступа, чтобы потребители могли подключаться к ней в частном порядке из своих виртуальных сетей. Пользователи могут создать частную конечную точку в своей виртуальной сети и сопоставить ее с этой службой. Рассмотрение предоставления услуг общедоступному Интернету больше не требуется для оказания сервисов на Azure.

VPN-шлюз

Чтобы отправить сетевой трафик между Azure Virtual Network и локальным сайтом, необходимо создать VPN-шлюз для Azure Virtual Network. VPN-шлюз — это тип шлюза виртуальной сети, который отправляет зашифрованный трафик через общедоступное подключение. Vpn-шлюзы также можно использовать для отправки трафика между Azure виртуальными сетями через Azure сетевую структуру.

ExpressRoute

Microsoft Azure ExpressRoute — это выделенная глобальная сеть, которая позволяет расширить локальные сети в облако Майкрософт через выделенное частное подключение, которое упрощает поставщик подключений.

Экспресс-маршрут

С помощью ExpressRoute можно установить подключения к облачным службам Майкрософт, таким как Microsoft Azure и Microsoft 365. Это может быть подключение типа "любой к любому" (IP VPN), подключение Ethernet типа "точка-точка" или виртуальное кросс-подключение через поставщика услуг подключения на совместно используемом сервере.

Подключения ExpressRoute не проходят через общедоступный Интернет и являются более безопасными, чем решения на основе VPN. Эта конструкция позволяет подключениям ExpressRoute повысить надежность, ускорить скорость, низкую задержку и более высокую безопасность, чем типичные подключения через Интернет.

Шлюз приложений

Microsoft Azure Application Gateway предоставляет контроллер доставки Application Delivery Controller (ADC) как услугу, предлагая различные возможности балансировки нагрузки уровня 7 для приложения.

Шлюз приложений

Это позволяет оптимизировать производительность веб-фермы, разгружая ресурсоемкое завершение TLS с центрального процессора в шлюз приложений (также известное как разгрузка TLS или мост TLS). Кроме того, пользователи получают другие возможности маршрутизации уровня 7, включая распределение входящего трафика методом циклического перебора, определение сходства сеансов на основе файлов cookie, маршрутизацию на основе URL-путей и возможность размещения нескольких веб-сайтов за одним шлюзом приложений. Azure Application Gateway — это подсистема балансировки нагрузки уровня 7.

Он обеспечивает отказоустойчивость и эффективную маршрутизацию HTTP-запросов между различными серверами, будь то в облаке или локально.

Приложение предоставляет множество функций контроллера доставки приложений (ADC), включая балансировку нагрузки HTTP, сцепление сеансов на основе файлов cookie, разгрузку TLS, пользовательские пробы работоспособности, поддержку работы с несколькими сайтами и другие.

Файрвол для веб-приложений

Web Application Firewall — это функция Azure Application Gateway, которая защищает веб-приложения, использующие шлюз приложений для стандартных функций управления доставкой приложений (ADC). Брандмауэр веб-приложения защищает их от большинства распространенных веб-уязвимостей OWASP.

Брандмауэр веб-приложения

  • Защита от SQL-инъекций.

  • Защита от распространенных веб-атак, таких как внедрение команд, контрабанда HTTP-запросов, разделение ответа HTTP и включение удаленных файлов

  • Защита от нарушений протокола HTTP.

  • Защита от аномалий протокола HTTP, таких как отсутствие узла, агент пользователя и принятие заголовков

  • Защита от программ-роботов, программ-обходчиков и сканеров.

  • Обнаружение распространенных неправильно настроенных приложений (например, Apache, IIS)

Централизованный брандмауэр веб-приложения (WAF) упрощает управление безопасностью и повышает защиту от веб-атак. Он обеспечивает более надежную защиту от угроз вторжения и может быстрее реагировать на угрозы безопасности путем исправления известных уязвимостей централизованно, а не защиты каждого отдельного веб-приложения. Вы можете легко обновить существующие шлюзы приложений, чтобы включить брандмауэр веб-приложения.

Azure Front Door – сервис Microsoft

Azure Front Door — это глобальная масштабируемая точка входа, которая использует глобальную граничную сеть Майкрософт для создания быстрых, безопасных и широко масштабируемых веб-приложений. Front Door предоставляет:

  • Глобальная балансировка нагрузки. Распределение трафика между несколькими внутренними серверами в разных регионах
  • Integrated Web Application Firewall: защита от распространенных веб-уязвимостей и атак
  • Защита от атак DDoS: встроенная защита от распределенных атак типа "отказ в обслуживании"
  • Разгрузка SSL/TLS: централизованное управление сертификатами и шифрование трафика
  • Маршрутизация на основе URL-адресов: маршрутизация трафика в разные серверные части на основе шаблонов URL-адресов

Front Door объединяет доставку содержимого, ускорение приложений и безопасность в одну службу.

Диспетчер трафика

Microsoft Azure Traffic Manager позволяет управлять распределением трафика пользователей для конечных точек служб в разных центрах обработки данных. Конечные точки служб, поддерживаемые диспетчером трафика, включают Azure виртуальные машины, Web Apps и облачные службы. Кроме того, диспетчер трафика можно использовать с внешними конечными точками, не Azure.

Диспетчер трафика использует систему доменных имен (DNS) для направления клиентских запросов к наиболее подходящей конечной точке на основе метода маршрутизации трафика и работоспособности конечных точек. Диспетчер трафика предоставляет ряд методов маршрутизации трафика, которые соответствуют различным потребностям приложения, мониторингу работоспособности конечных точек и автоматической отработке отказа. Диспетчер трафика устойчив к сбоям, включая сбой всего Azure региона.

Azure Load Balancer

Azure Load Balancer обеспечивает высокую доступность и производительность сети для приложений. Это подсистема балансировки нагрузки уровня 4 (TCP, UDP), которая распределяет входящий трафик среди здоровых экземпляров служб, определенных в наборе балансировки нагрузки. Вы можете настроить Azure Load Balancer следующим способом:

  • балансировка нагрузки входящего интернет-трафика на виртуальные машины. Такая конфигурация называется общедоступным балансировщиком нагрузки.

  • Балансировка нагрузки трафика между виртуальными машинами в виртуальной сети, между виртуальными машинами в облачных службах или между локальными компьютерами и виртуальными машинами в распределенной виртуальной сети. Такая конфигурация называется внутренней балансировкой нагрузки.

  • Перенаправление внешнего трафика на определённую виртуальную машину

Внутренний DNS

Список DNS-серверов, используемых в виртуальной сети, можно управлять на портале Azure или в файле конфигурации сети. Для каждой виртуальной сети можно добавить до 12 DNS-серверов. При указании DNS-серверов убедитесь, что вы перечисляете DNS-серверы в правильном порядке для вашей среды. Списки DNS-серверов не работают по принципу циклического распределения. Они используются в указанном порядке. Если первый DNS-сервер в списке доступен, клиент использует этот DNS-сервер независимо от того, работает ли DNS-сервер правильно или нет. Чтобы изменить порядок DNS-сервера для виртуальной сети, удалите DNS-серверы из списка и добавьте их обратно в нужный порядок. Служба DNS поддерживает аспект доступности в модели безопасности «CIA».

Azure DNS

Служба доменных имен, или DNS, отвечает за преобразование (или разрешение) имени веб-сайта или службы в IP-адрес. Azure DNS — это служба размещения для доменов DNS, обеспечивающая разрешение имен с помощью инфраструктуры Microsoft Azure. Размещая домены в Azure, вы можете управлять записями DNS, используя те же учетные данные, API, средства и выставление счетов, что и другие службы Azure. DNS поддерживает аспект доступности триад безопасности "ЦРУ".

Azure Monitor журналы групп безопасности сети

Для групп безопасности сети (NSG) можно включить следующие категории диагностических журналов:

  • Событие: содержит записи, в которых правила NSG, основанные на MAC-адресе, применяются к виртуальным машинам и экземплярам ролей. Состояние этих правил регистрируется каждые 60 секунд.

  • Счетчик правил: Содержит записи, информирующие о том, сколько раз каждое правило NSG было применено для запрета или разрешения трафика.

Microsoft Defender for Cloud

Microsoft Defender for Cloud непрерывно анализирует состояние безопасности ресурсов Azure для рекомендаций по обеспечению безопасности сети. Когда Defender для облака идентифицирует потенциальные уязвимости безопасности, он создает рекомендации , которые помогут вам настроить необходимые элементы управления для защиты и защиты ресурсов.

Расширенные сетевые услуги контейнеров (ACNS)

Advanced Container Networking Services (ACNS) — это комплексный набор, предназначенный для повышения эффективности работы кластеров Azure Kubernetes Service (AKS). Он предоставляет расширенные функции безопасности и наблюдаемости, устраняя сложности управления инфраструктурой микрослужб в большом масштабе.

Эти функции разделены на две основные основы:

  • Security. Для кластеров, использующих Azure CNI Powered by Cilium, политики сети включают полную фильтрацию доменных имен (FQDN) для решения сложностей обслуживания конфигурации.

  • Наблюдаемость. Эта функция набора расширенных сетевых служб контейнеров обеспечивает возможности плоскости управления Hubble как для Cilium, так и для плоскостей данных, отличных от Cilium Linux, обеспечивая улучшенную видимость сети и производительности.

Операции безопасности и управление

Управление безопасностью среды Azure и наблюдение за ней важно для поддержания надежной системы безопасности. Azure предоставляет комплексные средства для операций безопасности, обнаружения угроз и реагирования на инциденты. См. подробный обзор управления безопасностью и мониторинга в обзор Azure управления безопасностью и мониторинга. Рекомендации по обеспечению операционной безопасности см. в разделе Azure рекомендации по обеспечению операционной безопасности. Для получения полного обзора операционной безопасности см. раздел Обзор операционной безопасности Azure.

Microsoft Sentinel

Microsoft Sentinel — это масштабируемое решение для управления информационной безопасностью и событиями в облаке (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel обеспечивает интеллектуальную аналитику безопасности и аналитику угроз на предприятии, предоставляя единое решение для обнаружения атак, видимости угроз, упреждающего охоты и реагирования на угрозы.

Microsoft Sentinel теперь доступен на портале Microsoft Defender для всех клиентов, предлагая единый интерфейс операций безопасности, упрощающий рабочие процессы и повышающий видимость. Интеграция с безопасностью Copilot позволяет аналитикам взаимодействовать с данными Microsoft Sentinel с помощью естественного языка, создавать запросы охоты и автоматизировать исследования для ускорения реагирования на угрозы.

Microsoft Defender for Cloud

Microsoft Defender for Cloud помогает предотвращать, обнаруживать и реагировать на угрозы, обеспечивая повышенную видимость и контроль над безопасностью Azure ресурсов. Microsoft Defender for Cloud обеспечивает интегрированное управление безопасностью и политиками в подписках Azure, помогает обнаруживать угрозы, которые в противном случае могут быть незамечены и работать с широкой экосистемой решений по обеспечению безопасности.

Microsoft Defender for Cloud обеспечивает комплексную защиту с помощью планов, относящихся к рабочей нагрузке, включая следующие:

  • Defender для серверов — расширенная защита от угроз для серверов Windows и Linux
  • Defender для контейнеров — безопасность контейнерных приложений и Kubernetes
  • Defender для хранилища — обнаружение угроз с помощью сканирования вредоносных программ и обнаружения конфиденциальных данных
  • Defender для баз данных — защита Azure SQL, Azure Database for MySQL и PostgreSQL
  • Defender for Foundry Tools — защита среды выполнения для средств Foundry от попыток взлома, раскрытия данных и подозрительных шаблонов доступа
  • Defender CSPM — Cloud Security Posture Management с анализом пути атаки, управлением политикой безопасности и управлением позицией безопасности ИИ.

Кроме того, Defender для Cloud помогает с операциями безопасности, предоставляя одну панель мониторинга, которая отображает оповещения и рекомендации, которые вы можете использовать немедленно. Интеграция Security Copilot предоставляет генерируемые ИИ сводки, скрипты ремедиации и возможности делегирования для ускоренного устранения рисков.

Полные возможности обнаружения угроз в Azure см. в разделе Azure защита от угроз.

Шифрование дисков виртуальной машины

По умолчанию шифрование на узле помогает шифровать диски виртуальных машин IaaS. Он обеспечивает шифрование на стороне сервера на уровне узла виртуальной машины с помощью шифрования AES 256, которое соответствует FIPS 140-2. Это шифрование происходит без использования ресурсов ЦП виртуальной машины и обеспечивает сквозное шифрование временных дисков, кэшей дисков ОС или данных и потоков данных в Azure Storage. По умолчанию он использует управляемые платформой ключи без дополнительной конфигурации. При необходимости можно настроить решение с помощью ключей, управляемых клиентом, хранящихся в Azure Key Vault или Azure Key Vault управляемом HSM, когда необходимо управлять собственными ключами шифрования дисков и управлять ими. Это решение гарантирует, что все данные на дисках виртуальной машины шифруются на месте в хранилище Azure. Дополнительные сведения о параметрах управления ключами см. в разделе Key management in Azure.

Azure Resource Manager

Azure Resource Manager позволяет работать с ресурсами в решении в качестве группы. Вы можете развертывать, обновлять или удалять все ресурсы решения в рамках одной скоординированной операции. Для развертывания используется шаблон Azure Resource Manager и этот шаблон может работать для различных сред, таких как тестирование, промежуточное развертывание и рабочая среда. Resource Manager предоставляет функции безопасности, аудита и тегов, помогающие управлять ресурсами после развертывания.

Azure Resource Manager развертывания на основе шаблонов помогают повысить безопасность решений, развернутых в Azure так как стандартные параметры управления безопасностью можно интегрировать в стандартизированные развертывания на основе шаблонов. Шаблоны снижают риск ошибок конфигурации безопасности, которые могут возникнуть во время ручного развертывания.

Application Insights

Application Insights — это гибкая служба управления производительностью приложений (APM), предназначенная для веб-разработчиков. Он позволяет отслеживать динамические веб-приложения и автоматически обнаруживать проблемы с производительностью. Используя мощные средства аналитики, вы можете диагностировать проблемы и получать аналитические сведения о взаимодействии пользователей с приложениями. Application Insights постоянно отслеживает ваше приложение, от разработки через тестирование до внедрения.

Application Insights создает аналитические диаграммы и таблицы, которые показывают пиковое время активности пользователей, скорость реагирования приложения и производительность любых внешних служб, на которые она зависит.

Если происходят сбои, отказы или проблемы с производительностью, вы можете провести детальный анализ данных, чтобы установить причину. Служба отправляет сообщения электронной почты при наличии изменений в доступности и производительности приложения. Таким образом, Application Insight становится ценным инструментом безопасности, так как помогает обеспечить конфиденциальность, целостность и доступность.

Azure Monitor

Azure Monitor предлагает визуализацию, запросы, маршрутизацию, оповещение, автоматическое масштабирование и автоматизацию данных из подписки Azure (Activity Log) и каждого отдельного ресурса Azure (Resource Logs). Вы можете использовать Azure Monitor для оповещения о событиях, связанных с безопасностью, созданных в журналах Azure.

журналы Azure Monitor

Журналы Azure Monitor предоставляют решение для управления ИТ-инфраструктурой как собственной, так и сторонней облачной инфраструктуры (например, Amazon Web Services) в дополнение к ресурсам Azure. Данные из Azure Monitor можно направлять непосредственно в журналы Azure Monitor, чтобы вы могли просматривать метрики и журналы для всей среды в одном месте.

Azure Monitor журналы могут быть полезным инструментом в судебной экспертизе и другом анализе безопасности, так как это средство позволяет быстро искать большие объемы записей, связанных с безопасностью, с гибким подходом к запросу. Кроме того, локальные журналы firewall и прокси-сервера можно экспортировать в Azure и сделать доступными для анализа с помощью Azure Monitor logs.

Azure Advisor

Azure Advisor — это персонализированный облачный консультант, который помогает оптимизировать Azure развертывания. Он анализирует данные конфигурации ресурсов и использования. Затем он рекомендует решения для улучшения performancesecurity и reliability ваших ресурсов при поиске возможностей редуцировать общие Azure расходы. Azure Advisor предоставляет рекомендации по безопасности, которые могут значительно повысить общую безопасность для решений, развертываемых в Azure. Эти рекомендации основаны на анализе безопасности, выполняемом Microsoft Defender for Cloud.

Управление удостоверениями и доступом

Идентификация является основным периметром безопасности в облачных вычислениях. Защита удостоверений и управление доступом к ресурсам является основой для защиты среды Azure. Microsoft Entra ID предоставляет комплексные возможности управления удостоверениями и доступом. Подробные сведения см. в разделе Обзор управления удостоверениями Azure. Для рекомендаций по лучшим практикам управления удостоверениями и безопасности управления доступом см. Рекомендации по безопасному управлению удостоверениями и контролю доступа в Azure. Инструкции по защите инфраструктуры удостоверений см. в Пяти шагах по защите инфраструктуры удостоверений.

Microsoft Entra ID

Microsoft Entra ID — это облачная служба управления удостоверениями и доступом Майкрософт. Предоставляет:

  • Единый вход (Single Sign-On, SSO): предоставление пользователям доступа к нескольким приложениям с одним набором учетных данных
  • Многофакторная проверка подлинности (MFA): требуется несколько форм проверки подлинности для входа
  • Условный доступ: контроль доступа к ресурсам на основе пользователя, устройства, расположения и риска
  • Защита личности: Обнаружение и реагирование на риски, связанные с личностью.
  • Privileged Identity Management (PIM): предоставление привилегированного доступа к ресурсам Azure по принципу "just-in-time"
  • Управление удостоверениями: управление жизненным циклом удостоверений и правами доступа

Управление доступом на основе ролей (RBAC)

Azure управление доступом на основе ролей (RBAC) помогает управлять доступом к ресурсам Azure, что они могут делать с этими ресурсами и к каким областям они имеют доступ. RBAC обеспечивает точное управление доступом для Azure ресурсов, что позволяет предоставлять пользователям только права, необходимые для выполнения своих заданий.

Microsoft Entra Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. PIM обеспечивает активацию ролей на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного использования разрешений доступа.

Управляемые удостоверения для ресурсов Azure

Управляемые удостоверения для ресурсов Azure обеспечивают службы Azure автоматически управляемым удостоверением в службе Microsoft Entra ID. Используйте это удостоверение для проверки подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra без наличия учетных данных в коде.

Обновления исправлений предоставляют основу для поиска и устранения потенциальных проблем и упрощения процесса управления обновлениями программного обеспечения. Они сокращают количество обновлений программного обеспечения, которые необходимо развернуть в вашей организации и повысить способность отслеживать соответствие требованиям.

Управление политикой безопасности и отчеты.

Defender для облака позволяет предотвращать, обнаруживать угрозы и реагировать на них. Она обеспечивает повышенную видимость и контроль над безопасностью Azure ресурсов. Он обеспечивает интегрированный мониторинг безопасности и управление политиками в Azure подписках. Он помогает обнаруживать угрозы, которые в противном случае могут остаться незамеченными, и работает с широким спектром решений по обеспечению безопасности.

Безопасное удостоверение

Корпорация Майкрософт использует в своих продуктах и службах несколько методик и технологий защиты для управления удостоверениями и доступом.

  • Многофакторная проверка подлинности требует, чтобы пользователи использовали несколько методов для доступа, локальной среды и в облаке. Обеспечивается строгая проверка подлинности с рядом простых вариантов проверки, в то же время пользователям предлагается простой процесс входа в систему.

  • Microsoft Authenticator обеспечивает удобную многофакторную проверку подлинности, которая работает как с Microsoft Entra ID, так и с учетными записями Майкрософт. Она включает поддержку носимых устройств и утверждений на основе отпечатков пальцев.

  • Принудительное применение политики паролей повышает безопасность традиционных паролей, предъявляя требования к длине и сложности, а также используя принудительную ротацию паролей и блокировку учетных записей после неудачных попыток аутентификации.

  • Аутентификация на основе токена позволяет выполнять проверку подлинности с помощью Microsoft Entra ID.

  • Azure управление доступом на основе ролей (Azure RBAC) позволяет предоставлять доступ на основе назначенной роли пользователя. Легко предоставить пользователям только тот объем доступа, который необходим для выполнения своих должностных обязанностей. Вы можете настроить Azure RBAC на бизнес-модель вашей организации и терпимость к рискам.

  • Интегрированное управление удостоверениями (гибридное удостоверение) позволяет управлять доступом пользователей к внутренним центрам обработки данных и облачным платформам. Он создает одно удостоверение пользователя для проверки подлинности и авторизации для всех ресурсов.

Защита приложений и данных

Microsoft Entra ID, комплексное облачное решение для управления удостоверениями и доступом, помогает защитить доступ к данным на сайте и в облаке, а также упрощает управление пользователями и группами. Оно объединяет в себе основные службы каталогов, расширенное управление удостоверениями, защиту и управление доступом к приложениям. Azure Active Directory облегчает для разработчиков внедрение управления удостоверениями на основе политик в свои приложения. Чтобы улучшить Microsoft Entra ID, вы можете добавить платные возможности с помощью выпусков Microsoft Entra Basic, Premium P1 и Premium P2.

Бесплатные или распространенные функции Функции уровня "Базовый" Функции Premium P1 Функции Premium P2 Подключение Microsoft Entra — только функции, связанные с Windows 10
Объекты каталога, User/Group Management (add/update/delete)/ Подготовка на основе пользователей, регистрация устройств, единая аутентификация (SSO), Самостоятельная смена пароля для облачных пользователей, Connect (подсистема синхронизации, которая расширяет локальные каталоги до Microsoft Entra ID), Безопасность / Отчеты об использовании Управление доступом на основе групп / предоставление доступа, Сброс пароля через самообслуживание для облачных пользователей, Фирменный стиль компании (настройка страниц входа/панели доступа), Прокси для приложений, 99,9% SLA Самообслуживание управления группой и приложениями/добавление приложений самообслуживания/динамические группы, Самостоятельный сброс/изменение/разблокировка пароля с возвратом записи на локальный сервер, многофакторная аутентификация (облако и локально (сервер MFA)), MIM CAL + MIM Server, Обнаружение облачных приложений, Connect Health, Автоматическое обновление пароля для групповых учетных записей Защита идентификации, управление привилегированными удостоверениями Присоединение устройства к Microsoft Entra ID, Desktop SSO, Microsoft Passport для Microsoft Entra ID, восстановление BitLocker администратором, автоматическая регистрация MDM, самовосстановление BitLocker, добавление дополнительных локальных администраторов на устройства Windows 10 через подключение к Microsoft Entra

  • Cloud App Discovery — это премиум-функция Microsoft Entra ID, которая позволяет определить облачные приложения, используемые сотрудниками организации.

  • Microsoft Entra ID Protection — это служба безопасности, которая использует Microsoft Entra возможности обнаружения аномалий для обеспечения консолидированного представления об обнаружении рисков и потенциальных уязвимостях, которые могут повлиять на удостоверения вашей организации.

  • Microsoft Entra Domain Services позволяет присоединять виртуальные машины Azure к домену без необходимости развертывать контроллеры домена. Пользователи входят в эти виртуальные машины с помощью учетных данных Active Directory и могут легко получить доступ к ресурсам.

  • Microsoft Entra B2C — это высокодоступная глобальная служба управления удостоверениями для приложений, которые могут масштабироваться до сотен миллионов удостоверений и интегрироваться на мобильных и веб-платформах. Клиенты могут входить во все приложения с помощью настраиваемых средств, используя существующие учетные записи социальных сетей. Можно также создать для них новые изолированные учетные данные.

  • Microsoft Entra B2B Collaboration — это безопасное решение для интеграции партнеров, которое поддерживает отношения между компаниями, позволяя партнерам получать доступ к корпоративным приложениям и данным выборочно с помощью своих самоуправляемых удостоверений.

  • Microsoft Entra joined позволяет расширить облачные возможности устройств Windows 10 для централизованного управления. Это позволяет пользователям подключаться к корпоративному или организационному облаку через Microsoft Entra ID и упрощает доступ к приложениям и ресурсам.

  • Microsoft Entra прокси для приложений предоставляет единую точку входа и безопасный удаленный доступ для веб-приложений, размещенных на локальных серверах.

Дальнейшие шаги

  • Last updated on