Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Мы понимаем, что в облаке безопасность имеет наивысший приоритет и вам крайне важно получать точные и своевременные сведения о безопасности Azure. Одним из наиболее весомых доводов в пользу использования Azure для приложений и служб является доступ к обширному ассортименту различных инструментов и функций обеспечения безопасности. Эти средства и возможности мы предлагаем вам для создания безопасных решений на безопасной платформе Azure. Microsoft Azure обеспечивает конфиденциальность, целостность и доступность данных клиента, а также прозрачный учет.
Статья содержит подробный обзор доступных в Azure элементов безопасности.
Платформа Azure
Azure — общедоступная облачная платформа, которая поддерживает широкий выбор операционных систем, языков программирования, платформ, инструментов, баз данных и устройств. В ней можно запускать контейнеры Linux с интеграцией Docker, создавать приложения на языках JavaScript, Python, .NET, PHP, Java и Node.js, разрабатывать серверные решения для устройств под управлением iOS, Android и Windows.
Общедоступные облачные службы Azure поддерживают технологии, которым доверяют миллионы разработчиков и ИТ-специалистов. При сборке или переносе ИТ-ресурсов в общедоступный поставщик облачных служб вы полагаетесь на способность этой организации защищать приложения и данные. Они предоставляют службы и элементы управления для управления безопасностью облачных ресурсов.
Инфраструктура Azure тщательно создана с нуля, охватывая все физические объекты до приложений, чтобы безопасно разместить миллионы клиентов одновременно. Этот надежный фонд позволяет предприятиям уверенно соответствовать их требованиям к безопасности.
Кроме того, Azure предоставляет самые разные настраиваемые решения для обеспечения безопасности, а также возможность управления ими. Все это позволит настроить защиту в соответствии с уникальными особенностями развернутых в организации служб. Данный документ поможет вам понять, каким образом функции безопасности Azure позволяют удовлетворить эти требования.
Примечание.
Основная цель данного документа — элементы управления, которые клиенты могут использовать для настройки и повышения безопасности приложений и служб.
Сведения о том, как корпорация Майкрософт обеспечивает защиту самой платформы Azure, см. в статье Безопасность инфраструктуры Azure.
Общие сведения о возможностях системы безопасности Azure
В зависимости от модели облачной службы существует переменная ответственность за управление безопасностью приложения или службы. В платформе Azure доступны возможности для упрощения выполнения этих обязанностей с помощью встроенных функций и решений партнеров, которые могут быть развернуты в подписке Azure.
Встроенные функции разделены на шесть функциональных областей: операции, приложения, хранилище, сеть Azure, вычисления и идентификация. Более подробная информация о функциях и возможностях, доступных на платформе Azure в этих шести областях, предоставляется в виде сводной информации.
Операции
Этот раздел содержит дополнительные сведения о ключевых функциях операций безопасности, а также сводные сведения об этих функциях.
Microsoft Sentinel
Microsoft Sentinel — это масштабируемое, облачное решение для управления информацией и событиями безопасности (SIEM), а также для оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии. В Microsoft Sentinel реализовано единое решение для обнаружения атак, отображения угроз, их упреждающего поиска и реагирования на них.
Microsoft Defender для облака
Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них при одновременном повышении видимости и управлении безопасностью ресурсов Azure. Microsoft Defender для облака обеспечивает интегрированный мониторинг безопасности и управление политиками в подписках Azure. Microsoft Defender для облака помогает обнаруживать угрозы, которые в противном случае могут быть незамечены, и работает с широкой экосистемой решений безопасности.
Кроме того, Defender для облака помогает с операциями безопасности, предоставляя одну панель мониторинга, которая предоставляет оповещения и рекомендации, которые могут быть приняты немедленно. Часто можно устранить проблемы с помощью одного действия в консоли Defender для облачных решений.
Azure Resource Manager
Azure Resource Manager дает вам возможность работать с ресурсами своего решения как с группой. Вы можете развертывать, обновлять или удалять все ресурсы решения в рамках одной скоординированной операции. Развертывание осуществляется на основе шаблона Azure Resource Manager, используемого для разных сред, в том числе для тестовой, промежуточной и рабочей. Диспетчер ресурсов предоставляет функции безопасности, аудита и добавления тегов, помогающие управлять ресурсами после развертывания.
Развертывания на основе шаблона Azure Resource Manager помогают повысить безопасность решений, развернутых в Azure, так как стандартные параметры управления безопасностью могут быть интегрированы в стандартизованные развертывания на основе шаблона. Шаблоны снижают риск ошибок конфигурации безопасности, которые могут возникнуть во время ручного развертывания.
Application Insights
Application Insights — это гибкая служба управления производительностью приложений (APM), предназначенная для веб-разработчиков. Он позволяет отслеживать динамические веб-приложения и автоматически обнаруживать проблемы с производительностью. С помощью мощных средств аналитики можно диагностировать проблемы и получить аналитические сведения о взаимодействии пользователей с приложениями. Application Insights постоянно отслеживает ваше приложение, от разработки через тестирование до внедрения.
Application Insights создает аналитические диаграммы и таблицы, которые показывают пиковое время активности пользователей, скорость реагирования приложения и производительность любых внешних служб, на которые она зависит.
Если происходят сбои, отказы или проблемы с производительностью, вы можете провести детальный анализ данных, чтобы установить причину. Кроме этого, в случае каких-либо изменений доступности и производительности приложения служба будет отправлять вам по электронной почте соответствующие уведомления. Таким образом, Application Insight становится ценным инструментом безопасности, так как помогает обеспечить конфиденциальность, целостность и доступность.
Azure Monitor
Azure Monitor предлагает возможности визуализации, создания запросов, маршрутизации, оповещения, автомасштабирования и автоматизации на основе данных подписки Azure (Журнал действий) и каждого отдельного ресурса Azure (Журналы ресурсов). Azure Monitor можно использовать для оповещения о событиях безопасности, регистрируемых в журналах Azure.
Журналы Azure Monitor
Журналы Azure Monitor — предоставляет решение для управления ИТ-инфраструктурой как локальной сети, так и облачной инфраструктурой от компаний, не принадлежащих Microsoft (например, Amazon Web Services), а также ресурсами Azure. Данные из Azure Monitor могут направляться непосредственно в журнал Azure Monitor, в результате чего метрики и журналы для всей среды будут отображаться в одном месте.
Журнал Azure Monitor может быть полезным инструментом для выполнения экспертизы и прочего анализа безопасности, так как позволяет быстро находить информацию в больших объемах записей, относящихся к безопасности, с помощью гибких запросов. Кроме того, локальные журналы брандмауэра и прокси-сервера можно экспортировать в Azure для анализа с помощью журнала Azure Monitor.
Помощник по Azure
Помощник по Azure — это персонализированный облачный консультант, который поможет оптимизировать развернутые службы Azure. Он анализирует данные конфигурации ресурсов и использования. Затем он рекомендует решения, позволяющие повысить производительность, безопасность и надежность ресурсов, выявляя при этом любые возможности сократить общие затраты на Azure. Помощник по Azure предоставляет рекомендации по безопасности, которые могут значительно повысить общий уровень безопасности решений, развертываемых в Azure. Эти рекомендации составляются на основе анализа безопасности, выполненного Microsoft Defender для облака.
Приложения
Этот раздел содержит дополнительные сведения о ключевых функциях защиты приложений, а также сводные сведения об этих функциях.
Выполнение тестов на проникновение
Мы не тестируем ваши приложения на проникновение, однако понимаем, что вам потребуется такая проверка. Уведомление майкрософт о действиях по тестированию пера больше не требуется, чтобы клиенты по-прежнему соответствовали правилам Microsoft Cloud Проникновение в службу взаимодействия.
Брандмауэр веб-приложения
Брандмауэр веб-приложений (WAF) в Шлюзе приложений Azure обеспечивает защиту веб-приложений от распространенных веб-атак, таких как внедрение SQL, межсайтовый скрипт и перехват сеансов. Она предварительно настроена для защиты от основных уязвимостей, определенных проектом "Безопасность веб-приложений" (OWASP).
Проверка подлинности и авторизация в службе приложений Azure
Аутентификация и авторизация службы приложений — это функция, которая позволяет приложению выполнять вход пользователей, не требуя изменения кода в серверной части приложения. Она является простым способом обеспечения защиты приложения и работы с данными пользователей.
Многоуровневая архитектура безопасности
Среды службы приложений предоставляют изолированную среду выполнения, развернутую в виртуальной сети Azure. Поэтому разработчики могут создавать многоуровневую архитектуру безопасности, предусматривающую разные уровни доступа к сети для каждого уровня приложения. Обычно бэкэнды API скрываются от общего доступа в Интернет, и API разрешается вызывать только из веб-приложений верхнего уровня. В подсетях виртуальной сети Azure, содержащих среды службы приложений, могут использоваться группы безопасности сети (NSG) для ограничения открытого доступа к приложениям API.
Веб-приложения в службе приложений предоставляют надежные диагностические возможности для сбора логов и с веб-сервера, и веб-приложения. Эти диагностики классифицируются на диагностики веб-сервера и приложения. Диагностика веб-серверов включает значительные улучшения в области диагностики и устранения неполадок сайтов и приложений.
Первая новая возможность — получаемые в режиме реального времени сведения о состоянии пулов приложений, рабочих процессов, узлов, доменов приложений и выполняющихся запросов. Вторым новым преимуществом являются подробные события трассировки, используемые для отслеживания запросов на протяжении всего процесса запроса и ответа.
Чтобы включить коллекцию этих событий трассировки, служба IIS 7 может быть настроена для автоматического отслеживания полных журналов трассировки в формате XML для конкретных запросов. Коллекция может основываться на основе истекшего времени или на кодах ответов об ошибках.
Хранилище
Этот раздел содержит дополнительные сведения о ключевых функциях безопасности в службе хранилища Azure, а также сводные сведения об этих функциях.
Управление доступом на основе ролей в Azure (Azure RBAC)
Вы можете защитить учетную запись хранения с помощью управления доступом на основе ролей Azure (Azure RBAC). Ограничение доступа согласно принципам безопасности (принцип предоставления доступа только в тех случаях и в той степени, в которой знание такой информации необходимо, а также принцип предоставления минимальных привилегий) крайне важно для организаций, которым требуется применять политики безопасности для доступа к данным. Эти права предоставляются путем назначения соответствующей роли Azure группам и приложениям для определенной области. Вы можете назначать пользователям права, например права участника учетных записей хранения, с помощью встроенных ролей Azure. Доступ к ключам для учетной записи хранения, использующей модель на основе Azure Resource Manager, можно контролировать посредством Azure RBAC.
Подписанная строка доступа
Подпись общего доступа (SAS) предоставляет делегированный доступ к ресурсам в вашей учетной записи хранилища. SAS означает, что клиенту можно предоставить ограниченное право на работу с объектами в вашей учетной записи хранения на определенный период и с определенным набором разрешений. Вы можете предоставлять эти ограниченные права, не сообщая ключи доступа к своей учетной записи.
Шифрование при передаче
Шифрование при передаче — это механизм защиты данных, передаваемых по сетям. Служба хранилища Azure позволяет применять для защиты данных:
шифрование транспортного уровня, например протокол HTTPS, при передаче данных в службу хранилища Azure или из нее;
шифрование подключения, например, шифрование SMB 3.0 для общих ресурсов Azure.
Шифрование на стороне клиента для шифрования данных до его передачи в хранилище и расшифровки данных после его передачи из хранилища.
Шифрование при хранении
Для многих организаций шифрование неактивных данных является обязательным шагом для защиты данных, соблюдения стандартов и обеспечения конфиденциальности данных. Существует три функции безопасности хранилища Azure, обеспечивающие шифрование неактивных данных:
Шифрование службы хранилища позволяет настроить автоматическое шифрование данных, записываемых в службу хранилища Azure.
Шифрование на стороне клиента также обеспечивает шифрование данных на месте.
Шифрование дисков Azure для виртуальных машин Linux и Шифрование дисков Azure для виртуальных машин Windows позволяет шифровать диски ОС и диски данных, используемые виртуальной машиной IaaS.
Аналитика службы хранилища
Azure Storage Analytics ведет журнал и предоставляет данные метрик для учетной записи хранения. Эта информация может использоваться для трассировки запросов, анализа тенденций пользования и диагностики проблем в учетной записи хранения. В аналитике хранилища регистрируется подробная информация об успешных и неудачных запросах к службе хранилища. Эта информация может использоваться для мониторинга отдельных запросов и диагностики неполадок в службе хранилища. Запросы вносятся в журнал в меру возможностей. Регистрируются запросы, прошедшие проверку подлинности, следующих типов.
- успешные запросы;
- Неудачные запросы, включая те, что вызваны истечением времени ожидания, регулированием, проблемами с сетью, авторизацией и другими ошибками.
- Запросы с использованием подписей общего доступа (SAS), включая как неудачные, так и успешные запросы.
- запросы к данным аналитики.
Поддержка браузерных клиентов с помощью CORS
Общий доступ к ресурсам независимо от источника (CORS) — это механизм, позволяющий доменам предоставлять друг другу разрешение для доступа к ресурсам друг друга. Агент пользователя отправляет дополнительные заголовки, чтобы гарантировать, что коду JavaScript, загруженному из определенного домена, разрешен доступ к ресурсам, расположенным в другом домене. Последний отправляет ответ с дополнительными заголовками, разрешающими или запрещающими исходному домену доступ к его ресурсам.
Службы хранилища Azure теперь поддерживают CORS, чтобы после установки правил CORS для службы правильно прошедший проверку подлинности запрос, сделанный по отношению к службе из другого домена, оценивается для определения, разрешён ли он в соответствии с указанными правилами.
Сеть
Этот раздел содержит дополнительные сведения о ключевых функциях безопасности в сети Azure, а также сводные сведения об этих функциях.
Контроль сетевого уровня
Контроль доступа к сети — это процесс ограничения возможностей входящих и исходящих подключений для определенных устройств и подсетей, лежащий в основе сетевой безопасности. Цель контроля доступа к сети — убедиться, что виртуальные машины и службы доступны только надлежащим пользователям и устройствам.
группы сетевой безопасности;
Группа безопасности сети (NSG) — это базовый брандмауэр с отслеживанием состояния для фильтрации пакетов, который позволяет управлять доступом на основе пятизначного кортежа. Группы безопасности сети не обеспечивают инспекцию на уровне приложений или аутентифицированные средства управления доступом. Они могут использоваться для контроля трафика, передаваемого между подсетями в виртуальной сети Azure, и трафика между виртуальной сетью и Интернетом.
Брандмауэр Azure
Брандмауэр Azure — это ориентированная на облако интеллектуальная служба сетевого брандмауэра, обеспечивающая защиту от угроз для облачных рабочих нагрузок в Azure. Это полностью стейтфул межсетевой экран как услуга с встроенной высокой доступностью и неограниченными возможностями облачного масштабирования. Она обеспечивает проверку трафика в направлениях восток-запад и север-юг.
Брандмауэр Azure предлагается в трех номерах SKU: "Базовый", "Стандартный" и "Премиум". Базовая версия Azure Firewall предлагает упрощенную защиту, аналогичную Стандартному SKU, но без расширенных функций. Брандмауэр Azure Стандарт обеспечивает фильтрацию уровней L3–L7 и потоки данных об угрозах напрямую от специалистов по кибербезопасности Microsoft. Брандмауэр Azure уровня "Премиум" предлагает расширенные возможности, в том числе IDPS на основе подписи для быстрого обнаружения атак путем поиска особых паттернов.
Защита от атак DDoS Azure
Защита от атак DDoS Azure, в сочетании с рекомендациями по проектированию приложений, предлагает расширенные функции для защиты от атак DDoS. Он автоматически настраивается для защиты определенных ресурсов Azure в виртуальной сети. Включение защиты просто в любой новой или существующей виртуальной сети и не требует изменений в приложениях или ресурсах.
Защита от атак DDoS Azure предлагает два уровня: защита сети от атак DDoS и защита IP-адресов DDoS.
Защита сети от атак DDoS предоставляет расширенные функции для защиты от атак DDoS. Он работает на сетевых уровнях 3 и 4 и включает дополнительные функции, такие как поддержка быстрого реагирования DDoS, защита затрат и скидки на Брандмауэр веб-приложений (WAF).
Защита IP-адресов DDoS использует модель оплаты за защищенный IP-адрес. Она включает те же основные функции проектирования, что и защита сети DDoS, но не предлагает дополнительные службы, такие как поддержка быстрого реагирования DDoS, защита затрат и скидки WAF.
Управление маршрутами и принудительное туннелирование
Возможность управлять поведением при маршрутизации в виртуальных сетях Azure является крайне важной с точки зрения сетевой безопасности и контроля доступа. Например, если вам необходимо обеспечить, чтобы весь входящий и исходящий трафик в виртуальной сети Azure проходил через это виртуальное устройство безопасности, нужно иметь возможность контролировать и настраивать маршрутизацию. Это можно сделать, настроив в Azure определяемые пользователем маршруты.
Определяемые пользователем маршруты позволяют настроить пути входящего и исходящего трафика отдельных виртуальных машин или подсетей, чтобы обеспечить максимальную безопасность маршрутов. Принудительное туннелирование — это механизм, который можно использовать для обеспечения того, чтобы службы не могли инициировать подключение к устройствам в Интернете.
Это отличается от приема входящих подключений и последующего ответа на них. Интерфейсные веб-серверы должны отвечать на запрос от интернет-узлов, поэтому трафику из Интернета разрешено поступать на такие веб-серверы, а им в свою очередь разрешено отвечать.
Принудительное туннелирование обычно используется для принудительной передачи исходящего трафика Интернета через локальные прокси-серверы системы безопасности и брандмауэры.
Виртуальные устройства сетевой безопасности
Хотя группы безопасности сети, определяемые пользователем маршруты и принудительное туннелирование обеспечивают уровень безопасности на сетевых и транспортных уровнях модели OSI, могут возникнуть времена, когда требуется обеспечить безопасность на более высоких уровнях стека. Воспользоваться этими улучшенными функциям сетевой безопасности можно с помощью устройства сетевой безопасности от партнера Azure. Вы можете найти самые актуальные решения для безопасности сети партнеров Azure, перейдя в Azure Marketplace и выполнив поиск безопасности и безопасности сети.
Виртуальная сеть Azure
Виртуальная сеть (VNet) Azure — это представление сети в облаке. Это логическая изоляция сетевой структуры Azure, выделенной для вашей подписки. Вы можете полностью контролировать блоки IP-адресов, параметры DNS, политики безопасности и таблицы маршрутизации в этой сети. Кроме того, вы можете дополнительно разделить виртуальную сеть на подсети и запускать виртуальные машины Azure IaaS и (или) облачные службы (экземпляры роли PaaS) в виртуальных сетях Azure.
Можно также подключить виртуальную сеть к локальной сети с помощью одного из вариантов подключения, доступных в Azure. По сути, вы можете расширить локальную сеть в Azure с возможностью полного контроля над блоками IP-адресов и преимуществами приложений корпоративного уровня, предоставляемыми Azure.
Сети Azure поддерживают различные сценарии безопасного удаленного доступа. Ниже перечислены некоторые из них.
Подключение отдельных рабочих станций к виртуальной сети Azure
Подключение локальной сети к виртуальной сети Azure с помощью VPN
Подключение локальной сети к виртуальной сети Azure с помощью выделенного канала глобальной сети
Диспетчер виртуальных сетей Azure
Диспетчер виртуальной сети Azure предоставляет централизованное решение для защиты ваших виртуальных сетей в масштабах. Он использует правила администратора безопасности для централизованного определения и применения политик безопасности для виртуальных сетей во всей организации. Правила администратора безопасности имеют приоритет над правилами группы безопасности сети (NSG) и применяются к виртуальной сети. Это позволяет организациям применять ключевые политики с помощью правил администратора безопасности, одновременно давая возможность подчиненным командам адаптировать группы сетевой безопасности (NSG) в соответствии с их конкретными потребностями на уровнях подсети и сетевого интерфейсного адаптера (NIC). В зависимости от потребностей организации можно использовать действия правил "Разрешить", "Запрет" или "Всегда разрешать" для применения политик безопасности.
| Действие правила | Описание |
|---|---|
| Разрешить | Разрешает указанный трафик по умолчанию. Подчиненные группы безопасности сети по-прежнему будут получать этот трафик и могут его отклонить. |
| Всегда разрешать | Всегда разрешайте указанный трафик вне зависимости от других правил с более низким приоритетом или сетевых групп безопасности (NSG). Это можно использовать для предотвращения блокировки агента мониторинга, контроллера домена или трафика управления. |
| Запретить | Блокировать указанный трафик. Подчинённые группы безопасности (NSG) не будут проверять этот трафик после того, как доступ заблокирован согласно правилу, установленному администратором безопасности, гарантируя защиту высокорисковых портов для существующих и новых виртуальных сетей по умолчанию. |
В Диспетчере виртуальных сетей Azure группы сетей позволяют объединять виртуальные сети для централизованного управления и применения политик безопасности. Группы сети — это логическая группировка виртуальных сетей на основе ваших потребностей с точки зрения топологии и безопасности. Вы можете вручную обновить членство виртуальной сети в ваших группах сети или определить условные инструкции с помощью Azure Policy для динамического обновления групп сети и автоматического обновления членства в них.
Приватный канал Azure
Приватный канал Azure обеспечивает доступ к службам Azure PaaS (например, к службе хранилища Microsoft Azure и Базе данных SQL), а также размещенным в Azure службам, которые принадлежат клиенту или партнеру, через частную конечную точку виртуальной сети. Настройка и потребление с использованием Приватного канала Azure согласованы между службами Azure PaaS, клиентскими и общими партнерскими службами. Трафик, поступающий из виртуальной сети в службу Azure, всегда остается в магистральной сети Microsoft Azure.
Частные конечные точки позволяют защищать критически важные ресурсы служб Azure в пределах отдельных виртуальных сетей. Частная конечная точка Azure использует частный IP-адрес из вашей виртуальной сети, чтобы обеспечить частное и безопасное подключение к службе, работающей через Azure Private Link, эффективно интегрируя службу в вашу виртуальную сеть. Для использования служб Azure больше не требуется выставлять вашу виртуальную сеть в Интернет.
Вы также можете создать собственную службу частных соединений в виртуальной сети. Служба Приватный канал Azure — это ссылка на вашу собственную службу, которая работает на базе приватного канала Azure. Служба, работающая за стандартным балансировщиком нагрузки Azure, может быть включена для доступа через Private Link, чтобы пользователи службы могли подключаться к ней по защищённым каналам из своих собственных виртуальных сетей. Пользователи могут создать частную конечную точку в своей виртуальной сети и сопоставить ее с этой службой. Больше не требуется открывать доступ к вашей службе из Интернета для предоставления услуг на Azure.
VPN-шлюз
Для обмена сетевым трафиком между виртуальной сетью Azure и локальным сайтом необходимо создать VPN-шлюз для виртуальной сети Azure. VPN-шлюз — это разновидность шлюза виртуальной сети, который отправляет зашифрованный трафик через общедоступное подключение. VPN-шлюзы можно также использовать для обмена трафиком между виртуальными сетями Azure через сетевую структуру Azure.
ExpressRoute
Microsoft Azure ExpressRoute — это выделенный канал глобальной сети, который позволяет переносить локальные сети в Microsoft Cloud по выделенному закрытому подключению, которое обеспечивается поставщиком услуг подключения.
ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Microsoft Azure, Microsoft 365 и CRM Online. Это может быть подключение типа "любой к любому" (IP VPN), подключение Ethernet типа "точка-точка" или виртуальное кросс-подключение через поставщика услуг подключения на совместно используемом сервере.
Подключения ExpressRoute не проходят через общедоступный Интернет и поэтому могут считаться более безопасными, чем решения на основе VPN. Это обеспечивает повышенный уровень безопасности, надежности и быстродействия подключений ExpressRoute и более низкий уровень задержки по сравнению с типовыми подключениями через Интернет.
Шлюз приложений
Шлюз приложений Microsoft Azure предоставляет контроллер доставки приложений (ADC) как услугу, предлагая для приложения множество функций балансировки нагрузки уровня 7.
Это позволяет оптимизировать производительность веб-фермы за счет разгрузки интенсивной для ЦП задачи завершения TLS в Шлюзе приложений (также называемой разгрузкой TLS или посредничеством TLS). Кроме того, пользователи получают другие возможности маршрутизации уровня 7, включая распределение входящего трафика методом циклического перебора, определение сходства сеансов на основе файлов cookie, маршрутизацию на основе URL-путей и возможность размещения нескольких веб-сайтов за одним шлюзом приложений. Azure Application Gateway — это балансировщик нагрузки на уровне 7.
Он обеспечивает отказоустойчивость и эффективную маршрутизацию HTTP-запросов между различными серверами, будь то в облаке или локально.
Приложение предоставляет многие функции контроллера доставки приложений (ADC), включая балансировку нагрузки HTTP, сохранение сеансовой привязки к файлу cookie, разгрузку TLS, пользовательские пробы работоспособности, многосайтовую поддержку и т. д.
Брандмауэр веб-приложения
Брандмауэр веб-приложения — это функция шлюза приложений Azure, которая обеспечивает защиту веб-приложений, использующих шлюз приложений для стандартных функций управления доставкой приложений. Принцип работы брандмауэра веб-приложения заключается в защите приложений от большинства из основных десяти уязвимостей OWASP.
Защита от SQL-инъекций.
Защита от распространенных веб-атак, таких как внедрение команд, контрабанда HTTP-запросов, разделение ответа HTTP и включение удаленных файлов
Защита от нарушений протокола HTTP.
Защита от аномалий протокола HTTP, таких как отсутствие узла, агент пользователя и принятие заголовков
Защита от программ-роботов, программ-обходчиков и сканеров.
Обнаружение распространенных неправильно настроенных приложений (например, Apache, IIS)
Централизованный брандмауэр веб-приложения (WAF) упрощает управление безопасностью и повышает защиту от веб-атак. Он обеспечивает более надежную защиту от угроз вторжения и может быстрее реагировать на угрозы безопасности путем исправления известных уязвимостей централизованно, а не защиты каждого отдельного веб-приложения. Существующие шлюзы приложений можно легко обновить, чтобы включить брандмауэр веб-приложения.
Диспетчер трафика
Диспетчер трафика Microsoft Azure позволяет управлять распределением пользовательского трафика между конечными точками службы в разных центрах обработки данных. К конечным точкам службы, поддерживаемым диспетчером трафика Azure, относятся виртуальные машины, веб-приложения и облачные службы Azure. Вы также можете использовать диспетчер трафика с внешними конечными точками, не связанными с Azure. Диспетчер трафика использует службу доменных имен (DNS) для направления клиентских запросов к наиболее подходящей конечной точке в зависимости от метода маршрутизации трафика и работоспособности конечных точек.
Диспетчер трафика предоставляет целый ряд методов маршрутизации трафика, подходящих для приложений с различными потребностями, а также для мониторинга работоспособности конечных точек и автоматической отработки отказа. Диспетчер трафика устойчив к сбоям, включая сбой всего региона Azure.
Балансировщик нагрузки Azure
Azure Load Balancer обеспечивает высокую доступность и производительность сети для приложений. Это подсистема балансировки нагрузки уровня 4 (TCP, UDP), которая распределяет входящий трафик среди здоровых экземпляров служб, определенных в наборе балансировки нагрузки. Вот какие функции можно настроить в службе Azure Load Balancer:
балансировка нагрузки входящего интернет-трафика на виртуальные машины. Такая конфигурация называется общедоступным балансировщиком нагрузки.
Балансировка нагрузки трафика между виртуальными машинами в виртуальной сети, между виртуальными машинами в облачных службах или между локальными компьютерами и виртуальными машинами в распределенной виртуальной сети. Такая конфигурация называется внутренней балансировкой нагрузки.
Перенаправление внешнего трафика на определённую виртуальную машину
Внутренняя служба DNS
Списком DNS-серверов, которые используются в виртуальной сети, можно управлять с помощью портала управления или файла конфигурации сети. Для каждой виртуальной сети можно добавить до 12 DNS-серверов. При указании DNS-серверов важно убедиться, что они размещены в списке клиента в правильном порядке для его среды. Списки DNS-серверов не работают по принципу циклического распределения. Они используются в порядке их указания. Если первый DNS-сервер в списке доступен, клиент будет использовать его вне зависимости от того, работает DNS-сервер правильно или нет. Чтобы изменить порядок DNS-серверов для виртуальной сети, удалите их из списка клиента и добавьте обратно в нужном ему порядке. Служба DNS поддерживает аспект доступности в модели безопасности «CIA».
Azure DNS
Служба доменных имен, или DNS, отвечает за преобразование (или разрешение) имени веб-сайта или службы в IP-адрес. Azure DNS — это служба размещения для доменов DNS, которая предоставляет разрешение имен с помощью инфраструктуры Microsoft Azure. Размещая домены в Azure, вы можете управлять своими записями DNS с помощью тех же учетных данных, API и инструментов и оплачивать использование, как и другие службы Azure. Служба DNS обеспечивает доступность, являющуюся одним из трех упомянутых выше компонентов безопасности.
Журналы групп безопасности сети Azure Monitor
Для групп безопасности сети (NSG) можно включить следующие категории диагностических журналов:
Событие: содержит записи, в которых правила NSG, основанные на MAC-адресе, применяются к виртуальным машинам и экземплярам ролей. Состояние этих правил регистрируется каждые 60 секунд.
Счетчик правил: Содержит записи, информирующие о том, сколько раз каждое правило NSG было применено для запрета или разрешения трафика.
Microsoft Defender для облака
Microsoft Defender для облака постоянно анализирует состояние безопасности ресурсов Azure, предлагая рекомендации по обеспечению безопасности сети. Когда Defender для облака выявляет потенциальные уязвимости в системе безопасности, он создает рекомендации по настройке необходимых элементов управления, позволяющие укрепить защиту ресурсов.
Расширенные сетевые услуги контейнеров (ACNS)
Расширенные сетевые службы контейнеров (ACNS) — это комплексный набор, предназначенный для повышения эффективности работы кластеров Служба Azure Kubernetes (AKS). Он предоставляет расширенные функции безопасности и наблюдаемости, устраняя сложности управления инфраструктурой микрослужб в большом масштабе.
Эти функции разделены на две основные основы:
Безопасность. Для кластеров с помощью Azure CNI Powered by Cilium политики сети включают полную фильтрацию доменных имен (FQDN) для решения сложностей обслуживания конфигурации.
Наблюдаемость: Эта функция пакета расширенных сетевых служб контейнеров позволяет использовать возможности плоскости управления Hubble как для Cilium, так и для других плоскостей данных Linux, улучшая видимость сети и производительности.
Вычисление
Этот раздел содержит дополнительные сведения о ключевых функциях в этой области, а также сводные сведения об этих функциях.
Конфиденциальные вычисления Azure
Конфиденциальные вычисления Azure предоставляют недостающий, завершающий элемент головоломки защиты данных. Он позволяет всегда шифровать данные. Когда бездействует, при перемещении по сети, а теперь даже при загрузке в памяти и использовании. Кроме того, обеспечивая возможность удаленной аттестации, вы можете криптографически проверить, что виртуальная машина, которую вы развернули, загрузилась безопасно и правильно настроена, прежде чем разблокировать данные.
Спектр вариантов от включения сценариев "лифт и смена" существующих приложений до полного управления функциями безопасности. Для инфраструктуры как службы (IaaS) можно использовать конфиденциальные виртуальные машины, управляемые AMD SEV-SNP или конфиденциальными анклавами приложений для виртуальных машин под управлением расширений Intel Software Guard (SGX). Для Платформы как Услуги (PaaS) у нас есть несколько вариантов на основе контейнеров, включая интеграции со Службой Azure Kubernetes (AKS).
Антивредоносная программа и антивирусная программа
IaaS Azure предлагает антивредоносное ПО таких поставщиков систем безопасности, как корпорация Майкрософт, Symantec, Trend Micro, McAfee и Kaspersky, для защиты ваших виртуальных машин от вредоносных файлов, рекламного ПО и других угроз. Антивредоносная программа (Майкрософт) для облачных служб и виртуальных машин предоставляет защиту, которая помогает обнаруживать и устранять вирусы, шпионское ПО и другие вредоносные программы. Антивредоносное ПО Майкрософт позволяет использовать настраиваемые предупреждения о попытках установки или запуска известных вредоносных или нежелательных программ в системе Azure. Microsoft Antimalware также можно развернуть с помощью Microsoft Defender для облака
Аппаратные модули безопасности.
Шифрование и проверка подлинности не повышают безопасность, если только сами ключи не защищены. Вы можете упростить защиту важных секретных кодов и ключей и управление ими, поместив их в Azure Key Vault. Key Vault предоставляет возможность хранения ключей в аппаратных модулях безопасности (HSM), сертифицированных по проверенным стандартам FIPS 140. Ваши ключи шифрования SQL Server для резервного копирования или прозрачного шифрования данных могут храниться в хранилище ключей вместе с любыми ключами или секретными кодами приложений. Разрешения и доступ к этим защищенным элементам управляются с помощью идентификатора Microsoft Entra.
Резервная копия виртуальной машины
Служба архивации Azure — это решение, которое защищает данные приложений при нулевых капитальных вложениях и минимальных эксплуатационных затратах. Ошибки приложений могут повредить данные, а ошибки пользователей — привести к ошибкам в коде приложений, которые могут создать проблемы безопасности. Служба архивации Azure защитит виртуальные машины Windows и Linux.
Azure Site Recovery (резервное копирование и восстановление сайтов)
Важной частью корпоративной стратегии обеспечения непрерывности бизнеса и аварийного восстановления (BCDR) является решение о том, как будет обеспечиваться выполнение корпоративных рабочих нагрузок и приложений при возникновении плановых и внеплановых простоев. Azure Site Recovery помогает оркестрировать репликацию, переключение при сбое и восстановление рабочих нагрузок и приложений, чтобы они были доступны из вторичного местоположения, если основное местоположение выйдет из строя.
SQL VM TDE (прозрачное шифрование данных)
Существует несколько функций шифрования SQL Server, например прозрачное шифрование данных (TDE) и шифрование на уровне столбцов (CLE). Эти виды шифрования требуют, чтобы клиент хранил используемые для шифрования ключи и управлял ими.
Служба хранилища ключей Azure (AKV) предназначена для повышения безопасности и управления этими ключами в безопасном и высокодоступном месте. Соединитель SQL Server позволяет SQL Server использовать эти ключи из Azure Key Vault.
Если вы используете SQL Server с локальными компьютерами, выполните действия, которые можно выполнить для доступа к Azure Key Vault из локального экземпляра SQL Server. Однако в случае SQL Server на виртуальных машинах Azure можно сэкономить время, воспользовавшись функцией интеграции Azure Key Vault. С помощью нескольких командлетов Azure PowerShell для включения этой функции можно автоматизировать настройки, необходимые виртуальной машине SQL для доступа к вашему хранилищу ключей.
Шифрование дисков виртуальных машин
Шифрование дисков Azure для виртуальных машин Linux и Шифрование дисков Azure для виртуальных машин Windows помогает шифровать диски виртуальных машин IaaS. Она использует стандартные для отрасли функции (BitLocker в Windows и DM-Crypt в Linux), которые обеспечивают шифрование томов дисков ОС и дисков данных. Решение интегрировано с Azure Key Vault, чтобы помочь вам контролировать и управлять ключами шифрования дисков и секретами в вашей подписке Key Vault. Данное решение обеспечивает шифрование всех неактивных данных на дисках виртуальной машины в службе хранилища Azure.
Виртуальная сеть
Виртуальным машинам требуется осуществлять взаимодействие по сети. Для удовлетворения этого требования Azure требует подключения виртуальных машин к виртуальной сети Azure. Виртуальная сеть Azure — это логическая конструкция, созданная поверх структуры физических сетей Azure. Каждая логическая виртуальная сеть Azure изолирована от всех прочих виртуальных сетей Azure. Эта изоляция помогает гарантировать, что сетевой трафик в развертываниях недоступен другим клиентам Microsoft Azure.
Обновления патчей
Обновление исправлений служит основой для поиска и устранения потенциальных проблем и упрощает процесс управления обновлениями программного обеспечения. Обновление исправлений уменьшает количество обновлений, которые необходимо развернуть на предприятии, и предоставляет больше возможностей для контроля соответствия требованиям.
Управление политикой безопасности и отчеты.
Defender для облака помогает предотвращать, обнаруживать и реагировать на угрозы, а также повышает прозрачность и усиливает контроль за безопасностью ресурсов Azure. Он содержит встроенные функции мониторинга безопасности и управления политиками для подписок Azure, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с широким комплексом решений по обеспечению безопасности.
Управление удостоверениями и доступом
Защита систем, приложений и данных начинается со средств управления доступом на основе удостоверений. Функции управления удостоверениями и доступом, встроенные в корпоративные продукты и службы Майкрософт, помогают защитить корпоративные и личные сведения от несанкционированного доступа, обеспечивая при этом полномочным пользователям доступ в любое время и при первой же необходимости.
Защита удостоверения
Корпорация Майкрософт использует в своих продуктах и службах несколько методик и технологий защиты для управления удостоверениями и доступом.
Многофакторная проверка подлинности требует, чтобы пользователи использовали несколько методов для доступа, локальной среды и в облаке. Обеспечивается строгая проверка подлинности с рядом простых вариантов проверки, в то же время пользователям предлагается простой процесс входа в систему.
Microsoft Authenticator предоставляет удобный многофакторный интерфейс проверки подлинности, который работает как с идентификатором Microsoft Entra, так и с учетными записями Майкрософт, а также поддерживает утверждения на основе отпечатков пальцев.
Принудительное применение политики паролей повышает безопасность традиционных паролей, предъявляя требования к длине и сложности, а также используя принудительную ротацию паролей и блокировку учетных записей после неудачных попыток аутентификации.
Аутентификация на основе токенов позволяет производить аутентификацию через Microsoft Entra ID.
Управление доступом на основе ролей Azure (Azure RBAC) позволяет предоставлять доступ на основе назначенных пользователю ролей. Это упрощает предоставление пользователям именного того уровня доступа, который им необходим, чтобы выполнять свои обязанности. Параметры Azure RBAC можно настроить в соответствии с бизнес-моделью организации и допустимыми рисками.
Интегрированное управление удостоверениями (гибридные удостоверения) дает возможность контролировать доступ пользователей во внутренних центрах обработки данных и облачных платформах, создавая для пользователя отдельный идентификатор, позволяющий пройти аутентификацию и авторизацию для всех ресурсов.
Защита приложений и данных
Идентификатор Microsoft Entra, комплексное облачное решение для управления удостоверениями и доступом, помогает защитить доступ к данным в приложениях на сайте и в облаке, а также упрощает управление пользователями и группами. Оно объединяет в себе основные службы каталогов, расширенное управление удостоверениями, защиту и управление доступом к приложениям. Azure Active Directory облегчает для разработчиков внедрение управления удостоверениями на основе политик в свои приложения. Чтобы улучшить идентификатор Microsoft Entra, вы можете добавить платные возможности с помощью выпусков Microsoft Entra Basic, Premium P1 и Premium P2.
Cloud App Discovery — это премиум-функция идентификатора Microsoft Entra, которая позволяет определить облачные приложения, используемые сотрудниками организации.
Защита идентификации Microsoft Entra — это служба безопасности, которая использует возможности обнаружения аномалий Microsoft Entra для обеспечения консолидированного представления об обнаружении рисков и потенциальных уязвимостях, которые могут повлиять на идентичности вашей организации.
Доменные службы Microsoft Entra позволяют присоединять виртуальные машины Azure к домену без необходимости развертывать контроллеры домена. Пользователи могут входить на эти виртуальные машины со своими корпоративными учетными данными Active Directory и легко получать доступ к ресурсам.
Microsoft Entra B2C — это высокодоступная глобальная служба управления удостоверениями для клиентских приложений, которые могут масштабироваться до сотен миллионов удостоверений и интегрироваться на мобильных и веб-платформах. Клиенты могут входить во все приложения с помощью настраиваемых средств, используя существующие учетные записи социальных сетей. Можно также создать для них новые изолированные учетные данные.
Microsoft Entra Совместная работа B2B — это безопасное решение для интеграции партнеров, которое поддерживает отношения между компаниями, позволяя партнерам выборочно получать доступ к вашим корпоративным приложениям и данным, используя свои самостоятельное управляемые удостоверения.
Присоединение к Microsoft Entra позволяет расширить облачные возможности на устройствах с Windows 10 для централизованного управления. Это позволяет пользователям подключаться к корпоративному или организационному облаку с помощью идентификатора Microsoft Entra ИД и упрощает доступ к приложениям и ресурсам.
Прокси приложения Microsoft Entra предоставляет единый вход и безопасный удаленный доступ для веб-приложений, размещенных локально.
Следующие шаги
Поймите вашу общую ответственность в облаке.
Узнайте, как Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них при одновременном повышении видимости и управлении безопасностью ресурсов Azure.