Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность важна в современной облачной среде. Киберугры постоянно развиваются, а защита данных, приложений и инфраструктуры требует комплексного многоуровневого подхода. Мы понимаем, что в облаке безопасность имеет наивысший приоритет и вам крайне важно получать точные и своевременные сведения о безопасности Azure.
Статья содержит подробный обзор доступных в Azure элементов безопасности. Комплексное представление системы безопасности Azure, упорядоченное с помощью возможностей защиты, обнаружения и реагирования, см. в статье "Сквозная безопасность" в Azure.
Глубокий подход к безопасности Azure
Azure использует стратегию глубинной защиты, обеспечивая несколько уровней защиты безопасности во всем стеке — от физических центров обработки данных до вычислений, хранилища, сети, приложений и удостоверений. Этот многоуровневый подход гарантирует, что если один слой скомпрометирован, дополнительные слои продолжают защищать ресурсы.
Инфраструктура Azure тщательно создана с нуля, охватывая все физические объекты до приложений, чтобы безопасно разместить миллионы клиентов одновременно. Этот надежный фонд позволяет предприятиям уверенно соответствовать их требованиям к безопасности. Сведения о том, как корпорация Майкрософт обеспечивает защиту самой платформы Azure, см. в статье Безопасность инфраструктуры Azure. Дополнительные сведения о безопасности физического центра обработки данных см. в статье о физической безопасности Azure.
Azure — общедоступная облачная платформа, которая поддерживает широкий выбор операционных систем, языков программирования, платформ, инструментов, баз данных и устройств. В ней можно запускать контейнеры Linux с интеграцией Docker, создавать приложения на языках JavaScript, Python, .NET, PHP, Java и Node.js, разрабатывать серверные решения для устройств под управлением iOS, Android и Windows. Общедоступные облачные службы Azure поддерживают технологии, которым доверяют миллионы разработчиков и ИТ-специалистов.
Встроенная безопасность платформы
Azure обеспечивает защиту безопасности по умолчанию, встроенную в платформу, которая помогает защитить ресурсы с момента их развертывания. Подробные сведения о возможностях безопасности платформы Azure см. в обзоре безопасности платформы Azure.
- Защита сети. Защита от атак DDoS Azure автоматически экранирует ресурсы от распределенных атак типа "отказ в обслуживании"
- Шифрование по умолчанию: шифрование неактивных данных включено по умолчанию для службы хранилища Azure, базы данных SQL и многих других служб.
- Безопасность удостоверений. Идентификатор Microsoft Entra обеспечивает безопасную проверку подлинности и авторизацию для всех служб Azure
- Обнаружение угроз: встроенные мониторы обнаружения угроз для подозрительных действий в ресурсах Azure
- Соответствие требованиям: Azure поддерживает крупнейший портфель соответствия требованиям в отрасли, помогая вам соответствовать нормативным требованиям.
Эти базовые средства управления безопасностью постоянно работают в фоновом режиме для защиты облачной инфраструктуры без дополнительной конфигурации, необходимой для базовой защиты.
Разделение ответственности в облаке
Хотя Azure обеспечивает надежную безопасность платформы, безопасность в облаке является общей ответственностью между корпорацией Майкрософт и нашими клиентами. Разделение обязанностей зависит от модели развертывания (IaaS, PaaS или SaaS):
- Ответственность Майкрософт: Azure защищает базовую инфраструктуру, включая физические центры обработки данных, оборудование, сетевую инфраструктуру и операционную систему узла.
- Ваша ответственность: вы несете ответственность за защиту данных, приложений, удостоверений и управления доступом
Каждая рабочая нагрузка и приложение отличаются, с уникальными требованиями к безопасности на основе отраслевых правил, конфиденциальности данных и бизнес-потребностей. Вот где вступают в игру расширенные службы безопасности Azure. Дополнительные сведения о модели общей ответственности см. в разделе "Общая ответственность" в облаке.
Note
Основная цель данного документа — элементы управления, которые клиенты могут использовать для настройки и повышения безопасности приложений и служб.
Расширенные службы безопасности для каждой рабочей нагрузки
Для удовлетворения уникальных требований к безопасности Azure предоставляет полный набор расширенных служб безопасности, которые можно настроить и кастомизировать для конкретных потребностей. Эти службы организованы в шести функциональных областях: операции, приложения, хранилище, сеть, вычисления и удостоверения. Полный каталог служб безопасности и технологий см. в разделе "Службы безопасности Azure" и "Технологии".
Кроме того, Azure предоставляет широкий спектр настраиваемых параметров безопасности и возможность управлять ими, чтобы обеспечить безопасность в соответствии с уникальными требованиями развертываний вашей организации. Данный документ поможет вам понять, каким образом функции безопасности Azure позволяют удовлетворить эти требования.
Структурированное представление элементов управления безопасностью Azure и базовых показателей см. в эталонном тесте безопасности Microsoft Cloud Security, который предоставляет комплексные рекомендации по безопасности для служб Azure. Сведения о технических возможностях безопасности Azure см. в технической поддержке Azure.
Безопасность вычислений
Защита виртуальных машин и вычислительных ресурсов является основой для защиты рабочих нагрузок в Azure. Azure предоставляет несколько уровней безопасности вычислений, от аппаратных средств защиты до обнаружения угроз на основе программного обеспечения. Подробные сведения о безопасности виртуальных машин см. в обзоре безопасности виртуальных машин Azure.
Доверенный запуск
Доверенный запуск — это значение по умолчанию для только что созданных виртуальных машин Azure поколения 2 и масштабируемых наборов виртуальных машин. Доверенный запуск защищает от продвинутых и настойчивых атак, включая буткиты, руткиты и вредоносные программы на уровне ядра операционной системы.
Доверенный запуск предоставляет:
- Безопасная загрузка: защищает от установки вредоносных программ rootkits и загрузочных комплектов, обеспечивая загрузку только подписанных операционных систем и драйверов.
- vTPM (модуль виртуальной доверенной платформы): выделенное безопасное хранилище для ключей и измерений, которое обеспечивает проверку целостности аттестации и загрузки.
- Мониторинг целостности загрузки: использует аттестацию через Microsoft Defender для облака для проверки целостности цепочки загрузки и оповещений о сбоях
Доверенный запуск можно включить на существующих виртуальных машинах и масштабируемых наборах виртуальных машин.
Конфиденциальные вычисления Azure
Конфиденциальные вычисления Azure предоставляют недостающий, завершающий элемент головоломки защиты данных. Он позволяет всегда шифровать данные. Когда бездействует, при перемещении по сети, а теперь даже при загрузке в памяти и использовании. Кроме того, обеспечивая возможность удаленной аттестации , вы можете криптографически проверить, что виртуальная машина, которую вы развернули безопасно и правильно настроили, прежде чем разблокировать данные.
Спектр параметров определяется от включения сценариев "лифта и смены" существующих приложений до полного контроля над функциями безопасности. Для инфраструктуры как службы (IaaS) можно использовать следующее:
- Конфиденциальные виртуальные машины, управляемые AMD SEV-SNP: шифрование памяти на основе оборудования с размером до 256 ГБ зашифрованной памяти
- Конфиденциальные виртуальные машины с Intel TDX: расширения домена Intel Trust обеспечивают повышенную производительность и безопасность.
- Конфиденциальные виртуальные машины с графическими процессорами NVIDIA H100: вычислительные ресурсы с ускорением GPU для рабочих нагрузок AI/ML
- Анклавы конфиденциальных приложений с помощью Intel SGX: изоляция на уровне приложения для конфиденциального кода и данных
Для платформы как службы (PaaS) Azure предлагает несколько вариантов конфиденциальных вычислений на основе контейнеров, включая интеграцию со службой Azure Kubernetes (AKS).
Антивредоносная программа и антивирусная программа
IaaS Azure предлагает антивредоносное ПО таких поставщиков систем безопасности, как корпорация Майкрософт, Symantec, Trend Micro, McAfee и Kaspersky, для защиты ваших виртуальных машин от вредоносных файлов, рекламного ПО и других угроз. Антивредоносная программа Майкрософт для виртуальных машин Azure — это возможность защиты, которая помогает выявлять и удалять вирусы, шпионские программы и другое вредоносное программное обеспечение. Антивредоносное ПО Майкрософт позволяет использовать настраиваемые предупреждения о попытках установки или запуска известных вредоносных или нежелательных программ в системе Azure. Антивредоносная программа Майкрософт также может быть развернута с помощью Microsoft Defender для облака.
Note
Для современной защиты рассмотрим Microsoft Defender для серверов , которые обеспечивают расширенную защиту от угроз, включая обнаружение конечных точек и реагирование (EDR) через интеграцию с Microsoft Defender для конечной точки.
Аппаратные модули безопасности.
Шифрование и проверка подлинности не повышают безопасность, если только сами ключи не защищены. Вы можете упростить защиту важных секретных кодов и ключей и управление ими, поместив их в Azure Key Vault. Key Vault предоставляет возможность хранения ключей в аппаратных модулях безопасности (HSM), сертифицированных по стандартам FIPS 140-3 уровня 3 . Ваши ключи шифрования SQL Server для резервного копирования или прозрачного шифрования данных могут храниться в хранилище ключей вместе с любыми ключами или секретными кодами приложений. Разрешения и доступ к этим защищенным элементам управляются с помощью идентификатора Microsoft Entra.
Подробные сведения о вариантах управления ключами, включая Azure Key Vault, управляемый HSM и HSM оплаты, см. в статье "Управление ключами" в Azure.
Резервная копия виртуальной машины
Azure Backup — это решение, которое защищает данные приложения от нуля капитальных инвестиций и минимальных операционных затрат. Ошибки приложений могут повредить данные, а ошибки пользователей — привести к ошибкам в коде приложений, которые могут создать проблемы безопасности. Служба архивации Azure защитит виртуальные машины Windows и Linux.
Azure Site Recovery (резервное копирование и восстановление сайтов)
Важной частью корпоративной стратегии обеспечения непрерывности бизнеса и аварийного восстановления (BCDR) является решение о том, как будет обеспечиваться выполнение корпоративных рабочих нагрузок и приложений при возникновении плановых и внеплановых простоев. Azure Site Recovery помогает оркестрировать репликацию, переключение при сбое и восстановление рабочих нагрузок и приложений, чтобы они были доступны из вторичного местоположения, если основное местоположение выйдет из строя.
SQL VM TDE (прозрачное шифрование данных)
Существует несколько функций шифрования SQL Server, например прозрачное шифрование данных (TDE) и шифрование на уровне столбцов (CLE). Эти виды шифрования требуют, чтобы клиент хранил используемые для шифрования ключи и управлял ими.
Служба хранилища ключей Azure (AKV) предназначена для повышения безопасности и управления этими ключами в безопасном и высокодоступном месте. Соединитель SQL Server позволяет SQL Server использовать эти ключи из Azure Key Vault.
Если вы используете SQL Server с локальными компьютерами, выполните действия, которые можно выполнить для доступа к Azure Key Vault из локального экземпляра SQL Server. Однако в случае SQL Server на виртуальных машинах Azure можно сэкономить время, воспользовавшись функцией интеграции Azure Key Vault. С помощью нескольких командлетов Azure PowerShell для включения этой функции можно автоматизировать настройки, необходимые виртуальной машине SQL для доступа к вашему хранилищу ключей.
Полный список рекомендаций по обеспечению безопасности базы данных см. в контрольном списке безопасности базы данных Azure.
Шифрование дисков виртуальных машин
Это важно
Шифрование дисков Azure для виртуальных машин и масштабируемых наборов виртуальных машин будет прекращено 15 сентября 2028 г. Новые клиенты должны использовать шифрование на узле для всех новых виртуальных машин. Существующие клиенты должны планировать перенос текущих виртуальных машин с поддержкой ADE в шифрование на узле до даты выхода на пенсию, чтобы избежать нарушения работы службы. См. статью "Миграция из шифрования дисков Azure в шифрование на узле".
Для современного шифрования виртуальных машин Azure предлагает:
- Шифрование на узле: обеспечивает сквозное шифрование данных виртуальной машины, включая временные диски и кэши дисков ДАННЫХ и ОС/данных.
- Шифрование конфиденциальных дисков: доступно с конфиденциальными виртуальными машинами для аппаратного шифрования
- Шифрование на стороне сервера с помощью ключей, управляемых клиентом: управление собственными ключами шифрования с помощью Azure Key Vault
Дополнительные сведения см. в разделе "Общие сведения о параметрах шифрования управляемых дисков".
Виртуальная сеть
Виртуальным машинам требуется осуществлять взаимодействие по сети. Для удовлетворения этого требования Azure требует подключения виртуальных машин к виртуальной сети Azure. Виртуальная сеть Azure — это логическая конструкция, созданная поверх структуры физических сетей Azure. Каждая логическая виртуальная сеть Azure изолирована от всех прочих виртуальных сетей Azure. Эта изоляция помогает гарантировать, что сетевой трафик в развертываниях недоступен другим клиентам Microsoft Azure.
Обновления патчей
Обновление исправлений служит основой для поиска и устранения потенциальных проблем и упрощает процесс управления обновлениями программного обеспечения. Обновление исправлений уменьшает количество обновлений, которые необходимо развернуть на предприятии, и предоставляет больше возможностей для контроля соответствия требованиям.
Управление политикой безопасности и отчеты.
Defender для облака помогает предотвращать, обнаруживать и реагировать на угрозы, а также повышает прозрачность и усиливает контроль за безопасностью ресурсов Azure. Он содержит встроенные функции мониторинга безопасности и управления политиками для подписок Azure, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с широким комплексом решений по обеспечению безопасности.
Безопасность приложений
Безопасность приложений фокусируется на защите приложений от угроз на протяжении всего жизненного цикла — от разработки до развертывания и среды выполнения. Azure предоставляет комплексные средства для безопасной разработки, тестирования и защиты приложений. Рекомендации по разработке безопасных приложений см. в статье "Разработка безопасных приложений в Azure". Рекомендации по обеспечению безопасности для paaS см. в разделе "Защита развертываний PaaS". Сведения о безопасности развертывания IaaS см. в рекомендациях по обеспечению безопасности рабочих нагрузок IaaS в Azure.
Тестирование на проникновение
Мы не выполняем тестирование на проникновение вашего приложения, но мы понимаем, что вы хотите и должны выполнять тестирование на собственных приложениях. Уведомление майкрософт о действиях по тестированию пера больше не требуется, чтобы клиенты по-прежнему соответствовали правилам Microsoft Cloud Проникновение в службу взаимодействия.
Брандмауэр веб-приложения
Брандмауэр веб-приложений (WAF) в Шлюзе приложений Azure обеспечивает защиту веб-приложений от распространенных веб-атак, таких как внедрение SQL, межсайтовый скрипт и перехват сеансов. Она предварительно настроена для защиты от основных уязвимостей, определенных проектом "Безопасность веб-приложений" (OWASP).
Проверка подлинности и авторизация в службе приложений Azure
Аутентификация и авторизация службы приложений — это функция, которая позволяет приложению выполнять вход пользователей, не требуя изменения кода в серверной части приложения. Она является простым способом обеспечения защиты приложения и работы с данными пользователей.
Многоуровневая архитектура безопасности
Среды службы приложений предоставляют изолированную среду выполнения, развернутую в виртуальной сети Azure. Поэтому разработчики могут создавать многоуровневую архитектуру безопасности, предусматривающую разные уровни доступа к сети для каждого уровня приложения. Обычно бэкэнды API скрываются от общего доступа в Интернет, и API разрешается вызывать только из веб-приложений верхнего уровня. В подсетях виртуальной сети Azure, содержащих среды службы приложений, могут использоваться группы безопасности сети (NSG) для ограничения открытого доступа к приложениям API.
Веб-приложения в службе приложений предоставляют надежные диагностические возможности для сбора логов и с веб-сервера, и веб-приложения. Эти диагностики классифицируются на диагностики веб-сервера и приложения. Диагностика веб-серверов включает значительные улучшения в области диагностики и устранения неполадок сайтов и приложений.
Первая новая возможность — получаемые в режиме реального времени сведения о состоянии пулов приложений, рабочих процессов, узлов, доменов приложений и выполняющихся запросов. Вторым новым преимуществом являются подробные события трассировки, используемые для отслеживания запросов на протяжении всего процесса запроса и ответа.
Чтобы включить коллекцию этих событий трассировки, служба IIS 7 может быть настроена для автоматического отслеживания полных журналов трассировки в формате XML для конкретных запросов. Коллекция может основываться на основе истекшего времени или на кодах ответов об ошибках.
Защита службы хранилища
Безопасность хранения данных необходима для защиты данных на хранении и данных в передаче. Azure предоставляет несколько уровней шифрования, управления доступом и мониторинга, чтобы обеспечить безопасность данных. Подробные сведения о шифровании данных см. в разделе "Общие сведения о шифровании данных Azure". Параметры управления ключами см. в разделе "Управление ключами" в Azure. Рекомендации по шифрованию данных см. в рекомендациях по обеспечению безопасности и шифрованию данных Azure.
Управление доступом на основе ролей в Azure (Azure RBAC)
Вы можете защитить учетную запись хранения с помощью управления доступом на основе ролей Azure (Azure RBAC). Ограничение доступа согласно принципам безопасности (принцип предоставления доступа только в тех случаях и в той степени, в которой знание такой информации необходимо, а также принцип предоставления минимальных привилегий) крайне важно для организаций, которым требуется применять политики безопасности для доступа к данным. Эти права предоставляются путем назначения соответствующей роли Azure группам и приложениям для определенной области. Вы можете назначать пользователям права, например права участника учетных записей хранения, с помощью встроенных ролей Azure. Доступ к ключам для учетной записи хранения, использующей модель на основе Azure Resource Manager, можно контролировать посредством Azure RBAC.
Подписанная строка доступа
Подпись общего доступа (SAS) предоставляет делегированный доступ к ресурсам в вашей учетной записи хранилища. SAS означает, что клиенту можно предоставить ограниченное право на работу с объектами в вашей учетной записи хранения на определенный период и с определенным набором разрешений. Вы можете предоставлять эти ограниченные права, не сообщая ключи доступа к своей учетной записи.
Шифрование при передаче
Шифрование при передаче — это механизм защиты данных, передаваемых по сетям. Служба хранилища Azure позволяет применять для защиты данных:
Шифрование на уровне транспорта, например HTTPS при передаче данных в службу хранилища Azure или из нее.
Шифрование провода, например шифрование SMB 3.0 для общих папок Azure.
Шифрование на стороне клиента для шифрования данных до его передачи в хранилище и расшифровки данных после его передачи из хранилища.
Шифрование при хранении
Для многих организаций шифрование неактивных данных является обязательным шагом для защиты данных, соблюдения стандартов и обеспечения конфиденциальности данных. Существует три функции безопасности хранилища Azure, обеспечивающие шифрование неактивных данных:
Шифрование службы хранилища позволяет настроить автоматическое шифрование данных, записываемых в службу хранилища Azure.
Шифрование на стороне клиента также предоставляет функцию шифрования неактивных данных.
Шифрование дисков Azure для виртуальных машин Linux и Шифрование дисков Azure для виртуальных машин Windows позволяет шифровать диски ОС и диски данных, используемые виртуальной машиной IaaS.
Storage Analytics
Azure Storage Analytics ведет журнал и предоставляет данные метрик для учетной записи хранения. Эта информация может использоваться для трассировки запросов, анализа тенденций пользования и диагностики проблем в учетной записи хранения. В аналитике хранилища регистрируется подробная информация об успешных и неудачных запросах к службе хранилища. Эта информация может использоваться для мониторинга отдельных запросов и диагностики неполадок в службе хранилища. Запросы вносятся в журнал в меру возможностей. Регистрируются запросы, прошедшие проверку подлинности, следующих типов.
- Успешные запросы.
- Неудачные запросы, включая те, что вызваны истечением времени ожидания, регулированием, проблемами с сетью, авторизацией и другими ошибками.
- Запросы с использованием подписей общего доступа (SAS), включая как неудачные, так и успешные запросы.
- запросы к данным аналитики.
Поддержка браузерных клиентов с помощью CORS
Совместное использование ресурсов между источниками (CORS) — это механизм, позволяющий доменам предоставлять друг другу разрешение на доступ к ресурсам друг друга. Агент пользователя отправляет дополнительные заголовки, чтобы гарантировать, что коду JavaScript, загруженному из определенного домена, разрешен доступ к ресурсам, расположенным в другом домене. Последний отправляет ответ с дополнительными заголовками, разрешающими или запрещающими исходному домену доступ к его ресурсам.
Службы хранилища Azure теперь поддерживают CORS, чтобы после установки правил CORS для службы правильно прошедший проверку подлинности запрос, сделанный по отношению к службе из другого домена, оценивается для определения, разрешён ли он в соответствии с указанными правилами.
Сетевая безопасность
Сетевая безопасность управляет потоком трафика в ресурсы Azure и из нее. Azure предоставляет полный набор служб безопасности сети, от базового брандмауэра до расширенной защиты от угроз и глобальной балансировки нагрузки. Подробные сведения о безопасности сети см. в обзоре безопасности сети Azure. Рекомендации по обеспечению безопасности сети см. в рекомендациях по обеспечению безопасности сети Azure.
Контроль сетевого уровня
Контроль доступа к сети — это процесс ограничения возможностей входящих и исходящих подключений для определенных устройств и подсетей, лежащий в основе сетевой безопасности. Цель контроля доступа к сети — убедиться, что виртуальные машины и службы доступны только надлежащим пользователям и устройствам.
группы сетевой безопасности;
Группа безопасности сети (NSG) — это базовый брандмауэр с отслеживанием состояния для фильтрации пакетов, который позволяет управлять доступом на основе пятизначного кортежа. Группы безопасности сети не обеспечивают инспекцию на уровне приложений или аутентифицированные средства управления доступом. Они могут использоваться для контроля трафика, передаваемого между подсетями в виртуальной сети Azure, и трафика между виртуальной сетью и Интернетом.
Azure Firewall
Брандмауэр Azure — это облачная и интеллектуальная служба безопасности брандмауэра сети, которая обеспечивает защиту от угроз для облачных рабочих нагрузок, работающих в Azure. Это полностью стейтфул межсетевой экран как услуга с встроенной высокой доступностью и неограниченными возможностями облачного масштабирования. Она обеспечивает проверку трафика в направлениях восток-запад и север-юг.
Брандмауэр Azure предлагается в трех номерах SKU: "Базовый", "Стандартный" и "Премиум":
- Базовый брандмауэр Azure . Предназначен для малого и среднего бизнеса, предлагая необходимую защиту по доступной цене
- Стандартный брандмауэр Azure . Предоставляет L3-L7 фильтрацию, каналы аналитики угроз от Microsoft Cyber Security и могут масштабироваться до 30 Гбит/с
-
Брандмауэр Azure Премиум — расширенная защита от угроз для высокочувствительных и регулируемых сред, включая:
- Проверка TLS: расшифровывает исходящий трафик, обрабатывает его для угроз, а затем повторно шифруется перед отправкой в место назначения.
- IDPS (система обнаружения и предотвращения вторжений): система IDPS с сигнатурным анализом, содержащая более 67 000 сигнатур в более чем 50 категориях, ежедневно пополняется 20-40+ новыми правилами
- Фильтрация URL-адресов: расширяет фильтрацию по полным доменным именам, чтобы учитывать весь путь URL-адреса
- Расширенные веб-категории: расширенная классификация на основе полных URL-адресов для трафика HTTP и HTTPS
- Улучшенная производительность: поддержка до 100 Гбит/с с поддержкой потока данных 10 Гбит/с
- Соответствие ТРЕБОВАНИЯМ PCI DSS: соответствует требованиям к безопасности данных в отрасли оплаты.
Брандмауэр Azure Premium является важным для защиты от программ-шантажистов, так как он может обнаруживать и блокировать подключение команд и управления (C&C), используемое программ-шантажистов для получения ключей шифрования. Дополнительные сведения о защите программ-шантажистов с помощью брандмауэра Azure.
Защита от атак DDoS Azure
Защита от атак DDoS Azure, в сочетании с рекомендациями по проектированию приложений, предлагает расширенные функции для защиты от атак DDoS. Он автоматически настраивается для защиты определенных ресурсов Azure в виртуальной сети. Включение защиты просто в любой новой или существующей виртуальной сети и не требует изменений в приложениях или ресурсах.
Защита от атак DDoS Azure предлагает два уровня: защита сети от атак DDoS и защита IP-адресов DDoS.
Защита сети от атак DDoS — предоставляет расширенные функции для защиты от атак DDoS. Он работает на сетевых уровнях 3 и 4 и включает дополнительные функции, такие как поддержка быстрого реагирования DDoS, защита затрат и скидки на Брандмауэр веб-приложений (WAF).
Защита IP-адресов от DDoS — применяется модель оплаты за каждый защищенный IP-адрес. Она включает те же основные функции проектирования, что и защита сети DDoS, но не предлагает дополнительные службы, такие как поддержка быстрого реагирования DDoS, защита затрат и скидки WAF.
Управление маршрутами и принудительное туннелирование
Возможность управлять поведением при маршрутизации в виртуальных сетях Azure является крайне важной с точки зрения сетевой безопасности и контроля доступа. Например, если вам необходимо обеспечить, чтобы весь входящий и исходящий трафик в виртуальной сети Azure проходил через это виртуальное устройство безопасности, нужно иметь возможность контролировать и настраивать маршрутизацию. Это можно сделать, настроив в Azure определяемые пользователем маршруты.
Пользовательские маршруты позволяют настраивать входящие и исходящие пути трафика в отдельные виртуальные машины или подсети, чтобы обеспечить максимально безопасный маршрут. Принудительное туннелирование — это механизм, который можно использовать для обеспечения того, чтобы службы не могли инициировать подключение к устройствам в Интернете.
Это отличается от приема входящих подключений и последующего ответа на них. Интерфейсные веб-серверы должны отвечать на запрос от интернет-узлов, поэтому трафику из Интернета разрешено поступать на такие веб-серверы, а им в свою очередь разрешено отвечать.
Принудительное туннелирование обычно используется для принудительной передачи исходящего трафика Интернета через локальные прокси-серверы системы безопасности и брандмауэры.
Виртуальные устройства сетевой безопасности
Хотя группы безопасности сети, маршруты, определяемые пользователем, и принудительное туннелирование обеспечивают уровень безопасности на сетевых и транспортных уровнях модели OSI, могут возникнуть случаи, когда необходимо обеспечить безопасность на более высоких уровнях стека. Воспользоваться этими улучшенными функциям сетевой безопасности можно с помощью устройства сетевой безопасности от партнера Azure. Вы можете найти самые актуальные решения для безопасности сети партнеров Azure, перейдя в Azure Marketplace и выполнив поиск безопасности и безопасности сети.
Виртуальная сеть Azure
Виртуальная сеть (VNet) Azure — это представление сети в облаке. Это логическая изоляция сетевой структуры Azure, выделенной для вашей подписки. Вы можете полностью контролировать блоки IP-адресов, параметры DNS, политики безопасности и таблицы маршрутизации в этой сети. Вы можете сегментировать вашу VNet на подсети и размещать виртуальные машины IaaS Azure на виртуальных сетях Azure.
Кроме того, вы можете подключить виртуальную сеть к локальной сети с помощью одного из вариантов подключения , доступных в Azure. По сути, вы можете расширить локальную сеть в Azure с возможностью полного контроля над блоками IP-адресов и преимуществами приложений корпоративного уровня, предоставляемыми Azure.
Сети Azure поддерживают различные сценарии безопасного удаленного доступа. Ниже перечислены некоторые из них.
Подключение отдельных рабочих станций к виртуальной сети Azure
Подключение локальной сети к виртуальной сети Azure с помощью VPN
Подключение локальной сети к виртуальной сети Azure с помощью выделенного канала глобальной сети
Диспетчер виртуальных сетей Azure
Диспетчер виртуальных сетей Azure предоставляет централизованное решение для управления и защиты виртуальных сетей в большом масштабе. Он использует правила администратора безопасности для централизованного определения и применения политик безопасности во всей организации. Правила администратора безопасности имеют приоритет над правилами группы безопасности сети (NSG) и применяются к виртуальной сети. Это позволяет организациям применять ключевые политики с помощью правил администратора безопасности, одновременно давая возможность подчиненным командам адаптировать группы сетевой безопасности (NSG) в соответствии с их конкретными потребностями на уровнях подсети и сетевого интерфейсного адаптера (NIC).
В зависимости от потребностей организации можно использовать действия правил "Разрешить", " Запрет" или "Всегда разрешать " для применения политик безопасности:
| Действие правила | Description |
|---|---|
| Allow | Разрешает указанный трафик по умолчанию. Подчиненные группы безопасности сети по-прежнему будут получать этот трафик и могут его отклонить. |
| Всегда разрешать | Всегда разрешайте указанный трафик вне зависимости от других правил с более низким приоритетом или сетевых групп безопасности (NSG). Это можно использовать для предотвращения блокировки агента мониторинга, контроллера домена или трафика управления. |
| Deny | Блокировать указанный трафик. Подчинённые группы безопасности (NSG) не будут проверять этот трафик после того, как доступ заблокирован согласно правилу, установленному администратором безопасности, гарантируя защиту высокорисковых портов для существующих и новых виртуальных сетей по умолчанию. |
В Диспетчере виртуальных сетей Azure группы сети позволяют группировать виртуальные сети вместе для централизованного управления и применения политик безопасности. Группы сети — это логическая группировка виртуальных сетей на основе ваших потребностей с точки зрения топологии и безопасности. Вы можете вручную обновить членство виртуальной сети в ваших группах сети или определить условные инструкции с помощью Azure Policy для динамического обновления групп сети и автоматического обновления членства в них.
Приватный канал Azure
Приватный канал Azure обеспечивает доступ к службам Azure PaaS (например, к службе хранилища Microsoft Azure и Базе данных SQL), а также размещенным в Azure службам, которые принадлежат клиенту или партнеру, через частную конечную точку виртуальной сети. Настройка и потребление с использованием Приватного канала Azure согласованы между службами Azure PaaS, клиентскими и общими партнерскими службами. Трафик, поступающий из виртуальной сети в службу Azure, всегда остается в магистральной сети Microsoft Azure.
Частные конечные точки позволяют защитить критически важные ресурсы службы Azure только для виртуальных сетей. Частная конечная точка Azure использует частный IP-адрес из вашей виртуальной сети, чтобы обеспечить частное и безопасное подключение к службе, работающей через Azure Private Link, эффективно интегрируя службу в вашу виртуальную сеть. Для использования служб Azure больше не требуется выставлять вашу виртуальную сеть в Интернет.
Вы также можете создать собственную службу частных соединений в виртуальной сети. Служба Приватный канал Azure — это ссылка на вашу собственную службу, которая работает на базе приватного канала Azure. Служба, работающая за стандартным балансировщиком нагрузки Azure, может быть включена для доступа через Private Link, чтобы пользователи службы могли подключаться к ней по защищённым каналам из своих собственных виртуальных сетей. Пользователи могут создать частную конечную точку в своей виртуальной сети и сопоставить ее с этой службой. Больше не требуется открывать доступ к вашей службе из Интернета для предоставления услуг на Azure.
VPN Gateway
Для обмена сетевым трафиком между виртуальной сетью Azure и локальным сайтом необходимо создать VPN-шлюз для виртуальной сети Azure. VPN-шлюз — это тип шлюза виртуальной сети, который отправляет зашифрованный трафик через общедоступное подключение. VPN-шлюзы можно также использовать для обмена трафиком между виртуальными сетями Azure через сетевую структуру Azure.
Экспресс-маршрут
Microsoft Azure ExpressRoute — это выделенная глобальная сеть, которая позволяет расширить локальные сети в облако Майкрософт через выделенное частное подключение, которое упрощает поставщик подключений.
ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Microsoft Azure и Microsoft 365. Это может быть подключение типа "любой к любому" (IP VPN), подключение Ethernet типа "точка-точка" или виртуальное кросс-подключение через поставщика услуг подключения на совместно используемом сервере.
Подключения ExpressRoute не проходят через общедоступный Интернет и поэтому могут считаться более безопасными, чем решения на основе VPN. Это обеспечивает повышенный уровень безопасности, надежности и быстродействия подключений ExpressRoute и более низкий уровень задержки по сравнению с типовыми подключениями через Интернет.
Application Gateway
Шлюз приложений Microsoft Azure предоставляет контроллер доставки приложений (ADC) как услугу, предлагая для приложения множество функций балансировки нагрузки уровня 7.
Это позволяет оптимизировать производительность веб-фермы, разгружая ресурсоемкое завершение TLS с центрального процессора в шлюз приложений (также известное как разгрузка TLS или мост TLS). Кроме того, пользователи получают другие возможности маршрутизации уровня 7, включая распределение входящего трафика методом циклического перебора, определение сходства сеансов на основе файлов cookie, маршрутизацию на основе URL-путей и возможность размещения нескольких веб-сайтов за одним шлюзом приложений. Azure Application Gateway — это балансировщик нагрузки на уровне 7.
Он обеспечивает отказоустойчивость и эффективную маршрутизацию HTTP-запросов между различными серверами, будь то в облаке или локально.
Приложение предоставляет множество функций контроллера доставки приложений (ADC), включая балансировку нагрузки HTTP, сцепление сеансов на основе файлов cookie, разгрузку TLS, пользовательские пробы работоспособности, поддержку работы с несколькими сайтами и другие.
Брандмауэр веб-приложения
Брандмауэр веб-приложения — это функция шлюза приложений Azure, которая обеспечивает защиту веб-приложений, использующих шлюз приложений для стандартных функций управления доставкой приложений. Принцип работы брандмауэра веб-приложения заключается в защите приложений от большинства из основных десяти уязвимостей OWASP.
Защита от SQL-инъекций.
Защита от распространенных веб-атак, таких как внедрение команд, контрабанда HTTP-запросов, разделение ответа HTTP и включение удаленных файлов
Защита от нарушений протокола HTTP.
Защита от аномалий протокола HTTP, таких как отсутствие узла, агент пользователя и принятие заголовков
Защита от программ-роботов, программ-обходчиков и сканеров.
Обнаружение распространенных неправильно настроенных приложений (например, Apache, IIS)
Централизованный брандмауэр веб-приложения (WAF) упрощает управление безопасностью и повышает защиту от веб-атак. Он обеспечивает более надежную защиту от угроз вторжения и может быстрее реагировать на угрозы безопасности путем исправления известных уязвимостей централизованно, а не защиты каждого отдельного веб-приложения. Существующие шлюзы приложений можно легко обновить, чтобы включить брандмауэр веб-приложения.
Azure Front Door (облачное сетевое решение от Microsoft)
Azure Front Door — это глобальная масштабируемая точка входа, которая использует глобальную граничную сеть Майкрософт для создания быстрых, безопасных и широко масштабируемых веб-приложений. Front Door предоставляет:
- Глобальная балансировка нагрузки. Распределение трафика между несколькими внутренними серверами в разных регионах
- Интегрированный брандмауэр веб-приложения: защита от распространенных веб-уязвимостей и атак
- Защита от атак DDoS: встроенная защита от распределенных атак типа "отказ в обслуживании"
- Разгрузка SSL/TLS: централизованное управление сертификатами и шифрование трафика
- Маршрутизация на основе URL-адресов: маршрутизация трафика в разные серверные части на основе шаблонов URL-адресов
Front Door объединяет доставку содержимого, ускорение приложений и безопасность в одну службу.
Traffic Manager
Диспетчер трафика Microsoft Azure позволяет управлять распределением трафика пользователей для конечных точек служб в разных центрах обработки данных. К конечным точкам службы, поддерживаемым диспетчером трафика Azure, относятся виртуальные машины, веб-приложения и облачные службы Azure. Вы также можете использовать диспетчер трафика с внешними конечными точками, не связанными с Azure.
Диспетчер трафика использует систему доменных имен (DNS) для направления клиентских запросов к наиболее подходящей конечной точке на основе метода маршрутизации трафика и работоспособности конечных точек. Диспетчер трафика предоставляет ряд методов маршрутизации трафика, которые соответствуют различным потребностям приложения, мониторингу работоспособности конечных точек и автоматической отработке отказа. Диспетчер трафика устойчив к сбоям, включая сбой всего региона Azure.
Балансировщик нагрузки Azure
Azure Load Balancer обеспечивает высокую доступность и производительность сети для приложений. Это подсистема балансировки нагрузки уровня 4 (TCP, UDP), которая распределяет входящий трафик среди здоровых экземпляров служб, определенных в наборе балансировки нагрузки. Вот какие функции можно настроить в службе Azure Load Balancer:
балансировка нагрузки входящего интернет-трафика на виртуальные машины. Такая конфигурация называется общедоступным балансировщиком нагрузки.
Балансировка нагрузки трафика между виртуальными машинами в виртуальной сети, между виртуальными машинами в облачных службах или между локальными компьютерами и виртуальными машинами в распределенной виртуальной сети. Такая конфигурация называется внутренней балансировкой нагрузки.
Перенаправление внешнего трафика на определённую виртуальную машину
Внутренний DNS
Списком DNS-серверов, которые используются в виртуальной сети, можно управлять с помощью портала управления или файла конфигурации сети. Для каждой виртуальной сети можно добавить до 12 DNS-серверов. При указании DNS-серверов важно убедиться, что они размещены в списке клиента в правильном порядке для его среды. Списки DNS-серверов не работают по принципу циклического распределения. Они используются в порядке их указания. Если первый DNS-сервер в списке доступен, клиент будет использовать его вне зависимости от того, работает DNS-сервер правильно или нет. Чтобы изменить порядок DNS-серверов для виртуальной сети, удалите их из списка клиента и добавьте обратно в нужном ему порядке. Служба DNS поддерживает аспект доступности в модели безопасности «CIA».
Azure DNS
Служба доменных имен, или DNS, отвечает за преобразование (или разрешение) имени веб-сайта или службы в IP-адрес. Azure DNS — это служба размещения для доменов DNS, обеспечивающая разрешение имен с помощью инфраструктуры Microsoft Azure. Размещая домены в Azure, вы можете управлять своими записями DNS с помощью тех же учетных данных, API и инструментов и оплачивать использование, как и другие службы Azure. DNS поддерживает аспект доступности триад безопасности "ЦРУ".
Журналы групп безопасности сети Azure Monitor
Для групп безопасности сети (NSG) можно включить следующие категории диагностических журналов:
Событие: содержит записи, в которых правила NSG, основанные на MAC-адресе, применяются к виртуальным машинам и экземплярам ролей. Состояние этих правил регистрируется каждые 60 секунд.
Счетчик правил: Содержит записи, информирующие о том, сколько раз каждое правило NSG было применено для запрета или разрешения трафика.
Microsoft Defender для облака
Microsoft Defender для облака постоянно анализирует состояние безопасности ресурсов Azure, предлагая рекомендации по обеспечению безопасности сети. Когда Defender для облака идентифицирует потенциальные уязвимости безопасности, он создает рекомендации , которые помогут вам настроить необходимые элементы управления для защиты и защиты ресурсов.
Расширенные сетевые услуги контейнеров (ACNS)
Расширенные сетевые службы контейнеров (ACNS) — это комплексный набор, предназначенный для повышения эффективности работы кластеров Служба Azure Kubernetes (AKS). Он предоставляет расширенные функции безопасности и наблюдаемости, устраняя сложности управления инфраструктурой микрослужб в большом масштабе.
Эти функции разделены на две основные основы:
Безопасность. Для кластеров с помощью Azure CNI Powered by Cilium политики сети включают полную фильтрацию доменных имен (FQDN) для решения сложностей обслуживания конфигурации.
Наблюдаемость. Эта функция набора расширенных сетевых служб контейнеров обеспечивает возможности плоскости управления Hubble как для Cilium, так и для плоскостей данных, отличных от Cilium Linux, обеспечивая улучшенную видимость сети и производительности.
Операции безопасности и управление
Управление безопасностью среды Azure и наблюдение за ней важно для поддержания надежной системы безопасности. Azure предоставляет комплексные средства для операций безопасности, обнаружения угроз и реагирования на инциденты. Подробные сведения об управлении безопасностью и мониторинге см. в обзоре управления безопасностью и мониторинга Azure. Рекомендации по обеспечению операционной безопасности см. в рекомендациях по обеспечению операционной безопасности Azure. Полный обзор операционной безопасности см. в обзоре операционной безопасности Azure.
Microsoft Sentinel
Microsoft Sentinel — это масштабируемое облачное решение для управления информационной безопасностью и событиями безопасности (SIEM), а также решение для оркестрации, автоматизации и реагирования (SOAR). Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии, предоставляя единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы.
Microsoft Sentinel теперь доступен на портале Microsoft Defender для всех клиентов, предлагая единый интерфейс операций безопасности, который упрощает рабочие процессы и улучшает видимость. Интеграция с Security Copilot позволяет аналитикам взаимодействовать с данными Microsoft Sentinel с помощью естественного языка, создавать запросы охоты и автоматизировать исследования для ускорения реагирования на угрозы.
Microsoft Defender для облака
Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них при одновременном повышении видимости и управлении безопасностью ресурсов Azure. Microsoft Defender для Облака обеспечивает интегрированное управление безопасностью и политиками в подписках Azure, помогает обнаруживать угрозы, которые в противном случае могут оказаться незамеченными и работать с широкой экосистемой решений безопасности.
Microsoft Defender для облака обеспечивает комплексную защиту с помощью планов, относящихся к рабочей нагрузке, включая следующие:
- Defender для серверов — расширенная защита от угроз для серверов Windows и Linux
- Defender для контейнеров — безопасность контейнерных приложений и Kubernetes
- Defender для хранилища — обнаружение угроз с помощью сканирования вредоносных программ и обнаружения конфиденциальных данных
- Defender для баз данных — защита для SQL Azure, Базы данных Azure для MySQL и PostgreSQL
- Defender для служб ИИ — защита среды выполнения для служб ИИ Azure от попыток взлома, раскрытия данных и подозрительных шаблонов доступа
- Defender CSPM — Cloud Security Posture Management с анализом пути атаки, управлением политикой безопасности и управлением позицией безопасности ИИ.
Кроме того, Defender для облака помогает с операциями безопасности, предоставляя одну панель мониторинга, которая предоставляет оповещения и рекомендации, которые могут быть приняты немедленно. Интеграция Security Copilot предоставляет ИИ-сгенерированные сводки, скрипты исправления и возможности делегирования для быстрого устранения рисков.
Полные возможности обнаружения угроз в Azure см. в статье "Защита от угроз Azure".
Azure Resource Manager
Azure Resource Manager дает вам возможность работать с ресурсами своего решения как с группой. Вы можете развертывать, обновлять или удалять все ресурсы решения в рамках одной скоординированной операции. Развертывание осуществляется на основе шаблона Azure Resource Manager, используемого для разных сред, в том числе для тестовой, промежуточной и рабочей. Диспетчер ресурсов предоставляет функции безопасности, аудита и добавления тегов, помогающие управлять ресурсами после развертывания.
Развертывания на основе шаблона Azure Resource Manager помогают повысить безопасность решений, развернутых в Azure, так как стандартные параметры управления безопасностью могут быть интегрированы в стандартизованные развертывания на основе шаблона. Шаблоны снижают риск ошибок конфигурации безопасности, которые могут возникнуть во время ручного развертывания.
Application Insights
Application Insights — это гибкая служба управления производительностью приложений (APM), предназначенная для веб-разработчиков. Он позволяет отслеживать динамические веб-приложения и автоматически обнаруживать проблемы с производительностью. С помощью мощных средств аналитики можно диагностировать проблемы и получить аналитические сведения о взаимодействии пользователей с приложениями. Application Insights постоянно отслеживает ваше приложение, от разработки через тестирование до внедрения.
Application Insights создает аналитические диаграммы и таблицы, которые показывают пиковое время активности пользователей, скорость реагирования приложения и производительность любых внешних служб, на которые она зависит.
Если происходят сбои, отказы или проблемы с производительностью, вы можете провести детальный анализ данных, чтобы установить причину. Кроме этого, в случае каких-либо изменений доступности и производительности приложения служба будет отправлять вам по электронной почте соответствующие уведомления. Таким образом, Application Insight становится ценным инструментом безопасности, так как помогает обеспечить конфиденциальность, целостность и доступность.
Azure Monitor
Azure Monitor предлагает визуализацию, запрос, маршрутизацию, оповещение, автоматическое масштабирование и автоматизацию данных из подписки Azure (журнал действий) и каждого отдельного ресурса Azure (журналы ресурсов). Azure Monitor можно использовать для оповещения о событиях безопасности, регистрируемых в журналах Azure.
Журналы Azure Monitor
Журналы Azure Monitor предоставляют решение для управления ИТ как локальной, так и сторонней облачной инфраструктурой (например, Amazon Web Services) в дополнение к ресурсам Azure. Данные из Azure Monitor могут направляться непосредственно в журнал Azure Monitor, в результате чего метрики и журналы для всей среды будут отображаться в одном месте.
Журнал Azure Monitor может быть полезным инструментом для выполнения экспертизы и прочего анализа безопасности, так как позволяет быстро находить информацию в больших объемах записей, относящихся к безопасности, с помощью гибких запросов. Кроме того, локальные журналы брандмауэра и прокси-сервера можно экспортировать в Azure для анализа с помощью журнала Azure Monitor.
Azure Advisor
Помощник по Azure — это персонализированный облачный консультант, который помогает оптимизировать развертывания Azure. Он анализирует данные конфигурации ресурсов и использования. Затем он рекомендует решения для повышения производительности, безопасности и надежности ресурсов при поиске возможностей для сокращения общих расходов Azure. Помощник по Azure предоставляет рекомендации по безопасности, которые могут значительно повысить общий уровень безопасности решений, развертываемых в Azure. Эти рекомендации составляются на основе анализа безопасности, выполненного Microsoft Defender для облака.
Управление удостоверениями и доступом
Идентификация является основным периметром безопасности в облачных вычислениях. Защита удостоверений и управление доступом к ресурсам является основой для защиты среды Azure. Идентификатор Microsoft Entra предоставляет комплексные возможности управления удостоверениями и доступом. Подробные сведения см. в обзоре управления удостоверениями Azure. Чтобы получить рекомендации по лучшим практикам управления удостоверениями, см. лучшую практику по управлению удостоверениями Azure и контролю доступа. Инструкции по защите инфраструктуры удостоверений см. в Пяти шагах по защите инфраструктуры удостоверений.
Майкрософт Ентра айди
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом Майкрософт. Предоставляет:
- Единый вход (Single Sign-On, SSO): предоставление пользователям доступа к нескольким приложениям с одним набором учетных данных
- Многофакторная проверка подлинности (MFA): требуется несколько форм проверки подлинности для входа
- Условный доступ: контроль доступа к ресурсам на основе пользователя, устройства, расположения и риска
- Защита личности: Обнаружение и реагирование на риски, связанные с личностью.
- Управление привилегированными удостоверениями (PIM) — предоставление привилегированного доступа к ресурсам Azure по требованию
- Управление удостоверениями: управление жизненным циклом удостоверений и правами доступа
Управление доступом на основе ролей (RBAC)
Управление доступом на основе ролей Azure (RBAC) помогает управлять доступом к ресурсам Azure, что они могут сделать с этими ресурсами и к каким областям они имеют доступ. RBAC обеспечивает точное управление доступом для ресурсов Azure, что позволяет предоставлять пользователям только права, необходимые для выполнения своих заданий.
Microsoft Entra управление привилегированными идентичностями
Microsoft Entra Privileged Identity Management (PIM) позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. PIM обеспечивает активацию ролей на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного использования разрешений доступа.
Управляемые удостоверения для ресурсов Azure
Управляемые удостоверения для ресурсов Azure предоставляют службы Azure с автоматически управляемым удостоверением в идентификаторе Microsoft Entra. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает аутентификацию Microsoft Entra, без использования учетных данных в коде.
Обновление исправлений служит основой для поиска и устранения потенциальных проблем и упрощает процесс управления обновлениями программного обеспечения. Обновление исправлений уменьшает количество обновлений, которые необходимо развернуть на предприятии, и предоставляет больше возможностей для контроля соответствия требованиям.
Управление политикой безопасности и отчеты.
Defender для облака помогает предотвращать, обнаруживать и реагировать на угрозы, а также повышает прозрачность и усиливает контроль за безопасностью ресурсов Azure. Он содержит встроенные функции мониторинга безопасности и управления политиками для подписок Azure, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с широким комплексом решений по обеспечению безопасности.
Безопасное удостоверение
Корпорация Майкрософт использует в своих продуктах и службах несколько методик и технологий защиты для управления удостоверениями и доступом.
Многофакторная проверка подлинности требует, чтобы пользователи использовали несколько методов для доступа, локальной среды и в облаке. Обеспечивается строгая проверка подлинности с рядом простых вариантов проверки, в то же время пользователям предлагается простой процесс входа в систему.
Microsoft Authenticator предоставляет удобный многофакторный интерфейс проверки подлинности, который работает как с идентификатором Microsoft Entra, так и с учетными записями Майкрософт, а также поддерживает утверждения на основе отпечатков пальцев.
Принудительное применение политики паролей повышает безопасность традиционных паролей, предъявляя требования к длине и сложности, а также используя принудительную ротацию паролей и блокировку учетных записей после неудачных попыток аутентификации.
Аутентификация на основе токенов позволяет проводить аутентификацию с помощью Microsoft Entra ID.
Управление доступом на основе ролей Azure (Azure RBAC) позволяет предоставлять доступ на основе назначенных пользователю ролей. Это упрощает предоставление пользователям именного того уровня доступа, который им необходим, чтобы выполнять свои обязанности. Параметры Azure RBAC можно настроить в соответствии с бизнес-моделью организации и допустимыми рисками.
Интегрированное управление удостоверениями (гибридные удостоверения) дает возможность контролировать доступ пользователей во внутренних центрах обработки данных и облачных платформах, создавая для пользователя отдельный идентификатор, позволяющий пройти аутентификацию и авторизацию для всех ресурсов.
Защита приложений и данных
Идентификатор Microsoft Entra, комплексное облачное решение для управления удостоверениями и доступом, помогает защитить доступ к данным в приложениях на сайте и в облаке, а также упрощает управление пользователями и группами. Оно объединяет в себе основные службы каталогов, расширенное управление удостоверениями, защиту и управление доступом к приложениям. Azure Active Directory облегчает для разработчиков внедрение управления удостоверениями на основе политик в свои приложения. Чтобы улучшить идентификатор Microsoft Entra, вы можете добавить платные возможности с помощью выпусков Microsoft Entra Basic, Premium P1 и Premium P2.
Cloud App Discovery — это премиум-функция идентификатора Microsoft Entra, которая позволяет определить облачные приложения, используемые сотрудниками организации.
Защита идентификации Microsoft Entra — это служба безопасности, которая использует возможности обнаружения аномалий Microsoft Entra для обеспечения консолидированного представления об обнаружении рисков и потенциальных уязвимостях, которые могут повлиять на идентичности вашей организации.
Доменные службы Microsoft Entra позволяют присоединять виртуальные машины Azure к домену без необходимости развертывать контроллеры домена. Пользователи могут входить на эти виртуальные машины со своими корпоративными учетными данными Active Directory и легко получать доступ к ресурсам.
Microsoft Entra B2C — это высокодоступная глобальная служба управления удостоверениями для клиентских приложений, которые могут масштабироваться до сотен миллионов удостоверений и интегрироваться на мобильных и веб-платформах. Клиенты могут входить во все приложения с помощью настраиваемых средств, используя существующие учетные записи социальных сетей. Можно также создать для них новые изолированные учетные данные.
Microsoft Entra Совместная работа B2B — это безопасное решение для интеграции партнеров, которое поддерживает отношения между компаниями, позволяя партнерам выборочно получать доступ к вашим корпоративным приложениям и данным, используя свои самостоятельное управляемые удостоверения.
Присоединение к Microsoft Entra позволяет расширить облачные возможности на устройствах с Windows 10 для централизованного управления. Это позволяет пользователям подключаться к корпоративному или организационному облаку с помощью идентификатора Microsoft Entra ИД и упрощает доступ к приложениям и ресурсам.
Прокси приложения Microsoft Entra предоставляет единый вход и безопасный удаленный доступ для веб-приложений, размещенных локально.
Дальнейшие шаги
Поймите вашу общую ответственность в облаке.
Узнайте, как Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них при одновременном повышении видимости и управлении безопасностью ресурсов Azure.
Ознакомьтесь с рекомендациями и шаблонами безопасности Azure для получения дополнительных рекомендаций по безопасности.
Ознакомьтесь с эталоном безопасности microsoft cloud security , чтобы получить исчерпывающие рекомендации по обеспечению безопасности.
Ознакомьтесь с комплексным представлением безопасности в Azure для защиты, обнаружения и ответа архитектуры безопасности Azure.