Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure предоставляет комплексные службы безопасности и технологии во всех уровнях облачных развертываний. В этой статье представлены основные возможности безопасности, организованные по домену, со ссылками на подробные обзорные статьи для получения дополнительных сведений.
Для получения рекомендаций по обеспечению безопасности и подробных инструкций по реализации обратитесь к обзорным статьям по конкретным областям, ссылки на которые приведены в этом документе.
Управление удостоверениями и доступом
| Служба | Описание |
|---|---|
| Идентификатор Microsoft Entra | Облачная служба управления удостоверениями и доступом, поддерживающая единый вход (SSO), многофакторную проверку подлинности (MFA), условный доступ и проверку подлинности без пароля. |
| Управление доступом на основе ролей в Azure (RBAC) | Точное управление доступом со встроенными и настраиваемыми ролями, назначаемыми в группе управления, подписке, группе ресурсов или области ресурсов. |
| Microsoft Entra управление привилегированными пользователями | Оперативный доступ к ролям Azure и Microsoft Entra с рабочими процессами утверждения, проверками доступа и журналом аудита. |
| Проверки доступа Microsoft Entra | Запланированные проверки членства в группах, доступа к приложениям и назначений ролей с автоматическими рекомендациями и исправлением. |
| Прокси приложения Microsoft Entra | Защита удаленного доступа к локальным веб-приложениям без VPN с помощью проверки подлинности Microsoft Entra и условного доступа. |
| Microsoft Entra Connect / Cloud Sync | Синхронизация гибридных удостоверений между локальной средой Active Directory и Microsoft Entra ID для единого управления идентификацией. |
Подробные сведения о возможностях безопасности удостоверений и рекомендациях см. в обзоре безопасности управления удостоверениями Azure.
Сетевая безопасность
| Служба | Описание |
|---|---|
| Виртуальная сеть Azure | Изолированная частная сеть с подсетями, таблицами маршрутов и параметрами DNS. Основы для всей сетевой безопасности Azure. |
| Группы безопасности сети (группы безопасности сети) | Фильтрация пакетов с отслеживанием состояния с использованием 5 кортежей, тегов служб и групп безопасности приложений для детального управления доступом. |
| Брандмауэр Azure | Брандмауэр с отслеживанием состояния в облаке с встроенным высоким уровнем доступности. Стандартный номер SKU предлагает фильтрацию L3-L7; Номер SKU уровня "Премиум" добавляет проверку IDPS и TLS. |
| Брандмауэр веб-приложения (WAF) | Централизованная защита от уязвимостей OWASP top 10, внедрения SQL, межсайтовых сценариев и атак ботов. |
| Защита от атак DDoS Azure | Постоянный мониторинг трафика с адаптивной настройкой, устранением рисков в реальном времени и аналитикой объемных атак и атак на протоколы. |
| Приватный канал Azure | Частное подключение к службам Azure PaaS через частную конечную точку в виртуальной сети, устраняя уязвимость общедоступного Интернета. |
| Конечные точки службы виртуальной сети | Прямое подключение к службам Azure через магистральную сеть Azure, ограничивая доступ только к виртуальным сетям. |
| VPN-шлюз Azure | Зашифрованное кросс-локальное подключение с помощью VPN-туннелей IPsec/IKE для подключений типа "сеть — сеть" и "точка — сеть". |
| Azure ExpressRoute | Выделенное частное глобальное подключение к облачным службам Майкрософт, обходя общедоступный Интернет для повышения безопасности и надежности. |
| Шлюз приложений Azure | Балансировщик нагрузки уровня 7 с завершением TLS, привязкой сеанса на основе файлов cookie, маршрутизацией на основе URL и интегрированным WAF. |
| Azure Front Door | Глобальный балансировщик нагрузки HTTP с ускорением на краю сети, интегрированным WAF, защитой DDoS на уровне платформы и источниками серверной части Приватный канал. |
| Наблюдатель за сетями Azure | Мониторинг сети, диагностика и анализ безопасности, включая журналы потоков NSG, запись пакетов и устранение неполадок подключения. |
Для получения подробных рекомендаций по обеспечению безопасности сети и лучших практик см. обзор безопасности сети Azure.
Шифрование данных
| Служба | Описание |
|---|---|
| Шифрование службы хранилища Azure | Автоматическое шифрование AES 256 для всех данных в состоянии покоя в хранилище BLOB-объектов Azure, хранилище файлов Azure, хранилище очередей и хранилище таблиц. |
| Прозрачное шифрование данных базы данных SQL Azure (TDE) | Шифрование баз данных, резервных копий и журналов транзакций в реальном времени в состоянии покоя. Включен по умолчанию с поддержкой ключей, управляемых клиентом. |
| Always Encrypted | Шифрование на стороне клиента для базы данных SQL Azure, гарантирующее, что данные остаются зашифрованными в течение всего жизненного цикла, даже от администраторов баз данных. |
| Дисковое шифрование Azure | Шифрование дисков ОС и данных с помощью ключей, управляемых платформой, управляемых клиентом ключей или двойного шифрования. |
| Шифрование Azure Cosmos DB | Автоматическое шифрование неактивных данных с помощью ключей, управляемых службой, с необязательной поддержкой управляемого клиентом ключа (CMK). |
| Шифрование Azure Data Lake | Прозрачное шифрование на месте включено по умолчанию, с возможностью использования ключей, управляемых как Корпорацией Майкрософт, так и клиентом. |
| Шифрование TLS при передаче | Защита транспортного уровня (TLS 1.2+) для всех коммуникаций службы Azure с совершенной прямой секретностью (PFS). |
| Шифрование связи с данными MACsec | Концевое шифрование с использованием IEEE 802.1AE для всего трафика Azure между дата-центрами. |
Подробные сведения о параметрах шифрования и рекомендациях см. в обзоре шифрования Azure.
Управление ключами и секретами
| Служба | Описание |
|---|---|
| Azure Key Vault | Безопасное хранилище для ключей, секретов и сертификатов с помощью проверки FIPS 140-2 уровня 1 (стандартный) или FIPS 140-3 уровня 3 (уровень "Премиум" с HSM). |
| Управляемый HSM в Azure Key Vault | Одноарендаторная, сертифицированная по FIPS 140-3 уровня 3 служба HSM, предлагающая полный контроль пользователям с поддержкой конфиденциального ключа. Интегрируется со службами Azure PaaS. |
| Azure Cloud HSM | Полностью управляемый кластер HSM с выделенным доступом, сертифицированный по стандарту FIPS 140-3 уровня 3, поддерживающий PKCS#11, разгрузку SSL/TLS и локальные сценарии миграции. Только IaaS. |
| HSM для оплаты Azure | Однопользовательский, сертифицированный по FIPS 140-2 Уровень 3, совместимый с PCI HSM в3 для операций обработки платежей. |
Дополнительные сведения об управлении ключами см. в статье "Управление ключами" в Azure.
Обнаружение угроз и реагирование
| Служба | Описание |
|---|---|
| Microsoft Defender для облака | Унифицированная облачная безопасность с управлением состоянием (CSPM), защитой рабочей нагрузки (CWP) и расширенным обнаружением угроз в Azure, AWS, GCP и гибридных средах. Интегрировано с порталом Microsoft Defender. |
| Microsoft Sentinel | Облачное решение SIEM и SOAR на основе машинного обучения, аналитики поведения пользователей и сущностей (UEBA), интеграции с системой анализа угроз и автоматизированными сценариями. |
| Защита идентификаторов Microsoft Entra | Защита идентификации на основе рисков обнаруживает аномальное поведение входа и скомпрометированные учетные записи с помощью машинного обучения. |
| Microsoft Defender для облачных приложений | Cloud Access Security Broker (CASB), обеспечивающий видимость, управление данными и защиту от угроз для облачных приложений, включая обнаружение теневого ИТ-решения. |
| Антивредоносная программа Майкрософт для Azure | Защита в режиме реального времени, запланированное сканирование и автоматическое исправление вредоносных программ для облачных служб Azure и виртуальных машин. |
Подробные сведения о возможностях обнаружения угроз и рекомендациях см. в статье " Защита от угроз Azure".
Целостность платформы
| Служба | Описание |
|---|---|
| Безопасность встроенного ПО | Безопасная проверка целостности поставок и целостности встроенного ПО для оборудования Azure от производства до развертывания. |
| Безопасная загрузка UEFI | Гарантирует, что только подписанные операционные системы и драйверы могут загружаться, защищая от вредоносных программ на уровне встроенного ПО. |
| Целостность кода платформы | Политики целостности кода, которые проверяют весь код перед выполнением в инфраструктуре Azure. |
| Измеряемая загрузка и аттестация хоста | Криптографическая проверка последовательности загрузки для обеспечения безопасного и достоверного состояния хостов. |
| Проект Cerberus | Аппаратный корень доверия, обеспечивающий верификацию идентичности и целостности платформы. |
| Безопасность гипервизора | Защищенный гипервизор с сильной изоляцией между виртуальными машинами и средой узла. |
Подробные сведения об архитектуре безопасности платформы см. в обзоре целостности и безопасности платформы Azure.
Безопасность виртуальных машин
| Служба | Описание |
|---|---|
| Доверенный запуск | По умолчанию для виртуальных машин 2-го поколения с помощью безопасной загрузки, vTPM и мониторинга целостности загрузки, защиты от загрузочных комплектов, корневых пакетов и вредоносных программ на уровне ядра. |
| Конфиденциальные вычисления Azure | Аппаратные доверенные среды выполнения (TEE) с помощью AMD SEV-SNP или Intel TDX для защиты данных во время использования. |
| Конфиденциальные виртуальные машины | Полное шифрование памяти виртуальной машины с аппаратной изоляцией от гипервизора и кода управления узлом. |
| Microsoft Defender для серверов | Обнаружение угроз с помощью интеграции Microsoft Defender для конечной точки, оценки уязвимостей, JIT-доступа к виртуальной машине и мониторинга целостности файлов. |
| Доступ к виртуальной машине с режимом Just-in-time (JIT) | Уменьшает область атаки, заблокируя входящий трафик и обеспечивая ограниченный по времени доступ к портам управления по запросу. |
| Адаптивные элементы управления приложениями | Список разрешенных приложений на основе машинного обучения чтобы контролировать, какие приложения могут выполняться на виртуальных машинах (VMs). |
| Azure Backup | Независимые изолированные резервные копии с защитой от программ-шантажистов, обратимым удалением и управлением хранилищем служб восстановления. |
| Azure Site Recovery | Оркестрация аварийного восстановления для репликации, переключения на резервный узел и восстановления в Azure или на вторичной площадке. |
Подробные сведения о функциях и рекомендациях по обеспечению безопасности виртуальных машин см. в разделе "Общие сведения о безопасности виртуальных машин Azure".
Безопасность контейнеров
| Служба | Описание |
|---|---|
| Microsoft Defender для контейнеров | Защита среды выполнения, оценка уязвимостей и обнаружение угроз Kubernetes в AKS, EKS, GKE и локальных кластерах. |
| Реестр контейнеров Azure | Управляемый реестр контейнеров с проверкой уязвимостей, доверием содержимого (подписью образа), георепликацией и частными конечными точками. |
| Безопасность службы Azure Kubernetes (AKS) | Управляемые кластеры Kubernetes с интеграцией Microsoft Entra, Azure RBAC, сетевыми политиками, безопасностью подов и управлением секретами. |
| Конфиденциальные контейнеры в ACI | Аппаратная защита TEE с использованием AMD SEV-SNP с проверяемыми политиками выполнения и удаленной аттестацией. |
| Гейтированное развертывание Kubernetes | Контроль допуска предотвращает развертывание образов контейнеров, которые нарушают правила безопасности в режиме аудита или запрета. |
| Сканирование образа контейнера | Оценка уязвимостей без агента для образов контейнеров в реестрах и контейнерах среды выполнения в кластерах AKS. |
Подробные рекомендации по обеспечению безопасности контейнеров см. в разделе "Безопасность контейнеров" в Microsoft Defender для Облака.
Безопасность базы данных
| Служба | Описание |
|---|---|
| Безопасность базы данных SQL Azure | Комплексная безопасность с сетевой изоляцией, проверкой подлинности Microsoft Entra, шифрованием TDE, Always Encrypted и аудитом. |
| Microsoft Defender для SQL | Расширенная защита от угроз, обнаруживающая SQL-инъекции, атаки методом перебора, аномальные действия и эксплуатацию уязвимостей. |
| Оценка уязвимостей SQL | Обнаруживает, отслеживает и помогает устранять уязвимости базы данных с помощью практических рекомендаций по безопасности. |
| Безопасность на уровне строк (RLS) | Ограничивает доступ к строкам на основе удостоверения пользователя, роли или контекста выполнения для точного контроля доступа к данным. |
| Динамическое маскирование данных | Маскирует конфиденциальные данные для пользователей, не имеющих привилегий, не изменяя базовые данные, уменьшая риск воздействия. |
| Реестр базы данных SQL Azure | Антивзломные функции с неизменяемыми записями транзакций для проверки целостности данных и соблюдения требований. |
| Безопасность Azure Cosmos DB | Шифрование хранимых и передаваемых данных, сетевая изоляция, RBAC и ведение журнала аудита для рабочих нагрузок NoSQL и многомодельных. |
Полный контрольный список безопасности базы данных см. в контрольном списке безопасности базы данных Azure.
Безопасность DevOps
| Служба | Описание |
|---|---|
| Microsoft Defender для DevOps | Единая безопасность DevOps, которая подключает Azure DevOps и GitHub с сканированием кода, сканированием инфраструктуры как кода (IaC) и обнаружением секретов. |
| Интеграция расширенной безопасности GitHub | Отслеживание уязвимостей от кода до облака с учетом контекста выполнения и исправлением, управляемым ИИ, с помощью функции Copilot Autofix. |
| Сканирование контейнеров в конвейере | Проверка уязвимостей контейнера с помощью интерфейса командной строки во время рабочих процессов CI/CD с обратной связью в реальном времени перед отправкой в контейнерный реестр. |
| Сканирование уязвимостей зависимостей | Обнаружение уязвимостей ОС и библиотек с использованием Trivy в репозиториях GitHub и Azure DevOps. |
Рекомендации по обеспечению безопасности DevOps см. в разделе "Безопасность DevOps" в Defender для облака.
Мониторинг и управление
| Служба | Описание |
|---|---|
| Azure Monitor | Комплексный мониторинг с использованием метрик, журналов, рабочих областей Log Analytics, Application Insights, оповещений и рабочих книг. |
| Политика Azure | Служба управления политиками, применяющая организационные стандарты с определениями политик, инициативами, отчетами о соответствии и автоматической корректировкой. |
| Соответствие нормативным требованиям Microsoft Defender для облака | Встроенные и пользовательские оценки соответствия требованиям, согласованные с microsoft cloud security benchmark, ISO 27001, NIST, PCI DSS и другими стандартами. |
| Журнал действий Azure | На уровне подписки ведется журнал аудита, в котором фиксируются административные операции, события работоспособности службы и изменения ресурсов с хранением данных в течение 90 дней. |
| Диспетчер обновлений Azure | Единое управление патчами для ВМ Windows и Linux в Azure, локально и в мультиоблачных средах с запланированным патчингом и хотпатчингом. |
| Azure Resource Graph | Быстрые перекрестные запросы для идентификации ресурсов с определенными конфигурациями или параметрами безопасности в крупном масштабе. |
| Управление затратами Microsoft | Мониторинг затрат, бюджеты и обнаружение аномалий для выявления несанкционированных развертываний ресурсов, которые могут указывать на инциденты безопасности. |
Подробные возможности и рекомендации по управлению безопасностью см. в обзоре управления безопасностью и мониторинга Azure.
Резервное копирование и аварийное восстановление
| Служба | Описание |
|---|---|
| Azure Backup | Независимые и изолированные резервные копии без капитальных вложений, защита от программ-вымогателей, мягкое удаление и восстановление между регионами. |
| Azure Site Recovery | Оркестрация непрерывности бизнеса и аварийного восстановления (BCDR) для репликации, переключения и восстановления в Azure или вторичной площадке. |
Подробные рекомендации по резервному копированию см. в документации по Azure Backup.
Безопасность развертывания PaaS
Рекомендации по защите развертываний платформы как службы, включая службу приложений, функции Azure и службы контейнеров, см. в статье "Защита развертываний PaaS".
Следующие шаги
- Сквозная безопасность в Azure — комплексный обзор архитектуры и возможностей Azure
- Рекомендации по безопасности Azure и шаблоны . Сбор рекомендаций по обеспечению безопасности для различных сценариев
- Microsoft Cloud Security Benchmark — комплексное руководство по безопасности для служб Azure
- Общая ответственность в облаке . Общие сведения о обязанностях безопасности, которые вы разделяете между вами и Корпорацией Майкрософт