Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure предоставляет комплексные службы безопасности и технологии во всех уровнях облачных развертываний. В этой статье представлены основные возможности безопасности, организованные по домену, со ссылками на подробные обзорные статьи для получения дополнительных сведений.
Для получения рекомендаций по обеспечению безопасности и подробных инструкций по реализации обратитесь к обзорным статьям по конкретным областям, ссылки на которые приведены в этом документе.
Обнаружение угроз и реагирование
| Служба | Описание |
|---|---|
| Microsoft Defender для облака | Защита облачных рабочих нагрузок с непрерывной оценкой безопасности, рекомендациями и расширенным обнаружением угроз в Azure, гибридных и многооблачных ресурсах. |
| Microsoft Sentinel | Облачное решение SIEM и SOAR, предоставляющее интеллектуальную аналитику безопасности, аналитику угроз, обнаружение атак, упреждающее поиск и автоматизированное реагирование. |
Подробные сведения о возможностях обнаружения угроз и рекомендациях см. в статье " Защита от угроз Azure".
Управление удостоверениями и доступом
| Служба | Описание |
|---|---|
| Идентификатор Microsoft Entra | Облачная служба управления удостоверениями и доступом, поддерживающая единый вход, многофакторную проверку подлинности, условный доступ и защиту идентификации. |
| Управление доступом на основе ролей Azure | Точное управление доступом позволяет предоставлять пользователям только разрешения, необходимые для выполнения своих заданий. |
| Microsoft Entra Privileged Identity Management | Привилегированный доступ по требованию к ролям Azure и Microsoft Entra с рабочими процессами утверждения и проверками доступа. |
Подробные сведения о возможностях безопасности удостоверений и рекомендациях см. в обзоре безопасности управления удостоверениями Azure.
Управление ключами и секретами
| Служба | Описание |
|---|---|
| Azure Key Vault | Безопасное хранилище для ключей, секретов и сертификатов с помощью проверки FIPS 140-2 уровня 1 (стандартный) или FIPS 140-3 уровня 3 (уровень "Премиум" с HSM). |
| Управляемый HSM в Azure Key Vault | Однотенантная служба FIPS 140-2 уровня 3 проверена службой HSM с полным контролем с поддержкой конфиденциального ключа. |
Дополнительные сведения об управлении ключами, включая выделенный HSM Azure и HSM оплаты Azure, см. в статье "Управление ключами" в Azure.
Шифрование данных
| Служба | Описание |
|---|---|
| Шифрование службы хранилища Azure | Автоматическое шифрование неактивных данных в хранилище Azure с помощью шифрования AES 256. |
| Прозрачное шифрование данных базы данных SQL Azure | Шифрование баз данных, резервных копий и журналов транзакций в режиме реального времени без изменений приложения. |
| Дисковое шифрование Azure | Шифрование дисков ОС и данных виртуальных машин Azure с помощью управляемых платформой или управляемых клиентом ключей. |
Подробные сведения о параметрах шифрования и рекомендациях см. в обзоре шифрования Azure.
Сетевая безопасность
| Служба | Описание |
|---|---|
| Брандмауэр Azure | Брандмауэр облачной сети с аналитикой угроз, возможностями IDPS (SKU класса Premium) и проверкой TLS. |
| Защита от атак DDoS Azure | Постоянный мониторинг трафика и устранение атак DDoS на уровне сети в режиме реального времени. |
| Виртуальная сеть Azure | Сетевая изоляция с группами безопасности сети, сетевыми конечными точками служб и Private Link для безопасного подключения. |
| VPN-шлюз Azure | Безопасное кросс-локальное подключение к виртуальным сетям Azure через VPN-туннели IPsec/IKE. |
| Шлюз приложений Azure с WAF | Балансировка нагрузки на уровне приложения (L7) с помощью встроенного брандмауэра веб-приложения, обеспечивающего защиту от уязвимостей OWASP Топ 10. |
| Azure Front Door | Глобальная подсистема балансировки нагрузки HTTP с интегрированной защитой WAF, защитой от атак DDoS и разгрузкой SSL/TLS. |
Для получения подробных рекомендаций по обеспечению безопасности сети и лучших практик см. обзор безопасности сети Azure.
Мониторинг и управление
| Служба | Описание |
|---|---|
| Azure Monitor | Комплексное решение для мониторинга, которое собирает и анализирует данные телеметрии с помощью рабочих областей Log Analytics, метрик, оповещений и рабочих книг. |
| Политика Azure | Служба управления и контроля, обеспечивающая применение организационных стандартов, оценка соответствия в широком масштабе и автоматическое устранение. |
| Соответствие нормативным требованиям Microsoft Defender для облака | Встроенные и пользовательские оценки соответствия требованиям соответствуют стандартам, таким как microsoft cloud security benchmark, ISO 27001 и NIST. |
Подробные возможности и рекомендации по управлению безопасностью см. в обзоре управления безопасностью и мониторинга Azure.
Безопасность базы данных
| Служба | Описание |
|---|---|
| Безопасность базы данных SQL Azure | Управление доступом к сети, проверка подлинности, авторизация, шифрование неактивных и передаваемых данных, аудит и обнаружение угроз. |
| Microsoft Defender для SQL | Расширенная защита от угроз, обнаруживающая уязвимости, аномальные действия и попытки внедрения SQL. |
| Безопасность Azure Cosmos DB | Шифрование неактивных и передаваемых данных, сетевая изоляция, RBAC и ведение журнала аудита для рабочих нагрузок NoSQL. |
Полный контрольный список безопасности базы данных см. в контрольном списке безопасности базы данных Azure.
Безопасность виртуальных машин
| Служба | Описание |
|---|---|
| Доверенный запуск | По умолчанию для ВМ Gen2 предоставляются Защищённая загрузка, vTPM и мониторинг целостности загрузки для защиты от буткитов и руткитов. |
| Конфиденциальные вычисления Azure | Аппаратные доверенные среды выполнения с помощью AMD SEV-SNP для защиты данных во время использования. |
| Microsoft Defender для серверов | Управление угрозами и уязвимостями для виртуальных машин Windows и Linux. |
Подробные сведения о функциях и рекомендациях по обеспечению безопасности виртуальных машин см. в разделе "Общие сведения о безопасности виртуальных машин Azure".
Целостность платформы
| Служба | Описание |
|---|---|
| Безопасность платформы Azure | Безопасность оборудования и встроенного ПО, включая Project Cerberus, измеряемую загрузку и аттестацию хоста. |
| Безопасность загрузки и целостности кода | Политики безопасности загрузки UEFI и целостности кода, защищающие инфраструктуру Azure от вредоносного кода. |
Подробные сведения об архитектуре безопасности платформы см. в обзоре целостности и безопасности платформы Azure.
Резервное копирование и аварийное восстановление
| Служба | Описание |
|---|---|
| Azure Backup | Независимые и изолированные резервные копии, защищающие данные приложения с нулевыми капитальными инвестициями и встроенным управлением. |
| Azure Site Recovery | Оркестрация аварийного восстановления для репликации, переключения на резервный и восстановления рабочих нагрузок на вторичные локации или Azure. |
Безопасность развертывания PaaS
Рекомендации по защите развертываний платформы как службы, включая службу приложений, функции Azure и службы контейнеров, см. в статье "Защита развертываний PaaS".
Следующие шаги
- Сквозная безопасность в Azure — комплексный обзор архитектуры и возможностей Azure
- Рекомендации по безопасности Azure и шаблоны . Сбор рекомендаций по обеспечению безопасности для различных сценариев
- Microsoft Cloud Security Benchmark — комплексное руководство по безопасности для служб Azure
- Общая ответственность в облаке . Общие сведения о обязанностях безопасности, которые вы разделяете между вами и Корпорацией Майкрософт