微軟 Azure 安全性

Azure平台

Azure 平台提供多種服務，大致可分為基礎架構即服務 (基礎架構式服務)、平台即服務 (PaaS) 和軟體即服務 (SaaS) 交付楷模。它支援多個作業系統、應用程式堆疊、最受歡迎的資料庫平台和容器託管解決方案。無論您的應用程式是否是使用 .NET、PHP、Python、Node.JS、Java、MySQL、SQL、MariaDB、Docker、 Kubernetes建構的，它都可以在 Azure 中找到一個家。

當您將應用程式從完全由您管理的資料中心遷移到 Azure 時，您將極大地依賴該平台來保護這些工作負載。因此，安全共享責任模式在這裡對角色和責任的分界變得非常相關。

微軟擁有Azure平台的實體基礎設施並負責其安全性，涵蓋實體資料中心、存取控制、員工強制安全訓練、背景調查等多個面向。但是，當您在 Azure 平台上部署工作負載時，應考慮您和提供者之間的職責劃分，總結如下：

如上圖所示，一些安全責任（包括實體資料中心、網路和主機）由雲端提供者負責。但是，根據您使用的是基礎架構式服務、PaaS 還是軟體即服務模型，您需要解決作業系統應用程式堆疊和其他網路層安全要求。

微軟 Azure 安全性概述

每個組織的安全性需求都是獨一無二的，需要大量自訂以確保每個特定工作負載的安全性。 雲端中的高階威脅向量需要零信任安全方法，預設情況下，任何內容都不可信，並且所有內容都經過驗證。這種主動的雲端資安方法有助於減少攻擊面並限制發生攻擊時的損害。

必須在應用程式堆疊的每一層實現安全性，從運算、儲存和網路一直到特定於應用程式的控制以及身分和存取管理。對環境安全狀態的能見度也很重要，因為必須即時檢測任何惡意活動以獲得最佳保護。

Azure透過多種可設定的工具和服務來實現工作負載安全，您可以利用這些工具和服務來滿足不同的安全需求並增強您的雲端資安狀況。您也可以在適用的地方使用合作夥伴安全解決方案來進一步增強這種立場。

Azure 安全中心

安全中心是 Azure 的集中式安全管理解決方案，可協助你調整安全控制以適應不斷變化的威脅情勢，並主動保護你的組織免受多種攻擊。Azure 服務會自動加入安全中心，並根據定義的安全性基準進行監控。預設和自訂的策略可用於監視 Azure 訂閱和包含的資源的狀態。根據對 Azure 環境的持續評估，安全中心提供可操作的建議，可用於主動解決安全缺口。

Azure 安全中心還提供全面的威脅防護，並使用網路殺傷鏈分析為您提供攻擊向量的端對端可見性。您也可以使用 Microsoft Defender for 端點來保護您的 Azure 伺服器。它提供先進的漏洞偵測感測器，可透過大數據和分析的力量快速適應不斷變化的威脅，並提供卓越的威脅情報來保護您的工作負載。

此外，Windows 伺服器的自動加入功能和單窗格可見性透過減少營運開銷，使雲端資安團隊的生活變得輕鬆。Azure 安全中心與 Azure 策略、Azure Monitor 日誌和 Azure 雲端應用程式安全等解決方案集成，以實現深度安全。

Cloud Security Posture Management (CSPM)

雲端中的威脅與本地的威脅不同。雲端需要原生於雲端的解決方案來確保安全衛生並實施最佳安全實踐。Azure 的雲端資安狀態管理可以幫助你實現這一點，讓你主動管理 Azure 中的安全性工作負載。

Security Center 中的「安全評分」選項有助於使用多個預先建置的安全控制項來評估環境的安全性狀態，以量化您的環境的安全狀態。 如果未實作任何這些控制項，或者如果有任何設定錯誤，Security Center 會提供規範性建議來提高您的分數。 同時，法規合規分數根據 PCI DSS、HIPAA、Azure 自己的 CIS 和 NIST 等標準評估工作負載，幫助您評估官方合規性狀態。

安全中心透過提供脆弱性的鳥瞰圖並針對潛在攻擊產生警報來啟用CSPM 。每個警示都會標記嚴重程度，因此您可以優先處理緩解活動。 與雲端原生工作負載、物聯網服務和資料服務一起，安全中心可以跨環境保護 Windows 和 Linux 電腦免受威脅，從而減少攻擊面。

網頁版應用程式資安

隨著雲端應用程式的蔓延，監控所有應用程式並確保安全的資料交易變得越來越困難。Azure 透過名為 Microsoft Cloud App Security 的雲端資安代理解決方案協助解決這個問題。

此工具可協助您偵測組織正在使用的雲端服務並識別與其相關的任何風險，從而防範影子 IT。該服務的內建策略可讓您自動實施雲端應用程式的安全控制，此外，您還可以透過雲端應用程式目錄功能批准或取消批准應用程序，該功能涵蓋16,000 多個應用程序，並根據80 多個風險因素對它們進行評分，以便您可以就您希望在組織中允許的應用程式類型做出明智的決定。

雲端應用安全性還提供對應用程式及其安全狀態的可見性，並控制資料在應用程式之間的傳輸方式。它還可以檢測異常行為，以識別受損的應用程式並觸發自動修復以降低風險。您可以進一步評估應用程式的合規性，並限制資料向不合規應用程式的移動，並且它還可以保護應用程式中的任何受監管資料免遭未經授權的存取。

與其他 Microsoft 安全解決方案的本機整合提供了無與倫比的威脅情報和深入分析，以保護您的應用程式免受雲端中不同類型的攻擊。

容器安全性

Azure 安全中心提供 AKS 等容器託管環境以及執行 Docker 的虛擬機器的安全性基準和評估，以識別潛在的錯誤配置和安全漏洞。透過針對 CIS 基準測試進行監控，並將建議整合在安全中心中的建議來實現強化 Docker 環境。 同樣，AKS 節點和叢集也可以使用監控和進階威脅偵測。 您也可以為 Kubernetes 叢集啟用 Azure 策略附加元件，以便在為 Kubernetes 應用程式開發介面伺服器提供服務之前，請根據定義的最佳實務來監控它們的要求。

同時，Azure Defender 透過偵測可疑活動（例如Web shell 偵測、來自可疑IP 的連線請求、特權容器設定等）來保護AKS 節點和叢集免受執行時間脆弱性和滲透。Azure Defender 還包括Qualys 集成，用於掃描拉取或擷取的映像。推送到 Azure 容器註冊表。任何發現項目都會分類並顯示在安全中心中，讓您可以區分健康和不健康的影像。

網路安全群組 (NSG)

NSG 可作為連接到 Azure VNet 的工作負載的第一道網路防禦線。它使用來源、來源端口、目的地、目的地端口和通訊協定通過五個元組規則過濾入埠和輸出流量。 這些群組可以與子網路或虛擬機器的 NIC 卡關聯，並附帶一些預設規則以允許網路間通訊和 Internet 存取。網路安全群組還可讓您實現對東西向和南北向流量的細微控制，並協助隔離應用程式元件通訊。

Azure 虛擬網路

Azure VNet 是 Azure 中網路的基本建置區塊，有助於對工作負載進行微分段，從而實現連接的工作負載與其他 Azure 資源、本機資源和 Internet 的安全通訊。預設情況下，一個Azure VNet 中的資源無法與另一個VNet 中的資源進行通信，除非透過對等互連、VPN、專用連結等選項明確連接。可以透過在VNet 內的子網路中啟用NSG 來添加另一層安全性。此外，您可以透過建立自訂路由表在 VNet 內使用流量整形，例如，如果您希望所有流量都透過網路虛擬設備進行路由以進行封包檢查。

VPN及應用閘道器

Azure VPN 可讓您透過站台對站台連線從本機資料中心網路安全地連線至 Azure 資源，或使用點對站台連線從單一電腦安全地連線到 Azure 資源。到 Azure 的流量會透過 Internet 傳輸，但透過使用 SSTP、OpenVPN 或 IPSec 的安全加密隧道。雖然 VPN 連接在分公司場景中運作良好，但為了確保 Azure SLA 支援的連接，客戶可以選擇 ExpressRoute，這是從本地資料中心到 Azure 雲端的專用連接。

Azure 應用程式閘道器是一個負載平衡器，在應用程式層（OSI 第 7 層）執行，並根據 HTTP 屬性將流量重新導向到後端池中的資源。它具有網路應用程式防火牆 ( WAF )，可協助保護您的應用程式免受常見攻擊，例如 SQL 注入攻擊、跨站點腳本、HTTP 請求分割、遠端檔案包含等。它帶有一組預先定義的安全規則，但也提供了定義自己的規則的靈活性。 該服務基於OWASP ModSecurity 核心規則集，能夠自動更新以保護您的應用程式免受新的和不斷發展的脆弱性的影響。

身分與存取管理 (IAM)

在雲端驅動的世界中，身分認同已成為新的安全邊界。Azure 提供由 Azure Active Directory (AD) 啟用的角色為基礎的存取控制 (RBAC)，以控制對託管應用程式的存取。建議遵循最小權限 (PoLP) 原則，以便使用者只獲得其工作所需的最低存取權限。 此授權由指派給使用者的角色決定，該角色可以是其中一個內建角色或由管理員定義的自訂角色。

您可以透過虛擬機器的即時 (JIT) 存取、儲存的共用存取簽章、按鈕驗證等選項進一步強化 IAM。透過 Azure AD 審核日誌和 Azure 活動日誌記錄和追蹤使用者活動以識別受損身分和惡意使用者也很重要。

增強 Azure 安全性

雖然本機工具和服務通常提供一個良好的起點，但您還需要具有高級功能的工具來保護您的應用程式免受雲端中不斷變化的威脅參與者的影響。以下附加功能對於確保全面的雲端資安至關重要：

• 可見性：提供情境資訊的即時雲端入侵偵測、網路流量視覺化和使用者活動分析將有助於主動識別和緩解異常情況。
• 自動化：從第一天起，透過預訂範本和自適應安全策略等選項將自動化整合到雲端資安營運中，將有助於避免人為錯誤和錯誤配置。
• 合規性和治理：根據行業標準展示合規和治理而量身定制的安全報告將簡化您的報告和審計流程。
• 最大限度地減少設定錯誤：根據定義的安全性標準持續評估環境組態，以及工作流程和原則實作的自動化將有助於最大程度地減少錯誤的設定。
• 智慧與預測分析： 由人工智慧支援的威脅追蹤和預測分析可以幫助更快地偵測異常並產生有關惡意活動的即時警報。
• 工作負載/儲存保護（針對容器和無伺服器）：將安全功能擴展到容器和無伺服器，以保護基於微服務的現代工作負載。

CloudGuard可以幫助您解決上述所有問題，因為它預先建立了這些功能。它與 Azure 本機工具無縫整合，並增強 Azure 中託管的資料和工作負載的安全性。

立即閱讀有關 CloudGuard 如何幫助您實現雲端資安目標的更多資訊。