Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Platforma Azure oferuje kompleksowe usługi zabezpieczeń i technologie we wszystkich warstwach wdrożeń w chmurze. W tym artykule przedstawiono główne możliwości zabezpieczeń zorganizowane w ramach domeny z linkami do szczegółowych artykułów przeglądowych, aby uzyskać więcej informacji.
Aby zapoznać się z konkretnymi najlepszymi rozwiązaniami w zakresie zabezpieczeń i szczegółowymi wskazówkami dotyczącymi implementacji, zapoznaj się z artykułami przeglądu specyficznymi dla domeny połączonymi w tym dokumencie.
Zarządzanie tożsamościami i dostępem
| Usługa | opis |
|---|---|
| Identyfikator usługi Microsoft Entra | Oparta na chmurze usługa zarządzania tożsamościami i dostępem obsługująca logowanie jednokrotne, uwierzytelnianie wieloskładnikowe (MFA), dostęp warunkowy i uwierzytelnianie bez hasła. |
| Azure role-based access control (RBAC) (Kontrola dostępu oparta na rolach na platformie Azure) | Szczegółowe zarządzanie dostępem z wbudowanymi i niestandardowymi rolami, które można przypisać w grupie zarządzania, subskrypcji, grupie zasobów lub zakresie zasobów. |
| Microsoft Entra Privileged Identity Management | Uprzywilejowany dostęp just in time do ról platformy Azure i firmy Microsoft Entra z przepływami pracy zatwierdzania, przeglądami dostępu i historią inspekcji. |
| Przeglądy dostępu firmy Microsoft Entra | Zaplanowane przeglądy członkostwa w grupach, dostępu do aplikacji i przypisań ról z automatycznymi zaleceniami i korygowaniem. |
| Serwer proxy aplikacji Firmy Microsoft Entra | Zdalne zabezpieczenie dostępu do lokalnych aplikacji internetowych bez użycia sieci VPN, z wykorzystaniem uwierzytelniania Microsoft Entra i dostępu warunkowego. |
| Microsoft Entra Connect/ Synchronizacja w chmurze | Synchronizacja tożsamości hybrydowej między lokalną usługą Active Directory i identyfikatorem Entra firmy Microsoft na potrzeby ujednoliconego zarządzania tożsamościami. |
Aby uzyskać szczegółowe możliwości zabezpieczeń tożsamości i najlepsze rozwiązania, zobacz Omówienie zabezpieczeń zarządzania tożsamościami platformy Azure.
Bezpieczeństwo sieci
| Usługa | opis |
|---|---|
| Azure Virtual Network | Izolowana sieć prywatna z podsieciami, tabelami tras i ustawieniami DNS. Podstawy dla wszystkich zabezpieczeń sieci platformy Azure. |
| Sieciowe grupy zabezpieczeń | Filtrowanie pakietów stanowych przy użyciu reguł pięciokrotki, tagów usług i grup zabezpieczeń aplikacji w celu uzyskania szczegółowej kontroli dostępu. |
| Azure Firewall | Natywna dla chmury zapora stanowa z wbudowaną wysoką dostępnością. Standardowa jednostka SKU oferuje filtrowanie L3-L7; jedn. SKU Premium dodaje system wykrywania i zapobiegania włamaniom (IDPS) oraz inspekcję protokołu TLS. |
| Zapora aplikacji internetowej (WAF) | Scentralizowana ochrona przed lukami w zabezpieczeniach OWASP Top 10, wstrzyknięciem kodu SQL, wykonywaniem skryptów między witrynami i atakami bota. |
| Ochrona przed atakami DDoS | Stałe monitorowanie ruchu z adaptacyjnym dostrajaniem, łagodzeniem w czasie rzeczywistym i analizą ataków dla ataków wolumetrycznych i na poziomie protokołów. |
| Link prywatny platformy Azure | Prywatna łączność z usługami PaaS platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej, eliminując publiczne narażenie na internet. |
| Punkty końcowe usługi dla sieci wirtualnej | Bezpośrednia łączność z usługami platformy Azure za pośrednictwem sieci szkieletowej platformy Azure, ograniczając dostęp tylko do sieci wirtualnych. |
| Azure VPN Gateway | Szyfrowane połączenia obejmujące wiele lokalizacji przy użyciu tuneli sieci VPN protokołu IPsec/IKE dla połączeń typu lokacja-lokacja i połączeń typu punkt-lokacja. |
| Azure ExpressRoute | Dedykowane prywatne połączenie sieci WAN z usługami w chmurze firmy Microsoft, pomijając publiczny Internet w celu zwiększenia bezpieczeństwa i niezawodności. |
| Azure Application Gateway | Moduł równoważenia obciążenia warstwy 7 z kończeniem protokołu TLS, powiązaniem sesji opartym na plikach cookie, routingiem opartym na adresach URL i zintegrowaną zaporą aplikacji internetowej. |
| Azure Front Door | Globalny moduł równoważenia obciążenia HTTP z akceleracją na brzegu sieci, zintegrowaną zaporą aplikacji internetowej (WAF), ochroną DDoS na poziomie platformy oraz zapleczem usługi Private Link. |
| Azure Network Watcher | Monitorowanie sieci, diagnostyka i analiza zabezpieczeń, w tym dzienniki przepływu sieciowej grupy zabezpieczeń, przechwytywanie pakietów i rozwiązywanie problemów z połączeniem. |
Aby uzyskać kompleksowe wskazówki dotyczące zabezpieczeń sieci i najlepsze rozwiązania, zobacz Omówienie zabezpieczeń sieci platformy Azure.
Szyfrowanie danych
| Usługa | opis |
|---|---|
| Szyfrowanie usługi Azure Storage | Automatyczne szyfrowanie AES 256 dla wszystkich danych magazynowanych w usłudze Azure Blob Storage, Azure Files, Queue Storage i Table Storage. |
| Transparent Data Encryption (TDE) usługi Azure SQL Database | Szyfrowanie w czasie rzeczywistym baz danych, kopii zapasowych i dzienników transakcji w stanie spoczynku. Domyślnie włączono obsługę kluczy zarządzanych przez klienta. |
| Zawsze szyfrowane | Szyfrowanie po stronie klienta dla usługi Azure SQL Database zapewnia, że dane pozostają zaszyfrowane w całym cyklu życia, nawet od administratorów baz danych. |
| Usługa Azure Disk Encryption | Szyfrowanie dysków systemu operacyjnego i danych przy użyciu kluczy zarządzanych przez platformę, kluczy zarządzanych przez klienta lub podwójnego szyfrowania za pomocą obu tych opcji. |
| Szyfrowanie usługi Azure Cosmos DB | Automatyczne szyfrowanie danych w stanie spoczynku przy użyciu kluczy zarządzanych przez usługę szyfrowania z opcjonalnym wsparciem dla klucza CMK (klucz zarządzany przez klienta). |
| Szyfrowanie usługi Azure Data Lake | Funkcja Transparent Encryption w spoczynku jest domyślnie włączona z opcjami kluczy zarządzanych przez firmę Microsoft lub zarządzanych przez klienta. |
| Szyfrowanie TLS podczas przesyłania | Transport Layer Security (TLS 1.2+) dla wszystkich komunikacji usług platformy Azure z Perfect Forward Secrecy (PFS). |
| Szyfrowanie linku do danych w usłudze MACsec | Szyfrowanie typu punkt-punkt przy użyciu standardu IEEE 802.1AE dla całego ruchu platformy Azure między centrami danych. |
Aby uzyskać szczegółowe opcje szyfrowania i najlepsze rozwiązania, zobacz Omówienie usługi Azure Encryption.
Zarządzanie kluczami i sekretami
| Usługa | opis |
|---|---|
| Azure Key Vault | Bezpieczne przechowywanie kluczy, tajemnic i certyfikatów z walidacją FIPS 140-2 poziom 1 (warstwa standardowa) lub FIPS 140-3 poziom 3 (warstwa premium z HSM). |
| Zarządzany moduł HSM usługi Azure Key Vault | Usługa HSM jedno-dzierżawowa, zatwierdzona zgodnie z FIPS 140-3 na poziomie 3, która oferuje pełną kontrolę klienta z obsługą kluczy poufnych. Integruje się z usługami PaaS platformy Azure. |
| Moduł HSM w chmurze platformy Azure | W pełni zarządzane, jednodostępne fiPS 140-3 poziom 3 zweryfikowany klaster HSM obsługujący protokół PKCS#11, odciążanie protokołu SSL/TLS i scenariusze migracji lokalnej. Tylko IaaS. |
| Moduł HSM do płatności w Azure | Jednodostępny, zweryfikowany standard FIPS 140-2 poziom 3, zgodny ze standardem HSM PCI v3 moduł HSM na potrzeby operacji przetwarzania płatności. |
Aby uzyskać kompleksowe opcje zarządzania kluczami, zobacz Zarządzanie kluczami na platformie Azure.
Wykrywanie zagrożeń i reagowanie na nie
| Usługa | opis |
|---|---|
| Microsoft Defender for Cloud | Ujednolicone zabezpieczenia w chmurze z zarządzaniem stanem (CSPM), ochroną obciążeń (CWP) i zaawansowanym wykrywaniem zagrożeń na platformie Azure, AWS, GCP i środowiskach hybrydowych. Integracja z portalem usługi Microsoft Defender. |
| Microsoft Sentinel | Natywne dla chmury rozwiązanie SIEM i SOAR z uczeniem maszynowym, analizą zachowań użytkowników i jednostek (UEBA), integracją informacji wywiadowczych o zagrożeniach oraz zautomatyzowanymi scenariuszami. |
| Ochrona identyfikatorów Microsoft Entra | Ochrona tożsamości oparta na ryzyku wykrywa nietypowe zachowania logowania i konta z naruszonymi zabezpieczeniami przy użyciu uczenia maszynowego. |
| Microsoft Defender dla aplikacji chmurowych | Broker zabezpieczeń dostępu do chmury (CASB) zapewnia widoczność, kontrolę danych i ochronę przed zagrożeniami dla aplikacji w chmurze, w tym odnajdywanie niezatwierdzonych zasobów IT. |
| Oprogramowanie microsoft antimalware dla platformy Azure | Ochrona w czasie rzeczywistym, zaplanowane skanowanie i automatyczne korygowanie złośliwego oprogramowania dla usług Azure Cloud Services i maszyn wirtualnych. |
Aby uzyskać kompleksowe informacje na temat możliwości wykrywania zagrożeń i najlepszych rozwiązań, zobacz Azure Threat Protection.
Integralność platformy
| Usługa | opis |
|---|---|
| Zabezpieczenia oprogramowania układowego | Bezpieczna weryfikacja łańcucha dostaw i integralności oprogramowania układowego dla sprzętu platformy Azure od produkcji przez wdrożenie. |
| Bezpieczny rozruch UEFI | Zapewnia możliwość rozruchu tylko podpisanych systemów operacyjnych i sterowników, chroniąc przed złośliwym oprogramowaniem na poziomie oprogramowania układowego. |
| Integralność kodu platformy | Zasady integralności kodu, które weryfikują cały kod przed wykonaniem w infrastrukturze platformy Azure. |
| Rozruch mierzony i zaświadczenie hosta | Kryptograficzna weryfikacja procedury rozruchu, aby zapewnić, że hosty są w bezpiecznym i godnym zaufania stanie. |
| Projekt Cerberus | Sprzętowe źródło zaufania zapewniające weryfikację tożsamości i integralności platformy. |
| Zabezpieczenia Hypervisora | Wzmocniony hypervisor z silną izolacją między maszynami wirtualnymi a środowiskiem hosta. |
Aby uzyskać szczegółową architekturę zabezpieczeń platformy Azure, zobacz Omówienie integralności i zabezpieczeń platformy Azure.
Zabezpieczenia maszyny wirtualnej
| Usługa | opis |
|---|---|
| Zaufane uruchamianie | Ustawienie domyślne dla maszyn wirtualnych Gen2 z Bezpiecznym Rozruchem, wirtualnym TPM i monitorowaniem integralności rozruchu, chroniące przed bootkitami, rootkitami i złośliwym oprogramowaniem na poziomie jądra. |
| Poufne przetwarzanie na platformie Azure | Oparte na sprzęcie zaufane środowiska wykonawcze (TEE) korzystające z technologii AMD SEV-SNP lub Intel TDX na potrzeby ochrony danych w czasie ich używania. |
| Poufne maszyny wirtualne | Pełne szyfrowanie pamięci maszyny wirtualnej z wymuszoną sprzętowo izolacją od funkcji hypervisor i kodu zarządzania hostem. |
| Usługa Microsoft Defender dla serwerów | Wykrywanie zagrożeń za pomocą integracji z usługą Microsoft Defender dla punktu końcowego, oceny luk w zabezpieczeniach, dostępu just in time do maszyny wirtualnej i monitorowania integralności plików. |
| Dostęp just in time (JIT) do maszyny wirtualnej | Zmniejsza obszar ataków, blokując ruch przychodzący i umożliwiając ograniczony czasowo dostęp do portów zarządzania na żądanie. |
| Funkcje adaptacyjnego sterowania aplikacjami | Lista dozwolonych aplikacji opartych na uczeniu maszynowym pozwala kontrolować, które aplikacje mogą być uruchamiane na maszynach wirtualnych. |
| Azure Backup | Niezależne, izolowane kopie zapasowe z ochroną przed oprogramowaniem wymuszającym okup, miękkim usuwaniem i zarządzaniem skarbcem usługi Odzyskiwania Danych. |
| Azure Site Recovery | Orkiestracja odzyskiwania po awarii na potrzeby replikacji, przełączenia awaryjnego i odzyskiwania do Azure lub do zapasowej lokalizacji. |
Aby uzyskać kompleksowe funkcje i wskazówki dotyczące zabezpieczeń maszyn wirtualnych, zobacz Omówienie zabezpieczeń usługi Azure Virtual Machines.
Zabezpieczenia kontenerów
| Usługa | opis |
|---|---|
| Usługa Microsoft Defender dla kontenerów | Ochrona środowiska uruchomieniowego, ocena luk w zabezpieczeniach i wykrywanie zagrożeń platformy Kubernetes w klastrach AKS, EKS, GKE i lokalnych. |
| Azure Container Registry | Zarządzany rejestr kontenerów ze skanowaniem luk w zabezpieczeniach, zaufaniem do zawartości (podpisywaniem obrazów), replikacją geograficzną i prywatnymi punktami końcowymi. |
| Zabezpieczenia usługi Azure Kubernetes Service (AKS) | Zarządzane Kubernetes z integracją z Microsoft Entra, kontrolą dostępu opartą na rolach Azure, zasadami sieciowymi, zabezpieczeniami zasobników i zarządzaniem tajemnicami. |
| Poufne kontenery w usłudze ACI | Ochrona TEE oparta na sprzęcie przy użyciu AMD SEV-SNP z weryfikowalnymi zasadami wykonywania i zdalną atestacją. |
| Kontrolowane wdrożenie Kubernetes | Kontrola dostępu uniemożliwia wdrażanie obrazów kontenerów naruszających reguły zabezpieczeń w trybie inspekcji lub odmowy. |
| Skanowanie obrazów kontenera | Ocena podatności bez potrzeby agenta dla obrazów kontenerów w rejestrach oraz kontenerów uruchamianych w klastrach AKS. |
Aby uzyskać kompleksowe wskazówki dotyczące zabezpieczeń kontenerów, zobacz Zabezpieczenia kontenerów w usłudze Microsoft Defender for Cloud.
Zabezpieczenia bazy danych
| Usługa | opis |
|---|---|
| Zabezpieczenia usługi Azure SQL Database | Kompleksowe zabezpieczenia dzięki izolacji sieciowej, uwierzytelniania firmy Microsoft Entra, szyfrowania TDE, funkcji Always Encrypted i inspekcji. |
| Usługa Microsoft Defender dla usługi SQL | Zaawansowana ochrona przed zagrożeniami wykrywającą wstrzyknięcie kodu SQL, ataki siłowe, nietypowe działania i luki w zabezpieczeniach. |
| Ocena luk w zabezpieczeniach SQL | Odnajduje, śledzi i pomaga skorygować luki w zabezpieczeniach bazy danych za pomocą praktycznych zaleceń dotyczących zabezpieczeń. |
| Zabezpieczenie na poziomie wiersza (RLS) | Ogranicza dostęp do wierszy na podstawie tożsamości użytkownika, roli lub kontekstu wykonywania na potrzeby szczegółowej kontroli dostępu do danych. |
| Dynamiczne maskowanie danych | Maskuje poufne dane użytkownikom niebędącym uprzywilejowanymi bez zmieniania danych bazowych, co zmniejsza ryzyko narażenia. |
| Rejestr usługi Azure SQL Database | Możliwości umożliwiające wykrycie naruszenia z niezmiennymi rekordami transakcji na potrzeby weryfikacji integralności danych i zgodności. |
| Zabezpieczenia usługi Azure Cosmos DB | Szyfrowanie danych w spoczynku i podczas transferu, izolacja sieci, RBAC (kontrola dostępu oparta na rolach) oraz rejestrowanie inspekcji dla obciążeń NoSQL i obciążeń wielomodelowych. |
Aby uzyskać kompleksową listę kontrolną zabezpieczeń bazy danych, zobacz Lista kontrolna zabezpieczeń bazy danych platformy Azure.
Zabezpieczenia usługi DevOps
| Usługa | opis |
|---|---|
| Usługa Microsoft Defender dla metodyki DevOps | Ujednolicone zabezpieczenia DevOps łączące usługi Azure DevOps i GitHub ze skanowaniem kodu, skanowaniem infrastruktury jako kodu (IaC) i wykrywaniem tajnych danych. |
| Integracja z zabezpieczeniami zaawansowanymi w usłudze GitHub | Śledzenie luk w zabezpieczeniach od kodu do chmury z priorytetyzacją kontekstu uruchomieniowego i automatycznym poprawianiem usterek, wspomaganym sztuczną inteligencją. |
| Skanowanie kontenerów w pipeline | Skanowanie luk w zabezpieczeniach kontenera bazujące na interfejsie wiersza poleceń podczas przepływów pracy ciągłej integracji/ciągłego wdrażania z informacją zwrotną w czasie rzeczywistym przed przesłaniem do rejestru. |
| Skanowanie luk w zabezpieczeniach zależności | Wykrywanie luk w zabezpieczeniach systemu operacyjnego i bibliotek z wykorzystaniem narzędzia Trivy w repozytoriach GitHub i Azure DevOps. |
Aby uzyskać najlepsze rozwiązania w zakresie zabezpieczeń metodyki DevOps, zobacz Zabezpieczenia metodyki DevOps w usłudze Defender for Cloud.
Monitorowanie i nadzór
| Usługa | opis |
|---|---|
| Azure Monitor | Kompleksowe monitorowanie za pomocą metryk, dzienników, obszarów roboczych Log Analytics, Application Insights, alertów i skoroszytów. |
| Azure Policy | Usługa zarządzania egzekwuje standardy organizacyjne z definicjami zasad, inicjatywami polityki, raportowaniem zgodności i automatyczną korektą. |
| Zgodność z przepisami usługi Microsoft Defender for Cloud | Wbudowane i niestandardowe oceny zgodności dostosowane do testu porównawczego zabezpieczeń w chmurze firmy Microsoft, ISO 27001, NIST, PCI DSS i innych standardów. |
| Dziennik aktywności platformy Azure | Rejestrowanie dzienników inspekcji na poziomie subskrypcji — operacje administracyjne, zdarzenia stanu usługi i zmiany zasobów z 90-dniowym okresem przechowywania. |
| Azure Update Manager | Ujednolicone zarządzanie aktualizacjami dla maszyn wirtualnych z systemami Windows i Linux na platformie Azure, lokalnie (on-premise) i w środowisku multicloud z zaplanowanym wdrażaniem poprawek i poprawkami w trakcie działania. |
| Azure Resource Graph | Szybkie wykonywanie zapytań między subskrypcjami w celu identyfikowania zasobów z określonymi konfiguracjami lub stanami zabezpieczeń na dużą skalę. |
| Microsoft Cost Management | Monitorowanie kosztów, budżety i wykrywanie anomalii w celu zidentyfikowania nieautoryzowanych wdrożeń zasobów, które mogą wskazywać na zdarzenia zabezpieczeń. |
Aby uzyskać szczegółowe możliwości zarządzania zabezpieczeniami i najlepsze rozwiązania, zobacz Omówienie zarządzania zabezpieczeniami i monitorowania na platformie Azure.
Kopia zapasowa i odzyskiwanie po awarii
| Usługa | opis |
|---|---|
| Azure Backup | Niezależne, izolowane kopie zapasowe bez kapitału własnego, ochroną przed oprogramowaniem ransomware, przywracalnym usuwaniem i przywracaniem międzyregionalnym. |
| Azure Site Recovery | Orkiestracja ciągłości działania i odzyskiwania po awarii (BCDR) w zakresie replikacji, przełączenia w tryb awaryjny i odzyskiwania do Azure lub drugorzędnej lokalizacji. |
Aby uzyskać kompleksowe wskazówki dotyczące tworzenia kopii zapasowych, zobacz dokumentację usługi Azure Backup.
Zabezpieczenia wdrożenia paaS
Aby uzyskać wskazówki dotyczące zabezpieczania wdrożeń typu "platforma jako usługa", w tym usług App Service, Azure Functions i kontenerów, zobacz Zabezpieczanie wdrożeń PaaS.
Następne kroki
- Kompleksowe zabezpieczenia na platformie Azure — kompleksowe omówienie architektury i możliwości zabezpieczeń platformy Azure
- Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure — kolekcja najlepszych rozwiązań w zakresie zabezpieczeń dla różnych scenariuszy
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — kompleksowe wskazówki dotyczące zabezpieczeń usług platformy Azure
- Wspólna odpowiedzialność w chmurze — zrozumienie obowiązków w zakresie zabezpieczeń dzielonych pomiędzy Tobą a Microsoftem