Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zabezpieczenia operacyjne platformy Azure odnoszą się do usług, mechanizmów kontroli i funkcji dostępnych dla użytkowników w celu ochrony danych, aplikacji i innych zasobów na platformie Microsoft Azure. Jest to struktura, która obejmuje wiedzę zdobytą za pośrednictwem różnych możliwości, które są unikatowe dla firmy Microsoft. Te możliwości obejmują cykl projektowania zabezpieczeń firmy Microsoft (SDL), program Microsoft Security Response Center oraz głęboką świadomość krajobrazu zagrożeń dla cyberbezpieczeństwa.
Usługi zarządzania platformą Azure
Zespół operacyjny IT jest odpowiedzialny za zarządzanie infrastrukturą centrum danych, aplikacjami i danymi, w tym stabilności i bezpieczeństwa tych systemów. Jednak uzyskanie szczegółowych informacji o zabezpieczeniach w coraz bardziej złożonych środowiskach IT często wymaga, aby organizacje łączyły dane z wielu systemów zabezpieczeń i zarządzania.
Dzienniki Microsoft Azure Monitor to oparte na chmurze rozwiązanie do zarządzania IT, które ułatwia zarządzanie infrastrukturą lokalną i chmurową oraz jej ochronę. Jej podstawowe funkcje są udostępniane przez następujące usługi, które działają na platformie Azure. Platforma Azure obejmuje wiele usług, które ułatwiają zarządzanie i ochronę infrastruktury lokalnej oraz chmurowej. Każda usługa udostępnia określoną funkcję zarządzania. Usługi można łączyć w celu osiągnięcia różnych scenariuszy zarządzania.
Azure Monitor
Usługa Azure Monitor zbiera dane ze źródeł zarządzanych do centralnych magazynów danych. Te dane mogą obejmować zdarzenia, dane wydajności lub dane niestandardowe udostępniane za pośrednictwem interfejsu API. Po zebraniu danych będą dostępne alerty, analiza i eksport.
Dane można konsolidować z różnych źródeł i łączyć dane z usług platformy Azure przy użyciu istniejącego środowiska lokalnego. Dzienniki usługi Azure Monitor wyraźnie oddzielają również zbieranie danych od akcji podjętej na tych danych, dzięki czemu wszystkie akcje są dostępne dla wszystkich rodzajów danych.
Automation
Usługa Azure Automation umożliwia zautomatyzowanie ręcznego, długotrwałego, podatnego na błędy i często powtarzanych zadań, które są często wykonywane w środowisku chmury i przedsiębiorstwa. Oszczędza czas i zwiększa niezawodność zadań administracyjnych. Planuje nawet automatyczne wykonywanie tych zadań w regularnych odstępach czasu. Można zautomatyzować procesy, używając runbooków, lub zautomatyzować zarządzanie konfiguracją, używając Desired State Configuration.
Backup
Azure Backup to usługa oparta na platformie Azure, której można użyć do tworzenia kopii zapasowych (lub ochrony) i przywracania danych w chmurze firmy Microsoft. Usługa Azure Backup zastępuje istniejące lokalne lub poza lokacją rozwiązanie do tworzenia kopii zapasowych za pomocą opartego na chmurze rozwiązania, które jest niezawodne, bezpieczne i konkurencyjne pod kosztami.
Usługa Azure Backup oferuje składniki pobierane i wdrażane na odpowiednim komputerze lub serwerze lub w chmurze. Wdrażany składnik lub agent zależy od tego, co ma być chronione. Wszystkie składniki usługi Azure Backup (niezależnie od tego, czy chronisz dane lokalnie, czy w chmurze), mogą służyć do tworzenia kopii zapasowych danych w magazynie usługi Azure Recovery Services na platformie Azure.
Aby uzyskać więcej informacji, zobacz tabelę Składników usługi Azure Backup.
Odzyskiwanie lokacji
Usługa Azure Site Recovery zapewnia ciągłość działalności biznesowej przez organizowanie replikacji lokalnych maszyn wirtualnych i fizycznych na platformę Azure lub do lokacji dodatkowej. Jeśli główne miejsce jest niedostępne, przełącz się na zapasową lokalizację, aby użytkownicy mogli nadal pracować. Przywracanie systemów po ich powrocie do sprawności działania. Użyj Microsoft Defender dla Chmury, aby przeprowadzić bardziej inteligentne i skuteczne wykrywanie zagrożeń.
Microsoft Entra ID
Microsoft Entra ID to kompleksowa usługa tożsamości, która:
- Umożliwia zarządzanie tożsamościami i dostępem (IAM) jako usługę w chmurze.
- Zapewnia centralne zarządzanie dostępem, logowanie jednokrotne i raportowanie.
- Obsługuje zintegrowane zarządzanie dostępem dla tysięcy aplikacji w witrynie Azure Marketplace, w tym salesforce, Google Apps, Box i Concur.
Identyfikator Entra firmy Microsoft obejmuje również pełny pakiet funkcji zarządzania tożsamościami, w tym następujące:
- Uwierzytelnianie wieloskładnikowe
- Samoobsługowe zarządzanie hasłami
- Samoobsługowe zarządzanie grupami
- Zarządzanie kontami uprzywilejowanych
- Kontrola dostępu na podstawie ról na platformie Azure (Azure RBAC)
- Monitorowanie użycia aplikacji
- Zaawansowane inspekcje
- Monitorowanie i alerty zabezpieczeń
Dzięki identyfikatorowi Entra firmy Microsoft wszystkie aplikacje publikowane dla partnerów i klientów (firmowych lub konsumenckich) mają te same możliwości zarządzania tożsamościami i dostępem. Dzięki temu można znacznie zmniejszyć koszty operacyjne.
Microsoft Defender dla Chmury
Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie dzięki zwiększonemu wglądowi (i kontroli nad zabezpieczeniami zasobów platformy Azure). Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji. Pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziałają z szerokim ekosystemem rozwiązań zabezpieczeń.
Zabezpieczanie danych maszyny wirtualnej na platformie Azure przez zapewnienie wglądu w ustawienia zabezpieczeń maszyny wirtualnej i monitorowanie zagrożeń. Defender dla Chmury może monitorować maszyny wirtualne pod kątem:
- Ustawienia zabezpieczeń systemu operacyjnego z zalecanymi regułami konfiguracji.
- Brak zabezpieczeń systemu i aktualizacji krytycznych.
- Zalecenia dotyczące ochrony punktu końcowego.
- Walidacja szyfrowania dysków.
- Ataki oparte na sieci.
Defender dla Chmury używa Kontrola dostępu oparta na rolach (RBAC) platformy Azure. Kontrola dostępu oparta na rolach platformy Azure udostępnia wbudowane role, które można przypisać użytkownikom, grupom i usługom w Azure.
Defender dla Chmury ocenia konfigurację zasobów w celu zidentyfikowania problemów z zabezpieczeniami i luk w zabezpieczeniach. W Defender dla Chmury zobaczysz informacje związane z zasobem tylko wtedy, gdy masz przypisaną rolę właściciela, współautora lub czytelnika dla subskrypcji lub grupy zasobów, do której należy zasób.
Uwaga
Aby dowiedzieć się więcej o rolach i dozwolonych akcjach w Defender dla Chmury, zobacz Uprawnienia w Microsoft Defender dla Chmury.
Defender dla Chmury używa programu Microsoft Monitoring Agent. Jest to ten sam agent, którego używa usługa Azure Monitor. Dane zebrane z tego agenta są przechowywane w istniejącym obszarze roboczym usługi Log Analytics skojarzonym z subskrypcją platformy Azure lub nowym obszarem roboczym, uwzględniając geolokalizację maszyny wirtualnej.
Azure Monitor
Problemy z wydajnością w aplikacji w chmurze mogą mieć wpływ na Twoją firmę. W przypadku wielu połączonych składników i częstych wydań degradacje mogą wystąpić w dowolnym momencie. Jeśli tworzysz aplikację, użytkownicy zwykle odnajdą problemy, których nie można znaleźć podczas testowania. Należy natychmiast wiedzieć o tych problemach i mieć narzędzia do diagnozowania i rozwiązywania problemów.
Usługa Azure Monitor to podstawowe narzędzie do monitorowania usług działających na platformie Azure. Zapewnia ona dane na poziomie infrastruktury dotyczące przepływności usługi i otaczającego środowiska. Jeśli zarządzasz wszystkimi aplikacjami na platformie Azure i decydujesz, czy skalować zasoby w górę czy w dół, usługa Azure Monitor jest miejscem do rozpoczęcia.
Możesz również użyć danych monitorowania, aby uzyskać szczegółowe informacje o aplikacji. Ta wiedza może pomóc zwiększyć wydajność aplikacji lub łatwość konserwacji lub zautomatyzować akcje, które w przeciwnym razie wymagają interwencji ręcznej.
Usługa Azure Monitor zawiera następujące składniki.
Dziennik aktywności platformy Azure
Dziennik aktywności platformy Azure zapewnia wgląd w operacje, które zostały wykonane na zasobach w ramach subskrypcji. Wcześniej był znany jako "Dziennik inspekcji" lub "Dziennik operacyjny", ponieważ raportuje zdarzenia w warstwie kontrolnej dla twoich subskrypcji.
Dzienniki diagnostyczne platformy Azure
Dzienniki diagnostyczne Azure są emitowane przez zasoby i dostarczają bogatych, często zbieranych danych o działaniu tych zasobów. Zawartość tych dzienników różni się w zależności od typu zasobu.
Dzienniki systemu zdarzeń systemu Windows są jedną z kategorii dzienników diagnostycznych dla maszyn wirtualnych. Dzienniki obiektów blob, tabel i kolejek to kategorie dzienników monitorowania dla kont magazynu.
Dzienniki diagnostyczne różnią się od dziennika aktywności. Dziennik aktywności zapewnia wgląd w operacje, które zostały wykonane na zasobach w ramach subskrypcji. Dzienniki diagnostyczne zapewniają wgląd w operacje, które zasób wykonywał samodzielnie.
Metryki
Usługa Azure Monitor udostępnia dane telemetryczne, które zapewniają wgląd w wydajność i kondycję obciążeń na platformie Azure. Najważniejszym typem danych telemetrycznych platformy Azure są metryki (nazywane również licznikami wydajności) emitowane przez większość zasobów platformy Azure. Usługa Azure Monitor udostępnia kilka sposobów konfigurowania i korzystania z tych metryk na potrzeby monitorowania i rozwiązywania problemów.
Diagnostyka Azure
Diagnostyka Azure umożliwia zbieranie danych diagnostycznych we wdrożonej aplikacji. Możesz użyć rozszerzenia Diagnostyka z różnych źródeł. Obecnie obsługiwane są role usługi w chmurze platformy Azure, maszyny wirtualne platformy Azure z systemem Microsoft Windows i usługą Azure Service Fabric.
Azure Network Watcher
Klienci tworzą kompleksową sieć na platformie Azure poprzez orkiestrację i komponowanie poszczególnych zasobów sieciowych, takich jak sieci wirtualne, Azure ExpressRoute, brama aplikacji Azure oraz moduły równoważenia obciążenia. Monitorowanie jest dostępne w każdym zasobie sieciowym.
Kompleksowa sieć może mieć złożone konfiguracje i interakcje między zasobami. Wynikiem są złożone scenariusze, które wymagają monitorowania opartego na scenariuszach za pośrednictwem usługi Azure Network Watcher.
Usługa Network Watcher upraszcza monitorowanie i diagnozowanie sieci platformy Azure. Za pomocą narzędzi diagnostycznych i wizualizacji w usłudze Network Watcher można wykonywać następujące czynności:
- Przeprowadź zdalne przechwytywanie pakietów na maszynie wirtualnej w Azure.
- Uzyskaj wgląd w ruch sieciowy przy użyciu dzienników przepływu.
- Diagnozowanie usługi Azure VPN Gateway i połączeń.
Usługa Network Watcher ma obecnie następujące możliwości:
- Topologia: zapewnia widok różnych połączeń i skojarzeń między zasobami sieciowymi w grupie zasobów.
- Przechwytywanie pakietów zmiennych: przechwytuje dane pakietów na maszynie wirtualnej i poza niej. Zaawansowane opcje filtrowania i precyzyjne sterowanie, takie jak możliwość określenia ograniczeń czasowych i rozmiarowych, zapewniają wszechstronność. Dane pakietu mogą być przechowywane w magazynie blob lub na dysku lokalnym w formacie .cap.
- Weryfikacja przepływu adresów IP: sprawdza, czy pakiet jest dozwolony lub blokowany na podstawie 5-krotkowych parametrów pakietów dla informacji o przepływie (docelowy adres IP, źródłowy adres IP, port docelowy, port źródłowy i protokół). Jeśli grupa zabezpieczeń odrzuca pakiet, zwracana jest reguła i grupa, która go odrzuciła.
- Następny skok: Określa kolejny skok dla pakietów kierowanych w sieci szkieletowej platformy Azure, dzięki czemu można zdiagnozować wszelkie błędnie skonfigurowane trasy zdefiniowane przez użytkownika.
- Widok grupy zabezpieczeń: pobiera obowiązujące i stosowane reguły zabezpieczeń stosowane na maszynie wirtualnej.
- Dzienniki przepływu dla sieciowych grup zabezpieczeń: umożliwiają przechwytywanie dzienników związanych z ruchem dozwolonym lub zablokowanym przez reguły zabezpieczeń w grupie. Przepływ jest definiowany przez 5 krotki: źródłowy adres IP, docelowy adres IP, port źródłowy, port docelowy i protokół.
- Rozwiązywanie problemów z bramą sieci wirtualnej i połączeniem: umożliwia rozwiązywanie problemów z bramami i połączeniami sieci wirtualnej.
- Limity subskrypcyjne sieci: umożliwia wyświetlanie użycia zasobów sieciowych w kontekście limitów.
- Dzienniki diagnostyczne: udostępnia jedno okienko umożliwiające włączanie lub wyłączanie dzienników diagnostycznych dla zasobów sieciowych w grupie zasobów.
Aby uzyskać więcej informacji, zobacz Konfigurowanie usługi Network Watcher.
Przezroczystość dostępu dostawcy usług w chmurze
Skrytka klienta dla platformy Microsoft Azure to usługa zintegrowana z portalem Azure, która zapewnia jawną kontrolę w rzadkim przypadku, gdy inżynier wsparcia technicznego firmy Microsoft może potrzebować dostępu do Twoich danych w celu rozwiązania problemu.
Istnieje bardzo niewiele wystąpień, takich jak debugowanie problemu z dostępem zdalnym, w którym inżynier pomoc techniczna firmy Microsoft wymaga podwyższonych uprawnień, aby rozwiązać ten problem. W takich przypadkach inżynierowie firmy Microsoft korzystają z usługi dostępu just in time, która zapewnia ograniczoną autoryzację czasową z dostępem ograniczonym do usługi.
Mimo że firma Microsoft zawsze uzyskała zgodę klienta na dostęp, blokada klienta umożliwia teraz przeglądanie i zatwierdzanie lub odrzucanie takich żądań z witryny Azure Portal. Inżynierowie pomocy technicznej firmy Microsoft nie otrzymają dostępu do momentu zatwierdzenia żądania.
Wdrożenia ustandaryzowane i zgodne
Usługa Azure Blueprints umożliwia architektom chmury i centralnym grupom technologii informatycznych definiowanie powtarzalnego zestawu zasobów platformy Azure, które implementują standardy, wzorce i wymagania organizacji oraz są zgodne z nimi.
Dzięki temu zespoły DevOps mogą szybko tworzyć nowe środowiska i ufać, że tworzą je za pomocą infrastruktury, która utrzymuje zgodność organizacji.
Strategie zapewniają deklaratywny sposób organizowania wdrażania różnych szablonów zasobów i innych artefaktów, takich jak:
- Przypisania ról
- Przypisania zasad
- Szablony usługi Azure Resource Manager
- Grupy zasobów
DevOps
Przed programowaniem aplikacji dla deweloperów (DevOps) zespoły odpowiedzialne były za gromadzenie wymagań biznesowych dotyczących programu programowego i pisanie kodu. Następnie oddzielny zespół QA przetestował program w izolowanym środowisku projektowym. Jeśli zostały spełnione wymagania, zespół QA wydał kod do wdrożenia operacji. Zespoły wdrożeniowe zostały dalej podzielone na grupy, takie jak sieć i baza danych. Za każdym razem, gdy program został przekazany do niezależnego zespołu, tworzył wąskie gardła.
Metodyka DevOps umożliwia zespołom szybsze i tańsze dostarczanie bezpieczniejszych rozwiązań o wyższej jakości. Klienci oczekują dynamicznego i niezawodnego środowiska podczas korzystania z oprogramowania i usług. Zespoły muszą szybko iterować aktualizacje oprogramowania i mierzyć wpływ aktualizacji. Muszą szybko reagować na nowe iteracji programistyczne, aby rozwiązać problemy lub zapewnić większą wartość.
Chmurowe platformy, takie jak Microsoft Azure, zlikwidowały tradycyjne wąskie gardła i pomogły w skomercjalizowaniu infrastruktury. Oprogramowanie panuje w każdej firmie jako kluczowy wyróżnik i czynnik w wynikach biznesowych. Żadna organizacja, deweloper lub pracownik IT nie może ani nie powinna unikać przenoszenia metodyki DevOps.
Dojrzali praktycy Metodyki DevOps przyjmują kilka z poniższych rozwiązań. Te rozwiązania obejmują osoby tworzące strategie oparte na scenariuszach biznesowych. Narzędzia mogą pomóc zautomatyzować różne rozwiązania.
- Techniki planowania agile i zarządzania projektami służą do planowania i izolowania pracy w sprintach, zarządzania pojemnością zespołu i szybkiego dostosowywania zespołów do zmieniających się potrzeb biznesowych.
- Kontrola wersji, zwykle z systemem Git, umożliwia zespołom znajdującym się w dowolnym miejscu na świecie współdzielenie kodu źródłowego i integrację z narzędziami do rozwijania oprogramowania w celu zautomatyzowania procesu wdrożenia.
- Ciągła integracja napędza ciągłe scalanie i testowanie kodu, co prowadzi do wczesnego znajdowania wad. Inne korzyści obejmują mniej czasu zmarnowanego na walkę z problemami scalania oraz szybki feedback dla zespołów programistycznych.
- Ciągłe dostarczanie rozwiązań oprogramowania do środowisk produkcyjnych i testowych ułatwia organizacjom szybkie naprawianie usterek i reagowanie na stale zmieniające się wymagania biznesowe.
- Monitorowanie uruchamiania aplikacji — w tym środowisk produkcyjnych na potrzeby kondycji aplikacji, a także użycia przez klientów — pomaga organizacjom tworzyć hipotezy i szybko weryfikować lub odrzucać strategie. Zaawansowane dane są przechwytywane i przechowywane w różnych formatach rejestrowania.
- Infrastruktura jako kod (IaC) to praktyka, która umożliwia automatyzację i walidację tworzenia i usuwania sieci i maszyn wirtualnych, aby ułatwić dostarczanie bezpiecznych, stabilnych platform hostingu aplikacji.
- Architektura mikrousług służy do izolowania przypadków użycia biznesowego do małych usług wielokrotnego użytku. Ta architektura umożliwia skalowalność i wydajność.
Następne kroki
Aby dowiedzieć się więcej o rozwiązaniu Zabezpieczenia i inspekcja, zobacz następujące artykuły: