Metodtips för Azure Operational Security
Den här artikeln innehåller en uppsättning metodtips för att skydda dina data, program och andra tillgångar i Azure.
Metodtipsen baseras på konsensus och fungerar med aktuella funktioner och funktionsuppsättningar för Azure-plattformen. Åsikter och tekniker ändras med tiden och den här artikeln uppdateras regelbundet för att återspegla dessa ändringar.
Definiera och distribuera starka driftssäkerhetsmetoder
Azures driftsäkerhet avser de tjänster, kontroller och funktioner som är tillgängliga för användare för att skydda sina data, program och andra tillgångar i Azure. Azures driftsäkerhet bygger på ett ramverk som innehåller den kunskap som erhålls genom funktioner som är unika för Microsoft, inklusive SDL (Security Development Lifecycle), Microsoft Security Response Center-programmet och djup medvetenhet om cybersäkerhetshotlandskapet.
Framtvinga multifaktorverifiering för användare
Vi rekommenderar att du behöver tvåstegsverifiering för alla dina användare. Detta inkluderar administratörer och andra i din organisation som kan ha en betydande inverkan om deras konto komprometteras (till exempel ekonomiansvariga).
Det finns flera alternativ för att kräva tvåstegsverifiering. Det bästa alternativet för dig beror på dina mål, den Microsoft Entra-utgåva du kör och ditt licensieringsprogram. Se Så här kräver du tvåstegsverifiering för att en användare ska kunna fastställa det bästa alternativet för dig. Mer information om licenser och priser finns på prissättningssidorna för Microsoft Entra-ID och Microsoft Entra multifaktorautentisering .
Här följer alternativ och fördelar med att aktivera tvåstegsverifiering:
Alternativ 1: Aktivera MFA för alla användare och inloggningsmetoder med Microsoft Entra Security Defaults Benefit: Med det här alternativet kan du enkelt och snabbt framtvinga MFA för alla användare i din miljö med en strikt princip för att:
- Utmana administrativa konton och mekanismer för administrativ inloggning
- Kräv MFA-utmaning via Microsoft Authenticator för alla användare
- Begränsa äldre autentiseringsprotokoll.
Den här metoden är tillgänglig för alla licensnivåer men kan inte blandas med befintliga principer för villkorsstyrd åtkomst. Mer information finns i Microsoft Entra Security Defaults
Alternativ 2: Aktivera multifaktorautentisering genom att ändra användartillstånd.
Fördel: Det här är den traditionella metoden för att kräva tvåstegsverifiering. Det fungerar med både Microsoft Entra multifaktorautentisering i molnet och Azure Multi-Factor Authentication Server. Med den här metoden måste användarna utföra tvåstegsverifiering varje gång de loggar in och åsidosätter principer för villkorsstyrd åtkomst.
Information om var multifaktorautentisering måste aktiveras finns i Vilken version av Microsoft Entra multifaktorautentisering är rätt för min organisation?.
Alternativ 3: Aktivera multifaktorautentisering med principer för villkorsstyrd åtkomst. Förmån: Med det här alternativet kan du fråga efter tvåstegsverifiering under specifika villkor med hjälp av villkorsstyrd åtkomst. Specifika villkor kan vara användarinloggning från olika platser, ej betrodda enheter eller program som du anser vara riskfyllda. Genom att definiera specifika villkor där du behöver tvåstegsverifiering kan du undvika ständiga frågor till dina användare, vilket kan vara en obehaglig användarupplevelse.
Det här är det mest flexibla sättet att aktivera tvåstegsverifiering för dina användare. Aktivering av en princip för villkorsstyrd åtkomst fungerar endast för Microsoft Entra multifaktorautentisering i molnet och är en premiumfunktion i Microsoft Entra-ID. Mer information om den här metoden finns i Distribuera molnbaserad Microsoft Entra multifaktorautentisering.
Alternativ 4: Aktivera multifaktorautentisering med principer för villkorsstyrd åtkomst genom att utvärdera riskbaserade principer för villkorsstyrd åtkomst.
Förmån: Med det här alternativet kan du:
- Identifiera potentiella sårbarheter som påverkar organisationens identiteter.
- Konfigurera automatiserade svar på identifierade misstänkta åtgärder som är relaterade till organisationens identiteter.
- Undersök misstänkta incidenter och vidta lämpliga åtgärder för att lösa dem.
Den här metoden använder riskbedömningen för Microsoft Entra ID Protection för att avgöra om tvåstegsverifiering krävs baserat på användar- och inloggningsrisk för alla molnprogram. Den här metoden kräver Microsoft Entra ID P2-licensiering. Mer information om den här metoden finns i Microsoft Entra ID Protection.
Kommentar
Alternativ 2, som aktiverar multifaktorautentisering genom att ändra användartillståndet, åsidosätter principer för villkorsstyrd åtkomst. Eftersom alternativ 3 och 4 använder principer för villkorsstyrd åtkomst kan du inte använda alternativ 2 med dem.
Organisationer som inte lägger till extra lager av identitetsskydd, till exempel tvåstegsverifiering, är mer mottagliga för stöld av autentiseringsuppgifter. En stöld av autentiseringsuppgifter kan leda till dataintrång.
Hantera och övervaka användarlösenord
I följande tabell visas några metodtips för hantering av användarlösenord:
Bästa praxis: Se till att du har rätt nivå av lösenordsskydd i molnet.
Information: Följ riktlinjerna i Microsofts lösenordsvägledning, som är begränsad till användare av Microsofts identitetsplattform (Microsoft Entra-ID, Active Directory och Microsoft-konto).
Bästa praxis: Övervaka misstänkta åtgärder som rör dina användarkonton.
Information: Övervaka för användare med risk och riskfyllda inloggningar med hjälp av Microsoft Entra-säkerhetsrapporter.
Bästa praxis: Identifiera och åtgärda lösenord med hög risk automatiskt.
Information: Microsoft Entra ID Protection är en funktion i Microsoft Entra ID P2-utgåvan som gör att du kan:
- Identifiera potentiella sårbarheter som påverkar organisationens identiteter
- Konfigurera automatiserade svar på identifierade misstänkta åtgärder som är relaterade till organisationens identiteter
- Undersöka misstänkta incidenter och vidta lämpliga åtgärder för att lösa dem
Ta emot incidentmeddelanden från Microsoft
Se till att ditt säkerhetsteam tar emot Azure-incidentaviseringar från Microsoft. Ett incidentmeddelande gör att säkerhetsteamet vet att du har komprometterat Azure-resurser så att de snabbt kan svara på och åtgärda potentiella säkerhetsrisker.
I Azure-registreringsportalen kan du se till att administratörens kontaktinformation innehåller information som meddelar säkerhetsåtgärder. Kontaktinformation är en e-postadress och ett telefonnummer.
Organisera Azure-prenumerationer i hanteringsgrupper
Om din organisation har många prenumerationer kanske du behöver ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Azure-hanteringsgrupper tillhandahåller en omfattningsnivå som är högre än prenumerationerna. Du ordnar dina prenumerationer i behållare som kallas hanteringsgrupper och tillämpar styrningsvillkor på de olika hanteringsgrupperna. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas för hanteringsgruppen.
Du kan skapa en flexibel struktur för hanteringsgrupper och prenumerationer i en katalog. Varje katalog får en enda hanteringsgrupp på högsta nivån som kallas rothanteringsgruppen. Rothanteringsgruppen är inbyggd i hierarkin så att alla hanteringsgrupper och prenumerationer är dess underordnade element. Rothanteringsgruppen tillåter att globala principer och Azure-rolltilldelningar tillämpas på katalognivå.
Här följer några metodtips för att använda hanteringsgrupper:
Bästa praxis: Se till att nya prenumerationer tillämpar styrningselement som principer och behörigheter när de läggs till.
Information: Använd rothanteringsgruppen för att tilldela företagsomfattande säkerhetselement som gäller för alla Azure-tillgångar. Principer och behörigheter är exempel på element.
Bästa praxis: Justera de översta nivåerna för hanteringsgrupper med segmenteringsstrategi för att ge en punkt för kontroll och principkonsekvens inom varje segment.
Information: Skapa en enda hanteringsgrupp för varje segment under rothanteringsgruppen. Skapa inga andra hanteringsgrupper under roten.
Bästa praxis: Begränsa hanteringsgruppens djup för att undvika förvirring som hindrar både åtgärder och säkerhet.
Information: Begränsa hierarkin till tre nivåer, inklusive roten.
Bästa praxis: Välj noggrant vilka objekt som ska tillämpas på hela företaget med rothanteringsgruppen.
Information: Se till att rothanteringsgruppelementen har ett tydligt behov av att tillämpas på varje resurs och att de har låg påverkan.
Exempel på bra kandidater är:
- Regelkrav som har en tydlig inverkan på verksamheten (till exempel begränsningar som rör datasuveränitet)
- Krav med nästan noll potentiell negativ effekt på åtgärder, till exempel princip med granskningseffekt eller Azure RBAC-behörighetstilldelningar som har granskats noggrant
Bästa praxis: Planera och testa alla företagsomfattande ändringar i rothanteringsgruppen innan du tillämpar dem (princip, Azure RBAC-modell och så vidare).
Information: Ändringar i rothanteringsgruppen kan påverka varje resurs i Azure. Även om de är ett kraftfullt sätt att säkerställa konsekvens i hela företaget kan fel eller felaktig användning påverka produktionsåtgärderna negativt. Testa alla ändringar i rothanteringsgruppen i ett testlabb eller produktionstest.
Effektivisera skapandet av miljön med skisser
Azure Blueprints-tjänsten gör det möjligt för molnarkitekter och centrala informationsteknikgrupper att definiera en repeterbar uppsättning Azure-resurser som implementerar och följer en organisations standarder, mönster och krav. Azure Blueprints gör det möjligt för utvecklingsteam att snabbt bygga och skapa nya miljöer med en uppsättning inbyggda komponenter och förtroende för att de skapar dessa miljöer inom organisationens efterlevnad.
Övervaka lagringstjänster för oväntade ändringar i beteendet
Det kan vara mer komplext att diagnostisera och felsöka problem i ett distribuerat program som finns i en molnmiljö än i traditionella miljöer. Program kan distribueras i en PaaS- eller IaaS-infrastruktur, lokalt, på en mobil enhet eller i någon kombination av dessa miljöer. Programmets nätverkstrafik kan passera offentliga och privata nätverk och programmet kan använda flera lagringstekniker.
Du bör kontinuerligt övervaka de lagringstjänster som programmet använder för oväntade ändringar i beteendet (till exempel långsammare svarstider). Använd loggning för att samla in mer detaljerade data och analysera ett problem på djupet. Diagnostikinformationen som du får från både övervakning och loggning hjälper dig att fastställa rotorsaken till det problem som programmet påträffade. Sedan kan du felsöka problemet och fastställa lämpliga steg för att åtgärda det.
Azure Lagringsanalys utför loggning och tillhandahåller måttdata för ett Azure-lagringskonto. Vi rekommenderar att du använder dessa data för att spåra begäranden, analysera användningstrender och diagnostisera problem med ditt lagringskonto.
Förhindra, identifiera och svara på hot
Microsoft Defender för molnet hjälper dig att förhindra, identifiera och reagera på hot genom att ge ökad insyn i (och kontroll över) säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer, hjälper till att identifiera hot som annars skulle gå obemärkt förbi och fungerar med olika säkerhetslösningar.
Den kostnadsfria nivån för Defender för molnet erbjuder begränsad säkerhet för dina resurser i Azure samt Arc-aktiverade resurser utanför Azure. Enahanced-säkerhetsfunktionerna utökar dessa funktioner till att omfatta Hantering av hot och säkerhetsrisker, samt rapportering om regelefterlevnad. Defender för molnet Planer hjälper dig att hitta och åtgärda säkerhetsrisker, tillämpa åtkomst- och programkontroller för att blockera skadlig aktivitet, identifiera hot med hjälp av analys och intelligens och svara snabbt när de attackeras. Du kan prova Defender för molnet Standard utan kostnad under de första 30 dagarna. Vi rekommenderar att du aktiverar förbättrade säkerhetsfunktioner i dina Azure-prenumerationer i Defender för molnet.
Använd Defender för molnet för att få en central vy över säkerhetstillståndet för alla dina resurser i dina egna datacenter, Azure och andra moln. Kontrollera snabbt att lämpliga säkerhetskontroller är på plats och korrekt konfigurerade och identifiera snabbt de resurser som behöver åtgärdas.
Defender för molnet integreras också med Microsoft Defender för Endpoint, vilket ger omfattande funktioner för slutpunktsidentifiering och svar (EDR). Med Microsoft Defender för Endpoint integrering kan du upptäcka avvikelser och upptäcka sårbarheter. Du kan också identifiera och svara på avancerade attacker på serverslutpunkter som övervakas av Defender för molnet.
Nästan alla företagsorganisationer har ett SIEM-system (säkerhetsinformation och händelsehantering) som hjälper till att identifiera nya hot genom att konsolidera logginformation från olika signalinsamlingsenheter. Loggarna analyseras sedan av ett dataanalyssystem för att identifiera vad som är "intressant" från bruset som är oundvikligt i alla logginsamlings- och analyslösningar.
Microsoft Sentinel är en skalbar, molnbaserad siem-lösning (säkerhetsinformation och händelsehantering) och soar-lösning (security orchestration automated response). Microsoft Sentinel tillhandahåller intelligent säkerhetsanalys och hotinformation via aviseringsidentifiering, synlighet för hot, proaktiv jakt och automatiserat hotsvar.
Här följer några metodtips för att förebygga, identifiera och svara på hot:
Bästa praxis: Öka hastigheten och skalbarheten för din SIEM-lösning med hjälp av ett molnbaserat SIEM.
Information: Undersöka funktionerna i Microsoft Sentinel och jämför dem med funktionerna i det du använder lokalt. Överväg att använda Microsoft Sentinel om det uppfyller organisationens SIEM-krav.
Bästa praxis: Hitta de allvarligaste säkerhetsriskerna så att du kan prioritera undersökningen.
Information: Granska azure-säkerhetspoängen för att se rekommendationerna från Azure-principer och initiativ som är inbyggda i Microsoft Defender för molnet. De här rekommendationerna hjälper dig att hantera de största riskerna, till exempel säkerhetsuppdateringar, slutpunktsskydd, kryptering, säkerhetskonfigurationer, waf som saknas, internetanslutna virtuella datorer och många fler.
Med säkerhetspoängen, som baseras på CIS-kontroller (Center for Internet Security), kan du jämföra organisationens Azure-säkerhet mot externa källor. Extern validering hjälper dig att verifiera och utöka teamets säkerhetsstrategi.
Bästa praxis: Övervaka säkerhetsstatusen för datorer, nätverk, lagrings- och datatjänster och program för att identifiera och prioritera potentiella säkerhetsproblem.
Information: Följ säkerhetsrekommendationerna i Defender för molnet börjar med objekt med högst prioritet.
Bästa praxis: Integrera Defender för molnet-aviseringar i din SIEM-lösning (säkerhetsinformation och händelsehantering).
Information: De flesta organisationer med en SIEM använder det som ett centralt clearinghouse för säkerhetsaviseringar som kräver ett analytikersvar. Bearbetade händelser som produceras av Defender för molnet publiceras i Azure-aktivitetsloggen, en av loggarna som är tillgängliga via Azure Monitor. Azure Monitor erbjuder en konsoliderad pipeline för att dirigera någon av dina övervakningsdata till ett SIEM-verktyg. Mer information finns i Stream-aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning . Om du använder Microsoft Sentinel läser du Anslut Microsoft Defender för molnet.
Bästa praxis: Integrera Azure-loggar med din SIEM.
Information: Använd Azure Monitor för att samla in och exportera data. Den här metoden är viktig för att möjliggöra undersökning av säkerhetsincidenter och kvarhållningen av onlineloggar är begränsad. Om du använder Microsoft Sentinel läser du Anslut datakällor.
Bästa praxis: Påskynda dina undersöknings- och jaktprocesser och minska falska positiva identifieringar genom att integrera funktioner för slutpunktsidentifiering och svar (EDR) i din attackundersökning.
Information: Aktivera Microsoft Defender för Endpoint integrering via din Defender för molnet säkerhetsprincip. Överväg att använda Microsoft Sentinel för hotjakt och incidenthantering.
Övervaka scenariobaserad nätverksövervakning från slutpunkt till slutpunkt
Kunder skapar ett nätverk från slutpunkt till slutpunkt i Azure genom att kombinera nätverksresurser som ett virtuellt nätverk, ExpressRoute, Application Gateway och lastbalanserare. Övervakning är tillgänglig för var och en av nätverksresurserna.
Azure Network Watcher är en regional tjänst. Använd dess diagnostik- och visualiseringsverktyg för att övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure.
Följande är metodtips för nätverksövervakning och tillgängliga verktyg.
Bästa praxis: Automatisera fjärrnätverksövervakning med paketinsamling.
Information: Övervaka och diagnostisera nätverksproblem utan att logga in på dina virtuella datorer med hjälp av Network Watcher. Utlösa paketinsamling genom att ange aviseringar och få åtkomst till prestandainformation i realtid på paketnivå. När du ser ett problem kan du undersöka i detalj för att få bättre diagnoser.
Bästa praxis: Få insikt i nätverkstrafiken med hjälp av flödesloggar.
Information: Skapa en djupare förståelse av dina nätverkstrafikmönster med hjälp av flödesloggar för nätverkssäkerhetsgrupper. Information i flödesloggar hjälper dig att samla in data för efterlevnad, granskning och övervakning av nätverkssäkerhetsprofilen.
Bästa praxis: Diagnostisera PROBLEM med VPN-anslutning.
Information: Använd Network Watcher för att diagnostisera dina vanligaste VPN Gateway- och anslutningsproblem. Du kan inte bara identifiera problemet utan även använda detaljerade loggar för att undersöka saken ytterligare.
Säker distribution med hjälp av beprövade DevOps-verktyg
Använd följande Metodtips för DevOps för att säkerställa att ditt företag och team är produktiva och effektiva.
Bästa praxis: Automatisera bygget och distributionen av tjänster.
Information: Infrastruktur som kod är en uppsättning tekniker och metoder som hjälper IT-tekniker att ta bort den dagliga bygg- och hanteringen av modulär infrastruktur. Det gör det möjligt för IT-proffs att skapa och underhålla sin moderna servermiljö på ett sätt som liknar hur programvaruutvecklare skapar och underhåller programkod.
Du kan använda Azure Resource Manager för att etablera dina program med hjälp av en deklarativ mall. I samma mall kan du distribuera flera tjänster tillsammans med deras beroenden. Du använder samma mall för att upprepade gånger distribuera ditt program i varje steg i programmets livscykel.
Bästa praxis: Skapa och distribuera automatiskt till Azure-webbappar eller molntjänster.
Information: Du kan konfigurera dina Azure DevOps Projects för att automatiskt skapa och distribuera till Azure-webbappar eller molntjänster. Azure DevOps distribuerar binärfilerna automatiskt efter att ha gjort en version till Azure efter varje kodkontroll. Paketgenereringsprocessen motsvarar kommandot Package i Visual Studio och publiceringsstegen motsvarar kommandot Publicera i Visual Studio.
Bästa praxis: Automatisera versionshantering.
Information: Azure Pipelines är en lösning för att automatisera distribution i flera steg och hantera lanseringsprocessen. Skapa hanterade pipelines för kontinuerlig distribution för att frigöra snabbt, enkelt och ofta. Med Azure Pipelines kan du automatisera lanseringsprocessen och du kan ha fördefinierade arbetsflöden för godkännande. Distribuera lokalt och till molnet, utöka och anpassa efter behov.
Bästa praxis: Kontrollera appens prestanda innan du startar den eller distribuera uppdateringar till produktion.
Information: Kör molnbaserade belastningstester för att:
- Hitta prestandaproblem i din app.
- Förbättra distributionskvaliteten.
- Kontrollera att din app alltid är tillgänglig.
- Se till att din app kan hantera trafik för nästa start- eller marknadsföringskampanj.
Apache JMeter är ett kostnadsfritt, populärt öppen källkod verktyg med starkt communitystöd.
Bästa praxis: Övervaka programprestanda.
Information: Azure Application Insights är en utökningsbar tjänst för programprestandahantering (APM) för webbutvecklare på flera plattformar. Använd Application Insights för att övervaka ditt livewebbprogram. Den identifierar automatiskt prestandaavvikelser. Den innehåller analysverktyg som hjälper dig att diagnostisera problem och förstå vad användarna faktiskt gör med din app. Den hjälper dig att kontinuerligt förbättra prestanda och användbarhet.
Minimera och skydda mot DDoS
DDoS (Distributed Denial of Service) är en typ av attack som försöker tömma programresurser. Målet är att påverka programmets tillgänglighet och dess möjlighet att hantera legitima begäranden. Dessa attacker blir mer sofistikerade och större i storlek och effekt. De kan riktas mot valfri slutpunkt som kan nås offentligt via Internet.
Att utforma och skapa för DDoS-återhämtning kräver planering och utformning för en mängd olika fellägen. Här följer metodtips för att skapa DDoS-motståndskraftiga tjänster i Azure.
Bästa praxis: Se till att säkerhet är en prioritet under hela livscykeln för ett program, från design och implementering till distribution och drift. Program kan ha buggar som gör att en relativt låg mängd begäranden kan använda många resurser, vilket resulterar i ett avbrott i tjänsten.
Information: För att skydda en tjänst som körs på Microsoft Azure bör du ha en god förståelse för din programarkitektur och fokusera på de fem grundpelarna för programvarukvalitet. Du bör känna till vanliga trafikvolymer, anslutningsmodellen mellan programmet och andra program och de tjänstslutpunkter som exponeras för det offentliga Internet.
Att se till att ett program är tillräckligt motståndskraftigt för att hantera en denial of service som är riktad mot själva programmet är viktigast. Säkerhet och sekretess är inbyggda i Azure-plattformen, från och med SDL (Security Development Lifecycle). SDL hanterar säkerheten i varje utvecklingsfas och ser till att Azure uppdateras kontinuerligt för att göra det ännu säkrare.
Bästa praxis: Utforma dina program så att de kan skalas horisontellt för att möta efterfrågan på en förstärkt belastning, särskilt i händelse av en DDoS-attack. Om ditt program är beroende av en enda instans av en tjänst skapas en enskild felpunkt. Etablering av flera instanser gör systemet mer motståndskraftigt och mer skalbart.
Information: För Azure App Service väljer du en App Service-plan som erbjuder flera instanser.
För Azure Cloud Services konfigurerar du var och en av dina roller så att de använder flera instanser.
För virtuella Azure-datorer kontrollerar du att din VM-arkitektur innehåller fler än en virtuell dator och att varje virtuell dator ingår i en tillgänglighetsuppsättning. Vi rekommenderar att du använder VM-skalningsuppsättningar för funktioner för automatisk skalning.
Bästa praxis: Skiktning av säkerhetsskydd i ett program minskar risken för en lyckad attack. Implementera säker design för dina program med hjälp av de inbyggda funktionerna i Azure-plattformen.
Information: Risken för angrepp ökar med programmets storlek (yta). Du kan minska ytan genom att använda en godkännandelista för att stänga det exponerade IP-adressutrymmet och lyssnande portar som inte behövs på lastbalanserarna (Azure Load Balancer och Azure Application Gateway).
Nätverkssäkerhetsgrupper är ett annat sätt att minska attackytan. Du kan använda tjänsttaggar och programsäkerhetsgrupper för att minimera komplexiteten för att skapa säkerhetsregler och konfigurera nätverkssäkerhet, som ett naturligt tillägg för ett programs struktur.
Du bör distribuera Azure-tjänster i ett virtuellt nätverk när det är möjligt. Med den här metoden kan tjänstresurser kommunicera via privata IP-adresser. Azure-tjänsttrafik från ett virtuellt nätverk använder offentliga IP-adresser som käll-IP-adresser som standard.
Med tjänstslutpunkter växlar tjänsttrafik till att använda privata adresser för virtuella nätverk som källans IP-adresser när de kommer åt Azure-tjänsten från ett virtuellt nätverk.
Vi ser ofta kundernas lokala resurser attackeras tillsammans med deras resurser i Azure. Om du ansluter en lokal miljö till Azure minimerar du exponeringen av lokala resurser för det offentliga Internet.
Azure har två DDoS-tjänsterbjudanden som skyddar mot nätverksattacker:
- Grundläggande skydd är integrerat i Azure som standard utan extra kostnad. Skalan och kapaciteten i det globalt distribuerade Azure-nätverket ger skydd mot vanliga attacker på nätverksnivå genom alltid aktiv trafikövervakning och riskreducering i realtid. Basic kräver ingen användarkonfiguration eller programändringar och hjälper till att skydda alla Azure-tjänster, inklusive PaaS-tjänster som Azure DNS.
- Standardskydd ger avancerade DDoS-minskningsfunktioner mot nätverksattacker. Den justeras automatiskt för att skydda dina specifika Azure-resurser. Skydd är enkelt att aktivera när virtuella nätverk skapas. Det kan också göras efter skapandet och kräver inga program- eller resursändringar.
Aktivera Azure Policy
Azure Policy är en tjänst i Azure som du använder för att skapa, tilldela och hantera principer. Dessa principer tillämpar regler och effekter på dina resurser, så att dessa resurser följer företagets standarder och serviceavtal. Azure Policy gör detta genom att utvärdera resursernas kompatibilitet med hjälp av tilldelade principer.
Aktivera Azure Policy för att övervaka och framtvinga organisationens skriftliga princip. Detta säkerställer efterlevnad av företagets eller regelsäkerhetskraven genom att centralt hantera säkerhetsprinciper i dina hybridmolnarbetsbelastningar. Lär dig hur du skapar och hanterar principer för att framtvinga efterlevnad. Se Definitionsstrukturen för Azure Policy för en översikt över elementen i en princip.
Här följer några metodtips för säkerhet när du har antagit Azure Policy:
Bästa praxis: Principen stöder flera typer av effekter. Du kan läsa om dem i Azure Policy-definitionsstrukturen. Affärsåtgärder kan påverkas negativt av neka-effekten och reparationseffekten, så börja med granskningseffekten för att begränsa risken för negativ påverkan från principen.
Information: Starta principdistributioner i granskningsläge och gå sedan vidare för att neka eller åtgärda. Testa och granska resultatet av granskningseffekten innan du går över till att neka eller åtgärda.
Mer information finns i Skapa och hantera principer för att framtvinga efterlevnad.
Bästa praxis: Identifiera de roller som ansvarar för övervakning av principöverträdelser och se till att rätt reparationsåtgärder vidtas snabbt.
Information: Låt den tilldelade rollen övervaka efterlevnad via Azure Portal eller via kommandoraden.
Bästa praxis: Azure Policy är en teknisk representation av en organisations skriftliga principer. Mappa alla Azure Policy-definitioner till organisationsprinciper för att minska förvirringen och öka konsekvensen.
Information: Dokumentmappning i organisationens dokumentation eller i själva Azure Policy-definitionen genom att lägga till en referens till organisationsprincipen i principdefinitionen eller beskrivningen av initiativdefinitionen.
Övervaka Microsoft Entra-riskrapporter
De allra flesta säkerhetsöverträdelser sker när angripare får åtkomst till en miljö genom att stjäla en användares identitet. Det är ingen lätt uppgift att identifiera komprometterade identiteter. Microsoft Entra ID använder anpassningsbara maskininlärningsalgoritmer och heuristik för att identifiera misstänkta åtgärder som är relaterade till dina användarkonton. Varje identifierad misstänkt åtgärd lagras i en post som kallas riskidentifiering. Riskidentifieringar registreras i Microsoft Entra-säkerhetsrapporter. Mer information finns i rapporten om riskfyllda användare och säkerhetsrapporten för riskfyllda inloggningar.
Nästa steg
Se Metodtips och mönster för Säkerhet i Azure för mer metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.
Följande resurser är tillgängliga för att ge mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster:
- Azure Security Team-blogg – för uppdaterad information om det senaste i Azure Security
- Microsoft Security Response Center – där Microsofts säkerhetsrisker, inklusive problem med Azure, kan rapporteras eller via e-post till secure@microsoft.com