Azure 中的端對端安全性
針對您的應用程式和服務使用 Azure 的最佳原因之一是可以利用它的各種安全性工具和功能。 這些工具和功能可協助您在安全的 Azure 平台上建立安全的解決方案。 Microsoft Azure 提供客戶資料的機密性、完整性和可用性,同時也能釐清責任。
以下圖表和文件介紹 Azure 中的安全性服務。 這些安全性服務協助您符合企業的安全性需求,保護雲端中的使用者、裝置、資源、資料和應用程式。
Microsoft 安全性服務地圖
安全性服務地圖依其保護的資源 (資料行) 組織服務。 圖表也會將服務分組為以下類別 (資料列):
- 保護安全 - 這些服務可讓您跨身分識別、主機、網路和資料,實作分層的深度防禦策略。 此集合的安全性服務和功能提供方法讓您了解並改善跨 Azure 環境的安全性態勢。
- 偵測威脅 – 識別可疑活動並協助降低威脅的服務。
- 調查和回應 – 提取記錄資料的服務,以便您可以評估可疑的活動並回應。
安全性控制措施和基準
Microsoft 雲端安全性基準包括一組高影響度的安全性建議,可用來協助保護您在 Azure 中使用的服務:
- 安全性控制 - 這些建議廣泛適用於您的 Azure 租用戶與 Azure 服務。 每項建議都會找出一組清單,列出通常與規劃、核准或基準實作相關的利害關係人。
- 服務基準 - 這些基準會對個別 Azure 服務套用控制,以針對該服務的安全性設定提供建議。
保護
| Service | 描述 |
|---|---|
| 適用於雲端的 Microsoft Defender | 統合的基礎結構安全性管理系統,可強化資料中心的安全性態勢,以及針對雲端 (無論是否在 Azure 中) 及內部部署的混合式工作負載提供先進的威脅防護。 |
| 身分識別與存取權管理 | |
| Microsoft Entra ID | Microsoft 的雲端式身分識別和存取管理服務。 |
| 條件式存取 (部分機器翻譯) 是 Microsoft Entra ID 用來將身分識別訊號結合在一起、進行決策以及強制執行組織原則的工具。 | |
| 網域服務 (部分機器翻譯) 是 Microsoft Entra ID 用來提供如網域加入、群組原則、輕量型目錄存取通訊協定 (LDAP) 和 Kerberos / NTLM 驗證等受控網域服務的工具。 | |
| Privileged Identity Management (PIM) (部分機器翻譯) 是一項 Microsoft Entra ID 服務,可讓您管理、控制和監視對組織內重要資源的存取。 | |
| 多重要素驗證 (部分機器翻譯) 是 Microsoft Entra ID 用來協助安全存取資料和應用程式的工具,方法是要求第二種形式的驗證。 | |
| Microsoft Entra ID Protection | 此工具允許組織自動偵測及補救以身分識別為基礎的風險、使用入口網站中的資料調查風險,然後將風險偵測資料匯出至第三方公用程式進行進一步的分析。 |
| 基礎結構與網路 | |
| VPN 閘道 | 虛擬網路閘道,透過公用網際網路在 Azure 虛擬網路與內部部署位置之間傳送加密流量時使用,以及透過 Microsoft 網路在 Azure 虛擬網路之間傳送加密流量時使用。 |
| Azure DDoS 保護 | 提供強化的 DDoS 風險降低功能,防禦 DDoS 攻擊。 其會自動調整,以保護您在虛擬網路中特定的 Azure 資源。 |
| Azure Front Door | 全球可調整的進入點,使用 Microsoft 全球邊緣網路建立快速、安全且可大規模調整的 Web 應用程式。 |
| Azure 防火牆 | 雲端原生且智慧型的網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 Azure 防火牆在三個 SKU 中提供:標準 (部分機器翻譯)、進階 (部分機器翻譯) 及基本。 |
| Azure Key Vault | 權杖、密碼、憑證、API 金鑰和其他秘密的安全秘密存放區。 Key Vault 也可用來建立和控制用來加密資料的加密金鑰。 |
| Key Vault 受控 HSM | 完全受控、高可用性、單一租用戶、符合標準的雲端服務,可讓您使用通過 FIPS 140-2 第 3 級驗證的 HSM,保護雲端應用程式的密碼編譯金鑰。 |
| Azure Private Link | 讓您透過虛擬網路中的私人端點,存取 Azure PaaS 服務 (例如 Azure 儲存體和 SQL Database) 和 Azure 裝載的客戶擁有/合作夥伴服務。 |
| Azure 應用程式閘道 | 先進的網路流量負載平衡器,可讓您管理 Web 應用程式的流量。 應用程式閘道可讓您根據 HTTP 要求的其他屬性 (例如 URI 路徑或主機標頭) 進行路由決策。 |
| Azure 服務匯流排 | 完全受控的企業訊息代理程式,具有訊息佇列和發佈-訂閱主題。 服務匯流排可用來將應用程式和服務彼此分離。 |
| Web 應用程式防火牆 | 集中保護 Web 應用程式,使其免於遭遇常見的攻擊和弱點。 WAF 可以透過 Azure 應用程式閘道和 Azure Front Door Service 進行部署。 |
| Azure 原則 | 有助於強制執行組織標準及大規模評估合規性。 其合規性儀表板會提供彙總檢視,以評估環境的整體狀態,並能夠向下切入至每個資源和每個原則的細微性。 也可透過對現有資源進行大規模補救,以及自動對新資源進行補救來協助您的資源達到合規性。 |
| 資料與應用程式 | |
| Azure 備份 | 提供簡單、安全且符合成本效益的解決方案,可備份您的資料,以及從 Microsoft Azure 雲端進行復原。 |
| Azure 儲存體服務加密 | 在儲存資料前自動加密資料,在擷取資料時自動將資料解密。 |
| Azure 資訊保護 | 雲端式解決方案,透過將標籤套用至內容的方式,使組織能夠探索、分類及保護文件和電子郵件。 |
| API 管理 | 為現有後端服務建立一致且現代化 API 閘道的方法。 |
| Azure 機密運算 \(英文\) | 可讓您在雲端處理敏感性資料時加以隔離。 |
| Azure DevOps | 將開發專案儲存在 Azure DevOps 可受益於多層安全性和治理技術、作業實務和合規性原則。 |
| 客戶存取 | |
| Microsoft Entra 外部 ID (部分機器翻譯) | 透過 Microsoft Entra ID 中的外部身分識別,您可允許組織外部的人員存取您的應用程式和資源,同時讓他們使用自己偏好的任何身分識別進行登入。 |
| 您可以透過 Microsoft Entra B2B (部分機器翻譯) 共同作業,與外部使用者共用應用程式和資源。 | |
| Azure AD B2C 可讓您每天支援數百萬個使用者和數十億個驗證,監視並自動處理威脅,例如拒絕服務、密碼噴灑或暴力密碼破解攻擊。 |
偵測威脅
| Service | 描述 |
|---|---|
| 適用於雲端的 Microsoft Defender | 可為您的 Azure 和混合式資源與工作負載帶來先進的智慧型保護。 在適用於雲端的 Defender 中,工作負載保護儀表板可以針對您的環境提供雲端工作負載保護功能的可見度和控制權。 |
| Microsoft Sentinel | 可調整且雲端原生的安全性資訊與事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。 Sentinel 提供整個企業的智慧型安全性分析和威脅情報,並針對警示偵測、威脅可見性、主動式搜捕及威脅回應提供單一解決方案。 |
| 身分識別與存取權管理 | |
| Microsoft Defender 全面偵測回應 (部分機器翻譯) | 統合的入侵前和入侵後企業防護套件,以原生方式協調端點、身分識別、電子郵件和應用程式之間的偵測、預防、調查和回應,提供整合式保護以防範複雜的攻擊。 |
| 適用於端點的 Microsoft Defender 是企業端點安全性平台,其設計目的是協助企業網路防範、偵測、調查及回應進階威脅。 | |
| 適用於身分識別的 Microsoft Defender 是雲端式安全性解決方案,運用您的內部部署 Active Directory 訊號,識別、偵測及協助調查在組織中偵測到的進階威脅、洩露身分以及惡意的內部動作。 | |
| Microsoft Entra ID Protection | 傳送兩種類型的自動化通知電子郵件,協助您管理使用者風險和風險偵測:偵測到使用者風險的電子郵件和每週摘要電子郵件。 |
| 基礎結構與網路 | |
| Azure 防火牆 | Azure 防火牆進階版提供簽章型入侵偵測和預防系統 (IDPS),可透過尋找特定模式來快速偵測攻擊,例如網路流量中的位元組序列,或惡意程式碼使用的已知惡意指示順序。 |
| 適用於 IoT 的 Microsoft Defender (部分機器翻譯) | 用於識別 IoT/OT 裝置、弱點和威脅的統合安全性解決方案。 可讓您保護整個 IoT/OT 環境,無論您是需要保護現有的 IoT/OT 裝置,還是要在新的 IoT 創新中建立安全性。 |
| Azure 網路監看員 | 提供工具以對 Azure 虛擬網路中的資源進行監視、診斷、檢視計量,以及啟用或停用記錄。 網路監看員旨在監視和修復 IaaS 產品的網路健康情況,包括虛擬機器、虛擬網路、應用程式閘道和負載平衡器。 |
| Azure 原則 | 有助於強制執行組織標準及大規模評估合規性。 Azure 原則使用活動記錄,這些活動記錄會自動啟用以包含事件來源、日期、使用者、時間戳記、來源位址、目的地位址,以及其他有用的項目。 |
| 資料與應用程式 | |
| 適用於容器的 Microsoft Defender (部分機器翻譯) | 用來保護您容器的雲端原生解決方案,以便改善、監視並維護叢集、容器及其應用程式的安全性。 |
| 適用於雲端應用程式的 Microsoft Defender | 雲端存取安全性代理程式 (CASB),可在多個雲端上運作。 其提供豐富的可見度、控制資料流向,以及進行精確的分析,藉此識別並對抗您所有雲端服務的網路威脅。 |
調查及回應
| Service | 描述 |
|---|---|
| Microsoft Sentinel | 功能強大的搜尋和查詢工具,可以在組織的資料來源中搜捕安全性威脅。 |
| Azure 監視器記錄和計量 (部分機器翻譯) | 提供全方位解決方案,以便收集、分析及處理來自雲端和內部部署環境的遙測資料。 Azure 監視器將來自各種來源的資料加以收集和彙總至通用資料平台,以便用於分析、視覺化和警示。 |
| 身分識別與存取權管理 | |
| Azure AD 報告和監視 (部分機器翻譯) | Microsoft Entra 報告 (部分機器翻譯) 可提供環境中活動的全面性檢視。 |
| Microsoft Entra 監視 (部分機器翻譯) 可讓您將 Microsoft Entra 活動記錄路由傳送至不同的端點。 | |
| Microsoft Entra PIM 稽核歷程記錄 (部分機器翻譯) | 顯示所有特殊權限角色在過去 30 天內的所有角色指派和活動。 |
| 資料與應用程式 | |
| 適用於雲端應用程式的 Microsoft Defender | 提供工具以深入了解您雲端環境的情況。 |
下一步
了解雲端的共同責任。
了解惡意和非惡意使用者在 Azure 雲端中的隔離選項。