MicrosoftAzure安全基础包括记录对安全事件的响应、使用身份访问管理工具、对用户进行身份验证、利用自动化工具、加密数据和使用防火墙。规划和制定安全事件策略组织应该记录他们如何在安全事件发生之前对其做出响应,以及他们将如何在事后恢复。这应该在组织订阅任何云安全服务之前完成。MicrosoftAzure建议组织采用业务连续性和灾难恢复(BCDR)策略。MicrosoftAzure提供服务和推荐做法来保护云环境并在恢复期间提供帮助。密码策略实施是要求密码具有一定的复杂性和特定的生命周期的做法。借助MicrosoftAzure中的SQLServer,组织可以强制用户密码符合这些预设要求。这使黑客更难获取或使用凭据。Azure备份服务允许组织备份整个虚拟机(VM)、Azure文件共享、SQLServer数据库和SAPHANA数据库。如果数据由于环境因素或攻击而从一个数据中心丢失,数据仍然存在于其他地方以供恢复。AzureSiteRecovery是BCDR策略的主要贡献者。当由于DDoS攻击或数据中心内的问题而发生中断时,SiteRecovery使应用程序和工作负载在不受影响的辅助位置运行。这是分布式云基础设施的一个例子。主要位置再次开始运行后,它将再次接收工作负载。在发生攻击时将站点恢复作为一个选项意味着该组织的客户不会看到服务中断。使用身份访问管理和身份验证工具组织可以使用身份访问管理(IAM)工具以及身份验证和授权工具来确保用户名副其实并授予他们某些权限。用于此目的的MicrosoftAzure服务包括AzureAppService、基于角色的访问控制(RBAC)和带有MicrosoftAuthenticator的多重身份验证(MFA)。AzureAppService内置了对身份验证和授权的支持,使用户能够登录并访问来自Web应用程序、RESTfulAPI、移动后端或AzureFunctions的数据,几乎不需要代码。此外,它还提供安全的身份验证和授权实用程序,可用于联合、加密、JSONWeb令牌管理和授权类型。RBAC是根据最小特权原则实施的常见做法。这个想法是授予用户(在本例中为员工)最低级别的访问权限,以便他们可以有效地执行工作。RBAC以可定制的方式为用户分配角色。这些角色决定了用户的访问级别并作为策略强制执行。AzureActiveDirectory是一种基于云的IAM和单点登录(SSO)服务,适用于Office365等Microsoft应用程序。AzureActiveDirectory中用于身份和安全的功能包括身份验证、条件访问、身份监管、身份保护、托管身份、特权身份管理以及报告和监控。这有助于MicrosoftAzure云安全,因为如果凭据被盗,对数据和云资源的访问将受到限制并降低风险。监控云环境当组织在其云环境中存在盲点时,它就缺乏适当保护自身的能力。一个好的安全方法是使用一种服务来查看您的整个环境并报告它检测到的内容。MicrosoftAzure的一些监控服务是Azure安全中心和Azure应用服务。Azure安全中心提供对云资源的可见性和控制,使组织能够检测和响应威胁。该服务监控云资源并提供报告,建议管理层采取措施解决任何异常情况。AzureMonitor提供对单个Azure资源中的Azure基础结构和数据的可见性。利用自动化实现安全性的Azure组织应该利用自动化工具来接管数据分析等困难且耗时的任务。MicrosoftAzure的许多安全服务都是自动化的,尤其是那些专门用于监控云环境和执行策略的服务。这方面的一个例子是ApplicationInsights。ApplicationInsights是一项应用程序性能管理服务。它帮助开发人员监控生产中的应用程序并立即报告弹出的性能异常。网络安全最基本的方面之一是使用加密和防火墙。借助MicrosoftAzure,组织有机会使用Web应用程序防火墙、静态和传输中加密、AzureKeyVault以及其他安全功能。MicrosoftAzure的Web应用程序防火墙(WAF)是其Azure应用程序网关的一部分。WAF使用网关来保护Web应用程序以实现应用程序交付控制功能。由于WAF是基于云的,因此它是一种保护Web应用程序的集中方法。WAF基于开放Web应用程序安全项目(OWASP)制定的规则,并会在新漏洞出现时自动更新。Azure存储可以使用加密来保护静态或传输中的数据。静态数据是驻留在存储中的数据,而传输中的数据是通过网络连接发送的数据。这对组织很有帮助,因为它满足了始终加密数据的基本需求。AzureKeyVault是一个硬件安全模块(HSM),用于存储加密密钥和密钥机密。在这种情况下,秘密是组织想要严格控制访问的任何数据。例如,密钥可以是API密钥、密码或证书。AzureKeyVault使用的硬件已通过FIPS140-22级设备标准认证。加密密钥加密和解密数据,尤其是在发送或接收数据之后。通过拥有保留组织秘密和密钥的安全硬件,密钥本身将受到保护。如果没有受保护的密钥,加密和身份验证功能将变得毫无用处,因为拥有加密密钥的攻击者可以轻松解密数据。Azure安全要点摘要:组织应该制定计划来保护其云实例并在发生攻击时做出响应。IAM是减少有意或无意操纵数据和云资源的关键。可见性意味着减少安全系统漏洞的一切。自动化对于节省时间和提高安全实践的效率至关重要。防火墙可防止黑客访问数据存储位置,而加密可防止黑客访问数据本身。
