Azure安全性你了解多少,azure中國購買模式

Azure安全性你了解多少

Windows Azure是微軟基于云計算的操作系統(tǒng)，后更名為“Microsoft Azure”，和Azure Services Platform一樣，是微軟“軟件和服務(wù)”技術(shù)的名稱。Windows Azure的主要目標是為開發(fā)者提供一個平臺，幫助開發(fā)可運行在云服務(wù)器、數(shù)據(jù)中心、Web和PC上的應(yīng)用程序。云計算的開發(fā)者能使用微軟全球數(shù)據(jù)中心的儲存、計算能力和網(wǎng)絡(luò)基礎(chǔ)服務(wù)。Azure服務(wù)平臺包括了以下主要組件：Windows Azure；Microsoft SQL數(shù)據(jù)庫服務(wù)，Microsoft.Net服務(wù)；用于分享、儲存和同步文件的Live服務(wù)；針對商業(yè)的Microsoft SharePoint和Microsoft Dynamics CRM服務(wù)。

Azure是一種靈活和支持互操作的平臺，它可以被用來創(chuàng)建云中運行的應(yīng)用或者通過基于云的特性來加強現(xiàn)有應(yīng)用。它開放式的架構(gòu)給開發(fā)者提供了Web應(yīng)用、互聯(lián)設(shè)備的應(yīng)用、個人電腦、服務(wù)器、或者提供最優(yōu)在線復(fù)雜解決方案的選擇。Windows Azure以云技術(shù)為核心，提供了軟件+服務(wù)的計算方法。它是Azure服務(wù)平臺的基礎(chǔ)。Azure能夠?qū)⑻幱谠贫说拈_發(fā)者個人能力，同微軟全球數(shù)據(jù)中心網(wǎng)絡(luò)托管的服務(wù)，比如存儲、計算和網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)，緊密結(jié)合起來。

不管性能如何，必定安全性才是最重要的。

現(xiàn)在談?wù)凙zure的安全建議，毋庸置疑，Azure的安全性非常復(fù)雜。

首先，云基礎(chǔ)設(shè)施是復(fù)雜的，所以如果你不能一次性理解所有內(nèi)容，也不要太擔心。

Azure的基本網(wǎng)絡(luò)防御和技術(shù)

Azure有很多網(wǎng)絡(luò)防御方法，下面是一些你必須了解的防御技術(shù)，我建議你先了解這些：

虛擬網(wǎng)絡(luò)；

網(wǎng)絡(luò)安全組；

服務(wù)端點；

Azure專用鏈接；

Web應(yīng)用程序防火墻；

Azure堡壘；

Azure防火墻；

Azure安全中心；

Azure Sentinel；

DDoS保護；

……

接下來，你需要了解各種應(yīng)用層防御/技術(shù)，比如:

Azure Active Directory；

設(shè)置多因素身份驗證；

Azure AD特權(quán)身份管理；

服務(wù)主體和托管身份；

應(yīng)用程序網(wǎng)關(guān)；

應(yīng)用程序安全組(它們與NSGs相關(guān)聯(lián))；

特定于應(yīng)用程序的“防火墻”(如;SQL Server,CosmosDB等)；

密鑰庫；

RBAC；

Azure策略和計劃；

OAuth 2和OpenID Connect；

特定于應(yīng)用程序的靜態(tài)數(shù)據(jù)加密，例如用于存儲帳戶；

……

合規(guī)性

另一個與安全相關(guān)的重要主題是合規(guī)性，因為我知道安全性是建立在合規(guī)性上。

構(gòu)建

既然你已經(jīng)對Azure中與安全相關(guān)的核心工具和技術(shù)有了基本的了解，那么現(xiàn)在就該創(chuàng)建一些東西了。你決定創(chuàng)造什么取決于你，但我首先要說的是:

1.在同一個虛擬機網(wǎng)絡(luò)中創(chuàng)建兩個虛擬機，但是使用不同的子網(wǎng)，試著把一個虛擬機和另一個虛擬機連接起來。

2.使用相同的VM，將一個NSG添加到一個子網(wǎng)中，該子網(wǎng)將阻止所有與其他VM的IP地址之間的通信。你可以從另一臺虛擬機ping一個虛擬機嗎？

3.在不同的VNet中創(chuàng)建兩個VM，嘗試ping它們，是否可行？

4.加密其中一個虛擬機的硬盤驅(qū)動器，你將需要創(chuàng)建一個密鑰庫來完成此任務(wù)；

5.查看與VM關(guān)聯(lián)的NSG，在Azure安全中心中啟用對VM的即時（JIT）訪問，看看會發(fā)生什么？

6.創(chuàng)建一個密鑰庫，添加一個密鑰并從Azure函數(shù)中提取密鑰。這非常復(fù)雜，需要向函數(shù)添加托管身份，或者在與密鑰庫相同的VNet中運行該函數(shù)。

7.如果在上面的示例中使用了托管身份，請確保你為密鑰保險庫分配了最小特權(quán)訪問權(quán)限（只對秘鑰有讀取訪問權(quán)限，而沒有其他權(quán)限）；

8.使用非常具體的操作創(chuàng)建自定義角色；

9.在存儲帳戶中創(chuàng)建一個blob，嘗試各種授權(quán)策略，尤其是SAS令牌。

10.安裝Azure SQL并配置“始終加密”；

11.使用Azure Monitor查看誰在對你的訂閱執(zhí)行操作；

12.在某個事件類型上設(shè)置警報；

13.開放Azure安全中心，查看你的問題(紅色)，查看合規(guī)性問題(PCI等)；

14.修復(fù)ASC標記的內(nèi)容；

15.設(shè)置僅允許由硬件支持的Key Vault的策略，并創(chuàng)建非HSM KV（即，不允許Premium）。請記住，部署策略后可能需要30分鐘才能生效。具體過程，請點此。

順便說一下，我經(jīng)常使用一個名為rgdevsandbox的資源組，這樣我就可以在完成任務(wù)后將資源組刪除，不會留下任何東西。

了解了以上關(guān)于Azure的基本安全性后，是時候深入學(xué)習(xí)了。選擇一個產(chǎn)品，比如Azure SQL數(shù)據(jù)庫，學(xué)習(xí)關(guān)于該產(chǎn)品的安全性、可靠性、遵從性和隱私方面的所有知識。對于Azure SQL這樣的產(chǎn)品，安全性包括：

1.靜態(tài)數(shù)據(jù)的訪問策略；

2.用于靜態(tài)數(shù)據(jù)的加密(TDE，總是加密的，列加密)；

3.對線路上的數(shù)據(jù)進行加密(即TLS!)；

4.審計；

5.災(zāi)難恢復(fù)；

6.安全訪問連接字符串；

7.Azure AD與SQL身份驗證；

8.數(shù)據(jù)屏蔽（不是真正的安全性，但是還是有用的）；

9.威脅保護；

10.Azure SQL防火墻(注意小寫的f，因為它不是真正的‘F’irewal；

11.SQL注入問題和補救措施

使用AZ500認證

我知道有些人對認證持懷疑態(tài)度，但Azure認證并不容易，你可以在這里獲得更多關(guān)于認證的信息。總之，我希望這篇文章能幫助你從另外一個側(cè)面了解Azure的安全。

參考及來源：https://michaelhowardsecure.blog/2020/02/14/soyouwanttolearnazuresecurity/

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。