Azure 操作安全性最佳做法,創(chuàng)建azure免費(fèi)賬戶流程Azure 操作安全性最佳做法本文提供了用于保護(hù)Azure中的數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)的一系列操作最佳做法。最佳做法以觀點(diǎn)的共識(shí)以及Azure平臺(tái)功能和特性集為基礎(chǔ)。觀點(diǎn)和技術(shù)將隨著時(shí)間改變,本文會(huì)定期更新以反映這些更改。定義并部署強(qiáng)大的操作安全做法Azure操......
本文提供了用于保護(hù)Azure中的數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)的一系列操作最佳做法。
最佳做法以觀點(diǎn)的共識(shí)以及Azure平臺(tái)功能和特性集為基礎(chǔ)。觀點(diǎn)和技術(shù)將隨著時(shí)間改變,本文會(huì)定期更新以反映這些更改。
定義并部署強(qiáng)大的操作安全做法
Azure操作安全性是指用戶可用于在Azure中保護(hù)其數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)的服務(wù)、控件和功能。Azure操作安全性建立在一個(gè)框架上,該框架融合了通過(guò)Microsoft獨(dú)有的功能獲得的知識(shí),包括安全開(kāi)發(fā)生命周期(SDL)、Microsoft安全響應(yīng)中心計(jì)劃以及對(duì)網(wǎng)絡(luò)安全威脅形態(tài)的深刻認(rèn)識(shí)。
管理和監(jiān)視用戶密碼
下表列出了與管理用戶密碼相關(guān)的一些最佳做法:
最佳做法:確保你在云中具有適當(dāng)級(jí)別的密碼保護(hù)。
詳細(xì)信息:按照Microsoft密碼指南中的指南進(jìn)行操作,該指南的適用范圍是Microsoft標(biāo)識(shí)平臺(tái)(Azure Active Directory、Active Directory和Microsoft帳戶)的用戶。
最佳做法:監(jiān)視與用戶帳戶相關(guān)的可疑操作。
詳細(xì)信息:使用Azure AD安全報(bào)告監(jiān)視具有風(fēng)險(xiǎn)的用戶和有風(fēng)險(xiǎn)的登錄。
最佳做法:自動(dòng)檢測(cè)和修正高風(fēng)險(xiǎn)密碼。
詳細(xì)信息:Azure AD Identity Protection是Azure AD Premium P2版本的一項(xiàng)功能,它使你能夠:
檢測(cè)影響組織標(biāo)識(shí)的潛在漏洞
配置自動(dòng)響應(yīng),可檢測(cè)與組織標(biāo)識(shí)相關(guān)的可以操作
調(diào)查可疑事件,并采取適當(dāng)?shù)拇胧┻M(jìn)行解決
接收來(lái)自Microsoft的事件通知
確保你的安全運(yùn)營(yíng)團(tuán)隊(duì)接收來(lái)自Microsoft的Azure事件通知。事件通知讓你的安全團(tuán)隊(duì)知道你已經(jīng)破壞了某個(gè)Azure資源,目的是讓他們可以快速響應(yīng)并修正潛在的安全風(fēng)險(xiǎn)。
在Azure注冊(cè)門戶中,你可以確保管理員聯(lián)系信息包含用來(lái)進(jìn)行安全操作通知的詳細(xì)信息。聯(lián)系人詳細(xì)信息為電子郵件地址和電話號(hào)碼。
將Azure訂閱組織到管理組中
如果你的組織有多個(gè)訂閱,則可能需要一種方法來(lái)高效地管理這些訂閱的訪問(wèn)權(quán)限、策略和符合性。Azure管理組提供了高于訂閱的范圍級(jí)別。可將訂閱組織到名為“管理組”的容器中,并將治理?xiàng)l件應(yīng)用到管理組。管理組中的所有訂閱都將自動(dòng)繼承應(yīng)用于管理組的條件。
可以在目錄中構(gòu)建管理組和訂閱的靈活結(jié)構(gòu)。為每個(gè)目錄指定了一個(gè)稱為根管理組的頂級(jí)管理組。此根管理組內(nèi)置在層次結(jié)構(gòu)中,包含其所有下級(jí)管理組和訂閱。該根管理組允許在目錄級(jí)別應(yīng)用全局策略和Azure角色分配。
下面是管理組使用方面的一些最佳做法:
最佳做法:確保在添加新訂閱時(shí),它們會(huì)應(yīng)用治理元素,例如策略和權(quán)限。
詳細(xì)信息:使用根管理組分配適用于所有Azure資產(chǎn)的企業(yè)范圍的安全元素。策略和權(quán)限是元素的示例。
最佳做法:將頂級(jí)管理組與分段策略匹配,以便在每個(gè)段中實(shí)現(xiàn)控制和策略一致性。
詳細(xì)信息:在根管理組下為每個(gè)段創(chuàng)建一個(gè)管理組。請(qǐng)勿在根下創(chuàng)建其他任何管理組。
最佳做法:限制管理組深度,以避免出現(xiàn)影響操作和安全性的混亂。
詳細(xì)信息:將層次結(jié)構(gòu)限制為三個(gè)級(jí)別(包括根在內(nèi))。
最佳做法:使用根管理組,仔細(xì)選擇要應(yīng)用于整個(gè)企業(yè)的項(xiàng)。
詳細(xì)信息:確保根管理組元素清楚地需要跨每個(gè)資源應(yīng)用,并且不會(huì)對(duì)其造成影響。
典型的候選項(xiàng)包括:
具有明確業(yè)務(wù)影響的法規(guī)要求(例如,與數(shù)據(jù)主權(quán)相關(guān)的限制)
具有接近零的潛在負(fù)面影響操作的要求,例如已認(rèn)真查看的具有審核效果或Azure RBAC權(quán)限分配的策略
最佳做法:在將根管理組應(yīng)用于企業(yè)范圍內(nèi)的所有更改之前,將這些更改應(yīng)用(策略、Azure RBAC模型等)。
詳細(xì)信息:根管理組中的更改可能會(huì)影響Azure上的每個(gè)資源。盡管它們提供了一種強(qiáng)大的方法來(lái)確保整個(gè)企業(yè)中的一致性,但錯(cuò)誤或不正確的使用可能會(huì)對(duì)生產(chǎn)操作產(chǎn)生負(fù)面影響。請(qǐng)?jiān)跍y(cè)試實(shí)驗(yàn)室或生產(chǎn)試點(diǎn)中測(cè)試對(duì)根管理組的所有更改。
利用藍(lán)圖簡(jiǎn)化環(huán)境創(chuàng)建
Azure藍(lán)圖服務(wù)使云架構(gòu)師和中心信息技術(shù)小組能夠定義可實(shí)現(xiàn)并符合組織標(biāo)準(zhǔn)、模式和要求的一組可重復(fù)的azure資源。使用Azure藍(lán)圖,開(kāi)發(fā)團(tuán)隊(duì)可以快速生成新的環(huán)境并將其放在新的環(huán)境中,并提供一套內(nèi)置組件,并確保他們?cè)诮M織符合性中創(chuàng)建這些環(huán)境。
監(jiān)視存儲(chǔ)服務(wù)的意外行為更改
診斷和排查在云環(huán)境中托管的分布式應(yīng)用程序中的問(wèn)題可能會(huì)比在傳統(tǒng)環(huán)境中更復(fù)雜。應(yīng)用程序可以部署在PaaS或IaaS基礎(chǔ)結(jié)構(gòu)、本地、移動(dòng)設(shè)備,或這些環(huán)境的某種組合中。應(yīng)用程序的網(wǎng)絡(luò)流量可能會(huì)遍歷公用和專用網(wǎng)絡(luò),你的應(yīng)用程序可能使用多種存儲(chǔ)技術(shù)。
應(yīng)持續(xù)監(jiān)視應(yīng)用程序使用的存儲(chǔ)服務(wù)是否存在任何意外行為更改(如響應(yīng)時(shí)間變長(zhǎng))。若要收集更詳細(xì)的數(shù)據(jù)和深度分析問(wèn)題,請(qǐng)使用日志記錄。從監(jiān)視和日志記錄獲取的診斷信息將有助于確定應(yīng)用程序所遇到問(wèn)題的根本原因。然后,可以排查該問(wèn)題,并確定修正問(wèn)題的相應(yīng)步驟。
Azure存儲(chǔ)分析執(zhí)行日志記錄并為Azure存儲(chǔ)帳戶提供指標(biāo)數(shù)據(jù)。建議使用此數(shù)據(jù)跟蹤請(qǐng)求、分析使用情況趨勢(shì)以及診斷存儲(chǔ)帳戶的問(wèn)題。
防范、檢測(cè)和應(yīng)對(duì)威脅
Azure安全中心增強(qiáng)了對(duì)Azure資源安全的可見(jiàn)性和可控性,可幫助你預(yù)防、檢測(cè)和響應(yīng)威脅。它提供對(duì)Azure訂閱的集成安全監(jiān)視和策略管理,幫助檢測(cè)可能被忽略的威脅,且適用于各種安全解決方案。
安全中心的免費(fèi)層僅為Azure資源提供有限的安全性。標(biāo)準(zhǔn)層將這些功能擴(kuò)展到本地和其他云中。借助安全中心標(biāo)準(zhǔn)層,可以查找和修復(fù)安全漏洞、應(yīng)用訪問(wèn)控制和應(yīng)用程序控制來(lái)阻止惡意活動(dòng)、使用分析和智能功能檢測(cè)威脅,以及在受到攻擊時(shí)迅速做出響應(yīng)。可以嘗試安全中心標(biāo)準(zhǔn)版,頭60天免費(fèi)。建議將Azure訂閱升級(jí)到安全中心標(biāo)準(zhǔn)層。
使用安全中心,可以通過(guò)一個(gè)集中化視圖查看所有Azure資源的安全狀態(tài)。一眼就可驗(yàn)證適當(dāng)?shù)陌踩丶欠衽渲玫轿磺遗渲谜_,還可快速確認(rèn)任何需要注意的資源。
安全中心還集成了Microsoft Defender高級(jí)威脅防護(hù)(ATP),后者提供了完善的終結(jié)點(diǎn)檢測(cè)和響應(yīng)(EDR)功能。使用Microsoft Defender ATP集成可以查明異常。你還可以檢測(cè)和響應(yīng)安全中心所監(jiān)視的服務(wù)器終結(jié)點(diǎn)上出現(xiàn)的高級(jí)攻擊。
幾乎所有的企業(yè)組織都有一個(gè)安全信息和事件管理(SIEM)系統(tǒng),它可以整合來(lái)自不同信號(hào)收集設(shè)備的日志信息,因此可以識(shí)別新出現(xiàn)的威脅。然后,數(shù)據(jù)分析系統(tǒng)會(huì)分析日志,以幫助確定所有日志收集和分析解決方案中不可避免的噪音的有趣。
Azure Sentinel是一種可縮放的云本機(jī)、安全信息和事件管理(SIEM)和安全業(yè)務(wù)流程自動(dòng)響應(yīng)(之忠誠(chéng)度)解決方案。Azure Sentinel通過(guò)警報(bào)檢測(cè)、威脅可見(jiàn)性、主動(dòng)搜尋和自動(dòng)威脅響應(yīng)提供智能安全分析和威脅智能。
下面是一些用于預(yù)防、檢測(cè)和響應(yīng)威脅的最佳做法:
最佳做法:使用基于云的SIEM提高SIEM解決方案的速度和可伸縮性。
詳細(xì)信息:調(diào)查Azure Sentinel的特性和功能,并將其與你當(dāng)前在本地使用的功能進(jìn)行比較。如果符合組織的SIEM要求,請(qǐng)考慮采用Azure Sentinel。
最佳做法:找到最嚴(yán)重的安全漏洞,以便確定調(diào)查優(yōu)先級(jí)。
詳細(xì)信息:查看你的Azure安全評(píng)分,了解Azure安全中心內(nèi)置的Azure策略和計(jì)劃所產(chǎn)生的建議。這些建議有助于解決頂級(jí)風(fēng)險(xiǎn),例如安全更新、終結(jié)點(diǎn)保護(hù)、加密、安全配置、WAF缺失、VM連接到Internet等方面的風(fēng)險(xiǎn)。
基于Internet安全中心(CIS)控件的安全分?jǐn)?shù)使你能夠根據(jù)外部源來(lái)基準(zhǔn)組織的Azure安全性。外部驗(yàn)證有助于驗(yàn)證和豐富團(tuán)隊(duì)的安全策略。
最佳做法:監(jiān)視計(jì)算機(jī)、網(wǎng)絡(luò)、存儲(chǔ)和數(shù)據(jù)服務(wù)以及應(yīng)用程序的安全狀況,發(fā)現(xiàn)潛在的安全問(wèn)題并確定其優(yōu)先級(jí)。
詳細(xì)信息:按照安全中心的安全建議操作,并從優(yōu)先級(jí)最高的項(xiàng)開(kāi)始。
最佳做法:將安全中心警報(bào)集成到安全信息和事件管理(SIEM)解決方案中。
詳細(xì)信息:采用SIEM的大多數(shù)組織都使用它充當(dāng)一個(gè)中心交換所來(lái)處理需要分析師響應(yīng)的安全警報(bào)。安全中心生成的事件經(jīng)過(guò)處理后,將被發(fā)布到Azure活動(dòng)日志,這是Azure Monitor提供的可用日志之一。Azure Monitor提供了一個(gè)綜合管道,可將任何監(jiān)視數(shù)據(jù)路由到SIEM工具。有關(guān)說(shuō)明,請(qǐng)參閱將警報(bào)流式傳輸?shù)絊IEM、SOAR或IT服務(wù)管理解決方案。如果使用的是Azure Sentinel,請(qǐng)參閱連接Azure安全中心。
最佳做法:將Azure日志與你的SIEM集成。
詳細(xì)信息:使用Azure Monitor收集和導(dǎo)出數(shù)據(jù)。此做法對(duì)于啟用安全事件調(diào)查至關(guān)重要,而在線日志保留期是有限的。如果使用的是Azure Sentinel,請(qǐng)參閱連接數(shù)據(jù)源。
最佳做法:通過(guò)將終結(jié)點(diǎn)檢測(cè)和響應(yīng)(EDR)功能集成到攻擊調(diào)查中,加快調(diào)查和搜尋過(guò)程,并減少誤報(bào)。
詳細(xì)信息:通過(guò)安全中心安全策略為終結(jié)點(diǎn)集成啟用Microsoft Defender。考慮使用Azure Sentinel進(jìn)行威脅搜尋和事件響應(yīng)。
監(jiān)視基于端到端方案的網(wǎng)絡(luò)監(jiān)視
客戶在Azure中通過(guò)合并虛擬網(wǎng)絡(luò)、ExpressRoute、應(yīng)用程序網(wǎng)關(guān)和負(fù)載均衡器等網(wǎng)絡(luò)資源來(lái)構(gòu)建端到端網(wǎng)絡(luò)。監(jiān)視適用于每個(gè)網(wǎng)絡(luò)資源。
Azure網(wǎng)絡(luò)觀察程序是一項(xiàng)區(qū)域性服務(wù)。其診斷和可視化工具可用于在網(wǎng)絡(luò)方案級(jí)別監(jiān)視和診斷Azure內(nèi)部以及傳入和傳出Azure的流量的狀態(tài)。
以下是網(wǎng)絡(luò)監(jiān)視和可用工具的最佳做法。
最佳做法:使用數(shù)據(jù)包捕獲實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的自動(dòng)化。
詳細(xì)信息:使用網(wǎng)絡(luò)觀察程序監(jiān)視和診斷網(wǎng)絡(luò)問(wèn)題,無(wú)需登錄VM。通過(guò)設(shè)置警報(bào)觸發(fā)數(shù)據(jù)包捕獲,并獲取數(shù)據(jù)包級(jí)別上的實(shí)時(shí)性能信息訪問(wèn)權(quán)限。如果遇到問(wèn)題,可進(jìn)行詳細(xì)調(diào)查,獲得更精確的診斷。
最佳做法:使用流日志深入了解網(wǎng)絡(luò)流量。
詳細(xì)信息:使用網(wǎng)絡(luò)安全組流日志更深入地了解網(wǎng)絡(luò)流量模式。流日志中的信息可幫助收集符合性數(shù)據(jù)、審核和監(jiān)視網(wǎng)絡(luò)安全配置文件。
最佳做法:診斷VPN連接問(wèn)題。
詳細(xì)信息:使用網(wǎng)絡(luò)觀察程序來(lái)診斷最常見(jiàn)的VPN網(wǎng)關(guān)和連接問(wèn)題。不僅可以確定問(wèn)題,還可以使用詳細(xì)日志進(jìn)一步調(diào)查。
使用經(jīng)驗(yàn)證的DevOps工具確保安全部署
使用以下DevOps最佳做法來(lái)確保企業(yè)和團(tuán)隊(duì)多產(chǎn)且高效。
最佳做法:自動(dòng)生成和部署服務(wù)。
詳細(xì)信息:基礎(chǔ)結(jié)構(gòu)即代碼是一組技術(shù)和實(shí)踐,使IT專業(yè)人員不再需要日復(fù)一日地生成和管理模塊化基礎(chǔ)結(jié)構(gòu)。使得IT專業(yè)人員生成和維護(hù)新式服務(wù)器環(huán)境的方式就像是軟件開(kāi)發(fā)人員生成和維護(hù)應(yīng)用程序代碼的方式。
Azure資源管理器允許用戶使用聲明性模板預(yù)配應(yīng)用程序。在單個(gè)模板中,可以部署多個(gè)服務(wù)及其依賴項(xiàng)。在應(yīng)用程序生命周期的每個(gè)階段,可使用相同模板重復(fù)部署應(yīng)用程序。
最佳做法:自動(dòng)生成并部署到Azure Web應(yīng)用或云服務(wù)。
詳細(xì)信息:可以將Azure DevOps Projects配置為自動(dòng)生成并部署到Azure web應(yīng)用或云服務(wù)。在每次代碼簽入后,azure DevOps會(huì)自動(dòng)部署二進(jìn)制文件。包生成過(guò)程與Visual Studio中的Package命令等效,而發(fā)布步驟與Visual Studio中的Publish命令等效。
最佳做法:自動(dòng)執(zhí)行發(fā)布管理。
詳細(xì)信息:Azure Pipelines是實(shí)現(xiàn)多階段部署和管理發(fā)布過(guò)程自動(dòng)化的解決方案。創(chuàng)建托管的持續(xù)部署管道,快速、輕松地頻繁發(fā)布。通過(guò)Azure Pipelines,可以使發(fā)布過(guò)程自動(dòng)化,還可以擁有預(yù)定義的批準(zhǔn)工作流。根據(jù)需要進(jìn)行本地部署和部署到云、擴(kuò)展和自定義。
最佳做法:在推出應(yīng)用或?qū)⒏虏渴鸬缴a(chǎn)環(huán)境之前,先檢查該應(yīng)用的性能。
詳細(xì)信息:運(yùn)行基于云的負(fù)載測(cè)試,以執(zhí)行以下操作:
在應(yīng)用中查找性能問(wèn)題。
提高部署質(zhì)量。
請(qǐng)確保應(yīng)用始終可用。
確保應(yīng)用可以處理下一次啟動(dòng)或市場(chǎng)營(yíng)銷活動(dòng)的流量。
Apache JMeter是一個(gè)功能強(qiáng)大的免費(fèi)開(kāi)源工具,具有強(qiáng)大的社區(qū)支持。
最佳做法:監(jiān)視應(yīng)用程序性能。
詳細(xì)信息:Azure Application Insights是多個(gè)平臺(tái)上面向Web開(kāi)發(fā)人員的可擴(kuò)展應(yīng)用程序性能管理(APM)服務(wù)。使用Application Insights來(lái)監(jiān)視實(shí)時(shí)Web應(yīng)用程序。它會(huì)自動(dòng)檢測(cè)性能異常。其中包含分析工具來(lái)幫助診斷問(wèn)題,了解用戶在應(yīng)用中實(shí)際執(zhí)行了哪些操作。Application Insights有助于持續(xù)提高性能與可用性。
緩解和防范DDoS
分布式拒絕服務(wù)(DDoS)是企圖耗盡應(yīng)用程序資源的一種攻擊。其目的是影響應(yīng)用程序的可用性和處理合法請(qǐng)求的能力。這些攻擊正變得越來(lái)越復(fù)雜,且規(guī)模和影響程度越來(lái)越高。它們可能會(huì)將任何可通過(guò)Internet公開(kāi)訪問(wèn)的終結(jié)點(diǎn)作為目標(biāo)。
設(shè)計(jì)和構(gòu)建DDoS復(fù)原能力需要規(guī)劃和設(shè)計(jì)各種故障模式。下面是用于在Azure上構(gòu)建DDoS可復(fù)原服務(wù)的最佳做法。
最佳做法:確保優(yōu)先考慮從設(shè)計(jì)和實(shí)施到部署和操作的整個(gè)應(yīng)用程序生命周期的安全性。應(yīng)用程序可能包含bug,使相對(duì)較少的請(qǐng)求使用過(guò)多的資源,從而導(dǎo)致服務(wù)中斷。
詳細(xì)信息:為幫助保護(hù)Microsoft Azure上運(yùn)行的服務(wù),應(yīng)該對(duì)應(yīng)用程序體系結(jié)構(gòu)有充分的了解,并重點(diǎn)關(guān)注軟件質(zhì)量的五大要素。應(yīng)該清楚典型的流量大小、應(yīng)用程序與其他應(yīng)用程序之間的連接模型,以及向公共Internet公開(kāi)的服務(wù)終結(jié)點(diǎn)。
至關(guān)重要的一點(diǎn)是,確保應(yīng)用程序具有足夠的彈性,可應(yīng)對(duì)針對(duì)應(yīng)用程序本身的拒絕服務(wù)攻擊。從安全開(kāi)發(fā)生命周期(SDL)開(kāi)始,安全和隱私就已內(nèi)置到Azure平臺(tái)中。SDL可以解決每個(gè)開(kāi)發(fā)階段的安全性,并確保Azure不斷更新,以變得越來(lái)越安全。
最佳做法:采用可橫向縮放的應(yīng)用程序設(shè)計(jì),以滿足放大負(fù)載的需求,尤其是防范DDoS攻擊。如果應(yīng)用程序依賴于服務(wù)的單個(gè)實(shí)例,則會(huì)造成單一故障點(diǎn)。預(yù)配多個(gè)實(shí)例能夠提高復(fù)原能力和可伸縮性。
詳細(xì)信息:對(duì)于Azure應(yīng)用服務(wù),請(qǐng)選擇提供多個(gè)實(shí)例的應(yīng)用服務(wù)計(jì)劃。
對(duì)于Azure云服務(wù),請(qǐng)將每個(gè)角色配置為使用多個(gè)實(shí)例。
對(duì)于Azure虛擬機(jī),請(qǐng)確保VM體系結(jié)構(gòu)包含多個(gè)VM,并且每個(gè)VM包含在可用性集中。建議使用虛擬機(jī)規(guī)模集來(lái)實(shí)現(xiàn)自動(dòng)縮放功能。
最佳做法:應(yīng)用程序中的分層安全防御可以減少攻擊成功的可能性。使用Azure平臺(tái)的內(nèi)置功能對(duì)其應(yīng)用程序?qū)嵤┌踩O(shè)計(jì)。
詳細(xì)信息:攻擊風(fēng)險(xiǎn)會(huì)隨著應(yīng)用程序的規(guī)模(外圍應(yīng)用)的增大而增大。你可以通過(guò)使用審批列表來(lái)關(guān)閉公開(kāi)的IP地址空間,并將負(fù)載平衡器上不需要的偵聽(tīng)端口關(guān)閉(Azure負(fù)載平衡器和Azure應(yīng)用程序網(wǎng)關(guān)),從而減少外圍應(yīng)用。
網(wǎng)絡(luò)安全組是縮小受攻擊面的另一種方法。可以使用服務(wù)標(biāo)記和應(yīng)用程序安全組來(lái)最大程度地簡(jiǎn)化安全規(guī)則的創(chuàng)建,并將網(wǎng)絡(luò)安全性配置為應(yīng)用程序結(jié)構(gòu)的自然擴(kuò)展。
應(yīng)盡可能地在虛擬網(wǎng)絡(luò)中部署Azure服務(wù)。這種做法可讓服務(wù)資源通過(guò)專用IP地址通信。來(lái)自虛擬網(wǎng)絡(luò)的Azure服務(wù)流量默認(rèn)使用公共IP地址作為源IP地址。
使用服務(wù)終結(jié)點(diǎn)時(shí),服務(wù)流量會(huì)在通過(guò)虛擬網(wǎng)絡(luò)訪問(wèn)Azure服務(wù)時(shí)改用虛擬網(wǎng)絡(luò)專用地址作為源IP地址。
我們經(jīng)常看到,客戶本地資源會(huì)連同其在Azure中資源的一起受到攻擊。如果將本地環(huán)境連接到Azure,盡量不要在公共Internet上公開(kāi)本地資源。
Azure具有兩個(gè)DDoS服務(wù)產(chǎn)品,提供網(wǎng)絡(luò)攻擊防護(hù):
基本防護(hù)默認(rèn)已集成到Azure中,不收取額外的費(fèi)用。全球部署的Azure網(wǎng)絡(luò)的規(guī)模和容量通過(guò)始終開(kāi)啟的監(jiān)視和實(shí)時(shí)緩解措施,來(lái)防御公用網(wǎng)絡(luò)層攻擊。基本防護(hù)無(wú)需用戶配置或應(yīng)用程序更改,并幫助保護(hù)所有Azure服務(wù),包括Azure DNS等PaaS服務(wù)。
標(biāo)準(zhǔn)防護(hù)提供針對(duì)網(wǎng)絡(luò)攻擊的高級(jí)DDoS緩解功能。這些功能自動(dòng)經(jīng)過(guò)優(yōu)化,可保護(hù)特定的Azure資源。在創(chuàng)建虛擬網(wǎng)絡(luò)期間,可以輕松啟用保護(hù)。也可以在創(chuàng)建之后啟用它,而不需要對(duì)應(yīng)用程序或資源做出任何更改。
啟用Azure Policy
Azure Policy是Azure中的一項(xiàng)服務(wù),用于創(chuàng)建、分配和管理策略。這些策略將在整個(gè)資源中強(qiáng)制實(shí)施規(guī)則和效果,使這些資源符合公司標(biāo)準(zhǔn)和服務(wù)級(jí)別協(xié)議。Azure Policy通過(guò)評(píng)估資源是否符合指定策略來(lái)滿足此需求。
啟用Azure策略來(lái)監(jiān)視和強(qiáng)制實(shí)施組織的書面政策。這樣就可以集中管理混合云工作負(fù)荷中的安全策略,確保符合公司或法規(guī)安全要求。了解如何創(chuàng)建和管理策略以強(qiáng)制實(shí)施合規(guī)性。有關(guān)策略元素的概述,請(qǐng)參閱Azure Policy定義結(jié)構(gòu)。
下面是在采用Azure Policy后要遵循的一些安全性最佳做法:
最佳做法:Azure Policy支持多種類型的效果。可以在Azure Policy定義結(jié)構(gòu)中了解相關(guān)信息。拒絕效果和修正效果可能會(huì)給業(yè)務(wù)運(yùn)營(yíng)帶來(lái)負(fù)面影響,因此請(qǐng)從審核效果開(kāi)始以限制策略帶來(lái)的負(fù)面影響風(fēng)險(xiǎn)。
詳細(xì)信息:以審核模式開(kāi)始策略部署,然后推進(jìn)到拒絕或修正。在推進(jìn)到拒絕或修正之前,請(qǐng)測(cè)試并查看審核效果的結(jié)果。
有關(guān)詳細(xì)信息,請(qǐng)參閱創(chuàng)建和管理策略以強(qiáng)制實(shí)施符合性。
最佳做法:確定負(fù)責(zé)監(jiān)視策略違規(guī)的角色,并確保快速執(zhí)行正確的修正操作。
詳細(xì)信息:讓已分配的角色通過(guò)Azure門戶或命令行來(lái)監(jiān)視符合性。
最佳做法:Azure Policy是組織的書面策略的技術(shù)表示形式。將所有Azure策略定義映射到組織策略,以減少混亂并增強(qiáng)一致性。
詳細(xì)信息:通過(guò)在策略定義或計(jì)劃定義說(shuō)明中添加對(duì)組織策略的引用,在組織的文檔中或Azure Policy定義本身中記錄映射。
監(jiān)視Azure AD風(fēng)險(xiǎn)報(bào)告
大多數(shù)安全違規(guī)出現(xiàn)在當(dāng)攻擊者通過(guò)竊取用戶的標(biāo)識(shí)來(lái)獲取環(huán)境的訪問(wèn)權(quán)限時(shí)。發(fā)現(xiàn)標(biāo)識(shí)是否遭到入侵并不容易。Azure AD使用自適應(yīng)機(jī)器學(xué)習(xí)算法和試探法來(lái)檢測(cè)與用戶帳戶相關(guān)的可疑操作。每個(gè)檢測(cè)到的可疑操作都存儲(chǔ)在稱為風(fēng)險(xiǎn)檢測(cè)的記錄中。風(fēng)險(xiǎn)檢測(cè)記錄在Azure AD安全報(bào)表中。有關(guān)詳細(xì)信息,請(qǐng)參閱風(fēng)險(xiǎn)安全報(bào)表中的用戶和有風(fēng)險(xiǎn)的登錄安全報(bào)告。
特別聲明:以上文章內(nèi)容僅代表作者本人觀點(diǎn),不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號(hào)密碼登錄
平臺(tái)顧問(wèn)
微信掃一掃
馬上聯(lián)系在線顧問(wèn)
小程序
ESG跨境小程序
手機(jī)入駐更便捷
返回頂部