Azure网络安全

安全分层方法

 

数据

几乎所有情况下，攻击者都会攻击以下数据：

• 存储在数据库中的数据
• 存储在虚拟机磁盘上的数据
• 存储在 Office 365 等 SaaS 应用程序上的数据
• 存储在云存储中的数据

存储数据和控制数据访问权限的人员有责任确保数据得到恰当保护。 通常情况下，存在相应法规要求，规定必须提供数据控制和处理方式，确保数据的保密性、完整性和可用性。

 

应用程序

• 确保应用程序安全且没有任何漏洞。
• 将敏感的应用程序机密存储在安全的存储介质中。
• 将安全性包含在所有应用程序开发的设计要求中。

将安全性融合到应用程序开发生命周期，有助于减少代码中出现的安全漏洞数量。 鼓励所有开发团队确保其应用程序在默认情况下处于安全状态，并且坚定不移地执行安全性要求。

 

计算

• 对虚拟机的安全访问。
• 实现终结点保护，修复系统并使其保持最新。

恶意软件、未修复的系统和保护不当的系统将使环境容易受到攻击。 此层的重点是确保计算资源安全，并设置适当的控制，以最大程度减少安全问题。

 

网络

• 限制资源之间的通信。
• 默认拒绝。
• 限制入站 Internet 访问并在适当的时候限制出站访问。
• 实现与本地网络的安全连接。

此层的重点是将所有资源的网络连接性限制为仅允许所需内容。 通过限制该通信，可降低整个网络中发生横向位移的风险。

 

外围

• 使用分布式拒绝服务 (DDoS) 保护可在攻击导致最终用户拒绝服务之前，先筛选大规模攻击。
• 使用外围防火墙可识别针对网络的恶意攻击，并发出警报。

在网络外围，其职责是防止针对资源的基于网络的攻击。 识别这些攻击，消除其影响并在攻击发生时发出警报是保持网络安全的重要方法。

 

标识和访问

• 控制对基础结构的访问权限并更改控制。
• 使用单一登录和多重身份验证。
• 审核事件和更改。

标识和访问层的职责是确保标识安全、所授予访问权限仅为所需权限以及记录更改。

 

物理安全性

• 以物理方式构建安全性和控制对数据中心内计算硬件的访问是第一道防线。

利用物理安全性，可针对资产访问提供物理安全保护。 这可确保不能绕过其他层，进而恰当处理丢失或盗取情况。

 

什么是 Azure Active Directory？

Azure AD 是一种基于云的标识服务。 它内置支持，可与现有本地 Active Directory 同步，也可单独使用。 这意味着所有应用程序，无论其位于本地、云中（包括 Office 365）还是移动设备中，都可共享同一凭证。 管理员和开发人员可以使用 Azure AD 中配置的集中式规则和策略来控制对内部和外部数据及应用程序的访问。

Azure AD 提供的服务包括：

• 身份验证。 这包括验证身份以访问应用程序和资源，以及提供自助密码重置、多重身份验证 (MFA)、自定义禁止密码列表和智能锁定服务等功能。
• 单一登录 (SSO)。 借助 SSO，用户只需记住一个 ID 和一个密码即可访问多个应用程序。 单个标识与用户关联，简化了安全模型。 当用户更改角色或离开组织时，访问权限修改仅与该标识关联，大大减少了更改或禁用帐户所需的工作量。
• 应用程序管理。 可以使用 Azure AD 应用程序代理、SSO、“我的应用”门户（也称为“访问”面板）和 SaaS 应用来管理云应用和本地应用。
• 企业到企业 (B2B) 标识服务。 管理来宾用户和外部合作伙伴，同时保持对自己公司数据的企业到客户 (B2C) 标识服务的控制。 自定义并控制将应用与服务配合使用时，用户注册、登录及管理其配置文件的方式。
• 设备管理。 管理云设备或本地设备访问企业数据的方式。

Azure Policy 是 Azure 中的一项服务，用于定义、分配和管理环境中的资源标准。 它可以防止创建不允许使用的资源，确保新资源应用特定设置，并对现有资源运行评估以扫描不合规的情况。