Microsoft Azure 安全基礎(chǔ)知識包括記錄對安全事件的響應(yīng)、使用標(biāo)識訪問管理工具、對用戶進行身份驗證、利用自動化工具、加密數(shù)據(jù)以及使用防火墻。

規(guī)劃和制定安全事件的策略

組織應(yīng)記錄他們在安全事件發(fā)生之前如何響應(yīng)這些事件，以及之后將如何恢復(fù)。這應(yīng)該在組織訂閱任何云安全服務(wù)之前完成。Microsoft Azure 建議組織采用業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù) （BCDR） 策略。Microsoft Azure 提供了可確保云環(huán)境安全的服務(wù)和建議的做法，并在恢復(fù)過程中提供幫助。

密碼策略實施是要求密碼具有一定復(fù)雜性和特定生命周期的做法。借助 Microsoft Azure 的 SQL Server，組織可以強制要求用戶的密碼符合這些預(yù)設(shè)要求。這使得黑客更難獲得或使用憑據(jù)。

Azure 備份是一項服務(wù)，允許組織備份整個虛擬機 （VM）、Azure 文件共享、SQL Server 數(shù)據(jù)庫和 SAP HANA 數(shù)據(jù)庫。如果由于環(huán)境因素或攻擊而從一個數(shù)據(jù)中心丟失數(shù)據(jù)，數(shù)據(jù)仍存在于其他地方以進行恢復(fù)。

Azure Site Recovery 是 BCDR 策略的主要貢獻者。當(dāng)由于 DDoS 攻擊或數(shù)據(jù)中心內(nèi)的問題而發(fā)生中斷時，Site Recovery 會使應(yīng)用和工作負(fù)載在未受影響的輔助位置運行。這是分布式云基礎(chǔ)架構(gòu)的一個示例。主位置再次開始運行后，它將再次接收工作負(fù)載。發(fā)生攻擊時，將站點恢復(fù)作為選項意味著組織的客戶不會看到服務(wù)中斷。

使用身份訪問管理和身份驗證工具

組織可以使用身份訪問管理 （IAM） 工具以及身份驗證和授權(quán)工具來確保用戶是他們聲稱的身份，并授予他們某些權(quán)限。用于此目的的 Microsoft Azure 服務(wù)包括 Azure 應(yīng)用服務(wù)、基于角色的訪問控制 （RBAC） 和通過 Microsoft 身份驗證器進行的多重身份驗證 （MFA）。

Azure 應(yīng)用服務(wù)具有內(nèi)置的身份驗證和授權(quán)支持，使用戶能夠從 Web 應(yīng)用、RESTful API、移動后端或 Azure 函數(shù)登錄和訪問數(shù)據(jù)，幾乎不需要代碼。此外，它還提供安全的身份驗證和授權(quán)實用程序，可用于聯(lián)合身份驗證、加密、JSON Web 令牌管理和授權(quán)類型。

RBAC 是根據(jù)最小特權(quán)原則執(zhí)行的常見做法。這個想法是向用戶（在本例中為員工）授予最低級別的訪問權(quán)限，以便他們有效地執(zhí)行其工作。RBAC 以可自定義的方式將角色分配給用戶。這些角色確定用戶的訪問級別，并作為策略強制執(zhí)行。

Azure Active Directory 是一種基于云的 IAM 和單點登錄 （SSO） 服務(wù)，適用于 Office 365 等 Microsoft 應(yīng)用程序。Azure Active Directory 中針對標(biāo)識和安全性提供的功能包括身份驗證、條件訪問、標(biāo)識治理、標(biāo)識保護、托管標(biāo)識、特權(quán)標(biāo)識管理以及報表和監(jiān)視。這有助于 Microsoft Azure 云安全，因為如果憑據(jù)被盜，對數(shù)據(jù)和云資源的訪問量將受到限制，并且風(fēng)險會降低。

監(jiān)控云環(huán)境

當(dāng)組織在其云環(huán)境中存在盲點時，它就缺乏正確保護自己的能力。一種良好的安全方法是使用能夠查看整個環(huán)境并報告其檢測到的內(nèi)容的服務(wù)。Microsoft Azure 的一些監(jiān)視服務(wù)是 Azure 安全中心和 Azure 應(yīng)用服務(wù)。

Azure 安全中心為云資源提供可見性和控制力，使組織能夠檢測和響應(yīng)威脅。此服務(wù)監(jiān)視云資源，并提供報告，建議管理部門可以采取哪些措施來解決任何異常情況。

Azure Monitor 提供對 Azure 基礎(chǔ)結(jié)構(gòu)和單個 Azure 資源中數(shù)據(jù)的可見性。

利用自動化實現(xiàn)安全的 Azure

組織應(yīng)該利用自動化工具來接管數(shù)據(jù)分析等困難且耗時的工作。

Microsoft Azure的許多安全服務(wù)都是自動化的，特別是那些專門用于監(jiān)控云環(huán)境和實施策略的服務(wù)。這方面的一個例子是應(yīng)用程序見解。

應(yīng)用程序見解是一項應(yīng)用程序性能管理服務(wù)。它可幫助開發(fā)人員監(jiān)視生產(chǎn)中的應(yīng)用程序，并立即報告彈出的性能異常。

使用加密和防火墻

網(wǎng)絡(luò)安全最基本的方面之一是使用加密和防火墻。借助 Microsoft Azure，組織有機會使用 Web 應(yīng)用程序防火墻、靜態(tài)和傳輸中加密以及 Azure 密鑰保管庫以及其他安全功能。

Microsoft Azure 的 Web 應(yīng)用程序防火墻 （WAF） 是其 Azure Application Gateway 的一部分。WAF 使用網(wǎng)關(guān)保護 Web 應(yīng)用程序，以實現(xiàn)應(yīng)用程序交付控制功能。由于 WAF 是基于云的，因此它是保護 Web 應(yīng)用程序的集中式方法。WAF 基于開放 Web 應(yīng)用程序安全項目 （OWASP） 制定的規(guī)則，并在新漏洞明顯時自動更新。

Azure 存儲能夠在數(shù)據(jù)處于靜態(tài)或傳輸過程中使用加密來保護數(shù)據(jù)。靜態(tài)數(shù)據(jù)是位于存儲中的數(shù)據(jù)，而傳輸中的數(shù)據(jù)是通過網(wǎng)絡(luò)連接發(fā)送的數(shù)據(jù)。這對組織很有幫助，因為它可以滿足始終加密數(shù)據(jù)的基本需求。

Azure 密鑰保管庫是一個硬件安全模塊 （HSM），用于存儲加密密鑰和關(guān)鍵機密。在這種情況下，秘密是組織想要嚴(yán)格控制訪問的任何數(shù)據(jù)。例如，密鑰可以是 API 密鑰、密碼或證書。Azure 密鑰保管庫使用的硬件已通過 FIPS 140-2 級別 2 設(shè)備標(biāo)準(zhǔn)的認(rèn)證。加密密鑰加密和解密數(shù)據(jù)，尤其是在發(fā)送或接收數(shù)據(jù)之后。通過擁有保留組織機密和密鑰的安全硬件，密鑰本身將受到保護。如果沒有受保護的密鑰，加密和身份驗證功能將變得無效，因為擁有加密密鑰的攻擊者可以輕松解密數(shù)據(jù)。

Azure 安全關(guān)鍵要點總結(jié)：

• 組織應(yīng)該有一個計劃來保護他們的云實例，并在受到攻擊時做出響應(yīng)。
• IAM 是緩解有意或無意操縱數(shù)據(jù)和云資源的關(guān)鍵。
• 可見性意味著減少安全系統(tǒng)中薄弱環(huán)節(jié)的一切。
• 自動化對于節(jié)省時間和提高安全實踐效率至關(guān)重要。
• 防火墻可防止黑客訪問數(shù)據(jù)存儲位置，而加密可防止黑客訪問數(shù)據(jù)本身。