Professional Documents
Culture Documents
Azure Security 20210209
Azure Security 20210209
基础知识文档
概述
Azure 安全性简介
云中责任分担
在 Azure 中保护工作负荷
安全技术功能
内置安全控件
Azure 平台和基础结构
基础结构安全性
物理安全性
可用性
组件和边界
网络体系结构
生产网络
SQL 数据库
操作
监视
完整性
数据保护
平台完整性和安全性
固件安全性
安全启动
度量启动和主机证明
Cerberus 项目
静态加密
虚拟机监控程序安全性
Azure 云中的隔离
身份管理
安全概述
最佳做法
安全清单
选择无密码
网络安全
安全概述
最佳做法
DDoS 防护最佳做法
DDoS 防护安全基线
无关联的 DNS 和子域接管
安全混合网络体系结构
IaaS 安全
Microsoft 反恶意软件
Microsoft Antimalware 代码示例
虚拟机安全性概述
最佳做法 - IaaS 工作负荷
Azure 市场映像
数据安全性、加密和存储
数据安全与加密
双重加密
TLS 证书更改
磁盘加密
最佳做法
静态数据加密
数据加密模型
适用于虚拟机的 Azure 磁盘加密
数据库安全
概述
最佳做法
安全清单
存储安全指南
客户密码箱
客户密码箱安全基线
应用程序
PaaS
适用于 PaaS 的 Azure 应用服务
适用于 PaaS 的 Azure 存储
适用于 PaaS 的 DB 最佳做法
Azure Service Fabric 安全
监视、审核和操作
威胁防护
Azure 日志记录和审核
安全管理和监视
增强远程管理
运营安全
概述
最佳做法
安全清单
资源
Azure 安全服务
安全性白皮书
最佳做法
网络安全咨询
记录安全事件支持票证
渗透测试
Azure 域
Azure 安全性简介
2021/2/9 • • Edit Online
概述
我们知道,安全是云中的首要任务,及时找到有关 Azure 安全性的准确信息极其重要。 将 Azure 用于应用程序和
服务的最合理原因之一是可以利用其各种安全工具和功能。 这些工具和功能可帮助在安全的 Azure 平台上创建
安全的解决方案。 Microsoft Azure 提供具备保密性、完整性和可用性的客户数据,同时还能实现透明的问责制。
Azure 平台
Azure 是一个公有云服务平台,支持极为广泛的操作系统、编程语言、框架、工具、数据库和设备选择。 它可运行
与 Docker 集成的 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 和 Node.js 生成应用;生成适用于 iOS 、
Android 和 Windows 设备的后端。
Azure 公有云服务支持数百万开发人员和 IT 专业人士已经有所依赖并信任的相同技术。 构建 IT 资产或将其迁移
到公有云服务提供商处时,需要借助该组织的能力来保护应用程序和数据,并使用该组织提供的服务和控制机制
来管理基于云的资产的安全性。
Azure 的基础结构(从设备到应用程序)经过设计,可同时托管数百万的客户,并为企业提供可靠的基础,使之能
够满足其安全要求。
此外,Azure 还提供广泛的可配置安全选项以及对这些选项进行控制的功能,方便用户自定义安全措施来满足组
织部署的独特要求。 本文档可帮助用户了解 Azure 安全功能如何帮助满足这些要求。
NOTE
本文档重点介绍面向客户的控件,客户可以使用这些控件自定义和提高应用程序和服务的安全性。
Azure 安全功能汇总
用于保 护 Azure 平台的功能
以下功能可以用于确保以安全的方式管理 Azure 平台。 提供了相应链接,方便用户进一步了解 Microsoft 如何从
四个方面解决客户信任问题:安全平台、隐私和控制、合规性和透明度。
操作
本部分提供了关于安全操作中主要特性的其他信息以及有关这些功能的摘要信息。
“安全和 审 核 ”仪 表板
安全和审核解决方案借助内置搜索查询找到需要关注的重要问题,从而提供有关组织的 IT 安全态势的全面观
点。 “安全和审核”仪表板是主屏幕,提供 Azure Monitor 日志中与安全性相关的所有内容。 它提供计算机安全状
态的高级洞见。 还允许查看过去 24 小时、7 天或任何自定义时间范围的所有事件。
此外,检测到特定事件时,可以将安全性和符合性配置为自动执行特定操作。
Application Insights
Application Insights 是面向 Web 开发人员的可扩展应用程序性能管理 (APM) 服务。 用户可以使用 Application
Insights 监视实时 Web 应用程序并自动检测性能异常。 Application Insights 内含强大的分析工具,有助于诊断
问题并了解用户在应用中实际执行的操作。 它在应用程序运行时全程进行监视,包括测试期间以及发布或部署
之后。
如果出现崩溃、故障或性能问题,可以搜索详细的遥测数据来诊断原因。 此外,如果应用的可用性和性能有任何
变化,该服务还会向用户发送电子邮件。 Application Insight 就是这样因其有助于实现保密性、完整性和可用性
安全三元素的可用性而成为有价值的安全工具。
Azure Monitor
Azure Monitor 对来自 Azure 基础结构(活动日志)和每个单独的 Azure 资源(诊断日志)的数据提供可视化效果、
查询、路由、警报、自动缩放和自动化功能。 可以使用 Azure Monitor 对 Azure 日志中生成的与安全相关的事件
发出警报。
Azure Monitor 日志
Azure Monitor 日志 - 为本地基础结构和第三方基于云的基础结构(例如 AWS ),以及 Azure 资源提供 IT 管理解
决方案。 可以将来自 Azure Monitor 的数据直接路由到 Azure Monitor 日志,因此可以在一个位置查看整个环境
的指标和日志。
Azure 顾问
Azure 顾问是一种个性化的云顾问,可帮助优化 Azure 部署。 它分析资源配置和使用情况遥测数据。 然后,它推
荐解决方案,帮助提高资源的性能、安全性和高可用性,同时寻找机会减少总体 Azure 支出。 Azure 顾问提供安
全建议,可显著提高在 Azure 中部署的解决方案的总体安全状况。 这些建议来自于 Azure 安全中心执行的安全
分析。
Azure 安全中心
安全中心有助于预防、检测和响应威胁,同时提高对 Azure 资源安全的可见性和可控性。 它提供 Azure 订阅之间
的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于广泛的安全解决方案生态系统。
此外,安全中心通过提供单个仪表板实现可立即执行的警报和建议,从而帮助进行安全操作。 通常,只需在安全
中心控制台中单击一下就可修复问题。
应用程序
本部分提供了关于应用程序安全中主要特性的其他信息以及有关这些功能的摘要信息。
Web 应 用程序漏洞 扫 描
开始对应用服务应用进行漏洞测试最简单的一种方法是使用与 Tinfoil Security 的集成对应用执行一键式漏洞扫
描。 可以查看易于理解的报告中的测试结果,并了解如何按照分步说明修复每个安全漏洞。
渗透 测试
如果想要执行自己的渗透测试,或者想要使用其他扫描程序套件或提供程序,则必须按照 Azure 渗透测试审批流
程 来进行并获得事先批准才能执行所需的渗透测试。
Web 应 用程序防火 墙
Azure 应用程序网关中的 Web 应用程序防火墙 (WAF) 可帮助保护 Web 应用程序,使其免受常见基于 Web 的攻
击威胁,例如 SQL 注入、跨站点脚本攻击和会话劫持。 同时预先配置保护,免受 Open Web Application Security
Project (OWASP) 标识为前 10 种常见漏洞的威胁攻击。
Azure 应 用服 务 中的身份 验证 和授 权
应用服务身份验证/授权是一项功能,方便应用程序登录用户,避免在应用后端更改代码。 该功能可以方便地保
护应用程序和处理每个用户的数据。
分 层 安全体系 结 构
由于应用服务环境提供部署到 Azure 虚拟网络的隔离运行时环境,因此开发人员能够创建分层安全体系结构,针
对每个应用层提供不同级别的网络访问权限。 常见的需求之一是要隐藏对 API 后端的常规 Internet 访问,而只允
许由上游 Web 应用调用 API。 可以在包含应用服务环境的 Azure 虚拟网络子网上使用网络安全组 (NSG),限制
对 API 应用程序的公共访问。
Web 服 务 器 诊 断和 应 用程序 诊 断
应用服务 Web 应用为 Web 服务器和 Web 应用程序中的日志记录信息提供诊断功能。 这些诊断功能按逻辑分为
Web 服务器诊断和应用程序诊断。 Web 服务器包括诊断和排查站点和应用程序这两大改进方面。
第一个新特点是有关应用程序池、工作进程、站点、应用程序域和运行请求的实时状态信息。 第二个新特点是在
整个请求和响应过程中跟踪请求的详细跟踪事件。
Web 服 务 器 诊 断
可以启用或禁用以下种类的日志:
应 用程序 诊 断
在应用程序诊断中,可以查看按以下方式分组的事件:
全部(显示所有事件)
应用程序错误(显示异常事件)
性能(显示性能事件)
存储
本部分提供了关于 Azure 存储安全中主要特性的其他信息以及有关这些功能的摘要信息。
共享 访问签 名
共享访问签名 (SAS) 用于对存储帐户中的资源进行委托访问。 使用 SAS ,意味着可以授权客户端在指定时间段
内,以一组指定权限有限访问存储帐户中的对象。 可以授予这些有限的权限,而不必共享帐户访问密钥。
传输 中加密
传输中加密是通过网络传输数据时用于保护数据的机制。 在 Azure 存储中,可以使用以下加密方式来保护数据:
客户端加密,在将数据传输到存储之前加密数据,以及从存储传出数据后解密数据。
静 态 加密
对许多组织而言,静态数据加密是实现数据隐私性、符合性和数据所有权的必要措施。 有三项 Azure 存储安全功
能可提供“静态”数据加密:
客户端加密 也提供静态加密功能。
失败的请求,包括超时、限制、网络、授权和其他错误。
分析数据的请求。
网络
本部分提供了关于 Azure 网络安全中主要特性的其他信息以及有关这些功能的摘要信息。
网 络层 控制
网络访问控制是限制特定设备或子网之间的连接的行为,代表了网络安全的核心。 网络访问控制的目标是确保
只有有权限的用户和设备才能访问虚拟机和服务。
网 络 安全 组
用户定义的路由允许用户为进出单个虚拟机或子网的流量自定义入站和出站路径,以确保最安全的路由。 强制
隧道 是一种机制,可用于确保不允许服务发起与 Internet 上设备的连接。
虚 拟 网 络 安全 设备
Azure 虚 拟 网 络
Azure 虚拟网络 (VNet) 是你自己的网络在云中的表示形式。 它是对专用于订阅的 Azure 网络结构进行的逻辑隔
离。 可以完全控制该网络中的 IP 地址块、DNS 设置、安全策略和路由表。 可以将 VNet 细分成各个子网,并在
Azure 虚拟网络上放置 Azure IaaS 虚拟机 (VM) 和/或云服务(PaaS 角色实例)。
此外,还可以使用 Azure 中提供的连接选项 之一将虚拟网络连接到本地网络。 实际上,可以将网络扩展到
Azure,对 IP 地址块进行完全的控制,并享受企业级 Azure 带来的好处。
Azure 网络支持各种安全远程访问方案。 其中包括:
将单独的工作站连接到 Azure 虚拟网络
通过 VPN 将本地网络连接到 Azure 虚拟网络
VPN 网关
若要在 Azure 虚拟网络与本地站点之间发送网络流量,必须为 Azure 虚拟网络创建 VPN 网关。 VPN 网关是一种
虚拟网络网关,可以通过公共连接发送加密流量。 也可以使用 VPN 网关在基于 Azure 网络结构的 Azure 虚拟网
络之间发送流量。
Express Route
Microsoft Azure ExpressRoute 是专用 WAN 链接,可让用户通过连接服务提供商所提供的专用连接,将本地网络
扩展到 Microsoft 云。
应 用程序网关
Microsoft Azure 应用程序网关以服务形式提供应用程序传送控制器 (ADC),借此为应用程序提供第 7 层各种负
载均衡功能。
它使用户能够通过将 CPU 密集型 TLS 终止卸载到应用程序网关(也称为“TLS 卸载”或“TLS 桥接”)来优化 Web 场
生产率。 它还提供第 7 层其他路由功能,包括传入流量的轮循机制分配、基于 Cookie 的会话相关性、基于 URL
路径的路由,以及在单个应用程序网关后面托管多个网站的能力。 Azure 应用程序网关是第 7 层负载均衡器。
Web 应 用程序防火 墙
Web 应用程序防火墙是 Azure 应用程序网关的一项功能,它为使用应用程序网关实现标准应用程序传递控制
(ADC) 功能的 Web 应用程序提供保护。 Web 应用程序防火墙的此功能可以保护 Web 应用程序免受 OWASP 十
大常见 Web 漏洞中的大部分漏洞的威胁。
SQL 注入保护
常见 Web 攻击保护,例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含攻击
防止 HTTP 协议违反行为
防止 HTTP 协议异常行为,例如缺少主机用户代理和接受标头
防止自动程序、爬网程序和扫描程序
检测常见应用程序错误配置(即 Apache、IIS 等)
流量管理器
使用 Microsoft Azure 流量管理器,可以控制用户流量在不同数据中心内的服务终结点上的分布。 流量管理器支
持的服务终结点包括 Azure VM、Web 应用和云服务。 也可将流量管理器用于外部的非 Azure 终结点。 流量管理
器根据流量路由方法和终结点的运行状况,使用域名系统 (DNS) 将客户端请求定向到最合适的终结点。
流量管理器提供多种流量路由方法来满足不同的应用程序需求、终结点运行状况监视和自动故障转移。 流量管
理器能够灵活应对故障,包括整个 Azure 区域的故障。
Azure 负载 均衡器
Azure 负载均衡器可提高应用程序的可用性和网络性能。 它是第 4 层(TCP、UDP)类型的负载均衡器,可在负载
均衡集中定义的运行状况良好的服务实例之间分配传入流量。 可以将 Azure 负载均衡器配置为:
对虚拟网络中虚拟机之间的流量、云服务中虚拟机之间的流量或本地计算机和跨界虚拟网络中虚拟机之
间的流量进行负载均衡。 此配置称为 负载均衡。
将外部流量转发到特定的虚拟机
内部 DNS
可以在管理门户或网络配置文件中管理 VNet 中使用的 DNS 服务器列表。 客户最多可以为每个 VNet 添加 12 个
DNS 服务器。 指定 DNS 服务器时,请务必按照客户环境的正确顺序列出客户的 DNS 服务器。 DNS 服务器列表
不采用循环机制。 将按指定服务器的顺序使用这些服务器。 如果可访问列表上的第一个 DNS 服务器,则无论该
DNS 服务器是否运行正常,客户端都将使用该服务器。 要更改客户的虚拟网络的 DNS 服务器顺序,请从列表中
删除 DNS 服务器,并按客户希望的顺序重新添加这些服务器。 DNS 支持“CIA”安全三因素的可用性方面。
Azure DNS
域名系统或 DNS 负责将网站或服务名称转换(或解析)为它的 IP 地址。 Azure DNS 是 DNS 域的托管服务,它使
用 Microsoft Azure 基础结构提供名称解析。 通过在 Azure 中托管域,可以使用与其他 Azure 服务相同的凭据、
API、工具和计费来管理 DNS 记录。 DNS 支持“CIA”安全三因素的可用性方面。
Azure Monitor 日志 NSG
可以为 NSG 启用以下诊断日志类别:
安全中心
Azure 安全中心不断分析 Azure 资源的安全状态,以实现网络安全最佳做法。 在安全中心识别出潜在的安全漏洞
时,它会创建一些“建议”,指导完成配置所需控件以强化和保护资源的过程。
计算
本部分提供了关于此区域中主要特性的其他信息以及有关这些功能的摘要信息。
反 恶 意 软 件和防病毒 软 件
借助 Azure IaaS ,可以使用来自 Microsoft、Symantec、Trend Micro、McAfee 和 Kaspersky 等安全性供应商的反
恶意软件,以保护虚拟机免受恶意文件、广告软件和其他威胁的侵害。 适用于 Azure 云服务和虚拟机的
Microsoft 反恶意软件是一种保护功能,可帮助识别并删除病毒、间谍软件和其他恶意软件。 当已知恶意软件或
不需要的软件试图在 Azure 系统上安装自身或运行时,Microsoft 反恶意软件将提供可配置的警报。 此外可以使
用 Azure 安全中心部署 Microsoft 反恶意软件
硬件安全模 块
加密和身份验证无法提高安全性,除非密钥本身也受到保护。 通过将关键密码和密钥存储在 Azure Key Vault
中,可以简化此类密码和密钥的管理和保护。 Key Vault 可将用户密钥存储在已通过 FIPS 140-2 Level 2 标准认证
的硬件安全模块 (HSM) 中。 用于备份或 透明数据加密 的 SQL Server 加密密钥可以存储在密钥保管库中,此外
还可存储应用程序中的任意密钥或机密。 对这些受保护项的权限和访问权限通过 Azure Active Directory进行管
理。
虚拟机备份
Azure 备份是一种解决方案,无需资本投资便可保护应用程序数据,最大限度降低运营成本。 应用程序错误可能
损坏数据,人为错误可能将 bug 引入应用程序,从而导致安全问题。 使用 Azure 备份可以保护运行 Windows 和
Linux 的虚拟机。
Azure Site Recovery
组织的业务连续性/灾难恢复 (BCDR) 策略的其中一个重要部分是,找出在发生计划内和计划外的中断时让企业
工作负荷和应用保持启动并运行的方法。 Azure Site Recovery 可帮助协调工作负荷和应用的复制、故障转移及
恢复,因此能够在主要位置发生故障时通过辅助位置来提供工作负荷和应用。
SQL VM TDE
SQL Server 加密功能包括透明数据加密 (TDE)和列级加密 (CLE)。 这种加密形式要求客户管理和存储用于加密的
加密密钥。
如果在本地计算机上运行 SQL Server ,请按照此处步骤通过本地 SQL Server 实例访问 Azure Key Vault。 但对于
Azure VM 中的 SQL Server,可以使用 Azure Key Vault 集成功能节省时间。 通过使用几个 Azure PowerShell
cmdlet 来启用此功能,可以自动为 SQL VM 进行必要的配置以便访问密钥保管库。
VM 磁 盘 加密
Azure 磁盘加密是用于加密 Windows 和 Linux IaaS 虚拟机磁盘的新功能。 它应用 Windows 的行业标准
BitLocker 功能和 Linux 的 DM-Crypt 功能,为 OS 和数据磁盘提供卷加密。 该解决方案与 Azure Key Vault 集成,
帮助用户控制和管理 Key Vault 订阅中的磁盘加密密钥和机密。 此解决方案还可确保虚拟机磁盘上的所有数据在
Azure 存储中静态加密。
虚拟网络
虚拟机需要网络连接。 为了满足该要求,Azure 需要虚拟机连接到 Azure 虚拟网络。 Azure 虚拟网络是构建在物
理 Azure 网络结构基础之上的逻辑构造。 每个逻辑 Azure 虚拟网络都独立于所有其他 Azure 虚拟网络。 这种隔
离有助于确保其他 Microsoft Azure 客户无法访问部署中的网络流量。
修 补 程序更新
修补程序更新可以减少必须在企业中部署的软件更新数目并提高监视符合性的能力,从而提供查找及修复潜在
问题的基础并简化软件更新管理过程。
安全策略管理和 报 告
安全中心有助于预防、检测和响应威胁,同时提高对 Azure 资源安全的可见性和可控性。 它提供对 Azure 订阅的
集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于广泛的安全解决方案生态系统。
标识和访问管理
保护系统、应用程序和以基于标识的访问控制开始的数据。 Microsoft 企业产品和服务内置的标识和访问管理功
能有助于保护组织和个人信息免受未经授权的访问,同时向合法用户提供随时随地访问权限。
安全 标识
Microsoft 在其产品和服务中使用多种安全实践和技术来管理标识和访问权限。
多重身份验证要求用户在本地和云中使用多种方法进行访问。 它提供强大的身份验证和一系列简单的验
证选项,同时满足用户对简单登录过程的需求。
集成标识管理(混合标识)能够保持对用户在内部数据中心和云平台中的访问控制,并为所有资源的身份
验证和授权创建单个用户标识。
保 护应 用和数据
Azure Active Directory 是综合性的标识和访问管理云解决方案,可帮助确保安全访问站点和云中的应用程序数
据,并简化对用户和组的管理。 它结合了核心目录服务、高级 Identity Governance、安全性以及应用程序访问管
理,使开发人员可以轻松在其应用中构建基于策略的标识管理。 若要增强 Azure Active Directory,可以使用
Azure Active Directory 基本版、Premium P1 版和 Premium P2 版添加付费功能。
A Z URE A C T IVE
DIREC TO RY JO IN –
/ P1 P2 W IN DO W S 10
后续步骤
了解云中责任分担。
当你考虑和评估公有云服务时,必须了解共担责任模型、由云服务提供商处理的安全任务以及由你处理的任务。
工作负荷责任因各种因素而异,具体取决于工作负荷是托管在软件即服务 (SaaS) 上、平台即服务 (PaaS) 上、基
础结构即服务 (IaaS) 上还是托管在本地数据中心
责任划分
在本地数据中心,你拥有整个堆栈。 当你迁移到云时,某些责任将转移到 Microsoft。 下图说明了你和 Microsoft
之间的责任区域,具体取决于你的堆栈的部署类型。
对于所有云部署类型,拥有数据和标识。 需要负责保护由你控制的数据和标识、本地资源及云组件的安全(保护
的项目因服务类型而异)。
无论部署类型如何,你始终要承担以下责任:
数据
终结点
帐户
访问管理
云的安全优势
云在解决长期存在的信息安全难题方面具有显著优势。 在本地环境中,组织的可用资源可能有限,无法尽责在安
全措施上投资,使得攻击者能够利用所有层中的漏洞。
下图显示了一种传统方法,其中的许多安全责任由于资源有限而无法履行。 在启用云的方法中,你可以将日常安
全责任转移到云服务提供商,并重新分配资源。
在启用云的方法中,你还可以利用基于云的安全功能来提高效率,并使用云智能来缩短威胁检测和响应时间。 通
过将责任转移到云提供商,组织可以扩大安全覆盖范围,为其他优先业务重新调配安全资源与预算。
后续步骤
若要详细了解你和 Microsoft 在 SaaS 、PaaS 和 IaaS 部署中的责任划分,请参阅云计算的共担责任。
Azure 安全技术功能
2021/2/9 • • Edit Online
Azure 平台
Microsoft Azure 是托管于 Microsoft 公有云数据中心的云平台,由基础结构和应用程序服务组成,并且集成了数
据服务、高级分析以及开发人员工具和服务。 客户可将 Azure 用于许多不同的容量和方案,从基本计算、网络和
存储,到移动和 Web 应用服务,再到物联网等完整云方案,并且可将 Azure 与开源技术配合使用,作为混合云进
行部署或托管在客户的数据中心内。 Azure 以构建基块的形式提供云技术,帮助公司节省成本、快速创新和主动
管理系统。 构建 IT 资产或将其迁移到云提供商处时,需要借助该组织的能力来保护应用程序和数据,并使用该
组织提供的服务和控件来管理基于云的资产的安全性。
借助 Microsoft Azure,可以:
通过云加快创新。
深入了解业务决策和应用。
随时生成,随地部署。
保护业务。
利用安全技术功能来履行责任
Microsoft Azure 提供的服务可帮助你满足安全、隐私和合规性需求。 下图有助于阐释各种不同的 Azure 服务,这
些服务可用于按照行业标准来构建安全合规的应用程序基础结构。
管理和控制标识与用户访问
可使用 Azure 管理用户标识和凭据以及控制访问,帮助保护企业信息和个人信息。
通过对本地应用程序和云应用程序实施基于规则的多重身份验证,启用应用程序访问安全措施。
单一登录
多重身份验证
安全监控、警报和基于机器学习的报告
消费者标识和访问管理
设备注册
优势是不仅用户无需管理多组用户名和密码,而且还可根据组织组以及其身为员工的状态,自动预配或取消预配
应用程序的访问权限。 Azure AD 引入了安全和访问管理控件,支持跨 SaaS 应用程序集中管理用户的访问权限。
多重身份 验证
安全 监 控、 警 报 和基于机器学 习 的 报 告
错误报告 - 指示在为外部应用程序预配帐户时可能发生的错误。
用户特定的报告-显示特定用户的设备和登录活动数据。
消 费 者 标识 和 访问 管理
过去,想要在自己的应用程序中注册用户并使用户登录的应用程序开发人员会编写自己的代码。 他们使用本地
数据库或系统存储用户名和密码。 Azure Active Directory B2C 通过基于标准的安全平台和大量的可扩展策略,
向组织提供一种更好的方式将用户标识管理集成到应用程序中。
获取有关管理员访问历史记录以及管理员分配更改的报告
获取有关访问特权角色的警报
标识 保 护
保护资源访问
Azure 中的访问控制首先体现在计费方面。 Azure 帐户的所有者(可通过访问 Azure 帐户中心进行访问)是帐户管
理员 (AA)。 订阅是计费容器,但它们也可充当安全边界:每个订阅都有一个服务管理员 (SA),此管理员可以使用
Azure 门户在该订阅中添加、删除和修改 Azure 资源。 新订阅的默认 SA 是 AA,但 AA 可以在 Azure 帐户中心更
改 SA。
数据安全与加密
在云中保护数据的关键问题之一是考虑数据可能将发生的状态,以及哪些控件适用于该状态。 根据 Azure 数据
安全与加密最佳实践,将针对以下数据状态提供建议。
静态:包括物理媒体(磁盘或光盘)上以静态方式存在的所有信息存储对象、容器和类型。
传输中:数据在组件、位置或程序之间发送时,例如通过网络、通过服务总线(从本地到云,反之亦然,包括诸
如 ExpressRoute 的混合连接),或在输入/输出过程中,会被视为动态数据。
静 态 加密
Azure 数据静态加密中详细讨论了静态加密。
传输 中加密
保护传输中的数据应该是数据保护策略中不可或缺的部分。 由于数据将从许多位置来回移动,一般建议始终使
用 SSL/TLS 协议来交换不同位置的数据。 在某些情况下,建议使用虚拟专用网络 (VPN) 隔离本地与云基础结构
之间的整个通信通道。
对于在本地基础结构与 Azure 之间移动的数据,应该考虑适当的防护措施,例如 HTTPS 或 VPN。
如果通过 Azure 门户与 Azure 存储交互,则所有事务都将通过 HTTPS 发生。 也可以使用基于 HTTPS 的存储
REST API 来与 Azure 存储和 Azure SQL 数据库交互。
无法保护传输中数据的组织更容易遭受中间人攻击、窃听和会话劫持。 这些攻击可能是获取机密数据访问权限
的第一步。
实 施文件 级 数据加密
Azure RMS 使用加密、标识和授权策略帮助保护文件与电子邮件。 Azure RMS 可跨多个设备工作 — 手机、平板
电脑和台式电脑保护组织内部和外部的数据。 因为 Azure RMS 添加了数据所属的保护级别,所以即使数据离开
组织边界,此功能仍然可行。
创建可反映业务要求的自定义模板。 例如:最高机密数据的模板应在所有最高机密相关的电子邮件中应
用。
数据分类和文件保护能力不佳的组织可能更容易遭到数据泄漏。 没有适当的文件保护,组织将无法获取业务见
解、监控滥用,以及防止文件被恶意访问。
NOTE
有关 Azure RMS 的详细信息,请阅读 Getting Started with Azure Rights Management(Azure Rights Management 入门)一
文。
保护应用程序
Azure 负责保护运行应用程序的基础结构和平台,而你负责保护应用程序本身。 换而言之,需要以安全方式开
发、部署和管理应用程序代码和内容。 无此安全性,应用程序代码或内容仍然容易受到威胁。
Web 应 用程序防火 墙
Web 应用程序防火墙 (WAF) 是应用程序网关的功能,可以对 Web 应用程序进行集中保护,避免其受到常见的攻
击和漏洞危害。
防止 HTTP 协议违反行为
防止 HTTP 协议异常行为,例如缺少主机用户代理和接受标头
防止自动程序、爬网程序和扫描程序
检测常见应用程序错误配置(即 Apache、IIS 等)
NOTE
有关规则及其保护措施的更详细的列表,请参阅下面的核心规则集:
强制所有传入流量通过 HTTPS 连接
启用严格传输安全性 (HSTS)
按客户端 IP 地址限制应用访问
按客户端行为(请求频率和并发)限制应用访问
配置从应用中使用的客户端证书以安全连接到外部资源
删除标准服务器标头以避免工具对应用进行指纹识别
使用混合连接安全连接应用与专用网络资源
保护网络
Microsoft Azure 包括可靠的网络基础结构以支持应用程序和服务连接要求。 Azure 中的资源之间、本地资源与
Azure 托管的资源之间以及 Internet 与 Azure 之间都可能存在网络连接。
利用 Azure 网络基础结构,可以安全地将 Azure 资源通过虚拟网络 (VNet) 相互连接。 VNet 是自己的网络在云中
的表示形式。 VNet 是对专用于订阅的 Azure 云网络进行的逻辑隔离。 可将 VNet 连接到本地网络。
如果需要基本的网络级别访问控制(基于 IP 地址和 TCP 或 UDP 协议),则可以使用网络安全组。 网络安全组
(NSG) 是基本的静态数据包筛选防火墙,使用户能够基于 5 元组控制访问权限。
Azure 网络支持在 Azure 虚拟网络上为网络流量自定义路由行为的功能。 可以通过在 Azure 中配置用户定义路
由实现此操作。
Azure 支持通过 ExpressRoute 使用专用 WAN 链路连接本地网络和 Azure 虚拟网络。 Azure 和站点之间的链接使
用专用连接,不需要通过公共 Internet。 如果 Azure 应用程序在多个数据中心运行,则可以使用 Azure 流量管理
器智能地跨应用程序实例路由来自用户的请求。 如果可以通过 Internet 访问未在 Azure 中运行的服务,还可以
将流量路由到这些服务。
虚拟机安全
借助 Azure 虚拟机,可以采用灵活的方式部署各种计算解决方案。 通过对 Microsoft Windows、Linux、Microsoft
SQL Server、Oracle、IBM、SAP 和 Azure BizTalk 服务的支持,可以在几乎所有操作系统上部署任何工作负荷和任
何语言。
Azure 备份是一种可缩放的解决方案,无需资本投资便可保护应用程序数据,从而最大限度降低运营成本。 应用
程序错误可能会损坏数据,人为错误可能会将 bug 引入应用程序。 使用 Azure 备份可以保护运行 Windows 和
Linux 的虚拟机。
Azure Site Recovery 可帮助协调工作负荷和应用的复制、故障转移及恢复,因此能够在主要位置发生故障时通过
辅助位置来提供工作负荷和应用。
确保符合性:云服务审慎调查清单
Microsoft 制定了云服务审慎调查清单,帮助组织在考虑迁移到云时执行审慎调查。 它为所有规模、所有类型的
组织(私有企业和公共部门组织,包括所有级别的政府部门和非盈利组织)提供了一种结构,用于确定他们自己的
性能、服务、数据管理以及监管目标和要求。 这样,他们就可以对不同云服务提供商的服务/产品进行比较,最终
构成云服务协议的基础。
该清单提供一个框架,该框架与新的云服务协议国际标准 ISO/IEC 19086 逐条保持一致。 此标准为组织提供一
系列统一的考虑事项,帮助他们就云采用做出决策,并为云服务产品的比较确立一个共同的基础。
该清单促使云迁移得到全面审核,并为云服务提供商的选择提供结构化指导以及一致且可重复的方法。
云采用不再只是技术决策。 由于清单要求涉及组织的方方面面,因此它们可以让内部所有关键决策者(CIO、
CISO 以及法律、风险管理、采购和合规性专业人员)聚集在一起。 这样可以通过合理的推论提高决策过程和基本
决策的效率,从而降低出现影响云采用的意外障碍的可能性。
此外,该清单:
在云采用流程开始时公开决策者的关键议题。
帮助组织识别任何可能影响云项目的问题。
针对各提供商提供一系列一致的问题,以及相同的术语、定义、指标和可交付结果,从而简化不同云服务
提供商产品/服务的比较过程。
Azure 基础结构和应用程序安全性验证
Azure 操作安全性 是指可供用户在 Microsoft Azure 中保护其数据、应用程序和其他资产的服务、控件和功能。
Microsoft Azure 监视 器
Azure Monitor 是适用于混合云的 IT 管理解决方案。 Azure Monitor 日志可单独使用,也可用于扩展现有 System
Center 部署,为你基于云来管理基础结构提供了最大的灵活性和控制度。
使用 Azure Monitor ,可以在任何云中(包括本地、Azure、AWS 、Windows Server 、Linux、VMware 和 OpenStack)
管理任何实例,且成本低于其他竞争性的解决方案。 Azure Monitor 专为云优先的环境而构建,为管理企业提供
了一种新方法,能最快且最经济高效地应对新的业务挑战并适应新的工作负载、应用程序和云环境。
Azure Monitor 日志
Azure Monitor 日志通过将受管理资源的数据收集到中心存储库来提供监视服务。 这些数据可能包括事件、性能
数据或通过 API 提供的自定义数据。 收集后,可以分析、导出数据或针对它们发出警报。
Azure 安全中心
Azure 安全中心有助于预防、检测和响应威胁,同时增加 Azure 资源的可见性和安全可控性。 它提供 Azure 订阅
之间的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于广泛的安全解决方案生态系统。
示例包括:
设置反恶意软件可帮助识别和删除恶意软件
配置网络安全组和规则来控制发送到 VM 的流量
部署缺少的系统更新
解决与推荐基线不匹配的操作系统配置
与已知的恶意 IP 地址通信的不符合安全性的 VM
使用 Windows 错误报告检测到的高级恶意软件
对 VM 的暴力破解攻击
来自集成的反恶意软件程序和防火墙的安全警报
Azure Monitor
Azure Monitor 提供一系列指针,指向特定资源类型的相关信息。 它对来自 Azure 基础结构(活动日志)和每个单
独 Azure 资源(诊断日志)的数据提供可视化、查询、路由、警报、自动缩放和自动化功能。
云应用程序很复杂,包含很多移动部件。 监视可以为用户提供数据,确保应用程序始终处于健康运行状态。 监视
还有助于避免潜在问题,或者解决过去的问题。
此外,还
可以利用监视数据深入了解应用程序的情况。 了解这些情况有助于改进应用程序的性能或可维护性,或者实现
本来需要手动干预的操作的自动化。
网 络观 察程序
网络观察程序是一个区域性服务,可用于在网络级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状
态。 借助网络观察程序随附的网络诊断和可视化工具,可以了解、诊断和洞察 Azure 中的网络。 此服务包括数据
包捕获、下一跃点、IP 流验证、安全组视图和 NSG 流日志。 与单独网络资源的监视不同,方案级监视提供网络资
源的端到端视图。
存 储 分析
存储分析可存储一些指标,这些指标包括有关存储服务请求的聚合事务统计信息和容量数据。 在 API 操作级别
以及存储服务级别报告事务,并在存储服务级别报告容量。 度量值数据可用于分析存储服务使用情况,诊断对存
储服务所发出请求的问题以及提高使用服务的应用程序的性能。
Application Insights
Application Insights 是多个平台上面向 Web 开发人员的可扩展应用程序性能管理 (APM) 服务。 使用它可以监视
实时 Web 应用程序。 它会自动检测性能异常。 Application Insights 内含强大的分析工具,有助于诊断问题并了
解用户在应用中执行的操作。 Application Insights 有助于持续提高性能与可用性。 它适用于本地或云中托管的
各种平台(包括 .NET、Node.js 和 Java EE)中的应用。 它与 devOps 流程集成,并具有与各种开发工具的连接点。
监视:
异常 - 分析聚合的统计信息,或选择特定实例并钻取堆栈跟踪和相关请求。 报告服务器和浏览器异常。
页 面 查 看次数和 负载 性能 - 由用户的浏览器报告。
来自网 页 的 AJAX 调 用 :速率、响应时间和失败率。
用 户 和会 话计 数。
可以通过一个协调的操作为解决方案部署、更新或删除所有资源。 可以使用一个模板来完成部署,该模板适用于
不同的环境,例如测试、过渡和生产。 Resource Manager 提供安全、审核和标记功能,以帮助你在部署后管理资
源。
使用 Resource Manager 的 优势
资源管理器提供多种优势:
可以以组的形式部署、管理和监视解决方案的所有资源,而不是单独处理这些资源。
可以在整个开发生命周期内重复部署解决方案,并确保以一致的状态部署资源。
可以通过声明性模板而非脚本来管理基础结构。
可以定义各资源之间的依赖关系,使其按正确的顺序进行部署。
可以将标记应用到资源,以逻辑方式组织订阅中的所有资源。
可以通过查看一组共享相同标记的资源的成本来理清组织的帐单。
NOTE
Resource Manager 提供了一种新方法来部署和管理解决方案。 如果使用早期的部署模型并想了解这些更改,请参阅了解
Resource Manager 部署和经典部署。
后续步骤
Azure 安全基准计划包括一系列安全建议,可用于帮助保护在 Azure 中使用的服务。
Azure 服务的 “内置安全控制 ”文章索引
2021/2/9 • • Edit Online
内置安全控制文章适用于以下服务:
Azure 应用服务
Azure Resource Manager
Azure 服务总线中继
Azure Spring Cloud
Azure 基础结构安全性
2021/2/9 • • Edit Online
保护 Azure 基础结构
本系列文章提供了有关 Microsoft 如何保护 Azure 基础结构的信息。 文章讨论了:
物理安全性
可用性
组件和边界
网络体系结构
生产网络
SQL 数据库
操作
监视
完整性
数据保护
后续步骤
了解云中责任分担。
数据中心基础结构
Azure 由全球分布式数据中心基础结构组成,该基础结构支持数千个联机服务,并跨越全球 100 多个高度安全的
设施。
该基础结构旨在使应用程序更靠近全球用户、预留数据的驻留位置,并为客户提供全面的符合性与复原选项。
Azure 在全球设立了 58 个区域,并已在 140 个国家/地区推出。
区域是指通过大规模弹性网络互连的一系列数据中心。 该网络包括区域内的或在区域间传播的所有 Azure 流量
的内容分发、负载均衡、冗余和默认情况下的数据链路层加密。 Azure 包含的全球区域比任何其他云提供商所包
含的都多,因此允许你灵活地选择部署应用程序所需的位置。
地域允许具有特定数据驻留和符合性要求的客户保持他们的数据和应用程序相邻近。 通过与专用的高容量网络
基础设施相连,地域具有容错能力,可承受整个区域的故障。
物理安全性
Microsoft 设计、构建和运营数据中心的方式能够严格控制对存储数据的区域的物理访问。 Microsoft 理解保护数
据的重要性,并承诺帮助保护包含客户数据的数据中心。 Microsoft 专门设立了一个完整的部门来设计、构建和
运营支持 Azure 的物理设施。 此团队在维持一流物理安全性方面投入了大量的人力物力。
Microsoft 采用分层方法实现物理安全性,以减少未经授权的用户获取数据和数据中心资源的物理访问权限的风
险。 Microsoft 管理的数据中心具有广泛的保护层:在设施周边、建筑物周边、建筑物内部和数据中心楼层上实施
访问权限审批。 物理安全层包括:
设 施周 边 。 抵达数据中心时,必须经过完善定义的访问点。 通常,由钢筋混凝土制成的高墙会围住周边
的每一次土地。 数据中心的周围有摄像头,安全团队全时间监控视频。
建筑物内部。 进入建筑物后,必须使用生物识别特征通过双重身份验证,然后才能继续在数据中心内部
走动。 如果你的身份通过验证,只能进入已获批访问的数据中心区域。 只能在该区域中逗留批准的一段
时间。
物理安全性评审
我们定期对设施执行物理安全性评审,确保数据中心正常满足 Azure 的安全要求。 数据中心托管提供商人员不
会提供 Azure 服务管理。 这些人员无法登录 Azure 系统,且没有 Azure 机房和机舱的物理访问权限。
数据承载设备
Microsoft 使用最佳做法过程和符合 NIST 800-88 的数据擦除解决方案。 对于无法擦除的硬盘驱动器,我们会使
用销毁过程来销毁该驱动器,并避免恢复信息。 销毁过程可能包括解体、切碎、粉碎或焚烧。 我们根据资产类型
确定处置方式。 我们会保留销毁记录。
设备处置
在系统使用寿命结束时,Microsoft 操作人员会遵循严格的数据处理过程和硬件处置过程,确保不会将包含数据
的硬件提供给不受信任的一方使用。 对于支持安全擦除方法的硬盘驱动器,我们会使用此方法。 对于无法擦除
的硬盘驱动器,我们会使用销毁过程来销毁该驱动器,并避免恢复信息。 销毁过程可能包括解体、切碎、粉碎或
焚烧。 我们根据资产类型确定处置方式。 我们会保留销毁记录。 所有 Azure 服务使用已批准的介质存储和处置
管理服务。
合规性
Azure 基础结构的设计和管理符合广泛的国际和行业特定标准,例如 ISO 27001、HIPAA、FedRAMP、SOC 1 和
SOC 2。 此外还符合国家/地区特定的标准,包括澳大利亚的 IRAP、英国的 G-Cloud 和新加坡的 MTCS 。 严苛的
第三方审核(例如英国标准协会进行的审核)可验证 Azure 是否遵循严格的安全控制标准。
有关 Azure 遵守的合规标准的完整列表,请参阅合规性产品。
后续步骤
若要详细了解 Microsoft 如何帮助保护 Azure 基础结构,请参阅:
Azure 基础结构可用性
Azure 信息系统的组件和边界
Azure 网络体系结构
Azure 生产网络
Azure SQL 数据库安全功能
Azure 生产运营和管理
Azure 基础结构监视
Azure 基础结构完整性
Azure 客户数据保护
Azure 基础结构可⽤性
2021/2/9 • • Edit Online
临时停电和自然灾害
Microsoft 云基础结构和运营团队设计、生成、运营云基础结构并提高其安全性。 该团队确保 Azure 基础结构提
供高可用性和可靠性、高效率、智能可伸缩性。 该团队提供更安全、更专用且更受信任的云。
不间断电源和大量电池可确保在发生短期电力中断时仍然持续供电。 应急发电机为长时间的停电和计划内维护
提供备用电源。 如果发生自然灾难,数据中心可以使用现场燃料储备。
灾难恢复
Azure 使数据在两个位置保持持久性。 可以选择备份站点的位置。 在这两个位置,Azure 始终维护数据的三个正
常副本。
数据库可用性
Azure 确保可通过具有持续数据库可用性的 Internet 网关从 Internet 访问数据库。 监视服务以 5 分钟的时间间
隔评估活动数据库的运行状况和状态。
存储可用性
Azure 通过高度可缩放且持久的存储服务提供存储,该服务提供连接终结点。 这意味着应用程序可以直接访问存
储服务。 存储服务在保持事务完整性的同时有效地处理传入存储请求。
后续步骤
若要详细了解 Microsoft 如何帮助保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 信息系统的组件和边界
Azure 网络体系结构
Azure 生产网络
Azure SQL 数据库安全功能
Azure 生产运营和管理
Azure 基础结构监视
Azure 基础结构完整性
Azure 客户数据保护
Azure 信息系统的组件和边界
2021/2/9 • • Edit Online
Azure 体系结构
Azure 是一个云计算平台和基础结构,用于通过数据中心的网络构建、部署和管理应用程序与服务。 Microsoft 管
理这些数据中心。 基于指定的资源数量,Azure 会根据资源需求创建虚拟机 (VM)。 这些 VM 在 Azure 虚拟机监
控程序中运行,该程序只能在云中使用,而不会提供给公众访问。
在主机层,Azure VM 运行最新 Windows Server 的定制强化版本。 Azure 使用的 Windows Server 版本只包含托
管 VM 所需的组件。 这可以提高性能,并减小受攻击面。 机器边界由虚拟机监控程序实施,不依赖于操作系统安
全性。
通 过结 构控制器 进 行 Azure 管理
在 Azure 中,物理服务器(刀片服务器/节点)上运行的 VM 分组为大约由 1000 个 VM 构成的群集。 这些 VM 由
一个横向扩展的冗余平台软件组件(称为结构控制器 (FC))单独管理。
每个 FC 管理其群集中运行的应用程序的生命周期,预配并监视受其控制的硬件的运行状况。 它会运行自主操
作,例如,在确定服务器出现故障时,它会在正常的服务器上重建 VM 实例。 FC 还会执行应用程序管理操作,例
如部署、更新和横向扩展应用程序。
硬件 库 存
FC 在启动配置过程中准备 Azure 硬件和网络设备的库存。 进入 Azure 生产环境的任何新硬件和网络组件必须遵
循启动配置过程。 FC 负责管理 datacenter.xml 配置文件中列出的整个库存。
FC 托管的操作系 统 映像
操作系统团队以虚拟硬盘的形式提供映像,这些映像将部署到 Azure 生产环境中的所有主机和来宾 VM。 该团队
通过自动化的脱机生成过程构建这些基本映像。 基本映像是操作系统的一个版本,其中的内核和其他核心组件
已经过修改和优化,可支持 Azure 环境。
有三种类型的结构托管操作系统映像:
主机:在主机 VM 上运行的定制操作系统。
本机:在租户(例如 Azure 存储)上运行的本机操作系统。 此操作系统不包含任何虚拟机监控程序。
来宾:在来宾 VM 上运行的来宾操作系统。
主机和本机 FC 托管的操作系统只能在云中使用,不可供公众访问。
主机和本机操作系 统
主机和本机操作系统是强化的操作系统映像,它们托管结构代理,并在计算节点(作为节点上的第一个 VM 运行)
和存储节点上运行。 使用主机和本机操作系统的优化基本映像的好处在于,可以减少 API 或未使用的组件公开
的外围应用。 这些 API 或组件可能存在较高的安全风险,并增大操作系统的覆盖范围。 覆盖范围减小的操作系
统只包括 Azure 所需的组件。
来 宾 操作系 统
Azure 数据中心
Microsoft 云基础结构和运营 (MCIO) 团队管理所有 Microsoft 联机服务的物理基础结构和数据中心设施。 MCIO
主要负责管理数据中心内的物理和环境控制,以及管理和支持外围网络设备(例如边缘路由器和数据中心路由
器)。 MCIO 还负责在数据中心内的机架上设置最基本的服务器硬件。 客户无法直接与 Azure 交互。
服务管理和服务团队
Azure 服务的支持由称作“服务团队”的多个工程小组来管理。 每个服务团队负责某个方面的 Azure 支持工作。 每
个服务团队必须指派一名全天候工作的工程师,以调查和解决服务中的故障。 默认情况下,服务团队无法对
Azure 中运行的硬件进行实物接触。
服务团队负责:
应用程序平台
Azure Active Directory
Azure 计算
Azure Net
云工程服务
ISSD:安全性
多重身份验证
SQL 数据库
存储
用户类型
Microsoft 的员工(或合同工)被视为内部用户。 其他所有用户被视为外部用户。 所有 Azure 内部用户都有一种根
据敏感级别分类的员工状态,该状态定义了相应用户对客户数据的访问权限(有访问权限或无访问权限)。 下表
描述了用户对 Azure 的特权(身份验证后的授权权限):
Azure 数据中心工程 内部 无权访问客户数据 管理现场的物理安全 对环境的持久性访问
师 性。 数据中心进出人 权限。
员的巡查,监控所有
入口点。 针对在数据
中心内部提供日常服
务(餐饮、清洁)或 IT
工作的某些非特许人
员,执行数据中心进
出人员护送服务。 针
对网络硬件展开例行
监控和维护。 使用各
种工具执行事件管理
和中断修复工作。 针
对数据中心内的物理
硬件展开例行监控和
维护。 根据业主的要
求访问环境。 能够执
行取证调查、记录事
件报告,并提出强制
性的安全培训和政策
要求。 对关键安全工
具(例如扫描仪和日
志收集)拥有操作所
有权和维护权。
Azure 客户 外部 空值 空值 空值
Azure 内部身份 验证
Azure 内部组件之间的通信受 TLS 加密的保护。 在大多数情况下,X.509 证书已自签名。 包含可从 Azure 网络外
部访问的连接的证书以及 FC 的证书例外。 FC 具有 Microsoft 证书颁发机构 (CA) 颁发的证书,该 CA 以受信任的
根 CA 为后盾。 因此,可以轻松滚动更新 FC 公钥。 此外,Microsoft 开发人员工具使用 FC 公钥。 当开发人员提
交新的应用程序映像时,会使用 FC 公钥加密这些映像,以保护任何嵌入的机密。
Azure 硬件 设备 身份 验证
FC 维护一组凭据(密钥和/或密码),用于在其控制的各种硬件设备上对自身进行身份验证。 Microsoft 使用某个
系统来防止访问这些凭据。 具体而言,在传输、保存和使用这些凭据时,可防止 Azure 开发人员、管理员和备份
服务和人员访问敏感的机密信息或私人信息。
网 络设备
Azure 网络团队将配置网络服务帐户,使 Azure 客户端能够在网络设备(路由器、交换机和负载均衡器)中进行身
份验证。
安全服务管理
Azure 运营人员必须使用安全管理员工作站 (SAW)。 客户可以使用特权访问工作站实现类似的控制。 借助
SAW,管理人员可以使用与用户的标准用户帐户不同的、单独分配的管理帐户。 SAW 通过为这些敏感帐户提供
可信的工作站,建立此帐户分离做法。
后续步骤
若要详细了解 Microsoft 如何帮助保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 基础结构可用性
Azure 网络体系结构
Azure 生产网络
Azure SQL 数据库安全功能
Azure 生产运营和管理
Azure 基础结构监视
Azure 基础结构完整性
Azure 客户数据保护
Azure ⽹络体系结构
2021/2/9 • • Edit Online
Azure 网络体系结构提供从 Internet 到 Azure 数据中心的连接。 在 Azure 上部署 (IaaS 、PaaS 和 SaaS) 的任何工
作负荷都利用了 Azure 数据中心网络。
网络拓扑
Azure 数据中心的网络体系结构由以下组件组成:
边缘网络
广域网络
区域网关网络
数据中心网络
网络组件
网络组件的简短说明。
边缘网络
提供数据中心内服务器之间的连接,具有较低的超额订阅带宽
上述网络组件旨在提供最大的可用性,以支持始终可用的、始终可用的云业务。 从物理方面一直到控制协议,将
冗余设计并内置到网络中。
数据中心网络复原
让我们使用数据中心网络展示复原设计原则。
下图演示了数据中心网络由不同的网络设备层构造。 该图中的条形表示提供冗余和高带宽连接的网络设备组。
后续步骤
若要详细了解 Microsoft 如何帮助保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 基础结构可用性
Azure 信息系统的组件和边界
Azure 生产网络
Azure SQL 数据库安全功能
Azure 生产运营和管理
Azure 基础结构监视
Azure 基础结构完整性
Azure 客户数据保护
Azure ⽣产⽹络
2021/2/9 • • Edit Online
Internet 路由和容错
全局冗余的内部和外部 Azure 域名服务 (DNS) 基础结构与多个主要和辅助 DNS 服务器群集相结合,可提供容错
功能。 与此同时,其他 Azure 网络安全控件(如 NetScaler )可预防分布式拒绝服务 (DDoS) 攻击并保护 Azure
DNS 服务的完整性。
Azure DNS 服务器位于多个数据中心设施。 Azure DNS 实现整合了辅助和主要 DNS 服务器的层次结构,可公开
解析 Azure 客户域名。 域名通常解析成 CloudApp.net 地址,其中包装了客户服务的虚拟 IP (VIP) 地址。 Azure 的
独特之处在于,与租户转换的内部专用 IP (DIP) 地址对应的 VIP 由负责该 VIP 的 Microsoft 负载均衡器执行。
连接到生产网络和关联的防火墙
Azure 网络 Internet 流量流策略将流量定向到美国境内最靠近的区域数据中心内的 Azure 生产网络。 由于 Azure
生产数据中心拥有一致的网络体系结构和硬件,下面的流量流说明同样适用于所有数据中心。
核心安全性和防火墙功能
Azure 在各个级别实现可靠的软件安全性和防火墙功能来强制执行传统环境中通常需要的安全功能,以保护核心
安全授权边界。
Azure 安全功能
Azure 在生产网络内实现基于主机的软件防火墙。 核心 Azure 环境中包含多种核心安全性和防火墙功能。 这些
安全功能反映了 Azure 环境中的深层防御策略。 Azure 中的客户数据受以下防火墙的保护:
此处对两类规则进行了编程:
在任何给定的场景下,所有内部节点上实现的防火墙在安全体系结构方面都存在三个主要注意事项:
防火墙位于负载均衡器后方,接受来自任何位置的数据包。 这些数据包可在外部公开,对应于传统外
围防火墙中打开的端口。
防火墙仅接受来自一组有限地址的数据包。 此考虑是针对 DDoS 攻击的防御性深入战略的一部分。 此
类连接以加密方式进行身份验证。
仅可从选定的内部节点访问防火墙。 防火墙仅接受源 IP 地址枚举列表中的数据包,所有这些都是
Azure 网络中的 DIP。 例如,企业网络中出现的攻击可能会将请求定向到这些地址,但将阻止攻击,除
非数据包的源地址是 Azure 网络内枚举列表中的某个地址。
外围的接入路由器会阻止发往 Azure 网络中某个地址的出站数据包,因为它使用配置的静态路
由。
后续步骤
若要详细了解 Microsoft 如何保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 基础结构可用性
Azure 信息系统的组件和边界
Azure 网络体系结构
Azure SQL 数据库安全功能
Azure 生产运营和管理
Azure 基础结构监视
Azure 基础结构完整性
Azure 客户数据保护
Azure SQL 数据库安全功能
2021/2/9 • • Edit Online
安全功能
TDS 协议 用法
Azure SQL 数据库仅支持表格格式数据流 (TDS) 协议,该协议要求只能通过默认端口 TCP/1433 访问数据库。
Azure SQL 数据 库 防火 墙
为了帮助保护客户数据,Azure SQL 数据库包括防火墙功能,该功能默认情况下会阻止对 SQL 数据库的所有访
问,如下所示。
DoSGuard
名为 DoSGuard 的 SQL 数据库网关服务可以减少拒绝服务 (DoS) 攻击。 DoSGuard 能够主动跟踪 IP 地址发起的
失败登录。 如果特定的 IP 地址在一段时间内多次登录失败,则会阻止该 IP 地址在预定义的时间段内访问服务中
的任何资源。
数据分离和客户隔离
Azure 生产网络的构建方式确保可公开访问的系统组件与内部资源相分离。 为面向公众的 Azure 门户提供访问
权限的 Web 服务器,与客户应用程序实例和客户数据所在的底层 Azure 虚拟基础之间存在物理和逻辑边界。
未 经 授 权 的系 统 和
FC 隔离
由于结构控制器 (FC) 是 Azure 结构的中心业务流程协调程序,因此已采取重要的控制措施来缓解它面临的威
胁,尤其是来自客户应用程序中可能受到攻击的 FA 的威胁。 FC 无法识别其设备信息(例如 MAC 地址)未预先在
FC 中加载的任何硬件。 FC 上的 DHCP 服务器包含它们想要启动的节点的已配置 MAC 地址列表。 即使未经授权
的系统已连接,它们也不会合并到结构库存中,因此,不会连接到结构库存中的任何系统,也无权与这些系统通
信。 这降低了未经授权的系统与 FC 通信并获取 VLAN 和 Azure 的访问权限的风险。
VLAN 隔离
Azure 生产网络在逻辑上分离成三个主要 VLAN:
主 VLAN:互连不受信任的客户节点。
FC VLAN:包含受信任的 FC 及支持的系统。
设备 VLAN:包含受信任的网络和其他基础结构设备。
数据包 筛选
在节点的根 OS 和来宾 OS 上实施的 IPFilter 与软件防火墙强制实施连接限制,并阻止 VM 之间未经授权的流
量。
虚 拟 机 监 控程序、根 OS 和来 宾 VM
根 OS 与来宾 VM 之间的隔离以及不同来宾 VM 之间的隔离,由虚拟机监控程序和根 OS 管理。
防火 墙 上的 规则类 型
规则定义为:
生 产 配置管理
标准的安全配置由相应的运营团队在 Azure 和 Azure SQL 数据库中维护。 通过中心跟踪系统阐述和跟踪对生产
系统做出的所有配置更改。 通过中心跟踪系统跟踪软件和硬件更改。 使用 ACL 管理服务跟踪与 ACL 相关的网络
更改。
将会监视更改是否成功。 发生故障时,会将更改回滚到其以前的状态,或者在得到指定人员的批准的情况下,部
署修补程序来解决故障。 使用 Source Depot、Git、TFS 、Master Data Services (MDS)、Runners、Azure 安全监
视、FC 和 WinFabric 平台在 Azure 虚拟环境中集中管理、应用和验证配置设置。
同样,将对硬件和网络更改运行已建立的验证步骤来评估它们是否符合生成要求。 通过相关小组的协调变更咨
询委员会 (CAB) 在整个堆栈上评审和授权发行版。
后续步骤
若要详细了解 Microsoft 如何保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 基础结构可用性
Azure 信息系统的组件和边界
Azure 网络体系结构
Azure 生产网络
Azure 生产运营和管理
Azure 基础结构监视
Azure 基础结构完整性
Azure 客户数据保护
管理和操作 Azure ⽣产⽹络
2021/2/9 • • Edit Online
监视、日志记录和报告
Azure 生产网络的管理和操作需要在 Azure 运营团队与 Azure SQL 数据库之间做出协调。 团队在环境中使用了
多个系统和应用程序性能监视工具。 他们使用适当的工具来监视网络设备、服务器、服务和应用程序进程。
服务建模功能和高保真开发环境(数据中心群集的成本高昂且能力不足)。
一键式部署和升级工作流,用于执行服务启动和维护。
运行状况报告和自动化修复工作流,可实现自我修复。
跨分布式系统节点的实时监视、警报和调试工具。
集中收集操作数据和指标,以提供分散式的根本原因分析和服务见解。
用于部署、变更管理和监视的操作工具。
Azure SQL 数据库 Windows Fabric 平台和监视器脚本持续实时运行并监视。
如果出现任何异常,将会激活事件响应过程,Azure 事件会审团需遵循此过程。 相应的 Azure 支持人员会收到响
应事件的通知。 在集中式票证系统中阐述和管理问题跟踪与解决方法。 根据保密协议 (NDA) 和客户请求提供系
统正常运行时间指标。
通过企业网络和多重身份验证访问生产环境
企业网络用户群包括 Azure 支持人员。 企业网络支持内部企业职能,并提供 Azure 客户支持人员所用的内部应
用程序的访问权限。 企业网络在物理上和逻辑上与 Azure 生产网络分离。 Azure 人员使用 Azure 工作站和笔记
本电脑访问企业网络。 所有用户必须有一个 Azure Active Directory (Azure AD) 帐户(包括用户名和密码)才能访
问企业网络资源。 企业网络访问使用 Azure AD 帐户,该帐户发布给所有 Microsoft 人员、承包商和供应商,并由
Microsoft 信息技术管理。 唯一的用户标识符根据用户在 Microsoft 的雇佣关系状态来区分用户。
通过 Active Directory 联合身份验证服务 (AD FS) 进行身份验证来控制对内部 Azure 应用程序的访问。 AD FS 是
由 Microsoft 信息技术托管的服务,它通过应用安全令牌和用户声明来提供企业网络用户的身份验证。 AD FS 使
内部 Azure 应用程序能够针对 Microsoft 公司 Active Directory 域对用户进行身份验证。 若要从公司网络环境访
问生产网络,用户必须使用多重身份验证进行身份验证。
后续步骤
若要详细了解 Microsoft 如何保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 基础结构可用性
Azure 信息系统的组件和边界
Azure 网络体系结构
Azure 生产网络
Azure SQL 数据库安全功能
Azure 基础结构监视
Azure 基础结构完整性
Azure 客户数据保护
Azure 基础结构监视
2021/2/9 • • Edit Online
配置和更改管理
Azure 每年都会检查和更新硬件、软件和网络设备的配置设置和基线配置。 在从开发和/或测试环境进入生产环
境之前,需开发、测试和批准更改。
漏洞管理
安全更新管理可帮助保护系统免受已知漏洞的侵害。 Azure 使用集成的部署系统来管理 Microsoft 软件的安全更
新的分发和安装。 Azure 还可以利用 Microsoft 安全响应中心 (MSRC) 的资源。 MSRC 一年中每天每时识别、监
视、响应和解决安全事件以及云漏洞。
漏洞扫描
对服务器操作系统、数据库和网络设备进行漏洞扫描。 至少按季度进行漏洞扫描。 Azure 与独立评估师约定,对
Azure 边界进行渗透测试。 还会定期进行红队练习,根据结果来改善安全性。
保护监视
Azure 安全性定义了主动监视的要求。 服务团队配置符合这些要求的主动监视工具。 主动监视工具包括
Microsoft Monitoring Agent (MMA) 和 System Center Operations Manager。 这些工具配置为在需要立即采取措
施的情况下向 Azure 安全管理人员提供实时警报。
事件管理
Microsoft 实施安全事件管理过程,以在发生事件时加速对事件的协调响应。
如果 Microsoft 发现对存储在其设备或设施上的客户数据未经授权的访问,或者发现未经授权访问这些设备或设
施导致客户数据丢失、泄露或更改,Microsoft 将采取以下措施:
立即通知客户相关安全事件。
立即调查安全事件,并向客户提供有关安全事件的详细信息。
执行合理的提示性步骤,以减轻影响并将安全事件导致的所有损害降至最低。
后续步骤
若要详细了解 Microsoft 如何保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 基础结构可用性
Azure 信息系统的组件和边界
Azure 网络体系结构
Azure 生产网络
Azure SQL 数据库安全功能
Azure 生产运营和管理
Azure 基础结构完整性
Azure 客户数据保护
Azure 基础结构完整性
2021/2/9 • • Edit Online
软件安装
安装在 Azure 环境中的软件堆栈中的所有组件都是按照 Microsoft 的安全开发生命周期 (SDL) 流程自定义生成
的。 所有软件组件(包括操作系统 (OS) 映像和 SQL 数据库)都在变更管理和发布管理过程中进行部署。 在所有
节点上运行的 OS 是 Windows Server 2008 或 Windows Server 2012 的自定义版本。 结构控制器 (FC) 根据其为
OS 设定的角色来选择确切的版本。 此外,主机 OS 不允许安装任何未经授权的软件组件。
某些 Azure 组件作为 Azure 客户部署在来宾 OS 上运行的来宾 VM 上。
生成时的病毒扫描
Azure 软件组件(包括 OS )生成必须使用终结点保护防病毒工具进行病毒扫描。 每次病毒扫描都会在关联的生成
目录中创建一个日志,详细说明扫描的内容和扫描结果。 病毒扫描是 Azure 中每个组件的生成源代码的一部分。
如果未对代码进行干净且成功的病毒扫描,就不会将其移至生产环境中。 一旦发现任何问题,就会将生成冻结,
并提交给 Microsoft Security 的安全团队,以确定在生成的哪一处混入了“未授权”代码。
封闭和锁定的环境
默认情况下,Azure 基础结构节点和来宾 VM 上不会创建用户帐户。 此外,默认的 Windows 管理员帐户也处于
禁用状态。 Azure Live Support 的管理员经过适当的身份验证后,可以登录这些计算机并管理 Azure 生产网络以
进行紧急维修。
自定义监视代理
SQL 数据库使用称为监视器的自定义监视代理 (MA) 来监视 SQL 数据库群集的运行状况。
Web 协议
角色 实 例 监视 和重启
Azure 确保部署的所有正在运行的角色(面向 Internet 的 Web 角色或后端处理辅助角色)都受到持续的运行状况
监视,以确保这些角色有效且高效地提供已预配它们的服务。 如果某个角色由于托管应用程序中的严重故障或
角色实例本身的基础配置问题而变得不正常,FC 将检测角色实例中的问题并启动纠正状态。
计算连接
Azure 确保可通过基于 Web 的标准协议来访问部署的应用程序或服务。 面向 Internet 的 Web 角色的虚拟实例
具有外部 Internet 连接,并且可供 Web 用户直接访问。 为了保护辅助角色代表可公开访问的 Web 角色虚拟实
例执行的操作的敏感性和完整性,后端处理辅助角色的虚拟实例具有外部 Internet 连接,但不能由外部 Web 用
户直接访问。
后续步骤
若要详细了解 Microsoft 如何保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 基础结构可用性
Azure 信息系统的组件和边界
Azure 网络体系结构
Azure 生产网络
Azure SQL 数据库安全功能
Azure 生产运营和管理
Azure 基础结构监视
Azure 客户数据保护
Azure 客户数据保护
2021/2/9 • • Edit Online
Microsoft 为 Azure 支持人员分配独特的企业 Active Directory 帐户。 Azure 依赖于 Microsoft 信息技术 (MSIT) 管
理的 Microsoft Corporate Active Directory 来控制对关键信息系统的访问。 要求执行多重身份验证,只从安全的
控制台授予访问权限。
所有访问尝试受到监视,可以通过一组基本报告来显示。
数据保护
Azure 按默认或者以客户选项的形式为客户提供可靠的数据安全性。
数据隔离 :Azure 是一项多租户服务,这意味着,多个客户的部署和 VM 存储在同一物理硬件上。 Azure 使用逻
辑隔离将每个客户的数据互相分离开来。 分离提供多租户服务的缩放和经济优势,同时严格防止客户访问其他
人的数据。
出于合规或延迟方面的考虑使用国内/区域内存储。
出于安全或灾难恢复目的使用国外/区域外存储。
数据可在选定的地理区域中进行复制以实现冗余,但不会传输到此区域以外。 客户可以使用多个选项来复制数
据,包括指定副本数量,以及复制数据中心的数量和位置。
创建存储帐户时,请选择以下复制选项之一:
客户数据所有权
Microsoft 不会检查、审批或监视客户在 Azure 中部署的应用程序。 此外,Microsoft 不知道客户选择在 Azure 中
存储哪种类型的数据。 Microsoft 不会基于客户在 Azure 中输入的信息声索数据所有权。
记录管理
针对后端数据,Azure 已制定内部记录保留要求。 客户负责确定其自己的记录保留要求。 对于存储在 Azure 中的
记录,客户需负责提取其数据,并根据自己指定的保留期在 Azure 的外部保留内容。
电子发现
Azure 客户在使用 Azure 服务时需负责遵守电子发现要求。 如果 Azure 客户必须保留其客户数据,可在本地导出
并保存数据。 此外,客户可以请求从 Azure 客户支持部门导出其数据。 除了允许客户导出其数据以外,Azure 还
会在内部展开广泛的日志记录和监视。
后续步骤
若要详细了解 Microsoft 如何保护 Azure 基础结构,请参阅:
Azure 设施、场地和物理安全性
Azure 基础结构可用性
Azure 信息系统的组件和边界
Azure 网络体系结构
Azure 生产网络
Azure SQL 数据库安全功能
Azure 生产运营和管理
Azure 基础结构监视
Azure 基础结构完整性
平台完整性和安全性概述
2021/2/9 • • Edit Online
保护 Azure 硬件和固件
此系列文章介绍了 Microsoft 如何通过其生命周期中的各个阶段(从制造到日落)来确保主机的完整性和安全性。
文章讨论了:
固件安全性
UEFI 安全启动
标准启动和主机证明
项目 Cerberus
静态加密
虚拟机监控程序安全性
后续步骤
了解 Microsoft 如何积极地在云硬件生态系统中合作来驱动持续 固件安全改进。
了解云中责任分担。
固件安全性
2021/2/9 • • Edit Online
保护云硬件生态系统
Microsoft 积极在云硬件生态系统中的合作伙伴,通过以下方式驱动持续安全改进:
与 Azure 硬件和固件伙伴 (,如组件制造商和系统集成商) ,以满足 Azure 硬件和固件安全要求。
固件安全启动
固件安全恢复
固件安全更新
固件加密
锁定的硬件
精细调试遥测
TPM 2.0 硬件的系统支持,用于启用标准启动
通过开发规范 (OCP) 安全项目,参与和贡献 开放式计算项目 。 规范提升了一致性和清晰度,以确保生态
系统中的安全设计和体系结构。
NOTE
我们对 OCP 安全项目的贡献示例是 硬件安全启动 规范。
保护硬件和固件供应链
还需要适用于 Azure 的云硬件供应商和供应商,以遵守供应链安全流程和 Microsoft 开发的要求。 需要硬件和固
件开发和部署过程才能遵循 Microsoft 安全开发生命周期 (SDL) 过程,例如:
威胁建模
安全设计评审
固件审查和渗透测试
保护生成和测试环境
安全漏洞管理和事件响应
后续步骤
若要详细了解如何驱动平台的完整性和安全性,请参阅:
安全启动
标准启动和主机证明
项目 Cerberus
静态加密
虚拟机监控程序安全性
安全启动
2021/2/9 • • Edit Online
组件和过程
安全引导依赖于以下关键组件:
平台键 (PK) -在平台所有者 (Microsoft) 和固件之间建立信任。 Public 一半是 PKpub,而 private 一半是
PKpriv。
密钥注册密钥数据库 (KEK) -在 OS 和平台固件之间建立信任。 Public 一半是 KEKpub,而 private 一半是
KEKpriv。
签名数据库 (db) -保存受信任签署者 (公钥和证书的摘要,这些摘要和证书) 授权与平台固件交互的固件和软
件模块。
已吊销的签名数据库 (.dbx) –持有已被识别为恶意、易受攻击、已泄露或不受信任的代码模块的摘要。 如果哈
希位于签名数据库和吊销的签名数据库中,则已吊销的签名数据库采用引用单元。
下图和进程说明了如何更新这些组件:
在启动过程中的每个阶段,将计算固件、启动程序、操作系统、内核驱动程序和其他启动链项目的摘要,并将其与
可接受的值进行比较。 不允许加载不受信任的固件和软件。 因此,可能会阻止低级恶意软件注入或预启动恶意
软件攻击。
在 Azure 汽油上安全启动
如今,载入并部署到用于托管客户工作负荷的 Azure 计算的每台计算机都是在启用了安全启动的工厂楼层中进
行的。 在硬件 ring 和集成管道中的每个阶段都有目标工具和过程,以确保不会因意外或恶意目的而恢复安全启
动。
验证 db 和 .dbx 摘要是否正确可确保:
加载项存在于其中一个 db 条目中
引导程序的签名有效
主机通过受信任的软件启动
后续步骤
若要详细了解如何驱动平台的完整性和安全性,请参阅:
固件安全性
标准启动和主机证明
项目 Cerberus
静态加密
虚拟机监控程序安全性
标准启动和主机证明
2021/2/9 • • Edit Online
标准引导
受信任的平台模块 (TPM) 是使用受信任的第三方提供的固件的防篡改加密安全审核组件。 启动配置日志包含其
平台配置注册中记录的哈希链接度量值 () 主机上一次启动序列时,将在该主机上注册。 下图显示了此录制过程。
以增量方式将以前的哈希度量值添加到下一个度量值的哈希,并在联合上运行哈希算法来完成哈希链。
主机证明服务
主机证明服务是一种预防措施,在允许主机计算机与客户数据或工作负荷交互之前,检查主机是否可信。 主机证
明服务检查的方法是,通过验证符合性声明的主机的符合性声明 (可验证的主机的符合性证明) 安全状态) 的证明
策略 (定义。 TPM 提供的 信任根 提供此系统的完整性。
证明度量
下面是今天捕获的许多度量值的示例。
安全启 动 和安全启 动 密 钥
通过验证签名数据库和吊销的签名数据库摘要是否正确,主机证明服务可确保客户端代理认为合适的软件是受
信任的。 通过验证公钥注册密钥数据库和公共平台密钥的签名,主机证明服务会确认只有可信方有权修改被视
为受信任的软件的定义。 最后,通过确保安全启动处于活动状态,主机证明服务会强制验证这些定义。
调试 控件
调试器是面向开发人员的强大工具。 但是,如果提供给不受信任的参与方,自由的内存和其他调试命令的访问可
能会降低数据保护和系统的完整性。 在生产计算机上启动时,主机证明服务可确保禁用任何类型的调试。
代 码 完整性
UEFI 安全启动 可以确保只有受信任的低级别软件可以在启动顺序中运行。 不过,相同的检查还必须在启动后环
境中应用到使用内核模式访问的驱动程序和其他可执行文件。 为此, (CI) 策略的代码完整性用于通过指定有效
和无效的签名来定义哪些驱动程序、二进制文件和其他可执行文件被视为受信任。 强制实施这些策略。 策略违
规会生成警报到安全事件响应团队进行调查。
后续步骤
若要详细了解如何驱动平台的完整性和安全性,请参阅:
固件安全性
安全启动
Cerberus 项目
静态加密
虚拟机监控程序安全性
项⽬ Cerberus
2021/2/9 • • Edit Online
启用信任锚
每个 Cerberus 芯片都具有唯一的加密标识,该标识是使用) 的 Microsoft 证书颁发机构 (的签名证书链建立的。
从 Cerberus 获取的度量值可用于验证组件的完整性,如:
主机
基板管理控制器 (BMC)
所有外围设备,包括网络接口卡和 系统芯片 (SoC)
此信任锁定点可帮助保护平台固件:
平台上运行的已泄露固件二进制文件
利用操作系统、应用程序或虚拟机监控程序中的 bug 的恶意软件和黑客
某些类型的供应链攻击 (制造、组装、中转)
具有管理权限或访问硬件的恶意预览体验人员
Cerberus 证明
Cerberus 使用平台固件清单 (PFM) 为服务器组件的固件完整性进行身份验证。 PFM 定义授权固件版本的列表,
并向 Azure 主机证明服务提供平台度量。 主机证明服务验证度量,并做出决定,只允许受信任的主机加入 Azure
汽油并托管客户工作负荷。
NOTE
若要了解详细信息,请参阅 GitHub 上的 项目 Cerberus 信息。
后续步骤
若要详细了解如何驱动平台的完整性和安全性,请参阅:
固件安全性
安全启动
标准启动和主机证明
静态加密
虚拟机监控程序安全性
Azure 静态数据加密
2021/2/9 • • Edit Online
什么是静态加密?
加密是用于保护数据机密性的数据的安全编码。 Azure 中的静态加密设计使用对称加密根据简单的概念模型来
快速加密和解密大量数据:
将使用对称加密密钥在将数据写入到存储时对数据进行加密。
当数据在内存中就绪可供使用时,将会使用同一加密密钥来解密该数据。
可以将数据分区,并可对每个分区使用不同的密钥。
必须将密钥存储在实施了基于标识的访问控制和审核策略的安全位置。 数据加密密钥通常由 Azure Key Vault
中的密钥加密密钥进行加密,以进一步限制访问。
静态加密的目的
静态加密为已存储的数据(静止的)提供数据保护。 对静态数据进行的攻击包括:试图获得存储数据的硬件的物理
访问机会,然后盗用其中包含的数据。 发生此类攻击可能是由于服务器的硬盘驱动器在维护过程中处理不当,导
致攻击者有机会拆除硬盘驱动器。 攻击者随后会将该硬盘驱动器置于受其控制的计算机中,尝试访问相关数据。
静态加密旨在防止攻击者访问未加密的数据,其方法是确保这些数据在磁盘上时是加密的。 如果攻击者获取了
包含加密数据的硬盘驱动器但未获取加密密钥,则攻击者必须破解加密才能读取数据。 这种攻击比访问硬盘驱
动器上的未加密数据要复杂得多,且消耗的资源也多得多。 因此,强烈建议使用静态加密。对于许多组织来说,
这是需要完成的高优先级事项。
密 钥层 次 结 构
在实施静态加密时,使用多个加密密钥。 将加密密钥存储在 Azure Key Vault 中可确保安全的密钥访问并可集中
管理密钥。 但是,就批量加密和解密来说,通过服务在本地访问加密密钥比每项数据操作都要与 Key Vault 交互
更为高效,可以提高加密强度和性能。 限制单个加密密钥的使用降低了密钥被盗用的风险,也降低了必须更换密
钥时的重新加密成本。 Azure 静态加密模块使用一个密钥层次结构来解决所有这些需求,该密钥层次结构由以下
类型的密钥构成:
使用密钥加密密钥加密的数据加密密钥将单独进行存储,只有能够访问密钥加密密钥的实体才能解密这些数据
加密密钥。 支持各种不同的密钥存储模型。 有关详细信息,请参阅数据加密模型。
Microsoft 云服务中的静态加密
Microsoft 云服务用于下述所有三个云模型:IaaS 、PaaS 、SaaS 。 下面是在每个模型上使用该服务的示例:
软件服务,也称软件即服务(简称 SaaS ),它包含云提供的应用程序,例如 Microsoft 365 。
平台服务,方便客户在其应用程序中利用云,将云用于存储、分析和服务总线功能等。
基础结构服务,也称基础结构即服务 (IaaS),方便客户部署托管在云中的操作系统和应用程序,并尽可能利用
其他云服务。
适合SaaS 客 户 的静 态 加密
软件即服务 (SaaS) 客户通常会在每个服务中启用或提供静态加密。 Microsoft 365 为客户提供多个选项来验证
或启用静态加密。 若要了解 Microsoft 365 服务,请参阅 Microsoft 365 中的加密。
适合PaaS 客 户 的静 态 加密
平台即服务 (PaaS) 客户的数据通常驻留在存储服务(例如 Blob 存储)中,但也可以缓存或存储在应用程序执行环
境(例如虚拟机)中。 若要查看适用的静态加密选项,请检查下表中是否存在所用的存储和应用程序平台。
适合 IaaS 客 户 的静 态 加密
基础结构即服务 (IaaS) 客户可以使用各种服务和应用程序。 IaaS 服务可以在其 Azure 托管的虚拟机和 VHD 中通
过 Azure 磁盘加密来启用静态加密。
加密的存 储
所有托管磁盘、快照和映像都通过服务管理的密钥使用存储服务加密进行加密。 更完整的静态加密解决方案可
确保数据从不以未加密形式持久保存。 在虚拟机上处理数据时,可以将数据持久保存到 Windows 页面文件或
Linux 交换文件、故障转储或应用程序日志。 为了确保对该数据进行静态加密,IaaS 应用程序可以在 Azure IaaS
虚拟机(Windows 或 Linux)和虚拟磁盘上使用 Azure 磁盘加密。
自定 义 静 态 加密
Azure 资源提供程序加密模型支持
每个 Microsoft Azure 服务都支持一个或多个静态加密模型。 但是,对于某些服务来说,其中的一个或多个加密
模型可能并不适用。 对于支持客户管理的密钥方案的服务,它们可能只支持 Azure Key Vault 支持用于密钥加密
密钥的密钥类型的一个子集。 另外,服务可能会按不同的计划发布对这些方案和密钥类型的支持。 此部分介绍
的静态加密支持在撰写本文时仍适用于每个主要的 Azure 数据存储服务。
Azure 磁 盘 加密
任何使用 Azure 基础结构即服务 (IaaS) 功能的客户都可以通过 Azure 磁盘加密为其 IaaS VM 和磁盘实施静态加
密。 有关 Azure 磁盘加密的详细信息,请参阅 Azure 磁盘加密文档。
Azure 存 储
所有 Azure 存储服务(Blob 存储、队列存储、表存储和 Azure 文件存储)均支持静态服务器端加密,其中某些服务
额外支持客户管理的密钥和客户端加密。
可以通过 Always Encrypted 功能启用对 Azure SQL 数据库数据的客户端加密。 Always Encrypted 使用由客户端
创建和存储的密钥。 客户可以将主密钥存储在 Windows 证书存储、Azure Key Vault 或本地硬件安全模块中。 使
用 SQL Server Management Studio 时,SQL 用户可以选择想要使用什么密钥来加密哪个列。
结论
保护存储在 Azure 服务中的客户数据对于 Microsoft 来说至关重要。 所有 Azure 托管服务都会始终提供静态加
密选项。 Azure 服务支持服务管理的密钥、客户管理的密钥或客户端加密。 Azure 服务正在大范围地增强静态加
密的可用性,计划在将来数月中推出新功能的预览版和公开发行版。
后续步骤
若要详细了解服务管理的密钥和客户管理的密钥,请参阅数据加密模型。
了解 Azure 如何使用双重加密来缓解加密数据所带来的威胁。
了解 Microsoft 如何确保主机遍历硬件和固件构建、集成、操作化和维修管道的 完整性和安全性 。
Azure 汽油上的虚拟机监控程序安全性
2021/2/9 • • Edit Online
Azure 虚拟机监控程序的构建目的是考虑以下安全目标:
平台完整性 虚拟机监控程序的完整性取决于它所依赖的硬件和软件的完
整性。 尽管虚拟机监控程序无法直接控制平台的完整性,但
Azure 依赖于硬件和固件机制(如 Cerberus 芯片)来保护和检
测底层平台完整性。 如果平台完整性受到危害,则会阻止
VMM 和来宾运行。
受限访问 只有通过安全连接进行连接的授权管理员才能执行管理功
能。 最小特权原则由 Azure 基于角色的访问控制 (Azure
RBAC) 机制强制实施。
审核 Azure 允许审核功能捕获和保护有关系统上发生的情况的数
据,以便以后可以对其进行检查。
虚拟机监控程序强制实施的强定义安全边界
Azure 虚拟机监控程序强制执行以下两个安全边界:
虚拟化的 "来宾" 分区和特权分区 ( "主机" )
多个来宾
本身和主机
本身和所有来宾
为虚拟机监控程序安全边界保证机密性、完整性和可用性。 边界防御各种攻击,包括侧通道信息泄露、拒绝服务
和特权提升。
虚拟机监控程序安全边界还为网络流量、虚拟设备、存储、计算资源和所有其他 VM 资源提供租户之间的分段。
深层防御攻击缓解
在极少数情况下,安全边界有一个漏洞,Azure 虚拟机监控程序包括多个缓解层,包括:
隔离承载跨虚拟机组件的基于主机的进程
基于虚拟化的安全 (VBS) ,确保用户和内核模式组件在安全世界中的完整性
多个攻击级别。 缓解措施包括地址空间布局随机化 (ASLR) ,数据执行保护 (DEP) ,任意代码防护,控制流完
整性和数据损坏防护
在编译器级别自动初始化堆栈变量
自动初始化 Hyper-v 所进行的内核堆分配的内核 Api
这些缓解旨在使利用跨 VM 漏洞的攻击成为不可行的。
强大的安全保障过程
与虚拟机监控程序相关的攻击面包括软件网络、虚拟设备和所有跨虚拟机表面。 攻击面通过自动生成集成进行
跟踪,这会触发定期的安全检查。
NOTE
了解有关 Hyper-v 中的 强大安全保障流程 的详细信息。
后续步骤
若要详细了解如何驱动平台的完整性和安全性,请参阅:
固件安全性
安全启动
标准启动和主机证明
Cerberus 项目
静态加密
Azure 公有云中的隔离
2021/2/9 • • Edit Online
租户级别隔离
云计算的一个主要优势是同时跨多位客户使用共享的通用基础结构的概念,可带来规模效益。 这种概念称为多
租户。 Microsoft 始终致力于确保 Microsoft Cloud Azure 的多租户体系结构支持安全、保密性、隐私、完整性和
可用性标准。
在启用云的工作区中,可以将“租户”定义为拥有并管理该云服务的特定实例的客户端或组织。 使用 Microsoft
Azure 提供的标识平台,租户只是组织在注册 Microsoft 云服务时接收并拥有的 Azure Active Directory (Azure
AD) 专用实例。
每个 Azure AD 目录都是独特的,独立于其他 Azure AD 目录。 就像公司办公大楼是组织特有的安全资产一样,根
据设计,Azure AD 目录也是仅供组织使用的安全资产。 Azure AD 体系结构隔离了客户数据和身份信息,避免混
合存放。 这意味着,一个 Azure AD 目录的用户和管理员不可能意外或恶意性地访问另一目录中的数据。
Azure 租 户
Azure 租户(Azure 订阅)是指 Azure Active Directory 中的“客户/账单”关系和唯一的租户。 Microsoft Azure 中的
租户级隔离使用 Azure Active Directory 和 Azure 提供的 基于角色的访问控制 实现。 每个 Azure 订阅都会与一
个 Azure Active Directory (AD) 目录关联。
除非租户管理员通过联合身份验证或预配来自其他租户的用户帐户授予访问权限,否则不允许跨租户访
问。
从门户一直到永久性存储,租户容器的概念深入贯彻于目录服务的每一层。
计算隔离
Microsoft Azure 提供各种基于云的计算服务,包括大量计算实例和服务,它们可根据应用程序或企业的需求自
动扩展和缩减。 这些计算实例和服务提供多个级别的隔离来保护数据,且不会降低客户所需配置的灵活性。
独立虚 拟 机大小
Azure 计算提供独立于特定硬件类型并专用于单个客户的虚拟机大小。 独立大小在特定的硬件生成上有效并运
行,当硬件生成失效时,将弃用。
独立的虚拟机大小最适合于由于满足符合性和法规要求等原因而需要与其他客户的工作负载高度隔离的工作负
载。 使用独立大小可保证你的虚拟机将是在特定服务器实例上唯一运行的虚拟机。
当前的独立虚拟机产品/服务包括:
Standard_E64is_v3
Standard_E64i_v3
Standard_E80ids_v4
Standard_E80is_v4
Standard_M128ms
Standard_GS5
Standard_G5
Standard_F72s_v2
NOTE
独立的 VM 大小具有有限的硬件寿命。 详情请参阅下文
弃用独立的 VM 大小
由于独立的 VM 大小是硬件绑定的大小,Azure 将在正式弃用这些大小之前 12 个月提供提醒。 Azure 还将为我
们的下一个硬件版本提供已更新的独立大小,客户可以考虑将其工作负载转移到该版本上。
Standard_DS15_v21 2020 年 5 月 15 日
Standard_D15_v21 2020 年 5 月 15 日
常见问题解答
问 :是要停用大小 还 是只停用 “隔离 ”功能?
答 :如果虚拟机大小没有“i”下标,则只有“隔离”功能将失效。 如果不需要隔离,则不需要执行任何操作,VM 将继
续按预期工作。 例如 Standard_DS15_v2 、Standard_D15_v2 、Standard_M128ms 等。如果虚拟机大小包括“i”下
标,那么该大小将被停用。
问 :迁移到非独立的虚 拟 机是否有成本增量?
答 :否
问 :其他独立大小将于何 时 停用?
答 :我们将提前 12 个月进行提醒,以防官方弃用孤立的大小。
后续步骤
客户还可以选择利用对嵌套虚拟机的 Azure 支持,对这些独立的虚拟机资源进一步细分。
专 用主机
除了前面部分所述的独立主机以外,Azure 还提供了专用主机。 Azure 中的专用主机是一项服务,它提供能够承
载一个或多个虚拟机的物理服务器,专用于单个 Azure 订阅。 专用主机在物理服务器级别提供硬件隔离。 不会
在你的主机上放置任何其他 VM。 专用主机部署在相同的数据中心,与其他非隔离主机共享相同的网络和底层存
储基础结构。 有关详细信息,请参阅 Azure 专用主机的详细概述。
根 VM 和来 宾 VM 之 间 的 Hyper-V 和根 OS 隔离
Azure 的计算平台以计算机虚拟化为基础,这意味着所有客户代码都在 Hyper-V 虚拟机中执行。 在每个 Azure 节
点(或网络终结点)上,都有一个虚拟机监控程序在硬件上直接运行,并将节点分为数目不定的来宾虚拟机 (VM)。
Azure 结 构控制器
Azure 结构控制器负责将基础结构资源分配到租户工作负荷,并管理从主机到虚拟机的单向通信。 Azure 结构控
制器的 VM 布局算法高度复杂,并且作为物理主机级别几乎不可能预测。
Azure 虚拟机监控程序会在虚拟机之间强制实施内存和流程的隔离,并通过安全方式将网络流量路由到来宾 OS
租户。 这样可以避免 VM 级别的侧信道攻击。
虚拟机监控程序和主机 OS 提供了网络数据包筛选器,可帮助确保不受信任的虚拟机无法产生欺骗性流量或接
收并非发送给它们的流量,也无法将流量定向到受保护的基础结构终结点,或发送/接收不适当的广播流量。
结 构控制器代理 为 隔离 VM 而配置的其他 规则
默认情况下,在创建虚拟机时,会阻止所有流量,结构控制器代理会配置数据包筛选器,添加规则和例外以允许
经授权的流量。
进行编程的规则有两类:
VLAN 隔离
每个群集中有三个 VLAN:
主 VLAN – 互连不受信任的客户节点
FC VLAN – 包含受信任的 FC 及支持的系统
设备 VLAN – 包含受信任的网络和其他基础结构设备
允许从 FC VLAN 到主 VLAN 的通信,但不能启动从主 VLAN 到 FC VLAN 的通信。 还会阻止从主 VLAN 到设备
VLAN 的通信。 这可确保即使运行客户代码的节点遭到破坏, FC 或设备 VLAN 上的节点也不会受到攻击。
存储隔离
计 算和存 储 之 间 的 逻辑 隔离
作为其基本设计的一部分,Microsoft Azure 将基于 VM 的计算与存储分隔开。 这种分隔可实现计算和存储的自
主扩展,使提供多租户和隔离变得更简单。
IP 级别 存 储 隔离
可以为受信任客户端建立防火墙,定义 IP 地址范围。 使用 IP 地址范围,只有 IP 地址在定义范围内的客户端才可
以连接到 Azure 存储。
Encryption
Azure 提供了以下加密类型来保护数据:
传输中加密
静态加密
传输 中加密
静 态 加密
该解决方案不支持版本中的以下方案、功能和技术:
基本层 IaaS VM
在 Linux IaaS VM 的 OS 驱动器上禁用加密
使用经典 VM 创建方法创建的 IaaS VM
与本地密钥管理服务集成
Azure 文件(文件共享系统)、网络文件系统 (NFS)、动态卷,以及配置了基于软件的 RAID 系统的 Windows
VM
SQL 数据库隔离
SQL 数据库是 Microsoft 云中的关系型数据库服务,它基于行业领先的 Microsoft SQL Server 引擎,能够处理任
务关键型工作负荷。 SQL 数据库在联网时基于地理位置/区域提供帐户级别的可预测数据隔离,几乎不用人工管
理。
SQL 数据 库应 用程序模型
Microsoft SQL 数据库是一项基于云的关系数据库服务,是根据 SQL Server 技术构建的。 它提供由 Microsoft 在
云端托管的多租户数据库服务,该服务高度可用并且可缩放。
从应用程序的角度来看,SQL 数据库提供了以下层次结构:每个级别都包含以下一对多的级别。
帐户和订阅是用于将计费和管理关联的 Microsoft Azure 平台。
逻辑主数据库包括:
同一服务器中数据库的计费和使用情况相关信息不保证位于群集中的同一物理实例中,应用程序在连接时必须
提供目标数据库名称。
从客户的角度看,服务器是在某个地理区域中创建的,但实际上,服务器是在该区域内的一个群集中创建的。
通 过 网 络 拓扑 实现 的隔离
创建服务器并注册其 DNS 名称后,该 DNS 名称指向该服务器所在的特定数据中心内所谓的“网关 VIP”地址。
网络隔离
Azure 部署具有多层网络隔离。 下图显示了 Azure 提供给客户的各种网络隔离层。 这些层同时属于 Azure 平台
本身的本机功能和客户定义的功能。 对于来自 Internet 的入站流量,Azure DDoS 提供针对 Azure 的大规模攻击
的隔离。 下一层隔离是客户定义的公共 IP 地址(终结点),可以根据这些终结点确定哪些流量可以通过云服务进
入虚拟网络。 本机 Azure 虚拟网络隔离可确保与其他所有网络完全隔离,而且流量只能流经用户配置的路径和
方法。 这些路径和方法就是下一个安全层,在该层中,可以使用 NSG、UDR 和网络虚拟设备来创建隔离边界,以
保护受保护网络中的应用程序部署。
流量隔离 :虚拟网络是 Azure 平台上的流量隔离边界。 一个虚拟网络中的虚拟机 (VM) 无法与不同虚拟网络中的
VM 直接通信,即使这两个虚拟网络是由同一个客户所创建。 隔离是一个非常关键的属性,可确保客户 VM 与通
信在虚拟网络中保持私密性。
后续步骤
了解 Windows Azure 虚拟网络中的计算机的网络隔离选项。 它包括经典的前端和后端方案,其中特定后
端网络或子网中的计算机可能只允许某些客户端或其他计算机根据 IP 地址允许列表连接到特定终结点。
为混合企业中的每个用户创建和管理单一标识,从而保持用户、组和设备同步。
提供对应用程序(包括数千个预先集成的 SaaS 应用)的 SSO 访问。
通过对本地应用程序和云应用程序实施基于规则的多重身份验证,启用应用程序访问安全措施。
通过 Azure AD 应用程序代理预配对本地 Web 应用程序的安全远程访问。
单一登录
反向代理
多重身份验证
Azure 基于角色的访问控制 (Azure RBAC)
安全监控、警报和基于机器学习的报告
消费者标识和访问管理
设备注册
Privileged identity management
标识保护
混合标识管理/Azure AD Connect
Azure AD 访问评审
单一登录
SSO 是指只需使用单个用户帐户登录一次,就能访问开展业务所需的全部应用程序和资源。 登录之后,用户可以
访问全部所需的应用程序,而无需再次进行身份验证(例如键入密码)。
优势是不仅用户无需管理多组用户名和密码,而且你还可根据其组织组和员工状态,自动预配或取消预配应用程
序的访问权限。 Azure AD 引入了安全和访问管理控制,因此可以跨 SaaS 应用程序集中管理用户的访问权限。
了解详细信息:
SSO 概述
有关身份验证基础的视频
应用程序管理的快速入门系列
反向代理
使用 Azure AD 应用程序代理可以在专用网络内部发布本地应用程序(例如 SharePoint 站点、Outlook Web 应
用和基于 IIS 的应用),并网络之外的用户提供安全访问。 应用程序代理为许多类型的本地 Web 应用程序和
Azure AD 支持的数以千计的 SaaS 应用程序提供远程访问和 SSO。 员工可以从家中他们自己的设备登录到应
用,并通过此基于云的代理进行身份验证。
了解详细信息:
启用 Azure AD 应用程序代理
使用 Azure AD 应用程序代理发布应用程序
使用应用程序代理进行单一登录
使用条件性访问
多重身份验证
Azure AD 多重身份验证是需要使用多种验证方法的身份验证方法,为用户登录和事务又增加了一层至关重要的
安全保障。 多重身份验证可帮助保护对数据和应用程序的访问,同时可以满足用户对简单登录过程的需求。 它
通过各种验证选项(例如电话、短信、移动应用通知或验证码以及第三方 OAuth 令牌)来提供强身份验证。
了解详细信息:
多重身份验证
什么是 Azure AD 多重身份验证?
Azure AD 多重身份验证的工作原理
Azure RBAC
Azure RBAC 是在 Azure 资源管理器基础上构建的授权系统,针对 Azure 中的资源提供精细的访问权限管理。 可
以通过 Azure RBAC 精确控制用户具有的访问权限级别。 例如,可以限制一位用户仅管理虚拟网络,限制另一位
用户管理资源组中的所有资源。 Azure 包含多个可用的内置角色。 下面列出了四个基本的内置角色。 前三个角
色适用于所有资源类型。
所有者 - 拥有对所有资源的完全访问权限,包括将访问权限委派给其他用户的权限。
参与者 - 可以创建和管理所有类型的 Azure 资源,但无法将访问权限授予其他用户。
读取者 - 可以查看现有的 Azure 资源。
用户访问管理员 - 可以管理用户对 Azure 资源的访问。
了解详细信息:
安全监控、警报和基于机器学习的报告
安全监控、警报和基于机器学习的报告(用于标识不一致的访问模式)可以帮助保护业务。 可以使用 Azure AD 的
访问和使用情况报告来监控组织目录的完整性和安全性。 使用此信息,目录管理员可以更好地确定哪里可能存
在安全风险,以便制定相应的计划来降低这些风险。
在 Azure 门户中,报告分为以下类别:
异常 报 告 :包含我们发现存在异常的登录事件。 我们的目标是让你知道这类活动,并让你能够确定事件是否
可疑。
集成式 应 用程序 报 告 :就组织如何使用云应用程序提供见解。 Azure AD 提供与数千个云应用程序的集成。
错误报 告 :指示在为外部应用程序预配帐户时可能发生的错误。
用 户 特定的 报 告 :显示特定用户的设备登录活动数据。
活 动 日志 :包含过去 24 小时、过去 7 天或过去 30 天内的所有已审核事件的记录,以及组活动更改记录、密
码重置和注册活动记录。
了解详细信息:
查看访问和使用情况报告
Azure Active Directory 报告入门
Azure Active Directory 报告指南
消费者标识和访问管理
Azure AD B2C 是一项高度可用的全局性标识管理服务,适用于面向用户且可通过缩放来处理数亿标识的应用程
序。 它可以跨移动平台和 Web 平台进行集成。 使用者只需使用现有社交帐户或创建新凭据,即可通过可自定义
的体验登录到所有应用程序。
过去,想要在自己的应用程序中注册客户并使其登录的应用程序开发人员会编写自己的代码。 他们使用本地数
据库或系统存储用户名和密码。 Azure AD B2C 通过基于标准的安全平台和大量的可扩展策略,向组织提供一种
更好的方式将用户标识管理集成到应用程序中。
了解详细信息:
设备注册
Azure AD 设备注册是基于设备的 条件性访问 方案的基础。 在注册设备时,Azure AD 设备注册会为设备提供一
个标识,用于在用户登录时对设备进行身份验证。 然后,可以使用经过身份验证的设备和设备的属性,对云中和
本地托管的应用程序实施条件性访问策略。
了解详细信息:
Azure AD 设备注册入门
将已加入 Windows 域的设备自动注册到 Azure AD
对已加入域的 Windows 设备在 Azure AD 中的自动注册进行设置
了解详细信息:
标识保护
Azure AD 标识保护是一种安全服务,它提供一个综合视图,你可以在其中查看影响组织标识的风险检测和潜在
漏洞。 “标识保护”使用现有的 Azure AD 异常检测功能,该功能可通过 Azure AD 异常活动报告得到。 “标识保
护”还引入了新的可以实时检测异常的风险检测类型。
了解详细信息:
Azure AD 标识保护
第 9 频道:Azure AD 和标识展示:“标识保护”预览
混合标识管理/Azure AD Connect
Microsoft 的标识解决方案跨越本地和基于云的功能,创建单一用户标识对所有资源进行身份验证和授权,而不
考虑其位置。 我们称此为混合标识。 Azure AD Connect 专用于满足和完成混合标识目标的 Microsoft 工具。 这
样,便可为集成到 Azure AD 的 Microsoft 365 、Azure 和 SaaS 应用程序的用户提供一个通用标识。 它提供以下
功能:
同步
AD FS 和联合集成
直通身份验证
运行状况监视
了解详细信息:
混合标识白皮书
Azure Active Directory
Azure AD 团队博客
Azure AD 访问评审
Azure Active Directory (Azure AD) 访问评审可以使组织有效地管理组成员身份、对企业应用程序的访问权限,以
及特权角色分配。
了解详细信息:
Azure AD 访问评审
使用 Azure AD 访问评审管理用户访问权限
Azure 标识管理和访问控制安全最佳实践
2021/2/9 • • Edit Online
对于每项最佳做法,本文将说明:
最佳实践是什么
为何要启用该最佳实践
如果无法启用该最佳实践,可能的结果是什么
最佳实践的可能替代方案
如何学习启用最佳实践
撰写本文的目的是,以引导你了解我们的一些核心功能和服务的“保护标识基础结构的 5 个步骤”清单为指导,提
供在部署后实现更可靠的安全状况的总体路线图。
看法和技术将随着时间改变,本文会定期更新以反映这些更改。
将标识视为主要安全边界
集中化标识管理
管理已连接的租户
启用单一登录
启用条件访问
计划例程安全改进
启用密码管理
对用户强制执行多重身份验证
使用基于角色的访问控制
降低特权帐户的泄露风险
控制资源所在的位置
使用 Azure AD 进行存储身份验证
将标识视为主要安全边界
许多人认为标识是主要安全边界。 这与以网络安全为重点的传统做法不同。 网络边界出现越来越多的漏洞,在
BYOD 设备和云应用程序激增之前相比,边界防御不再那样有效。
Azure Active Directory (Azure AD) 是用于标识和访问管理的 Azure 解决方案。 Azure AD 是 Microsoft 提供的多
租户、基于云的目录和标识管理服务。 它将核心目录服务、应用程序访问管理和标识保护融入一个解决方案中。
集中化标识管理
在混合标识方案中,我们建议集成本地目录和云目录。 通过集成,IT 团队可以在一个位置集中管理帐户,而不管
帐户是在哪里创建的。 集成还通过提供用于访问云和本地资源的通用标识,从而帮助用户提高工作效率。
NOTE
存在影响 Azure AD Connect 性能的因素。 确保 Azure AD Connect 有足够的容量来防止性能不佳的系统影响安全性和工作
效率。 大型或复杂的组织(预配超过 100,000 个对象的组织)应遵循建议来优化其 Azure AD Connect 实现。
最佳做法 :启用密码哈希同步。
详细 信息 :密码哈希同步是用于将用户密码哈希从本地 Active Directory 实例同步到基于云的 Azure AD 实例的
功能。 此同步有助于防止重放先前攻击中泄露的凭据。
面向员工的 Azure AD
面向来宾用户和外部合作伙伴的 Azure AD B2B
用于控制客户在使用应用时如何注册、登录和管理配置文件的 Azure AD B2C
未将其本地标识与云标识集成的组织在管理帐户方面可能开销更大。 这种开销增加了出错和安全漏洞的可能
性。
NOTE
你需要选择关键帐户将驻留在哪些目录中,以及所使用的管理工作站是由新的云服务托管,还是由现有进程托管。 使用现有
的管理和标识预配流程可以降低一些风险,但也可能会造成攻击者入侵本地帐户并转向云的风险。 不妨对不同的角色(例
如,IT 管理员与业务部门管理员)使用不同的策略。 您有两种选择: 第一种选择是,创建不与本地 Active Directory 实例同步
的 Azure AD 帐户。 将管理工作站加入到 Azure AD,这样可以使用 Microsoft Intune 进行管理和修补。 第二种选择是,通过
同步到本地 Active Directory 实例来使用现有的管理员帐户。 使用 Active Directory 域中的现有工作站来实现管理和安全
性。
管理已连接的租户
你的安全组织需要能够查看订阅来评估风险,并确定是否遵循了组织的策略和任何法规要求。 你应确保安全组
织能够查看所有(通过 Azure ExpressRoute 或站点到站点 VPN)连接到生产环境和网络的订阅。 Azure AD 中的
全局管理员 可以将其访问权限提升到 " 用户访问管理员 " 角色,并查看连接到你的环境的所有订阅和管理组。
如果组织没有通过创建通用标识来为用户和应用程序实现 SSO,那么用户拥有多个密码的情况就更容易出现。
这种情况增加了用户重复使用同一密码或使用弱密码的可能性。
启用条件访问
用户可能会从任意位置使用各种设备和应用访问组织的资源。 作为一名 IT 管理员,你需要确保这些设备符合安
全性和符合性标准。 仅关注谁可以访问资源不再能满足需求。
最佳做法 :管理和控制对公司资源的访问。
详细 信息 :根据 SaaS 应用和 Azure AD 连接的应用的组、位置和应用敏感度,配置通用 Azure AD 条件访问策
略。
计划例程安全改进
安全性一直在不断发展,在云和标识管理框架中构建一种定期显示安全性发展并发现保护环境的新方法是很重
要的。
启用密码管理
如果有多个租户或者你想要允许用户重置自己的密码,则必须使用适当的安全策略来防止滥用。
对用户强制执行多重身份验证
建议对所有用户要求进行双重验证。 这包括组织中的管理员和其他人员,如果他们的帐户泄露,可能会产生重大
影响(例如,财务官员)。
以下是启用双重验证的选项和优势:
质询管理帐户和管理登录机制
要求通过 Microsoft Authenticator 对所有用户进行 MFA 质询
限制旧身份验证协议。
选项 2 :通过更改用户状态启用多重身份验证。
优势 :这是要求进行双重验证的传统方法。 它适用于 云中的 Azure AD 多重身份验证和 Azure 多重身份验证服务
器。 使用此方法要求用户在每次登录时都执行双重验证,并且会替代条件访问策略。
检测影响组织标识的潜在漏洞。
配置自动响应与组织标识相关的可疑操作。
调查可疑事件,并采取适当的措施进行解决。
此方法使用“Azure AD 标识保护”风险评估来确定是否需要基于所有云应用程序的用户和登录风险进行双重验
证。 此方法需要 Azure Active Directory P2 授权。 有关此方法的详细信息,请参阅 Azure Active Directory 标识保
护。
NOTE
选项2,通过更改用户状态启用多重身份验证会替代条件访问策略。 由于选项3和4使用条件性访问策略,因此不能将选项2
与它们一起使用。
未添加额外标识保护层(如双重验证)的组织将更容易受到凭据窃取攻击。 凭据窃取攻击可能导致数据泄漏。
使用基于角色的访问控制
对于任何使用云的组织而言,云资源的访问管理至关重要。 Azure 基于角色的访问控制 (Azure RBAC) 可帮助你
管理谁有权访问 Azure 资源、他们可以对这些资源执行哪些操作以及他们有权访问哪些区域。
在 Azure 中指定负责特定功能的组或单个角色有助于避免混乱,从而避免可能会导致安全风险的人为错误和自
动化错误。 对于想要实施数据访问安全策略的组织而言,必须根据需要知道和最低权限安全策略限制访问权限。
NOTE
特定的权限会造成不必要的复杂性和混乱,进而积累为很难在不担心造成破坏的情况下进行修复的“旧”配置。 避免特定于
资源的权限。 而是将管理组用于企业范围内的权限,并将资源组用于订阅中的权限。 避免用户特定的权限。 而是向 Azure
AD 中的组分配权限。
根管理组:用于负责所有企业资源的团队
段管理组:用于范围有限的团队(通常是由于法规或其他组织边界所致)
降低特权帐户的泄露风险
保护特权访问是保护业务资产的首要步骤。 减少拥有访问权限的人员以保护信息或资源安全,这样可以减小恶
意用户获得访问权限,或者已授权用户无意中影响敏感资源的可能性。
最佳做法 :确保所有关键管理员角色都有一个单独的帐户来执行管理任务,以免发生网络钓鱼和其他入侵管理权
限的攻击。 详细 信息 :创建一个单独的管理员帐户,向其分配执行管理任务所需的权限。 阻止使用这些管理帐户
进行 Microsoft 365 电子邮件或任意 web 浏览等日常生产力工具。
最佳做法 :对特许权限高的角色中的帐户进行标识和分类。
详细 信息 :启用 Azure AD Privileged Identity Management 后,请查看角色为全局管理员、特权角色管理员和其
他高特权角色的用户。 请删除在这些角色中不再需要的任何帐户,并对剩余的分配给管理员角色的帐户分类:
单独分配给管理用户,可用于非管理性目的(例如,个人电子邮件)
单独分配给管理用户,按规定只能用于管理目的
跨多个用户共享
适用于紧急访问情况
适用于自动化脚本
适用于外部用户
限制用户只接受他们的权限 JIT。
分配时限更短的角色,确信权限会自动撤消。
最佳做法 :定义至少两个紧急访问帐户。
详细 信息 :可以使用紧急访问帐户来帮助组织限制现有 Azure Active Directory 环境中的特权访问。 这些帐户拥
有极高的特权,不要将其分配给特定的个人。 紧急访问帐户只能用于不能使用正常管理帐户的情况。 组织必须
将紧急账户的使用限制在必要时间范围内。
高度安全的效率提升设备为浏览和其他效率提升任务提供高级安全性。
特权访问工作站 (PAW) 为敏感任务提供免受 Internet 攻击和威胁攻击途径侵害的专用操作系统。
最佳做法 :采取措施来缓解最常用的攻击技术的冲击。
详细 信息 :确定管理角色中那些需要切换到工作或学校帐户的 Microsoft 帐户
对于全局管理员帐户,请确保使用单独的用户帐户和邮件转发功能
确保最近更改过管理帐户的密码
启用密码哈希同步
要求对所有特权角色用户和公开的用户进行多重身份验证
确定事件/紧急情况响应计划所有者
保护本地特权管理帐户
如果不保护特权访问,你可能会拥有过多高特权角色用户,并且更易受到攻击。 恶意操作者(包括网络攻击者)通
常会以管理员帐户和特权访问的其他元素为目标,通过凭据窃取获得敏感数据和系统的访问权限。
控制创建资源的位置
非常重要的一点是,既要允许云操作员执行任务,同时又要防止他们违反管理组织资源所需的惯例。 想要控制创
建资源的位置的组织应该对这些位置进行硬编码。
NOTE
安全策略与 Azure RBAC 不同。 它们实际上使用 Azure RBAC 来授权用户创建这些资源。
无法控制资源创建方式的组织更容易因用户创建的资源超过所需数目,而产生滥用服务的情况。 强化资源创建
过程是保护多租户方案的重要步骤。
主动监视可疑活动
主动身份监视系统可以快速检测可疑行为并触发警报以进行进一步调查。 下表列出了两个可帮助组织监视其标
识的 Azure AD 功能:
最佳做法 :采用一种方法来确定:
未受跟踪的登录尝试。
针对特定帐户的暴力攻击。
从多个位置的登录尝试。
从受感染的设备登录。
可疑 IP 地址。
最佳做法 :安装一个主动监视系统,用于通知风险,并且可以根据业务需求调整风险等级(高、中或低)。
详细 信息 :使用 Azure AD 标识保护,它会在自己的仪表板上标记当前风险并通过电子邮件发送每日摘要通知。
要帮助保护组织的标识,可以配置基于风险的策略,该策略可在达到指定风险级别时自动响应检测到的问题。
不主动监视其标识系统的组织将面临用户凭据泄露的风险。 如果不知道有人通过这些凭据实施可疑活动,组织
就无法缓解这种类型的威胁。
使用 Azure AD 进行存储身份验证
Azure 存储支持使用 Azure AD 对 Blob 存储和队列存储进行身份验证和授权。 借助 Azure AD 身份验证,可以使
用基于 Azure 角色的访问控制向用户、组和应用(一直到各个 Blob 容器或队列的范围)授予特定权限。
后续步骤
有关通过 Azure 设计、部署和管理云解决方案时可以使用的更多安全最佳做法,请参阅 Azure 安全最佳做法和模
式。
保护标识基础结构的五个步骤
2021/2/9 • • Edit Online
增强凭据。
缩小受攻击面。
自动化威胁响应。
利用云智能。
启用最终用户自助服务。
阅读此清单时,请确保记录哪些功能和步骤已完成。
NOTE
本文档中的许多建议仅适用于配置为使用 Azure Active Directory 作为标识提供者的应用程序。 在应用中配置单一登录可
确保将凭据策略、威胁检测、审核和日志记录的优势及其他功能添加到这些应用程序。 Azure AD 的应用程序管理 是所有这
些建议所基于的基础。
NOTE
此处所述的许多功能都需要 Azure AD Premium 订阅,而有些功能则是免费的。 有关详细信息,请查看 Azure Active
Directory 定价和 Azure AD 部署清单。
准备好了吗? 让我们开始阅读查检表。
步骤 1 - 增强凭据
大多数企业安全漏洞的起源在于某个帐户受到某种手段的攻击。这些手段多种多样,例如密码喷洒 (password
spray)、破解重放或网络钓鱼。 请观看以下视频(45 分钟)来详细了解这些攻击:
确保 组织 使用 强 身份 验证
考虑到密码被猜中、钓鱼、被恶意软件盗用或重复使用的频率,使用某种形式的强凭据备份密码非常重要-详细了
解 Azure AD 多重身份验证。
防止凭据泄漏,并 针对 服 务 中断添加复原功能
如果组织使用实施直通身份验证或联合身份验证的混合标识解决方案,应该启用密码哈希同步,原因包括以下两
点:
详细了解密码哈希同步的工作原理。
NOTE
如果启用密码哈希同步并且使用 Azure AD 域服务,则 Kerberos (AES 256) 哈希和可选的 NTLM(RC4,不加盐)哈希也将加
密并同步到 Azure AD。
实施 AD FS Extranet 智能 锁 定
将应用程序配置为直接向 Azure AD 进行身份验证的组织可以受益于 Azure AD 智能锁定。 如果在 Windows
Server 2012R2 中使用 AD FS ,请实现 AD FS Extranet 锁定保护。 如果在 Windows Server 2016 中使用 AD FS ,
请实现 Extranet 智能锁定。 AD FS 智能 Extranet 锁定可以防范针对 AD FS 的暴力攻击,同时可以防止用户在
Active Directory 中遭到锁定。
利用本 质 安全的、易于使用的凭据
使用 Windows Hello 可在电脑和移动设备上将密码取代为强式双重身份验证。 这种身份验证包括一种与设备安
全绑定的新型用户凭据,并使用生物识别技术或 PIN。
步骤 2 - 缩小受攻击面
密码攻击无处不在,尽量缩小组织中的受攻击面至关重要。 弃用不够安全的旧式协议、限制访问入口点、针对资
源的管理访问实行更严格的控制有助于缩小受攻击面。
阻止 传统 身份 验证
使用自身的传统方法在 Azure AD 中进行身份验证和访问公司数据的应用给组织带来了另一种风险。 使用传统
身份验证的应用示例包括 POP3 、IMAP4 或 SMTP 客户端。 传统身份验证应用会代表用户执行身份验证,并阻止
Azure AD 执行高级安全评估。 替代的新式身份验证可降低安全风险,因为它支持多重身份验证和条件访问。 我
们建议采取以下三项措施:
1. 如果使用 AD FS ,则阻止传统身份验证。
2. 将 SharePoint Online 和 Exchange Online 设置为使用新式身份验证。
3. 如果有 Azure AD Premium ,请使用条件访问策略阻止旧身份验证,否则请使用 Azure AD 安全默认值。
阻止无效的身份 验证 入口点
使用假设违规思路会减少用户凭据泄露造成的影响。 对于环境中的每个应用,请考虑有效的方案:要为哪些组、
哪些网络、哪些设备和其他元素授权 – 然后阻止余下的部分。 使用 Azure AD 条件访问,可以控制已获授权的用
户根据定义的特定条件访问其应用和资源的方式。
限制用 户许 可操作
请务必了解各种 Azure AD 应用程序许可体验、权限和许可的类型以及它们对组织安全状况的影响。 默认情况
下,Azure AD 中的所有用户都可以对利用 Microsoft 标识平台访问组织数据的应用程序进行授权。 尽管允许用
户自行许可确实可让用户轻松获取与 Microsoft 365 、Azure 和其他服务集成的有用应用程序,但如果未小心使用
或未受监视,这可能会带来风险。
确保用户可以请求管理员批准新应用程序,以减少用户摩擦、最大程度降低支持量并防止用户使用非 Azure AD
凭据注册应用程序。 管控许可操作后,管理员应定期审核应用和许可权限。
步骤 3 - 自动化威胁响应
Azure Active Directory 中的许多功能可以自动截获攻击,以消除检测与响应之间的延迟。 如果能够减少罪犯渗
入你的环境所能利用的时间,则就可以降低成本和风险。 下面是可以采取的具体措施。
使用 “Azure AD 标识 保 护 ”实 施登 录风险 策略
登录风险是指除帐户所有者以外的其他某人尝试使用标识登录的可能性。 登录风险策略是一种条件访问策略,
评估特定用户或组的风险级别。 根据风险级别(高/中/低),可以配置一个策略来阻止访问,或强制实施多重身份
验证。 请确保针对“中”或更高风险的登录强制实施多重身份验证。
步骤 4 - 利用云智能
审核和记录与安全相关的事件以及相关警报是有效保护策略的至关重要组成部分。 安全日志和报告提供可疑活
动的电子记录,并帮助检测可能指示试图或已成功的外部网络渗透以及内部攻击的模式。 可以使用审核来监控
用户活动、记录法规遵从性以及进行取证分析等。 警报提供安全事件的通知。
监视 Azure AD
Microsoft Azure 服务和功能提供可配置的安全审核和日志记录选项,帮助识别安全策略和机制的缺口,并解决
这些缺口,以防违规。 可以使用 Azure 日志记录和审核,以及 Azure Active Directory 门户中的审核活动报告。
Azure AD 标识保护提供两份应该每日监视的重要报告:
1. 风险登录报告显示应该调查的用户登录活动,合法所有者不可以执行这种登录。
2. 风险用户报告显示可能已泄密的用户帐户,例如,检测到已泄漏的凭据,或者用户从不同的位置登录,导致不
可能的行程事件。
审 核 应 用和 许 可的 权 限
用户可能在诱骗之下导航到已被入侵的网站或应用,使攻击者获取用户个人资料信息和数据(例如电子邮件)的
访问权限。 恶意行动者可以使用获得的许可权限来加密用户的邮箱内容,并勒索邮箱数据的赎金。 管理员应查
看并审核用户授予的权限,或者在默认情况下禁用用户授予许可的能力。
步骤 5 - 启用最终用户自助服务
我们希望在安全性与工作效率之间尽量实现平衡。 在达成目标的同时兼顾长期安全基准的制定,可以消除组织
中存在的冲突,让用户获得所需的能力,并让他们保持警惕。
实 施自助密 码 重置
IT 管理员可以通过 Azure AD 的自助密码重置 (SSPR),让用户方便重置或解锁其密码或帐户,而无需支持人员或
管理员的干预。 系统提供详细的报告,用于跟踪用户何时重置密码,同时还提供通知,提醒用户存在误用或滥用
情况。
实现 自助服 务组 和 应 用程序 访问
Azure AD 使非管理员能够使用安全组、Microsoft 365 组、应用程序角色和访问包目录管理对资源的访问。 自助
服务组管理使组所有者能够管理自己的组,而无需分配管理角色。 用户还可以创建和管理 Microsoft 365 组,而
无需依靠管理员来处理其请求,且未使用的组会自动过期。 Azure AD 权利管理进一步启用委派和可见性,具有全
面的访问请求工作流和自动过期。 可以委托非管理员为其拥有的组、Teams、应用程序和 SharePoint Online 网站
配置自己的访问包,并为需要批准访问权限的人员配置自定义策略,包括将员工的经理和业务合作伙伴发起人配
置为审批者。
实施 Azure AD 访问评审
使用 Azure AD 访问评审可以管理访问包和组成员身份、企业应用程序的访问权限和特权角色分配,以确保维持
以下安全标准。 用户本身、资源所有者和其他审阅者的定期监督确保了用户在不再需要访问权限的情况下不会长
时间保留访问权限。
总结
保护安全标识基础结构涉及到很多方面,但此五步骤查检表可帮助你快速实现一个更可靠的安全标识基础结构:
增强凭据。
缩小受攻击面。
自动化威胁响应。
利用云智能。
通过自助措施提高可预测性,更全面地保护最终用户安全。
非常感谢你严肃看待标识安全性,希望本文档在帮助你提高组织的安全性上提供了有用的思路。
后续步骤
如果在规划和部署这些建议方面需要帮助,请参阅 Azure AD 项目部署计划。
A UT H EN T IC AT IO N
Microsoft Authenticator 应用
你还可以允许员工的电话成为无密码的身份验证方法。 除密码外,你可能已使用 Microsoft Authenticator 应用作
为便利的多重身份验证选项。 你还可以使用验证器应用作为无密码选项。
启用使用验证器应用的无密码签名
FIDO2 安全密钥
FIDO (快速标识联机) 联盟有助于提高开放式身份验证标准并减少使用密码作为身份验证形式。 FIDO2 是采用了
Web 身份验证 (WebAuthn) 标准的最新标准。
FIDO2 安全密钥是基于 unphishable 标准的无密码身份验证方法,可采用任何形式。 快速标识在线 (FIDO) 是用
于无密码 authentication 的开放标准。 FIDO 允许用户和组织利用标准登录到其资源,而无需使用外部安全密钥
或设备内置的平台密钥。
# / ?
1 居民密钥 此功能使安全密钥可移植,其中的凭据
存储在安全密钥上。
3 hmac 密钥 此扩展可确保你可以在设备处于脱机状
态或处于飞行模式时登录到你的设备。
4 每个 RP 多个帐户 此功能可确保你可以在多个服务(如
Microsoft 帐户和 Azure Active
Directory)上使用相同的安全密钥。
Yubico https://www.yubico.com/support/contact/
Feitian https://ftsafe.us/pages/microsoft
HID https://www.hidglobal.com/contact-us
Ensurity https://www.ensurity.com/contact
AuthenTrend https://authentrend.com/about-us/#pg-35-3
VinCSS https://passwordless.vincss.net
KONA I https://konai.com/business/security/fido
Excelsecu https://www.excelsecu.com/productdetail/esecufido2secu.ht
ml
瑞士 Token2 https://www.token2.swiss/shop/product/token2-t2f2-alu-
fido2-u2f-and-totp-security-key
NOTE
如果你购买并计划使用基于 NFC 的安全密钥,则需要为安全密钥提供支持的 NFC 读卡器。 NFC 读卡器不是 Azure 要求或
限制。 有关支持的 NFC 读卡器的列表,请与供应商联系以获取基于 NFC 的安全密钥。
如果你是供应商,并且想要在此支持的设备列表上获取设备,请联系 Fido2Request@Microsoft.com 。
使用预览版的情况如何?
Azure AD 无密码登录功能当前以预览版提供。 请注意以下事项:
管理员可以为其租户启用无密码 authentication 方法
对于每个方法,管理员可面向所有用户或选择其租户中的用户/组
最终用户可以在其帐户门户中注册和管理这些无密码 authentication 方法
最终用户可以用这些无密码身份验证方法登录
Microsoft Authenticator 应用:在使用 Azure AD 身份验证的情况下,包括跨所有浏览器、在 Windows
10 全新版 (OOBE) 安装程序中,以及在任何操作系统上集成的移动应用。
安全密钥:在受支持的浏览器(如 Microsoft Edge)中使用针对 Windows 10 和 web 的锁定屏幕 (旧边缘
和新边缘) 。
选择无密码方法
这三个无密码选项之间的选择取决于公司的安全、平台和应用要求。
M IC RO SO F T
W IN DO W S H EL LO A UT H EN T IC ATO R F IDO 2
Platform 软件 硬件
M IC RO SO F T
W IN DO W S H EL LO A UT H EN T IC ATO R F IDO 2
使用下表选择支持和用户的方法。
后续步骤
若要开始 Azure AD 中的无密码,请完成以下操作方法之一:
启用 FIDO2 安全密钥无密码登录
使用验证器应用启用基于手机的无密码登录
外部 链 接
FIDO 联盟
FIDO2 CTAP 规范
Azure ⽹络安全概述
2021/2/9 • • Edit Online
网络安全可以定义为通过对网络流量应用控制来保护资源遭受未经授权的访问或攻击的过程。 目标是确保仅允
许合法流量。 Azure 包括可靠的网络基础结构以支持应用程序和服务连接需求。 Azure 中的资源之间、本地资源
与 Azure 托管的资源之间,以及 Internet 与 Azure 之间都可能存在网络连接。
Azure 网络
网络访问控制
Azure 防火墙
安全远程访问和跨界连接
可用性
名称解析
外围网络 (DMZ) 体系结构
Azure DDoS 防护
Azure Front Door
流量管理器
监视和威胁检测
Azure 网络
Azure 要求将虚拟机连接到 Azure 虚拟网络。 虚拟网络是一个构建于物理 Azure 网络结构之上的逻辑构造。 每
个虚拟网络与其他所有虚拟网络相互隔离。 这可帮助确保其他 Azure 客户无法访问部署中的流量。
了解详细信息:
虚拟网络概述
网络访问控制
网络访问控制是限制虚拟网络内特定设备或子网之间的连接的行为。 网络访问控制的目的是将对虚拟机和服务
的访问权限限制为仅授予已批准的用户和设备。 访问控制基于虚拟机或服务之间的允许或拒绝连接的决策。
Azure 支持多种类型的网络访问控制,例如:
网络层控制
路由控制和强制隧道
虚拟网络安全设备
网 络层 控制
任何安全部署都需要某种程度的网络访问控制。 网络访问控制的目的是将虚拟机通信限制为必要的系统。 将阻
止其他通信尝试。
NOTE
要了解存储防火墙,请参阅 Azure 存储安全概述一文
网 络 安全 规则 (NSG)
如果需要基本的网络级别访问控制(基于 IP 地址和 TCP 或 UDP 协议),可使用网络安全组 (NSG)。 NSG 是基本
的静态数据包筛选防火墙,你可使用它来基于 5 元组控制访问。 NSG 包含的功能可以简化管理,并减少配置错
误的可能性:
NSG 不提供应用程序层检查或经过身份验证的访问控制。
了解详细信息:
网络安全组
ASC 实时 VM 访问
Azure 安全中心可以管理 VM 上的 NSG,并将对 VM 的访问权限锁定到具有相应 Azure 基于角色的访问控制
Azure RBAC 权限的用户请求访问为止。 如果成功为该用户授权,则 ASC 会对 NSG 进行修改,以允许在指定的
时间访问选定的端口。 该时间过后,NSG 将还原到其以前的受保护状态。
了解详细信息:
Azure 安全中心实时访问
服 务终结 点
了解详细信息:
服务终结点
路由控制和 强 制隧道
能够控制虚拟网络上的路由行为至关重要。 如果路由配置不正确,虚拟机上托管的应用程序和服务可能会连接
到未授权的设备,其中包括潜在攻击者所拥有或操作的系统。
例如,虚拟网络上可能有虚拟网络安全设备。 想要确保与虚拟网络之间的所有流量都通过该虚拟安全设备。 可
以通过在 Azure 中配置用户定义的路由 (UDR) 实现此操作。
虚 拟 网 络 安全 设备
当 NSG、UDR 和强制隧道在 OSI 模型的网络层和传输层提供安全级别时,你可能也想要启用级别高于网络的安
全性。
例如,安全要求可能包括:
必须经过身份验证和授权才允许访问应用程序
入侵检测和入侵响应
高级别协议的应用程序层检查
URL 筛选
网络级别防病毒和反恶意软件
防 Bot 保护
应用程序访问控制
其他 DDoS 防护(除了 Azure 结构自身提供的 DDoS 防护以外)
Azure 防火墙
Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防
火墙,具有内置的高可用性和不受限制的云可伸缩性。 包括的一些功能为:
高可用性
云可伸缩性
应用程序 FQDN 筛选规则
网络流量筛选规则
了解详细信息:
Azure 防火墙概述
安全远程访问和跨界连接
安装、配置和管理 Azure 资源需要远程完成。 此外,你可能想要部署在本地和 Azure 公有云中具有组件的混合 IT
解决方案。 这些方案需要安全远程访问权限。
Azure 网络支持以下安全远程访问方案:
将单独的工作站连接到虚拟网络
通过 VPN 将本地网络连接到虚拟网络
通过专用的 WAN 链接将本地网络连接到虚拟网络
将虚拟网络相互连接
将 单 独的工作站 连 接到虚 拟 网 络
你可能想要让各个开发者或操作人员在 Azure 中管理虚拟机和服务。 例如,假设需要访问虚拟网络上的虚拟机。
但你的安全策略不允许 RDP 或 SSH 远程访问单独的虚拟机。 在这种情况下,可以使用点到站点 VPN 连接。
IKEv2 VPN,这是一种基于标准的 IPsec VPN 解决方案。 IKEv2 VPN 可用于从 Mac 设备进行连接(OSX
10.11 和更高版本)。
OpenVPN
了解详细信息:
使用 PowerShell 配置与虚拟网络的点到站点连接
了解详细信息:
通 过专 用的
WAN 链 接将本地网 络连 接到虚 拟 网 络
点到站点和站点到站点 VPN 连接可以有效地启用跨界连接。 但是,某些组织认为它们存在以下缺点:
ExpressRoute 技术概述
ExpressRoute 直接
Express Route Global Reach
将虚 拟 网 络 相互 连 接
可以将多个虚拟网络用于部署。 这样做的原因可能有很多。 你可能想要简化管理或提高安全性。 无论将资源放
在不同的虚拟网络上的动机是什么,可能有时你都会想要将一个网络上的资源与另一个网络相连接。
此方法的优点是通过 Azure 网络结构建立 VPN 连接,而不是通过 Internet 进行连接。 与通过 Internet 连接的站
点到站点 VPN 相比,这提供了额外的安全层。
了解详细信息:
使用 Azure Resource Manager 和 PowerShell 配置 VNet 到 VNet 连接
可用性
可用性是任何安全程序的重要组件。 如果用户和系统无法通过网络访问需要访问的内容,则可以认为服务已遭
入侵。 Azure 的网络技术支持以下高可用性机制:
基于 HTTP 的负载均衡
网络级别负载均衡
全局负载均衡
负载均衡是一种机制,旨在将连接平均分布到多个设备。 负载均衡的目标如下:
提高可用性。 在跨多个设备对连接进行负载均衡时,一个或多个设备可能变得不可用,但不影响服务。 在剩
余的联机设备上运行的服务可继续提供服务中的内容。
提高性能。 在跨多个设备对连接进行负载均衡时,单个设备不必负责所有处理。 提供内容的处理和内存需求
分散在多个设备之间。
基于HTTP 的 负载 均衡
运行基于 Web 的服务的组织通常希望在这些 Web 服务前面具有基于 HTTP 的负载均衡器。 这可帮助确保足够
级别的性能和高可用性。 基于网络的传统负载均衡器依赖于网络和传输层协议。 另一方面,基于 HTTP 的负载均
衡器根据 HTTP 协议的特性做出决策。
了解详细信息:
应用程序网关概述
网 络级别负载 均衡
与基于 HTTP 的负载均衡相比,网络级别负载均衡基于 IP 地址和端口(TCP 或 UDP)号做出决策。 使用 Azure 负
载均衡器,可以在 Azure 中获得网络级别负载均衡的优点。 负载均衡器的一些主要特征包括:
基于 IP 地址和端口号的网络级别负载均衡。
支持任何应用层协议。
对 Azure 虚拟机和云服务角色实例进行负载均衡。
可用于面向 Internet(外部负载均衡)和面向非 Internet(内部负载均衡)的应用程序和虚拟机。
终结点监视,可用于确定负载均衡器后面的任何服务是否已变得不可用。
了解详细信息:
此负载平衡策略也可暂停性能优势。 可直接向距离提出请求的设备最近的数据中心请求服务。
了解详细信息:
什么是流量管理器?
名称解析
名称解析是对 Azure 中托管的所有服务而言至关重要的功能。 从安全角度看,入侵名称解析功能可能会导致攻
击者将你站点的请求重定向到攻击者的站点。 安全名称解析是所有云托管服务的要求。
需要解决两种类型的名称解析:
对于内部名称解析,可以使用两个选项:
了解详细信息:
虚拟网络概述
管理虚拟网络使用的 DNS 服务器
对于外部名称解析,有两个选项:
了解详细信息:
Azure DNS 概述
使用 Azure DNS 专用区域可为 Azure 资源配置专用的 DNS 名称而不是自动分配的名称,且无需添加自定义
DNS 解析。
外围网络体系结构
许多大型组织使用外围网络对其网络进行分段,并在 Internet 及其服务之间创建缓冲区域。 网络的外围部分被
视为一个低安全区域,而且不会将重要的资产放在该网络段中。 通常会看到在外围网络段上具有网络接口的网
络安全设备。 将另一个网络接口连接到具有接受来自 Internet 的入站连接的虚拟机和服务的网络。
可通过多种不同的方式设计外围网络。 部署外围网络的决策以及决定使用哪种类型的外围网络取决于你的网络
安全需求。
了解详细信息:
Microsoft 云服务和网络安全
Azure DDoS 防护
分布式拒绝服务 (DDoS) 攻击是将应用程序移动到云的客户所面临的一些最大的可用性和安全性问题。 DDoS 攻
击尝试耗尽应用程序的资源,使应用程序对于合法用户不可用。 DDoS 攻击可能会将任何可通过 Internet 公开访
问的终结点作为目标。 Microsoft 提供“基本”DDoS 防护作为 Azure 平台的一部分。 此防护功能是免费的,包含针
对常见网络级攻击的不间断监视和实时缓解。 除了“基本”DDoS 防护随附的保护以外,还可以启用“标准”选项。
DDoS 保护标准功能包括:
本机平台集成: 本机集成到 Azure 中。 包括通过 Azure 门户进行配置。 DDoS 保护标准了解你的资源和资源
配置。
统 包保 护 : 一旦启用 DDoS 保护标准,简化后的配置会立即保护虚拟网络上的所有资源。 要求没有干预或用
户定义。 一旦检测到攻击,标准 DDoS 保护会立即自动减轻攻击。
始 终 可用的流量 监 控: 应用程序流量模式将全天候受到监控,以寻找 DDoS 攻击的迹象。 将在超出保护策略
范围时执行缓解措施。
攻 击缓 解 报 表 攻击缓解报表使用聚合的网络流数据提供有关针对你的资源的攻击的详细信息。
攻 击缓 解流日志 通过攻击缓解流日志,可在活动 DDoS 攻击期间近乎实时地查看丢弃的流量、转发的流量和
其他攻击数据。
自适 应优 化: 智能流量分析了解应用程序在一段时间内的流量,并选择和更新最适合服务的配置文件。 当流
量随时间变化时,配置文件将进行调整。 第 3 层到第 7 层保护:与 Web 应用程序防火墙配合使用时,提供完
整的堆栈 DDoS 保护。
广泛的 缓 解 规 模: 可以使用全球容量缓解超过 60 种不同攻击类型,从而防止最大的已知 DDoS 攻击。
攻 击 指 标 : 可以通过 Azure Monitor 访问每个攻击的汇总指标。
攻 击 警 报 : 可以使用内置攻击指标在攻击开始和停止时以及攻击持续期间配置警报。 警报集成到操作软件,
如 Microsoft Azure 监视日志、Splunk、Azure 存储、电子邮件和 Azure 门户。
成本保 证 : 记录的 DDoS 攻击的数据传输和应用程序横向扩展服务信用度。
DDoS 快速响 应 DDoS 防护标准版客户可以在攻击正在进行时联系“快速响应”团队。 DRR 可以帮助进行攻
击调查,在攻击发生期间定制缓解措施以及进行攻击后分析。
了解详细信息:
DDOS 防护概述
Front Door 平台本身由 Azure DDoS 防护基本版提供保护。 若要进一步提供保护,可在 VNET 中启用 Azure
DDoS 防护标准版,并通过自动优化和缓解措施来防范资源遭到网络层 (TCP/UDP) 攻击。 Front Door 是第 7 层
反向代理,它仅允许 Web 流量通过后端服务器,默认会阻止其他类型的流量。
了解详细信息:
Azure 流量管理器
Azure 流量管理器是一种基于 DNS 的流量负载均衡器,可以在全球 Azure 区域内以最佳方式向服务分发流量,
同时提供高可用性和响应性。 流量管理器根据流量路由方法和终结点的运行状况,使用 DNS 将客户端请求定向
到最合适的服务终结点。 终结点可以是托管在 Azure 内部或外部的任何面向 Internet 的服务。 流量管理器对终
结点进行监视,并且不会将流量定向到不可用的任何终结点。
了解详细信息:
Azure 流量管理器概述
监视和威胁检测
Azure 提供相关功能来帮助在此关键领域中进行早期检测、监视,并收集和查看流量。
Azure 网 络观 察程序
Azure 网络观察程序 可帮助进行排除故障,并提供一套全新的工具来协助识别安全问题。
安全组视图有助于审核以及符合虚拟机的安全要求。 使用此功能执行编程审核,将组织定义的基线策略与每台
VM 的有效规则进行比较。 这有助于识别任何配置偏移。
通过数据包捕获可以捕获流向和流出虚拟机的网络流量。 可收集网络统计信息并对应用程序问题进行故障排
除,这对调查网络入侵非常有用。 此功能还可与 Azure Functions 一起使用,使其根据特定 Azure 警报启动网络
捕获。
NOTE
有关此服务可用性和状态方面的最新通知,请参阅 Azure 更新页。
Azure 安全中心
Azure 安全中心帮助你预防、检测和响应威胁,同时提高 Azure 资源的可见性并控制其安全性。 它提供对 Azure
订阅的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于大量的安全解决方案。
安全中心通过以下方式来帮助优化和监视网络安全:
提供网络安全建议。
监视网络安全配置的状态。
在终结点和网络级别发出基于网络的威胁警报。
了解详细信息:
Azure 安全中心简介
虚拟网络 TAP
通过 Azure 虚拟网络 TAP(终端接入点),可让你持续将虚拟机网络流量流式传输到网络数据包收集器或分析工
具。 收集器或分析工具是由网络虚拟设备合作伙伴提供的。 你可以使用相同的虚拟网络 TAP 资源来聚合来自相
同或不同订阅的多个网络接口的流量。
了解详细信息:
虚拟网络 TAP
日志 记录
网络级别的日志记录是任何网络安全方案的重要功能。 在 Azure 中,可以记录针对 NSG 获得的信息,以获取网
络级别的日志记录信息。 使用 NSG 日志记录可从以下来源获取信息:
对于每项最佳实践,本文将说明:
最佳实践是什么
为何要启用该最佳实践
如果无法启用该最佳实践,可能的结果是什么
最佳实践的可能替代方案
如何学习启用最佳实践
使用强网络控制
你可以将 Azure虚拟机 (VM) 和设备放在 Azure虚拟网络上,从而将它们连接到其他网络设备。 也就是说,可以将
虚拟网络接口卡连接到虚拟网络,允许启用了网络的设备之间进行基于 TCP/IP 的通信。 连接到 Azure 虚拟网络
的虚拟机能够连接到相同虚拟网络、不同虚拟网络、Internet 或自己的本地网络上的设备。
规划网络和网络安全性时,建议集中执行以下操作:
如果使用一组通用的管理工具来监视网络和网络的安全性,则可清楚地了解这两者。 一种简单、统一的安全策略
可减少错误,因为这会改善人员理解和自动化可靠性。
以逻辑方式分段子网
Azure 虚拟网络类似于本地网络上的 LAN。 Azure 虚拟网络背后的思路是创建基于单个专用 IP 地址空间的网
络,以将所有Azure 虚拟机置于其上。 可用的专用 IP 地址空间位于类别 A (10.0.0.0/8)、类别 B (172.16.0.0/12) 和
类别 C (192.168.0.0/16) 范围内。
以逻辑方式对子网进行分段的最佳做法包括:
最佳做法 :将较大的地址空间分段成子网。
详细 信息 :使用基于 CIDR 的子网原理来创建子网。
将网络安全组用于子网之间的网络访问控制时,可将属于同一安全区域或角色的资源置于其本身的子网中。
最佳做法 :避免小型虚拟网络和子网,以确保简易性和灵活性。
详细 信息 :大多数组织会添加比最初计划更多的资源,重新分配地址是劳动密集型工作。 使用小型子网会增加有
限的安全值,将网络安全组映射到每个子网会增加开销。 广泛定义子网,以确保具有增长灵活性。
采用零信任方法
基于外围的网络在工作时假设网络中的所有系统都可以受信任。 但当前的员工会通过各种设备和应用,从任何
位置访问其组织的资源,这使得外围安全控制不适用。 仅关注可以访问资源的用户的访问控制策略是不够的。
为了掌握安全与效率之间的平衡,安全管理员还需要考虑访问资源的方式。
网络需要从传统防御进行演化,因为网络可能容易受到侵害:攻击者可能会破坏受信任边界内的单个终结点,然
后在整个网络中快速扩展立足点。 零信任网络消除了基于外围中的网络位置的信任概念。 相反,零信任体系结
构使用设备和用户信任声明来获取组织数据和资源的访问权限。 对于新计划,采用在访问时验证信任的零信任
方法。
最佳做法包括:
最佳做法 :基于设备、标识、保证、网络位置等提供对资源的条件访问。
详细 信息 :Azure AD 条件访问使你可以根据所需条件实现自动访问控制决策,从而应用正确的访问控制。 有关
详细信息,请参阅使用条件访问管理对 Azure 管理的访问。
最佳做法 :仅在工作流审批之后才启用端口访问。
详细 信息 :可以使用 Azure Security Center 中的 实时 VM 访问来锁定发往 Azure VM 的入站流量,降低遭受攻击
的可能性,同时在需要时还允许轻松连接到 VM。
零信任是网络安全的下一步发展。 网络攻击的状态促使组织采用“假定违规”思维方式,但这种方法不应受到限
制。 零信任网络可保护公司数据和资源,同时确保组织可以使用相关技术来构建新式工作区,这些技术使员工能
够以任何方式随时随地提高工作效率。
控制路由行为
将虚拟机置于 Azure 虚拟网络时,即使其他 VM 位于不同的子网,VM 也可以连接到同一虚拟网络上的任何其他
VM。 这是可能的,原因是默认启用的系统路由集合允许这种类型的通信。 这些默认路由可让相同虚拟网络上的
VM 彼此发起连接,以及与 Internet 连接(仅适用于 Internet 的出站通信)。
尽管默认系统路由适用于许多部署方案,但有时也需要针对部署自定义路由配置。 可以配置下一个跃点地址,用
于访问特定目标。
NOTE
不需要用户定义的路由,默认的系统路通常有效。
使用虚拟网络设备
网络安全组和用户定义的路由可以在网络和 OSI 模型的传输层上提供一定的网络安全措施。 但在某些情况下,
建议在高级别堆栈中启用安全性。 在此类情况下,建议部署 Azure 合作伙伴所提供的虚拟网络安全设备。
为安全区部署外围网络
外围网格(也称为 DMZ)是物理或逻辑网络区段,可在资产与 Internet 之间提供额外的安全层。 外围网络边缘的
专用网络访问控制设备只允许所需流量流入虚拟网络。
尽管这是外围网络的基本设计,但有许多不同的设计,例如背靠背式、三闸式、多闸式。
优化运行时间和性能
如果服务已关闭,便无法访问信息。 如果性能太差而无法使用数据,则可以将此数据视为无法访问。 从安全角度
来看,需要尽可能确保服务有最佳的运行时间和性能。
用于增强可用性和性能的常用且有效的方法是负载均衡。 负载均衡是将网络流量分布于服务中各服务器的方
法。 例如,如果服务中有前端 Web 服务器,可以使用负载均衡将流量分布于多台前端 Web 服务器。
情形 :你有如下应用程序:
情形 :你需要全球负载均衡,因为:
拥有广泛分布在多个地区的云解决方案,并且需要可能的最高级别的正常运行时间(可用性)。
需要可能的最高级别的正常运行时间,以确保即使整个数据中心不可用,服务仍然可用。
例如,如果用户从欧盟对服务发出请求,此连接会被定向到位于欧盟数据中心的服务。 这一部分的流量管理器全
局负载均衡有助于改善性能,因为连接到最近的数据中心比连接到远处的数据中心还要快。
禁用对虚拟机的 RDP/SSH 访问
使用远程桌面协议 (RDP) 和安全外壳 (SSH) 协议可以访问 Azure 虚拟机。 这些协议支持远程管理 VM,并且是数
据中心计算中的标准协议。
我们建议禁用从 Internet 对 Azure 虚拟机的直接 RDP 和 SSH 访问。 禁用从 Internet 的直接 RDP 和 SSH 访问之
后,有其他选项可用于访问这些 VM 以便进行远程管理。
安全设计
确保优先考虑从设计和实施到部署和操作的整个应用程序生命周期的安全性。 应用程序可能包含 bug,使相对
较少的请求使用过多的资源,导致服务中断。
至关重要的一点是,确保应用程序具有足够的弹性,可应对针对应用程序本身的拒绝服务攻击。 从安全开发生命
周期 (SDL) 开始,安全和隐私就已内置到 Azure 平台中。 SDL 可以解决每个开发阶段的安全性,并确保 Azure 不
断更新,以变得越来越安全。
可伸缩性设计
可伸缩性是指系统处理增加的负载的能力。 采用可横向缩放的应用程序设计,以满足放大负载的需求,尤其是防
范 DDoS 攻击。 如果应用程序依赖于服务的单个实例,则会造成单一故障点。 预配多个实例能够提高复原能力
和可伸缩性。
深层防御
深层防御的理念是通过多样化的防御策略来掌控风险。 应用程序中的分层安全防御可以减少攻击成功的可能
性。 我们建议使用 Azure 平台的内置功能对其应用程序实施安全设计。
例如,攻击风险会随着应用程序的规模(外围应用)的增大而增大。 你可以通过使用审批列表来关闭公开的 IP 地
址空间,并将负载平衡器上不需要的侦听端口关闭 (Azure 负载平衡器 和 Azure 应用程序网关) ,从而减少外围
应用。 网络安全组 (NSG) 是缩小受攻击面的另一种方法。 可以使用服务标记和应用程序安全组来最大程度地简
化安全规则的创建,并将网络安全性配置为应用程序结构的自然扩展。
后续步骤
了解如何 创建 DDoS 保护计划。
Azure DDoS 保护标准的 azure 安全基线
2021/2/9 • • Edit Online
此安全基线将 Azure 安全性基准 中的指南应用于 Azure DDoS 保护标准。 Azure 安全基准提供有关如何在 Azure
上保护云解决方案的建议。 内容由 Azure 安全基准定义的 安全控制 和适用于 DDoS 保护的相关指南进行分组。
排除了不适用于 DDoS 保护的 控件 。 若要查看 DDoS 保护如何完全映射到 Azure 安全基准,请参阅 完整的
Ddos 保护安全基线映射文件。
日志记录和监视
有关详细信息,请参阅安全控制:日志记录和监视。
2.2:配置中心安全日志管理
指南 :启用 Azure 活动日志诊断设置,并将日志发送到 Log Aalytics 工作区、Azure 事件中心或 Azure 存储帐户进
行存档。 活动日志可让你深入了解在控制平面级别对 Azure DDoS 保护计划执行的操作。 使用 Azure 活动日志
数据,可以确定任何写入操作的 "内容、人员和时间",) (在 Azure DDoS 保护实例的控制平面级别执行任何写入
操作。
Azure 安全中心 监视 :是
责 任 :客户
Azure 安全中心 监视 :是
责 任 :客户
2.5:配置安全日志存 储 保留期
指南 :在 Azure Monitor 中,根据组织的符合性规定,设置与 Azure DDoS 保护计划关联的 Log Analytics 工作区
的日志保持期。
如何设置日志保留参数
2.6: 监视 和 查 看日志
指 导 :启用 Azure 活动日志诊断设置,并将日志发送到 Log Analytics 工作区。 在 Log Analytics 中执行查询,以搜
索术语,确定趋势,分析模式,并根据可能已为恢复服务保管库收集的活动日志数据提供许多其他见解。
有关如何访问针对 DDoS 保护标准服务的遥测、日志和攻击分析的信息
Azure 安全中心 监视 :是
责 任 :客户
标识和访问控制
有关详细信息,请参阅安全控制:标识和访问控制。
3.1: 维护 管理 帐户 的清 单
指南 :若要使用 DDoS 防护计划,你的帐户必须分配到网络参与者角色或分配了相应操作的自定义角色。
Azure 安全中心 监视 :是
责 任 :客户
3.2:在适用的情况下更改默 认 密 码
指 导 :Azure AD 没有默认密码。 其他需要密码的 Azure 资源会强制创建具有复杂性要求和最小密码长度的密
码,该长度因服务而异。 你对可能使用默认密码的第三方应用程序和市场服务负责。
3.3:使用 专 用管理 帐户
指南 :围绕专用管理帐户的使用创建标准操作程序。 使用 Azure 安全中心标识和访问管理来监视管理帐户的数
量。
应该为你的订阅分配了多个所有者
应从订阅中删除拥有所有者权限的已弃用帐户
应从订阅中删除拥有所有者权限的外部帐户
Azure 安全中心 监视 :是
责 任 :客户
如何将客户端应用程序(服务主体)注册到 Azure AD
Azure 安全中心 监视 :是
责 任 :客户
了解 Azure AD 风险检测
Azure 安全中心 监视 :是
责 任 :客户
如何创建和配置 Azure AD 实例
3.10:定期 审查 和 协调 用 户访问
指 导 :Azure Active Directory (Azure AD) 提供了日志来帮助你发现过时的帐户。 此外,还可以使用 Azure AD 访
问评审来有效地管理组成员身份、访问企业应用程序和角色分配。 应定期查看用户访问权限,以确保只有正确的
用户才能继续访问。
了解 Azure AD 报告
Azure 安全中心 监视 :是
责 任 :客户
3.12: 针对帐户 登 录 行 为 偏差 发 出警 报
指南 :对于控件平面上的帐户登录行为偏差 (例如 Azure 门户) ,请使用 Azure AD Identity Protection 和风险检测
功能来配置对检测到的与用户标识相关的可疑操作的自动响应。 还可将数据引入 Azure Sentinel 以做进一步调
查。
如何配置和启用标识保护风险策略
4.1: 维护 敏感信息的清 单
指 导 :使用标记可以帮助跟踪存储或处理敏感信息的 Azure 资源。
如何创建和使用标记
Azure 安全中心 监视 :是
责 任 :客户
库存和资产管理
有关详细信息,请参阅安全控制:清单和资产管理。
如何查看 Azure 订阅
如何创建和使用标记
6.3: 删 除未 经 授 权 的 Azure 资 源
指南 :在适用的情况下,请使用标记、管理组和单独的订阅来组织和跟踪 Azure 资产。 定期核对清单,确保及时
地从订阅中删除未经授权的资源。
不允许的资源类型
允许的资源类型
如何创建其他 Azure 订阅
如何创建管理组
如何创建和使用标记
不允许的资源类型
允许的资源类型
了解 Azure Policy 效果
Azure Repos 文档
Azure 安全中心 监视 :不适用
责 任 :客户
7.9: 为 Azure 资 源 实 施自 动 配置 监视
指 导 :在“Microsoft.Network”命名空间中使用内置的 Azure Policy 定义和 Azure Policy 别名创建自定义策略,以
审核、强制实施系统配置并为其发出警报。 使用 Azure Policy“[审核]”、“[拒绝]”和“[不存在则部署]”自动强制实施
Azure 资源的配置。
如何配置和管理 Azure Policy
7.13:消除意外的凭据透露
指南 :实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如
Azure Key Vault。
如何设置凭据扫描程序
恶意软件防护
有关详细信息,请参阅安全控制:恶意软件防护。
事件响应
有关详细信息,请参阅安全控制:事件响应。
10.1: 创 建事件响 应 指 导
指南 :为组织制定事件响应指南。 确保在书面的事件响应计划中定义人员职责,以及事件处理/管理从检测到事
件后审查的各个阶段。
关于建立自己的安全事件响应流程的指南
10.2: 创 建事件 评 分和 优 先 级设 定 过 程
指 导 :安全中心为每条警报分配严重性,以帮助你优先处理应该最先调查的警报。 严重性取决于安全中心在发出
警报时所依据的检测结果和分析结果的置信度,以及导致发出警报的活动的恶意企图的置信度。
Azure 安全中心中的安全警报
使用标记整理 Azure 资源
Azure 安全中心 监视 :是
责 任 :客户
10.3: 测试 安全响 应过 程
指 导 :定期执行演练来测试系统的事件响应功能,以帮助保护 Azure 资源。 识别弱点和差距,并根据需要修改计
划。
Azure 安全中心 监视 :是
责 任 :客户
10.5:将安全警 报 整合到事件响 应 系 统 中
指南 :使用连续导出功能导出 Azure 安全中心警报和建议,以帮助确定 Azure 资源的风险。 使用连续导出可以手
动导出或者持续导出警报和建议。 可以使用 Azure 安全中心数据连接器将警报流式传输到 Azure Sentinel。
如何配置连续导出
10.6:自 动 响 应 安全警 报
指 导 :使用 Azure 安全中心内的工作流自动化功能,通过“逻辑应用”针对安全警报和建议自动触发响应,以保护
Azure 资源。
如何配置工作流自动化和逻辑应用
渗透测试和红队练习
有关详细信息,请参阅安全控制:渗透测试和红队演练。
参与的渗透测试规则
Microsoft 云红色组合
Azure 安全中心 监视 :不适用
责 任 :共享
后续步骤
请参阅 Azure 安全基准
详细了解 Azure 安全基线
阻⽌⽆关联的 DNS 项并避免⼦域接管
2021/2/9 • • Edit Online
本文介绍了子域接管造成的常见安全威胁,以及可采取的缓解措施。
什么是子域接管?
子域接管是定期创建和删除大量资源的组织会遇到的一种常见严重威胁。 当你有 DNS 记录指向已取消预配的
Azure 资源时,可能会发生子域接管。 这类 DNS 记录也称为“无关联的 DNS”项。 CNAME 记录特别容易受到此威
胁的攻击。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。
出现子域接管的常见情况:
1. 创 建:
2. 取消 预 配:
3. 接管:
a. 威胁操纵者使用常用方法和工具来发现无关联的子域。
失去 对 子域内容的控制 - 造成负面影响,显示出你的组织没法保护自身的内容,还会造成品牌受损和信
任丧失。
标识无关联的 DNS 项
若要标识组织内部可能无关联的 DNS 项,请使用 Microsoft 的 GitHub 托管的 PowerShell 工具“Get-
DanglingDnsRecords”。
此工具可帮助 Azure 客户列出 CNAME 与客户订阅或租户上创建的现有 Azure 资源相关联的所有域。
先决条件
以具有下列权限的用户身份运行查询:
TIP
如果使用大型 Azure 环境,应考虑 Azure Resource Graph 的带宽限制和分页限制。
该工具使用订阅批处理来避免这些限制。
运行脚本
详细了解 PowerShell 脚本 Get-DanglingDnsRecords.ps1 ,然后从 GitHub 下载:
https://aka.ms/DanglingDNSDomains。
修正无关联的 DNS 项
查看 DNS 区域,并标识无关联的或已遭接管的 CNAME 记录。 如果发现子域无关联或已遭接管,请删除易受攻
击的子域,并按以下步骤操作来缓解风险:
3. 查看应用程序代码中对特定子域的引用,并更新所有错误或过期的子域引用。
4. 调查是否发生了任何泄露,并按照组织的事件响应程序采取措施。 以下是调查此问题的提示和最佳做法。
防止无关联的 DNS 项
确保贵组织已落实过程来防止出现无关联的 DNS 项,安全计划的关键部分是防止由这些项产生的子域接管。
为应 用服 务 启用 Azure Defender
Azure 安全中心的集成云工作负荷保护平台 (CWPP) ,Azure Defender 提供一系列计划来保护 Azure、混合和多
云资源和工作负荷。
使用 Azure DNS 别 名 记录
Azure DNS 的别名记录通过将 DNS 记录的生命周期与 Azure 资源相结合来防止出现无关联引用。 例如,假设某
个 DNS 记录限定为别名记录,以指向公共 IP 地址或流量管理器配置文件。 如果删除这些基础资源,DNS 别名记
录会变成空的记录集。 它不再引用已删除的资源。 务必注意,别名记录可保护的内容有限。 目前,列表限制如
下:
尽管目前服务产品有限,但建议尽可能使用别名记录来防止子域接管。
使用 Azure 应 用服 务 的自定 义 域 验证
为 Azure 应用服务创建 DNS 项时,请使用域验证 ID 创建 asuid.{subdomain} TXT 记录。 存在此类 TXT 记录时,
其他 Azure 订阅均无法验证自定义域,即无法接管自定义域。
建立并自 动执 行 缓 解威 胁 的流程
通常是由开发人员和操作团队来运行清理进程,以避免无关联的 DNS 威胁。 以下做法有助于确保贵组织免遭这
种威胁。
创 建 预 防 过 程:
训练应用程序开发人员在每次删除资源时都重新路由地址。
创 建 发现过 程:
创 建修正 过 程:
后续步骤
若要详细了解可用于防止子域接管的相关服务和 Azure 功能,请参阅以下页面。
在 Azure 应用服务中添加自定义域时使用域验证 ID
实时 保 护 - 监视云服务和虚拟机上的活动,以检测和阻止恶意软件的执行。
计 划的 扫 描 - 定期扫描以检测恶意软件(包括主动运行的程序)。
恶 意 软 件消除 - 自动针对检测到的恶意软件采取措施,例如删除或隔离恶意文件以及清除恶意注册表项。
签 名更新 - 自动安装最新的保护签名(病毒定义)以确保按预定的频率保持最新保护状态。
反 恶 意 软 件引擎更新 - 自动更新 Microsoft 反恶意软件引擎。
反 恶 意 软 件平台更新 – 自动更新 Microsoft 反恶意软件平台。
主 动 保 护 - 将检测到的威胁和可疑资源的遥测元数据报告给 Microsoft Azure,以确保针对不断演变的威胁局
势做出快速响应,并通过 Microsoft Active Protection System (MAPS) 启用实时同步签名传递。
示例 报 告 - 将示例提供并报告给 Microsoftt 反恶意软件服务,以帮助改善服务并实现故障排除。
排除 项 - 允许应用程序和服务管理员配置文件、进程和驱动器的排除项。
恶 意 软 件事件收集 -在操作系统事件日志中记录反恶意软件服务的运行状况、可疑活动及采取的补救措施,
并将这些数据收集到客户的 Azure 存储帐户。
NOTE
此外可以使用 Azure 安全中心部署 Microsoft 反恶意软件。 有关详细信息,请参阅在 Azure 安全中心中安装 Endpoint
Protection。
体系结构
适用于 Azure 的 Microsoft 反恶意软件包含 Microsoft 反恶意软件客户端和服务、反恶意软件经典部署模型、反
恶意软件 PowerShell cmdlet 和 Azure 诊断扩展。 Windows Server 2008 R2 、Windows Server 2012 和
Windows Server 2012 R2 操作系统系列支持 Microsoft 反恶意软件。 Windows Server 2008 操作系统不支持此
解决方案,Linux 中也不支持此解决方案。
Microsoft 反 恶 意 软 件工作流
Azure 服务管理员可以使用以下选项,针对虚拟机和云服务通过默认或自定义配置来启用 Azure 的反恶意软件:
虚拟机 – 在Azure 门户中的“安全 扩 展 ”下
虚拟机 – 在服务器资源管理器中使用 Visual Studio 虚拟机配置
虚拟机和云服务 – 使用反恶意软件经典部署模型
虚拟机和云服务 – 使用反恶意软件 PowerShell cmdlet
本文档的“反恶意软件部署方案”部分介绍了上述方案支持的部署工作流,包括配置步骤和选项。
NOTE
不过,可以使用 Powershell/API 和 Azure 资源管理器模板来部署带有 Microsoft 反恶意软件扩展的虚拟机扩展集。 若要在已
运行的虚拟机上安装扩展,可以使用示例 python 脚本 vmssextn.py。 此脚本获取扩展集的现有扩展配置,并向 VM 扩展集
的现有扩展列表中添加扩展。
默 认 和自定 义 的反 恶 意 软 件配置
如果未提供自定义配置设置,会应用默认的配置设置以启用适用于 Azure 云服务或虚拟机的反恶意软件。 默认
配置设置已预先经过优化,可在 Azure 环境中运行。 或者,可以根据 Azure 应用程序或服务部署的需要自定义这
些默认配置设置,并将其应用到其他部署方案。
下表汇总了反恶意软件服务可用的配置设置。 标有“默认”的列下面标记了默认配置设置。
反恶意软件部署方案
本部分介绍启用和配置反恶意软件的方案,包括监视 Azure 云服务和虚拟机。
虚 拟 机 - 启用和配置反 恶 意 软 件
使用 Azure 门户创 建 VM 时进 行部署
若要在预配虚拟机时使用 Azure 门户启用和配置 Azure 虚拟机的 Microsoft 反恶意软件,请执行以下步骤:
5. 提供“名称”、“用户名”和“密码”,然后创建新资源组或选择现有的资源组。
6. 选择“确定”。
7. 选择 VM 大小。
8. 在下一部分,根据需要做出相应的选择,然后选择“扩展”部分。
9. 选择“添加扩展”
10. 在“新建资源”下,选择“Microsoft 反恶意软件”。
11. 选择“创建”
12. 在“安装扩展”部分,可以配置文件、位置和进程排除项,及其他扫描选项。 选择“确定”。
13. 选择“确定”。
14. 返回“设置”部分,选择“确定”。
15. 在“创建”屏幕中选择“确定”。
2. 在“服务器资源管理器”的“虚拟机”节点中选择自己的虚拟机。
3. 右键单击“配置”查看虚拟机配置页
4. 从“已安装的扩展”下的下拉列表中选择“Microsoft 反恶意软件”扩展,并单击“添加”以使用默认反恶意软件
配置进行配置。
5. 若要自定义默认反恶意软件配置,请在“已安装的扩展”列表中选择(突出显示)“反恶意软件”扩展,并单
击“配置”。
7. 单击“更新”按钮,将配置更新推送到虚拟机。
NOTE
反恶意软件的 Visual Studio 虚拟机配置仅支持 JSON 格式配置。 适用于 Azure 的 Microsoft Antimalware - 代码示例中包含
了反恶意软件 JSON 配置设置模板,其中显示了支持的反恶意软件配置设置。
NOTE
反恶意软件的 Azure 虚拟机配置仅支持 JSON 格式配置。 适用于 Azure 的 Microsoft Antimalware - 代码示例中包含了反恶
意软件 JSON 配置设置模板,其中显示了支持的反恶意软件配置设置。
云服 务 和虚 拟 机 - 使用
PowerShell cmdlet 进 行配置
Azure 应用程序或服务可以使用 PowerShell cmdlet 来检索适用于云服务和虚拟机的 Microsoft 反恶意软件配
置。
1. 在“虚拟机”边栏选项卡中单击“监视”透镜的任何部位
2. 在“度量值”边栏选项卡中单击“诊断”命令
3. 为“状 态 ”选择“打开”,并选中 Windows 事件系统日志的对应选项
4. . 可以取消选中列表中的所有其他选项,或者根据应用程序服务的需要将它们保持启用状态。
5. 将在 Azure 存储帐户中捕获“错误”、“警告”、“信息”等反恶意软件事件类别。
反恶意软件事件将从 Windows 事件系统日志收集到 Azure 存储帐户中。 可以通过选择相应的存储帐户,为虚拟
机配置存储帐户以收集反恶意软件事件。
使用PowerShell cmdlet 为 Azure 资 源管理器 VM 启用和配置反 恶 意 软 件
可以使用 PowerShell cmdlet 为 Azure 资源管理器 VM 启用和配置 Microsoft Antimalware。
可以使用以下代码示例:
后续步骤
请参阅代码示例,以便为 Azure 资源管理器 (ARM) 虚拟机启用和配置 Microsoft Antimalware。
为 Azure 资源管理器 Vm 启⽤和配置 Microsoft 反
恶意软件
2021/2/9 • • Edit Online
可以为 Azure 资源管理器 Vm 启用和配置 Microsoft 反恶意软件。 本文提供使用 PowerShell cmdlet 的代码示
例。
NOTE
在执行此代码示例之前,必须取消注释变量并提供相应的值。
# Script to add Microsoft Antimalware extension to Azure Resource Manager VMs
# Specify your subscription ID
$subscriptionId= " SUBSCRIPTION ID HERE "
# specify location, resource group, and VM for the extension
$location = " LOCATION HERE " # eg., “Southeast Asia” or “Central US”
$resourceGroupName = " RESOURCE GROUP NAME HERE "
$vmName = " VM NAME HERE "
NOTE
在执行此代码示例之前,必须取消注释变量并提供相应的值。
# Script to add Microsoft Antimalware extension to VM Scale Set(VMSS) and Service Fabric Cluster(in turn it
used VMSS)
# Login to your Azure Resource Manager Account and select the Subscription to use
Login-AzureRmAccount
# Specify your subscription ID
$subscriptionId="SUBSCRIPTION ID HERE"
Select-AzureRmSubscription -SubscriptionId $subscriptionId
# Specify location, resource group, and VM Scaleset for the extension
$location = "LOCATION HERE" # eg., “West US or Southeast Asia” or “Central US”
$resourceGroupName = "RESOURCE GROUP NAME HERE"
$vmScaleSetName = "YOUR VM SCALE SET NAME"
# }’;
后续步骤
详细了解适用于 Azure 的 Microsoft 反恶意软件 。
Azure 虚拟机安全概述
2021/2/9 • • Edit Online
使用 Azure 可以构建安全增强且符合法规的解决方案:
保护虚拟机不受病毒和恶意软件的侵害。
加密敏感数据。
保护网络流量的安全。
识别和检测威胁。
满足符合性要求。
反恶意软件
通过 Azure,可使用安全供应商(例如 Microsoft、Symantec、Trend Micro 和 Kaspersky)提供的反恶意软件。 此软
件可帮助保护虚拟机免受恶意文件、广告程序和其他威胁的侵害。
了解有关反恶意软件的详细信息以保护虚拟机:
在 Azure 虚拟机上部署反恶意软件解决方案
如何在 Windows VM 上安装和配置服务型 Trend Micro Deep Security
如何在 Windows VM 上安装和配置 Symantec Endpoint Protection
Azure 市场中的安全解决方案
若要实现更强大的保护,请考虑使用 Windows Defender 高级威胁防护。 使用 Windows Defender ATP,可以实
现:
攻击面减小
下一代保护
终结点保护和响应
自动调查和补救
安全评分
高级追寻
管理和 API
Microsoft 威胁防护
了解详细信息:
WDATP 入门
WDATP 功能概述
硬件安全模块
提高密钥安全性可增强加密和身份验证保护。 通过将关键密码和密钥存储在 Azure 密钥保管库中,可以简化此
类密码和密钥的管理和保护。
了解详细信息:
虚拟机磁盘加密
Azure 磁盘加密是用于加密 Windows 和 Linux 虚拟机磁盘的新功能。 Azure 磁盘加密利用 Windows 的行业标准
BitLocker 功能和 Linux 的 dm-crypt 功能,为 OS 和数据磁盘提供卷加密。
该解决方案与 Azure Key Vault 集成,帮助用户控制和管理 Key Vault 订阅中的磁盘加密密钥和机密。 它可确保虚
拟机磁盘上的所有数据在 Azure 存储中静态加密。
了解详细信息:
虚拟机备份
Azure 备份是一种可缩放的解决方案,无需资本投资便可帮助保护应用程序数据,从而最大限度降低运营成本。
应用程序错误可能会损坏数据,人为错误可能会将 bug 引入应用程序。 使用 Azure 备份可以保护运行 Windows
和 Linux 的虚拟机。
了解详细信息:
Site Recovery:
简化 BCDR 策略 :通过 Site Recovery 可从一个位置轻松处理多个业务工作负荷和应用的复制、故障转移及
恢复。 Site Recovery 会协调复制和故障转移,但不会拦截应用程序数据或拥有任何相关信息。
提供灵活的复制 :借助 Site Recovery,可以复制 Hyper-V 虚拟机、VMware 虚拟机和 Windows/Linux 物理服
务器上运行的工作负荷。
支持故障 转 移和恢复 :Site Recovery 提供测试故障转移,既能支持灾难恢复练习,又不会影响生产环境。 还
可针对预期会出现的中断运行计划内故障转移,确保不丢失任何数据;或者针对意外灾难运行计划外故障转
移,尽量减少数据丢失(具体取决于复制频率)。 故障转移之后,可故障回复到主站点。 Site Recovery 提供包
含脚本和 Azure 自动化工作簿的恢复计划,以供你自定义多层应用程序的故障转移和恢复。
消除 辅 助数据中心 :可复制到辅助本地站点,或复制到 Azure。 使用 Azure 作为灾难恢复的目标可以消除维
护辅助站点所带来的成本和复杂性。 复制的数据存储在 Azure 存储中。
与现有 BCDR 技 术 集成 :Site Recovery 能够与其他应用程序的 BCDR 功能结合使用。 例如,可使用 Site
Recovery 来帮助保护公司工作负荷的 SQL Server 后端。 这包括对 SQL Server AlwaysOn 的本机支持以管理
可用性组的故障转移。
了解详细信息:
虚拟网络
虚拟机需要网络连接。 若要支持该需求,Azure 要求将虚拟机连接到 Azure 虚拟网络。
了解详细信息:
Azure 网络安全概述
虚拟网络概述
Networking features and partnerships for Enterprise scenarios(网络功能和用于企业方案的合作关系)
安全策略管理和报告
Azure 安全中心可帮助防范、检测和应对威胁。 通过安全中心可提高对 Azure 资源安全性的可见性和控制力度。
它为 Azure 订阅提供集成的安全监控和策略管理。 它有助于检测可能会被忽视的威胁,适用于各种安全解决方
案生态系统。
安全中心通过以下方式帮助优化和监视虚拟机的安全:
了解详细信息:
Azure 安全中心简介
Azure 安全中心常见问题解答
Azure 安全中心规划和操作
合规性
Azure 虚拟机已针对 FISMA、FedRAMP、HIPAA、PCI DSS Level 1 和其他关键合规性计划进行了认证。 此认证使
自己的 Azure 应用程序更容易满足合规性要求,并使企业更容易应对各种国内和国际法规要求。
了解详细信息:
机密计算
虽然机密计算在技术方面不是虚拟机安全性的一部分,但是虚拟机安全性的主题属于“计算”安全性的更高级别的
主题。 机密计算属于“计算”安全性类别。
当数据“采用明文”(这是进行高效处理所必需的)时,机密计算可确保数据在可信执行环境
https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE - 也称为飞地)中受到保护,下图显示了一个
这样的示例。
了解详细信息:
Azure 机密计算介绍
Azure 机密计算
后续步骤
了解 VM 和操作系统的安全最佳做法。
Azure 中 IaaS ⼯作负荷的安全性最佳实践
2021/2/9 • • Edit Online
本文介绍了 VM 和操作系统的安全最佳做法。
通过身份验证和访问控制保护 VM
保护 VM 安全的第一步是确保只有授权用户才能设置新 VM 以及访问 VM。
NOTE
若要改进 Azure 上 Linux VM 的安全性,可以与 Azure AD 身份验证集成。 使用适用于 Linux VM 的 Azure AD 身份验证时,
可以通过集中进行控制和强制实施策略来允许或拒绝对 VM 的访问。
如果你的组织有多个订阅,则可能需要一种方法来高效地管理这些订阅的访问权限、策略和符合性。 Azure 管理
组提供订阅上的作用域级别。 可将订阅组织到管理组(容器)中,并将管理条件应用到该组。 管理组中的所有订
阅都将自动继承应用于该组的条件。 不管使用什么类型的订阅,管理组都能提供大规模的企业级管理。
最佳做法 :保护特权访问。
详细 信息 :使用 最低特权方法和内置 Azure 角色使用户能够访问和设置 VM:
虚拟机参与者:可以管理 VM,但无法管理虚拟机连接的虚拟网络或存储帐户。
经典虚拟机参与者:可管理使用经典部署模型创建的 VM,但无法管理这些 VM 连接到的虚拟网络或存储帐
户。
安全管理员:仅在安全中心内:可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、关闭警报
和建议。
开发测试实验室用户:可以查看所有内容,以及连接、启动、重新启动和关闭 VM。
NOTE
建议将具有相同生命周期的 VM 合并到同一个资源组中。 使用资源组可以部署和监视资源,并统计资源的计费成本。
控制 VM 访问和设置的组织可改善其整体 VM 安全性。
使用多个 VM 提高可用性
如果 VM 运行需要具有高可用性的关键应用程序,我们强烈建议使用多个 VM。 为了获得更好的可用性,请使用
可用性集 或可用性 区域。
防范恶意软件
应安装反恶意软件保护,以帮助识别和删除病毒、间谍软件和其他恶意软件。 可安装 Microsoft 反恶意软件或
Microsoft 合作伙伴的终结点保护解决方案(Trend Micro、Broadcom、McAfee、Windows Defender 和 System
Center Endpoint Protection)。
Microsoft 反恶意软件包括实时保护、计划扫描、恶意软件修正、签名更新、引擎更新、示例报告和排除事件收集
等功能。 对于与生产环境分开托管的环境,可以使用反恶意软件扩展来帮助保护 VM 和云服务。
最佳做法 :安装反恶意软件解决方案,以防范恶意软件。
详细 信息 :安装 Microsoft 合作伙伴解决方案或 Microsoft 反恶意软件
最佳做法 :将反恶意软件解决方案与安全中心集成,以监视保护状态。
详细 信息 :使用安全中心管理终结点保护问题
管理 VM 更新
与所有本地 VM 一样,Azure VM 应由用户管理。 Azure 不会向他们推送 Windows 更新。 你需要管理 VM 更新。
最佳做法:使 VM 保持最新。
详细信息:使用 Azure 自动化中的更新管理解决方案,为部署在 Azure、本地环境或其他云提供程序中的
Windows 和 Linux 计算机管理操作系统更新。 可以快速评估所有代理计算机上可用更新的状态,并管理为服务
器安装所需更新的过程。
由更新管理托管的计算机使用以下配置执行评估和更新部署:
最佳做法 :安装最新的安全更新。
详细 信息 :客户移到 Azure 的部分首批工作负荷为实验室和面向外部的系统。 如果 Azure VM 托管需要访问
Internet 的应用程序或服务,则需要警惕修补。 修补不仅仅包括操作系统。 合作伙伴应用程序上未修补的漏洞还
可能导致一些问题,而如果实施良好的修补程序管理,就可以避免这些问题。
最佳做法 :部署并测试一个备份解决方案。
详细 信息 :需要按照处理任何其他操作的相同方法处理备份。 这适合于属于扩展到云的生产环境的系统。
测试和开发系统必须遵循备份策略,这些策略可以根据用户的本地环境体验,提供与用户习惯的功能类似的存储
功能。 如果可能,迁移到 Azure 的生产工作负荷应与现有的备份解决方案集成。 或者,可以使用 Azure 备份来帮
助解决备份要求。
未实施软件更新策略的组织面临更多利用已修复的已知漏洞的威胁。 为了遵守行业法规,公司还必须证明他们
在不断作出相应努力并使用正确的安全控制机制来帮助确保云中工作负载的安全性。
管理 VM 安全状况
网络威胁不断加剧。 保护 VM 需要监视功能,以便快速检测威胁、防止有人未经授权访问资源、触发警报并减少
误报。
安全中心可主动监视威胁,并通过“安全警报”公开潜在的威胁。 关联的威胁将合并到名为“安全事件”的单个视图
中。
没有为 VM 实施强大安全措施的组织将意识不到未经授权的用户可能试图绕过安全控制机制。
监视 VM 性能
如果 VM 进程消耗的资源多过实际所需的量,可能会造成资源滥用的问题。 VM 性能问题可能会导致服务中断,
从而违反可用性安全原则。 这对于托管 IIS 或其他 Web 服务器的 VM 尤其重要,因为 CPU 或内存占用较高可能
意味着遭到拒绝服务 (DoS) 攻击。 不仅要在出现问题时被动监视 VM 的访问,而且还要在正常运行期间针对基
准性能进行主动监视。
资源诊断日志文件:监视 VM 资源并识别可能会损害性能与可用性的潜在问题。
Azure 诊断扩展:在 Windows VM 上提供监视和诊断功能。 在 Azure 资源管理器模板中包含该扩展即可启用
这些功能。
Azure 磁盘加密用于加密 Windows 和 Linux IaaS 虚拟机磁盘。 Azure 磁盘加密使用 Windows 行业标准的
BitLocker 功能和 Linux 的 DM-CRYPT 功能为 OS 和数据磁盘提供卷加密。 该解决方案与 Azure Key Vault 集成,
帮助用户管理 Key Vault 订阅中的磁盘加密密钥和机密。 此解决方案还可确保虚拟机磁盘上的所有数据在 Azure
存储中静态加密。
最佳做法 :在 VM 上启用加密。
详细 信息 :Azure 磁盘加密将生成加密密钥并将其写入密钥保管库。 在 Key Vault 中管理加密密钥需要 Azure AD
身份验证。 为此,请创建 Azure AD 应用程序。 对于身份验证,可以使用基于客户端机密的身份验证或基于客户
端证书的 Azure AD 身份验证。
Azure 磁盘加密可解决以下业务需求:
使用行业标准的加密技术轻松保护 IaaS VM,满足组织的安全性与合规性要求。
IaaS VM 会根据客户控制的密钥和策略启动,客户可以在 Key Vault 中审核密钥和策略的使用方式。
限制直接 Internet 连接
监视和限制 VM 直接 Internet 连接。 攻击者会不断地扫描公共云 IP 范围,寻找开放管理端口,并尝试 "轻松" 的
攻击,如常见密码和已知的修补漏洞。 下表列出了有助于防范这些攻击的最佳做法:
最佳做法 :防止无意中暴露网络路由和安全性。
详细 信息 :使用 Azure RBAC 确保只有中心网络组具有网络资源的权限。
最佳做法 :限制管理端口(RDP、SSH)。
详细 信息 :实时 (JIT) VM 访问可以用来锁定发往 Azure VM 的入站流量,降低遭受攻击的可能性,同时在需要时
还允许轻松连接到 VM。 当 JIT 时,安全中心会通过创建网络安全组规则来锁定发往 Azure VM 的入站流量。 你
需要选择要锁定 VM 上的哪些端口的入站流量。 这些端口将受 JIT 解决方案控制。
后续步骤
有关通过 Azure 设计、部署和管理云解决方案时可以使用的更多安全最佳做法,请参阅 Azure 安全最佳做法和模
式。
以下资源提供了有关 Azure 安全性及相关 Microsoft 服务的更多常规信息:
提交之前,始终在映像上运行安全漏洞检测。 如果你在自己发布的映像中检测到安全漏洞,则必须及时通知你的
客户,并将其更正。
打开基于源的映像
安全 扫描源代码和生成的 VM 映像中的恶意软件。
安全 VHD 映像只包含没有默认密码允许交互式登录的必要锁定帐
户;无后门。
安全 禁用防火墙规则,除非应用程序依赖于它们,如防火墙设备。
安全 避免使用 LVM。
安全 包含所需库的最新版本:
- OpenSSL v1.0 或更高版本
- Python 2.5 或更高版本(强烈建议使用 Python 2.6+)
- Python pyasn1 包(如果尚未安装)
- d.OpenSSL v 1.0 或更高版本
安全 清除 Bash/Shell 历史记录项。
网络 从映像中删除任何自定义网络配置。 删除 resolv.conf:
rm /etc/resolv.conf 。
部署 安装最新的 Azure Linux 代理。
-使用 RPM 或 Deb 包安装。
- 也可使用手动安装进程,但建议首选安装包。
- 如果要从 GitHub 存储库手动安装代理,首先请将
waagent 文件复制到 /usr/sbin 中并(以 root 身份)运行:
# chmod 755 /usr/sbin/waagent
# /usr/sbin/waagent -install
代理配置文件放置在 /etc/waagent.conf 中。
部署 确保 Azure 支持人员可以在需要时为合作伙伴提供串行控制
台输出,并为从云存储装载的操作系统磁盘提供足够的超时
时间。 将以下参数添加到映像内核引导行:
console=ttyS0 earlyprintk=ttyS0 rootdelay=300 。
部署 为 OS 磁盘创建一个根分区。
部署 仅支持 64 位 操作系统。
安全 安装所有最新的安全更新。
安全 应用程序不应依赖于受限用户名,如管理员、root 或 admin。
安全 扫描源代码和生成的 VM 映像中的恶意软件。
安全 VHD 映像只包含没有默认密码允许交互式登录的必要锁定帐
户;无后门。
安全 禁用防火墙规则,除非应用程序依赖于它们,如防火墙设备。
安全 删除 VHD 映像中的所有敏感信息,包括主机文件、日志文件
和不必要的证书。
部署 仅支持 64 位 操作系统。
静态数据加密
静态数据包括以任何数字格式驻留在物理介质上的永久性存储中的信息。 该介质可包括磁性介质或光学介质上
的文件、归档数据和数据备份。 Microsoft Azure 提供各种数据存储解决方案,以满足不同需求,包括文件、磁
盘、blob 和表存储。 Microsoft 还提供加密以保护 Azure SQL 数据库、Azure Cosmos DB 和 Azure Data Lake。
Azure 加密模型
Azure 支持各种加密模型,包括使用服务托管密钥、Key Vault 中客户托管密钥或客户所控硬件上客户托管密钥的
服务器端加密。 通过客户端加密,可在本地或另一个安全位置管理并存储密钥。
客 户 端加密
客户端加密在 Azure 之外执行。 其中包括:
由客户数据中心中运行的应用程序或服务应用程序加密的数据。
当 Azure 接收到数据时,数据已加密。
使用客户端加密时,云服务提供商无法访问加密密钥,因此无法解密该数据。 你完全控制了密钥。
服 务 器端加密
三个服务器端加密模型提供不同的密钥管理特性,可根据要求进行选择:
服 务 托管密 钥 :可带来低开销的控制和便利。
Azure 磁 盘 加密
可使用 Azure 磁盘加密保护 Windows 和 Linux 虚拟机,它采用 Windows BitLocker 技术和 Linux DM-Crypt通过
全卷加密来保护操作系统磁盘和数据磁盘。
透明数据加密
TDE 可通过数据库加密密钥 (DEK) 实时加密 SQL Server、Azure SQL 数据库和 Azure Synapse Analytics 数据文
件,该加密密钥存储在数据库启动记录中,可在恢复期间使用。
单 元 级 加密或列 级 加密
传输中的数据加密
Azure 提供了许多机制,用于在迁移数据时保持数据的私密性。
Azure 中的数据 链 路 层 加密
每当 Azure 客户流量在数据中心之间(在不受 Microsoft 或代表 Microsoft 的某方控制的物理边界之外)移动时,
都会在底层网络硬件上点对点应用使用 IEEE 802.1AE MAC 安全标准(也称 MACsec)的数据链路层加密方法。 数
据包会在发送之前在设备上进行加密和解密,以防止物理上的“中间人”攻击或窥探/窃听攻击。 由于此技术在网
络硬件本身上集成,因此它会在网络硬件上提供线路速率加密,而不会增加可度量的链路延迟。 对于在区域内或
区域之间传输的所有 Azure 流量,会默认启用此 MACsec 加密,客户无需执行任何操作。
Azure 中的 TLS 加密
Microsoft 让客户能够使用传输层安全性 (TLS) 协议来保护在云服务和客户之间传输的数据。 Microsoft 的数据中
心与连接到 Azure 服务的客户端系统协商建立 TLS 连接。 TLS 提供严格的身份验证,消息隐私性和完整性强(允
许检测消息篡改、拦截和伪造),具有良好的互操作性,算法灵活,易于部署和使用。
Azure 存 储 事 务
当通过 Azure 门户与 Azure 存储交互时,所有事务都通过 HTTPS 发生。 也可根据 HTTPS 使用存储 REST API 与
Azure 存储交互。 在调用 REST API 来访问存储帐户中的对象时,可通过启用存储帐户所需的安全传输来强制使
用 HTTPS 。
用于访问 Azure 文件共享的 SMB 3.0 支持加密,并且可以在 Windows Server 2012 R2 、Windows 8 、Windows
8.1 和 Windows 10 中使用。 它允许跨区域访问,甚至在桌面上访问。
在将数据发送到 Azure 存储实例前,客户端加密会对数据加密,所以在通过网络传输时数据是加密的。
Azure 虚 拟 网 络 上的 SMB 加密
在运行 Windows Server 2012 或更高版本的 VM 中使用 SMB 3.0 后,可对在 Azure 虚拟网络上传输数据进行加
密,以此确保数据安全传输。 加密数据有助于防止数据遭到篡改和窃听攻击。 管理员可以为整个服务器启用
SMB 加密,也可以启用特定的共享。
默认情况下,为共享或服务器启用 SMB 加密后,只允许 SMB 3.0 客户端访问加密共享。
VM 中的传输中加密
根据连接的性质,可通过多种方式对在运行 Windows 的 VM 间传输的数据进行加密。
RDP 会 话
可以使用 Windows 客户端计算机或者安装了 RDP 客户端的 Mac 上的远程桌面协议 (RDP) 连接并登录 VM。 在
RDP 会话中通过网络传输的数据可以受到 TLS 的保护。
还可使用远程桌面连接到 Azure 中的 Linux VM。
使用 SSH 安全 访问 Linux VM
若要进行远程管理,可以使用安全外壳 (SSH) 连接到在 Azure 中运行的 Linux VM。 SSH 是一种加密的连接协
议,利用该协议可以通过未受保护的连接进行安全登录。 它是适用于 Azure 中托管的 Linux VM 的默认连接协
议。 使用 SSH 密钥进行身份验证,无需使用密码即可登录。 SSH 使用公钥/私钥对(非对称加密)进行身份验证。
Azure VPN 加密
连接到 Azure 时可以使用虚拟专用网络,它可以创建安全通道以保护通过网络发送的数据的隐私。
Azure VPN 网关
可使用 Azure VPN 网关跨公共连接在虚拟网络和本地位置间发送加密流量,或在虚拟网络间发送流量。
点到站点 VPN
点到站点 VPN 允许单个客户端计算机访问 Azure 虚拟网络。 安全套接字隧道协议 (SSTP) 可用于创建 VPN 隧
道。 它可遍历防火墙(隧道显示为 HTTPS 连接)。 你可使用自己的内部公钥基础结构 (PKI) 根证书颁发机构 (CA)
实现点到站点的连接。
使用证书身份验证将点到站点连接配置到虚拟网络:Azure 门户
使用证书身份验证将点到站点连接配置到虚拟网络:PowerShell
站点到站点 VPN
可使用站点到站点 VPN 网关连接,通过 IPsec/IKE(IKEv1 或 IKEv2 )VPN 隧道将本地网络连接到 Azure 虚拟网络。
此类型的连接需要一个分配有面向外部的公共 IP 地址的本地 VPN 设备。
有关详细信息,请参阅:
在 Azure 门户中创建站点到站点连接
在 PowerShell 门户中创建站点到站点连接
后续步骤
Azure 安全概述
Azure 网络安全概述
Azure 数据库安全性概述
Azure 虚拟机安全概述
静态数据加密
数据安全与加密最佳做法
双重加密
2021/2/9 • • Edit Online
双加密是指启用了两个或更多独立加密层,以防止任何一层加密的损害。 使用两个加密层可减少对数据加密所
带来的威胁。 例如:
数据加密中的配置错误
加密算法中的实现错误
泄露单个加密密钥
Azure 为静态数据和传输中的数据提供双精度加密。
静态数据
Microsoft 针对静态数据启用两层加密的方法是:
使用客 户 托管密 钥 的磁 盘 加密 。 提供自己的密钥用于磁盘加密。 你可以将自己的密钥带到 Key Vault (BYOK
–创建自己的密钥) ,或在 Azure Key Vault 中生成新的密钥来加密所需的资源。
使用平台托管密 钥 的基 础结 构加密 。 默认情况下,使用平台托管的加密密钥自动对磁盘进行静态加密。
传输中的数据
对于传输中的数据启用两层加密的方法是:
后续步骤
了解如何 在 Azure 中使用加密。
Azure TLS 证书更改
2021/2/9 • • Edit Online
此更改将在何时进行?
从 2020 年 8 月 13 日起,现有 Azure 终结点已开始分阶段转换。 所有新创建的 Azure TLS/SSL 终结点都包含链
接到新根 CA 的已更新证书。
特定于服务的详细信息:
IMPORTANT
进行此更改之后,客户可能需要更新其应用程序,以防止在尝试连接到 Azure 服务时出现连接故障。
有什么变化?
如今,Azure 服务使用的大多数 TLS 证书都链接到以下根 CA:
CA ( SH A 1)
CA ( SH A 1)
如果此日期发生更改,则会收到新的吊销日期通知。
此更改将对我产生影响吗?
我们预计 大多数 Azure 客 户 不会 受到影响。 但是,如果应用程序显式指定可接受 CA 的列表,则可能会受到影
响。 这种做法称为证书固定。
下面是检测应用程序是否受影响的一些方式:
与 Azure 服务进行通信的不同操作系统和语言运行时可能需要额外步骤,才能正确利用这些新的根来构
建证书链:
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
http://www.microsoft.com/pkiops
后续步骤
如果有其他问题,请通过支持联系我们。
Azure 数据安全与加密最佳做法
2021/2/9 • • Edit Online
本文介绍了针对数据安全和加密的最佳做法。
保护数据
为了帮助保护云中的数据,需要考虑数据可能出现的状态以及可用于该状态的控件。 Azure 数据安全与加密的最
佳做法与以下数据状态相关:
静态:包括物理媒体(磁盘或光盘)上以静态方式存在的所有信息存储对象、容器和类型。
传输中:在各组件、位置或程序间传输数据时,数据处于“传输中”状态。 例如通过网络、通过服务总线(从本地
到云,反之亦然,包括诸如 ExpressRoute 的混合连接)进行传输,或在输入/输出过程。
选择密钥管理解决方案
保护密钥对保护云中的数据至关重要。
最佳做法 :向特定范围内的用户、组和应用程序授予访问权限。
详细 信息 :使用 Azure RBAC 预定义角色。 例如,要向用户授予管理密钥保管库的访问权限,需要将预定义的角
色密钥保管库参与者分配给位于特定范围内的此用户。 在此情况下,该范围可以是订阅、资源组,或只是特定的
密钥保管库。 如果预定义角色不符合需求,可以定义自己的角色。
最佳做法 :控制用户有权访问的内容。
详细 信息 :可通过以下两个独立接口来控制对密钥保管库的访问:管理平面和数据平面。 管理平面访问控制与数
据平面访问控制相互独立。
NOTE
如果用户具有密钥保管库管理平面的参与者权限 (Azure RBAC),则该用户可以通过设置密钥保管库访问策略来授予自己对
数据平面的访问权限。 建议严格控制具有密钥保管库“参与者”权限的人员,以确保只有获得授权的人员可以访问和管理密
钥保管库、密钥、机密和证书。
使用安全工作站进行管理
NOTE
订阅管理员或所有者应使用安全访问工作站或特权访问工作站。
因为绝大多数的攻击以最终用户为目标,所以终结点将成为主要攻击点之一。 入侵终结点的攻击者可以使用用
户的凭据来访问组织的数据。 大多数终结点攻击都利用了用户是其本地工作站的管理员这一事实。
最佳做法 :使用安全管理工作站来保护敏感帐户、任务和数据。
详细 信息 :使用 特权访问工作站来减小工作站的受攻击面。 这些安全管理工作站可帮助减轻其中一些攻击,以
确保数据更为安全。
最佳做法 :确保终结点受保护。
详细 信息 :在用于使用数据的所有设备上强制实施安全策略(无论数据位于云中还是本地)。
保护静止的数据
静态数据加密是实现数据隐私性、符合性和数据主权的必要措施。
最佳做法 :使用磁盘加密来帮助保护数据。
详细 信息 :使用 Azure 磁盘加密。 它使 IT 管理员能够加密 Windows 和 Linux IaaS VM 磁盘。 磁盘加密利用符合
行业标准的 Windows BitLocker 功能和 Linux dm-crypt 功能为 OS 和数据磁盘提供卷加密。
最佳做法 :使用加密来帮助降低与未经授权访问数据相关的风险。
详细 信息 :在将敏感数据写入驱动器之前先将驱动器加密。
未实施数据加密的组织面临的数据保密性问题风险更大。 例如,未经授权的用户或恶意用户可能会窃取已入侵
帐户中的数据,或者未经授权访问以明文格式编码的数据。 公司还必须证明,为了遵守行业法规,他们在不断作
出相应努力并使用正确的安全控件来增强其数据安全性。
保护传输中的数据
保护传输中的数据应该是数据保护策略中不可或缺的部分。 由于数据在许多位置间来回移动,因此,通常建议始
终使用 SSL/TLS 协议在不同位置间交换数据。 在某些情况下,可以使用 VPN 隔离本地与云基础结构之间的整个
信道。
无法保护传输中数据的组织更容易遭受中间人攻击、窃听和会话劫持。 这些攻击可能是获取机密数据访问权限
的第一步。
保护电子邮件、文档和敏感数据
你希望控制并帮助保护在公司外部共享的电子邮件、文档和敏感数据。 Azure 信息保护是基于云的解决方案,可
帮助组织对其文档和电子邮件进行分类、标记和保护。 这可以由定义了规则和条件的管理员自动执行、由用户手
动执行,或者以组合方式执行,在组合方式中,用户可获得建议。
分类始终是可标识的,而无论数据的存储位置或数据的共享人员。 标签包括视觉标记,如页眉、页脚或水印。 元
数据以明文形式添加到文件和电子邮件标题中。 明文形式确保其他服务(如防止数据丢失的解决方案)可以识别
分类并采取相应的操作。
建议:
数据分类和文件保护能力不佳的组织可能更容易遭到数据泄漏或数据滥用。 使用适当的文件保护,可以分析数
据流,以深入了解业务、检测风险行为并采取纠正措施、跟踪对文档的访问等等。
后续步骤
有关通过 Azure 设计、部署和管理云解决方案时可以使用的更多安全最佳做法,请参阅 Azure 安全最佳做法和模
式。
什么是静态加密?
加密是用于保护数据机密性的数据的安全编码。 Azure 中的静态加密设计使用对称加密根据简单的概念模型来
快速加密和解密大量数据:
将使用对称加密密钥在将数据写入到存储时对数据进行加密。
当数据在内存中就绪可供使用时,将会使用同一加密密钥来解密该数据。
可以将数据分区,并可对每个分区使用不同的密钥。
必须将密钥存储在实施了基于标识的访问控制和审核策略的安全位置。 数据加密密钥通常由 Azure Key Vault
中的密钥加密密钥进行加密,以进一步限制访问。
静态加密的目的
静态加密为已存储的数据(静止的)提供数据保护。 对静态数据进行的攻击包括:试图获得存储数据的硬件的物理
访问机会,然后盗用其中包含的数据。 发生此类攻击可能是由于服务器的硬盘驱动器在维护过程中处理不当,导
致攻击者有机会拆除硬盘驱动器。 攻击者随后会将该硬盘驱动器置于受其控制的计算机中,尝试访问相关数据。
静态加密旨在防止攻击者访问未加密的数据,其方法是确保这些数据在磁盘上时是加密的。 如果攻击者获取了
包含加密数据的硬盘驱动器但未获取加密密钥,则攻击者必须破解加密才能读取数据。 这种攻击比访问硬盘驱
动器上的未加密数据要复杂得多,且消耗的资源也多得多。 因此,强烈建议使用静态加密。对于许多组织来说,
这是需要完成的高优先级事项。
密 钥层 次 结 构
在实施静态加密时,使用多个加密密钥。 将加密密钥存储在 Azure Key Vault 中可确保安全的密钥访问并可集中
管理密钥。 但是,就批量加密和解密来说,通过服务在本地访问加密密钥比每项数据操作都要与 Key Vault 交互
更为高效,可以提高加密强度和性能。 限制单个加密密钥的使用降低了密钥被盗用的风险,也降低了必须更换密
钥时的重新加密成本。 Azure 静态加密模块使用一个密钥层次结构来解决所有这些需求,该密钥层次结构由以下
类型的密钥构成:
使用密钥加密密钥加密的数据加密密钥将单独进行存储,只有能够访问密钥加密密钥的实体才能解密这些数据
加密密钥。 支持各种不同的密钥存储模型。 有关详细信息,请参阅数据加密模型。
Microsoft 云服务中的静态加密
Microsoft 云服务用于下述所有三个云模型:IaaS 、PaaS 、SaaS 。 下面是在每个模型上使用该服务的示例:
软件服务,也称软件即服务(简称 SaaS ),它包含云提供的应用程序,例如 Microsoft 365 。
平台服务,方便客户在其应用程序中利用云,将云用于存储、分析和服务总线功能等。
基础结构服务,也称基础结构即服务 (IaaS),方便客户部署托管在云中的操作系统和应用程序,并尽可能利用
其他云服务。
适合SaaS 客 户 的静 态 加密
软件即服务 (SaaS) 客户通常会在每个服务中启用或提供静态加密。 Microsoft 365 为客户提供多个选项来验证
或启用静态加密。 若要了解 Microsoft 365 服务,请参阅 Microsoft 365 中的加密。
适合PaaS 客 户 的静 态 加密
平台即服务 (PaaS) 客户的数据通常驻留在存储服务(例如 Blob 存储)中,但也可以缓存或存储在应用程序执行环
境(例如虚拟机)中。 若要查看适用的静态加密选项,请检查下表中是否存在所用的存储和应用程序平台。
适合 IaaS 客 户 的静 态 加密
基础结构即服务 (IaaS) 客户可以使用各种服务和应用程序。 IaaS 服务可以在其 Azure 托管的虚拟机和 VHD 中通
过 Azure 磁盘加密来启用静态加密。
加密的存 储
所有托管磁盘、快照和映像都通过服务管理的密钥使用存储服务加密进行加密。 更完整的静态加密解决方案可
确保数据从不以未加密形式持久保存。 在虚拟机上处理数据时,可以将数据持久保存到 Windows 页面文件或
Linux 交换文件、故障转储或应用程序日志。 为了确保对该数据进行静态加密,IaaS 应用程序可以在 Azure IaaS
虚拟机(Windows 或 Linux)和虚拟磁盘上使用 Azure 磁盘加密。
自定 义 静 态 加密
Azure 资源提供程序加密模型支持
每个 Microsoft Azure 服务都支持一个或多个静态加密模型。 但是,对于某些服务来说,其中的一个或多个加密
模型可能并不适用。 对于支持客户管理的密钥方案的服务,它们可能只支持 Azure Key Vault 支持用于密钥加密
密钥的密钥类型的一个子集。 另外,服务可能会按不同的计划发布对这些方案和密钥类型的支持。 此部分介绍
的静态加密支持在撰写本文时仍适用于每个主要的 Azure 数据存储服务。
Azure 磁 盘 加密
任何使用 Azure 基础结构即服务 (IaaS) 功能的客户都可以通过 Azure 磁盘加密为其 IaaS VM 和磁盘实施静态加
密。 有关 Azure 磁盘加密的详细信息,请参阅 Azure 磁盘加密文档。
Azure 存 储
所有 Azure 存储服务(Blob 存储、队列存储、表存储和 Azure 文件存储)均支持静态服务器端加密,其中某些服务
额外支持客户管理的密钥和客户端加密。
可以通过 Always Encrypted 功能启用对 Azure SQL 数据库数据的客户端加密。 Always Encrypted 使用由客户端
创建和存储的密钥。 客户可以将主密钥存储在 Windows 证书存储、Azure Key Vault 或本地硬件安全模块中。 使
用 SQL Server Management Studio 时,SQL 用户可以选择想要使用什么密钥来加密哪个列。
结论
保护存储在 Azure 服务中的客户数据对于 Microsoft 来说至关重要。 所有 Azure 托管服务都会始终提供静态加
密选项。 Azure 服务支持服务管理的密钥、客户管理的密钥或客户端加密。 Azure 服务正在大范围地增强静态加
密的可用性,计划在将来数月中推出新功能的预览版和公开发行版。
后续步骤
若要详细了解服务管理的密钥和客户管理的密钥,请参阅数据加密模型。
了解 Azure 如何使用双重加密来缓解加密数据所带来的威胁。
了解 Microsoft 如何确保主机遍历硬件和固件构建、集成、操作化和维修管道的 完整性和安全性 。
数据加密模型
2021/2/9 • • Edit Online
服务器端加密有三种方案:
使用服务托管密钥进行服务器端加密
Azure 资源提供程序执行加密和解密操作
Microsoft 管理密钥
完整云功能
使用 Azure Key Vault 中客户托管密钥的服务器端加密
Azure 资源提供程序执行加密和解密操作
客户通过 Azure Key Vault 控制密钥
完整云功能
使用客户所控制硬件上的客户托管密钥的服务器端加密
Azure 资源提供程序执行加密和解密操作
客户控制其所控制的硬件上的密钥
完整云功能
每个服务器端静态加密模型都暗含密钥管理的独特特征。 其中包括:加密密钥的创建和存储位置和方式,以及访
问模型和密钥轮换过程。
对于客户端加密,请注意以下事项:
Azure 服务无法看到已解密的数据
客户在本地(或其他安全存储中)管理和存储密钥。 Azure 服务无法使用密钥
精简云功能
使用服务托管密钥的服务器端加密
对许多客户来说,基本要求就是确保数据在静态时能够获得加密。 使用服务托管密钥的服务器端加密实现该模
型的方式是:让客户标出适用于加密的特定资源(存储帐户、SQL DB 等),将所有密钥管理事项(例如密钥的颁
发、轮换和备份)留给 Microsoft。 大多数支持静态加密的 Azure 服务通常支持这种将加密密钥管理任务留给
Azure 的模型。 Azure 资源提供程序创建密钥,将其置于安全的存储中,然后根据需要对其进行检索。 这意味着,
服务具有密钥的完全访问权限,且服务可以全权控制凭据生命周期管理。
因此,使用服务托管密钥的服务器端加密可以快速满足进行静态加密并降低客户开销的需求。 在可用的情况下,
客户通常会打开适用于目标订阅和资源提供程序的 Azure 门户,选中一个表明其希望数据加密的复选框。 在某
些资源管理器中,使用服务托管密钥的服务器端加密默认处于启用状态。
密 钥访问权 限
使用服务托管密钥的服务器端加密在使用时,密钥的创建、存储和服务访问均由服务管理。 通常情况下,基础
Azure 资源提供程序会将数据加密密钥存储在靠近数据且能快速使用和访问的存储中,而将密钥加密密钥存储在
安全的内部存储中。
优点
安装简单
Microsoft 管理密钥轮换、备份和冗余
客户没有与实施相关联的成本,也没有自定义密钥管理方案的风险。
缺点
客户无法控制加密密钥(密钥规范、生命周期、吊销等)
此服务的管理模型无法将密钥管理与总体管理分开
密 钥访问权 限
将客户托管密钥置于 Azure Key Vault 中的服务器端加密模型涉及到的操作是,服务会根据需要访问用于加密和
解密的密钥。 可以通过访问控制策略来允许服务访问静态加密密钥。 此策略授予服务标识接收密钥所需的访问
权限。 可以为代表关联的订阅运行的 Azure 服务配置一个该订阅中的标识。 该服务可以执行 Azure Active
Directory 身份验证,然后会收到一个身份验证令牌,将服务本身标识为代表该订阅的服务。 然后,该服务可以将
该令牌出示给 Key Vault,以便获取有权访问的密钥。
对于使用加密密钥的操作,可以为服务标识授予以下任何操作的访问权限:decrypt、encrypt、unwrapKey、
wrapKey、verify、sign、get、list、update、create、import、delete、backup、restore。
若要获取用于加密或解密静态数据的密钥,服务标识(将由资源管理器服务实例在运行时充当)必须使用
UnwrapKey 来获取解密用的密钥,并在创建新密钥时使用 WrapKey 将密钥插入密钥保管库中。
NOTE
有关 Key Vault 授权的更多详细信息,请参阅 Azure Key Vault 文档中的“保护密钥保管库”页。
优点
缺点
客户全权负责密钥访问管理
客户全权负责密钥生命周期管理
额外的安装和配置开销
使用客户所控制硬件中的客户管理的密钥进行服务器端加密
某些 Azure 服务启用了“托管自己的密钥 (HYOK)”密钥管理模型。 当需要对静止的数据进行加密并在不受
Microsoft 控制的专有存储库中管理密钥时,此管理模式非常有用。 在此模型中,服务必须从外部站点检索密钥。
性能和可用性担保会受影响,并且配置更复杂。 另外,由于服务可以在加密和解密操作过程中访问 DEK,此模型
的总体安全保证类似于密钥在 Azure Key Vault 中由客户托管的情况。 因此,此模型不适合大多数组织,除非该组
织有特定的密钥管理要求。 由于这些限制,大多数 Azure 服务不支持使用客户所控硬件中服务器管理的密钥进
行服务器端加密。
密 钥访问权 限
使用客户所控硬件中服务管理的密钥进行服务器端加密时,密钥保留在客户配置的系统上。 支持此模型的 Azure
服务提供了一种建立安全连接的方法,用于连接到客户提供的密钥存储。
优点
全权控制所用的根密钥 – 加密密钥由客户提供的存储托管
能够通过加密将多个服务转换成一个主服务
此服务的管理模型可以将密钥管理与总体管理分开
可以跨区域定义服务和密钥位置
缺点
全权负责密钥的存储、安全、性能和可用性
全权负责密钥访问管理
全权负责密钥生命周期管理
极高的安装、配置和持续维护成本
增强了对客户数据中心和 Azure 数据中心之间网络可用性的依赖。
支持服务
支持每个加密模型的 Azure 服务:
AI
Azure 认知搜索 是 是 -
Azure 认知服务 是 是 -
Azure 机器学习 是 是 -
人脸 是 是 -
语言理解 是 是 -
个性化体验创建服务 是 是 -
QnA Maker 是 是 -
语音服务 是 是 -
文本翻译 是 是 -
事件中心 是 是 -
函数 是 是 -
Azure 数据目录 是 - -
Azure HDInsight 是 全部 -
Azure 数据资源管理器 是 是 -
Azure 数据工厂 是 是 -
Azure Kubernetes 服务 是 是 -
容器实例 是 是 -
容器注册表 是 是 -
虚拟机 是 是 -
虚拟机规模集 是 是 -
SAP HANA 是 是 -
应用服务 是 是** -
自动化 是 是** -
Azure 门户 是 是** -
逻辑应用 是 是 -
服务总线 是 是 -
站点恢复 是 是 -
表存储 是 是 是
Azure Cosmos DB 是 是 -
Azure Databricks 是 是 -
Azure Repos 是 - 是
服务总线 是 是 是
事件网格 是 - -
API 管理 是 - -
IoT 服务
IoT 中心 是 是 是
IoT 中心设备预配 是 是 -
Azure Migrate 是 是 -
媒体服务 是 是 是
Azure Sentinel 是 是 -
Blob 存储 是 是 是
高级 Blob 存储 是 是 是
磁盘存储 是 是 -
超级磁盘存储 是 是 -
托管磁盘存储 是 是 -
文件存储 是 是 -
文件高级存储 是 是 -
文件同步 是 是 -
队列存储 是 是 是
Avere vFXT 是 - -
Azure NetApp 文件 是 是 -
存档存储 是 是 -
StorSimple 是 是 是
Azure 备份 是 是 是
Data Box 是 - 是
后续步骤
了解如何在 Azure 中使用加密。
了解 Azure 如何使用双重加密来缓解加密数据所带来的威胁。
适⽤于虚拟机和虚拟机规模集的 Azure 磁盘加密
2021/2/9 • • Edit Online
Linux 虚拟机
以下文章提供了有关加密 Linux 虚拟机的指南。
Azure 磁 盘 加密的当前版本
Linux 虚拟机的 Azure 磁盘加密概述
Linux VM 上的 Azure 磁盘加密方案
使用 Azure CLI 创建和加密 Linux VM
使用 Azure Powershell 创建和加密 Linux VM
使用 Azure 门户创建和加密 Linux VM
适用于 Linux 的 Azure 磁盘加密扩展架构
创建和配置用于 Azure 磁盘加密的密钥保管库
Azure 磁盘加密示例脚本
Azure 磁盘加密疑难解答
Azure 磁盘加密常见问题解答
使用 Azure AD 执 行 Azure 磁 盘 加密(以前版本)
使用 Azure AD 对 Linux 虚拟机执行 Azure 磁盘加密概述
了解在 Linux VM 上使用 Azure AD 执行 Azure 磁盘加密的方案
使用 Azure AD 创建和配置用于 Azure 磁盘加密的密钥保管库(以前版本)
Windows 虚拟机
以下文章提供了有关加密 Windows 虚拟机的指南。
Azure 磁 盘 加密的当前版本
Windows 虚拟机的 Azure 磁盘加密概述
Windows VM 上的 Azure 磁盘加密方案
使用 Azure CLI 创建和加密 Windows VM
使用 Azure PowerShell 创建和加密 Windows VM
使用 Azure 门户创建和加密 Windows VM
适用于 Windows 的 Azure 磁盘加密扩展架构
创建和配置用于 Azure 磁盘加密的密钥保管库
Azure 磁盘加密示例脚本
Azure 磁盘加密疑难解答
Azure 磁盘加密常见问题解答
使用 Azure AD 执 行 Azure 磁 盘 加密(以前版本)
使用 Azure AD 对 Windows 虚拟机执行 Azure 磁盘加密概述
了解在 Windows VM 上使用 Azure AD 执行 Azure 磁盘加密的方案
使用 Azure AD 创建和配置用于 Azure 磁盘加密的密钥保管库(以前版本)
虚拟机规模集
以下文章提供了有关加密虚拟机规模集的指南。
后续步骤
Azure 加密概述
静态数据加密
数据安全与加密最佳做法
Azure SQL 数据库和 Azure SQL 托管实例安全功能
概述
2021/2/9 • • Edit Online
适用于: Azure SQL 数据库 Azure SQL 托管实例 Azure Synapse Analytics
本文概述使用 AZURE Sql 数据库、 azure Sql 托管实例和 azure Synapse Analytics保护应用程序数据层的基础知
识。 所述的安全策略遵循如下图所示的分层深度防御方法,并从外向内移动:
网络安全性
Microsoft Azure SQL 数据库、SQL 托管实例和 Azure Synapse Analytics 为云和企业应用程序提供关系数据库服
务。 为了帮助保护客户数据,防火墙会阻止对服务器的网络访问,直到根据 IP 地址或 Azure 虚拟网络流量源显
式授予访问权限。
IP 防火 墙规则
IP 防火墙规则基于每个请求的起始 IP 地址授予对数据库的访问权限。 有关详细信息,请参阅 Azure SQL 数据库
和 Azure Synapse Analytics 防火墙规则概述。
虚 拟 网 络 防火 墙规则
虚拟网络服务终结点将虚拟网络连接扩展到 Azure 主干网,并使 Azure SQL 数据库能够识别作为流量来源的虚
拟网络子网。 若要允许流量到达 Azure SQL 数据库,请使用 SQL 服务标记,以允许出站流量通过网络安全组。
NOTE
使用防火墙规则控制访问权限不应用于“SQL 托管实例”。 有关所需网络配置的详细信息,请参阅连接到托管实例
访问管理
IMPORTANT
管理 Azure 中的数据库和服务器由门户用户帐户的角色分配控制。 有关本文的详细信息,请参阅 Azure 门户中的 Azure 基
于角色的访问控制。
身份 验证
身份验证是证明用户所声明身份的过程。 Azure SQL 数据库和 SQL 托管实例支持两种类型的身份验证:
SQL 身份 验证 :
Azure Active Directory 身份验证是使用 Azure Active Directory (Azure AD) 中的标识连接到 Azure SQL 数
据库、Azure SQL 托管实例和 Azure Synapse Analytics 的一种机制。 使用 Azure AD 身份验证,管理员可
在一个中心位置集中管理数据库用户以及其他 Azure 服务的标识和权限。 这包括最小化密码存储并启用
集中式密码轮换策略。
IMPORTANT
管理 Azure 中的数据库和服务器由门户用户帐户的角色分配控制。 有关本文的详细信息,请参阅 Azure 中基于角色的访问
控制 Azure 门户。 使用防火墙规则控制访问权限不应用于“SQL 托管实例”。 有关所需网络配置的详细信息,请参阅以下有
关连接到托管实例的文章。
授权
授权是指在 Azure SQL 数据库的数据库或 Azure SQL 托管实例中分配给用户的权限,并决定用户可以执行的操
作。 权限控制通过将用户帐户添加到数据库角色并向这些角色分配数据库级权限来实现,也可以通过授予用户
特定的对象级权限来实现。 有关详细信息,请参阅登录和用户
行 级别 安全性
行级别安全性使客户可以基于执行查询的用户的特性(例如,组成员身份或执行上下文)来控制对数据库表进行
的访问。 行级别安全性也可用于实现基于自定义标签的安全概念。 有关详细信息,请参阅行级别安全性。
威胁防护
SQL 数据库和 SQL 托管实例通过提供审核和威胁检测功能来保护客户数据。
Azure Monitor 日志和事件中心中的 SQL 审 核
SQL 数据库和 SQL 托管实例审核可跟踪数据库活动,通过将数据库事件记录到客户所有的 Azure 存储帐户中的
审核日志,帮助用户保持符合安全标准。 用户可以通过审核监视正在进行的数据库活动,以及分析和调查历史活
动,以标识潜在威胁或可疑的滥用行为和安全违规。 有关详细信息,请参阅 SQL 数据库审核入门。
高级威胁防护
高级威胁防护通过对你的日志进行分析来检测异常行为和对数据库的潜在恶意访问或利用。 针对可疑活动(例如
SQL注入、潜在的数据渗透和暴力攻击)或访问模式中的异常情况创建警报,以捕获特权提升和违规的凭据使用。
可以从 Azure 安全中心查看警报,其中提供了可疑活动的详细信息,并给出了进一步调查建议以及缓解威胁的措
施。 可以为每台服务器启用高级威胁防护,但需要额外付费。 有关详细信息,请参阅 SQL 数据库高级威胁防护
入门。
信息保护和加密
传输层 安全性( 传输 中加密)
SQL Database、SQL 托管实例和 Azure Synapse Analytics 通过使用 传输层安全性 (TLS) 对运动中的数据进行加
密来保护客户数据。
IMPORTANT
请注意,某些非 Microsoft 驱动程序默认可能不使用 TLS,或者依赖于旧版 TLS (<1.2) 来正常运行。 在这种情况下,服务器
仍允许连接到数据库。 但是,我们建议评估允许此类驱动程序和应用程序连接到 SQL 数据库所带来的安全风险,尤其是存
储敏感数据时。
透明数据加密(静 态 加密)
透明数据加密 (适用于 Sql 数据库的 TDE) 、sql 托管实例和 Azure Synapse Analytics 增加了一层安全保护,以帮
助保护静态数据,防止未经授权或脱机访问原始文件或备份。 常见方案包括数据中心被盗或对硬件或媒体(如磁
盘驱动器和备份磁带)的不安全处置。TDE 使用 AES 加密算法加密整个数据库,无需应用程序开发人员对现有应
用程序进行任何更改。
在 Azure 中,所有新创建的数据库都默认处于加密状态,且数据库加密密钥通过一个内置的服务器证书保护。 证
书维护和轮换由服务管理,无需用户输入。 喜欢控制加密密钥的客户可以管理 Azure Key Vault 中的密钥。
Always Encrypted(使用中加密)
动态 数据屏蔽
动态数据屏蔽通过对非特权用户屏蔽敏感数据来限制敏感数据的公开。 动态数据掩码可自动发现 Azure SQL 数
据库和 SQL 托管实例中潜在的敏感数据,提供可行的建议来掩码这些字段,对应用程序层造成的影响可忽略不
计。 它的工作原理是在针对指定的数据库字段运行查询后返回的结果集中隐藏敏感数据,同时保持数据库中的
数据不变。 有关详细信息,请参阅 SQL 数据库和 SQL 托管实例动态数据掩码入门。
安全管理
漏洞 评 估
漏洞评估是一项易于配置的服务,可以发现、跟踪和帮助修正潜在的数据库漏洞,旨在主动提高整体数据库安全
性。 漏洞评估 (VA) 是 Azure Defender for SQL 产品/服务(高级 SQL 安全功能的统一包)的一部分。 可通过中心
Azure Defender for SQL 门户访问和管理漏洞评估。
数据 发现 和分 类
数据发现和分类(当前为预览版)提供了内置于 Azure SQL 数据库和 SQL 托管实例的高级功能,可用于发现、分
类、标记和保护数据库中的敏感数据。 发现最敏感的数据(业务/财务、医疗保健、个人数据等)并进行分类,可在
组织的信息保护方面发挥关键作用。 它可以充当基础结构,用于:
各种安全方案,如监视(审核)并在敏感数据存在异常访问时发出警报。
控制对包含高度敏感数据的数据库的访问并增强其安全性。
帮助满足数据隐私标准和法规符合性要求。
有关详细信息,请参阅数据发现和分类入门。
合规性
除了上述有助于应用程序符合各项安全要求的特性和功能以外,Azure SQL 数据库还定期参与审核,并已通过许
多法规标准的认证。 有关详细信息,请参阅 Microsoft Azure 信任中心 ,你可以在其中找到最新的 SQL 数据库符
合性认证列表。
后续步骤
有关如何使用 SQL 数据库和 SQL 托管实例中的登录名、用户帐户、数据库角色和权限,请参阅管理登录名和
用户帐户。
有关数据库审核的讨论,请参阅审核。
有关威胁检测的讨论,请参阅威胁检测。
⽤于解决 Azure SQL 数据库和 Azure SQL 托管实
例常⻅安全要求的 playbook
2021/2/9 • • Edit Online
解决常见的安全要求
本文档提供有关如何解决使用 Azure SQL 数据库和 Azure SQL 托管实例的新应用程序或现有应用程序的常见安
全要求的指导。 本文档的内容已从较高层面按照安全考虑因素进行组织。 若要解决特定的威胁,请参阅常见安
全威胁和潜在缓解措施部分。 提供的某些建议在将应用程序从本地迁移到 Azure 时适用,不过,本文档不会重点
说明迁移方案。
安全架构师
安全经理
合规性主管
隐私主管
安全工程师
使用本指南
本文档旨在用作现有 Azure SQL 数据库安全性文档的配套资源。
除非另有说明,否则我们建议遵循每个部分中列出的所有最佳做法,以实现相关的目标或要求。 为了帮助客户满
足特定的安全合规标准或最佳做法,在适用的情况下,“要求或目标”部分下面会列出重要的法规控制措施。 本文
参考了以下安全标准和法规:
FedRAMP:AC-04、AC-06
SOC:CM-3、SDL-3
ISO/IEC 27001:访问控制、加密
Microsoft 操作安全保障 (OSA) 做法:做法 #1-6 和 #9
NIST 专刊 800-53 安全控制:AC-5、AC-6
PCI DSS :6.3.2、6.4.2
我们计划持续更新本文列出的建议和最佳做法。 使用本文底部的 " 反 馈 " 链接提供对此文档的输入或任何更
正。
身份验证
身份验证是证明用户所声明身份的过程。 Azure SQL 数据库和 SQL 托管实例支持两种类型的身份验证:
SQL 身份验证
Azure Active Directory 身份验证
NOTE
并非所有工具和第三方应用程序都支持 Azure Active Directory 身份验证。
标识 的集中管理
集中式标识管理提供以下优势:
管理组帐户并控制用户权限,而无需跨服务器、数据库和托管实例重复登录。
简化且灵活的权限管理。
应用程序的大规模管理。
如何 实现 :
最佳做法 :
创建 Azure AD 租户,创建用户来表示人类用户,并创建服务主体来表示应用、服务和自动化工具。 服务
主体相当于 Windows 和 Linux 中的服务帐户。
NOTE
在 SQL 托管实例中,还可以创建映射到 master 数据库中的 Azure AD 主体的登录名。 请参阅 CREATE LOGIN
(Transact-SQL)。
使用 Azure AD 组可以简化权限管理,组所有者和资源所有者都可以在组中添加/删除成员。
Azure AD 多重身份 验证
内容来源:OSA 做法 #2 ,ISO 访问控制 (AC)
Azure AD 多重身份验证通过要求多种形式的身份验证提供额外的安全性。
如何 实现 :
最佳做法 :
请参阅规划条件访问部署一文。
可为整个 Azure AD 或者与 Azure AD 联合的整个 Active Directory 启用多重身份验证。
NOTE
此身份验证模式需要使用基于用户的标识。 如果使用的受信任标识模型会绕过个体 Azure AD 用户身份验证(例如,
使用 Azure 资源的托管标识),则不会应用多重身份验证。
基于密码的身份验证方法是较弱的身份验证形式。 凭据可能会透露或者被错误地丢弃。
如何 实现 :
使用 Azure AD 集成身份验证,此方法可消除密码的使用。
最佳做法 :
如何 实现 :
最佳做法 :
使用 Azure 资源的托管标识。
系统分配的托管标识
用户分配的托管标识
从具有托管标识的 Azure 应用服务使用 Azure SQL 数据库(无需更改代码)
对应用程序使用基于证书的身份验证。
请参阅此代码示例。
对集成的联合域和已加入域的计算机使用 Azure AD 身份验证(参阅上一部分)。
请参阅集成身份验证的示例应用程序。
保 护 密 码 和机密
如果不可避免地需要使用密码,请确保密码受到保护。
如何 实现 :
使用 Azure Key Vault 存储密码和机密。 在适用的情况下,请对 Azure AD 用户使用 Azure SQL 数据库的多重
身份验证。
最佳做法 :
对 旧式 应 用程序使用 SQL 身份 验证
SQL 身份验证是指使用用户名和密码连接到 Azure SQL 数据库或 SQL 托管实例时对用户进行身份验证。 需要在
每个服务器或托管实例中创建一个登录名,并在每个数据库中创建一个用户。
如何 实现 :
使用 SQL 身份验证。
最佳做法 :
以服务器或实例管理员的身份创建登录名和用户。 除非将包含的数据库用户与密码配合使用,否则所有密码
将存储在 master 数据库中。
请参阅控制和授予对 SQL 数据库、SQL 托管实例和 Azure Synapse Analytics 的数据库访问权限一文。
访问管理
访问管理(也称为授权)是控制和管理已授权用户对 Azure SQL 数据库或 SQL 托管实例的访问权限与特权的过
程。
实 施最低特 权 原 则
仅分配完成所需任务而需要的权限:
在 SQL 数据库中:
使用粒度权限和用户定义的数据库角色(或托管实例中的服务器角色):
1. 创建所需的角色
CREATE ROLE
CREATE SERVER ROLE
2. 创建所需的用户
CREATE USER
3. 将用户作为成员添加到角色
ALTER ROLE
ALTER SERVER ROLE
4. 然后将权限分配给角色。
GRANT
确保不要将用户分配到不必要的角色。
在 Azure 资源管理器中:
以下最佳做法是可选的,但可以改善安全策略的易管理性和支持性:
如果可能,请从尽可能低的权限集开始,并在有实际需要(和理由)时逐个添加权限 - 而不要采用相反的方
法:逐步去除权限。
创建和使用具有所需确切权限的自定义角色。 实践中使用的典型角色:
安全部署
管理员
开发人员
支持人员
审核员
自动化过程
最终用户
只有当角色的权限与用户所需的权限完全匹配时,才使用内置角色。 可将用户分配到多个角色。
请记住,数据库引擎中的权限可以在以下范围内应用(范围越小,授予的权限的影响越小):
NOTE
不建议在对象级别应用权限,因为此级别会给整个实现带来不必要的复杂性。 如果决定使用对象级权限,应明确阐
述这些权限。 这同样适用于列级权限,出于相同的原因,我们更不建议应用此类权限 另请注意,默认情况下,表级
DENY 不会覆盖列级授权。 这需要激活通用标准合规性服务器配置。
实现职责 分离
“职责分离”描述将敏感任务拆分为要分配给不同用户的多个任务的要求。 职责分离有助于防止数据违规。
如何 实现 :
识别所需的职责分离级别。 示例:
在开发/测试环境与生产环境之间
安全相关的任务、数据库管理员 (DBA) 管理级别任务与开发人员任务。
示例:审核员为角色级安全性 (RLS) 创建安全策略,并使用 DDL 权限实现 SQL 数据库对象。
识别有权访问系统的用户(和自动化过程)的综合层次结构。
根据所需的用户组创建角色,并将权限分配给角色。
示例:教程:使用证书为存储过程签名
使用 Azure Key Vault 中客户管理的密钥实现透明数据加密 (TDE),以便在数据所有者与安全所有者之间实
现职责分离。
在过程中进行人工干预。
审核线索 – 有关审核的详细信息,请参阅审核关键安全事件。
最佳做法 :
确保将不同的帐户用于开发/测试环境和生产环境。 不同的帐户有助于满足测试和生产系统分离的原则。
当内置角色授予的权限过多或不足时,创建并使用用户定义的角色。
始终确保针对安全相关的操作提供审核线索。
NOTE
对安全相关的任务或故障排除任务实现职责分离 (SoD) 会有难度。 其他方面(例如开发和最终用户角色)更易于分离。 当其
他解决方案不可行时,大多数合规性相关的控制措施允许使用替代的控制功能,例如审核。
控制和授予数据库访问权限
应用程序开发人员的引擎职责分离
职责分离
对存储过程签名
对于 Azure 资源管理:
Azure 内置角色
Azure 自定义角色
使用 Azure AD Privileged Identity Management 提升访问权限
执 行定期代 码评审
内容来源:PCI:6.3.2 ,SOC:SDL-3
如何 实现 :
实现分离的代码部署过程。
在提交到主分支之前,必须由某个人员(代码本身的作者除外)检查代码是否存在提升特权的风险,以及是
否存在恶意的数据修改,以防止出现欺诈和恶意访问。 可以使用源代码管理机制实现此目的。
最佳做法 :
标准化:实现每次更新代码时都要遵循的标准过程会很有帮助。
漏洞评估中的规则可以检查是否存在过多的权限、是否使用了旧加密算法,以及数据库架构中是否存在其
他安全问题。
要注意的方面的示例:
数据保护
数据保护是通过加密或模糊处理来防止重要信息遭到透露的一组功能。
NOTE
Microsoft 的 Azure SQL 数据库和 SQL 托管实例已通过 FIPS 140-2 级别 1 合规认证。 认证过程中已确认它严格使用 FIPS
140-2 级别 1 可接受的算法,以及这些算法的、经 FIPS 140-2 级别 1 验证的实例,包括符合所需密钥长度、密钥管理、密钥
生成和密钥存储的要求。 此项认证意味着,我们的客户在处理数据或者交付系统或应用程序的过程中,可以满足使用 FIPS
140-2 级别 1 验证实例的需求或要求。 我们定义了上述语句中使用的术语 "FIPS 140-2 Level 1 相容" 和 "FIPS 140-2 Level
1 相容性",以演示其对美国和加拿大政府使用不同术语 "FIPS 140-2 Level 1 验证" 的预期适用性。
加密 传输 中的数据
当数据在客户端与服务器之间移动时为其提供保护。 请参阅网络安全性。
静 态 数据加密
静态加密是指对数据库、日志和备份文件中保存的数据进行加密保护。
如何 实现 :
最佳做法 :
如果需要提高透明度并精细控制 TDE 保护,请使用 Azure Key Vault 中客户管理的密钥。 Azure Key Vault
允许随时撤销权限,使数据库不可访问。 可以集中管理 TDE 保护器及其他密钥,或使用 Azure Key Vault
按自己的计划轮换 TDE 保护器。
如果使用 Azure Key Vault 中客户管理的密钥,请参阅文章有关使用 Azure Key Vault 配置 TDE 的指导原
则和如何使用 Azure Key Vault 配置异地灾难恢复。
需要确定哪些数据是敏感的,以及敏感数据是否必须在内存中加密并且不可供管理员以明文形式访问,用于确定
这些事项的策略特定于你的组织以及你需要遵守的合规性规定。 请参阅相关要求:识别并标记敏感数据。
如何 实现 :
最佳做法 :
有关详细信息,请参阅使用角色分离管理密钥一文。
将列主密钥存储在 Azure Key Vault 中,以方便管理。 避免使用会使密钥管理变得困难的 Windows 证书存
储(以及一般的分布式密钥存储解决方案,而不是集中式密钥管理解决方案)。
请参阅性能和可用性注意事项一文。
如果需要支持数据计算(相等性),请使用确定性加密。 否则请使用随机加密。 避免将确定性加密用于低
熵数据集或采用众所周知分布形式的数据集。
如果你担心第三方在合法的情况下访问你的数据,请确保能够以纯文本形式访问密钥和数据的所有应用
程序和工具在 Microsoft Azure 云的外部运行。 如果第三方无权访问密钥,则除非绕过加密,否则他们无
法解密数据。
如何 实现 :
最佳 实 践
使用 CLE 时:
通过 SQL 权限和角色控制对密钥的访问。
使用非对称密钥/证书(而不是密码)来保护对称密钥,以避免使用 3DES 。
通过导出/导入(bacpac 文件)使用单元级加密迁移数据库时请小心。
使用动态数据掩码来模糊处理表列。
NOTE
Always Encrypted 不能与动态数据掩码配合工作。 无法加密和掩码同一个列,这意味着,需确定是要优先保护使用中的数
据,还是通过动态数据掩码来对应用用户掩码数据。
最佳做法 :
NOTE
动态数据掩码不可用于防止高特权用户查看数据。 掩码策略不适用于拥有管理访问权限的用户,例如 db_owner。
不要允许应用用户运行临时查询(因为他们也许可以克服动态数据掩码)。
有关详细信息,请参阅使用推理或暴力破解技术绕过掩码一文。
使用适当的访问控制策略(通过 SQL 权限、角色、RLS )来限制用户在掩码列中进行更新的权限。 对列进行
掩码不会阻止对该列进行更新。 如果查询掩码列时收到掩码数据的用户拥有写入权限,则他们可以更新
这些数据。
动态数据掩码不会保留掩码值的统计属性。 这可能会影响查询结果(例如,包含筛选谓词的查询或者对掩
码数据的联接)。
网络安全性
网络安全性是指用于保护传输到 Azure SQL 数据库的数据的访问控制和最佳做法。
最佳做法 :
减少通过 SSL 2.0 、SSL 3.0 、TLS 1.0 和 TLS 1.1 中的漏洞发起的攻击途径:根据传输层安全性 (TLS) 注册表
设置,在连接到 Azure SQL 数据库的客户端计算机上禁用相关的途径。
内容来源:OSA 做法 #5
如何 实现 :
在 SQL 数据库中:
在 SQL 托管实例中:
遵循网络要求中的指导原则。
最佳做法 :
可将托管实例隔离在虚拟网络内,防止外部访问。 位于同一区域的相同或对等虚拟网络中的应用程序
和工具可以直接访问它。 位于不同区域的应用程序和工具可使用虚拟网络到虚拟网络连接,或使用
ExpressRoute 线路对等互连来建立连接。 客户应使用网络安全组 (NSG) 来仅限通过端口 1433 访问需
要访问托管实例的资源。
对于 SQL 数据库,请使用 专用链接 功能,该功能为虚拟网络中的服务器提供专用专用 IP。 还可使
用配置了虚拟网络防火墙规则的虚拟网络服务终结点来限制对服务器的访问。
移动用户应使用点到站点 VPN 连接,通过数据路径进行连接。
连接到本地网络的用户应使用站点到站点 VPN 连接或 ExpressRoute,通过数据路径进行连接。
可以通过连接到公共终结点(例如,使用公共数据路径)来访问 Azure SQL 数据库和 SQL 托管实例。 应考
虑以下最佳做法:
NOTE
SQL 托管实例公共终结点默认未启用,必须显式启用它。 如果公司政策禁止使用公共终结点,请首先使用 Azure Policy 来防
止启用公共终结点。
设置 Azure 网络组件:
按照 Azure 网络安全最佳做法进行操作。
根据 Azure 虚拟网络常见问题解答 (FAQ) 和计划中所述的最佳做法规划虚拟网络配置。
将虚拟网络划分为多个子网,并将类似角色的资源(例如,前端与后端资源)分配到同一子网。
使用网络安全组 (NSG) 来控制 Azure 虚拟网络边界范围内子网之间的流量。
为订阅启用 Azure 网络观察程序,以监视入站和出站网络流量。
对于 Power BI Desktop,请尽可能地使用专用数据路径。
对于 Power BI 服务,请使用本地数据网关,同时请记住限制和注意事项。
确保所有 VM 与特定的虚拟网络和子网相关联。
根据关于强制隧道中的指导,评估是否需要默认路由 0.0.0.0/Internet。
如果需要(例如在前端子网中),请保留默认路由。
如果不需要(例如在中间层或后端子网中),请启用强制隧道,使流量不会通过 Internet 抵达本地(即跨
界)。
如果使用对等互连或者连接到本地,请实现可选默认路由。
如果需要将虚拟网络中的所有流量发送到网络虚拟设备进行数据包检查,请实现用户定义的路由。
防范分布式拒 绝 服 务 (DDoS ) 攻 击
分布式拒绝服务 (DDoS) 攻击由恶意用户尝试向 Azure SQL 数据库发送大量网络流量,目的是使 Azure 基础结构
成为惊人,并导致其拒绝有效登录和工作负荷。
中提到的: OSA 实践 #9
如何 实现 :
最佳做法 :
监视、日志记录和审核
本部分所述的功能可帮助你检测异常活动,这些活动指示非同寻常或者潜在有害的访问或恶意利用数据库的企
图。 本部分还将提供有关配置数据库审核来跟踪和捕获数据库事件的最佳做法。
防范数据 库 遭到攻 击
高级威胁防护可在发生异常活动时提供安全警报,让我们检测潜在威胁并做出响应。
如何 实现 :
最佳做法 :
审 核关 键 安全事件
跟踪数据库事件有助于了解数据库活动。 可以洞察可能指示业务关注点或可疑安全违规的差异与异常。 此措施
还有助于遵守法规标准。
如何 实现 :
最佳做法 :
其他 资 源 :
SQL 数据库审核
SQL Server 审核
保 护审 核日志
限制对存储帐户的访问,以支持职责分离,并将 DBA 与审核员区分开来。
如何 实现 :
最佳做法 :
审核对敏感数据的访问时,请考虑使用数据加密来保护数据,以免向审核员透露信息。 有关详细信息,请
参阅防止未经授权的高特权用户查看使用中的敏感数据部分。
安全管理
本部分介绍有关管理数据库安全态势的各个方面和最佳做法。 其中提供了有关确保根据安全标准配置数据库、
发现漏洞,以及分类和跟踪对数据库中潜在敏感数据的访问的最佳做法。
确保根据安全最佳做法配置数据 库
通过发现并修正潜在数据库漏洞来主动改善数据库的安全性。
如何 实现 :
最佳做法 :
将定期的重复扫描配置为每周运行一次,并配置相关人员来接收摘要电子邮件。
解决检查发现的问题并更新相关的基线。 为解决措施创建票证项,并在解决问题之前跟踪这些项。
其他 资 源 :
SQL 漏洞评估
SQL 漏洞评估服务有助于识别数据库漏洞
识别 并 标记 敏感数据
发现可能包含敏感数据的列。 什么数据是敏感数据在很大程度上取决于客户、合规性规定等,并且需要由负责该
数据的用户进行评估。 将列分类以使用基于敏感性的高级审核和保护方案。
如何 实现 :
使用 SQL 数据发现和分类来发现、分类、标记和保护数据库中的敏感数据。
在 SQL 数据发现和分类仪表板中查看自动发现创建的分类建议。 接受相关的分类,以使用分类标签来
持久标记敏感数据。
对于未被自动机制发现的任何其他敏感数据字段,请手动添加分类。
有关详细信息,请参与 SQL 数据发现和分类。
最佳做法 :
定期监视分类仪表板,准确评估数据库的分类状态。 可以导出或打印有关数据库分类状态的报告,以使在
合规与审核措施中共享。
跟踪 对 敏感数据的 访问
在审核日志中监视谁访问了敏感数据,并捕获对敏感数据运行的查询。
如何 实现 :
最佳做法 :
参阅有关审核和数据分类的最佳做法部分:
审核关键安全事件
识别并标记敏感数据
可 视 化安全性与合 规 性状 态
使用统一的基础结构安全管理系统来增强数据中心(包括 SQL 数据库中的数据库)的安全态势。 查看有关数据库
安全性与合规性状态的建议列表。
如何 实现 :
常见安全威胁和潜在缓解措施
本部分帮助你找到用于防范特定攻击途径的安全措施。 遵循上述一条或多条安全指导原则预期可以实现大部分
缓解措施。
安全威 胁 :数据透露
Data 透露是指在未经授权的情况下,从计算机或服务器复制、传输或检索数据。 查看维基百科中的数据透露定
义。
通过公共终结点连接到服务器会带来数据透露的风险,因为这需要客户向公共 IP 打开其防火墙。
业务连续性和可用性的安全性方面
大多数安全标准在操作连续性方面解决数据可用性问题,实现此效果的方式是实施冗余和故障转移功能来避免
单一故障点。 对于灾难恢复方案,常见的做法是保留数据和日志文件的备份。以下部分概述了 Azure 中内置的功
能。 此外,提供了可根据具体需求进行配置的其他选项:
高级 & 业务关键服务层的高可用性区域冗余配置
常规用途服务层的高可用性区域冗余配置
业务连续性概述
后续步骤
参阅 Azure SQL 数据库安全功能概述
Azure 数据库安全性清单
2021/2/9 • • Edit Online
为了帮助提高安全性,Azure 数据库包括大量可用于限制和控制访问的内置安全控件。
其中包括:
防火墙,可用于创建防火墙规则,以便根据IP 地址限制连接,
可从 Azure 门户访问的服务器级防火墙
可从 SSMS 访问的数据库级防火墙规则
使用安全连接字符串保护数据库连接
使用访问管理
数据加密
SQL 数据库审核
SQL 数据库威胁检测
简介
云计算需使用许多应用程序用户、数据库管理员和程序员不熟悉的新安全范例。 由于这个原因,一些组织对于是
否要出于安全风险因素实现云基础结构以进行数据管理犹豫不决。 但是,通过更好地了解 Microsoft Azure 和
Microsoft Azure SQL 数据库中内置的安全功能,可极大减缓这方面的担忧。
清单
查看此清单之前,建议阅读 Azure 数据库安全性最佳做法一文。 了解最佳做法后,便能够充分利用此清单。 然
后,可使用此清单确保解决重要的 Azure 数据库安全性问题。
传输层安全性,用于数据移动到网络时的数据加密。
动态加密/传输中加密 数据库要求来自于客户端的通信是基于 TDS(表格格
式数据流)协议、通过 TLS(传输层安全性)实现的安全
通信。
透明数据加密,适用于非活动数据以任何数字形式和
静态加密 物理方式存储时的情况。
结论
Azure 数据库是一个可靠的数据库平台,提供满足众多组织要求与合规要求的整套安全功能。 通过控制对数据的
物理访问,结合透明数据加密、单元格级加密或行级别安全性使用各种文件级、列级或行级数据安全选项,可轻
松保护数据。 此外,Always Encrypted 支持针对加密的数据执行操作,简化应用程序更新的过程。 反过来,访问
SQL 数据库活动的审核日志可以提供所需的信息来帮助自己了解何时以何种方法访问了数据。
后续步骤
只需几个简单的步骤,即可大大提升数据库抵御恶意用户或未经授权的访问的能力。 本教程介绍以下内容:
为服务器和/或数据库设置防火墙规则。
通过加密保护数据。
启用 SQL 数据库审核。
适⽤于 Blob 存储的安全建议
2021/2/9 • • Edit Online
数据保护
为容器启用软删除 容器的软删除使你能够在容器被删除后 -
恢复容器。 有关容器软删除的详细信
息,请参阅 (预览版) 的容器软删除 。
标识和访问管理
不允许共享密钥授权 如果你不允许对存储帐户进行共享密钥 -
授权,Azure 存储将拒绝对该帐户的所
有后续请求,这些请求使用帐户访问密
钥获得授权。 仅授权有 Azure AD 的安
全请求将会成功。 有关详细信息,请参
阅 阻止对 Azure 存储帐户进行共享密
钥授权。
网络
在所有存储帐户中启用“需要安全传 启用“需要安全传输”选项时,对存储帐 是
输”选项 户发出的所有请求都必须通过安全连接
进行。 通过 HTTP 发出的任何请求都将
失败。 有关详细信息,请参阅在 Azure
存储中要求安全传输。
启用防火墙规则 配置防火墙规则以将存储帐户的访问权 -
限限制于源自指定的 IP 地址或范围,或
源自 Azure 虚拟网络 (VNet) 中一系列
子网的请求。 有关配置防火墙规则的详
细信息,请参阅配置 Azure 存储防火墙
和虚拟网络。
限制对特定网络的网络访问 将网络访问限制为托管需要访问的客户 是
端的网络可减少你的资源受到网络攻击
的风险。
日志记录/监视
跟踪请求的授权方式 启用 Azure 存储日志记录以跟踪对 -
Azure 存储发出的每个请求的授权方
式。 日志可指示请求是匿名提出的,还
是使用 OAuth 2.0 令牌、共享密钥或共
享访问签名 (SAS) 提出的。 有关详细信
息,请参阅通过 Azure Monitor 监视
Azure Blob 存储或采用经典监视的
Azure 存储分析日志记录。
后续步骤
Azure 安全文档
安全开发文档。
Microsoft Azure 客户密码箱
2021/2/9 • • Edit Online
NOTE
若要使用此功能,你的组织必须具有最小 级别的 Azure 支持计划。
本文介绍如何启动、跟踪和存储客户密码箱请求,以便以后查看和审核。
客户密码箱现已正式发布,当前支持对虚拟机进行远程桌面访问。
预览版中支持的服务和方案
客户密码箱预览版当前支持以下服务:
API 管理
Azure 应用服务
认知服务
容器注册表
Azure Database for MySQL
Azure Databricks
Azure Data Box
Azure 数据资源管理器
Azure 数据工厂
Azure Database for PostgreSQL
Azure Functions
HDInsight
Azure Kubernetes 服务
Azure Monitor
Azure 存储
Azure SQL DB
Azure 订阅传输
Azure Synapse Analytics
虚拟机(现在还包括对内存转储和托管磁盘的访问)
公开上市中支持的服务和方案
以下服务和方案目前在客户密码箱公开上市。
对 虚 拟 机的 远 程桌面 访问
客户密码箱现当前支持对虚拟机的远程桌面访问请求。 支持以下工作负载:
NOTE
客户密码箱不支持 IaaS 经典实例。 如果你的工作负荷在 IaaS 经典实例上运行,我们建议你将其从经典部署模型迁移到资
源管理器部署模型。 有关说明,请参阅平台支持的从经典部署模型到 Azure 资源管理器部署模型的 IaaS 资源迁移概述。
详细审 核日志
工作流
以下步骤概述了客户密码箱请求的典型工作流。
3. Azure 支持工程师会查看服务请求,并确定解决此问题的后续步骤。
4. 如果支持工程师无法通过使用标准工具和遥测对问题进行故障排除,则下一步是通过使用实时 (JIT)
access 服务请求提升的权限。 此请求可以来自原始支持工程师。 或者,它可以来自不同的工程师,因为此
问题已上报给 Azure DevOps 团队。
5. Azure 工程师提交访问请求后,实时服务会评估请求,其中包括以下因素:
资源的范围
请求者是隔离标识还是使用多重身份验证
权限级别
此请求还可以基于 JIT 规则,包括来自内部 Microsoft 审批者的批准。 例如,审批者可以是客户支持主管
或 DevOps 经理。
6. 当请求需要直接访问客户数据时,将启动客户密码箱请求。 例如,对客户的虚拟机的远程桌面访问。
请求现在处于 客 户 通知 状态,在授予访问权限前等待客户的批准。
示例电子邮件:
8. 电子邮件通知提供 Azure 门户中 客 户 密 码 箱 边栏选项卡的链接。 使用此链接,指定的审批者可以登录到
Azure 门户,查看其组织为客户密码箱所做的任何挂起的请求:
请求在客户队列中保留四天。 此时间过后,访问请求会自动过期,并且不会向 Microsoft 工程师授予任何
访问权限。
出于审核目的,在此工作流中执行的操作记录在 客户密码箱请求日志中。
审核日志
客户密码箱日志存储在活动日志中。 在 Azure 门户中,选择 " 活 动 日志 " 以查看与客户密码箱请求相关的审核
信息。 可以筛选特定操作,例如:
拒绝密码箱请求
创 建密 码 箱 请 求
批准密 码 箱 请 求
密码箱请求过期
示例:
排除项
在以下工程支持情况中不会触发客户密码箱请求:
后续步骤
对于具有最小 开 发 人 员 的 Azure 支持计划的所有客户,客户密码箱自动提供。
如果你具有符合条件的支持计划,则无需执行任何操作即可启用客户密码箱。 如果需要执行此操作来处理从组
织中的某个人中存档的支持票证,则客户密码箱请求将由 Microsoft 工程师发起。
适⽤于 Microsoft Azure 的客户密码箱的 Azure 安
全基线
2021/2/9 • • Edit Online
网络安全
有关详细信息,请参阅安全控制:网络安全。
1.5: 记录 网 络 数据包和流日志
指南 :不适用;不能将虚拟网络、子网或网络安全组与客户密码箱相关联。
1.8:最大程度地降低网 络 安全 规则 的复 杂 性和管理开 销
指南 :不适用;不能将虚拟网络、子网或网络安全组与客户密码箱相关联。
1.10: 阐 述流量配置 规则
指南 :不适用;不能将虚拟网络、子网或网络安全组与客户密码箱相关联。
日志记录和监视
有关详细信息,请参阅安全控制:日志记录和监视。
2.1:使用批准的 时间 同步源
指南 :不适用;Microsoft 维护用于客户密码箱资源的时间源。
2.2:配置中心安全日志管理
指南 :在 Azure 活动日志中自动启用和维护客户密码箱审核日志。 你可以通过将数据从 Azure 活动日志流式传
输到日志分析工作区来查看此数据,然后,你可以在该工作区中执行研究和分析。
客户密码箱的审核日志
Azure 安全中心 监视 :是
责 任 :客户
2.3: 为 Azure 资 源启用 审 核日志 记录
指南 :在 Azure 活动日志中自动启用和维护客户密码箱审核日志。 你可以通过将数据从 Azure 活动日志流式传
输到日志分析工作区来查看此数据,然后,你可以在该工作区中执行研究和分析。
客户密码箱的审核日志
Azure 安全中心 监视 :是
责 任 :客户
2.4:从操作系 统 收集安全日志
指南 :不适用;此建议适用于计算资源。
2.5:配置安全日志存 储 保留期
指南 :在 Azure Monitor 中,根据组织的符合性规定,设置与客户密码箱关联 Log Analytics 工作区的日志保持
期。
如何设置日志保留参数
2.6: 监视 和 审查 日志
指南 :在 Azure 活动日志中自动启用和维护客户密码箱审核日志。 你可以通过将数据从 Azure 活动日志流式传
输到日志分析工作区来查看此数据,然后,你可以在该工作区中执行研究和分析。 分析和监视来自你的客户密码
箱请求异常行为的日志。 使用 Azure Sentinel 工作区中的 "日志" 部分来执行查询,或根据客户密码箱日志创建
警报。
客户密码箱中的审核日志
客户密码箱中的审核日志
Azure 安全中心 监视 :是
责 任 :客户
2.8:集中管理反 恶 意 软 件日志 记录
指南 :不适用;客户密码箱不会处理或产生与反恶意软件相关的日志。
2.10:启用命令行 审 核日志 记录
指南 :不适用;此建议适用于计算资源。
标识和访问控制
有关详细信息,请参阅安全控制:标识和访问控制。
3.1: 维护 管理 帐户 的清 单
指南 :维护对你的客户密码箱请求具有管理访问权限的用户帐户的清单。 可以在 Azure 门户中为你的订阅使
用“标识和访问控制(IAM)”窗格来配置 Azure 基于角色的访问控制 (Azure RBAC)。 这些角色将应用于 Azure
Active Directory 中的用户、组、服务主体和管理标识。
在客户组织中,拥有 Azure 订阅的所有者角色的用户将收到来自 Microsoft 的电子邮件,通知他们有任何挂起的
访问请求。 对于客户密码箱请求,此人为指定的审批者。
了解自定义角色
了解客户密码箱中的访问请求权限
Azure 安全中心 监视 :是
责 任 :客户
3.2:在适用的情况下更改默 认 密 码
指 导 :Azure Active Directory 没有默认密码的概念。 其他需要密码的 Azure 资源会强制创建具有复杂性要求和
最小密码长度的密码,该长度因服务而异。 你对可能使用默认密码的第三方应用程序和市场服务负责。
3.3:使用 专 用管理 帐户
指南 :围绕专用管理帐户的使用创建标准操作程序。 使用 Azure 安全中心标识和访问管理来监视管理帐户的数
量。
应该为你的订阅分配了多个所有者
应从订阅中删除拥有所有者权限的已弃用帐户
应从订阅中删除拥有所有者权限的外部帐户
Azure 安全中心 监视 :是
责 任 :客户
Azure 安全中心 监视 :是
责 任 :客户
特权访问工作站
了解 Azure AD 风险检测
Azure 安全中心 监视 :是
责 任 :客户
3.10:定期 审查 和 协调 用 户访问
指南 : Azure Active Directory 提供有助于发现陈旧帐户的日志。 此外,还可以使用 Azure Active Directory 访问
评审来有效地管理组成员身份、访问企业应用程序和角色分配。 可以定期评审用户的访问权限,确保只有适当的
用户才持续拥有访问权限。
Azure 安全中心 监视 :是
责 任 :客户
3.12: 针对帐户 登 录 行 为 偏差 发 出警 报
指南 :对于控制平面上的帐户登录行为偏差 (例如 Azure 门户) ,请使用 Azure Active Directory 的标识保护和风
险检测功能来配置对检测到的与用户标识相关的可疑操作的自动响应。 还可将数据引入 Azure Sentinel 以做进
一步调查。
数据保护
有关详细信息,请参阅安全控制:数据保护。
4.1: 维护 敏感信息的清 单
指南 :此建议不适用于;客户密码箱不支持标记。
Azure 安全中心 监视 :不适用
责 任 :不适用
4.2:隔离存 储 或 处 理敏感信息的系 统
指南 :不适用;将在你要授予访问权限的资源所在的同一订阅中设置客户密码箱。 没有要保护或隔离的公共终结
点。 向在租户级别持有所有者角色的用户授予客户密码箱请求访问权限。
了解客户密码箱工作流
了解 Azure 中的客户数据保护
4.4:加密 传输 中的所有敏感信息
指南 :默认情况下,在云服务和客户之间传输数据时,Microsoft 使用 (TLS) 协议的传输层安全性来保护数据。
Microsoft 的数据中心与连接到 Azure 服务的客户端系统协商建立 TLS 连接。 TLS 提供严格的身份验证,消息隐
私性和完整性强(允许检测消息篡改、拦截和伪造),具有良好的互操作性,算法灵活,易于部署和使用。
了解 Azure 传输中的加密
4.5:使用有效的 发现 工具 识别 敏感数据
指南 :不适用;客户密码箱本身不包含任何客户数据。
了解客户密码箱工作流
4.7:使用基于主机的数据 丢 失防 护 来 强 制 实 施 访问 控制
指南 :不适用;此建议适用于计算资源。 Microsoft 管理客户密码箱的底层基础结构,并实施了严格控制来防止客
户数据丢失或泄露。
Azure 客户数据保护
Azure 安全中心 监视 :不适用
责 任 :不适用
4.8:静 态 加密敏感信息
指南 :不适用;客户密码箱本身不包含客户数据。
如何在客户密码箱中启用审核
Azure 安全中心 监视 :是
责 任 :客户
漏洞管理
有关详细信息,请参阅安全控制:漏洞管理。
5.1:运行自 动 漏洞 扫 描工具
指南 :不适用;Microsoft 对支持客户密码箱的基础系统执行漏洞管理。
5.3:部署第三方自 动软 件修 补 管理解决方案
指南 :不适用;此建议适用于计算资源。
库存和资产管理
有关详细信息,请参阅安全控制:清单和资产管理。
如何查看 Azure 订阅
6.3: 删 除未 经 授 权 的 Azure 资 源
指南 :在适用的情况下,请使用标记、管理组和单独的订阅来组织和跟踪 Azure 资产。 定期核对清单,确保及时
地从订阅中删除未经授权的资源。
不允许的资源类型
允许的资源类型
如何创建其他 Azure 订阅
如何创建管理组
如何创建和使用标记
不允许的资源类型
允许的资源类型
6.12:限制用 户 在 计 算 资 源中 执 行脚本的功能
指南 :不适用;此建议适用于计算资源。
安全配置
有关详细信息,请参阅安全控制:安全配置。
7.2:建立安全的操作系 统 配置
指 导 :不适用;此项指导适用于计算资源。
7.4: 维护 安全的操作系 统 配置
指 导 :不适用;此项指导适用于计算资源。
7.6:安全存 储 自定 义 操作系 统 映像
指 导 :不适用;此项指导适用于计算资源。
7.7:部署系 统 配置管理工具
指南 :不适用;客户密码箱没有可配置的安全设置。
7.9: 为 Azure 服 务实 施自 动 配置 监视
指南 :不适用;客户密码箱没有可配置的安全设置。
7.10: 为 操作系 统实 施自 动 配置 监视
指 导 :不适用;此项指导适用于计算资源。
7.11:安全管理 Azure 机密
指南 :不适用;对客户密码箱请求的访问仅限于容纳资源的 Azure 订阅的所有者。 无需密码、机密或密钥即可访问
以租户所有者身份登录的客户密码箱。
7.12:安全自 动 管理 标识
指南 :不适用;客户密码箱不使用托管标识。
支持托管标识的 Azure 服务
7.13:消除意外的凭据透露
指南 :实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如
Azure Key Vault。
如何设置凭据扫描程序
恶意软件防护
有关详细信息,请参阅安全控制:恶意软件防护。
8.1:使用集中管理的反 恶 意 软 件
指 导 :不适用;此项指导适用于计算资源。 支持客户密码箱解决方案的底层主机上启用了 Microsoft 反恶意软件。
步骤 8.3:确保反 恶 意 软 件和 签 名已更新
指南 :不适用;此建议适用于计算资源。 在支持 Azure 服务的底层主机上已启用 Microsoft Antimalware,但是,
该软件不会针对客户内容运行。
数据恢复
有关详细信息,请参阅安全控制:数据恢复。
9.1:确保定期 执 行自 动备 份
指南 :不适用;客户密码箱本身不存储客户数据。
事件响应
有关详细信息,请参阅安全控制:事件响应。
10.1: 创 建事件响 应 指 导
指南 :为组织制定事件响应指南。 确保在书面的事件响应计划中定义人员职责,以及事件处理/管理从检测到事
件后审查的各个阶段。
关于建立自己的安全事件响应流程的指南
Microsoft 安全响应中心事件分析
客户还可以利用 NIST 的“计算机安全事件处理指南”来制定他们自己的事件响应计划
10.2: 创 建事件 评 分和 优 先 级设 定 过 程
指 导 :安全中心为每条警报分配严重性,以帮助你优先处理应该最先调查的警报。 严重性取决于安全中心在发出
警报时所依据的检测结果和分析结果的置信度,以及导致发出警报的活动的恶意企图的置信度。
Azure 安全中心 监视 :是
责 任 :客户
10.3: 测试 安全响 应过 程
指 导 :定期执行演练来测试系统的事件响应功能。 识别弱点和差距,并根据需要修改计划。
请参阅 NIST 的刊物:Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities(IT 规划和功
能的测试、培训与演练计划指南)
Azure 安全中心 监视 :是
责 任 :客户
10.5:将安全警 报 整合到事件响 应 系 统 中
指 导 :使用连续导出功能导出 Azure 安全中心警报和建议。 使用连续导出可以手动导出或者持续导出警报和建
议。 可以使用 Azure 安全中心数据连接器将警报流式传输到 Azure Sentinel。
如何配置连续导出
10.6:自 动 响 应 安全警 报
指 导 :使用 Azure 安全中心内的工作流自动化功能可以通过“逻辑应用”针对安全警报和建议自动触发响应。
如何配置工作流自动化和逻辑应用
渗透测试和红队练习
有关详细信息,请参阅安全控制:渗透测试和红队演练。
后续步骤
请参阅 Azure 安全基准
详细了解 Azure 安全基线
保护 PaaS 部署
2021/2/9 • • Edit Online
参考本文中的信息,可以:
了解云中的托管应用程序的安全优势
评估平台即服务 (PaaS) 相比其他云服务模型的安全优势
将安全重心从以网络为中心的方案转换为以标识为中心的外围安全方案
实施一般的 PaaS 安全最佳实践建议
开发适用 于云的应用程序时,在软件开发生命周期的每个阶段应考虑的安全问题和控制措施是一般的指导。
云的安全优势
请务必了解你与 Microsoft 之间的责任分工。 在本地,拥有整个堆栈,但迁移到云后,某些责任将转移到
Microsoft。
转移到云中可带来一定的安全优势。 在本地环境中,组织的可用资源可能有限,无法尽责在安全措施上投资,使
得攻击者能够利用所有层中的漏洞。
组织可以使用提供商的基于云的安全功能和云智能来改善其威胁检测和响应时间。 通过将责任转移到云提供商,
组织可以扩大安全覆盖范围,为其他优先业务重新调配安全资源与预算。
PaaS 云服务模型的安全优势
让我们来了解一下 Azure PaaS 部署相比本地部署的安全优势。
革新防御者的思维方式
PaaS 部署为整体安全方案带来了变革。 事必躬亲的局面现在可以改为与 Microsoft 分担责任。
PaaS 与传统本地部署之间的另一个重大差别在于,前者为主要安全边界的界定因素提供了全新的视野。 一直以
来,主要的本地安全边界就是网络,大多数本地安全设计都使用网络作为主要安全枢纽。 在 PaaS 部署中,可将
标识视为主要安全边界,从而改善安全性。
采用标识用作主要安全边界的策略
在云计算的五大基本特征中,一个特征就是网络访问范围广泛,这使得以网络为中心的理念显得有点毫不相干。
许多云计算解决方案的目标是不管用户身居何处,都能允许他们访问资源。 对于大多数用户而言,他们的位置就
是 Internet 上的某个节点。
下图演示了安全边界从网络边界演进成标识边界的过程。 安全性越来越少地与如何保护网络相关,而更多地与
如何保护数据,以及如何管理应用和用户的安全性相关。 两者的关键差别在于如何为公司的重要资产提供更多
的安全保障。
网络边界的原理和模式早在几十年前就已建立。 相比之下,行业在使用标识作为主要安全边界的经验相对缺乏。
正因如此,我们累积了足够的经验,乐于提供已在现场得到证实的、适用于几乎所有 PaaS 服务的一些普通建议。
下面是管理标识边界的最佳做法。
最佳做法 :使用强身份验证和授权平台。
详细 信息 :在 Azure AD 而不是自定义用户存储中使用联合标识。 使用联合标识时,可以利用基于平台的方法,
将已获授权的标识的管理权限委托给合作伙伴。 如果员工离职后,需要通过多个标识和授权系统反映该信息,则
联合标识方法就特别重要。
使用平台提供的身份验证和授权机制,而不要使用自定义代码。 原因是开发自定义身份验证代码可能很容易出
错。 大部分开发人员都不是安全专家,不太可能会注意到身份验证和授权的细微之处与最新开发情况。 商业代
码(例如 Microsoft 编写的代码)通常会接受广泛的安全性评审。
使用双重身份验证。 双重身份验证是最新的身份验证和授权标准,它避免了用户名与密码类型的身份验证所固
有的安全漏洞。 应将对 Azure 管理 (门户/远程 PowerShell) 接口和面向客户的服务的访问权限设计并配置为使
用 Azure AD 多重身份验证。
在应用程序设计期间使用威胁建模
Microsoft 安全开发生命周期指定团队应在设计阶段参与名为威胁建模的过程。 为了帮助简化此过程,Microsoft
已创建 SDL 威胁建模工具。 对应用程序设计进行建模,并在所有信任边界中枚举 STRIDE 威胁可能会及早捕获
设计错误。
A Z URE
特权提升 授权 使用特权标识管理。
在 Azure 应用服务上开发
Azure App Service 是一个 PaaS 产品,可创建适用于任何平台或设备的 Web 和移动应用,并可连接到云中或本
地任何位置的数据。 应用服务所包括的 Web 功能和移动功能是以前作为 Azure 网站和 Azure 移动服务单独交付
的。 它还包括各种新功能,可以实现业务流程的自动化,并可托管云 API。 应用服务以单个集成服务的形式为
Web、移动和集成方案提供一组丰富的功能。
下面是使用应用服务的最佳做法。
最佳做法 :保护密钥。
详细 信息 :Azure Key Vault 可帮助保护云应用程序和服务使用的加密密钥和机密。 通过 Key Vault,可以使用受
硬件安全模块 (HSM) 保护的密钥,来加密密钥和机密(例如身份验证密钥、存储帐户密钥、数据加密密钥、.PFX
文件和密码)。 为了提升可靠性,可以在 HSM 中导入或生成密钥。 请参阅 Azure Key Vault 了解详细信息。 还可
以使用 Key Vault 和自动续订来管理 TLS 证书。
最佳做法 :监视应用服务环境的安全状态。
详细 信息 :使用 Azure 安全中心监视应用服务环境。 在安全中心识别潜在的安全漏洞时,它会创建一些建议,这
些建议会指导完成配置所需控件的过程。
NOTE
监视应用服务的功能以预览版提供,仅适用于安全中心的标准层。
安装 Web 应用程序防火墙
Web 应用程序已逐渐成为利用常见已知漏洞的恶意攻击的目标。 这些攻击中最常见的攻击包括 SQL 注入攻击、
跨站点脚本攻击等。 防止应用程序代码中的此类攻击颇具挑战性,可能需要在应用程序拓扑的多个层进行严格
的维护、修补和监视。 集中式 Web 应用程序防火墙有助于大幅简化安全管理,为抵卸威胁或入侵的应用程序管
理员提供更好的保障。 相较保护每个单独的 Web 应用程序,WAF 解决方案还可通过在中央位置修补已知漏洞,
更快地响应安全威胁。 可将现有应用程序网关轻松转换为支持 Web 应用程序防火墙的应用程序网关。
Web 应用程序防火墙 (WAF) 是应用程序网关的功能,可以对 Web 应用程序进行集中保护,避免其受到常见的攻
击和漏洞危害。 WAF 基于 开放 Web 应用程序安全项目 (OWASP) 核心规则集 3.0 或 2.2.9 中的规则。
监视应用程序的性能
监视是一种数据收集和分析操作,用于确定应用程序的性能、运行状况及可用性。 有效的监视策略有助于了解应
用程序组件的详细运行状况, 它有助于向你发送关键情况的通知,让你在这些情况成为问题之前解决它们,从而
提高运行时间。 它还有助于检测可能与安全相关的异常。
执行安全渗透测试
验证安全防御与测试任何其他功能一样重要。 将渗透测试规定为生成和部署过程的标准组成部分。 针对已部署
应用程序对定期安全测试和漏洞扫描进行计划,并监视打开的端口、终结点和攻击活动。
模糊测试是一种通过将格式错误的输入数据提供给分析并使用此数据的程序接口(入口点)来查找程序故障(代
码错误)的方法。 Microsoft 安全风险检测是一种基于云的工具,可以在将软件部署到 Azure 之前,使用该工具查
找软件中的 bug 和其他安全漏洞。 该工具设计为在部署软件前捕获漏洞,因此你无需在软件发布后修补 bug、处
理崩溃或响应攻击。
后续步骤
本文重点介绍了 Azure PaaS 部署的安全优势以及云应用程序的最佳安全做法。 接下来,请阅读有关使用特定
Azure 服务保护 PaaS Web 和移动解决方案的建议做法。 首先,我们介绍如何保护 Azure 应用服务、Azure SQL
数据库和 Azure Synapse Analytics,以及 Azure 存储。 随着适用于其他 Azure 服务的建议做法文章的发布,我们
会在以下列表中提供相应的链接:
Azure 应用服务
Azure SQL 数据库和 Azure Synapse Analytics
Azure 存储
用于 Redis 的 Azure 缓存
Azure 服务总线
Web 应用程序防火墙
有关在开发适用于云的应用程序时,应在软件开发生命周期的每个阶段中考虑的安全性问题和控件,请参见在
Azure 上开发安全的应用程序。
有关通过 Azure 设计、部署和管理云解决方案时可以使用的更多安全最佳做法,请参阅 Azure 安全最佳做法和模
式。
基于角色限制访问
对于想要实施数据访问安全策略的组织,限制访问是必须要做的事。 可以使用 azure RBAC) (Azure 基于角色的
访问控制,将权限分配给特定范围内的用户、组和应用程序,如需要知道和最低权限安全原则。 若要详细了解如
何向用户授予应用程序访问权限,请参阅什么是 Azure 基于角色的访问控制 (Azure RBAC)。
保护你的密钥
如果丢失了订阅密钥,安全做得再好也无济于事。 Azure 密钥保管库可帮助保护云应用程序和服务使用的加密密
钥和机密。 通过 Key Vault,可以使用受硬件安全模块 (HSM) 保护的密钥,来加密密钥和机密(例如身份验证密
钥、存储帐户密钥、数据加密密钥、.PFX 文件和密码)。 为了提升可靠性,可以在 HSM 中导入或生成密钥。 还可
以使用 Key Vault 和自动续订来管理 TLS 证书。 请参阅 Azure Key Vault 了解详细信息。
限制传入的源 IP 地址
应用服务环境提供虚拟网络集成功能,可帮助你通过网络安全组 (NSG) 限制传入的源 IP 地址。 如果不熟悉
Azure 虚拟网络 (VNET),可使用此功能将多个 Azure 资源放置在可以控制其访问权限但无法通过 Internet 路由
的网络中。 若要了解详细信息,请参阅将应用与 Azure 虚拟网络集成。
后续步骤
本文介绍了有关保护 PaaS Web 和移动应用程序的一系列应用服务安全最佳实践。 若要了解有关保护 PaaS 部署
的详细信息,请参阅:
保护 PaaS 部署
在 Azure 中保护 PaaS 数据库
使⽤ Azure 存储保护 PaaS Web 和移动应⽤程序的
最佳做法
2021/2/9 • • Edit Online
本文将探讨以下最佳做法:
共享访问签名 (SAS)
Azure 基于角色的访问控制 (Azure RBAC)
高价值数据的客户端加密
存储服务加密
使用共享访问签名代替了存储帐户密钥
访问控制是关键。 若要帮助控制对 Azure 存储的访问,当创建存储帐户时,Azure 将生成两个 512 位存储帐户密
钥 (SAK)。 在例程秘钥轮换期间,通过密钥冗余级别可避免服务中断。
存储访问密钥是高优先级的机密,只能由负责存储访问控制的人员访问。 如果不当人员获取访问这些密钥的权
限,他们就能够完全控制存储,并可以替换、删除文件或将文件添加到存储。 这些文件包括恶意内容和可能会危
及组织或客户的其他类型的内容。
但你仍然需要一种方法来提供存储中对象的访问权限。 若要提供更精细的访问权限,可以利用共享访问签名
(SAS)。 通过 SAS ,可以使用特定权限在预定义的时间间隔共享存储中的特定对象。 通过共享访问签名,可定义:
SAS 有效的时间间隔,包括开始时间和到期时间。
SAS 授予的权限。 例如,blob SAS 可能授予用户对 blob 的读取和写入权限,但不是删除权限。
Azure 存储接受 SAS 的可选 IP 地址或 IP 地址范围。 例如,你可能指定属于组织的 IP 地址范围。 这为 SAS 提
供了另一个安全性度量。
Azure 存储接受 SAS 所依据的协议。 可通过此可选参数使用 HTTPS 限制对客户端的访问。
通过 SAS 可以用希望的方式共享内容,而无需分配存储帐户密钥。 在应用程序中始终使用 SAS 可以安全地共享
存储资源,不会危及存储帐户密钥。
若要了解有关共享访问签名的详细信息,请参阅使用共享访问签名。
使用 Azure 基于角色的访问控制
管理访问的另一种方法是使用 Azure 基于角色的访问控制 (Azure RBAC)。 借助 Azure RBAC,你可以专注于根据
需要知道和最低权限安全原则,为员工提供他们所需的确切权限。 权限过多,可能会向攻击者公开帐户。 权限太
少意味着员工无法有效地完成其工作。 Azure RBAC 通过为 Azure 提供精细的访问管理,帮助解决此问题。 对于
想要实施数据访问安全策略的组织,这是必须要做的事。
可以使用 Azure 中的 Azure 内置角色向用户分配权限。 例如,将存储帐户参与者用于需要管理存储帐户的云操
作员,并使用经典存储帐户参与者角色来管理经典存储帐户。 如果云操作员需要管理 VM 但不管理他们连接到
的虚拟网络或存储帐户,则可以将他们添加到虚拟机参与者角色。
对高价值数据使用客户端加密
通过客户端加密,可在上传到 Azure 存储之前以编程方式加密传输中的数据,并在检索数据时以编程方式解密数
据。 这提供传输中的数据加密,但也提供静态数据加密。 客户端加密是最安全的加密数据方法,但它要求以编程
方式更改应用程序,并将密钥管理程序放在正确的位置。
为静态数据启用存储服务加密
当启用文件存储的存储服务加密时,将使用 AES-256 加密自动加密数据。 Microsoft 处理所有加密、解密和密钥
管理。 此功能适用于 LRS 和 GRS 冗余类型。
后续步骤
本文介绍了有关保护 PaaS Web 和移动应用程序的一系列 Azure 存储安全最佳做法。 若要了解有关保护 PaaS 部
署的详细信息,请参阅:
保护 PaaS 部署
使用 Azure 应用服务保护 PaaS Web 和移动应用程序
在 Azure 中保护 PaaS 数据库
在 Azure 中保护 PaaS 数据库的最佳做法
2021/2/9 • • Edit Online
在本文中,我们讨论了 Azure SQL 数据库和 Azure Synapse Analytics 关于保护平台即服务 (PaaS) Web 和移动应
用程序的一组安全最佳做法。 这些最佳实践衍生自我们的 Azure 经验和客户经验。
Azure SQL 数据库和 Azure Synapse Analytics 为基于 Internet 的应用程序提供关系数据库服务。 让我们了解一
下在 PaaS 部署中使用 Azure SQL 数据库和 Azure Synapse Analytics 时可帮助保护应用程序与数据的服务:
使用集中式标识存储库
可将 Azure SQL 数据库配置为使用以下两种身份验证类型之一:
将 Azure Active Directory 身份验证与 SQL 数据库、托管实例或 Azure Synapse Analytics 结合使用
向 Azure Synapse Analytics 进行身份验证
使用 Azure AD 身份验证对 Azure SQL 数据库提供基于令牌的身份验证支持
NOTE
若要确保 Azure Active Directory 适用于当前环境,请参阅 Azure AD 功能和限制。
基于 IP 地址限制访问
可以创建防火墙规则用于指定可接受的 IP 地址范围。 这些规则可以针对服务器级别和数据库级别。 建议尽量使
用数据库级防火墙规则,以增强安全性并提高数据库的可移植性。 当多个数据库具有相同的访问要求,但你不想
花时间单独配置每个数据库时,管理员最好是使用服务器级防火墙规则。
静态数据加密
透明数据加密 (TDE) 默认已启用。 TDE 以透明方式加密 SQL Server 、Azure SQL 数据库和 Azure Synapse
Analytics 的数据和日志文件。 TDE 可以防范直接访问文件或其备份所造成的安全威胁。 这样就可以实现静态数
据加密,且无需更改现有应用程序。 应始终保持启用 TDE;不过,这无法阻止攻击者使用普通的访问路径。 使用
TDE 能够符合各个行业制定的许多法律、法规和准则。
Azure SQL 可以管理 TDE 存在的密钥相关问题。 与使用 TDE 时一样,在本地操作以及移动数据库时也必须格外
小心,确保能够恢复。 在更复杂的方案中,可以通过可扩展的密钥管理在 Azure Key Vault 中显式管理密钥。 请
参阅使用 EKM 在 SQL Server 上启用 TDE。 此外,也允许通过 Azure Key Vault BYOK 功能自带密钥 (BYOK)。
对于某些特定的数据,也应该使用应用程序级加密。 有时,可通过使用保存在适当国家/地区的密钥加密数据,来
消除数据主权忧虑。 这可以防止意外的数据传输导致问题,因为在使用强算法(例如 AES 256 )的情况下,如果没
有该密钥,将无法解密数据。
可以使用其他预防措施来帮助保护数据库,例如,设计安全系统、加密机密资产,以及围绕数据库服务器构建防
火墙。
后续步骤
本文介绍了 SQL 数据库和 Azure Synapse Analytics 有关保护 PaaS Web 和移动应用程序的一组安全最佳做法。
若要了解有关保护 PaaS 部署的详细信息,请参阅:
保护 PaaS 部署
使用 Azure 应用服务保护 PaaS Web 和移动应用程序
Azure Service Fabric 安全性最佳做法
2021/2/9 • • Edit Online
对于每项最佳做法,本文将说明:
最佳做法是什么。
应遵照最佳做法的具体原因。
如果未遵照最佳做法,会有什么样的后果。
如何学会遵照最佳做法。
保护群集的最佳做法
始终使用安全群集:
使用证书实现群集安全性。
使用 Azure Active Directory (Azure AD) 提供客户端访问权限(管理员访问权限和只读访问权限)。
使用自动部署:
使用脚本生成、部署和滚动更新机密。
将机密存储在 Azure Key Vault 中,并使用 Azure AD 提供其他所有客户端访问权限。
要求必须经过身份验证,才能读取机密。
此外,还请考虑使用以下配置选项:
必须保护群集,以防未经授权的用户连接到群集,特别是当群集在生产环境中运行时。 尽管可以创建不安全群
集,但当群集向公共 Internet 公开管理终结点时,匿名用户就可以与它建立连接。
使用各种技术实现群集安全性的方案有三种:
NOTE
Azure : 使用 Azure AD 安全性对客户端进行身份验证,并使用证书实现节点到节点安全性。
使用 Azure 资源管理器模板:
将群集配置视为代码:
仔细检查部署配置。
避免使用隐式命令直接修改资源。
使用 X.509 证书
始终使用 X.509 证书或 Windows 安全性保护群集。 安全性仅在群集创建时进行配置。 无法在群集创建后启用安
全性。
此外,还请遵照以下做法:
配置安全性策略
Service Fabric 还可保护应用程序使用的资源。 在应用程序部署后,文件、目录和证书等资源都会存储在用户帐
户下。 借助此功能,即使在共享的托管环境中,也可加强对运行中应用程序的保护,防止其相互影响。
一般来说,使用执行组件设计模式有助于构建解决方案,从而处理以下软件问题或安全方案:
问题空间包含大量(几千或更多)小型、独立的状态和逻辑单元。
使用的是单线程对象,无需与外部组件进行大量交互,包括跨一组执行组件查询状态。
执行组件实例不会发出 I/O 操作指令阻止遇到不可预测延迟的调用方。
复制器安全配置用于保护在复制过程中使用的信道的安全。 此配置可阻止服务相互窥探复制流量,并确保可用
性很高的数据安全。 默认情况下,空的安全配置节会影响复制安全。 复制器配置用于配置负责使执行组件状态
提供程序状态高度可靠的复制器。
证书必须包含私钥。
证书的使用者名称必须与用于访问云服务的域名匹配。
获取用于访问云服务的自定义域名。
请求从 CA 获取证书,其中使用者名称与服务的自定义域名匹配。 例如,如果自定义域名为
contoso .com,CA 颁发的证书应包含使用者名称 .contoso.com 或 www .contoso.com。
NOTE
无法从 CA 获取 cloudapp .net 域的 SSL/TLS 证书。
设置密钥保管库有两个基本步骤:
1. 专门为密钥保管库创建一个资源组。
建议将密钥保管库置于它自己的资源组中。 此操作有助于防止在其他资源组(如存储组、计算组或包含群
集的组)遭到删除后丢失密钥和机密。 包含 Key Vault 的资源组必须与正在使用它的群集位于同一区域。
2. 在新建的资源组中创建密钥保管库。
必须启用密钥保管库,才能进行部署。 然后,计算资源提供程序可以从保管库获取证书,并将证书安装在
VM 实例上。
若要详细了解如何设置密钥保管库,请参阅什么是 Azure 密钥保管库?。
将用户分配到角色
创建应用程序以代表群集后,请将用户分配到 Service Fabric 支持的角色,即只读和管理员。可使用 Azure 门户
来分配这些角色。
NOTE
有关在 Service Fabric 中使用角色的详细信息,请参阅 Service Fabric Service Fabric 客户端的基于角色的访问控制。
后续步骤
Service Fabric 安全性清单
设置 Service Fabric 开发环境。
了解 Service Fabric 支持选项。
Azure 威胁防护
2021/2/9 • • Edit Online
Azure 通过服务(如 Azure Active Directory (Azure AD) 、Azure Monitor 日志和 Azure 安全中心)提供内置的威胁
防护功能。 安全服务和功能的此集合提供了一种简单快速了解 Azure 部署运行状况的方法。
标识保护使用自适应机器学习算法和启发式规则来检测异常行为以及可能表示标识已遭入侵的风险检测。 标识
保护使用此数据生成报告和警报,以便可以调查这些风险检测并采取相应的补救或缓解措施。
“标识 保 护 ”功能
Azure Active Directory 标识保护不只是一个监视和报告工具。 若要保护组织的标识,可以配置基于风险的策略,
该策略可在达到指定风险级别时自动响应检测到的问题。 除了 Azure Active Directory 与 EMS 提供的条件访问
控制以外,这些策略也可以自动阻止或启用自适应补救措施,包括重置密码和强制实施多重身份验证。
Azure 标识保护可帮助保护帐户和标识的一些示例包括:
检测风险检测和风险帐户
使用机器学习和启发式规则检测 6 种风险检测类型。
计算用户风险级别。
提供自定义建议,通过突显漏洞来改善整体安全状况。
调查风险检测
针对风险检测发送通知。
使用相关的上下文信息调查风险检测。
提供基本工作流来跟踪调查。
提供轻松使用补救措施,例如密码重置。
基于风险的条件性访问策略
通过阻止登录或要求进行多重身份验证来减少有风险的登录。
阻止或保护有风险的用户帐户。
要求用户注册多重身份验证。
Azure AD 特 权标识 管理
使用 Azure Active Directory Privileged Identity Management (PIM),可以管理、控制和监视组织内的访问。 此功
能包括访问 Azure AD 和其他 Microsoft 联机服务(如 Microsoft 365 或 Microsoft Intune)中的资源。
PIM 可帮助用户进行以下操作:
获取有关 Azure AD 管理员以及对 Microsoft 联机服务(例如 Microsoft 365 和 Intune)的实时 (JIT) 管理访
问的警报和报告。
获取有关管理员访问历史记录以及管理员分配更改的报告。
获取有关访问特权角色的警报。
Azure Monitor 日志
Azure Monitor 日志是 Microsoft 提供的基于云的 IT 管理解决方案,可帮助你管理和保护本地和云基础结构。 因
为 Azure Monitor 日志是作为基于云的服务实现的,因此在基础结构服务上进行极低的投资即可快速使其启动并
运行。 自动提供新增安全功能,从而节省持续维护和升级成本。
见 解与分析
Azure Monitor 日志的中心是由 Azure 托管的存储库。
通过配置数据源和向订阅添加解决方案,将连接的源中的数据收集到存储库。
数据源和解决方案分别创建具有自身属性集的单独记录类型,但是用户仍可在对存储库的查询中同时对它们进
行分析。 可以使用相同的工具和方法来处理由不同的源收集的各种数据。
日志搜索,可在其中构造查询以分析收集的数据。
仪表板,可以使用最有价值搜索的图形视图对其进行自定义。
解决方案,可提供其他功能和分析工具。
安全中心就是这些类型的解决方案的一个示例。
自 动 化与控制:安全配置偏移警 报
Azure 自动化通过基于 PowerShell 并在云中运行的 Runbook 自动执行管理流程。 也可在本地数据中心内的服务
器上运行 Runbook 以管理本地资源。 Azure 自动化通过 PowerShell Desired State Configuration (DSC) 提供配置
管理。
可以创建和管理在 Azure 中托管的 DSC 资源,并将其应用到云和本地系统。 完成此操作后,可以定义和自动强
制执行其配置,或获取有关偏移的报告,以确保安全配置保留在策略中。
Azure 安全中心
Azure 安全中心可帮助保护你的混合云环境。 通过对连接的资源执行持续的安全评估,可以为发现的漏洞提供详
细的安全建议。
因此,攻击者发布新的越来越复杂的方式时,安全中心就可以快速更新其检测算法。 此方法可帮助你始终与变化
莫测的威胁环境保持同步。
Azure Defender 会自动从你的资源、网络和连接的合作伙伴解决方案中收集安全信息。 分析该信息(需将多个来
源的信息关联起来)即可确定威胁。
威胁情报
Microsoft 可访问大量的全球威胁情报。
遥测数据的来源包括:Azure、Microsoft 365 、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com 、
MSN.com、Microsoft 数字犯罪部门 (DCU)、Microsoft 安全响应中心 (MSRC)。
研究人员也会收到在主要的云服务提供商之间共享的威胁情报信息,并订阅来自第三方的威胁情报源。 Azure 安
全中心可能会在分析该信息后发出警报,提醒用户注意来自行为不端攻击者的威胁。 示例包括:
新行 为 分析服 务 器和 VM :服务器或虚拟机受到攻击后,攻击者将使用各种各样的技术在该系统上执行
恶意代码,同时避免检测、确保持久性和避免安全控件。
行 为 分析
行为分析是一种技术,该技术会对数据进行分析并将数据与一系列已知模式对比。 不过,这些模式不是简单的特
征, 需要对大型数据集运用复杂的机器学习算法来确定,
模式也由分析专家通过仔细分析恶意行为来确定。 Azure 安全中心可以使用行为分析对虚拟机日志、虚拟网络设
备日志、结构日志、故障转储和其他资源进行分析,确定受攻击的资源。
此外,模式与其他信号关联,以查看是否存在某个广泛传播活动的支持证据。 此关联性也可用于确定那些符合已
确定的攻击特征的事件。
示例包括:
隐 藏 恶 意 软 件和漏洞利用 尝试 :复杂的恶意软件从不向磁盘写入内容,或者会加密存储在磁盘上的软件
组件,借此逃避传统的反恶意软件产品的检测。 但是,此类恶意软件可以通过使用内存分析检测到,因为
恶意软件一运行就必然会在内存中留下踪迹。 当软件故障时,故障转储可捕获故障时的部分内存。 通过
分析故障转储中的内存,Azure 安全中心可以检测到用于利用软件漏洞、访问机密数据以及偷偷存留在受
攻击计算机中而不影响计算机性能的技术。
传 出攻 击 :攻击者通常会以云资源为目标,目的是使用这些资源发起更多攻击。 例如,可以通过受攻击的
虚拟机对其他虚拟机发起暴力攻击,可以发送垃圾邮件,也可以扫描 Internet 上的开放端口和其他设备。
将机器学习应用到网络流量以后,安全中心即可检测到出站网络通信何时超出标准。 检测到垃圾邮件时,
安全中心还会将异常的电子邮件流量与 Microsoft 365 提供的情报信息关联起来,确定该邮件到底是恶意
邮件,还是合法的电子邮件促销活动。
异常 检测
Azure 安全中心也通过异常检测确定威胁。 与行为分析(依赖于已知的从大型数据集派生的模式)相比,异常检测
更“个性化”,注重特定于用户部署的基线。 运用机器学习确定部署的正常活动,并生成规则,以定义可能表示安
全事件的异常条件。 下面是一个示例:
入站RDP/SSH 暴力破解攻 击 :部署中的有些虚拟机可能很忙,每天需要处理大量的登录,而其他虚拟机可
能只有寥寥数个登录。 Azure 安全中心可以确定这些虚拟机的基线登录活动,并通过机器学习定义正常登录
活动。 如果与为登录相关特性定义的基线之间存在任何差异,则可能会生成警报。 同样,是否具有显著性由
机器学习决定。
连续 威 胁 情 报监视
Azure 安全中心与全世界的安全性研究和数据科学团队合作,持续监视威胁态势的变化情况。 其中包括以下计
划:
将这些措施结合起来,形成新的改进型检测方法,让用户能够即时受益。 用户不需采取任何措施。
威胁防护功能:其他 Azure 服务
虚 拟 机: Microsoft 反 恶 意 软 件
适用于 Azure 的 Microsoft 反恶意软件是一个针对应用程序和租户环境所提供的单一代理解决方案,可在后台运
行而无需人工干预。 可以根据应用程序工作负荷的需求,选择默认的基本安全性或高级的自定义配置(包括反恶
意软件监视)来部署保护。 Azure 反恶意软件是为 Azure 虚拟机提供的安全选项,自动安装在所有 Azure PaaS 虚
拟机上。
Microsoft 反 恶 意 软 件核心功能
以下是用于部署和启用应用程序的 Microsoft 反恶意软件的 Azure 功能:
实时 保 护 :监视云服务中和虚拟机上的活动,检测并阻止恶意软件的执行。
计 划的 扫 描 :定期执行有针对性的扫描,检测恶意软件(包括主动运行的程序)。
恶 意 软 件消除 :自动针对检测到的恶意软件采取措施,例如删除或隔离恶意文件以及清除恶意注册表项。
签 名更新 :自动安装最新的保护签名(病毒定义),确保按预定的频率保持最新保护状态。
排除 项 :允许应用程序和服务管理员配置特定的文件、进程以及驱动器,以便出于性能和其他原因将其从
保护和扫描中排除。
反 恶 意 软 件事件收集 :在操作系统事件日志中记录反恶意软件服务的运行状况、可疑活动及采取的补救
措施,并将这些数据收集到客户的 Azure 存储帐户。
发生可疑数据库活动时,安全监管员或其他指定的管理员可以获取相关即时通知。 每个通知提供可疑活动的详
细信息,以及如何进一步调查和缓解威胁的建议。
在收到威胁检测的电子邮件通知后,用户可以通过邮件中的深层链接来导航和查看相关审核记录。 此链接可打
开审核查看器或预配置的审核 Excel 模板,该模板显示发生可疑事件时的相关审核记录,具体如下所示:
具有异常数据库活动的数据库/服务器的审核存储。
用于在事件发生时编写审核日志的相关审核存储表。
事件发生后的审核时间记录。
事件发生时具有类似事件 ID 的审核记录(对于某些检测程序可选)。
SQL 数据库威胁检测程序使用以下检测方法之一:
确定性 检测 :检测 SQL 客户端查询中与已知攻击匹配的可疑模式(基于规则)。 此方法具有高检测率和低
误报率,但是覆盖率有限,因为它属于“原子检测”类别。
保护包括:
SQL 注入保护。
跨站点脚本保护。
防止 HTTP 协议异常行为(例如缺少主机用户代理和接受标头)的保护。
防止自动程序、爬网程序和扫描程序。
峰 值 和低 值 :监视服务中的登录失败次数或电子商务网站中的结账次数时,异常的峰值和低值指示安全攻
击或服务中断。
正 值 和 负值趋势 :监视计算中的内存使用情况时,可用内存逐渐减少表示存在内存泄漏的可能性。 对于
服务队列长度监视,持续上升的趋势表示可能存在软件问题。
灵活可靠的 检测 :通过异常情况检测模型,用户能配置敏感性设置并在周期性和非周期性数据集中检测
异常。 用户可以调整异常检测模型,以便按照需要调整检测 API 的敏感度。 这意味着可选择使用或不使用
周期模式来检测具有不同可见度的数据异常。
IT 部门需要可及时跟踪事件、错误代码、使用情况日志和性能(CPU、内存等)的工具。
在线商务网站需要跟踪客户活动、页面查看次数、点击次数等。
公用事业公司需要跟踪水、天然气、电和其他资源的用量。
设施或建筑管理服务需要监视温度、湿度、人流量等。
IoT/制造商需要使用时序传感器数据监视工作流、质量等。
客户服务中心等服务提供商需要监视服务需求趋势、事件量、等候队列长度等。
业务分析部门需要实时监视业务 KPI(如销售量、客户满意度或定价)的异常变化。
借助有助于发现影子 IT、评估风险、强制实施策略、调查活动和阻止威胁的工具,组织可以更安全地移到云端,同
时保持对关键数据的控制。
调查 通过使用云取证工具深入了解网络中的风险应用、特定用户
和文件,从而调查云应用。 从云中收集的数据中查找模式。 生
成报告以监视云。
控制 通过设置策略和警报实现对网络云流量的最大控制,从而降
低风险。 使用 Cloud App Security 将用户迁移到安全的经过
批准的替代云应用。
控制 通过设置策略和警报实现对网络云流量的最大控制,从而降
低风险。 使用 Cloud App Security 将用户迁移到安全的经过
批准的替代云应用。
Cloud App Security 通过以下方式将可见性与云集成:
使用 Cloud Discovery 映射并确定组织使用的云环境和云应用。
批准和禁止云中的应用。
通过设置策略并不断对其进行微调,实现持续控制。
Web 应用程序防火墙提供以下优点:
检测并阻止 SQL 注入、跨站点脚本、恶意软件上传、应用程序 DDoS 或任何其他针对应用程序的攻击。
身份验证和访问控制。
扫描出站流量以检测敏感数据,并可屏蔽或阻止信息泄露。
后续步骤
应对当前的威胁:有助于确定以 Azure 资源为目标的活跃威胁,并提供快速响应所需的见解。
NOTE
本文中的某些建议可能会导致数据、网络或计算资源使用量增加,还可能导致许可或订阅成本增加。
Azure 中的日志类型
云应用程序很复杂,包含很多移动部件。 日志记录数据可以提供有关应用程序的见解,并帮助你:
排查过去的问题,或避免潜在的问题
提高应用程序性能或可维护性
自动执行本来需要手动干预的操作
Azure 日志划分为以下类型:
控制 / 管理日志 提供有关 Azure 资源管理器 CREATE、UPDATE 和 DELETE 操作的信息。 有关详细信息,请
参阅 Azure 活动日志。
后续步骤
审核和日志记录:通过维护可视性和快速响应及时安全警报来保护数据。
Azure 基于角色的访问控制
Azure 基于角色的访问控制 (Azure RBAC) 为 Azure 资源提供详细的访问管理。 使用 Azure RBAC,可以仅授予用
户执行其作业所需的访问权限。 Azure RBAC 还有助于确保用户离开组织后无法访问云中的资源。
了解详细信息:
反恶意软件
通过 Azure,可使用主要安全厂商(例如 Microsoft、Symantec、Trend Micro、McAfee 和 Kaspersky)的反恶意软
件。 此软件可帮助保护虚拟机免受恶意文件、广告程序和其他威胁的侵害。
在 Azure 虚拟机上部署反恶意软件解决方案
适用于 Azure 云服务和虚拟机的 Microsoft 反恶意软件
如何在 Windows VM 上安装和配置 Trend Micro Deep Security 即服务
如何在 Windows VM 上安装和配置 Symantec Endpoint Protection
New Antimalware Options for Protecting Azure Virtual Machines(用于保护 Azure 虚拟机的新反恶意软件选
项)
多重身份验证
Azure AD 多重身份验证是一种需要使用多种验证方法的身份验证方法。 它为用户登录和事务添加了关键的附加
安全层。
多重身份验证可帮助保护对数据和应用程序的访问,同时可以满足用户对简单登录过程的需求。 它通过各种验
证选项(例如电话、短信、移动应用通知或验证码)和第三方 OATH 令牌来提供强大的身份验证。
了解详细信息:
多重身份验证
什么是 Azure AD 多重身份验证?
Azure AD 多重身份验证的工作原理
ExpressRoute
可使用 Azure ExpressRoute 通过连接服务提供商所提供的专用连接,将本地网络扩展到 Microsoft 云。 使用
ExpressRoute 可与 Azure、Microsoft 365 和 CRM Online 等 Microsoft 云服务建立连接。 连接可以来自:
任意位置之间的 (IP VPN) 网络。
点到点以太网。
通过位于归置设施的连接服务提供商提供的虚拟交叉连接。
了解详细信息:
ExpressRoute 技术概述
虚拟网络网关
VPN 网关(也称为 Azure 虚拟网络网关)用于在虚拟网络和本地位置之间发送流量。 VPN 网关还用于在 Azure 内
的多个虚拟网络之间发送流量(网络到网络)。 VPN 网关提供 Azure 和基础结构间的安全跨界连接。
了解详细信息:
关于 VPN 网关
Azure 网络安全概述
了解详细信息:
标识保护
Azure AD 标识保护提供了可疑登录活动和潜在漏洞的统一视图来帮助保护企业。 “标识保护”根据以下信号检测
用户和特权(管理员)标识的可疑活动:
暴力攻击。
凭据泄漏。
从不熟悉的位置和易感染病毒的设备登录。
了解详细信息:
Azure Active Directory 标识保护
第 9 频道:Azure AD 和标识展示:“标识保护”预览
安全中心
Azure 安全中心可帮助防范、检测和应对威胁。 利用安全中心,你可以更深入地了解 Azure 资源以及混合云环境
中的资源的安全性。
了解详细信息:
Azure 安全中心简介
提高 Azure 安全中心中的安全评分
后续步骤
了解共担责任模型、由 Microsoft 处理的安全任务,以及由你处理的任务。
Azure 订阅者可从多个设备管理他们的云环境,这些设备包括管理工作站、开发人员电脑,甚至是具有特定于任
务的权限的特权最终用户设备。 在某些情况下,可通过基于 Web 的控制台(例如 Azure 门户)来执行管理功能。
在其他情况下,可能存在通过虚拟专用网络 (VPN)、终端服务、客户端应用程序协议或(以编程方式)通过 Azure
服务管理 API (SMAPI) 从本地系统直接连接到 Azure。 此外,客户端终结点(例如平板电脑或智能手机)可以加入
域或者受到隔离且不受管理。
尽管多种访问和管理功能提供了丰富的选项,但这种变化性可能会让云部署承受巨大风险。 可能难以管理、跟踪
和审核管理操作。 这种差异还可能由于用于管理云服务的客户端终结点进行的访问不受管制而带来安全威胁。
使用普通工作站或专用工作站开发和管理基础结构将会打开诸如 Web 浏览(例如水坑攻击)或电子邮件(例如社
交工程和网络钓鱼)等不可预测的威胁媒介。
在这种类型的环境中,发生攻击的可能性将会增加,因为难以构造安全策略和机制来适当管理各种终结点对
Azure 接口(例如 SMAPI)的访问。
远 程管理威 胁
攻击者经常会尝试通过入侵帐户凭据(例如,通过暴力破解密码、网络钓鱼和搜集凭据)或诱骗用户运行有害代码
(例如,从具有偷渡式下载的有害网站或从有害电子邮件的附件)来获取特权访问权限。 远程管理的云环境由于
具有随时随地访问的特性,因此如果帐户遭到入侵,风险会大增。
即使主要管理员帐户受到严格控制,攻击者仍可使用较低级别的用户帐户来利用安全策略中的弱点。 缺乏适当
的安全培训而使帐户信息意外泄漏或曝光,也可能导致数据泄露。
一般情况下,大多数导致数据泄漏的锁定式攻击,追根究底都是台式机上的浏览器入侵、外挂程序(例如 Flash、
PDF、Java)和鱼叉式网络钓鱼(电子邮件)所造成的。 这些计算机在用于开发或管理其他资产时,可能具有可供访
问运行中服务器或网络设备以执行操作的管理级别权限或服务级别权限。
操作安全性基 础 知 识
为了提升管理和操作的安全性,可以减少可能的入口点数目以尽可能缩小客户端的受攻击面。 这可以通过“职责
分离”和“环境隔离”安全原则来实现。
让敏感功能彼此隔离以降低某个级别的错误导致另一个级别出现数据泄漏的可能性。 示例:
管理任务不应该与可能将造成入侵的活动合并(例如,管理员的电子邮件中有恶意代码,从而感染基础结构服
务器)。
用于高敏感性操作的工作站也不应该是用于高风险用途(例如浏览 Internet)的同一系统。
通过删除不必要的软件来减少系统的受攻击面。 示例:
如果设备的主要用途是管理云服务,则标准的管理、支持或开发工作站都不应该请求安装电子邮件客户端或
其他生产力应用程序。
对基础结构组件拥有管理员访问权限的客户端系统应该尽可能受到严格策略的限制,以降低安全风险。 示例:
合并访问资源并消除不受管理的终结点也可以简化管理任务。
为 Azure 远 程管理提供安全性
Azure 提供了安全机制来帮助管理员管理 Azure 云服务和虚拟机。 这些机制包括:
身份验证和 Azure 基于角色的访问控制 (Azure RBAC)。
监视、日志记录和审核。
证书和加密通信。
Web 管理门户。
网络数据包筛选。
借助客户端安全配置和管理网关的数据中心部署,可以限制并监视管理员对于云应用程序和数据的访问。
NOTE
本文中的某些建议可能会导致数据、网络或计算资源使用量增加,从而增加许可或订阅成本。
强化的管理工作站
强化工作站的目标是要去除其他所有功能,只留下其运行所需的最重要功能,尽可能缩小潜在的受攻击面。 系统
强化包括安装最少量的服务和应用程序、限制应用程序执行、限制网络只能访问所需资源,以及让系统随时保持
最新状态。 此外,使用经过强化的管理工作站能够将管理工具和活动与其他最终用户任务隔离开来。
在本地企业环境中,可以通过专用的管理网络、必须用身份卡才能进入的服务器机房以及在受保护的网络区域上
执行的工作站,限制物理基础结构的受攻击面。 在云或混合 IT 模型中,由于无法实际接触到 IT 资源,因此想要
让管理服务保持安全是更复杂的任务。 实现保护解决方案需要小心软件设置、安全为主的处理程序及完善的策
略。
在锁定的工作站中使用仅需最低特权的最少软件使用量来进行云管理(以及应用程序开发),可以通过将远程管
理和开发环境标准化来降低引发安全事件的风险。 强化后的工作站配置可通过关闭恶意代码和入侵程序使用的
许多常见手段,来帮助避免用于管理重要云资源的帐户遭到入侵。 具体而言,可以使用 Windows AppLocker 和
Hyper-V 技术来控制和隔离客户端系统行为并缓解威胁,包括电子邮件或 Internet 浏览。
在强化后的工作站上,管理员将运行标准用户帐户(它将阻止管理级别的执行),关联的应用程序将由允许列表进
行控制。 强化后的工作站的基本要素如下:
活动的扫描和修补。 部署反恶意代码软件,定期执行漏洞扫描,及时使用最新的安全更新来更新所有工作站。
有限的功能。 卸载任何不需要的应用程序,并禁用不必要的(启动)服务。
强化网络。 使用 Windows 防火墙规则,仅允许与 Azure 管理相关的有效 IP 地址、端口和 URL 。 同时确保阻
止工作站的入站远程连接。
执行限制。 仅允许运行一组管理所需的预定义可执行文件(称为“默认拒绝”)。 默认情况下,除非已在允许列
表中明确定义,否则应该拒绝用户运行任何程序的权限。
最低特权。 管理工作站的用户不应该拥有本地计算机本身的任何管理特权。 这样,他们无法更改系统配置或
系统文件(无论是有意或无意)。
管理服 务 、 应 用程序和数据
可以在 Azure 门户或 SMAPI 中通过 Windows PowerShell 命令行接口或利用这些 RESTful 接口的自建应用程序
来执行 Azure 云服务配置。 使用这些机制的服务包括 Azure Active Directory (Azure AD)、Azure 存储、Azure 网
站和 Azure 虚拟网络,等等。
管理网关
若要集中管理所有管理访问权限并简化监视与日志记录,可以在本地网络中部署连接到 Azure 环境的专用
Remote Desktop Gateway(远程桌面网关)(RD 网关)服务器。
远程桌面网关是基于策略的 RDP 代理服务,可强制实施安全要求。 同时实现 RD 网关与 Windows Server 网络
访问保护 (NAP),可帮助确保只有符合 Active Directory 域服务 (AD DS) 组策略对象 (GPO) 创建的特定安全运行
状况条件的客户端可以连接。 此外:
安全指导原则
一般情况下,帮助保护用于云的管理员工作站的做法,与用于任何本地工作站的做法类似 — 例如,最小化生成
和限制权限。 云管理的某些独特之处更类似于远程或带外企业管理。 这些特点包括使用和审核凭据、增强安全
的远程访问以及威胁检测和响应。
身份 验证
可以使用 Azure 登录限制来限制用于访问管理工具的源 IP 地址和审核访问请求。 要帮助 Azure 识别管理客户端
(工作站和/或应用程序),可以同时配置 SMAPI(通过客户开发的工具,例如 Windows PowerShell cmdlet)和
Azure 门户,以要求除 TLS/SSL 证书外,还必须安装客户端管理证书。 我们还建议管理员访问需要经过多重身份
验证。
连接
有多种机制可供帮助保护客户端与 Azure 虚拟网络的连接。 在这些机制中,有两个机制(站点到站点 VPN (S2S)
和点到站点 VPN (P2S))支持使用行业标准 IPsec (S2S) 或安全套接字隧道协议 (SSTP) (P2S) 来进行加密和隧道传
输。 当 Azure 连接到面向公众的 Azure 服务管理(例如 Azure 门户)时,Azure 需要超文本安全传输协议
(HTTPS)。
未通过 RD 网关连接到 Azure 的独立强化工作站应使用基于 SSTP 的点到站点 VPN 来与 Azure 虚拟网络建立初
始连接,并从 VPN 隧道与各个虚拟机建立 RDP 连接。
管理 审 核与策略 强 制 实 施
一般而言,有两种方法可用于帮助保护管理程序:审核和策略强制实施。 同时采用这两种方法可进行全面控制,
但并非所有情况下都能这样做。 此外,每种方法在管理安全时都需要不同程度的风险、成本和精力,特别是当它
涉及到对个人和系统体系结构给予的信任级别时。
监视、日志记录和审核可为跟踪和了解管理活动提供基础,但受限于所生成的数据量,它不一定都能巨细无遗地
审核所有操作。 但是,审核管理策略的效果是最佳做法。
包含严格访问控制的策略强制实施具有可控制管理员操作的编程机制,并可帮助确保使用所有可能的保护措施。
日志记录可提供强制实施的证明,以及什么人在何时从什么地方执行了什么操作的日志。 日志记录还可让你审
核和交叉检查管理员如何遵循策略的相关信息,同时提供活动的证据。
客户端配置
对于强化的工作站,我们提供三种主要配置。 这三者之间最大的差异在于成本、可用性和可访问性,但它们提供
的所有选项都有类似的安全设置文件。 下表简要分析了各种配置的优点与风险。 (请注意,“企业电脑”指的是将
为所有域用户(无论角色为何)部署的标准台式机配置)。
- 降低应用程序被利用的风险 增加管理工作
- 明确的职责分离 -
将企业电脑用作虚拟机 降低硬件成本 -
- 角色和应用程序隔离 -
必须将强化的工作站用作主机而不是来宾,且主机操作系统与硬件之间没有任何组件。 遵循“干净源原则”(也称
为“安全来源”)意味着主机应该是最可靠的。 否则,强化的工作站(来宾)在其托管所在的系统上容易受到攻击。
可以通过专用系统映像为每一台强化工作站进一步隔离管理功能,使其只具有管理选定的 Azure 和云应用程序
所需的工具和权限,以及用于必要任务的特定本地 AD DS GPO。
用于管理的独立 强 化工作站
使用独立的强化工作站时,管理员使用一台电脑或膝上型计算机来执行管理任务,并使用另一台不同的电脑或膝
上型计算机来执行非管理任务。 专门负责管理 Azure 服务的工作站不需要安装其他应用程序。 此外,使用的工
作站如果支持受信任的平台模块 (TPM) 或类似的硬件级加密技术,将有助于进行设备身份验证和预防特定攻击。
TPM 还可以使用 BitLocker 驱动器加密来支持系统驱动器的整卷保护。
在独立的强化工作站方案中(如下所示),Windows 防火墙(或非 Microsoft 客户端防火墙)的本地实例将配置为
阻止入站连接,例如 RDP。 管理员可以登录到强化的工作站,并在与 Azure 虚拟网络建立 VPN 连接之后启动连
接到 Azure 的 RDP 会话,但无法登录到企业电脑并使用 RDP 连接到强化的工作站本身。
将企 业电脑 用作虚 拟 机
在部署单个独立强化工作站需要高昂成本或者不方便的情况下,强化的工作站可以托管用于执行非管理任务的
虚拟机。
若要避免使用单一工作站来进行管理和其他日常工作任务所可能引发的诸多安全风险,可以在强化的工作站部
署 Windows Hyper-V 虚拟机。 此虚拟机可用作企业电脑。 企业电脑环境可以与主机保持隔离,以减少其受攻击
面,并使得用户的日常活动(例如电子邮件)不会与机密的管理任务共存。
企业电脑虚拟机在受保护的空间内运行,并提供用户应用程序。 主机仍是“干净源”,并且将在根操作系统中强制
实施严格的网络策略(例如,阻止来自虚拟机的 RDP 访问)。
最佳实践
管理 Azure 中的应用程序和数据时,请注意以下附加指导原则。
准则
不要因为工作站已被锁定,就认为不需要满足其他常见安全要求。 由于管理员帐户通常拥有提升权限的访问级
别,因此潜在风险会提高。 下表显示了风险及其替代安全做法的示例。
不要通过电子邮件发送管理员访问凭据或其他机密(例如 用声音提供帐户名称和密码(但不要将它们存储在语音邮件
TLS/SSL 或管理证书) 中)以保持机密性、远程安装客户端/服务器证书(通过加密会
话)、从受保护的网络共享下载,或通过可移动媒体手动分发。
- 主动管理管理证书生命周期。
不要在应用程序存储中存储未加密或未哈希处理的帐户密码 创建安全管理策略和系统强化策略,并将它们应用到开发环
(例如在电子表格、SharePoint 站点或文件共享中)。 境。
- 针对所有管理连接使用防火墙、VPN 和 NAP。
Azure 操作
在 Microsoft 的 Azure 操作中,访问 Azure 的生产系统的操作工程师和支持人员将使用强化的工作站电脑与其中
预配的 VM 来进行内部企业网络访问和运行应用程序(例如电子邮件、Intranet 等)。 所有管理工作站计算机都装
有 TPM,主机启动驱动器已使用 BitLocker 加密,并且已加入 Microsoft 主要企业域中的特殊组织单位 (OU)。
系统强化是通过组策略以集中式软件更新来强制实施的。 为了审核和分析,将从管理工作站收集事件日志(例如
安全性和 AppLocker )并将其保存到中心位置。
Azure 安全清单
将管理员在强化的工作站上可以执行的任务数降到最低,有助于尽量降低开发和管理环境中的受攻击面。 请使
用以下技术来帮助保护强化的工作站:
摘要
使用强化的工作站配置来管理 Azure 云服务、虚拟机和应用程序,可帮助避免远程管理关键 IT 基础结构所造成
的众多风险和威胁。 Azure 和 Windows 提供了相关机制来帮助保护和控制通信、身份验证与客户端行为。
后续步骤
除了本文中所提到的特定项以外,以下资源也提供了有关 Azure 及相关 Microsoft 服务的更多常规信息:
Azure 管理服务
IT 运营团队负责管理数据中心基础结构、应用程序和数据,包括这些系统的稳定性和安全性。 但是,若要获得日
益增多的复杂 IT 环境的安全洞察信息,通常需要组织从多个安全性和管理系统收集数据。
Azure Monitor
Azure Monitor 可将来自托管源的数据收集到中央数据存储中。 这些数据可能包括事件、性能数据或通过 API 提
供的自定义数据。 收集数据后,可分析、导出数据或发出警报。
自动化
借助 Azure 自动化,可自动完成通常要在云环境和企业环境中执行的手动、长时间进行、易出错且重复性高的任
务。 不仅节省了时间,还提高了管理任务的可靠性。 甚至还可以计划定期自动执行这些任务。 可使用 Runbook
实现这些过程的自动化,或者使用 Desired State Configuration 实现配置管理的自动化。
备份
Azure 备份是基于 Azure 的服务,可用于备份(或保护)和还原 Microsoft 云中的数据。 Azure 备份将现有的本地
或异地备份解决方案替换为安全可靠、性价比高的云端解决方案。
Site Recovery
Azure Site Recovery 通过协调本地虚拟机和物理机到 Azure 或辅助站点的复制来提供业务连续性。 如果主站点
不可用,可故障转移到辅助位置,使用户能够继续工作。 系统恢复正常后可故障回复。 使用 Azure 安全中心执行
更智能和更有效的威胁检测。
Azure AD 中还包括了整套标识管理功能,其中包括:
多重身份验证
自助服务密码管理
自助组管理
特权帐户管理
Azure 基于角色的访问控制 (Azure RBAC)
应用程序使用情况监视
多种审核
安全监视和警报
Azure 安全中心
Azure 安全中心有助于预防、检测和响应威胁,同时增加 Azure 资源安全的可见性和可控性。 它为订阅提供集成
的安全监控和策略管理。 它有助于检测可能会被忽视的威胁,适用于各种安全解决方案生态系统。
包含建议配置规则的操作系统安全设置。
缺少的系统安全更新和关键更新。
终结点保护建议。
磁盘加密验证。
基于网络的攻击。
安全中心使用 Azure 基于角色的访问控制 (Azure RBAC)。 Azure RBAC 提供的内置角色可分配给 Azure 中的用
户、组和服务。
安全中心会评估资源的配置以识别安全问题和漏洞。 只有在分配有资源所属的订阅或资源组的“所有者”、“参与
者”或“读取者”角色时,才会在安全中心看到与资源相关的信息。
NOTE
若要深入了解安全中心中的角色和允许的操作,请参阅 Azure 安全中心中的权限。
Azure Monitor
云应用中的性能问题可能会影响业务。 使用多个互连的组件和频繁发布版本时,性能随时可能会下降。 开发一
款应用后,用户通常会发现其中的问题,而你在测试时却找不到这样的问题。 应该立即发现这些问题,并使用工
具来诊断和解决问题。
还可以利用监视数据深入了解应用程序的情况。 了解这些情况有助于改进应用程序的性能或可维护性,或者实
现本来需要手动干预的操作的自动化。
Azure 诊 断日志
Azure 诊断日志由资源发出,提供与该资源的操作相关的各种频繁生成的数据。 这些日志的内容因资源类型而
异。
指标
Azure Monitor 可提供遥测数据,以便用户了解 Azure 上工作负荷的性能与运行状况。 最重要的 Azure 遥测数据
类型是大多数 Azure 资源发出的指标(也称为性能计数器)。 Azure 监视器提供多种方式来配置和使用这些指标,
以便进行监视与故障排除。
Azure 诊 断
Azure 诊断可在部署的应用程序上启用诊断数据收集功能。 可使用各种源的诊断扩展。 目前支持的有 Azure 云
服务角色、运行 Microsoft Windows 的 Azure 虚拟机,以及 Azure Service Fabric。
Azure 网络观察程序
客户在 Azure 中通过协调与组建虚拟网络、Azure ExpressRoute、Azure 应用程序网关和负载均衡器等网络资源
来构建端到端网络。 监视适用于每个网络资源。
在 Azure 虚拟机上远程捕获数据包。
使用流日志深入了解网络流量。
诊断 Azure VPN 网关和连接。
网络观察程序目前提供以下功能:
拓扑:提供资源组中网络资源间的各种互连和关联的视图。
可变数据包捕获:捕获传入和传出虚拟机的数据包数据。 高级筛选选项和精细控制(例如设置时间与大小限制
的功能)提供了多样性。 数据包数据可以存储在 Blob 存储中,或者以 .cap 格式存储在本地磁盘上。
IP 流验证:根据流信息的 5 元组数据包参数(目标 IP、源 IP、目标端口、源端口和协议)检查数据包是被允许还
是被拒绝。 如果安全组拒绝数据包,则返回拒绝数据包的规则和组。
下一跃点:确定 Azure 网络结构中路由的数据包的下一跃点,以便诊断任何配置不正确的用户定义的路由。
安全组视图:获取在 VM 上应用的有效安全规则。
网络安全组的 NSG 流日志:用于捕获被组中的安全规则允许或拒绝的流量的相关日志。 流由 5 元组信息(源
IP、目标 IP、源端口、目标端口和协议)定义。
虚拟网络网关和连接故障排除:提供对虚拟网关和连接进行故障排除的功能。
网络订阅限制:用于查看网络资源用量与限制。
诊断日志:提供单个窗格来为资源组中的网络资源启用或禁用诊断日志。
有关详细信息,请参阅配置网络观察程序。
云服务提供程序访问透明度
Microsoft Azure 客户密码箱是集成到 Azure 门户中的一项服务,它允许你在 Microsoft 支持工程师需要访问你的
数据来解决问题时进行显式控制,这种情况极少出现。 在极少数情况下,例如调试远程访问问题时,Microsoft 支
持工程师需要提升的权限来解决此问题。 在这种情况下,Microsoft 工程师使用恰时访问服务,该服务提供有限
的限定了时间范围的授权,且仅限访问相关服务。
虽然 Microsoft 在进行访问时始终征求客户同意,但客户密码箱使你能够从 Azure 门户查看并批准或拒绝这样的
请求。 在你批准请求前,不会向 Microsoft 支持工程师授予访问权限。
标准且合规的部署
通过 Azure 蓝图,云架构师和中心信息技术组同样可以定义一组可重复的 Azure 资源,这些资源实现并遵守组织
的标准、模式和要求。
这使得 DevOps 团队可以快速构建并启动新环境,并有信心使用满足组织合规性的基础设施构建它们。 蓝图提
供了一种声明性方法,用于协调各个资源模板和其他项目的部署,例如:
角色分配
策略分配
Azure 资源管理器模板
资源组
DevOps
在采用 Developer Operations (DevOps) 应用程序开发前,团队需要负责收集软件程序的业务要求和编写代码。
然后由一个单独的 QA 团队在独立的开发环境中测试该程序。 如果满足要求,则 QA 团队发布要部署的操作代
码。 部署团队进一步划分为小组,例如网络小组和数据库小组。 每次将软件程序投放到独立的团队时,就会增加
一些瓶颈。
敏捷的规划和项目管理技巧用于规划工作并将其划分到小组、管理团队效能,以及帮助团队快速适应不断变
化的业务需求。
版本控制(通常使用 Git 实现)可让世界各地的团队共享资源,以及集成用于自动化发行管道的软件开发工
具。
持续集成能够推动代码的持续合并与测试,帮助提前发现缺陷。 其他优势包括减少应对合并问题所浪费的时
间,以及快速获得开发团队的反馈。
向开发和测试环境持续交付软件解决方案可帮助组织快速修复 bug,应对不断变化的业务要求。
运行中应用程序的监视(包括生产环境中应用程序的运行状况)以及客户使用情况信息可帮助组织建立假设,
并快速验证或推翻策略。 以各种日志格式捕获和存储丰富的数据。
基础结构即代码 (IaC) 实务可以自动化并验证网络和虚拟机的创建与解除流程,帮助交付安全、稳定的应用程
序托管平台。
利用微服务体系结构将业务用例隔离到小型可重用的服务。 此体系结构提高了可伸缩性和效率。
后续步骤
若要了解有关安全和审核解决方案的信息,请参阅以下文章:
安全性和符合性
Azure 安全中心
Azure Monitor
Azure 操作安全性最佳做法
2021/2/9 • • Edit Online
定义并部署强大的操作安全做法
Azure 操作安全性是指用户可用于在 Azure 中保护其数据、应用程序和其他资产的服务、控件和功能。 Azure 操
作安全性建立在一个框架上,该框架融合了通过 Microsoft 独有的功能获得的知识,包括 安全开发生命周期
(SDL)、Microsoft 安全响应中心计划以及对网络安全威胁形态的深刻认识。
管理和监视用户密码
下表列出了与管理用户密码相关的一些最佳做法:
最佳做法 :确保你在云中具有适当级别的密码保护。
详细 信息 :按照 Microsoft 密码指南中的指南进行操作,该指南的适用范围是 Microsoft 标识平台(Azure Active
Directory、Active Directory 和 Microsoft 帐户)的用户。
最佳做法 :监视与用户帐户相关的可疑操作。
详细 信息 :使用 Azure AD 安全报告监视具有 风险的用户 和有风险的 登录 。
最佳做法 :自动检测和修正高风险密码。
详细 信息 : Azure AD Identity Protection 是 Azure AD Premium P2 版本的一项功能,它使你能够:
检测影响组织标识的潜在漏洞
配置自动响应,可检测与组织标识相关的可以操作
调查可疑事件,并采取适当的措施进行解决
将 Azure 订阅组织到管理组中
如果你的组织有多个订阅,则可能需要一种方法来高效地管理这些订阅的访问权限、策略和符合性。 Azure 管理
组 提供了高于订阅的范围级别。 可将订阅组织到名为“管理组”的容器中,并将治理条件应用到管理组。 管理组
中的所有订阅都将自动继承应用于管理组的条件。
下面是管理组使用方面的一些最佳做法:
最佳做法 :确保在添加新订阅时,它们会应用治理元素,例如策略和权限。
详细 信息 :使用根管理组分配适用于所有 Azure 资产的企业范围的安全元素。 策略和权限是元素的示例。
最佳做法 :将顶级管理组与分段策略匹配,以便在每个段中实现控制和策略一致性。
详细 信息 :在根管理组下为每个段创建一个管理组。 请勿在根下创建其他任何管理组。
最佳做法 :限制管理组深度,以避免出现影响操作和安全性的混乱。
详细 信息 :将层次结构限制为三个级别(包括根在内)。
最佳做法 :使用根管理组,仔细选择要应用于整个企业的项。
详细 信息 :确保根管理组元素清楚地需要跨每个资源应用,并且不会对其造成影响。
典型的候选项包括:
具有明确业务影响的法规要求(例如,与数据主权相关的限制)
具有接近零的潜在负面影响操作的要求,例如已认真查看的具有审核效果或 Azure RBAC 权限分配的策略
利用蓝图简化环境创建
Azure 蓝图 服务使云架构师和中心信息技术小组能够定义可实现并符合组织标准、模式和要求的一组可重复的
azure 资源。 使用 Azure 蓝图,开发团队可以快速生成新的环境并将其放在新的环境中,并提供一套内置组件,
并确保他们在组织符合性中创建这些环境。
监视存储服务的意外行为更改
诊断和排查在云环境中托管的分布式应用程序中的问题可能会比在传统环境中更复杂。 应用程序可以部署在
PaaS 或 IaaS 基础结构、本地、移动设备,或这些环境的某种组合中。 应用程序的网络流量可能会遍历公用和专
用网络,你的应用程序可能使用多种存储技术。
应持续监视应用程序使用的存储服务是否存在任何意外行为更改(如响应时间变长)。 若要收集更详细的数据和
深度分析问题,请使用日志记录。 从监视和日志记录获取的诊断信息将有助于确定应用程序所遇到问题的根本
原因。 然后,可以排查该问题,并确定修正问题的相应步骤。
防范、检测和应对威胁
Azure 安全中心增强了对 Azure 资源安全的可见性和可控性,可帮助你预防、检测和响应威胁。 它提供对 Azure
订阅的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于各种安全解决方案。
下面是一些用于预防、检测和响应威胁的最佳做法:
最佳做法 :监视计算机、网络、存储和数据服务以及应用程序的安全状况,发现潜在的安全问题并确定其优先
级。
详细 信息 :按照安全中心的 安全建议操作,并从优先级最高的项开始。
监视基于端到端方案的网络监视
客户在 Azure 中通过合并虚拟网络、ExpressRoute、应用程序网关和负载均衡器等网络资源来构建端到端网络。
监视适用于每个网络资源。
以下是网络监视和可用工具的最佳做法。
最佳做法 :使用数据包捕获实现远程网络监视的自动化。
详细 信息 :使用网络观察程序监视和诊断网络问题,无需登录 VM。 通过设置警报触发数据包捕获,并获取数据
包级别上的实时性能信息访问权限。 如果遇到问题,可进行详细调查,获得更精确的诊断。
最佳做法 :使用流日志深入了解网络流量。
详细 信息 :使用 网络安全组流日志更深入地了解网络流量模式。 流日志中的信息可帮助收集符合性数据、审核
和监视网络安全配置文件。
最佳做法:自动生成和部署服务。
详细信息:基础结构即代码是一组技术和实践,使 IT 专业人员不再需要日复一日地生成和管理模块化基础结构。
使得 IT 专业人员生成和维护新式服务器环境的方式就像是软件开发人员生成和维护应用程序代码的方式。
最佳做法:自动执行发布管理。
详细信息:Azure Pipelines 是实现多阶段部署和管理发布过程自动化的解决方案。 创建托管的持续部署管道,快
速、轻松地频繁发布。 通过 Azure Pipelines,可以使发布过程自动化,还可以拥有预定义的批准工作流。 根据需
要进行本地部署和部署到云、扩展和自定义。
最佳做法:在推出应用或将更新部署到生产环境之前,先检查该应用的性能。
详细 信息 :运行基于云的 负载测试 ,以执行以下操作:
在应用中查找性能问题。
提高部署质量。
请确保应用始终可用。
确保应用可以处理下一次启动或市场营销活动的流量。
缓解和防范 DDoS
分布式拒绝服务 (DDoS) 是企图耗尽应用程序资源的一种攻击。 其目的是影响应用程序的可用性和处理合法请
求的能力。 这些攻击正变得越来越复杂,且规模和影响程度越来越高。 它们可能会将任何可通过 Internet 公开访
问的终结点作为目标。
最佳做法:确保优先考虑从设计和实施到部署和操作的整个应用程序生命周期的安全性。 应用程序可能包含
bug,使相对较少的请求使用过多的资源,从而导致服务中断。
详细信息:为帮助保护 Microsoft Azure 上运行的服务,应该对应用程序体系结构有充分的了解,并重点关注软件
质量的五大要素。 应该清楚典型的流量大小、应用程序与其他应用程序之间的连接模型,以及向公共 Internet 公
开的服务终结点。
至关重要的一点是,确保应用程序具有足够的弹性,可应对针对应用程序本身的拒绝服务攻击。 从安全开发生命
周期 (SDL) 开始,安全和隐私就已内置到 Azure 平台中。 SDL 可以解决每个开发阶段的安全性,并确保 Azure 不
断更新,以变得越来越安全。
最佳做法:采用可横向缩放的应用程序设计,以满足放大负载的需求,尤其是防范 DDoS 攻击。 如果应用程序依
赖于服务的单个实例,则会造成单一故障点。 预配多个实例能够提高复原能力和可伸缩性。
详细信息:对于 Azure 应用服务,请选择提供多个实例的应用服务计划。
对于 Azure 云服务,请将每个角色配置为使用多个实例。
网络安全组是缩小受攻击面的另一种方法。 可以使用服务标记和应用程序安全组来最大程度地简化安全规则的
创建,并将网络安全性配置为应用程序结构的自然扩展。
启用 Azure Policy
Azure Policy 是 Azure 中的一项服务,用于创建、分配和管理策略。 这些策略将在整个资源中强制实施规则和效
果,使这些资源符合公司标准和服务级别协议。 Azure Policy 通过评估资源是否符合指定策略来满足此需求。
有关详细信息,请参阅创建和管理策略以强制实施符合性。
最佳做法 :确定负责监视策略违规的角色,并确保快速执行正确的修正操作。
详细 信息 :让已分配的角色通过 Azure 门户或 命令行来监视符合性。
监视 Azure AD 风险报告
大多数安全违规出现在当攻击者通过窃取用户的标识来获取环境的访问权限时。 发现标识是否遭到入侵并不容
易。 Azure AD 使用自适应机器学习算法和试探法来检测与用户帐户相关的可疑操作。 每个检测到的可疑操作都
存储在称为 风险检测的记录中。 风险检测记录在 Azure AD 安全报表中。 有关详细信息,请参阅 风险安全报表
中的用户和有风险的 登录安全报告。
后续步骤
有关通过 Azure 设计、部署和管理云解决方案时可以使用的更多安全最佳做法,请参阅 Azure 安全最佳做法和模
式。
简介
Azure 提供一套可用于部署应用程序的基础结构服务。 Azure 操作安全性是指用户可用于在 Microsoft Azure 中
保护其数据、应用程序和其他资产的服务、控件和功能。
清单
此清单的目的是帮助企业在 Azure 上部署复杂的企业应用程序时全盘考虑各种操作安全因素。 此外,它还有助
于为组织构建安全的云迁移和操作策略。
使用 Azure 安全中心部署终结点解决方案。
安全策略和建议 添加 Web 应用程序防火墙 (WAF) 来保护 Web 应用程
序。
使用 Microsoft 合作伙伴的 防火墙 来增强安全保护。
为 Azure 订阅应用安全联系人详细信息;如果
Microsoft 安全响应中心 (MSRC) 发现客户数据被非法
或未授权的一方访问,MSRC 会联系你。
使用 Azure AD 将本地目录与云目录同步。
标识和访问管理 使用单一登录让用户基于他们在 Azure AD 中的组织
帐户访问其 SaaS 应用程序。
使用密码重置注册活动报告来监视正在注册的用户。
为用户启用多重身份验证 (MFA)。
开发人员可对应用使用安全标识功能,例如 Microsoft
安全开发生命周期 (SDL)。
使用 Azure AD Premium 异常报告和 Azure AD 标识
保护功能主动监视可疑活动。
结论
许多组织已在 Azure 中成功部署并运行其云应用程序。 提供的清单强调了几项必备要点,可帮助提高成功部署
和顺畅运营的几率。 我们强烈建议针对 Azure 上的现有应用程序部署和新的部署实施这些操作性和策略性事
项。
后续步骤
若要了解有关安全性的详细信息,请参阅以下文章:
设计和操作安全性
Azure 安全中心规划和操作
Azure 上可⽤的安全服务和技术
2021/2/9 • • Edit Online
了解以下信息有助于评估云服务提供程序选项。 因此,我们提供此列表帮助你入门。
Azure 常规安全性
Azure 安全 中心 一个云工作负荷保护解决方案,可跨混合云工作负荷提供安
全性管理和高级威胁防护。
存储安全
标识和访问管理
备份和灾难恢复
网络
网络 安全 组 一项基于网络的访问控制功能,它使用 5 元组进行允许或拒
绝决策。
Azure 边界安全最佳实践
Azure 数据库安全性最佳做法
Azure 数据安全与加密最佳实践
Azure 标识管理和访问控制安全最佳做法
Azure 网络安全最佳实践
Azure 操作安全性最佳做法
Azure PaaS 最佳做法
Azure Service Fabric 安全性最佳做法
Azure VM 安全性最佳做法
在 Azure 中实现安全的混合网络体系结构
物联网安全最佳实践
在 Azure 中保护 PaaS 数据库
使用 Azure App Service 保护 PaaS Web 和移动应用程序
使用 Azure 存储保护 PaaS Web 和移动应用程序
Azure 中 IaaS 工作负荷的安全性最佳做法
适用于 Azure 解决方案的白皮书安全最佳做法是在上面列出的文章中找到的安全最佳做法的集合。
下载白皮书
⽹络安全中的 Microsoft 服务
2021/2/9 • • Edit Online
Microsoft 服务可以创建集成的解决方案,增强产品的最新安全和标识功能,帮助保护你的业务并推动创新。
我们的技术专家团队由训练有素的专家组成,他们提供丰富的安全和标识体验。
了解 Microsoft 服务提供的服务的详细信息:
安全风险评估
动态标识框架评估
Active Directory 服务的脱机评估
增强的安全管理环境
Azure AD 实现服务
防范横向帐户移动
事件响应和恢复
2. 选择“安全事件”作为问题类型,并在“安全事件”和“漏洞”类别之间做出选择。
i. 问题和/或漏洞是什么?
ii. 对于漏洞,请提供 CVE (mitre.org) 或 CVSS3 v3 计算器的已填充
(https://www.first.org/cvss/calculator/3.0) 。
iii. 是否有解决方法或缓解措施? 如果是,请提供补救措施。
iv. 是否需要向客户发送消息? 如果可以,我们将与你共同创建相应的消息。
4. 提交确认 - 提交问题后,我们会在一个工作日内确认接收,并且指定问题的优先级和严重性。
如果需要与我们交流有关问题,请使用所有对应关系中的确认号码。
可在任何时候查看问题解决进度。
5. 接下来会发生什么? 根据具体问题和严重性,可能会采取以下步骤:
我们不会对你的应用程序进行渗透测试,但我们知道你需要并且需要在你自己的应用程序上执行测试。 这是好
事,因为改进自己的应用程序的安全性可以加强整个 Azure 生态系统的安全性。
IMPORTANT
虽然参加渗透测试时无需再通知 Microsoft,客户仍须遵守 Microsoft 云统一渗透测试参与规则。
可以执行的标准测试包括:
NOTE
Mircosoft 已与 BreakingPoint Cloud 合作构建接口,用户可在其中针对已启用 DDoS 保护的公共 IP 地址生成用于模拟的流
量。 若要了解有关 BreakingPoint 云模拟的详细信息,请参阅 通过模拟进行测试。
后续步骤
详细了解渗透测试参与规则。
Azure 域 (的参考列表不全⾯ )
2021/2/9 • • Edit Online
Azure 文件 *.file.core.windows.net