聊一聊Azure安全基礎(chǔ)知識(shí)

作者：肖力翻譯 2022-07-19 08:01:08

Microsoft Azure 建議組織采用業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù) （BCDR）策略。Microsoft Azure 提供了可確保云環(huán)境安全的服務(wù)和建議的做法，并在恢復(fù)過(guò)程中提供幫助。

Microsoft Azure 安全基礎(chǔ)知識(shí)包括記錄對(duì)安全事件的響應(yīng)、使用標(biāo)識(shí)訪問(wèn)管理工具、對(duì)用戶進(jìn)行身份驗(yàn)證、利用自動(dòng)化工具、加密數(shù)據(jù)以及使用防火墻。

規(guī)劃和制定安全事件的策略

組織應(yīng)記錄他們?cè)诎踩录l(fā)生之前如何響應(yīng)這些事件，以及之后將如何恢復(fù)。這應(yīng)該在組織訂閱任何云安全服務(wù)之前完成。Microsoft Azure 建議組織采用業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù) （BCDR）策略。Microsoft Azure 提供了可確保云環(huán)境安全的服務(wù)和建議的做法，并在恢復(fù)過(guò)程中提供幫助。

密碼策略實(shí)施是要求密碼具有一定復(fù)雜性和特定生命周期的做法。借助 Microsoft Azure 的 SQL Server，組織可以強(qiáng)制要求用戶的密碼符合這些預(yù)設(shè)要求。這使得黑客更難獲得或使用憑據(jù)。

Azure 備份是一項(xiàng)服務(wù)，允許組織備份整個(gè)虛擬機(jī) （VM）、Azure 文件共享、SQL Server 數(shù)據(jù)庫(kù)和 SAP HANA 數(shù)據(jù)庫(kù)。如果由于環(huán)境因素或攻擊而從一個(gè)數(shù)據(jù)中心丟失數(shù)據(jù)，數(shù)據(jù)仍存在于其他地方以進(jìn)行恢復(fù)。

Azure Site Recovery 是 BCDR 策略的主要貢獻(xiàn)者。當(dāng)由于 DDoS 攻擊或數(shù)據(jù)中心內(nèi)的問(wèn)題而發(fā)生中斷時(shí)，Site Recovery 會(huì)使應(yīng)用和工作負(fù)載在未受影響的輔助位置運(yùn)行。這是分布式云基礎(chǔ)架構(gòu)的一個(gè)示例。主位置再次開(kāi)始運(yùn)行后，它將再次接收工作負(fù)載。發(fā)生攻擊時(shí)，將站點(diǎn)恢復(fù)作為選項(xiàng)意味著組織的客戶不會(huì)看到服務(wù)中斷。

使用身份訪問(wèn)管理和身份驗(yàn)證工具

組織可以使用身份訪問(wèn)管理（IAM）工具以及身份驗(yàn)證和授權(quán)工具來(lái)確保用戶是他們聲稱的身份，并授予他們某些權(quán)限。用于此目的的 Microsoft Azure 服務(wù)包括 Azure 應(yīng)用服務(wù)、基于角色的訪問(wèn)控制（RBAC）和通過(guò) Microsoft 身份驗(yàn)證器進(jìn)行的多重身份驗(yàn)證（MFA）。

Azure 應(yīng)用服務(wù)具有內(nèi)置的身份驗(yàn)證和授權(quán)支持，使用戶能夠從 Web 應(yīng)用、RESTful API、移動(dòng)后端或 Azure 函數(shù)登錄和訪問(wèn)數(shù)據(jù)，幾乎不需要代碼。此外，它還提供安全的身份驗(yàn)證和授權(quán)實(shí)用程序，可用于聯(lián)合身份驗(yàn)證、加密、JSON Web 令牌管理和授權(quán)類型。

RBAC 是根據(jù)最小特權(quán)原則執(zhí)行的常見(jiàn)做法。這個(gè)想法是向用戶（在本例中為員工）授予最低級(jí)別的訪問(wèn)權(quán)限，以便他們有效地執(zhí)行其工作。RBAC 以可自定義的方式將角色分配給用戶。這些角色確定用戶的訪問(wèn)級(jí)別，并作為策略強(qiáng)制執(zhí)行。

Azure Active Directory 是一種基于云的 IAM 和單點(diǎn)登錄（SSO）服務(wù)，適用于 Office 365 等 Microsoft 應(yīng)用程序。Azure Active Directory 中針對(duì)標(biāo)識(shí)和安全性提供的功能包括身份驗(yàn)證、條件訪問(wèn)、標(biāo)識(shí)治理、標(biāo)識(shí)保護(hù)、托管標(biāo)識(shí)、特權(quán)標(biāo)識(shí)管理以及報(bào)表和監(jiān)視。這有助于 Microsoft Azure 云安全，因?yàn)槿绻麘{據(jù)被盜，對(duì)數(shù)據(jù)和云資源的訪問(wèn)量將受到限制，并且風(fēng)險(xiǎn)會(huì)降低。

監(jiān)控云環(huán)境

當(dāng)組織在其云環(huán)境中存在盲點(diǎn)時(shí)，它就缺乏正確保護(hù)自己的能力。一種良好的安全方法是使用能夠查看整個(gè)環(huán)境并報(bào)告其檢測(cè)到的內(nèi)容的服務(wù)。Microsoft Azure 的一些監(jiān)視服務(wù)是 Azure 安全中心和 Azure 應(yīng)用服務(wù)。

Azure 安全中心為云資源提供可見(jiàn)性和控制力，使組織能夠檢測(cè)和響應(yīng)威脅。此服務(wù)監(jiān)視云資源，并提供報(bào)告，建議管理部門(mén)可以采取哪些措施來(lái)解決任何異常情況。

Azure Monitor 提供對(duì) Azure 基礎(chǔ)結(jié)構(gòu)和單個(gè) Azure 資源中數(shù)據(jù)的可見(jiàn)性。

利用自動(dòng)化實(shí)現(xiàn)安全的 Azure

組織應(yīng)該利用自動(dòng)化工具來(lái)接管數(shù)據(jù)分析等困難且耗時(shí)的工作。

Microsoft Azure的許多安全服務(wù)都是自動(dòng)化的，特別是那些專門(mén)用于監(jiān)控云環(huán)境和實(shí)施策略的服務(wù)。這方面的一個(gè)例子是應(yīng)用程序見(jiàn)解。

應(yīng)用程序見(jiàn)解是一項(xiàng)應(yīng)用程序性能管理服務(wù)。它可幫助開(kāi)發(fā)人員監(jiān)視生產(chǎn)中的應(yīng)用程序，并立即報(bào)告彈出的性能異常。

使用加密和防火墻

網(wǎng)絡(luò)安全最基本的方面之一是使用加密和防火墻。借助 Microsoft Azure，組織有機(jī)會(huì)使用 Web 應(yīng)用程序防火墻、靜態(tài)和傳輸中加密以及 Azure 密鑰保管庫(kù)以及其他安全功能。

Microsoft Azure 的 Web 應(yīng)用程序防火墻（WAF）是其 Azure Application Gateway 的一部分。WAF 使用網(wǎng)關(guān)保護(hù) Web 應(yīng)用程序，以實(shí)現(xiàn)應(yīng)用程序交付控制功能。由于 WAF 是基于云的，因此它是保護(hù) Web 應(yīng)用程序的集中式方法。WAF 基于開(kāi)放 Web 應(yīng)用程序安全項(xiàng)目（OWASP）制定的規(guī)則，并在新漏洞明顯時(shí)自動(dòng)更新。

Azure 存儲(chǔ)能夠在數(shù)據(jù)處于靜態(tài)或傳輸過(guò)程中使用加密來(lái)保護(hù)數(shù)據(jù)。靜態(tài)數(shù)據(jù)是位于存儲(chǔ)中的數(shù)據(jù)，而傳輸中的數(shù)據(jù)是通過(guò)網(wǎng)絡(luò)連接發(fā)送的數(shù)據(jù)。這對(duì)組織很有幫助，因?yàn)樗梢詽M足始終加密數(shù)據(jù)的基本需求。

Azure 密鑰保管庫(kù)是一個(gè)硬件安全模塊（HSM），用于存儲(chǔ)加密密鑰和關(guān)鍵機(jī)密。在這種情況下，秘密是組織想要嚴(yán)格控制訪問(wèn)的任何數(shù)據(jù)。例如，密鑰可以是 API 密鑰、密碼或證書(shū)。Azure 密鑰保管庫(kù)使用的硬件已通過(guò) FIPS 140-2 級(jí)別 2 設(shè)備標(biāo)準(zhǔn)的認(rèn)證。加密密鑰加密和解密數(shù)據(jù)，尤其是在發(fā)送或接收數(shù)據(jù)之后。通過(guò)擁有保留組織機(jī)密和密鑰的安全硬件，密鑰本身將受到保護(hù)。如果沒(méi)有受保護(hù)的密鑰，加密和身份驗(yàn)證功能將變得無(wú)效，因?yàn)閾碛屑用苊荑€的攻擊者可以輕松解密數(shù)據(jù)。