Azure 操作安全性最佳做法,創建azure免費賬戶流程

Azure 操作安全性最佳做法

本文提供了用于保護Azure中的數據、應用程序和其他資產的一系列操作最佳做法。

最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎。觀點和技術將隨著時間改變，本文會定期更新以反映這些更改。

定義并部署強大的操作安全做法

Azure操作安全性是指用戶可用于在Azure中保護其數據、應用程序和其他資產的服務、控件和功能。Azure操作安全性建立在一個框架上，該框架融合了通過Microsoft獨有的功能獲得的知識，包括安全開發生命周期(SDL)、Microsoft安全響應中心計劃以及對網絡安全威脅形態的深刻認識。

管理和監視用戶密碼

下表列出了與管理用戶密碼相關的一些最佳做法：

最佳做法：確保你在云中具有適當級別的密碼保護。

詳細信息：按照Microsoft密碼指南中的指南進行操作，該指南的適用范圍是Microsoft標識平臺（Azure Active Directory、Active Directory和Microsoft帳戶）的用戶。

最佳做法：監視與用戶帳戶相關的可疑操作。

詳細信息：使用Azure AD安全報告監視具有風險的用戶和有風險的登錄。

最佳做法：自動檢測和修正高風險密碼。

詳細信息：Azure AD Identity Protection是Azure AD Premium P2版本的一項功能，它使你能夠：

檢測影響組織標識的潛在漏洞

配置自動響應，可檢測與組織標識相關的可以操作

調查可疑事件，并采取適當的措施進行解決

接收來自Microsoft的事件通知

確保你的安全運營團隊接收來自Microsoft的Azure事件通知。事件通知讓你的安全團隊知道你已經破壞了某個Azure資源，目的是讓他們可以快速響應并修正潛在的安全風險。

在Azure注冊門戶中，你可以確保管理員聯系信息包含用來進行安全操作通知的詳細信息。聯系人詳細信息為電子郵件地址和電話號碼。

將Azure訂閱組織到管理組中

如果你的組織有多個訂閱，則可能需要一種方法來高效地管理這些訂閱的訪問權限、策略和符合性。Azure管理組提供了高于訂閱的范圍級別。可將訂閱組織到名為“管理組”的容器中，并將治理條件應用到管理組。管理組中的所有訂閱都將自動繼承應用于管理組的條件。

可以在目錄中構建管理組和訂閱的靈活結構。為每個目錄指定了一個稱為根管理組的頂級管理組。此根管理組內置在層次結構中，包含其所有下級管理組和訂閱。該根管理組允許在目錄級別應用全局策略和Azure角色分配。

下面是管理組使用方面的一些最佳做法：

最佳做法：確保在添加新訂閱時，它們會應用治理元素，例如策略和權限。

詳細信息：使用根管理組分配適用于所有Azure資產的企業范圍的安全元素。策略和權限是元素的示例。

最佳做法：將頂級管理組與分段策略匹配，以便在每個段中實現控制和策略一致性。

詳細信息：在根管理組下為每個段創建一個管理組。請勿在根下創建其他任何管理組。

最佳做法：限制管理組深度，以避免出現影響操作和安全性的混亂。

詳細信息：將層次結構限制為三個級別（包括根在內）。

最佳做法：使用根管理組，仔細選擇要應用于整個企業的項。

詳細信息：確保根管理組元素清楚地需要跨每個資源應用，并且不會對其造成影響。

典型的候選項包括：

具有明確業務影響的法規要求（例如，與數據主權相關的限制）

具有接近零的潛在負面影響操作的要求，例如已認真查看的具有審核效果或Azure RBAC權限分配的策略

最佳做法：在將根管理組應用于企業范圍內的所有更改之前，將這些更改應用(策略、Azure RBAC模型等)。

詳細信息：根管理組中的更改可能會影響Azure上的每個資源。盡管它們提供了一種強大的方法來確保整個企業中的一致性，但錯誤或不正確的使用可能會對生產操作產生負面影響。請在測試實驗室或生產試點中測試對根管理組的所有更改。

利用藍圖簡化環境創建

Azure藍圖服務使云架構師和中心信息技術小組能夠定義可實現并符合組織標準、模式和要求的一組可重復的azure資源。使用Azure藍圖，開發團隊可以快速生成新的環境并將其放在新的環境中，并提供一套內置組件，并確保他們在組織符合性中創建這些環境。

監視存儲服務的意外行為更改

診斷和排查在云環境中托管的分布式應用程序中的問題可能會比在傳統環境中更復雜。應用程序可以部署在PaaS或IaaS基礎結構、本地、移動設備，或這些環境的某種組合中。應用程序的網絡流量可能會遍歷公用和專用網絡，你的應用程序可能使用多種存儲技術。

應持續監視應用程序使用的存儲服務是否存在任何意外行為更改（如響應時間變長）。若要收集更詳細的數據和深度分析問題，請使用日志記錄。從監視和日志記錄獲取的診斷信息將有助于確定應用程序所遇到問題的根本原因。然后，可以排查該問題，并確定修正問題的相應步驟。

Azure存儲分析執行日志記錄并為Azure存儲帳戶提供指標數據。建議使用此數據跟蹤請求、分析使用情況趨勢以及診斷存儲帳戶的問題。

防范、檢測和應對威脅

Azure安全中心增強了對Azure資源安全的可見性和可控性，可幫助你預防、檢測和響應威脅。它提供對Azure訂閱的集成安全監視和策略管理，幫助檢測可能被忽略的威脅，且適用于各種安全解決方案。

安全中心的免費層僅為Azure資源提供有限的安全性。標準層將這些功能擴展到本地和其他云中。借助安全中心標準層，可以查找和修復安全漏洞、應用訪問控制和應用程序控制來阻止惡意活動、使用分析和智能功能檢測威脅，以及在受到攻擊時迅速做出響應。可以嘗試安全中心標準版，頭60天免費。建議將Azure訂閱升級到安全中心標準層。

使用安全中心，可以通過一個集中化視圖查看所有Azure資源的安全狀態。一眼就可驗證適當的安全控件是否配置到位且配置正確，還可快速確認任何需要注意的資源。

安全中心還集成了Microsoft Defender高級威脅防護(ATP)，后者提供了完善的終結點檢測和響應(EDR)功能。使用Microsoft Defender ATP集成可以查明異常。你還可以檢測和響應安全中心所監視的服務器終結點上出現的高級攻擊。

幾乎所有的企業組織都有一個安全信息和事件管理(SIEM)系統，它可以整合來自不同信號收集設備的日志信息，因此可以識別新出現的威脅。然后，數據分析系統會分析日志，以幫助確定所有日志收集和分析解決方案中不可避免的噪音的有趣。

Azure Sentinel是一種可縮放的云本機、安全信息和事件管理(SIEM)和安全業務流程自動響應(之忠誠度)解決方案。Azure Sentinel通過警報檢測、威脅可見性、主動搜尋和自動威脅響應提供智能安全分析和威脅智能。

下面是一些用于預防、檢測和響應威脅的最佳做法：

最佳做法：使用基于云的SIEM提高SIEM解決方案的速度和可伸縮性。

詳細信息：調查Azure Sentinel的特性和功能，并將其與你當前在本地使用的功能進行比較。如果符合組織的SIEM要求，請考慮采用Azure Sentinel。

最佳做法：找到最嚴重的安全漏洞，以便確定調查優先級。

詳細信息：查看你的Azure安全評分，了解Azure安全中心內置的Azure策略和計劃所產生的建議。這些建議有助于解決頂級風險，例如安全更新、終結點保護、加密、安全配置、WAF缺失、VM連接到Internet等方面的風險。

基于Internet安全中心(CIS)控件的安全分數使你能夠根據外部源來基準組織的Azure安全性。外部驗證有助于驗證和豐富團隊的安全策略。

最佳做法：監視計算機、網絡、存儲和數據服務以及應用程序的安全狀況，發現潛在的安全問題并確定其優先級。

詳細信息：按照安全中心的安全建議操作，并從優先級最高的項開始。

最佳做法：將安全中心警報集成到安全信息和事件管理(SIEM)解決方案中。

詳細信息：采用SIEM的大多數組織都使用它充當一個中心交換所來處理需要分析師響應的安全警報。安全中心生成的事件經過處理后，將被發布到Azure活動日志，這是Azure Monitor提供的可用日志之一。Azure Monitor提供了一個綜合管道，可將任何監視數據路由到SIEM工具。有關說明，請參閱將警報流式傳輸到SIEM、SOAR或IT服務管理解決方案。如果使用的是Azure Sentinel，請參閱連接Azure安全中心。

最佳做法：將Azure日志與你的SIEM集成。

詳細信息：使用Azure Monitor收集和導出數據。此做法對于啟用安全事件調查至關重要，而在線日志保留期是有限的。如果使用的是Azure Sentinel，請參閱連接數據源。

最佳做法：通過將終結點檢測和響應(EDR)功能集成到攻擊調查中，加快調查和搜尋過程，并減少誤報。

詳細信息：通過安全中心安全策略為終結點集成啟用Microsoft Defender。考慮使用Azure Sentinel進行威脅搜尋和事件響應。

監視基于端到端方案的網絡監視

客戶在Azure中通過合并虛擬網絡、ExpressRoute、應用程序網關和負載均衡器等網絡資源來構建端到端網絡。監視適用于每個網絡資源。

Azure網絡觀察程序是一項區域性服務。其診斷和可視化工具可用于在網絡方案級別監視和診斷Azure內部以及傳入和傳出Azure的流量的狀態。

以下是網絡監視和可用工具的最佳做法。

最佳做法：使用數據包捕獲實現遠程網絡監視的自動化。

詳細信息：使用網絡觀察程序監視和診斷網絡問題，無需登錄VM。通過設置警報觸發數據包捕獲，并獲取數據包級別上的實時性能信息訪問權限。如果遇到問題，可進行詳細調查，獲得更精確的診斷。

最佳做法：使用流日志深入了解網絡流量。

詳細信息：使用網絡安全組流日志更深入地了解網絡流量模式。流日志中的信息可幫助收集符合性數據、審核和監視網絡安全配置文件。

最佳做法：診斷VPN連接問題。

詳細信息：使用網絡觀察程序來診斷最常見的VPN網關和連接問題。不僅可以確定問題，還可以使用詳細日志進一步調查。

使用經驗證的DevOps工具確保安全部署

使用以下DevOps最佳做法來確保企業和團隊多產且高效。

最佳做法：自動生成和部署服務。

詳細信息：基礎結構即代碼是一組技術和實踐，使IT專業人員不再需要日復一日地生成和管理模塊化基礎結構。使得IT專業人員生成和維護新式服務器環境的方式就像是軟件開發人員生成和維護應用程序代碼的方式。

Azure資源管理器允許用戶使用聲明性模板預配應用程序。在單個模板中，可以部署多個服務及其依賴項。在應用程序生命周期的每個階段，可使用相同模板重復部署應用程序。

最佳做法：自動生成并部署到Azure Web應用或云服務。

詳細信息：可以將Azure DevOps Projects配置為自動生成并部署到Azure web應用或云服務。在每次代碼簽入后，azure DevOps會自動部署二進制文件。包生成過程與Visual Studio中的Package命令等效，而發布步驟與Visual Studio中的Publish命令等效。

最佳做法：自動執行發布管理。

詳細信息：Azure Pipelines是實現多階段部署和管理發布過程自動化的解決方案。創建托管的持續部署管道，快速、輕松地頻繁發布。通過Azure Pipelines，可以使發布過程自動化，還可以擁有預定義的批準工作流。根據需要進行本地部署和部署到云、擴展和自定義。

最佳做法：在推出應用或將更新部署到生產環境之前，先檢查該應用的性能。

詳細信息：運行基于云的負載測試，以執行以下操作：

在應用中查找性能問題。

提高部署質量。

請確保應用始終可用。

確保應用可以處理下一次啟動或市場營銷活動的流量。

Apache JMeter是一個功能強大的免費開源工具，具有強大的社區支持。

最佳做法：監視應用程序性能。

詳細信息：Azure Application Insights是多個平臺上面向Web開發人員的可擴展應用程序性能管理(APM)服務。使用Application Insights來監視實時Web應用程序。它會自動檢測性能異常。其中包含分析工具來幫助診斷問題，了解用戶在應用中實際執行了哪些操作。Application Insights有助于持續提高性能與可用性。

緩解和防范DDoS

分布式拒絕服務(DDoS)是企圖耗盡應用程序資源的一種攻擊。其目的是影響應用程序的可用性和處理合法請求的能力。這些攻擊正變得越來越復雜，且規模和影響程度越來越高。它們可能會將任何可通過Internet公開訪問的終結點作為目標。

設計和構建DDoS復原能力需要規劃和設計各種故障模式。下面是用于在Azure上構建DDoS可復原服務的最佳做法。

最佳做法：確保優先考慮從設計和實施到部署和操作的整個應用程序生命周期的安全性。應用程序可能包含bug，使相對較少的請求使用過多的資源，從而導致服務中斷。

詳細信息：為幫助保護Microsoft Azure上運行的服務，應該對應用程序體系結構有充分的了解，并重點關注軟件質量的五大要素。應該清楚典型的流量大小、應用程序與其他應用程序之間的連接模型，以及向公共Internet公開的服務終結點。

至關重要的一點是，確保應用程序具有足夠的彈性，可應對針對應用程序本身的拒絕服務攻擊。從安全開發生命周期(SDL)開始，安全和隱私就已內置到Azure平臺中。SDL可以解決每個開發階段的安全性，并確保Azure不斷更新，以變得越來越安全。

最佳做法：采用可橫向縮放的應用程序設計，以滿足放大負載的需求，尤其是防范DDoS攻擊。如果應用程序依賴于服務的單個實例，則會造成單一故障點。預配多個實例能夠提高復原能力和可伸縮性。

詳細信息：對于Azure應用服務，請選擇提供多個實例的應用服務計劃。

對于Azure云服務，請將每個角色配置為使用多個實例。

對于Azure虛擬機，請確保VM體系結構包含多個VM，并且每個VM包含在可用性集中。建議使用虛擬機規模集來實現自動縮放功能。

最佳做法：應用程序中的分層安全防御可以減少攻擊成功的可能性。使用Azure平臺的內置功能對其應用程序實施安全設計。

詳細信息：攻擊風險會隨著應用程序的規模（外圍應用）的增大而增大。你可以通過使用審批列表來關閉公開的IP地址空間，并將負載平衡器上不需要的偵聽端口關閉(Azure負載平衡器和Azure應用程序網關)，從而減少外圍應用。

網絡安全組是縮小受攻擊面的另一種方法。可以使用服務標記和應用程序安全組來最大程度地簡化安全規則的創建，并將網絡安全性配置為應用程序結構的自然擴展。

應盡可能地在虛擬網絡中部署Azure服務。這種做法可讓服務資源通過專用IP地址通信。來自虛擬網絡的Azure服務流量默認使用公共IP地址作為源IP地址。

使用服務終結點時，服務流量會在通過虛擬網絡訪問Azure服務時改用虛擬網絡專用地址作為源IP地址。

我們經常看到，客戶本地資源會連同其在Azure中資源的一起受到攻擊。如果將本地環境連接到Azure，盡量不要在公共Internet上公開本地資源。

Azure具有兩個DDoS服務產品，提供網絡攻擊防護：

基本防護默認已集成到Azure中，不收取額外的費用。全球部署的Azure網絡的規模和容量通過始終開啟的監視和實時緩解措施，來防御公用網絡層攻擊。基本防護無需用戶配置或應用程序更改，并幫助保護所有Azure服務，包括Azure DNS等PaaS服務。

標準防護提供針對網絡攻擊的高級DDoS緩解功能。這些功能自動經過優化，可保護特定的Azure資源。在創建虛擬網絡期間，可以輕松啟用保護。也可以在創建之后啟用它，而不需要對應用程序或資源做出任何更改。

啟用Azure Policy

Azure Policy是Azure中的一項服務，用于創建、分配和管理策略。這些策略將在整個資源中強制實施規則和效果，使這些資源符合公司標準和服務級別協議。Azure Policy通過評估資源是否符合指定策略來滿足此需求。

啟用Azure策略來監視和強制實施組織的書面政策。這樣就可以集中管理混合云工作負荷中的安全策略，確保符合公司或法規安全要求。了解如何創建和管理策略以強制實施合規性。有關策略元素的概述，請參閱Azure Policy定義結構。

下面是在采用Azure Policy后要遵循的一些安全性最佳做法：

最佳做法：Azure Policy支持多種類型的效果。可以在Azure Policy定義結構中了解相關信息。拒絕效果和修正效果可能會給業務運營帶來負面影響，因此請從審核效果開始以限制策略帶來的負面影響風險。

詳細信息：以審核模式開始策略部署，然后推進到拒絕或修正。在推進到拒絕或修正之前，請測試并查看審核效果的結果。

有關詳細信息，請參閱創建和管理策略以強制實施符合性。

最佳做法：確定負責監視策略違規的角色，并確保快速執行正確的修正操作。

詳細信息：讓已分配的角色通過Azure門戶或命令行來監視符合性。

最佳做法：Azure Policy是組織的書面策略的技術表示形式。將所有Azure策略定義映射到組織策略，以減少混亂并增強一致性。

詳細信息：通過在策略定義或計劃定義說明中添加對組織策略的引用，在組織的文檔中或Azure Policy定義本身中記錄映射。

監視Azure AD風險報告

大多數安全違規出現在當攻擊者通過竊取用戶的標識來獲取環境的訪問權限時。發現標識是否遭到入侵并不容易。Azure AD使用自適應機器學習算法和試探法來檢測與用戶帳戶相關的可疑操作。每個檢測到的可疑操作都存儲在稱為風險檢測的記錄中。風險檢測記錄在Azure AD安全報表中。有關詳細信息，請參閱風險安全報表中的用戶和有風險的登錄安全報告。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。