Azure 操作安全性最佳做法,創(chuàng)建azure免費(fèi)賬戶流程-ESG跨境

Azure 操作安全性最佳做法,創(chuàng)建azure免費(fèi)賬戶流程

Azure 操作安全性最佳做法

本文提供了用于保護(hù)Azure中的數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)的一系列操作最佳做法。

最佳做法以觀點(diǎn)的共識以及Azure平臺功能和特性集為基礎(chǔ)。觀點(diǎn)和技術(shù)將隨著時間改變，本文會定期更新以反映這些更改。

定義并部署強(qiáng)大的操作安全做法

Azure操作安全性是指用戶可用于在Azure中保護(hù)其數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)的服務(wù)、控件和功能。Azure操作安全性建立在一個框架上，該框架融合了通過Microsoft獨(dú)有的功能獲得的知識，包括安全開發(fā)生命周期(SDL)、Microsoft安全響應(yīng)中心計(jì)劃以及對網(wǎng)絡(luò)安全威脅形態(tài)的深刻認(rèn)識。

管理和監(jiān)視用戶密碼

下表列出了與管理用戶密碼相關(guān)的一些最佳做法：

最佳做法：確保你在云中具有適當(dāng)級別的密碼保護(hù)。

詳細(xì)信息：按照Microsoft密碼指南中的指南進(jìn)行操作，該指南的適用范圍是Microsoft標(biāo)識平臺（Azure Active Directory、Active Directory和Microsoft帳戶）的用戶。

最佳做法：監(jiān)視與用戶帳戶相關(guān)的可疑操作。

詳細(xì)信息：使用Azure AD安全報(bào)告監(jiān)視具有風(fēng)險(xiǎn)的用戶和有風(fēng)險(xiǎn)的登錄。

最佳做法：自動檢測和修正高風(fēng)險(xiǎn)密碼。

詳細(xì)信息：Azure AD Identity Protection是Azure AD Premium P2版本的一項(xiàng)功能，它使你能夠：

檢測影響組織標(biāo)識的潛在漏洞

配置自動響應(yīng)，可檢測與組織標(biāo)識相關(guān)的可以操作

調(diào)查可疑事件，并采取適當(dāng)?shù)拇胧┻M(jìn)行解決

接收來自Microsoft的事件通知

確保你的安全運(yùn)營團(tuán)隊(duì)接收來自Microsoft的Azure事件通知。事件通知讓你的安全團(tuán)隊(duì)知道你已經(jīng)破壞了某個Azure資源，目的是讓他們可以快速響應(yīng)并修正潛在的安全風(fēng)險(xiǎn)。

在Azure注冊門戶中，你可以確保管理員聯(lián)系信息包含用來進(jìn)行安全操作通知的詳細(xì)信息。聯(lián)系人詳細(xì)信息為電子郵件地址和電話號碼。

將Azure訂閱組織到管理組中

如果你的組織有多個訂閱，則可能需要一種方法來高效地管理這些訂閱的訪問權(quán)限、策略和符合性。Azure管理組提供了高于訂閱的范圍級別?？蓪⒂嗛喗M織到名為“管理組”的容器中，并將治理?xiàng)l件應(yīng)用到管理組。管理組中的所有訂閱都將自動繼承應(yīng)用于管理組的條件。

可以在目錄中構(gòu)建管理組和訂閱的靈活結(jié)構(gòu)。為每個目錄指定了一個稱為根管理組的頂級管理組。此根管理組內(nèi)置在層次結(jié)構(gòu)中，包含其所有下級管理組和訂閱。該根管理組允許在目錄級別應(yīng)用全局策略和Azure角色分配。

下面是管理組使用方面的一些最佳做法：

最佳做法：確保在添加新訂閱時，它們會應(yīng)用治理元素，例如策略和權(quán)限。

詳細(xì)信息：使用根管理組分配適用于所有Azure資產(chǎn)的企業(yè)范圍的安全元素。策略和權(quán)限是元素的示例。

最佳做法：將頂級管理組與分段策略匹配，以便在每個段中實(shí)現(xiàn)控制和策略一致性。

詳細(xì)信息：在根管理組下為每個段創(chuàng)建一個管理組。請勿在根下創(chuàng)建其他任何管理組。

最佳做法：限制管理組深度，以避免出現(xiàn)影響操作和安全性的混亂。

詳細(xì)信息：將層次結(jié)構(gòu)限制為三個級別（包括根在內(nèi)）。

最佳做法：使用根管理組，仔細(xì)選擇要應(yīng)用于整個企業(yè)的項(xiàng)。

詳細(xì)信息：確保根管理組元素清楚地需要跨每個資源應(yīng)用，并且不會對其造成影響。

典型的候選項(xiàng)包括：

具有明確業(yè)務(wù)影響的法規(guī)要求（例如，與數(shù)據(jù)主權(quán)相關(guān)的限制）

具有接近零的潛在負(fù)面影響操作的要求，例如已認(rèn)真查看的具有審核效果或Azure RBAC權(quán)限分配的策略

最佳做法：在將根管理組應(yīng)用于企業(yè)范圍內(nèi)的所有更改之前，將這些更改應(yīng)用(策略、Azure RBAC模型等)。

詳細(xì)信息：根管理組中的更改可能會影響Azure上的每個資源。盡管它們提供了一種強(qiáng)大的方法來確保整個企業(yè)中的一致性，但錯誤或不正確的使用可能會對生產(chǎn)操作產(chǎn)生負(fù)面影響。請?jiān)跍y試實(shí)驗(yàn)室或生產(chǎn)試點(diǎn)中測試對根管理組的所有更改。

利用藍(lán)圖簡化環(huán)境創(chuàng)建

Azure藍(lán)圖服務(wù)使云架構(gòu)師和中心信息技術(shù)小組能夠定義可實(shí)現(xiàn)并符合組織標(biāo)準(zhǔn)、模式和要求的一組可重復(fù)的azure資源。使用Azure藍(lán)圖，開發(fā)團(tuán)隊(duì)可以快速生成新的環(huán)境并將其放在新的環(huán)境中，并提供一套內(nèi)置組件，并確保他們在組織符合性中創(chuàng)建這些環(huán)境。

監(jiān)視存儲服務(wù)的意外行為更改

診斷和排查在云環(huán)境中托管的分布式應(yīng)用程序中的問題可能會比在傳統(tǒng)環(huán)境中更復(fù)雜。應(yīng)用程序可以部署在PaaS或IaaS基礎(chǔ)結(jié)構(gòu)、本地、移動設(shè)備，或這些環(huán)境的某種組合中。應(yīng)用程序的網(wǎng)絡(luò)流量可能會遍歷公用和專用網(wǎng)絡(luò)，你的應(yīng)用程序可能使用多種存儲技術(shù)。

應(yīng)持續(xù)監(jiān)視應(yīng)用程序使用的存儲服務(wù)是否存在任何意外行為更改（如響應(yīng)時間變長）。若要收集更詳細(xì)的數(shù)據(jù)和深度分析問題，請使用日志記錄。從監(jiān)視和日志記錄獲取的診斷信息將有助于確定應(yīng)用程序所遇到問題的根本原因。然后，可以排查該問題，并確定修正問題的相應(yīng)步驟。

Azure存儲分析執(zhí)行日志記錄并為Azure存儲帳戶提供指標(biāo)數(shù)據(jù)。建議使用此數(shù)據(jù)跟蹤請求、分析使用情況趨勢以及診斷存儲帳戶的問題。

防范、檢測和應(yīng)對威脅

Azure安全中心增強(qiáng)了對Azure資源安全的可見性和可控性，可幫助你預(yù)防、檢測和響應(yīng)威脅。它提供對Azure訂閱的集成安全監(jiān)視和策略管理，幫助檢測可能被忽略的威脅，且適用于各種安全解決方案。

安全中心的免費(fèi)層僅為Azure資源提供有限的安全性。標(biāo)準(zhǔn)層將這些功能擴(kuò)展到本地和其他云中。借助安全中心標(biāo)準(zhǔn)層，可以查找和修復(fù)安全漏洞、應(yīng)用訪問控制和應(yīng)用程序控制來阻止惡意活動、使用分析和智能功能檢測威脅，以及在受到攻擊時迅速做出響應(yīng)。可以嘗試安全中心標(biāo)準(zhǔn)版，頭60天免費(fèi)。建議將Azure訂閱升級到安全中心標(biāo)準(zhǔn)層。

使用安全中心，可以通過一個集中化視圖查看所有Azure資源的安全狀態(tài)。一眼就可驗(yàn)證適當(dāng)?shù)陌踩丶欠衽渲玫轿磺遗渲谜_，還可快速確認(rèn)任何需要注意的資源。

安全中心還集成了Microsoft Defender高級威脅防護(hù)(ATP)，后者提供了完善的終結(jié)點(diǎn)檢測和響應(yīng)(EDR)功能。使用Microsoft Defender ATP集成可以查明異常。你還可以檢測和響應(yīng)安全中心所監(jiān)視的服務(wù)器終結(jié)點(diǎn)上出現(xiàn)的高級攻擊。

幾乎所有的企業(yè)組織都有一個安全信息和事件管理(SIEM)系統(tǒng)，它可以整合來自不同信號收集設(shè)備的日志信息，因此可以識別新出現(xiàn)的威脅。然后，數(shù)據(jù)分析系統(tǒng)會分析日志，以幫助確定所有日志收集和分析解決方案中不可避免的噪音的有趣。

Azure Sentinel是一種可縮放的云本機(jī)、安全信息和事件管理(SIEM)和安全業(yè)務(wù)流程自動響應(yīng)(之忠誠度)解決方案。Azure Sentinel通過警報(bào)檢測、威脅可見性、主動搜尋和自動威脅響應(yīng)提供智能安全分析和威脅智能。

下面是一些用于預(yù)防、檢測和響應(yīng)威脅的最佳做法：

最佳做法：使用基于云的SIEM提高SIEM解決方案的速度和可伸縮性。

詳細(xì)信息：調(diào)查Azure Sentinel的特性和功能，并將其與你當(dāng)前在本地使用的功能進(jìn)行比較。如果符合組織的SIEM要求，請考慮采用Azure Sentinel。

最佳做法：找到最嚴(yán)重的安全漏洞，以便確定調(diào)查優(yōu)先級。

詳細(xì)信息：查看你的Azure安全評分，了解Azure安全中心內(nèi)置的Azure策略和計(jì)劃所產(chǎn)生的建議。這些建議有助于解決頂級風(fēng)險(xiǎn)，例如安全更新、終結(jié)點(diǎn)保護(hù)、加密、安全配置、WAF缺失、VM連接到Internet等方面的風(fēng)險(xiǎn)。

基于Internet安全中心(CIS)控件的安全分?jǐn)?shù)使你能夠根據(jù)外部源來基準(zhǔn)組織的Azure安全性。外部驗(yàn)證有助于驗(yàn)證和豐富團(tuán)隊(duì)的安全策略。

最佳做法：監(jiān)視計(jì)算機(jī)、網(wǎng)絡(luò)、存儲和數(shù)據(jù)服務(wù)以及應(yīng)用程序的安全狀況，發(fā)現(xiàn)潛在的安全問題并確定其優(yōu)先級。

詳細(xì)信息：按照安全中心的安全建議操作，并從優(yōu)先級最高的項(xiàng)開始。

最佳做法：將安全中心警報(bào)集成到安全信息和事件管理(SIEM)解決方案中。

詳細(xì)信息：采用SIEM的大多數(shù)組織都使用它充當(dāng)一個中心交換所來處理需要分析師響應(yīng)的安全警報(bào)。安全中心生成的事件經(jīng)過處理后，將被發(fā)布到Azure活動日志，這是Azure Monitor提供的可用日志之一。Azure Monitor提供了一個綜合管道，可將任何監(jiān)視數(shù)據(jù)路由到SIEM工具。有關(guān)說明，請參閱將警報(bào)流式傳輸?shù)絊IEM、SOAR或IT服務(wù)管理解決方案。如果使用的是Azure Sentinel，請參閱連接Azure安全中心。

最佳做法：將Azure日志與你的SIEM集成。

詳細(xì)信息：使用Azure Monitor收集和導(dǎo)出數(shù)據(jù)。此做法對于啟用安全事件調(diào)查至關(guān)重要，而在線日志保留期是有限的。如果使用的是Azure Sentinel，請參閱連接數(shù)據(jù)源。

最佳做法：通過將終結(jié)點(diǎn)檢測和響應(yīng)(EDR)功能集成到攻擊調(diào)查中，加快調(diào)查和搜尋過程，并減少誤報(bào)。

詳細(xì)信息：通過安全中心安全策略為終結(jié)點(diǎn)集成啟用Microsoft Defender?？紤]使用Azure Sentinel進(jìn)行威脅搜尋和事件響應(yīng)。

監(jiān)視基于端到端方案的網(wǎng)絡(luò)監(jiān)視

客戶在Azure中通過合并虛擬網(wǎng)絡(luò)、ExpressRoute、應(yīng)用程序網(wǎng)關(guān)和負(fù)載均衡器等網(wǎng)絡(luò)資源來構(gòu)建端到端網(wǎng)絡(luò)。監(jiān)視適用于每個網(wǎng)絡(luò)資源。

Azure網(wǎng)絡(luò)觀察程序是一項(xiàng)區(qū)域性服務(wù)。其診斷和可視化工具可用于在網(wǎng)絡(luò)方案級別監(jiān)視和診斷Azure內(nèi)部以及傳入和傳出Azure的流量的狀態(tài)。

以下是網(wǎng)絡(luò)監(jiān)視和可用工具的最佳做法。

最佳做法：使用數(shù)據(jù)包捕獲實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的自動化。

詳細(xì)信息：使用網(wǎng)絡(luò)觀察程序監(jiān)視和診斷網(wǎng)絡(luò)問題，無需登錄VM。通過設(shè)置警報(bào)觸發(fā)數(shù)據(jù)包捕獲，并獲取數(shù)據(jù)包級別上的實(shí)時性能信息訪問權(quán)限。如果遇到問題，可進(jìn)行詳細(xì)調(diào)查，獲得更精確的診斷。

最佳做法：使用流日志深入了解網(wǎng)絡(luò)流量。

詳細(xì)信息：使用網(wǎng)絡(luò)安全組流日志更深入地了解網(wǎng)絡(luò)流量模式。流日志中的信息可幫助收集符合性數(shù)據(jù)、審核和監(jiān)視網(wǎng)絡(luò)安全配置文件。

最佳做法：診斷VPN連接問題。

詳細(xì)信息：使用網(wǎng)絡(luò)觀察程序來診斷最常見的VPN網(wǎng)關(guān)和連接問題。不僅可以確定問題，還可以使用詳細(xì)日志進(jìn)一步調(diào)查。

使用經(jīng)驗(yàn)證的DevOps工具確保安全部署

使用以下DevOps最佳做法來確保企業(yè)和團(tuán)隊(duì)多產(chǎn)且高效。

最佳做法：自動生成和部署服務(wù)。

詳細(xì)信息：基礎(chǔ)結(jié)構(gòu)即代碼是一組技術(shù)和實(shí)踐，使IT專業(yè)人員不再需要日復(fù)一日地生成和管理模塊化基礎(chǔ)結(jié)構(gòu)。使得IT專業(yè)人員生成和維護(hù)新式服務(wù)器環(huán)境的方式就像是軟件開發(fā)人員生成和維護(hù)應(yīng)用程序代碼的方式。

Azure資源管理器允許用戶使用聲明性模板預(yù)配應(yīng)用程序。在單個模板中，可以部署多個服務(wù)及其依賴項(xiàng)。在應(yīng)用程序生命周期的每個階段，可使用相同模板重復(fù)部署應(yīng)用程序。

最佳做法：自動生成并部署到Azure Web應(yīng)用或云服務(wù)。

詳細(xì)信息：可以將Azure DevOps Projects配置為自動生成并部署到Azure web應(yīng)用或云服務(wù)。在每次代碼簽入后，azure DevOps會自動部署二進(jìn)制文件。包生成過程與Visual Studio中的Package命令等效，而發(fā)布步驟與Visual Studio中的Publish命令等效。

最佳做法：自動執(zhí)行發(fā)布管理。

詳細(xì)信息：Azure Pipelines是實(shí)現(xiàn)多階段部署和管理發(fā)布過程自動化的解決方案。創(chuàng)建托管的持續(xù)部署管道，快速、輕松地頻繁發(fā)布。通過Azure Pipelines，可以使發(fā)布過程自動化，還可以擁有預(yù)定義的批準(zhǔn)工作流。根據(jù)需要進(jìn)行本地部署和部署到云、擴(kuò)展和自定義。

最佳做法：在推出應(yīng)用或?qū)⒏虏渴鸬缴a(chǎn)環(huán)境之前，先檢查該應(yīng)用的性能。

詳細(xì)信息：運(yùn)行基于云的負(fù)載測試，以執(zhí)行以下操作：

在應(yīng)用中查找性能問題。

提高部署質(zhì)量。

請確保應(yīng)用始終可用。

確保應(yīng)用可以處理下一次啟動或市場營銷活動的流量。

Apache JMeter是一個功能強(qiáng)大的免費(fèi)開源工具，具有強(qiáng)大的社區(qū)支持。

最佳做法：監(jiān)視應(yīng)用程序性能。

詳細(xì)信息：Azure Application Insights是多個平臺上面向Web開發(fā)人員的可擴(kuò)展應(yīng)用程序性能管理(APM)服務(wù)。使用Application Insights來監(jiān)視實(shí)時Web應(yīng)用程序。它會自動檢測性能異常。其中包含分析工具來幫助診斷問題，了解用戶在應(yīng)用中實(shí)際執(zhí)行了哪些操作。Application Insights有助于持續(xù)提高性能與可用性。

緩解和防范DDoS

分布式拒絕服務(wù)(DDoS)是企圖耗盡應(yīng)用程序資源的一種攻擊。其目的是影響應(yīng)用程序的可用性和處理合法請求的能力。這些攻擊正變得越來越復(fù)雜，且規(guī)模和影響程度越來越高。它們可能會將任何可通過Internet公開訪問的終結(jié)點(diǎn)作為目標(biāo)。

設(shè)計(jì)和構(gòu)建DDoS復(fù)原能力需要規(guī)劃和設(shè)計(jì)各種故障模式。下面是用于在Azure上構(gòu)建DDoS可復(fù)原服務(wù)的最佳做法。

最佳做法：確保優(yōu)先考慮從設(shè)計(jì)和實(shí)施到部署和操作的整個應(yīng)用程序生命周期的安全性。應(yīng)用程序可能包含bug，使相對較少的請求使用過多的資源，從而導(dǎo)致服務(wù)中斷。

詳細(xì)信息：為幫助保護(hù)Microsoft Azure上運(yùn)行的服務(wù)，應(yīng)該對應(yīng)用程序體系結(jié)構(gòu)有充分的了解，并重點(diǎn)關(guān)注軟件質(zhì)量的五大要素。應(yīng)該清楚典型的流量大小、應(yīng)用程序與其他應(yīng)用程序之間的連接模型，以及向公共Internet公開的服務(wù)終結(jié)點(diǎn)。

至關(guān)重要的一點(diǎn)是，確保應(yīng)用程序具有足夠的彈性，可應(yīng)對針對應(yīng)用程序本身的拒絕服務(wù)攻擊。從安全開發(fā)生命周期(SDL)開始，安全和隱私就已內(nèi)置到Azure平臺中。SDL可以解決每個開發(fā)階段的安全性，并確保Azure不斷更新，以變得越來越安全。

最佳做法：采用可橫向縮放的應(yīng)用程序設(shè)計(jì)，以滿足放大負(fù)載的需求，尤其是防范DDoS攻擊。如果應(yīng)用程序依賴于服務(wù)的單個實(shí)例，則會造成單一故障點(diǎn)。預(yù)配多個實(shí)例能夠提高復(fù)原能力和可伸縮性。

詳細(xì)信息：對于Azure應(yīng)用服務(wù)，請選擇提供多個實(shí)例的應(yīng)用服務(wù)計(jì)劃。

對于Azure云服務(wù)，請將每個角色配置為使用多個實(shí)例。

對于Azure虛擬機(jī)，請確保VM體系結(jié)構(gòu)包含多個VM，并且每個VM包含在可用性集中。建議使用虛擬機(jī)規(guī)模集來實(shí)現(xiàn)自動縮放功能。

最佳做法：應(yīng)用程序中的分層安全防御可以減少攻擊成功的可能性。使用Azure平臺的內(nèi)置功能對其應(yīng)用程序?qū)嵤┌踩O(shè)計(jì)。

詳細(xì)信息：攻擊風(fēng)險(xiǎn)會隨著應(yīng)用程序的規(guī)模（外圍應(yīng)用）的增大而增大。你可以通過使用審批列表來關(guān)閉公開的IP地址空間，并將負(fù)載平衡器上不需要的偵聽端口關(guān)閉(Azure負(fù)載平衡器和Azure應(yīng)用程序網(wǎng)關(guān))，從而減少外圍應(yīng)用。

網(wǎng)絡(luò)安全組是縮小受攻擊面的另一種方法?？梢允褂梅?wù)標(biāo)記和應(yīng)用程序安全組來最大程度地簡化安全規(guī)則的創(chuàng)建，并將網(wǎng)絡(luò)安全性配置為應(yīng)用程序結(jié)構(gòu)的自然擴(kuò)展。

應(yīng)盡可能地在虛擬網(wǎng)絡(luò)中部署Azure服務(wù)。這種做法可讓服務(wù)資源通過專用IP地址通信。來自虛擬網(wǎng)絡(luò)的Azure服務(wù)流量默認(rèn)使用公共IP地址作為源IP地址。

使用服務(wù)終結(jié)點(diǎn)時，服務(wù)流量會在通過虛擬網(wǎng)絡(luò)訪問Azure服務(wù)時改用虛擬網(wǎng)絡(luò)專用地址作為源IP地址。

我們經(jīng)?？吹?，客戶本地資源會連同其在Azure中資源的一起受到攻擊。如果將本地環(huán)境連接到Azure，盡量不要在公共Internet上公開本地資源。

Azure具有兩個DDoS服務(wù)產(chǎn)品，提供網(wǎng)絡(luò)攻擊防護(hù)：

基本防護(hù)默認(rèn)已集成到Azure中，不收取額外的費(fèi)用。全球部署的Azure網(wǎng)絡(luò)的規(guī)模和容量通過始終開啟的監(jiān)視和實(shí)時緩解措施，來防御公用網(wǎng)絡(luò)層攻擊?；痉雷o(hù)無需用戶配置或應(yīng)用程序更改，并幫助保護(hù)所有Azure服務(wù)，包括Azure DNS等PaaS服務(wù)。

標(biāo)準(zhǔn)防護(hù)提供針對網(wǎng)絡(luò)攻擊的高級DDoS緩解功能。這些功能自動經(jīng)過優(yōu)化，可保護(hù)特定的Azure資源。在創(chuàng)建虛擬網(wǎng)絡(luò)期間，可以輕松啟用保護(hù)。也可以在創(chuàng)建之后啟用它，而不需要對應(yīng)用程序或資源做出任何更改。

啟用Azure Policy

Azure Policy是Azure中的一項(xiàng)服務(wù)，用于創(chuàng)建、分配和管理策略。這些策略將在整個資源中強(qiáng)制實(shí)施規(guī)則和效果，使這些資源符合公司標(biāo)準(zhǔn)和服務(wù)級別協(xié)議。Azure Policy通過評估資源是否符合指定策略來滿足此需求。

啟用Azure策略來監(jiān)視和強(qiáng)制實(shí)施組織的書面政策。這樣就可以集中管理混合云工作負(fù)荷中的安全策略，確保符合公司或法規(guī)安全要求。了解如何創(chuàng)建和管理策略以強(qiáng)制實(shí)施合規(guī)性。有關(guān)策略元素的概述，請參閱Azure Policy定義結(jié)構(gòu)。

下面是在采用Azure Policy后要遵循的一些安全性最佳做法：

最佳做法：Azure Policy支持多種類型的效果?？梢栽贏zure Policy定義結(jié)構(gòu)中了解相關(guān)信息。拒絕效果和修正效果可能會給業(yè)務(wù)運(yùn)營帶來負(fù)面影響，因此請從審核效果開始以限制策略帶來的負(fù)面影響風(fēng)險(xiǎn)。

詳細(xì)信息：以審核模式開始策略部署，然后推進(jìn)到拒絕或修正。在推進(jìn)到拒絕或修正之前，請測試并查看審核效果的結(jié)果。

有關(guān)詳細(xì)信息，請參閱創(chuàng)建和管理策略以強(qiáng)制實(shí)施符合性。

最佳做法：確定負(fù)責(zé)監(jiān)視策略違規(guī)的角色，并確?？焖賵?zhí)行正確的修正操作。

詳細(xì)信息：讓已分配的角色通過Azure門戶或命令行來監(jiān)視符合性。

最佳做法：Azure Policy是組織的書面策略的技術(shù)表示形式。將所有Azure策略定義映射到組織策略，以減少混亂并增強(qiáng)一致性。

詳細(xì)信息：通過在策略定義或計(jì)劃定義說明中添加對組織策略的引用，在組織的文檔中或Azure Policy定義本身中記錄映射。

監(jiān)視Azure AD風(fēng)險(xiǎn)報(bào)告

大多數(shù)安全違規(guī)出現(xiàn)在當(dāng)攻擊者通過竊取用戶的標(biāo)識來獲取環(huán)境的訪問權(quán)限時。發(fā)現(xiàn)標(biāo)識是否遭到入侵并不容易。Azure AD使用自適應(yīng)機(jī)器學(xué)習(xí)算法和試探法來檢測與用戶帳戶相關(guān)的可疑操作。每個檢測到的可疑操作都存儲在稱為風(fēng)險(xiǎn)檢測的記錄中。風(fēng)險(xiǎn)檢測記錄在Azure AD安全報(bào)表中。有關(guān)詳細(xì)信息，請參閱風(fēng)險(xiǎn)安全報(bào)表中的用戶和有風(fēng)險(xiǎn)的登錄安全報(bào)告。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。