Azure 操作安全性最佳做法,創(chuàng)建azure免費(fèi)賬戶流程-ESG跨境

Azure 操作安全性最佳做法,創(chuàng)建azure免費(fèi)賬戶流程

Azure 操作安全性最佳做法

本文提供了用于保護(hù)Azure中的數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)的一系列操作最佳做法。

最佳做法以觀點(diǎn)的共識(shí)以及Azure平臺(tái)功能和特性集為基礎(chǔ)。觀點(diǎn)和技術(shù)將隨著時(shí)間改變，本文會(huì)定期更新以反映這些更改。

定義并部署強(qiáng)大的操作安全做法

Azure操作安全性是指用戶可用于在Azure中保護(hù)其數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)的服務(wù)、控件和功能。Azure操作安全性建立在一個(gè)框架上，該框架融合了通過(guò)Microsoft獨(dú)有的功能獲得的知識(shí)，包括安全開(kāi)發(fā)生命周期(SDL)、Microsoft安全響應(yīng)中心計(jì)劃以及對(duì)網(wǎng)絡(luò)安全威脅形態(tài)的深刻認(rèn)識(shí)。

管理和監(jiān)視用戶密碼

下表列出了與管理用戶密碼相關(guān)的一些最佳做法：

最佳做法：確保你在云中具有適當(dāng)級(jí)別的密碼保護(hù)。

詳細(xì)信息：按照Microsoft密碼指南中的指南進(jìn)行操作，該指南的適用范圍是Microsoft標(biāo)識(shí)平臺(tái)（Azure Active Directory、Active Directory和Microsoft帳戶）的用戶。

最佳做法：監(jiān)視與用戶帳戶相關(guān)的可疑操作。

詳細(xì)信息：使用Azure AD安全報(bào)告監(jiān)視具有風(fēng)險(xiǎn)的用戶和有風(fēng)險(xiǎn)的登錄。

最佳做法：自動(dòng)檢測(cè)和修正高風(fēng)險(xiǎn)密碼。

詳細(xì)信息：Azure AD Identity Protection是Azure AD Premium P2版本的一項(xiàng)功能，它使你能夠：

檢測(cè)影響組織標(biāo)識(shí)的潛在漏洞

配置自動(dòng)響應(yīng)，可檢測(cè)與組織標(biāo)識(shí)相關(guān)的可以操作

調(diào)查可疑事件，并采取適當(dāng)?shù)拇胧┻M(jìn)行解決

接收來(lái)自Microsoft的事件通知

確保你的安全運(yùn)營(yíng)團(tuán)隊(duì)接收來(lái)自Microsoft的Azure事件通知。事件通知讓你的安全團(tuán)隊(duì)知道你已經(jīng)破壞了某個(gè)Azure資源，目的是讓他們可以快速響應(yīng)并修正潛在的安全風(fēng)險(xiǎn)。

在Azure注冊(cè)門(mén)戶中，你可以確保管理員聯(lián)系信息包含用來(lái)進(jìn)行安全操作通知的詳細(xì)信息。聯(lián)系人詳細(xì)信息為電子郵件地址和電話號(hào)碼。

將Azure訂閱組織到管理組中

如果你的組織有多個(gè)訂閱，則可能需要一種方法來(lái)高效地管理這些訂閱的訪問(wèn)權(quán)限、策略和符合性。Azure管理組提供了高于訂閱的范圍級(jí)別?？蓪⒂嗛喗M織到名為“管理組”的容器中，并將治理?xiàng)l件應(yīng)用到管理組。管理組中的所有訂閱都將自動(dòng)繼承應(yīng)用于管理組的條件。

可以在目錄中構(gòu)建管理組和訂閱的靈活結(jié)構(gòu)。為每個(gè)目錄指定了一個(gè)稱(chēng)為根管理組的頂級(jí)管理組。此根管理組內(nèi)置在層次結(jié)構(gòu)中，包含其所有下級(jí)管理組和訂閱。該根管理組允許在目錄級(jí)別應(yīng)用全局策略和Azure角色分配。

下面是管理組使用方面的一些最佳做法：

最佳做法：確保在添加新訂閱時(shí)，它們會(huì)應(yīng)用治理元素，例如策略和權(quán)限。

詳細(xì)信息：使用根管理組分配適用于所有Azure資產(chǎn)的企業(yè)范圍的安全元素。策略和權(quán)限是元素的示例。

最佳做法：將頂級(jí)管理組與分段策略匹配，以便在每個(gè)段中實(shí)現(xiàn)控制和策略一致性。

詳細(xì)信息：在根管理組下為每個(gè)段創(chuàng)建一個(gè)管理組。請(qǐng)勿在根下創(chuàng)建其他任何管理組。

最佳做法：限制管理組深度，以避免出現(xiàn)影響操作和安全性的混亂。

詳細(xì)信息：將層次結(jié)構(gòu)限制為三個(gè)級(jí)別（包括根在內(nèi)）。

最佳做法：使用根管理組，仔細(xì)選擇要應(yīng)用于整個(gè)企業(yè)的項(xiàng)。

詳細(xì)信息：確保根管理組元素清楚地需要跨每個(gè)資源應(yīng)用，并且不會(huì)對(duì)其造成影響。

典型的候選項(xiàng)包括：

具有明確業(yè)務(wù)影響的法規(guī)要求（例如，與數(shù)據(jù)主權(quán)相關(guān)的限制）

具有接近零的潛在負(fù)面影響操作的要求，例如已認(rèn)真查看的具有審核效果或Azure RBAC權(quán)限分配的策略

最佳做法：在將根管理組應(yīng)用于企業(yè)范圍內(nèi)的所有更改之前，將這些更改應(yīng)用(策略、Azure RBAC模型等)。

詳細(xì)信息：根管理組中的更改可能會(huì)影響Azure上的每個(gè)資源。盡管它們提供了一種強(qiáng)大的方法來(lái)確保整個(gè)企業(yè)中的一致性，但錯(cuò)誤或不正確的使用可能會(huì)對(duì)生產(chǎn)操作產(chǎn)生負(fù)面影響。請(qǐng)?jiān)跍y(cè)試實(shí)驗(yàn)室或生產(chǎn)試點(diǎn)中測(cè)試對(duì)根管理組的所有更改。

利用藍(lán)圖簡(jiǎn)化環(huán)境創(chuàng)建

Azure藍(lán)圖服務(wù)使云架構(gòu)師和中心信息技術(shù)小組能夠定義可實(shí)現(xiàn)并符合組織標(biāo)準(zhǔn)、模式和要求的一組可重復(fù)的azure資源。使用Azure藍(lán)圖，開(kāi)發(fā)團(tuán)隊(duì)可以快速生成新的環(huán)境并將其放在新的環(huán)境中，并提供一套內(nèi)置組件，并確保他們?cè)诮M織符合性中創(chuàng)建這些環(huán)境。

監(jiān)視存儲(chǔ)服務(wù)的意外行為更改

診斷和排查在云環(huán)境中托管的分布式應(yīng)用程序中的問(wèn)題可能會(huì)比在傳統(tǒng)環(huán)境中更復(fù)雜。應(yīng)用程序可以部署在PaaS或IaaS基礎(chǔ)結(jié)構(gòu)、本地、移動(dòng)設(shè)備，或這些環(huán)境的某種組合中。應(yīng)用程序的網(wǎng)絡(luò)流量可能會(huì)遍歷公用和專(zhuān)用網(wǎng)絡(luò)，你的應(yīng)用程序可能使用多種存儲(chǔ)技術(shù)。

應(yīng)持續(xù)監(jiān)視應(yīng)用程序使用的存儲(chǔ)服務(wù)是否存在任何意外行為更改（如響應(yīng)時(shí)間變長(zhǎng)）。若要收集更詳細(xì)的數(shù)據(jù)和深度分析問(wèn)題，請(qǐng)使用日志記錄。從監(jiān)視和日志記錄獲取的診斷信息將有助于確定應(yīng)用程序所遇到問(wèn)題的根本原因。然后，可以排查該問(wèn)題，并確定修正問(wèn)題的相應(yīng)步驟。

Azure存儲(chǔ)分析執(zhí)行日志記錄并為Azure存儲(chǔ)帳戶提供指標(biāo)數(shù)據(jù)。建議使用此數(shù)據(jù)跟蹤請(qǐng)求、分析使用情況趨勢(shì)以及診斷存儲(chǔ)帳戶的問(wèn)題。

防范、檢測(cè)和應(yīng)對(duì)威脅

Azure安全中心增強(qiáng)了對(duì)Azure資源安全的可見(jiàn)性和可控性，可幫助你預(yù)防、檢測(cè)和響應(yīng)威脅。它提供對(duì)Azure訂閱的集成安全監(jiān)視和策略管理，幫助檢測(cè)可能被忽略的威脅，且適用于各種安全解決方案。

安全中心的免費(fèi)層僅為Azure資源提供有限的安全性。標(biāo)準(zhǔn)層將這些功能擴(kuò)展到本地和其他云中。借助安全中心標(biāo)準(zhǔn)層，可以查找和修復(fù)安全漏洞、應(yīng)用訪問(wèn)控制和應(yīng)用程序控制來(lái)阻止惡意活動(dòng)、使用分析和智能功能檢測(cè)威脅，以及在受到攻擊時(shí)迅速做出響應(yīng)。可以嘗試安全中心標(biāo)準(zhǔn)版，頭60天免費(fèi)。建議將Azure訂閱升級(jí)到安全中心標(biāo)準(zhǔn)層。

使用安全中心，可以通過(guò)一個(gè)集中化視圖查看所有Azure資源的安全狀態(tài)。一眼就可驗(yàn)證適當(dāng)?shù)陌踩丶欠衽渲玫轿磺遗渲谜_，還可快速確認(rèn)任何需要注意的資源。

安全中心還集成了Microsoft Defender高級(jí)威脅防護(hù)(ATP)，后者提供了完善的終結(jié)點(diǎn)檢測(cè)和響應(yīng)(EDR)功能。使用Microsoft Defender ATP集成可以查明異常。你還可以檢測(cè)和響應(yīng)安全中心所監(jiān)視的服務(wù)器終結(jié)點(diǎn)上出現(xiàn)的高級(jí)攻擊。

幾乎所有的企業(yè)組織都有一個(gè)安全信息和事件管理(SIEM)系統(tǒng)，它可以整合來(lái)自不同信號(hào)收集設(shè)備的日志信息，因此可以識(shí)別新出現(xiàn)的威脅。然后，數(shù)據(jù)分析系統(tǒng)會(huì)分析日志，以幫助確定所有日志收集和分析解決方案中不可避免的噪音的有趣。

Azure Sentinel是一種可縮放的云本機(jī)、安全信息和事件管理(SIEM)和安全業(yè)務(wù)流程自動(dòng)響應(yīng)(之忠誠(chéng)度)解決方案。Azure Sentinel通過(guò)警報(bào)檢測(cè)、威脅可見(jiàn)性、主動(dòng)搜尋和自動(dòng)威脅響應(yīng)提供智能安全分析和威脅智能。

下面是一些用于預(yù)防、檢測(cè)和響應(yīng)威脅的最佳做法：

最佳做法：使用基于云的SIEM提高SIEM解決方案的速度和可伸縮性。

詳細(xì)信息：調(diào)查Azure Sentinel的特性和功能，并將其與你當(dāng)前在本地使用的功能進(jìn)行比較。如果符合組織的SIEM要求，請(qǐng)考慮采用Azure Sentinel。

最佳做法：找到最嚴(yán)重的安全漏洞，以便確定調(diào)查優(yōu)先級(jí)。

詳細(xì)信息：查看你的Azure安全評(píng)分，了解Azure安全中心內(nèi)置的Azure策略和計(jì)劃所產(chǎn)生的建議。這些建議有助于解決頂級(jí)風(fēng)險(xiǎn)，例如安全更新、終結(jié)點(diǎn)保護(hù)、加密、安全配置、WAF缺失、VM連接到Internet等方面的風(fēng)險(xiǎn)。

基于Internet安全中心(CIS)控件的安全分?jǐn)?shù)使你能夠根據(jù)外部源來(lái)基準(zhǔn)組織的Azure安全性。外部驗(yàn)證有助于驗(yàn)證和豐富團(tuán)隊(duì)的安全策略。

最佳做法：監(jiān)視計(jì)算機(jī)、網(wǎng)絡(luò)、存儲(chǔ)和數(shù)據(jù)服務(wù)以及應(yīng)用程序的安全狀況，發(fā)現(xiàn)潛在的安全問(wèn)題并確定其優(yōu)先級(jí)。

詳細(xì)信息：按照安全中心的安全建議操作，并從優(yōu)先級(jí)最高的項(xiàng)開(kāi)始。

最佳做法：將安全中心警報(bào)集成到安全信息和事件管理(SIEM)解決方案中。

詳細(xì)信息：采用SIEM的大多數(shù)組織都使用它充當(dāng)一個(gè)中心交換所來(lái)處理需要分析師響應(yīng)的安全警報(bào)。安全中心生成的事件經(jīng)過(guò)處理后，將被發(fā)布到Azure活動(dòng)日志，這是Azure Monitor提供的可用日志之一。Azure Monitor提供了一個(gè)綜合管道，可將任何監(jiān)視數(shù)據(jù)路由到SIEM工具。有關(guān)說(shuō)明，請(qǐng)參閱將警報(bào)流式傳輸?shù)絊IEM、SOAR或IT服務(wù)管理解決方案。如果使用的是Azure Sentinel，請(qǐng)參閱連接Azure安全中心。

最佳做法：將Azure日志與你的SIEM集成。

詳細(xì)信息：使用Azure Monitor收集和導(dǎo)出數(shù)據(jù)。此做法對(duì)于啟用安全事件調(diào)查至關(guān)重要，而在線日志保留期是有限的。如果使用的是Azure Sentinel，請(qǐng)參閱連接數(shù)據(jù)源。

最佳做法：通過(guò)將終結(jié)點(diǎn)檢測(cè)和響應(yīng)(EDR)功能集成到攻擊調(diào)查中，加快調(diào)查和搜尋過(guò)程，并減少誤報(bào)。

詳細(xì)信息：通過(guò)安全中心安全策略為終結(jié)點(diǎn)集成啟用Microsoft Defender?？紤]使用Azure Sentinel進(jìn)行威脅搜尋和事件響應(yīng)。

監(jiān)視基于端到端方案的網(wǎng)絡(luò)監(jiān)視

客戶在Azure中通過(guò)合并虛擬網(wǎng)絡(luò)、ExpressRoute、應(yīng)用程序網(wǎng)關(guān)和負(fù)載均衡器等網(wǎng)絡(luò)資源來(lái)構(gòu)建端到端網(wǎng)絡(luò)。監(jiān)視適用于每個(gè)網(wǎng)絡(luò)資源。

Azure網(wǎng)絡(luò)觀察程序是一項(xiàng)區(qū)域性服務(wù)。其診斷和可視化工具可用于在網(wǎng)絡(luò)方案級(jí)別監(jiān)視和診斷Azure內(nèi)部以及傳入和傳出Azure的流量的狀態(tài)。

以下是網(wǎng)絡(luò)監(jiān)視和可用工具的最佳做法。

最佳做法：使用數(shù)據(jù)包捕獲實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的自動(dòng)化。

詳細(xì)信息：使用網(wǎng)絡(luò)觀察程序監(jiān)視和診斷網(wǎng)絡(luò)問(wèn)題，無(wú)需登錄VM。通過(guò)設(shè)置警報(bào)觸發(fā)數(shù)據(jù)包捕獲，并獲取數(shù)據(jù)包級(jí)別上的實(shí)時(shí)性能信息訪問(wèn)權(quán)限。如果遇到問(wèn)題，可進(jìn)行詳細(xì)調(diào)查，獲得更精確的診斷。

最佳做法：使用流日志深入了解網(wǎng)絡(luò)流量。

詳細(xì)信息：使用網(wǎng)絡(luò)安全組流日志更深入地了解網(wǎng)絡(luò)流量模式。流日志中的信息可幫助收集符合性數(shù)據(jù)、審核和監(jiān)視網(wǎng)絡(luò)安全配置文件。

最佳做法：診斷VPN連接問(wèn)題。

詳細(xì)信息：使用網(wǎng)絡(luò)觀察程序來(lái)診斷最常見(jiàn)的VPN網(wǎng)關(guān)和連接問(wèn)題。不僅可以確定問(wèn)題，還可以使用詳細(xì)日志進(jìn)一步調(diào)查。

使用經(jīng)驗(yàn)證的DevOps工具確保安全部署

使用以下DevOps最佳做法來(lái)確保企業(yè)和團(tuán)隊(duì)多產(chǎn)且高效。

最佳做法：自動(dòng)生成和部署服務(wù)。

詳細(xì)信息：基礎(chǔ)結(jié)構(gòu)即代碼是一組技術(shù)和實(shí)踐，使IT專(zhuān)業(yè)人員不再需要日復(fù)一日地生成和管理模塊化基礎(chǔ)結(jié)構(gòu)。使得IT專(zhuān)業(yè)人員生成和維護(hù)新式服務(wù)器環(huán)境的方式就像是軟件開(kāi)發(fā)人員生成和維護(hù)應(yīng)用程序代碼的方式。

Azure資源管理器允許用戶使用聲明性模板預(yù)配應(yīng)用程序。在單個(gè)模板中，可以部署多個(gè)服務(wù)及其依賴(lài)項(xiàng)。在應(yīng)用程序生命周期的每個(gè)階段，可使用相同模板重復(fù)部署應(yīng)用程序。

最佳做法：自動(dòng)生成并部署到Azure Web應(yīng)用或云服務(wù)。

詳細(xì)信息：可以將Azure DevOps Projects配置為自動(dòng)生成并部署到Azure web應(yīng)用或云服務(wù)。在每次代碼簽入后，azure DevOps會(huì)自動(dòng)部署二進(jìn)制文件。包生成過(guò)程與Visual Studio中的Package命令等效，而發(fā)布步驟與Visual Studio中的Publish命令等效。

最佳做法：自動(dòng)執(zhí)行發(fā)布管理。

詳細(xì)信息：Azure Pipelines是實(shí)現(xiàn)多階段部署和管理發(fā)布過(guò)程自動(dòng)化的解決方案。創(chuàng)建托管的持續(xù)部署管道，快速、輕松地頻繁發(fā)布。通過(guò)Azure Pipelines，可以使發(fā)布過(guò)程自動(dòng)化，還可以擁有預(yù)定義的批準(zhǔn)工作流。根據(jù)需要進(jìn)行本地部署和部署到云、擴(kuò)展和自定義。

最佳做法：在推出應(yīng)用或?qū)⒏虏渴鸬缴a(chǎn)環(huán)境之前，先檢查該應(yīng)用的性能。

詳細(xì)信息：運(yùn)行基于云的負(fù)載測(cè)試，以執(zhí)行以下操作：

在應(yīng)用中查找性能問(wèn)題。

提高部署質(zhì)量。

請(qǐng)確保應(yīng)用始終可用。

確保應(yīng)用可以處理下一次啟動(dòng)或市場(chǎng)營(yíng)銷(xiāo)活動(dòng)的流量。

Apache JMeter是一個(gè)功能強(qiáng)大的免費(fèi)開(kāi)源工具，具有強(qiáng)大的社區(qū)支持。

最佳做法：監(jiān)視應(yīng)用程序性能。

詳細(xì)信息：Azure Application Insights是多個(gè)平臺(tái)上面向Web開(kāi)發(fā)人員的可擴(kuò)展應(yīng)用程序性能管理(APM)服務(wù)。使用Application Insights來(lái)監(jiān)視實(shí)時(shí)Web應(yīng)用程序。它會(huì)自動(dòng)檢測(cè)性能異常。其中包含分析工具來(lái)幫助診斷問(wèn)題，了解用戶在應(yīng)用中實(shí)際執(zhí)行了哪些操作。Application Insights有助于持續(xù)提高性能與可用性。

緩解和防范DDoS

分布式拒絕服務(wù)(DDoS)是企圖耗盡應(yīng)用程序資源的一種攻擊。其目的是影響應(yīng)用程序的可用性和處理合法請(qǐng)求的能力。這些攻擊正變得越來(lái)越復(fù)雜，且規(guī)模和影響程度越來(lái)越高。它們可能會(huì)將任何可通過(guò)Internet公開(kāi)訪問(wèn)的終結(jié)點(diǎn)作為目標(biāo)。

設(shè)計(jì)和構(gòu)建DDoS復(fù)原能力需要規(guī)劃和設(shè)計(jì)各種故障模式。下面是用于在Azure上構(gòu)建DDoS可復(fù)原服務(wù)的最佳做法。

最佳做法：確保優(yōu)先考慮從設(shè)計(jì)和實(shí)施到部署和操作的整個(gè)應(yīng)用程序生命周期的安全性。應(yīng)用程序可能包含bug，使相對(duì)較少的請(qǐng)求使用過(guò)多的資源，從而導(dǎo)致服務(wù)中斷。

詳細(xì)信息：為幫助保護(hù)Microsoft Azure上運(yùn)行的服務(wù)，應(yīng)該對(duì)應(yīng)用程序體系結(jié)構(gòu)有充分的了解，并重點(diǎn)關(guān)注軟件質(zhì)量的五大要素。應(yīng)該清楚典型的流量大小、應(yīng)用程序與其他應(yīng)用程序之間的連接模型，以及向公共Internet公開(kāi)的服務(wù)終結(jié)點(diǎn)。

至關(guān)重要的一點(diǎn)是，確保應(yīng)用程序具有足夠的彈性，可應(yīng)對(duì)針對(duì)應(yīng)用程序本身的拒絕服務(wù)攻擊。從安全開(kāi)發(fā)生命周期(SDL)開(kāi)始，安全和隱私就已內(nèi)置到Azure平臺(tái)中。SDL可以解決每個(gè)開(kāi)發(fā)階段的安全性，并確保Azure不斷更新，以變得越來(lái)越安全。

最佳做法：采用可橫向縮放的應(yīng)用程序設(shè)計(jì)，以滿足放大負(fù)載的需求，尤其是防范DDoS攻擊。如果應(yīng)用程序依賴(lài)于服務(wù)的單個(gè)實(shí)例，則會(huì)造成單一故障點(diǎn)。預(yù)配多個(gè)實(shí)例能夠提高復(fù)原能力和可伸縮性。

詳細(xì)信息：對(duì)于Azure應(yīng)用服務(wù)，請(qǐng)選擇提供多個(gè)實(shí)例的應(yīng)用服務(wù)計(jì)劃。

對(duì)于Azure云服務(wù)，請(qǐng)將每個(gè)角色配置為使用多個(gè)實(shí)例。

對(duì)于Azure虛擬機(jī)，請(qǐng)確保VM體系結(jié)構(gòu)包含多個(gè)VM，并且每個(gè)VM包含在可用性集中。建議使用虛擬機(jī)規(guī)模集來(lái)實(shí)現(xiàn)自動(dòng)縮放功能。

最佳做法：應(yīng)用程序中的分層安全防御可以減少攻擊成功的可能性。使用Azure平臺(tái)的內(nèi)置功能對(duì)其應(yīng)用程序?qū)嵤┌踩O(shè)計(jì)。

詳細(xì)信息：攻擊風(fēng)險(xiǎn)會(huì)隨著應(yīng)用程序的規(guī)模（外圍應(yīng)用）的增大而增大。你可以通過(guò)使用審批列表來(lái)關(guān)閉公開(kāi)的IP地址空間，并將負(fù)載平衡器上不需要的偵聽(tīng)端口關(guān)閉(Azure負(fù)載平衡器和Azure應(yīng)用程序網(wǎng)關(guān))，從而減少外圍應(yīng)用。

網(wǎng)絡(luò)安全組是縮小受攻擊面的另一種方法?？梢允褂梅?wù)標(biāo)記和應(yīng)用程序安全組來(lái)最大程度地簡(jiǎn)化安全規(guī)則的創(chuàng)建，并將網(wǎng)絡(luò)安全性配置為應(yīng)用程序結(jié)構(gòu)的自然擴(kuò)展。

應(yīng)盡可能地在虛擬網(wǎng)絡(luò)中部署Azure服務(wù)。這種做法可讓服務(wù)資源通過(guò)專(zhuān)用IP地址通信。來(lái)自虛擬網(wǎng)絡(luò)的Azure服務(wù)流量默認(rèn)使用公共IP地址作為源IP地址。

使用服務(wù)終結(jié)點(diǎn)時(shí)，服務(wù)流量會(huì)在通過(guò)虛擬網(wǎng)絡(luò)訪問(wèn)Azure服務(wù)時(shí)改用虛擬網(wǎng)絡(luò)專(zhuān)用地址作為源IP地址。

我們經(jīng)?？吹?，客戶本地資源會(huì)連同其在Azure中資源的一起受到攻擊。如果將本地環(huán)境連接到Azure，盡量不要在公共Internet上公開(kāi)本地資源。

Azure具有兩個(gè)DDoS服務(wù)產(chǎn)品，提供網(wǎng)絡(luò)攻擊防護(hù)：

基本防護(hù)默認(rèn)已集成到Azure中，不收取額外的費(fèi)用。全球部署的Azure網(wǎng)絡(luò)的規(guī)模和容量通過(guò)始終開(kāi)啟的監(jiān)視和實(shí)時(shí)緩解措施，來(lái)防御公用網(wǎng)絡(luò)層攻擊?；痉雷o(hù)無(wú)需用戶配置或應(yīng)用程序更改，并幫助保護(hù)所有Azure服務(wù)，包括Azure DNS等PaaS服務(wù)。

標(biāo)準(zhǔn)防護(hù)提供針對(duì)網(wǎng)絡(luò)攻擊的高級(jí)DDoS緩解功能。這些功能自動(dòng)經(jīng)過(guò)優(yōu)化，可保護(hù)特定的Azure資源。在創(chuàng)建虛擬網(wǎng)絡(luò)期間，可以輕松啟用保護(hù)。也可以在創(chuàng)建之后啟用它，而不需要對(duì)應(yīng)用程序或資源做出任何更改。

啟用Azure Policy

Azure Policy是Azure中的一項(xiàng)服務(wù)，用于創(chuàng)建、分配和管理策略。這些策略將在整個(gè)資源中強(qiáng)制實(shí)施規(guī)則和效果，使這些資源符合公司標(biāo)準(zhǔn)和服務(wù)級(jí)別協(xié)議。Azure Policy通過(guò)評(píng)估資源是否符合指定策略來(lái)滿足此需求。

啟用Azure策略來(lái)監(jiān)視和強(qiáng)制實(shí)施組織的書(shū)面政策。這樣就可以集中管理混合云工作負(fù)荷中的安全策略，確保符合公司或法規(guī)安全要求。了解如何創(chuàng)建和管理策略以強(qiáng)制實(shí)施合規(guī)性。有關(guān)策略元素的概述，請(qǐng)參閱Azure Policy定義結(jié)構(gòu)。

下面是在采用Azure Policy后要遵循的一些安全性最佳做法：

最佳做法：Azure Policy支持多種類(lèi)型的效果?？梢栽贏zure Policy定義結(jié)構(gòu)中了解相關(guān)信息。拒絕效果和修正效果可能會(huì)給業(yè)務(wù)運(yùn)營(yíng)帶來(lái)負(fù)面影響，因此請(qǐng)從審核效果開(kāi)始以限制策略帶來(lái)的負(fù)面影響風(fēng)險(xiǎn)。

詳細(xì)信息：以審核模式開(kāi)始策略部署，然后推進(jìn)到拒絕或修正。在推進(jìn)到拒絕或修正之前，請(qǐng)測(cè)試并查看審核效果的結(jié)果。

有關(guān)詳細(xì)信息，請(qǐng)參閱創(chuàng)建和管理策略以強(qiáng)制實(shí)施符合性。

最佳做法：確定負(fù)責(zé)監(jiān)視策略違規(guī)的角色，并確?？焖賵?zhí)行正確的修正操作。

詳細(xì)信息：讓已分配的角色通過(guò)Azure門(mén)戶或命令行來(lái)監(jiān)視符合性。

最佳做法：Azure Policy是組織的書(shū)面策略的技術(shù)表示形式。將所有Azure策略定義映射到組織策略，以減少混亂并增強(qiáng)一致性。

詳細(xì)信息：通過(guò)在策略定義或計(jì)劃定義說(shuō)明中添加對(duì)組織策略的引用，在組織的文檔中或Azure Policy定義本身中記錄映射。

監(jiān)視Azure AD風(fēng)險(xiǎn)報(bào)告

大多數(shù)安全違規(guī)出現(xiàn)在當(dāng)攻擊者通過(guò)竊取用戶的標(biāo)識(shí)來(lái)獲取環(huán)境的訪問(wèn)權(quán)限時(shí)。發(fā)現(xiàn)標(biāo)識(shí)是否遭到入侵并不容易。Azure AD使用自適應(yīng)機(jī)器學(xué)習(xí)算法和試探法來(lái)檢測(cè)與用戶帳戶相關(guān)的可疑操作。每個(gè)檢測(cè)到的可疑操作都存儲(chǔ)在稱(chēng)為風(fēng)險(xiǎn)檢測(cè)的記錄中。風(fēng)險(xiǎn)檢測(cè)記錄在Azure AD安全報(bào)表中。有關(guān)詳細(xì)信息，請(qǐng)參閱風(fēng)險(xiǎn)安全報(bào)表中的用戶和有風(fēng)險(xiǎn)的登錄安全報(bào)告。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。