Azure安全性你了解多少,azure最新的云服務(wù)器Azure安全性你了解多少Windows Azure是微軟基于云計(jì)算的操作系統(tǒng),后更名為“Microsoft Azure”,和Azure Services Platform一樣,是微軟“軟件和服務(wù)”技術(shù)的名稱。Windows Azure的主要目標(biāo)是為開發(fā)者提供一個(gè)平臺(tái)......
Windows Azure是微軟基于云計(jì)算的操作系統(tǒng),后更名為“Microsoft Azure”,和Azure Services Platform一樣,是微軟“軟件和服務(wù)”技術(shù)的名稱。Windows Azure的主要目標(biāo)是為開發(fā)者提供一個(gè)平臺(tái),幫助開發(fā)可運(yùn)行在云服務(wù)器、數(shù)據(jù)中心、Web和PC上的應(yīng)用程序。云計(jì)算的開發(fā)者能使用微軟全球數(shù)據(jù)中心的儲(chǔ)存、計(jì)算能力和網(wǎng)絡(luò)基礎(chǔ)服務(wù)。Azure服務(wù)平臺(tái)包括了以下主要組件:Windows Azure;Microsoft SQL數(shù)據(jù)庫服務(wù),Microsoft.Net服務(wù);用于分享、儲(chǔ)存和同步文件的Live服務(wù);針對(duì)商業(yè)的Microsoft SharePoint和Microsoft Dynamics CRM服務(wù)。
Azure是一種靈活和支持互操作的平臺(tái),它可以被用來創(chuàng)建云中運(yùn)行的應(yīng)用或者通過基于云的特性來加強(qiáng)現(xiàn)有應(yīng)用。它開放式的架構(gòu)給開發(fā)者提供了Web應(yīng)用、互聯(lián)設(shè)備的應(yīng)用、個(gè)人電腦、服務(wù)器、或者提供最優(yōu)在線復(fù)雜解決方案的選擇。Windows Azure以云技術(shù)為核心,提供了軟件+服務(wù)的計(jì)算方法。它是Azure服務(wù)平臺(tái)的基礎(chǔ)。Azure能夠?qū)⑻幱谠贫说拈_發(fā)者個(gè)人能力,同微軟全球數(shù)據(jù)中心網(wǎng)絡(luò)托管的服務(wù),比如存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù),緊密結(jié)合起來。
不管性能如何,必定安全性才是最重要的。
現(xiàn)在談?wù)凙zure的安全建議,毋庸置疑,Azure的安全性非常復(fù)雜。
首先,云基礎(chǔ)設(shè)施是復(fù)雜的,所以如果你不能一次性理解所有內(nèi)容,也不要太擔(dān)心。
Azure的基本網(wǎng)絡(luò)防御和技術(shù)
Azure有很多網(wǎng)絡(luò)防御方法,下面是一些你必須了解的防御技術(shù),我建議你先了解這些:
虛擬網(wǎng)絡(luò);
網(wǎng)絡(luò)安全組;
服務(wù)端點(diǎn);
Azure專用鏈接;
Web應(yīng)用程序防火墻;
Azure堡壘;
Azure防火墻;
Azure安全中心;
Azure Sentinel;
DDoS保護(hù);
……
接下來,你需要了解各種應(yīng)用層防御/技術(shù),比如:
Azure Active Directory;
設(shè)置多因素身份驗(yàn)證;
Azure AD特權(quán)身份管理;
服務(wù)主體和托管身份;
應(yīng)用程序網(wǎng)關(guān);
應(yīng)用程序安全組(它們與NSGs相關(guān)聯(lián));
特定于應(yīng)用程序的“防火墻”(如;SQL Server,CosmosDB等);
密鑰庫;
RBAC;
Azure策略和計(jì)劃;
OAuth 2和OpenID Connect;
特定于應(yīng)用程序的靜態(tài)數(shù)據(jù)加密,例如用于存儲(chǔ)帳戶;
……
合規(guī)性
另一個(gè)與安全相關(guān)的重要主題是合規(guī)性,因?yàn)槲抑腊踩允墙⒃诤弦?guī)性上。
構(gòu)建
既然你已經(jīng)對(duì)Azure中與安全相關(guān)的核心工具和技術(shù)有了基本的了解,那么現(xiàn)在就該創(chuàng)建一些東西了。你決定創(chuàng)造什么取決于你,但我首先要說的是:
1.在同一個(gè)虛擬機(jī)網(wǎng)絡(luò)中創(chuàng)建兩個(gè)虛擬機(jī),但是使用不同的子網(wǎng),試著把一個(gè)虛擬機(jī)和另一個(gè)虛擬機(jī)連接起來。
2.使用相同的VM,將一個(gè)NSG添加到一個(gè)子網(wǎng)中,該子網(wǎng)將阻止所有與其他VM的IP地址之間的通信。你可以從另一臺(tái)虛擬機(jī)ping一個(gè)虛擬機(jī)嗎?
3.在不同的VNet中創(chuàng)建兩個(gè)VM,嘗試ping它們,是否可行?
4.加密其中一個(gè)虛擬機(jī)的硬盤驅(qū)動(dòng)器,你將需要?jiǎng)?chuàng)建一個(gè)密鑰庫來完成此任務(wù);
5.查看與VM關(guān)聯(lián)的NSG,在Azure安全中心中啟用對(duì)VM的即時(shí)(JIT)訪問,看看會(huì)發(fā)生什么?
6.創(chuàng)建一個(gè)密鑰庫,添加一個(gè)密鑰并從Azure函數(shù)中提取密鑰。這非常復(fù)雜,需要向函數(shù)添加托管身份,或者在與密鑰庫相同的VNet中運(yùn)行該函數(shù)。
7.如果在上面的示例中使用了托管身份,請(qǐng)確保你為密鑰保險(xiǎn)庫分配了最小特權(quán)訪問權(quán)限(只對(duì)秘鑰有讀取訪問權(quán)限,而沒有其他權(quán)限);
8.使用非常具體的操作創(chuàng)建自定義角色;
9.在存儲(chǔ)帳戶中創(chuàng)建一個(gè)blob,嘗試各種授權(quán)策略,尤其是SAS令牌。
10.安裝Azure SQL并配置“始終加密”;
11.使用Azure Monitor查看誰在對(duì)你的訂閱執(zhí)行操作;
12.在某個(gè)事件類型上設(shè)置警報(bào);
13.開放Azure安全中心,查看你的問題(紅色),查看合規(guī)性問題(PCI等);
14.修復(fù)ASC標(biāo)記的內(nèi)容;
15.設(shè)置僅允許由硬件支持的Key Vault的策略,并創(chuàng)建非HSM KV(即,不允許Premium)。請(qǐng)記住,部署策略后可能需要30分鐘才能生效。具體過程,請(qǐng)點(diǎn)此。
順便說一下,我經(jīng)常使用一個(gè)名為rgdevsandbox的資源組,這樣我就可以在完成任務(wù)后將資源組刪除,不會(huì)留下任何東西。
了解了以上關(guān)于Azure的基本安全性后,是時(shí)候深入學(xué)習(xí)了。選擇一個(gè)產(chǎn)品,比如Azure SQL數(shù)據(jù)庫,學(xué)習(xí)關(guān)于該產(chǎn)品的安全性、可靠性、遵從性和隱私方面的所有知識(shí)。對(duì)于Azure SQL這樣的產(chǎn)品,安全性包括:
1.靜態(tài)數(shù)據(jù)的訪問策略;
2.用于靜態(tài)數(shù)據(jù)的加密(TDE,總是加密的,列加密);
3.對(duì)線路上的數(shù)據(jù)進(jìn)行加密(即TLS!);
4.審計(jì);
5.災(zāi)難恢復(fù);
6.安全訪問連接字符串;
7.Azure AD與SQL身份驗(yàn)證;
8.數(shù)據(jù)屏蔽(不是真正的安全性,但是還是有用的);
9.威脅保護(hù);
10.Azure SQL防火墻(注意小寫的f,因?yàn)樗皇钦嬲摹瓼’irewal;
11.SQL注入問題和補(bǔ)救措施
使用AZ500認(rèn)證
我知道有些人對(duì)認(rèn)證持懷疑態(tài)度,但Azure認(rèn)證并不容易,你可以在這里獲得更多關(guān)于認(rèn)證的信息??傊?,我希望這篇文章能幫助你從另外一個(gè)側(cè)面了解Azure的安全。
參考及來源:https://michaelhowardsecure.blog/2020/02/14/soyouwanttolearnazuresecurity/
特別聲明:以上文章內(nèi)容僅代表作者本人觀點(diǎn),不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號(hào)密碼登錄
平臺(tái)顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機(jī)入駐更便捷
返回頂部