聊一聊Azure安全基础知识

Microsoft Azure 安全基础知识包括记录对安全事件的响应、使用标识访问管理工具、对用户进行身份验证、利用自动化工具、加密数据以及使用防火墙。

规划和制定安全事件的策略

组织应记录他们在安全事件发生之前如何响应这些事件，以及之后将如何恢复。这应该在组织订阅任何云安全服务之前完成。Microsoft Azure 建议组织采用业务连续性和灾难恢复（BCDR）策略。Microsoft Azure 提供了可确保云环境安全的服务和建议的做法，并在恢复过程中提供帮助。

密码策略实施是要求密码具有一定复杂性和特定生命周期的做法。借助 Microsoft Azure 的 SQL Server，组织可以强制要求用户的密码符合这些预设要求。这使得黑客更难获得或使用凭据。

Azure 备份是一项服务，允许组织备份整个虚拟机（VM）、Azure 文件共享、SQL Server 数据库和 SAP HANA 数据库。如果由于环境因素或攻击而从一个数据中心丢失数据，数据仍存在于其他地方以进行恢复。

Azure Site Recovery 是 BCDR 策略的主要贡献者。当由于 DDoS 攻击或数据中心内的问题而发生中断时，Site Recovery 会使应用和工作负载在未受影响的辅助位置运行。这是分布式云基础架构的一个示例。主位置再次开始运行后，它将再次接收工作负载。发生攻击时，将站点恢复作为选项意味着组织的客户不会看到服务中断。

使用身份访问管理和身份验证工具

组织可以使用身份访问管理（IAM）工具以及身份验证和授权工具来确保用户是他们声称的身份，并授予他们某些权限。用于此目的的 Microsoft Azure 服务包括 Azure 应用服务、基于角色的访问控制（RBAC）和通过 Microsoft 身份验证器进行的多重身份验证（MFA）。

Azure 应用服务具有内置的身份验证和授权支持，使用户能够从 Web 应用、RESTful API、移动后端或 Azure 函数登录和访问数据，几乎不需要代码。此外，它还提供安全的身份验证和授权实用程序，可用于联合身份验证、加密、JSON Web 令牌管理和授权类型。

RBAC 是根据最小特权原则执行的常见做法。这个想法是向用户（在本例中为员工）授予最低级别的访问权限，以便他们有效地执行其工作。RBAC 以可自定义的方式将角色分配给用户。这些角色确定用户的访问级别，并作为策略强制执行。

Azure Active Directory 是一种基于云的 IAM 和单点登录（SSO）服务，适用于 Office 365 等 Microsoft 应用程序。Azure Active Directory 中针对标识和安全性提供的功能包括身份验证、条件访问、标识治理、标识保护、托管标识、特权标识管理以及报表和监视。这有助于 Microsoft Azure 云安全，因为如果凭据被盗，对数据和云资源的访问量将受到限制，并且风险会降低。

监控云环境

当组织在其云环境中存在盲点时，它就缺乏正确保护自己的能力。一种良好的安全方法是使用能够查看整个环境并报告其检测到的内容的服务。Microsoft Azure 的一些监视服务是 Azure 安全中心和 Azure 应用服务。

Azure 安全中心为云资源提供可见性和控制力，使组织能够检测和响应威胁。此服务监视云资源，并提供报告，建议管理部门可以采取哪些措施来解决任何异常情况。

Azure Monitor 提供对 Azure 基础结构和单个 Azure 资源中数据的可见性。

利用自动化实现安全的 Azure

组织应该利用自动化工具来接管数据分析等困难且耗时的工作。

Microsoft Azure的许多安全服务都是自动化的，特别是那些专门用于监控云环境和实施策略的服务。这方面的一个例子是应用程序见解。

应用程序见解是一项应用程序性能管理服务。它可帮助开发人员监视生产中的应用程序，并立即报告弹出的性能异常。

使用加密和防火墙

网络安全最基本的方面之一是使用加密和防火墙。借助 Microsoft Azure，组织有机会使用 Web 应用程序防火墙、静态和传输中加密以及 Azure 密钥保管库以及其他安全功能。

Microsoft Azure 的 Web 应用程序防火墙（WAF）是其 Azure Application Gateway 的一部分。WAF 使用网关保护 Web 应用程序，以实现应用程序交付控制功能。由于 WAF 是基于云的，因此它是保护 Web 应用程序的集中式方法。WAF 基于开放 Web 应用程序安全项目（OWASP）制定的规则，并在新漏洞明显时自动更新。

Azure 存储能够在数据处于静态或传输过程中使用加密来保护数据。静态数据是位于存储中的数据，而传输中的数据是通过网络连接发送的数据。这对组织很有帮助，因为它可以满足始终加密数据的基本需求。

Azure 密钥保管库是一个硬件安全模块（HSM），用于存储加密密钥和关键机密。在这种情况下，秘密是组织想要严格控制访问的任何数据。例如，密钥可以是 API 密钥、密码或证书。Azure 密钥保管库使用的硬件已通过 FIPS 140-2 级别 2 设备标准的认证。加密密钥加密和解密数据，尤其是在发送或接收数据之后。通过拥有保留组织机密和密钥的安全硬件，密钥本身将受到保护。如果没有受保护的密钥，加密和身份验证功能将变得无效，因为拥有加密密钥的攻击者可以轻松解密数据。