Azure 操作安全性最佳做法

小提示：您能找到这篇{Azure 操作安全性最佳做法}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Azure 操作安全性最佳做法内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

本文提供了用于保护Azure中的数据、应用程序和其他资产的一系列操作最佳做法。

最佳做法以观点的共识以及Azure平台功能和特性集为基础。观点和技术将随着时间改变，本文会定期更新以反映这些更改。

定义并部署强大的操作安全做法

Azure操作安全性是指用户可用于在Azure中保护其数据、应用程序和其他资产的服务、控件和功能。Azure操作安全性建立在一个框架上，该框架融合了通过Microsoft独有的功能获得的知识，包括安全开发生命周期(SDL)、Microsoft安全响应中心计划以及对网络安全威胁形态的深刻认识。

管理和监视用户密码

下表列出了与管理用户密码相关的一些最佳做法：

最佳做法：确保你在云中具有适当级别的密码保护。

详细信息：按照Microsoft密码指南中的指南进行操作，该指南的适用范围是Microsoft标识平台（Azure Active Directory、Active Directory和Microsoft帐户）的用户。

最佳做法：监视与用户帐户相关的可疑操作。

详细信息：使用Azure AD安全报告监视具有风险的用户和有风险的登录。

最佳做法：自动检测和修正高风险密码。

详细信息：Azure AD Identity Protection是Azure AD Premium P2版本的一项功能，它使你能够：

检测影响组织标识的潜在漏洞

配置自动响应，可检测与组织标识相关的可以操作

调查可疑事件，并采取适当的措施进行解决

接收来自Microsoft的事件通知

确保你的安全运营团队接收来自Microsoft的Azure事件通知。事件通知让你的安全团队知道你已经破坏了某个Azure资源，目的是让他们可以快速响应并修正潜在的安全风险。

在Azure注册门户中，你可以确保管理员联系信息包含用来进行安全操作通知的详细信息。联系人详细信息为电子邮件地址和电话号码。

将Azure订阅组织到管理组中

如果你的组织有多个订阅，则可能需要一种方法来高效地管理这些订阅的访问权限、策略和符合性。Azure管理组提供了高于订阅的范围级别。可将订阅组织到名为“管理组”的容器中，并将治理条件应用到管理组。管理组中的所有订阅都将自动继承应用于管理组的条件。

可以在目录中构建管理组和订阅的灵活结构。为每个目录指定了一个称为根管理组的顶级管理组。此根管理组内置在层次结构中，包含其所有下级管理组和订阅。该根管理组允许在目录级别应用全局策略和Azure角色分配。

下面是管理组使用方面的一些最佳做法：

最佳做法：确保在添加新订阅时，它们会应用治理元素，例如策略和权限。

详细信息：使用根管理组分配适用于所有Azure资产的企业范围的安全元素。策略和权限是元素的示例。

最佳做法：将顶级管理组与分段策略匹配，以便在每个段中实现控制和策略一致性。

详细信息：在根管理组下为每个段创建一个管理组。请勿在根下创建其他任何管理组。

最佳做法：限制管理组深度，以避免出现影响操作和安全性的混乱。

详细信息：将层次结构限制为三个级别（包括根在内）。

最佳做法：使用根管理组，仔细选择要应用于整个企业的项。

详细信息：确保根管理组元素清楚地需要跨每个资源应用，并且不会对其造成影响。

典型的候选项包括：

具有明确业务影响的法规要求（例如，与数据主权相关的限制）

具有接近零的潜在负面影响操作的要求，例如已认真查看的具有审核效果或Azure RBAC权限分配的策略

最佳做法：在将根管理组应用于企业范围内的所有更改之前，将这些更改应用(策略、Azure RBAC模型等)。

详细信息：根管理组中的更改可能会影响Azure上的每个资源。尽管它们提供了一种强大的方法来确保整个企业中的一致性，但错误或不正确的使用可能会对生产操作产生负面影响。请在测试实验室或生产试点中测试对根管理组的所有更改。

利用蓝图简化环境创建

Azure蓝图服务使云架构师和中心信息技术小组能够定义可实现并符合组织标准、模式和要求的一组可重复的azure资源。使用Azure蓝图，开发团队可以快速生成新的环境并将其放在新的环境中，并提供一套内置组件，并确保他们在组织符合性中创建这些环境。

监视存储服务的意外行为更改

诊断和排查在云环境中托管的分布式应用程序中的问题可能会比在传统环境中更复杂。应用程序可以部署在PaaS或IaaS基础结构、本地、移动设备，或这些环境的某种组合中。应用程序的网络流量可能会遍历公用和专用网络，你的应用程序可能使用多种存储技术。

应持续监视应用程序使用的存储服务是否存在任何意外行为更改（如响应时间变长）。若要收集更详细的数据和深度分析问题，请使用日志记录。从监视和日志记录获取的诊断信息将有助于确定应用程序所遇到问题的根本原因。然后，可以排查该问题，并确定修正问题的相应步骤。

Azure存储分析执行日志记录并为Azure存储帐户提供指标数据。建议使用此数据跟踪请求、分析使用情况趋势以及诊断存储帐户的问题。

防范、检测和应对威胁

Azure安全中心增强了对Azure资源安全的可见性和可控性，可帮助你预防、检测和响应威胁。它提供对Azure订阅的集成安全监视和策略管理，帮助检测可能被忽略的威胁，且适用于各种安全解决方案。

安全中心的免费层仅为Azure资源提供有限的安全性。标准层将这些功能扩展到本地和其他云中。借助安全中心标准层，可以查找和修复安全漏洞、应用访问控制和应用程序控制来阻止恶意活动、使用分析和智能功能检测威胁，以及在受到攻击时迅速做出响应。可以尝试安全中心标准版，头60天免费。建议将Azure订阅升级到安全中心标准层。

使用安全中心，可以通过一个集中化视图查看所有Azure资源的安全状态。一眼就可验证适当的安全控件是否配置到位且配置正确，还可快速确认任何需要注意的资源。

安全中心还集成了Microsoft Defender高级威胁防护(ATP)，后者提供了完善的终结点检测和响应(EDR)功能。使用Microsoft Defender ATP集成可以查明异常。你还可以检测和响应安全中心所监视的服务器终结点上出现的高级攻击。

几乎所有的企业组织都有一个安全信息和事件管理(SIEM)系统，它可以整合来自不同信号收集设备的日志信息，因此可以识别新出现的威胁。然后，数据分析系统会分析日志，以帮助确定所有日志收集和分析解决方案中不可避免的噪音的"有趣"。

Azure Sentinel是一种可缩放的云本机、安全信息和事件管理(SIEM)和安全业务流程自动响应(之忠诚度)解决方案。Azure Sentinel通过警报检测、威胁可见性、主动搜寻和自动威胁响应提供智能安全分析和威胁智能。

下面是一些用于预防、检测和响应威胁的最佳做法：

最佳做法：使用基于云的SIEM提高SIEM解决方案的速度和可伸缩性。

详细信息：调查Azure Sentinel的特性和功能，并将其与你当前在本地使用的功能进行比较。如果符合组织的SIEM要求，请考虑采用Azure Sentinel。

最佳做法：找到最严重的安全漏洞，以便确定调查优先级。

详细信息：查看你的Azure安全评分，了解Azure安全绍兴危机公关事件中心内置的Azure策略和计划所产生的建议。这些建议有助于解决顶级风险，例如安全更新、终结点保护、加密、安全配置、WAF缺失、VM连接到Internet等方面的风险。

基于Internet安全中心(CIS)控件的安全分数使你能够根据外部源来基准组织的Azure安全性。外部验证有助于验证和丰富团队的安全策略。

最佳做法：监视计算机、网络、存储和数据服务以及应用程序的安全状况，发现潜在的安全问题并确定其优先级。

详细信息：按照安全中心的安全建议操作，并从优先级最高的项开始。

最佳做法：将安全中心警报集成到安全信息和事件管理(SIEM)解决方案中。

详细信息：采用SIEM的大多数组织都使用它充当一个中心交换所来处理需要分析师响应的安全警报。安全中心生成的事件经过处理后，将被发布到Azure活动日志，这是Azure Monitor提供的可用日志之一。Azure Monitor提供了一个综合管道，可将任何监视数据路由到SIEM工具。有关说明，请参阅将警报流式传输到SIEM、SOAR或IT服务管理解决方案北京危机公关风情公关。如果使用的是Azure Sentinel，请参阅连接Azure安全中心。

最佳做法：将Azure日志与你的SIEM集成。

详细信息：使用Azure Monitor收集和导出数据。此做法对于启用安全事件调查至关重要，而在线日志保留期是有限的。如果使用的是Azure Sentinel，请参阅连接数据源。

最佳做法：通过将终结点检测和响应(EDR)功能集成到攻击调查中，加快调查和搜寻过程，并减少误报。

详细信息：通过安全中心安全策略为终结点集成启用Microsoft Defender。考虑使用Azure Sentinel进行威胁搜寻和事件响应。

监视基于端到端方案的网络监视

客户在Azure中通过合并虚拟网络、ExpressRoute、应用程序网关和负载均衡器等网络资源来构建端到端网络。监视适用于每个网络资源。

Azure网络观察程序是一项区域性服务。其诊断和可视化工具可用于在网络方案级别监视和诊断Azure内部以及传入和传出Azure的流量的状态。

以下是网络监视和可用工具的最佳做法。

最佳做法：使用数据包捕获实现远程网络监视的自动化。

详细信息：使用网络观察程序监视和诊断网络问题，无需登录VM。通过设置警报触发数据包捕获，并获取数据包级别上的实时性能信息访问权限。如果遇到问题，可进行详细调查，获得更精确的诊断。

最佳做法：使用流日志深入了解网络流量。

详细信息：使用网络安全组流日志更深入地了解网络流量模式。流日志中的信息可帮助收集符合性数据、审核和监视网络安全配置文件。

最佳做法：诊断VPN连接问题。

详细信息：使用网络观察程序来诊断最常见的VPN网关和连接问题。不仅可以确定问题，还可以使用详细日志进一步调查。

使用经验证的DevOps工具确保安全部署

使用以下DevOps最佳做法来确保企业和团队多产且高效。

最佳做法：自动生成和部署服务。

详细信息：基础结构即代码是一组技术和实践，使IT专业人员不再需要日复一日地生成和管理模块化基础结构。使得IT专业人员生成和维护新式服务器环境的方式就像是软件开发人员生成和维护应用程序代码的方式。

Azure资源管理器允许用户使用声明性模板预配应用程序。在单个模板中，可以部署多个服务及其依赖项。在应用程序生命周期的每个阶段，可使用相同模板重复部署应用程序。

最佳做法：自动生成并部署到Azure Web应用或云服务。

详细信息：可以将Azure DevOps Projects配置为自动生成并部署到Azure web应用或云服务。在每次代码签入后，azure DevOps会自动部署二进制文件。包生成过程与Visual Studio中的Package命令等效，而发布步骤与Visual Studio中的Publish命令等效。

最佳做法：自动执行发布管理。

详细信息：Azure Pipelines是实现多阶段部署和管理发布过程自动化的解决方案。创建托管的持续部署管道，快速、轻松地频繁发布。通过Azure Pipelines，可以使发布过程自动化，还可以拥有预定义的批准工作流。根据需要进行本地部署和部署到云、扩展和自定义。

最佳做法：在推出应用或将更新部署到生产环境之前，先检查该应用的性能。

详细信息：运行基于云的负载测试，以执行以下操作：

在应用中查找性能问题。

提高部署质量。

请确保应用始终可用。

确保应用可以处理下一次启动或市场营销活动的流量。

Apache JMeter是一个功能强大的免费开源工具，具有强大的社区支持。

最佳做法：监视应用程序性能。

详细信息：Azure Application Insights是多个平台上面向Web开发人员的可扩展应用程序性能管理(APM)服务。使用Application Insights来监视实时Web应用程序。它会自动检测性能异常。其中包含分析工具来帮助诊断问题，了解用户在应用中实际执行了哪些操作。Application Insights有助于持续提高性能与可用性。

缓解和防范DDoS

分布式拒绝服务(DDoS)是企图耗尽应用程序资源的一种攻击。其目的是影响应用程序的可用性和处理合法请求的能力。这些攻击正变得越来越复杂，且规模和影响程度越来越高。它们可能会将任何可通过Internet公开访问的终结点作为目标。

设计和构建DDoS复原能力需要规划和设计各种故障模式。下面是用于在Azure上构建DDoS可复原服务的最佳做法。

最佳做法：确保优先考虑从设计和实施到部署和操网络推广方式有那些作的整个应用程序生命周期的安全性。应用程序可能包含bug，使相对较少的请求使用过多的资源，从而导致服务中断。

详细信息：为帮助保护Microsoft Azure上运行的服务，应该对应用程序体系结构有充分的了解，并重点关注软件质量的五大要素。应该清楚典型的流量大小、应用程序与其他应用程序之间的连接模型，以及向公共Internet公开的服务终结点。

至关重要的一点是，确保应用程序具有足够的弹性，可应对针对应用程序本身的拒绝服务攻击。从安全开发生命周期(SDL)开始，安全和隐私就已内置到Azure平台中。SDL可以解决每个开发阶段的安全性，并确保Azure不断更新，以变得越来越安全。

最佳做法：采用可横向缩放的应用程序设计，以满足放大负载的需求，尤其是防范DDoS攻击。如果应用程序依赖于服务的单个实例，则会造成单一故障点。预配多个实例能够提高复原能力和可伸缩性。

详细信息：对于Azure应用服务，请选择提供多个实例的应用服务计划。

对于Azure云服务，请将每个角色配置为使用多个实例。

对于Azure虚拟机，请确保VM体系结构包含多个VM，并且每个VM包含在可用性集中。建议使用虚拟机规模集来实现自动缩放功能。

最佳做法：应用程序中的分层安全防御可以减少攻击成功的可能性。使用Azure平台的内置功能对其应用程序实施安全设计。

详细信息：攻击风险会随着应用程序的规模（外围应用）的增大而增大。你可以通过使用审批列表来关闭公开的IP地址空间，并将负载平衡器上不需要的侦听端口关闭(Azure负载平衡器和Azure应用程序网关)，从而减少外围应用。

网络安全组是缩小受攻击面的另一种方法。可以使用服务标记和应用程序安全组来最大程度地简化安全规则的创建，并将网络安全性配置为应用程序结构的自然扩展。

应尽可能地在虚拟网络中部署Azure服务。这种做法可让服务资源通过专用IP地址通信。来自虚拟网络的Azure服务流量默认使用公共IP地址作为源IP地址。

使用服务终结点时，服务流量会在通过虚拟网络访问Azure服务时改用虚拟网络专用地址作为源IP地址。

我们经常看到，客户本地资源会连同其在Azure中资源的一起受到攻击。如果将本地环境连接到Azure，尽量不要在公共Internet上公开本地资源。

Azure具有两个DDoS服务产品，提供网络攻击防护：

基本防护默认已集成到Azure中，不收取额外的费用。全球部署的Azure网络的规模和容量通过始终开启的监视和实时缓解措施，来防御公用网络层攻击。基本防护无需用户配置或应用程序更改，并帮助保护所有Azure服务，包括Azure DNS等PaaS服务。

标准防护提供针对网络攻击的高级DDoS缓解功能。这些功能自动经过优化，可保护特定的Azure资源。在创建虚拟网络期间，可以轻松启用保护。也可以在创建之后启用它，而不需要对应用程序或资源做出任何更改。

启用Azure Policy

Azure Policy是Azure中的一项服务，用于创建、分配和管理策略。这些策略将在整个资源中强制实施规则和效果，使这些资源符合公司标准和服务级别协议。Azure Policy通过评估资源是否符合指定策略来满足此需求。

启用Azure策略来监视和强制实施组织的书面政策。这样就可以集中管理混合云工作负荷中的安全策略，确保符合公司或法规安全要求。了解如何创建和管理策略以强制实施合规性。有关策略元素的概述，请参阅Azure Policy定义结构。

下面是在采用Azure Policy后要遵循的一些安全性最佳做法：

最佳做法：Azure Policy支持多种类型的效果。可以在Azure Policy定义结构中了解相关信息。拒绝效果和修正效果可能会给业务运营带来负面影响，因此请从审核效果开始以限制策略带来的负面影响风险。

详细信息：以审核模式开始策略部署，然后推进到拒绝或修正。在推进到拒绝或修正之前，请测试并查看审核效果的结果。

有关详细信息，请参阅创建和管理策略以强制实施符合性。

最佳做法：确定负责监视策略违规的角色，并确保快速执行正确的修正操作。

详细信息：让已分配的角色通过Azure门户或命令行来监视符合性。

最佳做法：Azure Policy是组织的书面策略的技术表示形式。将所有Azure策略定义映射到组织策略，以减少混乱并增强一致性。

详细信息：通过在策略定义或计划定义说明中添加对组织策略的引用，在组织的文档中或Azure Policy定义本身中记录映射。

监视Azure AD风险报告

大多数安全违规出现在当攻击者通过窃取用户的标识来获取环境的访问权限时。发现标识是否遭到入侵并不容易。Azure AD使用自适应机器学习算法和试探法来检测与用户帐户相关的可疑操作。每个检测到的可疑操作都存储在称为风险检测的记录中。风险检测记录在Azure AD安全报表中。有关详细信息，请参阅风险安全报表中的用户和有风险的登录安全报告。