Microsoft Azure Sentinel你需要知道的安全总览浅析

小提示：您能找到这篇{Microsoft Azure Sentinel你需要知道的安全总览浅析}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Microsoft Azure Sentinel你需要知道的安全总览浅析内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< font-size: 16px;">

< font-size: 16px;">大家注意上面这种图，攻击的维度上，黑客组织可以从PC端，IT基础设施端，员工和客户端等发起攻击，当然最终的目的是为了勒索赚钱。从统计数据看其实攻击的成本不算很贵，所以说黑产是一个有利可图的领域，必然会集结大量的黑客涌入。举几个例子，DDoS攻击一天只需要102刀，租用很多代理服务器也只要100刀，1000个被攻破的账户只需要0.97刀等等。。。

< font-size: 16px;">从上面的攻防成本上面来看，安全与黑产是一项军备竞赛。安全是一项困难的职业，因为我们永远没有足够的资源来保护所有资产。如果要做到100分的安全，传统企业也许只能靠自己做到50分，看起来也是一个很不错的成绩了。

< font-size: 16px;">那么我们来看看为什么越来越多的企业会考虑公有云或者混合云的方式来保护自己的数字资产。云的第一个优点是，它允许您将日常职责（因SaaS/PaaS/IaaS而异）转移到云提供商。您必须信任云提供商并验证其可信赖性，但是一旦找到可信赖的提供商，将最大的安全和运营责任从员工那里转移给公有云讲对您有利。这使您可以将团队的注意力集中到安全的其他方面（例如许多组织内信息保护项目中）。

< font-size: 16px;">那么以Azure举例来说，整体上面我们可以从身份的认证，从而到零信任模型来管控住需要访问信息的人。从监控安全数据层面把相关的信息从各个工作负载之中收取上来。并且做到随后的分析与相应。当然在网络和数据加密层面也需要做一些主动和被动的防护。

< font-size: 16px;">接下来我们来看一张大图，看看到底哪些防御的东西可以交给微软的Azure来管起来呢？看起来从不论IaaS和PaaS，灰色的部分包括最底层的存储，计算，网络，虚拟化层，到PaaS层的应用，身份认证，网络管控，操作系统，Azure都替你管了起来。是不是长出了一口气的同时，又觉得赚到了几百万？

< font-size: 16px;">

< font-size: 16px;">那么聪明的你一定会问？动辄上百万的安全机制，为什么微软即便再财大气粗，到底是靠什么轻轻松松的帮我们保护起来的呢？回答其实可以很简单，因为微软自己要保护自己，所以也能顺手保护你在Azure上的工作负载哦。如果大家使用过微软的另外一套SaaS的服务Office365的话，一定对其再邮件，办公软件，个人信息存储分享的保护印象深刻。所以微软就是把这些防护的技能赋能到Azure的底层维护上，同时把一些SaaS后台的安全技能开放成安全服务通过Azure这个大平台给到大家。接下来我们可以看看到底有哪些服务可以利用。

< font-size: 16px;">微软对安全的重视遍布到每一个细小环节，从代码开发到对事件的响应都会投入大量安全防护措施，充分保障Azure资源的安全性。我们都是知道，全球范围内网络攻击每时每刻都在发生，保障网络安全离不开产品及使用者的共同努力。Azure始终为用户提供一套全面的且易操作的安全防护体系供。我们认为如果把一个问题变得复杂，人们往往会选择绕开它，所以Azure每年在安全问题上投资超过10亿美金，推出多种AI和自动化的安全防护产品和服务。

< font-size: 16px;">在Azure上，用户需要将资源部署在Azure虚拟网络（VNet）中。Azure虚拟网络是一个构建于Azure物理网络结构上的逻辑结构，每个虚拟网络之间默认相互隔离，从而保障不同用户之间资源与网络流量的隔离。用户可以像管理内部网络一样，控制虚拟网络的IP地址块、DNS配置、安全策略和路由表；还可以通过网络安全组、VPN网关或网络专线ExpressRoute来控制虚拟网络的访问权限。除了对网络访问的控制之外，我们还需要针对各种网络安全威胁，进行安全防护，例如配置Azure防火墙、应用程序防火墙、DDoS防护等。

< font-size: 16px;">大数据时代，数据的挖掘、处理、运用，在给社会带来便利的同时，也造成了数据不合理使用和对个人信息造成威胁。2018年，欧盟出台《通用数据保护条例》(GDPR)，目的在于遏制个人信息被滥用，保护个人隐私，并被称为史上最严的个人数据保护条例；2019年5月28日，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室会同相关部门也研究起草了《数据安全管理办法（征求意见稿）》。国家对于网络安全问题的重视，进一步细化了数据安全管理办法和准则，助力网络环境健康发展。

< font-size: 16px;">总结一下，在曾国藩平定叛乱的过程中，他从来不玩奇淫技巧，会做的就是结硬寨，打呆仗。反观在Azure上之前提到的基础网络的安全，以及数据的加密，保护等都是十分重要的。在后面几期我们会着重聊一下网络和数据加密这方面的内容。

< font-size: 16px;">安全事件管理与响应–安全部署疾如風，徐如林，侵掠如火，不动如山

< font-size: 16px;">数据全管理办法(征求意见稿)：保障个人信息和重要数据安全。

< font-size: 16px;">https://www.freebuf.com/column/204800“确认传播”专注于品牌策划、效果营销和危机管理的数字整合营销传播公司，我们深度诠释客户的品牌理念、文化及背景，多维深度传播客户的文化底蕴和核心价值观，提升客户品牌的知名度、关注度与美誉度。

< font-size: 16px;">讲到安全，就会想到攻防，想到攻防，比如按要引入攻在孙子兵法也好，在武田信玄大神的眼中，标题上这句话是十分的重要。那在安全领域如何理解呢？疾如风——部队行动时，像疾风一样迅速。在安全受到威胁的时候，安全的服务能够像风一样的快速去找到问题源，并且马上部署。徐如林——军阵像树林一样整齐，徐徐而行。安全的部署要有章法，要有蓝图，有治理，不能乱了阵脚，不论是新部署的应用，还是要在现有应用上添加内容，安全的不如一定是徐徐有序，保持一致。侵略如火——进攻时候像烈火燃烧。大家也许奇怪，安全不是防守吗？为啥还要进攻，但是你有没有想过当黑客通过一整条链路来攻击你的时候，你是不是也要化盾为矛，找到隐藏在黑暗角落的攻击机器，去切断他，更甚至于找到他，将他绳之以法。不动如山——军队不动时，像山一样不可撼动。当你部署完安全的策略，比如定期收集日志，安全规则，多因子认证等动态防护等。安全系统的稳定性一定是十分重要的，自身一定要像山一样不可攻破，才能保证后面被保护系统的安全。

< font-size: 16px;">那么如何能够做到上文提到的这些，那么安全的事件的数据收集，以及对安全事件的自动响应是至关重要的。工欲善其事必先利其器，微软就提供了这样的安全神器。

< font-size: 16px;">Microsoft Azure Sentinel是可缩放的云原生安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。Azure Sentinel在整个企业范围内提供智能安全分析和威胁智能，为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。

< font-size: 16px;">Azure Sentinel提供整个企业安全局势的鸟瞰图，可以缓解日益复杂的攻击和不断增加的警报量，并可以缩短解决问题所需的时间。

< font-size: 16px;">跨所有用户、设备、应用程序和基础结构（包括本地和多个云）以云规模收集数据。

< font-size: 16px;">检测以前未检测到的威胁，并使用Microsoft的分析和无与伦比的威胁智能，最大限度地减少误报。

< font-size: 16px;">借助人工智能调查威胁，结合Microsoft多年以来的网络安全工作经验大规模搜寻可疑活动。

< font-size: 16px;">过内置的业务流程和常见任务自动化快速响应事件。

< font-size: 16px;">

< font-size: 16px;">Azure Sentinel基于现有的各种Azure服务，原生集成如何促进危机公关意识了经过证实的基础服务，例如Log 用药安全宣教Analytics和逻辑应用。Azure Sentinel可以借助人工智能丰富调查和检测工作，并提供Microsoft的威胁智能流，使你能够运用自己的威胁智能。

< font-size: 16px;">云中的零信任–特洛伊木马之殇

< font-size: 16px;">特洛伊木马在现代有名是由于特洛伊木马病毒，在一直流传的故事中出名是由于木马计攻陷特洛伊城，当然也由于之前一段浪漫恋情做了很好的铺垫。但是在安全领域，也许浪漫部分是十分罕见的，更多的是基于利益的攻防。

< font-size: 16px;">如今许多企业仍然依赖“城堡和护城河”方法（也叫做“边界安全”方法）来保护数据免遭恶意攻击。就像中世纪的城堡受到石墙、护城河和城门的保护一样，大量的投资以通过防火墙、代理服务器、蜜罐技术和其他入侵防护工具来加强他们的网络边界。“边界安全”通过验证进入和离开组织网络的数据包和用户身份来保护网络入口点和出口点的安全，然后假设在加固后的边界内进行的活动是相对安全的。那么你用特洛伊木马的故事来看，确实只要骗过了这个守城墙的“边界安全”那么整个城池就会陷落了。

< font-size: 16px;">如今，精明的企业正在超越这种范例，转而采用一种新式的网络安全方法-“零信任”模型。“零信任”模型的中心原则是默认情况下不信任任何人（无论是内部人员还是外部人员），并且在授予访问权限之前需要对每个人或每台设备进行严格的验证。

< font-size: 16px;">下面我们来看一张图，看看在哪些层面零信任网络可以帮助到你。

< font-size: 16px;">

< font-size: 16px;">新式安全外围网络现已超出组织网络的范围，其中涵盖了用户和设备标识。在做攻防最火热的地方，也就是如何利用这些标识与如何防范标识被攻破。

< font-size: 16px;">零信任安全模型无疑是现在最火爆的话题，接下来我们还会用专门的篇幅来介绍如何运用微软在安全领域的各种SaaS和PaaS帮助企业从“城墙边界”模式切换到更为严密的“零信任”模式。

< font-size: 16px;">总结

< font-size: 16px;">一直以来，微软在开发每一项产品的同时，都会考虑其给到企业的安全性的保障，每年，微软都会投入超过十亿美元在安全方面，来保证已有的服务的安全性，以及开发更好的产品及服务，来帮助客户做到安全。下图将截止到目前为止，微软能够给到企业不同服务和领域的安全功能进行了总结。

< font-size: 16px;">

< font-size: 16px;">最传统领域对于服务器端的防护和监控，微软也在Azure端提供了各种功能，从虚拟机，到网络，到数据，以及从流程上，能够满足客户根据不同的合规及政策要求，完整地搭建整套安全框架。之后我们也会有专栏介绍Azure上面的网络应用防火墙，基础网络防火墙等。

< font-size: 16px;">如果客户对于企业安全环境有更高地要求，需要完整的一套安全监控及响应机制，Azure Sentinel可以作为客户的依赖平台。只要通过connector将本地的，微软一方的，三方的应用及日志接入到平台，就能实现，对于企业中用户的，各类服务的，各种维度的监控及探测。之后我们也会有专题介绍相对应的Azure Sentinel和Security Center。

< font-size: 16px;">那么除了构建云上的边界安全，我们就需要构建更加细粒度的”零信任“模型。可以看到从最右部分的身份及访问管理，基于RBAC以及Zero Trust，结合Azure B2B,B2C或者本地AD作为企业中微软一方产品或者其他第三方的软件的身份，从而将所有的用户的日志都汇总到一个实体中，为后续建立企业身份的信用体系打下基础。随后我们会有专题介绍微软基于Azure Active Directory以及其他服务构建起来的零信任模型。

< font-size: 16px;">总之，在安全领域，各位在云时代一定会遇到更多的挑战，但是同时利用好云上的安全工具一定会提供给你一个更加规范，自动化，良好性价比的云安全工具箱，保驾护航你的云上数字化转型。后续请大家关注安全系列的文章，为你庖丁解牛，做一个安全大牛。