2021 年 Microsoft Azure 安全性最佳實踐
由於 Azure 服務種類繁多,因此沒有一種放諸四海皆準的安全「秘訣」可確保您優化安全狀況。但是,當您將 Azure 的不同面向分解為更具體的類別時,您將發現可以實施的可行最佳實務。讓我們看看這些類別以及由此產生的 Azure 安全性最佳實務。
但首先,先決條件:共享責任模式和最小特權原則
在深入研究特定的 Azure 安全性最佳實務之前,請確保您了解平台上的基本安全範例:Azure 的共用責任模型。
簡而言之,共享責任模型意味著 Microsoft 負責雲端的安全,而您則負責雲端中的安全。兩者之間的分界點會根據特定產品類型而有所不同。 例如,對於軟體即服務應用程序,微軟負責作業系統安全。但是,對於基礎架構即服務 (基礎架構式服務) 產品,您需要對作業系統安全負責。必須了解 Azure 基礎架構的分界線在哪裡。
此外,在所有情況下,您都應遵循最小權限的原則。 雖然如何實現最小權限原則會根據您的工作負載和應用程式而有所不同,但其想法保持不變:僅授予使用者、裝置、應用程式和服務他們需要的存取權限,僅此而已。例如,對於 Azure 資料庫,您可以而且應該使用行級安全性來限制對資料庫行的訪問,而不是授予每個人對整個資料庫的讀取存取權限。
Azure 安全性最佳實務清單
在先決條件的情況下,讓我們深入研究檢查清單。 我們將研究 Azure 的各個方面,並提供您的團隊可以審核的具體可操作項目。
加密和資料安全
數據洩露是對您的安全狀況的最大威脅之一。 因此,確保正確的加密和資料安全是必須的。此清單將幫助你確保走在正確的道路上,並適用於使用、傳輸或儲存敏感資料的 Azure 的任何區域。
- 識別所有敏感信息。 從營運和合規性角度來看,您必須識別基礎架構上傳輸或儲存的所有敏感資料。這樣做可以讓您正確決定如何實現足夠的安全性和合規性。
- 在靜止狀態中加密資料。 這個是數據安全 101。 對所有靜態資料使用現代加密協定和安全資料儲存方法。
- 加密傳輸中的資料。 就像在靜態中加密數據一樣,加密傳輸中的數據也是必要的。 即使數據不在互聯網上,也可以加密它。
- 有備份和災難復原 (DR) 計劃。如果您成為勒索軟體或其他惡意軟體的受害者,備份和災難復原計畫可以使世界變得不同。強大的備份和災難復原計畫是 Azure 安全性的必備條件。
- 使用金鑰管理解決方案。 Azure Key Vault 等解決方案使你能夠安全地管理金鑰、機密和憑證。
- 加強管理工作站。 從不安全的工作站存取敏感資料是一個主要風險。 確保只有強化的工作站才能存取和管理儲存敏感資料的系統。
- 使用 Azure 資訊保護。Azure 資訊保護可讓您更輕鬆地實現敏感資料的完全可見性、實施控制和安全協作。使用它可以使您的整體數據安全工作更輕鬆,更有效。
儲存與資料庫安全
保護您的資料庫是整體安全狀態的關鍵要素。 此外,在許多情況下,從合規性角度來看,這是必須的。您應該從這裡開始了解 Azure 中的資料庫安全性。
- 限制資料庫和儲存存取權限。 使用防火牆和存取控制來限制使用者、裝置和服務對資料庫和儲存 blob 的存取等級。
- 利用稽核。 開啟 Azure 資料庫的審核。這樣做可讓您獲得所有資料庫變更的可見性。
- 配置 Azure SQL 的威脅偵測。如果您使用 Azure SQL,啟動威脅偵測可協助您更快識別安全性問題並限制停留時間。
- 在 Azure Monitor 中設定日誌警報。只要記錄事件還不夠。 確保在 Azure Monitor 中針對與安全相關的事件發出警報,以便可以快速(並在可能的情況下自動)修復問題。
- 為您的儲存帳戶啟用 Azure Defender 。Azure Defender 可以強化並保護您的 Azure 儲存體帳戶。
- 使用軟刪除。 如果惡意動作者(或使用者錯誤)導致您想保留的資料遭到刪除時,軟刪除可協助您確保資料仍可檢索 (14 天內)。
- 使用共用存取簽章 (SAS)。 SAS 可讓您實作精細的存取控制和用戶端對資料存取時間限制。
工作負載和虛擬機器保護
我們的 Azure 安全性最佳實務清單的這一部分涉及虛擬機器和其他工作負載。還有一些其他最佳實務可以幫助你保護 Azure 中的資源:
- 實施多重身份驗證 (MFA) 和複雜密碼。MFA 可協助限制被入侵認證的威脅。 複雜的密碼有助於降低暴力密碼攻擊的有效性。
- 使用即時 (JIT) 虛擬機器存取。JIT 存取與 NSG 和 Azure 防火牆搭配使用,可協助您分層基於角色的存取控制 (RBAC) 和存取虛擬機器的時間綁定。
- 安裝修補程序。 如果您沒有修補工作負載,則所有其他努力可能都是無意義的。 一個未打補丁的脆弱性可能會導致漏洞。讓您的作業系統和應用程式保持最新的修補程式可以幫助您減輕這種風險。
- 鎖定管理連接埠。 除非絕對必要,否則限制存取 SSH、RDP、WinRM 和其他管理連接埠。
- 使用 Azure 防火牆和網路安全群組 (NGS) 來限制對工作負載的存取。根據最小權限原則,使用 NSG 和 Azure 防火牆來限制工作負載存取。
雲端網路安全防護
網路安全是確保 Azure 工作負載安全的一個重要面向。以下是您的雲端網路所需牢記的 Azure 安全性最佳做法:
- 加密傳輸中的資料。 正如我們在加密和資料安全部分所提到的:傳輸中(和靜態)資料的加密是必須的。對所有網路流量利用現代加密協定。
- 實作零信任。 預設情況下,網路策略應拒絕訪問,除非有明確的允許規則。
- 限制開放連接埠和麵向 Internet 的端點。除非有明確的商業原因導致連接埠開放或工作負載面向網際網路,否則不要讓這種情況發生。
- 監視裝置的訪問。監控工作負載和裝置的存取(例如使用安全資訊與事件管理或 Azure Monitor)可協助您主動偵測威脅
- 細分您的網路。邏輯網路分段可以幫助提高可見性,使您的網路更易於管理,並在發生漏洞時限制東西向移動。
合規
保持合規性是 Azure 雲端安全性最重要的方面之一。以下是我們的建議,可以幫助您做到這一點。
- 定義您的合規目標。從合規性角度來看,哪些資料和工作負載在範圍內?什麼標準和法規(例如: PCI-DSS,ISO 27001,HIPAA)與您的組織有關嗎? 必須明確回答這些問題並定義您的合規目標。
- 使用 Azure 安全中心的監理合規儀表板和 Azure 安全性基準。Azure 安全中心中的合規性儀表板可以幫助你根據各種標準確定距離實現合規性有多遠。Azure 安全基準提供了您可以遵循的建議,以更接近完全合規性。使用這些工具可以幫助您簡化雲端中的合規性。
使用 Check Point 統一雲端資安方法提升 Azure 安全性
正如您所看到的,在 Azure 雲端實現安全性需要付出很多努力。為了協助企業簡化流程並大規模實施雲端資安最佳實踐,我們開發了Check Point 統一雲端資安方法。基於此統一方法的原則, Check Point CloudGuard是幫助您實施這些雲端資安最佳實務的理想工具。
要了解有關 Azure 安全性以及 Check Point 如何幫助您的更多信息,請下載免費的《在高級威脅時代充滿信心地實現雲端》白皮書,您將在其中了解:
- 如何大規模保護多雲端環境
- 如何提高雲端可視性
- 如何保持不同部署的合規性
或者,如果您想評估您目前的雲端資安狀況,請註冊免費安全檢查。檢查後,您將收到一份全面的報告,其中詳細列出了惡意軟體感染數量、端點和智慧型裝置威脅、機器人攻擊和入侵嘗試、高風險應用程式的使用以及敏感資料遺失等項目。