在当今的数字世界中,具备良好的安全策略至关重要。 无论是在本地还是在云中,每个应用程序和服务在设计时都需要考虑安全性。 安全性需要在应用程序级别、数据级别和网络级别实施。

使用 Azure 安全中心防范安全威胁

 

Azure 安全中心是一项监视服务,可提供 Azure 上和本地的所有服务的安全态势的可见性。 “安全态势”一词指的是网络安全策略和控制,以及预测、阻止和响应安全威胁的能力。

官方网站:https://azure.microsoft.com/services/security-center?WT.mc_id=AZ-MVP-5003757

安全中心可以:

  • 跨本地和云工作负载监视安全设置。
  • 在新资源联机时自动将所需的安全设置应用于这些资源。
  • 提供基于当前配置、资源和网络的安全建议。
  • 持续监视资源并执行自动安全评估,以识别潜在漏洞,避免这些漏洞被利用。
  • 使用机器学习来检测恶意软件,并阻止在虚拟机 (VM) 和其他资源上安装这些软件。 还可以使用自适应应用程序控制来定义列出允许的用程序的规则,以确保仅运行允许的应用程序。
  • 分析和识别潜在的入站攻击,并调查可能发生的威胁和任何后期违规活动。
  • 提供网络端口的实时访问控制。 此做法可以确保网络在你需要时只允许所需的流量,从而减小受攻击面。

这段简短视频展示了安全中心可如何帮助强化你的网络、保护和监视你的云资源,以及如何提升你的总体安全状况。

 

使用 Azure Key Vault 存储和管理机密

 

当企业在云中构建负载时,需要仔细处理敏感信息(如密码、加密密钥和证书)。 Azure Key Vault 是用于将应用程序机密存储在一个中心位置的集中式云服务。 它通过提供访问控制和日志记录功能,提供对敏感信息的安全访问。

官方网站:https://azure.microsoft.com/services/key-vault?WT.mc_id=AZ-MVP-5003757

Azure Key Vault 可以帮助你:

  • 管理机密
    可以使用 Key Vault 安全地存储令牌、密码、证书、API 密钥和其他机密,并对其访问进行严格控制。
  • 管理加密密钥
    可以使用 Key Vault 作为密钥管理解决方案。 借助 Key Vault,可以更轻松地创建和控制用于加密数据的加密密钥。
  • 管理 SSL/TLS 证书
    借助 Key Vault,可以为 Azure 资源和内部资源预配、管理和部署公用和专用安全套接字层/传输层安全性 (SSL/TLS) 证书。
  • 存储硬件安全模块 (HSM) 支持的机密
    这些机密和密钥可以通过软件或 FIPS 140-2 级别 2 验证的 HSM 进行保护。

下面是一个示例,显示用于在 Key Vault 中进行测试的证书。

 

 

使用 Azure 防火墙保护虚拟网络

 

Azure 防火墙是一项托管的基于云的网络安全服务,可帮助保护 Azure 虚拟网络中的资源。 虚拟网络类似于在自己的数据中心内运行的传统网络, 虚拟网络是专用网络的基本构建基块,使虚拟机和其他计算资源能够安全地彼此通信、与 Internet 通信,以及与本地网络通信。

官方网站:https://azure.microsoft.com/services/azure-firewall?WT.mc_id=AZ-MVP-5003757

 

以下示意图展示了基本的 Azure 防火墙实现:

Azure 防火墙是监控状态的防火墙。 监控状态的防火墙不仅分析单个网络流量数据包,还分析网络连接的完整上下文。 Azure 防火墙具有高可用性和不受限制的云可伸缩性。

Azure 防火墙提供一个中心位置,可跨订阅和虚拟网络创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态(不变)的公共 IP 地址,这使外部防火墙能够识别来自虚拟网络的流量。 该服务与 Azure Monitor 集成,以实现日志记录和分析。

Azure 防火墙提供许多功能,包括:

  • 内置的高可用性。
  • 不受限制的云可伸缩性。
  • 入站和出站筛选规则。
  • 入站目标网络地址转换 (DNAT) 支持。
  • 启用 Azure Monitor 日志记录。

通常将 Azure 防火墙部署在中央虚拟网络上来控制常规网络访问。

 

使用 Azure 防火墙,可以配置:

  • 应用程序规则,用于定义可从子网访问的完全限定域名 (FQDN)。
  • 网络规则,用于定义源地址、协议、目标端口和目标地址。
  • 网络地址转换 (NAT) 规则,可定义用于转换入站请求的目标 IP 地址和端口。

 

 

使用 Azure DDoS 防护防范 DDoS 攻击

 

分布式拒绝服务攻击试图占用和耗尽应用程序的资源,从而使应用程序运行速度缓慢或无法响应合法用户。 DDoS 攻击可针对能通过 Internet 公开访问的任何资源,包括网站。

Azure DDoS 防护有助于保护 Azure 资源免受 DDoS 攻击。

将 DDoS 防护与建议的应用程序设计做法相结合,可帮助防御 DDoS 攻击。 DDoS 防护利用 Microsoft 全球网络的规模和弹性,确保每个 Azure 区域都拥有缓解 DDoS 攻击的能力。 DDoS 防护服务会在 DDoS 流量影响服务的可用性之前,通过在 Azure 网络边缘对其进行监视并放弃它来帮助保护 Azure 应用程序。

官方网站:https://azure.microsoft.com/services/ddos-protection/?WT.mc_id=AZ-MVP-5003757

下图显示了从客户和攻击者流入 Azure 的网络流量:

DDoS 防护可识别出攻击者试图使网络瘫痪的意图并阻止来自他们的进一步的流量,从而确保流量永远不会到达 Azure 资源。 来自客户的合法流量依然能流入 Azure,不会导致服务出现中断。

DDoS 防护还可帮助管理云使用情况。 在本地运行时,你拥有固定数量的计算资源。 但在云中,弹性计算意味着可自动横向扩展部署来满足需求。 精心设计的 DDoS 攻击可能会导致增加资源分配,从而产生不必要的费用。 DDoS 防护标准有助于确保你处理的网络负载能够反映客户的使用情况。 对于在 DDoS 攻击期间因横向扩展资源而累积的任何费用,你还可获得额度。

使用网络安全组筛选网络流量

虽然 Azure 防火墙和 Azure DDoS 防护可帮助控制来自外部来源的流量,但仍需保护其在 Azure 上的内部网络。

借助网络安全组,可筛选 Azure 虚拟网络中进出 Azure 资源的网络流量。 可将 NSG 视为内部防火墙。 每个 NSG 可包含多个入站和出站安全规则,通过这些规则可按源和目标 IP 地址、端口和协议筛选进出资源的流量。

官方网站:https://docs.microsoft.com/zh-cn/azure/virtual-network/security-overview?WT.mc_id=AZ-MVP-5003757#network-security-groups?azure-portal=true

一个网络安全组可在 Azure 订阅限制内包含所需数量的规则。 每个规则都指定了以下属性:

如何指定 NSG 规则?

创建网络安全组时,Azure 会创建一系列默认规则,以提供基线安全级别。 无法删除默认规则,但可创建优先级更高的新规则来替代它们。


案例(1)使用网络安全组控制入站流量