什么是 Azure 安全中心？

Azure安全中心是一個(gè)統(tǒng)一的基礎(chǔ)結(jié)構(gòu)安全管理系統(tǒng)，可以增強(qiáng)數(shù)據(jù)中心的安全態(tài)勢(shì)，以及為云中（無(wú)論是否在Azure中）和本地的混合工作負(fù)荷提供高級(jí)威脅防護(hù)。

保護(hù)資源安全是你的云提供商Azure和作為客戶的你之間共同的努力。在移動(dòng)到云時(shí)必須確保工作負(fù)荷是安全的，同時(shí)，當(dāng)移動(dòng)到IaaS（基礎(chǔ)結(jié)構(gòu)即服務(wù)）時(shí)，需要承擔(dān)的客戶責(zé)任比使用PaaS（平臺(tái)即服務(wù)）和SaaS（軟件即服務(wù)）時(shí)要更多。Azure安全中心提供強(qiáng)化網(wǎng)絡(luò)、保護(hù)服務(wù)安全以及確保你掌控安全態(tài)勢(shì)所需的工具。

Azure安全中心解決了三個(gè)最緊急的安全性挑戰(zhàn)：

·快速變化的工作負(fù)載-這既是云的優(yōu)勢(shì)，也是云所帶來(lái)的挑戰(zhàn)。一方面，使最終用戶有權(quán)執(zhí)行更多的操作。另一方面，如何確保人們正在使用和創(chuàng)建的不斷變化的服務(wù)符合安全標(biāo)準(zhǔn)并且遵循安全最佳做法？

·日益復(fù)雜的攻擊-無(wú)論在何處運(yùn)行工作負(fù)荷，所面臨的攻擊都會(huì)變得越來(lái)越復(fù)雜。必須要確保你的公有云工作負(fù)荷的安全，這些實(shí)際上是面向Internet的工作負(fù)荷，如果不遵循安全最佳做法，可能會(huì)使你更易受到攻擊。

·安全技能短缺-安全警報(bào)和警報(bào)系統(tǒng)的數(shù)量遠(yuǎn)超過(guò)了具有確保你的環(huán)境受到保護(hù)所需的必要背景和經(jīng)驗(yàn)的管理員數(shù)量。及時(shí)了解最新的攻擊是一項(xiàng)持續(xù)的挑戰(zhàn)，因此在安全領(lǐng)域不斷變化的情況下不可能保持現(xiàn)狀。

為了幫助你應(yīng)對(duì)這些挑戰(zhàn)，安全中心提供了為你實(shí)現(xiàn)以下目的的工具：

·加強(qiáng)安全態(tài)勢(shì)：安全中心會(huì)評(píng)估你的環(huán)境，并使你能夠了解資源的狀態(tài)以及它們是否安全。

·防范威脅：安全中心會(huì)評(píng)估工作負(fù)荷，并提出威脅預(yù)防建議和引發(fā)安全警報(bào)。

·更快地獲取安全性：在安全中心中，一切操作都以云速度完成。由于它以本機(jī)方式集成，因此可以輕松部署安全中心，從而通過(guò)Azure服務(wù)為你提供自動(dòng)預(yù)配和保護(hù)。

體系結(jié)構(gòu)

由于安全中心本身是Azure的一部分，因此Azure中的PaaS服務(wù)（包括Service Fabric、SQL數(shù)據(jù)庫(kù)、SQL托管實(shí)例和存儲(chǔ)帳戶）會(huì)受到安全中心的監(jiān)視和保護(hù)，無(wú)需進(jìn)行任何部署。

此外，安全中心還會(huì)保護(hù)云中或本地的非Azure服務(wù)器和虛擬機(jī)（針對(duì)Windows和Linux服務(wù)器），具體方式是在其上安裝Log Analytics代理。Azure虛擬機(jī)是在安全中心中自動(dòng)預(yù)配的。

從代理和Azure收集的事件在安全分析引擎中相關(guān)聯(lián)，以為你提供量身定制的建議（強(qiáng)化任務(wù)），你應(yīng)該遵循這些建議以確保工作負(fù)荷安全，并發(fā)出安全警報(bào)。應(yīng)盡快調(diào)查此類(lèi)警報(bào)以確保沒(méi)有針對(duì)工作負(fù)荷發(fā)生的惡意攻擊。

當(dāng)啟用安全中心時(shí)，內(nèi)置到安全中心的安全策略將作為內(nèi)置的計(jì)劃反映在Azure Policy中，位于“安全中心”類(lèi)別下。內(nèi)置計(jì)劃會(huì)自動(dòng)分配到安全中心注冊(cè)的所有訂閱（無(wú)論是否已啟用Azure Defender）。內(nèi)置的計(jì)劃僅包含審核策略。有關(guān)Azure Policy中的安全中心策略的詳細(xì)信息，請(qǐng)參閱使用安全策略。

加強(qiáng)安全態(tài)勢(shì)

通過(guò)Azure安全中心可以加強(qiáng)安全態(tài)勢(shì)。這意味著它可以幫助識(shí)別和執(zhí)行建議作為安全最佳做法的強(qiáng)化任務(wù)，并跨計(jì)算機(jī)、數(shù)據(jù)服務(wù)和應(yīng)用實(shí)現(xiàn)這些任務(wù)。這包括管理和強(qiáng)制實(shí)施安全策略，以及確保Azure虛擬機(jī)、非Azure服務(wù)器和Azure PaaS服務(wù)的符合性。安全中心提供了對(duì)工作負(fù)荷進(jìn)行鳥(niǎo)瞰所需的工具，并且使你能夠集中查看網(wǎng)絡(luò)安全資產(chǎn)。

管理組織安全策略和符合性

了解并確保工作負(fù)荷的安全性是保障安全的基礎(chǔ)，并且要從擁有量身定制的適當(dāng)安全策略開(kāi)始。由于安全中心的所有策略都是基于Azure Policy控制構(gòu)建的，因此你將獲得世界級(jí)策略解決方案的全方位服務(wù)和靈活性。在安全中心中，可以將策略設(shè)置為在管理組上、訂閱中以及甚至為整個(gè)租戶運(yùn)行。

安全中心可以幫助識(shí)別影子IT訂閱。通過(guò)在儀表板中查看標(biāo)記為“未涵蓋”的訂閱，可以立即知道新訂閱創(chuàng)建的時(shí)間并確保策略已涵蓋了這些訂閱以及確保它們受到Azure安全中心的保護(hù)。

持續(xù)評(píng)估

安全中心會(huì)持續(xù)發(fā)現(xiàn)部署在工作負(fù)荷中的新資源并評(píng)估它們是否已根據(jù)安全最佳做法進(jìn)行了配置，如果沒(méi)有，則會(huì)將它們標(biāo)記出來(lái)，并且你將獲得一個(gè)按優(yōu)先級(jí)排列的建議列表，便于你進(jìn)行修復(fù)以保護(hù)計(jì)算機(jī)。此建議列表由Azure安全基準(zhǔn)實(shí)現(xiàn)和支持；該基準(zhǔn)是Microsoft針對(duì)基于常見(jiàn)合規(guī)性框架的安全與合規(guī)最佳做法創(chuàng)作的一組特定于Azure的準(zhǔn)則。這一公認(rèn)的基準(zhǔn)建立在Internet安全中心(CIS)和國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的控制基礎(chǔ)上，重點(diǎn)關(guān)注以云為中心的安全性。

為了幫助你了解每個(gè)建議對(duì)整體安全狀況的重要程度，安全中心將建議分組到安全控件中，并向每個(gè)控件添加“安全分?jǐn)?shù)”值。這一點(diǎn)在你設(shè)置安全工作的優(yōu)先級(jí)時(shí)至關(guān)重要。

網(wǎng)絡(luò)映射

安全中心提供用于持續(xù)監(jiān)視網(wǎng)絡(luò)安全狀態(tài)的強(qiáng)大工具之一是網(wǎng)絡(luò)映射。通過(guò)映射可以查看工作負(fù)荷的拓?fù)?，從而可以查看是否已正確配置了每個(gè)節(jié)點(diǎn)?？梢钥吹焦?jié)點(diǎn)的連接方式，這有助于阻止不必要的連接，這些連接可能使攻擊者更容易沿網(wǎng)絡(luò)爬行。

通過(guò)配置建議的控制來(lái)優(yōu)化和提高安全性

Azure安全中心的值的核心在于其建議。這些建議是針對(duì)在工作負(fù)荷上發(fā)現(xiàn)的特定安全問(wèn)題而量身定制的，安全中心不僅可以通過(guò)查找漏洞來(lái)為你執(zhí)行安全管理工作，還可以通過(guò)為你提供有關(guān)如何清除漏洞的具體說(shuō)明來(lái)進(jìn)行。

通過(guò)這種方式，安全中心不僅使你能夠設(shè)置安全策略，還使你能夠在整個(gè)資源中應(yīng)用安全配置標(biāo)準(zhǔn)。

這些建議有助于降低每個(gè)資源的攻擊面。其中包括Azure虛擬機(jī)、非Azure服務(wù)器和Azure PaaS服務(wù)（如SQL和存儲(chǔ)帳戶等），其中每種類(lèi)型的資源都以不同的方式被評(píng)估并且具有自己的標(biāo)準(zhǔn)。

防范威脅

通過(guò)安全中心的威脅防護(hù)，可以在基礎(chǔ)結(jié)構(gòu)即服務(wù)(IaaS)層、非Azure服務(wù)器以及針對(duì)Azure中的平臺(tái)即服務(wù)(PaaS)進(jìn)行檢測(cè)和防范威脅。

安全中心的威脅防護(hù)包括融合殺傷鏈分析，它可以基于網(wǎng)絡(luò)殺傷鏈分析自動(dòng)關(guān)聯(lián)環(huán)境中的警報(bào)，有助于更好地了解攻擊活動(dòng)的完整情況，例如它的起始位置以及它對(duì)資源造成的影響。

保護(hù)PaaS

安全中心有助于跨Azure PaaS服務(wù)檢測(cè)威脅?？梢詸z測(cè)針對(duì)Azure服務(wù)的威脅，包括Azure應(yīng)用服務(wù)、Azure SQL、Azure存儲(chǔ)帳戶和更多數(shù)據(jù)服務(wù)。還可以利用與Microsoft Cloud App Security的用戶和實(shí)體行為分析(UEBA)的本機(jī)集成來(lái)對(duì)Azure活動(dòng)日志執(zhí)行異常情況檢測(cè)。

阻止暴力攻擊

安全中心可以幫助限制暴露在暴力攻擊下。通過(guò)減少對(duì)虛擬機(jī)端口的訪問(wèn)，使用實(shí)時(shí)VM訪問(wèn)，可以通過(guò)阻止不必要的訪問(wèn)來(lái)強(qiáng)化網(wǎng)絡(luò)?？梢栽谒x端口上設(shè)置安全訪問(wèn)策略，僅限授權(quán)用戶、允許的源IP地址范圍或IP地址，以及僅在有限的時(shí)間內(nèi)。

保護(hù)數(shù)據(jù)服務(wù)

安全中心包含有助于在Azure SQL中執(zhí)行對(duì)數(shù)據(jù)進(jìn)行自動(dòng)分類(lèi)的功能。還可以獲取跨Azure SQL和存儲(chǔ)服務(wù)對(duì)潛在漏洞進(jìn)行的評(píng)估，以及有關(guān)如何緩解這些問(wèn)題的建議。

更快地獲取安全性

結(jié)合運(yùn)用本機(jī)Azure集成（包括Azure Policy和Azure Monitor日志）與其他Microsoft安全解決方案（如Microsoft Cloud App Security和Microsoft Defender for Endpoint）的無(wú)縫集成，有助于確保安全解決方案的全面性，并且易于載入和推出。

此外，可以將完整的解決方案擴(kuò)展到Azure外在其他云和本地?cái)?shù)據(jù)中心中運(yùn)行的工作負(fù)荷。

自動(dòng)發(fā)現(xiàn)和載入Azure資源

安全中心提供與Azure和Azure資源的無(wú)縫本機(jī)集成。這意味著可以跨所有Azure資源匯總涉及到Azure Policy和內(nèi)置安全中心策略的完整安全性內(nèi)容，并確保你在Azure中創(chuàng)建資源時(shí)所有內(nèi)容會(huì)自動(dòng)應(yīng)用到新發(fā)現(xiàn)的資源。

廣泛的日志收集-Windows和Linux中的日志都可以在安全分析引擎中得到利用，并用于創(chuàng)建建議和警報(bào)。