云托管解锁了以前大多数组织无法企及的速度和敏捷性. With cloud infrastructure such as Amazon (AWS), Microsoft Azure或Microsoft Web 服务(也称为基础设施即服务(IaaS))团队可以以颠覆性的速度移动,同时实现节省和效率.
Some of the specific benefits of IaaS include the following:
Azure安全是微软为保护Azure云环境而提供的本地安全元素的组合. 物理基础设施和网络元素属于这种保护, featuring built-in controls 和 services across identity, data, 网络, 和应用程序. 然而, 作为客户,您应该意识到自己在进一步加强Azure云上操作的专有数据的安全性方面的责任.
Azure安全中心是监视安全事件和为这些事件创建警报的中心枢纽. 它具有针对云工作负载的威胁保护功能,并且可以在任何给定时间提供对资源状态的可见性. 它还可以监控不属于Azure生态系统的混合云环境.
While the benefits of cloud hosting are well-documented, 云安全 is still new for many organizations. The reality is that for the most part, 在本地环境中存在的相同的安全考虑和责任在云中的某些表现中仍然存在.
一个新的挑战是,虽然内部部署环境中的边界很容易理解, 向云托管和云应用程序的转变使得边界变得更加普遍. 云计算客户与其提供商共同承担安全责任,并应确保这些责任得到充分理解和记录,以避免任何复发. 继续阅读以了解有关保护Microsoft Azure环境的更多信息,或了解有关AWS云安全最佳实践的更多信息.
微软Azure客户将可以访问一些Azure云安全功能,但也需要用自己的安全工作和工具来补充这些功能,以实现全面的覆盖. 客户必须考虑保护和监控他们的Azure云计算基础设施以及他们可能正在使用的任何微软SaaS应用程序.
与内部部署系统一样,了解谁在何时访问什么内容至关重要. 在迁移之前, teams should not only have a plan of what this will look like initially, but also how they’ll scale this as their cloud adoption grows over time. 多因素身份验证和最低访问权限是很好的起点.
It’s also important to underst和 what’s in the box. Not all packages are created equal, 不幸的是, some fundamental monitoring may not be included or turned on by default. 再一次。, 确保在迁移之前很好地理解安全覆盖的范围,并制定适当的计划来填补任何现有的空白,这一点很重要.
As is the case with protecting any environment, the first step in protecting Azure cloud 和 users is visibility. 对潜在恶意行为的早期检测取决于对环境中的活动的理解. Cloud logs are the best source of this insight, 但是许多团队都是这种类型的日志记录的新手,在配置这些日志并从中产生可操作的见解时可能会遇到挑战.
当团队构建一个在云中记录日志的计划,并确定哪些日志与他们的Azure环境最相关时, there are a few important considerations to ensure success.
首先,需要打开日志! 有些Azure日志是默认启用的,但其他许多日志可能需要显式配置. 每个订阅层都有不同的默认日志配置,可能需要对其进行调整,以确保正确的日志正在流动. Don’t make any assumptions. It’s important to underst和 which logs are on by default, configure any that may be missing, 并确认在这些日志中捕获了相关的和预期的对象.
Second, centralize to Event Hubs. Methods for exporting data may vary by log type. 事件中心日志, 例如, are sometimes offered via an export feature, 设置, or a checkbox as you configure the log. You have to make sure the logs are flowing appropriately.
Third, check your subscription. 同样,每种订阅类型都有日志记录和配置的细微差别. 例如, Azure Security Center access is not available in all subscription tiers, which means you could miss these third-party alerts. Azure Active 导演y Sign-In 和 Audit Logs, which many security teams would consider a must-have, require a P1 or P2 subscription at minimum to start.
有了适当的配置和日志流,团队就可以开始将这些数据推送到他们的 security information 和 event management (SIEM) tool. Azure事件中心通常用于聚合日志并将其导出到SIEM中. 同样,将单独配置日志以流入Event Hub.
用a中的数据 SIEM, you’ll have consolidated visibility of your Azure environment, 还可以将这些数据与来自环境中其他系统的数据一起查看. 一些传统的siem可能还不能注入这些不同的数据集. When evaluating modern SIEMs, 理解和验证您的团队如何跨云聚合数据是很重要的, 本地, 远程资产. 另外, a strong SIEM tool will offer normalization, 相关, 和归因,以帮助检测和跟踪攻击者,因为他们在这些系统中移动.