Azure安全性你了解多少？

Windows Azure是微軟基于云計算的操作系統(tǒng)，后更名為“Microsoft Azure”，和Azure Services Platform一樣，是微軟“軟件和服務”技術(shù)的名稱。Windows Azure的主要目標是為開發(fā)者提供一個平臺，幫助開發(fā)可運行在云服務器、數(shù)據(jù)中心、Web和PC上的應用程序。云計算的開發(fā)者能使用微軟全球數(shù)據(jù)中心的儲存、計算能力和網(wǎng)絡基礎服務。Azure服務平臺包括了以下主要組件：Windows Azure；Microsoft SQL數(shù)據(jù)庫服務，Microsoft.Net服務；用于分享、儲存和同步文件的Live服務；針對商業(yè)的Microsoft SharePoint和Microsoft Dynamics CRM服務。

Azure是一種靈活和支持互操作的平臺，它可以被用來創(chuàng)建云中運行的應用或者通過基于云的特性來加強現(xiàn)有應用。它開放式的架構(gòu)給開發(fā)者提供了Web應用、互聯(lián)設備的應用、個人電腦、服務器、或者提供最優(yōu)在線復雜解決方案的選擇。Windows Azure以云技術(shù)為核心，提供了軟件+服務的計算方法。它是Azure服務平臺的基礎。Azure能夠?qū)⑻幱谠贫说拈_發(fā)者個人能力，同微軟全球數(shù)據(jù)中心網(wǎng)絡托管的服務，比如存儲、計算和網(wǎng)絡基礎設施服務，緊密結(jié)合起來。

不管性能如何，必定安全性才是最重要的。

現(xiàn)在談談Azure的安全建議，毋庸置疑，Azure的安全性非常復雜。

首先，云基礎設施是復雜的，所以如果你不能一次性理解所有內(nèi)容，也不要太擔心。

Azure的基本網(wǎng)絡防御和技術(shù)

Azure有很多網(wǎng)絡防御方法，下面是一些你必須了解的防御技術(shù)，我建議你先了解這些：

虛擬網(wǎng)絡；

網(wǎng)絡安全組；

服務端點；

Azure專用鏈接；

Web應用程序防火墻；

Azure堡壘；

Azure防火墻；

Azure安全中心；

Azure Sentinel；

DDoS保護；

……

接下來，你需要了解各種應用層防御/技術(shù)，比如:

Azure Active Directory；

設置多因素身份驗證；

Azure AD特權(quán)身份管理；

服務主體和托管身份；

應用程序網(wǎng)關(guān)；

應用程序安全組(它們與NSGs相關(guān)聯(lián))；

特定于應用程序的“防火墻”(如;SQL Server,CosmosDB等)；

密鑰庫；

RBAC；

Azure策略和計劃；

OAuth 2和OpenID Connect；

特定于應用程序的靜態(tài)數(shù)據(jù)加密，例如用于存儲帳戶；

……

合規(guī)性

另一個與安全相關(guān)的重要主題是合規(guī)性，因為我知道安全性是建立在合規(guī)性上。

構(gòu)建

既然你已經(jīng)對Azure中與安全相關(guān)的核心工具和技術(shù)有了基本的了解，那么現(xiàn)在就該創(chuàng)建一些東西了。你決定創(chuàng)造什么取決于你，但我首先要說的是:

1.在同一個虛擬機網(wǎng)絡中創(chuàng)建兩個虛擬機，但是使用不同的子網(wǎng)，試著把一個虛擬機和另一個虛擬機連接起來。

2.使用相同的VM，將一個NSG添加到一個子網(wǎng)中，該子網(wǎng)將阻止所有與其他VM的IP地址之間的通信。你可以從另一臺虛擬機ping一個虛擬機嗎？

3.在不同的VNet中創(chuàng)建兩個VM，嘗試ping它們，是否可行？

4.加密其中一個虛擬機的硬盤驅(qū)動器，你將需要創(chuàng)建一個密鑰庫來完成此任務；

5.查看與VM關(guān)聯(lián)的NSG，在Azure安全中心中啟用對VM的即時（JIT）訪問，看看會發(fā)生什么？

6.創(chuàng)建一個密鑰庫，添加一個密鑰并從Azure函數(shù)中提取密鑰。這非常復雜，需要向函數(shù)添加托管身份，或者在與密鑰庫相同的VNet中運行該函數(shù)。

7.如果在上面的示例中使用了托管身份，請確保你為密鑰保險庫分配了最小特權(quán)訪問權(quán)限（只對秘鑰有讀取訪問權(quán)限，而沒有其他權(quán)限）；

8.使用非常具體的操作創(chuàng)建自定義角色；

9.在存儲帳戶中創(chuàng)建一個blob，嘗試各種授權(quán)策略，尤其是SAS令牌。

10.安裝Azure SQL并配置“始終加密”；

11.使用Azure Monitor查看誰在對你的訂閱執(zhí)行操作；

12.在某個事件類型上設置警報；

13.開放Azure安全中心，查看你的問題(紅色)，查看合規(guī)性問題(PCI等)；

14.修復ASC標記的內(nèi)容；

15.設置僅允許由硬件支持的Key Vault的策略，并創(chuàng)建非HSM KV（即，不允許Premium）。請記住，部署策略后可能需要30分鐘才能生效。具體過程，請點此。

順便說一下，我經(jīng)常使用一個名為rg-dev-sandbox的資源組，這樣我就可以在完成任務后將資源組刪除，不會留下任何東西。

了解了以上關(guān)于Azure的基本安全性后，是時候深入學習了。選擇一個產(chǎn)品，比如Azure SQL數(shù)據(jù)庫，學習關(guān)于該產(chǎn)品的安全性、可靠性、遵從性和隱私方面的所有知識。對于Azure SQL這樣的產(chǎn)品，安全性包括：

1.靜態(tài)數(shù)據(jù)的訪問策略；

2.用于靜態(tài)數(shù)據(jù)的加密(TDE，總是加密的，列加密)；

3.對線路上的數(shù)據(jù)進行加密(即TLS!)；

4.審計；

5.災難恢復；

6.安全訪問連接字符串；

7.Azure AD與SQL身份驗證；

8.數(shù)據(jù)屏蔽（不是真正的安全性，但是還是有用的）；

9.威脅保護；

10.Azure SQL防火墻(注意小寫的f，因為它不是真正的‘F’irewal；

11.SQL注入問題和補救措施

使用AZ-500認證

我知道有些人對認證持懷疑態(tài)度，但Azure認證并不容易，你可以在這里獲得更多關(guān)于認證的信息?？傊?，我希望這篇文章能幫助你從另外一個側(cè)面了解Azure的安全。

參考及來源：https://michaelhowardsecure.blog/2020/02/14/so-you-want-to-learn-azure-security/