Azure安全性你了解多少？

Windows Azure是微軟基于云計(jì)算的操作系統(tǒng)，后更名為“Microsoft Azure”，和Azure Services Platform一樣，是微軟“軟件和服務(wù)”技術(shù)的名稱。Windows Azure的主要目標(biāo)是為開發(fā)者提供一個(gè)平臺(tái)，幫助開發(fā)可運(yùn)行在云服務(wù)器、數(shù)據(jù)中心、Web和PC上的應(yīng)用程序。云計(jì)算的開發(fā)者能使用微軟全球數(shù)據(jù)中心的儲(chǔ)存、計(jì)算能力和網(wǎng)絡(luò)基礎(chǔ)服務(wù)。Azure服務(wù)平臺(tái)包括了以下主要組件：Windows Azure；Microsoft SQL數(shù)據(jù)庫(kù)服務(wù)，Microsoft.Net服務(wù)；用于分享、儲(chǔ)存和同步文件的Live服務(wù)；針對(duì)商業(yè)的Microsoft SharePoint和Microsoft Dynamics CRM服務(wù)。

Azure是一種靈活和支持互操作的平臺(tái)，它可以被用來創(chuàng)建云中運(yùn)行的應(yīng)用或者通過基于云的特性來加強(qiáng)現(xiàn)有應(yīng)用。它開放式的架構(gòu)給開發(fā)者提供了Web應(yīng)用、互聯(lián)設(shè)備的應(yīng)用、個(gè)人電腦、服務(wù)器、或者提供最優(yōu)在線復(fù)雜解決方案的選擇。Windows Azure以云技術(shù)為核心，提供了軟件+服務(wù)的計(jì)算方法。它是Azure服務(wù)平臺(tái)的基礎(chǔ)。Azure能夠?qū)⑻幱谠贫说拈_發(fā)者個(gè)人能力，同微軟全球數(shù)據(jù)中心網(wǎng)絡(luò)托管的服務(wù)，比如存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)，緊密結(jié)合起來。

不管性能如何，必定安全性才是最重要的。

現(xiàn)在談?wù)凙zure的安全建議，毋庸置疑，Azure的安全性非常復(fù)雜。

首先，云基礎(chǔ)設(shè)施是復(fù)雜的，所以如果你不能一次性理解所有內(nèi)容，也不要太擔(dān)心。

Azure的基本網(wǎng)絡(luò)防御和技術(shù)

Azure有很多網(wǎng)絡(luò)防御方法，下面是一些你必須了解的防御技術(shù)，我建議你先了解這些：

虛擬網(wǎng)絡(luò)；

網(wǎng)絡(luò)安全組；

服務(wù)端點(diǎn)；

Azure專用鏈接；

Web應(yīng)用程序防火墻；

Azure堡壘；

Azure防火墻；

Azure安全中心；

Azure Sentinel；

DDoS保護(hù)；

……

接下來，你需要了解各種應(yīng)用層防御/技術(shù)，比如:

Azure Active Directory；

設(shè)置多因素身份驗(yàn)證；

Azure AD特權(quán)身份管理；

服務(wù)主體和托管身份；

應(yīng)用程序網(wǎng)關(guān)；

應(yīng)用程序安全組(它們與NSGs相關(guān)聯(lián))；

特定于應(yīng)用程序的“防火墻”(如;SQL Server,CosmosDB等)；

密鑰庫(kù)；

RBAC；

Azure策略和計(jì)劃；

OAuth 2和OpenID Connect；

特定于應(yīng)用程序的靜態(tài)數(shù)據(jù)加密，例如用于存儲(chǔ)帳戶；

……

合規(guī)性

另一個(gè)與安全相關(guān)的重要主題是合規(guī)性，因?yàn)槲抑腊踩允墙⒃诤弦?guī)性上。

構(gòu)建

既然你已經(jīng)對(duì)Azure中與安全相關(guān)的核心工具和技術(shù)有了基本的了解，那么現(xiàn)在就該創(chuàng)建一些東西了。你決定創(chuàng)造什么取決于你，但我首先要說的是:

1.在同一個(gè)虛擬機(jī)網(wǎng)絡(luò)中創(chuàng)建兩個(gè)虛擬機(jī)，但是使用不同的子網(wǎng)，試著把一個(gè)虛擬機(jī)和另一個(gè)虛擬機(jī)連接起來。

2.使用相同的VM，將一個(gè)NSG添加到一個(gè)子網(wǎng)中，該子網(wǎng)將阻止所有與其他VM的IP地址之間的通信。你可以從另一臺(tái)虛擬機(jī)ping一個(gè)虛擬機(jī)嗎？

3.在不同的VNet中創(chuàng)建兩個(gè)VM，嘗試ping它們，是否可行？

4.加密其中一個(gè)虛擬機(jī)的硬盤驅(qū)動(dòng)器，你將需要?jiǎng)?chuàng)建一個(gè)密鑰庫(kù)來完成此任務(wù)；

5.查看與VM關(guān)聯(lián)的NSG，在Azure安全中心中啟用對(duì)VM的即時(shí)（JIT）訪問，看看會(huì)發(fā)生什么？

6.創(chuàng)建一個(gè)密鑰庫(kù)，添加一個(gè)密鑰并從Azure函數(shù)中提取密鑰。這非常復(fù)雜，需要向函數(shù)添加托管身份，或者在與密鑰庫(kù)相同的VNet中運(yùn)行該函數(shù)。

7.如果在上面的示例中使用了托管身份，請(qǐng)確保你為密鑰保險(xiǎn)庫(kù)分配了最小特權(quán)訪問權(quán)限（只對(duì)秘鑰有讀取訪問權(quán)限，而沒有其他權(quán)限）；

8.使用非常具體的操作創(chuàng)建自定義角色；

9.在存儲(chǔ)帳戶中創(chuàng)建一個(gè)blob，嘗試各種授權(quán)策略，尤其是SAS令牌。

10.安裝Azure SQL并配置“始終加密”；

11.使用Azure Monitor查看誰(shuí)在對(duì)你的訂閱執(zhí)行操作；

12.在某個(gè)事件類型上設(shè)置警報(bào)；

13.開放Azure安全中心，查看你的問題(紅色)，查看合規(guī)性問題(PCI等)；

14.修復(fù)ASC標(biāo)記的內(nèi)容；

15.設(shè)置僅允許由硬件支持的Key Vault的策略，并創(chuàng)建非HSM KV（即，不允許Premium）。請(qǐng)記住，部署策略后可能需要30分鐘才能生效。具體過程，請(qǐng)點(diǎn)此。

順便說一下，我經(jīng)常使用一個(gè)名為rg-dev-sandbox的資源組，這樣我就可以在完成任務(wù)后將資源組刪除，不會(huì)留下任何東西。

了解了以上關(guān)于Azure的基本安全性后，是時(shí)候深入學(xué)習(xí)了。選擇一個(gè)產(chǎn)品，比如Azure SQL數(shù)據(jù)庫(kù)，學(xué)習(xí)關(guān)于該產(chǎn)品的安全性、可靠性、遵從性和隱私方面的所有知識(shí)。對(duì)于Azure SQL這樣的產(chǎn)品，安全性包括：

1.靜態(tài)數(shù)據(jù)的訪問策略；

2.用于靜態(tài)數(shù)據(jù)的加密(TDE，總是加密的，列加密)；

3.對(duì)線路上的數(shù)據(jù)進(jìn)行加密(即TLS!)；

4.審計(jì)；

5.災(zāi)難恢復(fù)；

6.安全訪問連接字符串；

7.Azure AD與SQL身份驗(yàn)證；

8.數(shù)據(jù)屏蔽（不是真正的安全性，但是還是有用的）；

9.威脅保護(hù)；

10.Azure SQL防火墻(注意小寫的f，因?yàn)樗皇钦嬲摹瓼’irewal；

11.SQL注入問題和補(bǔ)救措施

使用AZ-500認(rèn)證

我知道有些人對(duì)認(rèn)證持懷疑態(tài)度，但Azure認(rèn)證并不容易，你可以在這里獲得更多關(guān)于認(rèn)證的信息。總之，我希望這篇文章能幫助你從另外一個(gè)側(cè)面了解Azure的安全。

參考及來源：https://michaelhowardsecure.blog/2020/02/14/so-you-want-to-learn-azure-security/