云托管解锁了以前大多数组织无法企及的速度和敏捷性. 借助亚马逊(Amazon)等云基础设施,, Microsoft Azure或Microsoft Web 服务(也称为基础设施即服务(IaaS))团队可以以颠覆性的速度移动,同时实现节省和效率.
IaaS的一些具体好处包括:
Azure安全是微软为保护Azure云环境而提供的本地安全元素的组合. 物理基础设施和网络元素属于这种保护, 具有跨身份的内置控件和服务, data, 网络, 和应用程序. 然而, 作为客户,您应该意识到自己在进一步加强Azure云上操作的专有数据的安全性方面的责任.
Azure安全中心是监视安全事件和为这些事件创建警报的中心枢纽. 它具有针对云工作负载的威胁保护功能,并且可以在任何给定时间提供对资源状态的可见性. 它还可以监控不属于Azure生态系统的混合云环境.
虽然云托管的好处有据可查, 云安全 对许多组织来说仍然是新的. 现实是,在很大程度上, 在本地环境中存在的相同的安全考虑和责任在云中的某些表现中仍然存在.
一个新的挑战是,虽然内部部署环境中的边界很容易理解, 向云托管和云应用程序的转变使得边界变得更加普遍. 云计算客户与其提供商共同承担安全责任,并应确保这些责任得到充分理解和记录,以避免任何复发. 继续阅读以了解有关保护Microsoft Azure环境的更多信息,或了解有关AWS云安全最佳实践的更多信息.
微软Azure客户将可以访问一些Azure云安全功能,但也需要用自己的安全工作和工具来补充这些功能,以实现全面的覆盖. 客户必须考虑保护和监控他们的Azure云计算基础设施以及他们可能正在使用的任何微软SaaS应用程序.
与内部部署系统一样,了解谁在何时访问什么内容至关重要. 在迁移之前, 团队不仅应该有一个最初将会是什么样子的计划, 但随着时间的推移,他们将如何扩展云计算. 多因素身份验证和最低访问权限是很好的起点.
了解盒子里是什么也很重要. 并不是所有的包都是一样的, 不幸的是, 默认情况下,某些基本监视可能不包括或不打开. 再一次。, 确保在迁移之前很好地理解安全覆盖的范围,并制定适当的计划来填补任何现有的空白,这一点很重要.
就像保护任何环境一样, 保护Azure云和用户的第一步是可见性. 对潜在恶意行为的早期检测取决于对环境中的活动的理解. 云日志是这种见解的最佳来源, 但是许多团队都是这种类型的日志记录的新手,在配置这些日志并从中产生可操作的见解时可能会遇到挑战.
当团队构建一个在云中记录日志的计划,并确定哪些日志与他们的Azure环境最相关时, 要确保成功,有几个重要的考虑因素.
首先,需要打开日志! 有些Azure日志是默认启用的,但其他许多日志可能需要显式配置. 每个订阅层都有不同的默认日志配置,可能需要对其进行调整,以确保正确的日志正在流动. 不要做任何假设. 了解默认情况下打开哪些日志是很重要的, 配置任何可能丢失的, 并确认在这些日志中捕获了相关的和预期的对象.
其次,集中到事件中心. 不同的日志类型,导出数据的方法可能不同. 事件中心日志, 例如, 有时通过导出功能提供, 设置, 或配置日志时的复选框. 您必须确保日志正常运行.
第三,检查你的订阅. 同样,每种订阅类型都有日志记录和配置的细微差别. 例如, 并非在所有订阅层中都可访问Azure安全中心, 也就是说你可能会错过这些第三方提醒. Azure Active 导演y登录和审计日志, 哪些是许多安全团队认为必须具备的, 至少需要P1或P2订阅才能启动.
有了适当的配置和日志流,团队就可以开始将这些数据推送到他们的 安全信息和事件管理(SIEM)工具. Azure事件中心通常用于聚合日志并将其导出到SIEM中. 同样,将单独配置日志以流入Event Hub.
用a中的数据 SIEM, 您将获得Azure环境的统一可见性, 还可以将这些数据与来自环境中其他系统的数据一起查看. 一些传统的siem可能还不能注入这些不同的数据集. 在评估现代siem时, 理解和验证您的团队如何跨云聚合数据是很重要的, 本地, 远程资产. 另外, 强大的SIEM工具将提供规范化, 相关, 和归因,以帮助检测和跟踪攻击者,因为他们在这些系统中移动.