系统极客一直在努力
专注于操作系统及软件使用教程

Azure Security Center安全中心概述

Azure

Azure Security Center 是用于全面监控你于 Azure 中部署服务的集中解决方案,微软于上月底正式宣布了「Azure 安全中心」功能正式上线。

什么是Azure安全中心

由于意识到基于独立解决方案的旧有模式(如防火墙和防病毒软件)并不能很好地保护企业免受安全威胁,因此「Azure 安全中心」成为了微软企业安全的愿景。微软在 AzureCon 2015 会议上首次对外公布「Azure 安全中心」服务,并早在 2015 年 12 月 2 日就推出了该功能的公共预览

「Azure 安全中心」可以从部署于 Azure 中的资源及第三方解决方案(如应用程序网关、下一代防火墙)侦测并收集数据,以向用户提供网络安全状态的统一视图。它通过加强用户对 Azure 资源能见度及控制权的方式,来协助你预防、侦测并应对威胁。「Azure 安全中心」提供 Azure 内置的威胁预防、检测及响应能力,工作起来十分简单高效。

作为组织的云服务管理员或运维人员,请简单试想一下如下场景:

  • 数据库服务器遭受大量异常的远程登录活动
  • 防火墙显示数据库服务器大量异常传输至某个未知IP

对于防火墙配置为允许出站数据流及允许数据库远程登录时,突发的连接活动并不罕见。但如果你综合上述两条情况一同分析下就会发现,很可能是管理员的合法身份被盗用来下载数据库内容了。对于这类攻击类型「Azure 安全中心」可以很容易检测并识别出来,并对其进行相应标识或提示。

azure-security-center-2

基于 Azure Machine Learning 技术,Azure Security Center 可以非常容易了解并关联监控到所有订阅,而非权针对单个订阅来实现。一旦后台系统确认有不安全事件,安全中心可以向管理员发出告警提示。

如果有必要,Azure Security Center 的所有数据是可以跨订阅,在 Power BI 中通过安全见解仪表板策略管理仪表板这 2 个仪表板进行数据分析的。

azure-security-center-3

虚拟机支持

就目前而言,Azure 安全中心的侧重点还在 Azure VM 上,但对其它 Azure 服务和 SQL 数据库的支持也将在近期添加。目前已支持的 Azure VM 系统如下(FAQ):

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Ubuntu versions 12.04、14.04、15.10、16.04
  • Debian versions 7、8
  • CentOS versions 6.x、7.x
  • Red Hat Enterprise Linux (RHEL) versions 6.x、7.x
  • SUSE Linux Enterprise Server (SLES) versions 11.x、12.x

安全中心建议

微软有很多对 Azure 操作系统和应用程序的安全最佳实践,Azure 安全中心会收集用户环境数据并根据最佳实践信息进行分析并在 Azure Security Center 中作出建议。例如在默认情况下,它会建议你在 DMZ 中部署虚拟安全设备等。下图为一些安全建议示例:

azure-security-center-4

安全策略

安全策略是用于控制「Azure 安全中心」各种建议的高级机制,例如你决定不部署虚拟安全设备而只使用网络安全组(NSG)和 NAT 规则,则可以通过禁用保护策略中的「Web 应用程序防火墙」和「下一代防火墙」开关来实现。

azure-security-center-5

策略机制允许管理员对各种复杂的警报进行控制,你可以配置一个全局统一的安全策略(自动继承)或分别针对不同的资源组配置安全策略。

电子邮件通知

大概没人会每天订着 Azure Portal 看各种警报吧,所以与其它监控解决方案类似,Azure 安全中心的警告信息也可以通过 email(类似邮件通讯组)或电话号码(类似 help desk)的方式获得微软的通知(预览中,即将上线)。

azure-security-center-6

你可能会收到的警报大概有:

  • 已经的恶意 IP 地址与虚拟机通信
  • 洪水类攻击
  • 与 Azure Security Center 集成的合作伙伴安全解决方案的安全警报

安全中心定价

Operations Management Suite(OMS)的收费模式一样,Azure Security Center 作为基础安全服务也采用了免费和增值模式两种类型,收费模式为 $15 每节点每月。

功能 免费 标准
安全策略、评估和建议 Y Y
连接合作伙伴解决方案 Y Y
基本安全警报 Y Y
高级威胁检测 N Y
威胁情报 N Y
行为分析 N Y
崩溃分析 N Y
异常检测 N Y
日常数据分配 适用 500MB 每天
价格 免费 $15/节点/月

免费模式只是免功能费,数据存储即「存储空间」的使用是要收费的哦。标准版的每节点代表每服务器,例如配置了 10 台虚拟机,那么价格就 x 10。

分享到:更多 ()