UCOM 職能補給站

提供您專業技能的最佳管道,IT企業主管唯一推薦

2021年6月15日 星期二

保護企業雲端的Azure資訊安全中心

作者:蘇建榮  精誠資訊/恆逸教育訓練中心資深講師


前言

Microsoft Azure 是微軟所營運的公有雲,並可透過 Site-to-Site VPN ExpressRoute 將企業內部網路與 Azure 中的虛擬網路安全的連接(使用 private ip 相互存取),將 Azure 做為您的另一個 Data Center。它讓我們不需建置與維護實體的硬體設備,就可快速部署、彈性調整規模並且有高可用度,而用多少付多少的計費方式,我們可以容易的估算與控制成本,適合任何規模的企業與個人使用。

Azure Regions(區域) 遍布全球,目前已經超過 60 個以上,20201026日也公告即將會有 Taiwan North 這個 Region。微軟在 2021427日公布的財報顯示,在微軟單一產品或服務中,成長最快的是 Azure(成長 50%)。許多朋友在評估是否使用公有雲時,大多會考量安全性與合規性,Azure 有許多可以幫助我們提高安全性的產品,例如:Azure FirewallDDoS Protection PlanNetwork Security GroupWeb Application Firewall 等。而Azure資訊安全中心(Security Center)更可以為我們提供量身訂製的安全建議與做法。


使用「啟用 Azure Defender」的資訊安全中心

Azure 入口網站的入口網站功能表選取「資訊安全中心」,在開始使用按「升級」,在自動佈建按「安裝代理程式」,等待一段時間後就升級為啟用 Azure Defender 的版本( 30 天免費)

 

指派安全性原則

在資訊安全中心選取「安全性原則」,再點選您的訂用帳戶後,看到「資訊安全中心的預設原則」,這是 Azure 資訊安全中心建議的預設原則,預設會自動啟用(在啟用 Azure Defender 後,經過一會兒的時間會自動啟用)。在「產業與法規標準」看到「Azure Security Benchmark」,它是根據 Azure 建議的一組原則與評定,在合規性儀表板中追蹤 Azure Security Benchmark 的管控,它預設已是啟用狀態,若您不需要它,可按在它右方的「停用」。此外,也看到「PCI DSS 3.2.1」、「ISO 27001」、「SOC TSP」,若有需要,您可再按它們右方的「啟用」。您也可按「新增更多標準」加上更多的標準,例如按「ISO 27001:2013」右方的「新增」後,按「檢閱+建立」,再按「建立」。



查看安全建議與法規合規性

在資訊安全中心選取「建議」,您可以看到您的安全分數(分數愈高愈安全),您可以在下方的表單中看到細部的安全建議與補救步驟。若您的訂用帳戶中有 Azure 虛擬機器,您可展開「安全管理連接埠」,點選「應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠」,勾選您的虛擬機器後,按「修正」,再按「儲存」。這樣這部虛擬機器就被 JIT VM Access 保護(透過 Network Security Group 對管理用的 TCP Port 進行封鎖),要連到它進行管理前需先要求存取權限才能連到,且預設 3 小時後自動關閉管理用的 TCP Port。若要查看法規合規性,您可以在資訊安全中心選取「法規合規性」,再點選您想要看的合規性法規標準(例如:ISO 27001:2013)即可。








 

結語

Azure 資訊安全中心,它可以分析、評估 Azure 訂用帳戶中的各種資源,以及有安裝 Microsoft Monitoring Agent,並回報到記錄分析工作區中的企業內部(或在其他公有雲中),針對真實電腦與虛擬機器的安全性與合規性提供建議與補救步驟(Remediation steps),讓企業的資訊系統更加安全。





👍學習推薦

l   AZ900T00Microsoft Azure 基礎知識

此課程是學習 Microsoft Azure 與參加 Microsoft Azure 認證系列課程的最佳入門課程,廣泛的介紹 Azure 提供的多種服務與功能。

 

l   AZ104Microsoft Azure 管理員認證班

此課程是專為 Azure 管理員所設計,對身分識別、虛擬網路、虛擬機器、儲存體帳戶、網站應用程式、容器、備份、監視與治理皆有非常實用的內容。

 

l   AZ500Microsoft Azure 安全性技術

此課程是專門針對 Azure 身分識別和存取、平台防護、安全性作業及資料與應用程式四大範圍的安全性技術課程,對於 Azure 資訊安全中心也有很多介紹。


l   【MCASAAzure管理員及解決方案架構專家雙認證班

課程是為已具備Azure基礎知識而希望進一步學習Azure管理與Azure解決方案架構設計的IT專業人員所設計的課程組合。此課程組合包含 AZ104:Microsoft Azure管理員認證班、 AZ305:設計Microsoft Azure基礎結構解決方案兩個課程。

 

l   AZ305設計Microsoft Azure基礎結構解決方案

本課程教導Azure解決方案架構師如何設計基礎結構解決方案。課程主題涵蓋治理、計算、應用程式架構、儲存體、資料整合、驗證、網路、商務持續性和移轉。本課程結合課程與個案研究,以示範基本的架構師設計原則。

 

l   SC900Microsoft 安全性、合規性和身份基礎知識

此課程是做為學習 Microsoft 安全性認證系列課程的基礎入門課程。探討雲端和相關 Microsoft 服務的安全性、合規性和身份(SCI)概念,以及基於 Microsoft 雲端解決方案的相關基礎知識。

 

l   SC200Microsoft 安全營運分析師

此課程說明如何使用 Microsoft Azure SentinelAzure Defender Microsoft 365 Defender 來調查、回應以及找出威脅。

 

l   SC300Microsoft 身份和存取管理員

此課程提供 IT "身份和存取"專業人員以及IT "安全"專業人員,實現基於 Microsoft Azure AD 的身份管理解決方案,及其相關身份技術所需的知識和技能。

 

l   SC400Microsoft 資訊保護管理員

課程提供如何保護 Microsoft 365 部署中的資訊,涵蓋避免資料遺失的防護策略、敏感性資訊類型、敏感度標籤,資料保留原則與 Office 365 郵件加密。




, , , , 0

0 意見:

張貼留言