Microsoft Azure Security là giải pháp điện toán đám mây được sử dụng để xây dựng, triển khai và quản lý các ứng dụng thông qua mạng lưới trung tâm dữ liệu toàn cầu của Microsoft.
Microsoft Azure là giải pháp điện toán đám mây được sử dụng để xây dựng, triển khai và quản lý các ứng dụng thông qua mạng lưới trung tâm dữ liệu toàn cầu của Microsoft. Với các dịch vụ của Azure Security, người dùng có thể xây dựng, quản lý và triển khai hiệu quả từ các ứng dụng di động đơn giản đến các giải pháp có quy mô lớn.
Trong bài viết này, FPT Smart Cloud sẽ giới thiệu về dịch vụ bảo mật Azure (Azure Security), từ đó doanh nghiệp có thể nắm được một cách chi tiết các mối đe dọa đối với tài nguyên (máy ảo, hệ điều hành, mạng Azure, ứng dụng) hay những cuộc tấn công xâm nhập, đánh cắp mật khẩu. Một số dịch vụ bảo mật sẽ tính phí trong khi những dịch vụ khác không có phí bổ sung. Bài viết sẽ đi vào chi tiết các dịch vụ miễn phí bao gồm network security groups (NSGs), mã hóa lưu trữ, TLS/SSL, token truy cập…
Mục lục
Lớp bảo mật Azure Security trong sơ đồ ở hình minh họa trên được dựa trên Azure Security Benchmark (ASB) v3, là một tập hợp các quy tắc bảo mật được thực hiện thông qua các chính sách Azure. ASB dựa trên sự kết hợp các quy tắc từ Trung tâm An ninh Internet CIS và Viện Tiêu chuẩn và Công nghệ Quốc gia. Sơ đồ này không chứa tất cả các dịch vụ bảo mật Azure hiện có, nhưng nó cho thấy các dịch vụ bảo mật được sử dụng phổ biến nhất bởi các tổ chức. Tất cả các dịch vụ bảo mật trong sơ đồ kiến trúc có thể hoạt động cùng nhau trong bất kỳ trường hợp nào nào tùy theo môi trường CNTT và yêu cầu bảo mật của tổ chức.Các thành phần bao gồm ứng dụng và dịch vụ trong kiến trúc Azure Security.
Điểm khác biệt chính của Azure Security là liên tục khám phá các tài nguyên mới đang được triển khai trên các khối lượng công việc. Nó cũng thực hiện đánh giá ban đầu nếu chúng được cấu hình theo các phương pháp bảo mật tốt nhất.
Nếu phát hiện hành vi bất thường, Azure Security sẽ tự động gắn cờ các tài nguyên, ưu tiên các hoạt động và cung cấp danh sách các đề xuất cho người dùng, được điều khiển bởi Azure Security Benchmark. Đây là bộ nguyên tắc dành riêng cho Azure về các phương pháp hay nhất về bảo mật và tuân thủ, dựa trên khung tuân thủ chung.
Phạm vi kiểm soát của Azure Security Benchmark bao gồm:
Bảng sau mô tả các dịch vụ mạng trong sơ đồ.
Dịch vụ | Mô tả |
NSG | Dịch vụ miễn phí được đính kèm vào giao diện mạng hoặc mạng con. NSG cho phép bạn lọc lưu lượng giao thức TCP hoặc UDP bằng cách sử dụng các dải và cổng địa chỉ IP cho các kết nối đến và đi. |
VPN | Cổng mạng riêng ảo (VPN) cung cấp giải pháp bảo vệ IPSEC (IKE v1/v2). |
AZURE FIREWALL | Là một nền tảng được cung cấp như một dịch vụ (PaaS), bảo vệ ở lớp 4 và được gắn với toàn bộ mạng ảo. |
APP GW + WAF | Cổng ứng dụng (Application Gateway) là một bộ cân bằng tải cho lưu lượng web hoạt động ở lớp 7. Tường lửa bảo vệ ứng dụng Web (WAF) để bảo vệ các ứng dụng sử dụng HTTP và HTTPS. |
NVA | Network Virtual Appliance (NVA), một dịch vụ bảo mật ảo từ thị trường, được cung cấp trên các máy ảo trên Azure. |
DDOS | Bảo vệ DDoS được triển khai trên mạng ảo để giúp giảm thiểu các loại tấn công DDoS khác nhau. |
TLS/SSL | TLS/SSL cung cấp mã hóa chuyển tiếp cho hầu hết các dịch vụ Azure có nhiệm vụ trao đổi thông tin, như Azure Storage và Web Apps. |
PRIVATE LINK | Dịch vụ cho phép bạn tạo một mạng riêng cho một dịch vụ Azure mới được triển khai trên internet. |
PRIVATE ENDPOINT | Tạo một giao diện mạng và gắn nó vào dịch vụ Azure. Private Endpoint là một phần của Private Link , cấu hình này cho phép dịch vụ trở thành một phần của mạng ảo bằng cách sử dụng điểm cuối riêng. |
Bảng sau đây mô tả cơ sở hạ tầng và các dịch vụ điểm cuối được hiển thị trong sơ đồ.
Dịch vụ | Mô tả |
BASTION | Bastion cung cấp chức năng Jump Server. Dịch vụ này cho phép truy cập các máy ảo thông qua giao thức máy tính để bàn từ xa (RDP) hoặc SSH mà không yêu cầu máy ảo của bạn lên internet. |
ANTIMALWARE | Microsoft Defender cung cấp dịch vụ bảo vệ doanh nghiệp khỏi các mềm độc hại và là một phần của Windows 10, Windows 11, Windows Server 2016 và Windows Server 2019. |
DISK ENCRYPT | Disk Encryption cho phép bạn mã hóa ổ đĩa của máy ảo (VM). |
KEYVAULT | Key Vault là dịch vụ lưu trữ các khóa, bí mật và chứng chỉ với FIPS 140-2 Cấp 2 hoặc 3. |
RDP SHORT | Azure Virtual Desktop RDP Shortpath. Tính năng này cho phép người dùng từ xa kết nối với dịch vụ Virtual Desktop từ một mạng riêng tư. |
REVERSE CONNECT | Một tính năng bảo mật tích hợp từ Azure Virtual Desktop. Kết nối ngược đảm bảo rằng người dùng từ xa chỉ nhận được các luồng pixel và không đến được các máy ảo. |
Bảng sau đây mô tả các dịch vụ ứng dụng và dữ liệu được hiển thị trong sơ đồ.
Dịch vụ | Mô tả |
FRONTDOOR + WAF | Mạng phân phối nội dung (CDN). Front Door kết nối đa điểm để mang lại kết nối tốt hơn cho người dùng cần truy cập dịch vụ hay bổ sung WAF. |
QUẢN LÝ API | Dịch vụ cung cấp bảo mật cho các lệnh gọi API và quản lý các API trên các môi trường khác nhau. |
PENTEST | Tập hợp các phương pháp tốt nhất để thực hiện kiểm tra thâm nhập trong môi trường của bạn, bao gồm cả các tài nguyên Azure. |
STORAGE SAS TOKEN | Token thông báo truy cập chung cho phép người khác truy cập vào tài khoản lưu trữ Azure của bạn. |
PRIVATE ENDPOINT | Tạo một giao diện mạng và gắn nó vào tài khoản lưu trữ của bạn để có thể cấu hình bên trong một mạng riêng trên Azure. |
STORAGE FIREWALL | Tường lửa cho phép bạn cài đặt một loạt các địa chỉ IP có thể truy cập vào tài khoản lưu trữ của bạn. |
MÃ HOÁ | Bảo vệ tài khoản lưu trữ bằng mã hóa. |
RÀ SOÁT SQL | Theo dõi các dữ kiện cơ sở dữ liệu và ghi chúng vào nhật ký kiểm tra trong tài khoản lưu trữ Azure. |
ĐÁNH GIÁ LỖ HỔNG | Dịch vụ giúp bạn phát hiện, theo dõi và khắc phục các lỗ hổng cơ sở dữ liệu tiềm ẩn. |
MÃ HOÁ | Mã hóa dữ liệu minh bạch (TDE) giúp bảo vệ các dịch vụ cơ sở dữ liệu Azure SQL bằng cách mã hóa dữ liệu ở trạng thái nghỉ. |
Bảng sau đây mô tả các dịch vụ xác thực danh tính được hiển thị trong sơ đồ.
Dịch vụ | Mô tả |
RBAC | Kiểm soát truy cập dựa trên Azure RBAC giúp bạn quản lý quyền truy cập vào các dịch vụ Azure bằng cách sử dụng các quyền chi tiết dựa trên thông tin đăng nhập Azure Active Directory (Azure AD) của người dùng. |
MFA | Xác thực đa yếu tố cung cấp các loại xác thực bổ sung ngoài tên người dùng và mật khẩu. |
BẢO VỆ ID | Identity Protection, một dịch vụ bảo mật của Azure AD, phân tích hàng nghìn tỷ tín hiệu mỗi ngày để xác định và bảo vệ người dùng khỏi các mối đe dọa. |
PIM | Privileged Identity Management (PIM), một dịch vụ bảo mật của Azure AD. Nó giúp bạn tạm thời cung cấp các đặc quyền siêu người dùng cho Azure AD (ví dụ: Global Admin) và người theo dõi Azure (ví dụ: chủ sở hữu hoặc cộng tác viên). |
COND ACC | Truy cập có điều kiện là một dịch vụ bảo mật thông minh sử dụng các chính sách mà bạn xác định cho các điều kiện khác nhau để chặn hoặc cấp quyền truy cập cho người dùng. |
Là đối tác vàng của Microsoft trong nhiều năm cùng đội ngũ chuyên gia dày dặn kinh nghiệm, trình độ chuyên môn cao FPT Smart Cloud tự tin là lựa chọn tốt nhất cho doanh nghiệp trong quá trình tiếp cận các giải pháp bảo mật trên đám mây. Tham khảo và mua trực tuyến tại đây
Tại sao nên mua dịch vụ Microsoft Business trực tuyến tại FPT Smart Cloud
Liên hệ với chúng tôi để biết thêm thông tin chi tiết về dịch vụ của FPT Smart Cloud
FPT Smart Cloud – Nhà cung giải pháp và tư vấn hàng đầu về Điện toán đám mây và Trí tuệ nhân tạo tại Việt Nam.
