مشاركة عبر

القدرات التقنية لأمان Azure

  • مقالة

تعرض هذه المقالة مقدمة إلى خدمات الأمان في Azure والتي تساعدك على حماية بياناتك ومواردك وتطبيقاتك في السحابة وتلبية احتياجات الأمان لأعمالك.

نظام Azure الأساسي

Microsoft Azure عبارة عن نظام أساسي سحابي يتكون من خدمات البنية الأساسية والتطبيقات، مع خدمات بيانات متكاملة وتحليلات متقدمة وأدوات وخدمات للمطورين، والتي يتم استضافتها داخل مراكز بيانات سحابية عامة تابعة لـ Microsoft. يستخدم العملاء Azure للعديد من القدرات والسيناريوهات المختلفة، بدءاً من الحوسبة الأساسية والشبكات والتخزين إلى خدمات تطبيقات الجوال والويب إلى سيناريوهات السحابة الكاملة مثل إنترنت الأشياء، ويمكن استخدامها مع تقنيات المصدر المفتوح وتوزيعها كسحابة مختلطة أو استضافتها في مركز بيانات العميل. توفر Azure تقنية السحابة كعناصر بناء لمساعدة الشركات على توفير التكاليف والابتكار بسرعة وإدارة الأنظمة بشكل استباقي. عند إنشاء أصول تكنولوجيا المعلومات أو ترحيلها إلى موفر السحابة، فإنك تعتمد على قدرات تلك المؤسسة لحماية تطبيقاتك وبياناتك بالخدمات وعناصر التحكم التي توفرها لإدارة أمان الأصول المستندة إلى السحابة.

Microsoft Azure هو مزود الحوسبة السحابية الوحيد الذي يقدم نظاماً أساسياً آمناً ومتسقاً للتطبيقات وبنية تحتية كخدمة للفرق للعمل ضمن مجموعات مهاراتهم السحابية المختلفة ومستويات تعقيد المشروع، من خلال خدمات وتحليلات البيانات المتكاملة التي تكشف عن الذكاء من البيانات أينما وجدت، عبر كل من الأنظمة الأساسية لـ Microsoft وغير التابعة لـ Microsoft، وأطر العمل والأدوات المفتوحة، ما يوفر خياراً لتكامل السحابة مع أماكن العمل وكذلك توزيع خدمات Azure السحابية داخل مراكز البيانات المحلية. يعتمد العملاء، كجزء من Microsoft Trusted Cloud، على Azure فيما يتعلق بعوامل الأمان الرائدة والموثوقية والتوافق والخصوصية والشبكة الواسعة من الأشخاص والشركاء والعمليات لدعم المؤسسات في السحابة.

باستخدام Microsoft Azure، يمكنك:

  • تسريع الابتكار مع السحابة

  • قرارات Power Business والتطبيقات ذات الرؤى

  • البناء بحرية والنشر في أي مكان

  • حماية أعمالهم

إدارة في الهوية والوصول إلى المستخدم والتحكم في ذلك

يساعدك Azure على حماية معلومات العمل والمعلومات الشخصية من خلال تمكينك من إدارة هويات المستخدم وبيانات الاعتماد والتحكم في الوصول.

Microsoft Entra ID

تساعد حلول إدارة الهوية والوصول من Microsoft تكنولوجيا المعلومات على حماية الوصول إلى التطبيقات والموارد عبر مركز بيانات الشركة وإلى السحابة، ما يتيح مستويات إضافية من التحقق من الصحة مثل المصادقة متعددة العوامل ونهج الوصول المشروط. تساعد مراقبة الأنشطة المشبوهة من خلال تقارير الأمان المتقدمة والتدقيق والتنبيه في التخفيف من مشاكل الأمان المحتملة. يوفر Microsoft Entra ID P1 أو P2 تسجيل دخول أحادي لآلاف التطبيقات السحابية والوصول إلى تطبيقات الويب التي تقوم بتشغيلها محليا.

تتضمن مزايا الأمان لمعرف Microsoft Entra القدرة على:

  • أنشئ هوية واحدة لكل مستخدم وأدِرها عبر مؤسستك المختلطة، مع الحفاظ على مزامنة المستخدمين والمجموعات والأجهزة.

  • توفير وصول واحد لتسجيل الدخول إلى تطبيقاتك بما في ذلك الآلاف من تطبيقات SaaS المتكاملة مسبقاً.

  • تمكين أمان الوصول إلى التطبيق عن طريق فرض المصادقة متعددة العوامل المستندة إلى القواعد لكل من التطبيقات المحلية والسحابات.

  • توفير وصول آمن عن بعد إلى تطبيقات الويب المحلية من خلال وكيل تطبيق Microsoft Entra.

Microsoft Entra ID

فيما يلي قدرات إدارة هوية Azure الأساسية:

  • تسجيل الدخول الأحادي

  • المصادقة متعددة العوامل

  • المراقبة الأمنية والتنبيهات والتقارير المستندة إلى التعلم الآلي

  • الهوية الخاصة بالمستهلك وإدارة الوصول

  • تسجيل الجهاز

  • إدارة الهويات المتميزة

  • حماية الهوية

تسجيل الدخول الأحادي

يعني تسجيل الدخول الأحادي (SSO) أن تكون قادراً على الوصول إلى جميع التطبيقات والموارد التي تحتاجها للقيام بأعمال، عن طريق تسجيل الدخول مرة واحدة فقط باستخدام حساب مستخدم واحد. بمجرد تسجيل الدخول، يمكنك الوصول إلى جميع التطبيقات التي تحتاجها دون الحاجة إلى المصادقة (على سبيل المثال، اكتب كلمة مرور) مرة ثانية.

تعتمد العديد من المؤسسات على تطبيقات البرامج كخدمة (SaaS) مثل Microsoft 365 وBox وSalesforce لإنتاجية المستخدم النهائي. تاريخياً، كان موظفو تكنولوجيا المعلومات بحاجة إلى إنشاء حسابات المستخدمين وتحديثها بشكل فردي في كل تطبيق من تطبيقات SaaS، وكان على المستخدمين تذكر كلمة المرور الخاصة بكل تطبيق SaaS.

يمتد معرف Microsoft Entra Active Directory محلي إلى السحابة، ما يتيح للمستخدمين استخدام حساب المؤسسة الأساسي الخاص بهم ليس فقط لتسجيل الدخول إلى أجهزتهم المرتبطة بالمجال وموارد الشركة، ولكن أيضا جميع تطبيقات الويب وSaaS اللازمة لعملهم.

لا يقتصر الأمر على عدم اضطرار المستخدمين لإدارة مجموعات متعددة من أسماء المستخدمين وكلمات المرور، بل يمكن توفير الوصول إلى التطبيق تلقائياً أو إلغاء توفيره استناداً إلى المجموعات التنظيمية وحالتهم كموظفين. يقدم Microsoft Entra ID عناصر التحكم في الأمان وحوكمة الوصول التي تمكنك من إدارة وصول المستخدمين مركزيا عبر تطبيقات SaaS.

المصادقة متعددة العوامل

مصادقة Microsoft Entra متعددة العوامل (MFA) هي طريقة مصادقة تتطلب استخدام أكثر من طريقة تحقق واحدة وتضيف طبقة ثانية هامة من الأمان إلى عمليات تسجيل دخول المستخدم والمعاملات. تساعد المصادقة متعددة العوامل (MFA) في حماية الوصول إلى البيانات والتطبيقات مع تلبية طلب المستخدم لعملية تسجيل دخول بسيطة. وتوفر مصادقة قوية عبر مجموعة من خيارات التحقق - مكالمة هاتفية أو رسالة نصية أو إخطار تطبيق جوال أو رمز التحقق ورموز OAuth المميزة لجهات خارجية.

المراقبة الأمنية والتنبيهات والتقارير المستندة إلى التعلم الآلي

يمكن أن تساعدك مراقبة الأمان والتنبيهات والتقارير المستندة إلى التعلم الآلي التي تحدد أنماط الوصول غير المتسقة في حماية عملك. يمكنك استخدام الوصول إلى معرف Microsoft Entra وتقارير الاستخدام للحصول على رؤية حول تكامل دليل مؤسستك وأمانه. باستخدام هذه المعلومات، يمكن لمسؤول الدليل تحديد مكان مخاطر الأمان المحتملة بشكل أفضل حتى يتمكن من التخطيط بشكل مناسب للتخفيف من هذه المخاطر.

في مدخل Microsoft Azure، يتم تصنيف التقارير بالطرق التالية:

  • التقارير الخارجة عن المألوف – تحتوي على أحداث تسجيل الدخول التي وجدنا أنها غير طبيعية. هدفنا هو إطلاعك على مثل هذا النشاط وتمكينك من اتخاذ قرار بشأن ما إذا كان الحدث مشبوهاً أم لا.

  • تقارير التطبيق المتكاملة – توفر نتيجة تحليلات حول كيفية استخدام التطبيقات السحابية في مؤسستك. يوفر معرف Microsoft Entra التكامل مع آلاف التطبيقات السحابية.

  • تقارير الأخطاء – تشير إلى الأخطاء التي قد تحدث عند توفير حسابات للتطبيقات الخارجية.

  • تقارير خاصة بالمستخدم – عرض بيانات نشاط الجهاز وتسجيل الدخول لمستخدم معين.

  • سجلات النشاط – تحتوي على سجل لجميع الأحداث التي تم تدقيقها خلال آخر 24 ساعة، أو آخر 7 أيام، أو آخر 30 يوماً، وتغييرات نشاط المجموعة وإعادة تعيين كلمة المرور ونشاط التسجيل.

الهوية الخاصة بالمستهلك وإدارة الوصول

Microsoft Azure Active Directory B2C هي خدمة إدارة هوية عمومية ومتوفرة بدرجة كبيرة للتطبيقات التي تواجه المستهلك والتي تتسع لمئات الملايين من الهويات. يمكن تكاملها عبر النظام الأساسي للويب والجوال. يمكن لعملائك تسجيل الدخول إلى جميع تطبيقاتك من خلال تجارب قابلة للتخصيص باستخدام حساباتهم الاجتماعية الحالية أو عن طريق إنشاء بيانات اعتماد جديدة.

في الماضي، كان مطورو التطبيقات الذين أرادوا الاشتراك وتسجيل دخول العملاء في تطبيقاتهم يكتبون التعليمة البرمجية الخاصة بهم. وكانوا يستخدمون قواعد البيانات أو الأنظمة المحلية لتخزين أسماء المستخدمين وكلمات المرور. يوفر Microsoft Azure Active Directory (شركة إلى عميل) لمؤسستك طريقة أفضل لتكامل إدارة هوية المستهلك في التطبيقات بمساعدة نظام أساسي آمن قائم على المعايير ومجموعة كبيرة من النهج القابلة للتوسيع.

عند استخدام Microsoft Azure Active Directory B2C (شركة إلى عميل)، يمكن للمستهلكين الاشتراك في تطبيقاتك باستخدام حساباتهم الاجتماعية الحالية (Facebook وGoogle وAmazon وLinkedIn) أو عن طريق إنشاء بيانات اعتماد جديدة (عنوان البريد الإلكتروني وكلمة المرور أو اسم المستخدم وكلمة المرور).

تسجيل الجهاز

تسجيل جهاز Microsoft Entra هو الأساس لسيناريوهات الوصول المشروط المستندة إلى الجهاز. عند تسجيل جهاز، يوفر تسجيل جهاز Microsoft Entra للجهاز هوية تستخدم لمصادقة الجهاز عند تسجيل دخول المستخدم. يمكن بعد ذلك استخدام الجهاز الذي تمت مصادقته، وخصائص الجهاز، لفرض نهج الوصول المشروط للتطبيقات التي تتم استضافتها في السحابة وفي السحابة المحلية.

عند دمجها مع حل إدارة الأجهزة المحمولة (MDM) مثل Intune، يتم تحديث سمات الجهاز في معرف Microsoft Entra بمعلومات إضافية حول الجهاز. يتيح لك ذلك إنشاء قواعد الوصول المشروط التي تفرض الوصول من الأجهزة لتلبية معايير الأمان والامتثال.

إدارة الهويات المتميزة

يتيح لك Microsoft Entra إدارة الهويات المتميزة إدارة الهويات المميزة والتحكم فيها ومراقبتها والوصول إلى الموارد في معرف Microsoft Entra بالإضافة إلى خدمات الإنترنت Microsoft الأخرى مثل Microsoft 365 أو Microsoft Intune.

يحتاج المستخدمون أحياناً إلى تنفيذ عمليات متميزة في موارد Azure أو Microsoft 365 أو تطبيقات SaaS الأخرى. ويعني هذا غالبا أنه يتعين على المؤسسات منحها حق الوصول المتميز الدائم في Microsoft Entra ID. كما يعد هذا خطراً أمنياً متزايداً للموارد المستضافة على السحابة لأن المؤسسات لا يمكنها مراقبة ما يفعله هؤلاء المستخدمون بالامتيازات الإدارية الخاصة بهم بشكل كافٍ. بالإضافة إلى ذلك، إذا تم اختراق حساب مستخدم له حق الوصول المتميز، فقد يؤثر هذا الخرق على أمان السحابة بشكل عام. يساعد Microsoft Entra إدارة الهويات المتميزة في حل هذا الخطر.

يتيح لك microsoft Entra إدارة الهويات المتميزة ما يلي:

  • معرفة المستخدمين الذين هم مسؤولو Microsoft Entra

  • قم بتمكين الوصول الإداري عند الطلب "في الوقت المناسب" إلى خدمات Microsoft عبر الإنترنت مثل Microsoft 365 وIntune

  • الحصول على تقارير حول محفوظات وصول المسؤول والتغييرات في تعيينات المسؤول

  • الحصول على تنبيهات حول الوصول إلى دور متميز

حماية الهوية

Microsoft Entra ID Protection هي خدمة أمان توفر طريقة عرض موحدة لاكتشاف المخاطر والثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك. تستخدم Identity Protection قدرات الكشف عن الشذوذ الموجودة في Microsoft Entra ID (المتوفرة من خلال تقارير النشاط الشاذ لمعرف Microsoft Entra)، وتقدم أنواعا جديدة للكشف عن المخاطر التي يمكنها اكتشاف الحالات الشاذة في الوقت الفعلي.

الوصول الآمن إلى الموارد

يبدأ التحكم بالوصول في Azure من منظور الفواتير. مالك حساب Azure، الذي يتم الوصول إليه من خلال زيارة مدخل Microsoft Azure، هو مسؤول الحساب (AA). الاشتراكات عبارة عن حاوية للفواتير، ولكنها تعمل أيضاً كحد أمان: يكون لكل اشتراك مسؤول خدمة مسؤول الخدمة (SA) يمكنه إضافة موارد Azure وإزالتها وتعديلها في ذلك الاشتراك باستخدام مدخل Microsoft Azure. مسؤول الخدمة الافتراضي للاشتراك الجديد هو مسؤول الحساب (AA)، ولكن يمكن لـ مسؤول الحساب (AA) تغيير مسؤول الخدمة (SA) في مدخل Microsoft Azure.

الوصول الآمن إلى الموارد في Azure

تحتوي الاشتراكات أيضاً على ارتباط مع دليل. يحدد الدليل مجموعة من المستخدمين. يمكن أن يكون هؤلاء مستخدمين من العمل أو المدرسة التي أنشأت الدليل، أو يمكن أن يكونوا مستخدمين خارجيين (أي حسابات Microsoft). يمكن الوصول إلى الاشتراكات بواسطة مجموعة فرعية من مستخدمي الدليل الذين تم تعيينهم إما كمسؤول خدمة (SA) أو مسؤول مشارك (CA)؛ الاستثناء الوحيد هو أنه، لأسباب قديمة، يمكن تعيين حسابات Microsoft (المعروفة سابقاً باسم Windows Live ID) على أنها مسؤول خدمة أو مسؤول مشارك دون أن تكون موجودة في الدليل.

يجب أن تركز الشركات ذات التوجه الأمني على منح الموظفين الأذونات الدقيقة التي يحتاجون إليها. يمكن أن يعرض العدد الكبير جداً من الأذونات الحساب لخطر المهاجمين. قلة الأذونات تعني أن الموظفين لا يمكنهم إنجاز عملهم بكفاءة. يساعد التحكم في الوصول استناداً إلى الدور (Azure RBAC) على معالجة هذه المشكلة من خلال تقديم إدارة وصول دقيقة لـ Azure.

الوصول الآمن إلى الموارد

يمكنك فصل المهام داخل فريقك باستخدام Azure RBAC، ومنح المستخدمون مقدار الوصول الذي يحتاجون إليه فقط لأداء وظائفهم. يمكنك السماح بإجراءات معينة فقط، بدلاً من منح الجميع أذونات غير مقيدة في اشتراكك أو مواردك في Azure. على سبيل المثال، استخدم Azure RBAC للسماح لأحد الموظفين بإدارة الأجهزة الافتراضية في الاشتراك، بينما يمكن لموظف آخر إدارة قواعد بيانات SQL ضمن نفس الاشتراك.

الوصول الآمن إلى الموارد باستخدام Azure RBAC

أمان البيانات والتشفير

أحد مفاتيح حماية البيانات في السحابة هو حساب الحالات المحتملة التي قد تحدث فيها حماية بياناتك، وعناصر التحكم المتوفرة لتلك الحالة. بالنسبة لأفضل ممارسات أمان وتشفير بيانات Azure، تكون التوصيات حول حالات البيانات التالية.

  • في حال السكون: يشمل هذا جميع كائنات تخزين المعلومات والحاويات والأنواع الموجودة بشكل ثابت على الوسائط المادية، سواء كانت مغناطيسية أو قرصاً ضوئياً.
  • أثناء النقل: عندما يتم نقل البيانات بين المكونات أو المواقع أو البرامج، مثل عبر الشبكة، عبر ناقل الخدمة (من مكان العمل إلى السحابة والعكس بالعكس، بما في ذلك الاتصالات المختلطة مثل ExpressRoute)، أو أثناء الإدخال/ عملية الإخراج، يُعتقد أنها قيد الحركة.

التشفير في حالة السكون

تتم مناقشة التشفير الثابت بالتفصيل في تشفير بيانات Azure في حالة الثبات.

التشفير المتنقل

يجب أن تكون حماية البيانات أثناء النقل جزءاً أساسياً من إستراتيجية حماية البيانات الخاصة بك. نظراً لأن البيانات تتحرك ذهاباً وإياباً من العديد من المواقع، فإن التوصية العامة هي أن تستخدم دائماً بروتوكولات SSL/TLS لتبادل البيانات عبر مواقع مختلفة. في بعض الحالات، قد ترغب في عزل قناة الاتصال بالكامل بين البنية الأساسية الداخلية والسحابة الخاصة بك باستخدام شبكة ظاهرية خاصة (VPN).

لنقل البيانات بين البنية الأساسية المحلية وAzure، يجب أن تفكر في إجراءات الحماية المناسبة مثل HTTPS أو VPN.

بالنسبة للمؤسسات التي تحتاج إلى تأمين وصول من محطات عمل متعددة محلية إلى Azure، استخدم Azure site-to-site VPN.

بالنسبة للمؤسسات التي تحتاج إلى تأمين وصول من محطة عمل واحدة موجودة محلياً إلى Azure، استخدم Point-to-Site VPN.

يمكن نقل مجموعات البيانات الأكبر حجماً عبر ارتباط WAN عالي السرعة مخصص مثل ExpressRoute. إذا اخترت استخدام ExpressRoute، يمكنك أيضاً تشفير البيانات على مستوى التطبيق باستخدام SSL/TLS أو بروتوكولات أخرى لمزيد من الحماية.

إذا كنت تتفاعل مع Azure Storage من خلال مدخل Microsoft Azure، فإن جميع المعاملات تحدث عبر HTTPS. يمكن أيضاً استخدام Storage REST API عبر HTTPS للتفاعل مع Azure Storage وAzure SQL Database.

يمكنك معرفة المزيد حول خيار Azure VPN من خلال قراءة المقالة التخطيط والتصميم لبوابة VPN.

فرض تشفير البيانات على مستوى الملف

تستخدم Azure Rights Management (Azure RMS) نهج التشفير والهوية والتخويل للمساعدة في تأمين ملفاتك وبريدك الإلكتروني. يعمل Azure RMS عبر أجهزة متعددة - الهواتف والأجهزة اللوحية وأجهزة الكمبيوتر الشخصية من خلال الحماية داخل مؤسستك وخارج مؤسستك. هذه الإمكانية ممكنة لأن Azure RMS يضيف مستوى من الحماية يستمر مع البيانات، حتى عندما تغادر حدود مؤسستك.

تأمين تطبيقك

برغم مسئولية Azure عن تأمين البنية الأساسية والنظام الأساسي اللذين يعمل عليهما تطبيقك، تكون مسئولاً عن تأمين تطبيقك نفسه. بمعنى آخر، تحتاج إلى تطوير التعليمة البرمجية للتطبيق والمحتوى بطريقة آمنة وتوزيعها وإدارتها. دون ذلك، يمكن أن تظل التعليمة البرمجية للتطبيق أو المحتوى عرضة للتهديدات.

جدار حماية تطبيق الويب

يعد جدار حماية تطبيقات الويب (WAF) إحدى ميزات Application Gateway التي توفر حماية مركزية لتطبيقات الويب من عمليات الاستغلال والثغرات الأمنية الشائعة.

يستند جدار حماية تطبيق الويب إلى قواعد من مجموعات القواعد الأساسية OWASP. تعتبر تطبيقات الويب أهداف متزايدة للهجمات الضارة التي تستغل نقاط الضعف المعروفة والشائعة. إن الشائع من بين محاولات الاختراق هي حقنة هجوم SQL، وهجمات لبرنامج نصي عبر الموقع على سبيل المثال لا الحصر. يمكن أن يكون منع مثل هذه الهجمات في رمز التطبيق صعباً، وقد يتطلب صيانة صارمة، وتصحيحاً ورصداً على طبقات متعددة من مخطط التطبيق. يزيد جدار حماية تطبيق الويب المركزي من بساطة إدارة الأمان ويعطي ضمانًا أفضل لمسؤولي التطبيقات في مواجهة التهديدات أو الاختراقات. يمكن أن يتفاعل حل جدار حماية تطبيق الويب WAF أيضًا مع تهديد أمني بشكل أسرع عن طريق تصحيح ثغرة أمنية معروفة في موقع مركزي في مقابل تأمين كل تطبيق من تطبيقات الويب. يمكن تحويل بوابات التطبيق الموجودة إلى بوابة تطبيق يُمكّن فيها جدار حماية تطبيق الويب بسهولة.

تتضمن بعض نقاط ضعف الويب الشائعة التي يحمي منها جدار حماية تطبيقات الويب ما يلي:

  • حماية حقن SQL

  • الحماية من البرمجة النصية للمواقع المشتركة

  • الحماية من الهجمات الخاصة بالويب الشائعة مثل حقن الأوامر والاحتيال عبر طلبات HTTP وتقسيم استجابة HTTP وهجمات تضمين الملف عن بعد

  • الحماية ضد انتهاكات بروتوكول HTTP

  • الحماية ضد الحالات غير الطبيعية لبروتوكول HTTP مثل فقدان عامل-المستخدم المضيف وقبول الرؤوس

  • الوقاية من الروبوتات والمتتبعات والماسحات الضوئية

  • الكشف عن التكوينات الخاطئة للتطبيقات الشائعة (مثل Apache وIIS وما إلى ذلك)

إشعار

للحصول على قائمة أكثر تفصيلا بالقواعد وحمايتها، راجع مجموعات القواعد الأساسية التالية.

يوفر Azure العديد من الميزات سهلة الاستخدام للمساعدة في تأمين حركة المرور الواردة والصادرة لتطبيقك. يساعد Azure العملاء على تأمين التعليمات البرمجية للتطبيق الخاص بهم من خلال توفير وظائف متوفرة خارجيا لفحص تطبيق الويب الخاص بك بحثا عن الثغرات الأمنية. راجع Azure App Services لمعرفة المزيد.

تستخدم Azure App Service حل برنامج الحماية من البرامج الضارة الذي تستخدمه Azure Cloud Services والأجهزة الظاهرية. لمعرفة المزيد حول هذا الأمر، راجع وثائق برنامج الحماية من البرامج الضارة.

تأمين شبكتك

يتضمن Microsoft Azure بنية أساسية قوية للشبكات لدعم متطلبات اتصال التطبيق والخدمة. يمكن إنشاء اتصال بالشبكة بين الموارد الموجودة في Azure، وبين الموارد المحلية وموارد Azure المستضافة، ومن وإلى الإنترنت وAzure.

تمكنك البنية الأساسية لشبكة Azure من توصيل موارد Azure ببعضها البعض بأمان بالشبكات الظاهرية (VNets). تعتبر الشبكة الظاهرية بمثابة تمثيل لشبكتك الخاصة في السحابة. تعد الشبكة الظاهرية عزلاً منطقياً لشبكة سحابة Azure المخصصة لاشتراكك. يمكنك توصيل الشبكات الظاهرية بالشبكات المحلية.

تأمين الشبكة الخاصة بك (توفير الحماية)

إذا كنت بحاجة إلى تحكم أساسي في الوصول إلى مستوى الشبكة (بناءً على عنوان IP وبروتوكولات TCP أو UDP)، فيمكنك استخدام مجموعات أمان الشبكة. مجموعة أمان الشبكة (NSG) هي جدار حماية أساسي لتصفية الحزمة ذات الحالة التي تمكنك من التحكم في الوصول.

Azure Firewall عبارة عن خدمة أمان جدار حماية ذكية سحابية أصلية للشبكة توفر حماية من التهديدات لأحمال العمل السحابية التي تعمل في Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة. يوفر كل من التفتيش المروري بين الشرق والغرب والشمال والجنوب.

يتوفر Azure Firewall في اثنتين من وحدات SKU: Standard وPremium. يوفرAzure Firewall Standard تصفية L3-L7 وموجزات التحليل الذكي للمخاطر مباشرة من تطبيق Microsoft Cyber Security. يوفر حل Azure Firewall Premium قدرات متقدمة تشمل IDPS المستندة إلى التوقيع للسماح بالكشف السريع عن الهجمات من خلال البحث عن أنماط محددة.

تدعم شبكة Azure القدرة على تخصيص سلوك التوجيه لنسبة استخدام الشبكة على الشبكات الظاهرية في Azure. يمكنك القيام بذلك عن طريق تكوين User-Defined Routes في Azure.

الاتصال النفقي المفروضهو آلية يمكنك استخدامها لضمان عدم السماح لخدماتك ببدء الاتصال بالأجهزة عبر الإنترنت.

تدعم Azure اتصال ارتباط WAN مخصص لشبكتك المحلية والشبكات الظاهرية لـ Azure مع ExpressRoute. يستخدم الارتباط بين Azure وموقعك اتصالاً مخصصاً لا يمر عبر الإنترنت العام. إذا كان تطبيق Azure يعمل في مراكز بيانات متعددة، يمكنك استخدام Azure Traffic Manager لتوجيه الطلبات من المستخدمين بذكاء عبر مثيلات التطبيق. يمكنك أيضاً توجيه حركة المرور إلى الخدمات التي لا تعمل في Azure إذا كان الوصول إليها من الإنترنت.

تدعم Azure أيضاً الاتصال الخاص والآمن بموارد PaaS (على سبيل المثال، تخزين Azure وقاعدة بيانات SQL) من الشبكة الظاهرية في Azure باستخدام Azure Private Link. يتم تعيين مورد PaaS إلى نقطة نهاية خاصة في شبكتك الظاهرية. يستخدم الارتباط بين نقطة النهاية الخاصة في شبكتك الظاهرية ومورد PaaS شبكة Microsoft الأساسية ولا ينتقل عبر الإنترنت العام. لم يعد تعريض خدمتك للإنترنت العام ضروريًّا. يمكنك أيضاً استخدام Azure Private Link للوصول إلى الخدمات الشريكة والمملوكة للعملاء التي يستضيفها Azure في شبكتك الظاهرية. بالإضافة إلى ذلك، يمكّنك حل Azure Private Link من إنشاء خدمة الارتباط الخاصة لديك في شبكتك الظاهرية وتقديمها إلى عملائك بشكل خاص في شبكاتهم الظاهرية. الإعداد والاستهلاك باستخدام Azure Private Link متناسق عبر Azure PaaS، والخدمات المملوكة للعملاء والشركاء المشتركين.

أمان الجهاز الظاهري

تسمح لك Azure Virtual Machines بتوزيع نطاق واسع من حلول الحوسبة بطريقة مرنة. يمكنك توزيع أي حِمل عمل وأي لغة على أي نظام تشغيل تقريباً بفضل دعم Microsoft Windows وLinux وMicrosoft SQL Server وOracle وIBM وSAP وAzure BizTalk Services.

باستخدام Azure، يمكنك استخدام برامج الحماية من البرامج الضارة من موردي الأمان مثل Microsoft وSymantec وTrend Micro وKaspersky لحماية أجهزتك الظاهرية من الملفات الضارة وبرامج الإعلانات المتسللة والتهديدات الأخرى.

تعد Microsoft Antimalware لخدمات Azure Cloud Services والأجهزة الظاهرية قدرة حماية في الوقت الحقيقي تساعد في التعرف على الفيروسات وبرامج التجسس والبرامج الضارة الأخرى وإزالتها. توفر Microsoft Antimalware التنبيهات القابلة للتكوين عند محاولات البرامج الضارة أو غير المرغوب فيها المعروفة لتثبيت نفسها أو تشغيلها على أنظمة Azure.

يعد Azure Backup حلاً قابلاً للتطوير يحمي بيانات تطبيقك دون استثمار رأس المال مع استهلاك الحد الأدنى من تكاليف التشغيل. يمكن أن تؤدي أخطاء التطبيق إلى إتلاف بياناتك، ويمكن أن تؤدي الأخطاء البشرية إلى إدخال أخطاء في تطبيقاتك. مع Azure Backup، تتم حماية الأجهزة الظاهرية التي تعمل بنظامي التشغيل Windows وLinux.

يساعد استرداد موقع Azure على تنسيق النسخ المتماثل وتجاوز الفشل واسترداد أعباء العمل والتطبيقات حتى تكون متوفرة من موقع ثانوي إذا انخفض موقعك الرئيس.

ضمان التوافق: قائمة اختيار الفحص الواجب للخدمات السحابية

طورت Microsoft قائمة الفحص الواجب للخدمات السحابية لمساعدة المؤسسات على ممارسة الفحص الواجب أثناء التفكير في الانتقال إلى السحابة. وهي توفر بنية للمؤسسات من أي حجم ونوع - الأعمال الخاصة ومؤسسات القطاع العام، بما في ذلك الحكومة على جميع المستويات والمؤسسات غير الربحية - لتحديد أهداف ومتطلبات الأداء والخدمات وإدارة البيانات والحوكمة. وهذا يسمح لها بمقارنة عروض موفر خدمة السحابة المختلفة، ما يشكل في النهاية الأساس لاتفاقية الخدمة السحابية.

توفر قائمة الاختيار إطاراً ينسجم فقرة تلو الأخرى مع المعيار الدولي الجديد لاتفاقيات الخدمة السحابية ISO/IEC 19086. يقدم هذا المعيار مجموعة موحدة من الاعتبارات للمؤسسات لمساعدتها على اتخاذ قرارات بشأن اعتماد السحابة، وإنشاء أرضية مشتركة لمقارنة عروض خدمات السحابة.

تعزز قائمة الفحص الخطوة التي يتم فحصها بدقة إلى السحابة، ما يوفر إرشادات منظمة ونهجاً متسقاً وقابلاً للتكرار لاختيار موفر خدمة السحابة.

لم يعد اعتماد السحابة مجرد قرار تقني. نظراً لأن متطلبات قائمة الفحص تمس كل جانب من جوانب المؤسسة، فإنها تعمل على جمع جميع صانعي القرار الداخليين الرئيسيين - CIO وCISO بالإضافة إلى المتخصصين في الشؤون القانونية وإدارة المخاطر والمشتريات والتوافق. وهذا يزيد من كفاءة عملية صنع القرار والقرارات الأساسية في التفكير السليم، وبالتالي تقليل احتمالية وجود حواجز غير متوقعة للتبني.

بالإضافة إلى ذلك، تتضمن قائمة الاختيار:

  • عرض موضوعات المناقشة الرئيسية لصناع القرار في بداية عملية اعتماد السحابة.

  • دعم مناقشات الأعمال الشاملة حول اللوائح وأهداف المنظمة الخاصة بالخصوصية والمعلومات الشخصية وأمن البيانات.

  • مساعدة المؤسسات في تحديد أي مشاكل محتملة قد تؤثر على مشروع السحابة.

  • توفير مجموعة متسقة من الأسئلة، بنفس المصطلحات والتعريفات والقياسات والتسليمات لكل موفر، لتبسيط عملية مقارنة العروض من مختلف موفري خدمات السحابة.

البنية الأساسية في Azure والتحقق من صحة أمان التطبيق

يُشير Azure Operational Security إلى الخدمات وعناصر التحكم والميزات المتوفرة للمستخدمين لحماية بياناتهم وتطبيقاتهم وأصولهم الأخرى في Microsoft Azure.

التحقق من صحة الأمان (الكشف)

تم إنشاء Azure Operational Security على إطار عمل بحيث يتضمن المعرفة المكتسبة من خلال القدرات المختلفة التي تنفرد بها Microsoft، بما في ذلك دورة تطوير الأمان من Microsoft، وبرنامج Microsoft Security Response Center، والوعي العميق بمشهد تهديدات الأمن السيبراني.

مراقب Microsoft Azure

Azure Monitor هو حل لإدارة تكنولوجيا المعلومات للسحابة المختلطة. تستخدم سجلات Azure Monitor وحدها أو لتوسيع نطاق توزيع مركز النظام الحالي، تمنحك أقصى قدر من المرونة والتحكم للإدارة المستندة إلى السحابة للبنية الأساسية الخاصة بك.

Azure Monitor

يمكنك، باستخدام Azure Monitor، إدارة أي مثيل في أي سحابة، بما في ذلك في أماكن العمل، وAzure، وAWS، وWindows Server، وLinux، وVMware، وOpenStack، بتكلفة أقل من الحلول التنافسية. تم تصميم Azure Monitor لعالم السحابة في المقام الأول، وهي تقدم نهجاً جديداً لإدارة مؤسستك وهي الطريقة الأسرع والأكثر فعالية من حيث التكلفة لمواجهة تحديات الأعمال الجديدة واستيعاب أحمال العمل والتطبيقات والبيئات السحابية الجديدة.

سجلات Azure Monitor

توفر سجلات Azure Monitor خدمات المراقبة من خلال جمع البيانات من الموارد المُدارة في مستودع مركزي. قد تتضمن هذه البيانات الأحداث أو بيانات الأداء أو البيانات المخصصة المتوفرة من خلال واجهة برمجة التطبيقات. وبمجرد جمعها، تكون البيانات متاحة للتنبيه والتحليل والتصدير.

سجلات Azure Monitor

يسمح لك هذا الأسلوب بدمج البيانات من مجموعة متنوعة من المصادر، بحيث يمكنك دمج البيانات من خدمات Azure مع بيئتك المحلية الحالية. وأيضاً يفصل جمع البيانات عن الإجراء المتخذ على تلك البيانات بشكل واضح، بحيث تتوفر جميع الإجراءات لجميع أنواع البيانات.

Microsoft Sentinel

Microsoft Azure Sentinel هو حل قابل للتطوير، وسحابة أصلي ومعلومات الأمان وإدارة الأحداث (SIEM) وتنظيم الأمان والتنفيذ التلقائي والاستجابة (SOAR). يوفر Microsoft Azure Sentinel تحليلات أمان ذكية وذكاءً عن التهديدات عبر المؤسسة، مما يوفر حلاً منفردًا لاكتشاف الهجمات وإمكانية رؤية التهديدات والصيد الاستباقي والاستجابة للتهديدات.

Microsoft Defender للسحابة

يساعدك حل Microsoft Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها من خلال زيادة الرؤية والتحكم في أمان موارد Azure، بما في ذلك تطبيقات الويب. يوفر موقع Defender for Cloud مراقبة أمان متكامل وإدارة للنهج عبر اشتراكات Azure الخاصة بك، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من الحلول الأمنية.

يحلل Defender for Cloud حالة الأمان لموارد Azure لتحديد الثغرات الأمنية المحتملة. توجهك قائمة التوصيات خلال عملية تكوين عناصر التحكم المطلوبة.

تتضمن الأمثلة ما يلي:

  • توفير الحماية من البرامج الضارة للمساعدة في التعرف على البرامج الضارة وإزالتها

  • تكوين مجموعات وقواعد أمان الشبكة للتحكم في حركة المرور إلى الأجهزة الافتراضية

  • توفير جدران حماية لتطبيقات الويب للمساعدة في الحماية من الهجمات التي تستهدف تطبيقات الويب الخاصة بك

  • توزيع تحديثات النظام المفقودة

  • معالجة تكوينات نظام التشغيل التي لا تتطابق مع الخطوط الأساسية الموصى بها

يقوم Defender for Cloud تلقائياً بجمع بيانات السجل وتحليلها وتكاملها من موارد Azure والشبكة وحلول الشركاء مثل برامج مكافحة البرامج الضارة وجدران الحماية. عند اكتشاف التهديدات، يتم إنشاء تنبيه أمان. تتضمن الأمثلة الكشف عن:

  • تتواصل الأجهزة الافتراضية المخترقة مع عناوين IP الضارة المعروفة

  • تم الكشف عن برامج ضارة متقدمة باستخدام الإبلاغ عن أخطاء Windows

  • هجمات القوة الغاشمة ضد الأجهزة الظاهرية

  • تنبيهات الأمان من برامج الحماية من البرامج الضارة والجدران النارية

Azure Monitor

يوفر حل Azure Monitor مؤشرات لمعلومات حول أنواع معينة من الموارد. يوفر المرئيات والاستعلام والتوجيه والتنبيه والتحجيم التلقائي والتشغيل التلقائي على البيانات من البنية الأساسية لـ Azure (سجل النشاط) وكل مورد Azure فردي (سجلات التشخيص).

تطبيقات سحابية معقدة وتحتوي على العديد من الأجزاء المتحركة. توفر المراقبة بيانات للتأكد من أن تطبيقك يبقى قيد التشغيل في حال سليمة. كما يساعدك على تجنب المشاكل المحتملة أو استكشاف الأخطاء السابقة وإصلاحها.

رسم تخطيطي يوضح أنه يمكنك استخدام بيانات المراقبة للحصول على رؤى عميقة حول التطبيق الخاص بك. بالإضافة إلى ذلك، يمكنك استخدام بيانات المراقبة للحصول على رؤى عميقة حول التطبيق الخاص بك. يمكن أن تساعدك هذه المعرفة على تحسين أداء التطبيق أو إمكانية الصيانة، أو أتمتة الإجراءات التي قد تتطلب تدخلاً يدوياً.

تدقيق أمان الشبكة هو أمر حيوي للكشف عن الثغرات الأمنية في الشبكة وضمان الامتثال لأمان تكنولوجيا المعلومات ونموذج الإدارة التنظيمية. يمكنك استرداد مجموعة أمان الشبكة وقواعد الأمان التي تم تكوينها، من خلال عرض مجموعة الأمان، بالإضافة إلى قواعد الأمان الفعالة. مع تطبيق قائمة القواعد، يمكنك تحديد المنافذ المفتوحة وثغرات شبكة ss.

Network watcher

يُعرف Network Watcher على أنه خدمة إقليمية تُمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريو الشبكة في Azure ومنه وإليه. تساعدك أدوات تشخيص الشبكة والتصورات المتاحة مع Network Watcher على فهم وتشخيص ومعرفة تفاصيل عن شبكتك في Azure. تتضمن هذه الخدمة التقاط حزمة بيانات والوثب التالي، والتحقق من تدفق IP، وعرض مجموعة الأمان، وسجلات تدفق NSG. توفر مراقبة مستوى السيناريو طريقة عرض شاملة لموارد الشبكة على النقيض من مراقبة موارد الشبكة الفردية.

Storage analytics

يمكن لـ تحليلات التخزين تخزين المقاييس التي تتضمن إحصاءات المعاملات المجمعة وبيانات السعة حول الطلبات في خدمة التخزين. ويتم الإبلاغ عن المعاملات على مستوى تشغيل واجهة برمجة التطبيقات وكذلك على مستوى خدمة التخزين، ويتم الإبلاغ عن السعة على مستوى خدمة التخزين. يمكن استخدام بيانات المقاييس لتحليل استخدام خدمة التخزين، وتشخيص المشكلات المتعلقة بالطلبات المقدمة مقابل خدمة التخزين، وتحسين أداء التطبيقات التي تستخدم خدمة.

Application Insights

Application Insights هي خدمة إدارة أداء التطبيقات القابلة للتوسيع (APM) لمطوري الويب على أنظمة أساسية متعددة. استخدمها لمراقبة تطبيق الويب المباشر الخاص بك. ستكشف تلقائياً اختلالات الأداء. كما تتضمن أدوات تحليلات قوية لمساعدتك في تشخيص المشكلات وفهم ما يفعله المستخدمون بتطبيقك. إنه مصمم لمساعدتك على تحسين الأداء بشكل مستمر وسهولة الاستخدام. كما إنها تعمل مع التطبيقات على مجموعة متنوعة من الأنظمة الأساسية بما في ذلك .NET وNode.js وJava EE، المستضافة محلياً أو في السحابة. وهي تتكامل مع عملية DevOps الخاصة بك، وتحتوي على نقاط اتصال بأدوات تطوير متنوعة.

وهي تراقب:

  • معدلات الطلب، وأوقات الاستجابة، ومعدلات الفشل - تعرف على الصفحات الأكثر شيوعا، وفي أي أوقات من اليوم، وأين يوجد المستخدمون الخاصين بك. تعرف على الصفحات التي تعمل بشكل أفضل. إذا كانت أوقات الاستجابة ومعدلات الفشل مرتفعة عند وجود المزيد من الطلبات، فربما تكون لديك مشكلة في توفير الموارد.

  • معدلات التبعية، وأوقات الاستجابة، ومعدلات الفشل - اكتشف ما إذا كانت الخدمات الخارجية تبطئك أم لا.

  • الاستثناءات - تحليل الإحصائيات المجمعة، أو اختيار مثيلات محددة واستنتاج تتبع المكدس والطلبات ذات الصلة. يتم الإبلاغ عن استثناءات كل من الخادم والمستعرض.

  • طرق عرض الصفحة وأداء التحميل - تم الإبلاغ عنها بواسطة متصفحات المستخدمين.

  • مكالمات AJAX من صفحات الويب - الأسعار وأوقات الاستجابة ومعدلات الفشل.

  • عدد المستخدمين والجلسة.

  • عدادات الأداء من أجهزة خادم Windows أو Linux، مثل استخدام وحدة المعالجة المركزية والذاكرة والشبكة.

  • تشخيصات المضيف من Docker أو Azure.

  • سجلات التتبع التشخيصية من تطبيقك- بحيث يمكنك ربط أحداث التتبع بالطلبات.

  • أحداث ومقاييس مخصصة تكتبها بنفسك في رمز العميل أو الخادم، لتتبع أحداث العمل مثل العناصر المباعة أو الألعاب التي تم الفوز بها.

تتكون البنية الأساسية لتطبيقك عادةً من العديد من المكونات - ربما جهاز ظاهري، وحساب تخزين، وشبكة افتراضية، أو تطبيق ويب، وقاعدة بيانات، وخادم قاعدة بيانات، وخدمات جهات خارجية. أنت لا ترى هذه المكونات ككيانات منفصلة، وبدلاً من ذلك تراها أجزاءً مرتبطة ومترابطة من كيان واحد. كما أنك تريد توزيع هذه المكونات وإدارتها ومراقبتها كمجموعة. يمكنك Azure Resource Manager من العمل مع الموارد في الحل الخاص بك كمجموعة.

يمكنك توزيع كافة الموارد الخاصة بحلك أو تحديثها أو حذفها في عملية واحدة منسقة. يمكنك استخدام قالب للتوزيع ويمكن أن يعمل هذا القالب لبيئات مختلفة مثل الاختبار والإعداد والإنتاج. توفر خدمة Azure Resource Manager الميزات الخاصة بالأمان والتدقيق ووضع العلامات لمساعدتك في إدارة الموارد الخاصة بك بعد التوزيع.

فوائد استخدام Resource Manager

يوفر Resource Manager العديد من الفوائد:

  • يمكنك توزيع جميع موارد الحل الخاص بك كمجموعة وإدارتها ومراقبتها، بدلاً من التعامل مع هذه الموارد بشكل فردي.

  • يمكنك إعادة توزيع حلك بشكل متكرر طوال دورة حياة التطوير والوثوق في أن مواردك يجري توزيعها في حالة متسقة.

  • يمكنك إدارة بنيتك الأساسية من خلال القوالب التعريفية بدلاً من البرامج النصية.

  • يمكنك تحديد التبعيات بين الموارد حتى يتم توزيعها بالترتيب الصحيح.

  • يمكنك تطبيق التحكم في الوصول على جميع الخدمات في مجموعة الموارد الخاصة بك لأن التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) متكامل أصلاً في النظام الأساسي للإدارة.

  • يمكنك وضع العلامات على الموارد لتنظيم جميع الموارد بشكل منطقي في اشتراكك.

  • يمكنك توضيح فوترة مؤسستك من خلال عرض التكاليف لمجموعة من الموارد التي تشترك في العلامة نفسها.

إشعار

توفر خدمة Resource Manager طريقة جديدة لتوزيع وإدارة الحلول الخاصة بك. إذا استخدمت نموذج التوزيع السابق وأردت التعرف على التغييرات، فراجع فهم توزيع Resource Manager والتوزيع الكلاسيكي.

الخطوة التالية

يتضمن معيار أمان السحابة من Microsoft مجموعة من توصيات الأمان التي يمكنك استخدامها للمساعدة في تأمين الخدمات التي تستخدمها في Azure.