Azure Security Center安全中心概述

Azure Security Center 是用于全面监控你于 Azure 中部署服务的集中解决方案，微软于上月底正式宣布了「Azure 安全中心」功能正式上线。

什么是Azure安全中心

由于意识到基于独立解决方案的旧有模式（如防火墙和防病毒软件）并不能很好地保护企业免受安全威胁，因此「Azure 安全中心」成为了微软企业安全的愿景。微软在 AzureCon 2015 会议上首次对外公布「Azure 安全中心」服务，并早在 2015 年 12 月 2 日就推出了该功能的公共预览。

「Azure 安全中心」可以从部署于 Azure 中的资源及第三方解决方案（如应用程序网关、下一代防火墙）侦测并收集数据，以向用户提供网络安全状态的统一视图。它通过加强用户对 Azure 资源能见度及控制权的方式，来协助你预防、侦测并应对威胁。「Azure 安全中心」提供 Azure 内置的威胁预防、检测及响应能力，工作起来十分简单高效。

作为组织的云服务管理员或运维人员，请简单试想一下如下场景：

• 数据库服务器遭受大量异常的远程登录活动
• 防火墙显示数据库服务器大量异常传输至某个未知IP

对于防火墙配置为允许出站数据流及允许数据库远程登录时，突发的连接活动并不罕见。但如果你综合上述两条情况一同分析下就会发现，很可能是管理员的合法身份被盗用来下载数据库内容了。对于这类攻击类型「Azure 安全中心」可以很容易检测并识别出来，并对其进行相应标识或提示。

基于 Azure Machine Learning 技术，Azure Security Center 可以非常容易了解并关联监控到所有订阅，而非权针对单个订阅来实现。一旦后台系统确认有不安全事件，安全中心可以向管理员发出告警提示。

如果有必要，Azure Security Center 的所有数据是可以跨订阅，在 Power BI 中通过安全见解仪表板和策略管理仪表板这 2 个仪表板进行数据分析的。

虚拟机支持

就目前而言，Azure 安全中心的侧重点还在 Azure VM 上，但对其它 Azure 服务和 SQL 数据库的支持也将在近期添加。目前已支持的 Azure VM 系统如下（FAQ）：

• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Ubuntu versions 12.04、14.04、15.10、16.04
• Debian versions 7、8
• CentOS versions 6.x、7.x
• Red Hat Enterprise Linux (RHEL) versions 6.x、7.x
• SUSE Linux Enterprise Server (SLES) versions 11.x、12.x

安全中心建议

微软有很多对 Azure 操作系统和应用程序的安全最佳实践，Azure 安全中心会收集用户环境数据并根据最佳实践信息进行分析并在 Azure Security Center 中作出建议。例如在默认情况下，它会建议你在 DMZ 中部署虚拟安全设备等。下图为一些安全建议示例：

安全策略

安全策略是用于控制「Azure 安全中心」各种建议的高级机制，例如你决定不部署虚拟安全设备而只使用网络安全组（NSG）和 NAT 规则，则可以通过禁用保护策略中的「Web 应用程序防火墙」和「下一代防火墙」开关来实现。

策略机制允许管理员对各种复杂的警报进行控制，你可以配置一个全局统一的安全策略（自动继承）或分别针对不同的资源组配置安全策略。

电子邮件通知

大概没人会每天订着 Azure Portal 看各种警报吧，所以与其它监控解决方案类似，Azure 安全中心的警告信息也可以通过 email（类似邮件通讯组）或电话号码（类似 help desk）的方式获得微软的通知（预览中，即将上线）。

你可能会收到的警报大概有：

• 已经的恶意 IP 地址与虚拟机通信
• 洪水类攻击
• 与 Azure Security Center 集成的合作伙伴安全解决方案的安全警报

安全中心定价

与 Operations Management Suite（OMS）的收费模式一样，Azure Security Center 作为基础安全服务也采用了免费和增值模式两种类型，收费模式为 $15 每节点每月。

免费模式只是免功能费，数据存储即「存储空间」的使用是要收费的哦。标准版的每节点代表每服务器，例如配置了 10 台虚拟机，那么价格就 x 10。