【全网首播：Azure大全】10. 安全性与标识

最近在做一家国际集团的云迁移战略规划，小编看了旗下几个子公司的当前数据中心系统列表，无一例外的都用到一些传统IT的应用，例如防病毒啊，补丁管理啊，系统监控啊，等等。在与其IT领导访谈时，他们总会担心这类应用迁移之后本地的系统怎么管，云端安全管控究竟是怎样的机制？

其实安全防护在很多云的大厂是一款SaaS，微软的安全中心（Security Center）就是一款用以预防、检测和响应威胁，同时增加Azure资源的可见性、安全性和可控性的产品。它提供了Azure订阅之间的集成安全监视和策略管理，帮助检测可能被忽略的威胁，并且已构建起一套完整的安全解决方案生态系统。

我们来看一张云攻击的渗透链。

首先黑客通过暴露在外的程序或系统漏洞获得Web应用、虚拟机或秘钥的授权访问，然后在通过配置或系统的漏洞提升操作权限（或直接暴力破解管理员秘钥），最后窃取内部数据。

Azure的安全中心从源头评估各系统（包括本地以及第三方系统）的漏洞等级以及安全策略落实情况，并对攻击对象数据库和应用做有效安全加固。

Azure的防护主要分预防、检测和响应三个阶段，各阶段的主要工作如下：

阶段	功能
预防	监视Azure资源的安全状态
预防	基于公司的安全要求及对应用类型和数据敏感性的定义，设置Azure订阅和资源组的策略
预防	使用策略驱动的安全建议指导服务所有者实施所需控件
预防	快速部署微软以及合作伙伴的安全服务和应用
检测	自动从Azure资源、网络和合作伙伴解决方案（例如恶意软件程序和防火墙）收集和分析安全数据
检测	充分利用微软产品和服务、微软数字犯罪部门（DCU）、微软安全响应中心（MSRC）以及外部源提供的全球威胁情报
检测	应用高级分析，包括机器学习和行为分析
响应	按优先顺序排列安全事件/警报
响应	对攻击源和受影响资源进行分析
响应	建议组织当前攻击和预防未来攻击的方式

微软的本地安全系统System Center系列在诞生至今收集了很多有效服务管理经验，移植到云端后加上从Github开源社区引入的应用管控办法，形成了自身行之有效安全控制最佳实践Azure Sentinel，借助于这套云原生的安全信息事件管理（SIEM），可以对整个企业进行智能安全分析。

从上图可以看到Azure Sentinel从事件收集、检测、调查、响应提供了一站式的最佳实践解决方案，并且借助ExpressRoute可提供理论上无限的云速度和规模，通过内置AI功能提供更快的威胁防护功能，借助预定义的连接器可以连接到各种Azure或第三方资源。

到这里，可能有用户会担心系统或应用日志在原服务器上已经有一份了，使用Azure Sentinel不会引起数据重复存储和不必要的网络负担么？其实Sentinel只是通过连接器远程查看源日志，然后将问题展示在Sentinel的仪表盘上。Sentinel与前面介绍的安全中心不同的是，安全中心着重于基础架构层面，根据各系统安全防护深度对基础架构进行整体评估；而Sentinel可以评估更多系统层以上的接口，并对日志进行实时预警，甚至当满足级别的警报触发后，后续可自动关联自定义的响应机制。

最后聊一下Azure的认证服务。相信大家对Azure AD的认证已经非常熟悉了，AAD是微软基于多租户云的目录和标识管理服务，提供了经济实惠、易于使用的认证解决方案，使员工和业务合作伙伴能够使用单一登录（SSO）功能来访问数千种云SaaS应用程序，例如Office365、Salesforce.com、DropBox和Concur。AAD还能与现有的Windows Server AD集成，使组织能够运用现有的本地标识管理系统来管理基于云的SaaS应用程序的访问。

AAD的衍生认证方式还有AAD B2C，适用于面向用户的Web和移动应用程序，通过基于标准安全平台和其丰富的可扩展策略，向开发人员提供了更优的方式将用户标识管理集成到应用程序中。

今天早上看到一篇文章，说AAD并非AD。确实，它只具备了一部分认证的功能，特点在于可以与其他认证系统集成。但是无法提供AD管理功能，例如OU，组策略，CLI（Command Line Interface）等等。因此迁移AD还是要在IaaS搭建DC的。不过AAD很好地扩展了DC的集成性，几乎是云端DC的必选。