Azure セキュリティ

Azureの各種リソースに対して脆弱性や脅威を検知する能力を有している。 Azureリソースだけでなく、オンプレミスの物理サーバーや仮想マシン（ハイブリッドリソース）、そして「Azure以外」のクラウドサービスであるAWSなども評価し、保護する。推奨事項を表示する。

無料:セキュアスコア、セキュリティの推奨事項, 有料:脅威保護のアラート、脆弱性スキャン、アクセスとアプリケーションの制御

・他の仮想ネットワークは見えない, ・仮想ネットワークとリソースのリージョンは同じ, ・同じリージョンで複数の仮想ネットワークを作ってよい

いわゆる「踏み台」。 インターネットからの仮想マシンへの接続を安全に提供できる仕組み。 Azure ポータルから仮想マシンにアクセスする。仮想ネットワークごとに作成する。 必要なタイミングで特権ID付与。

Azure仮想ネットワークに配置するクラウドベースのステートフルなFirewall。

仮想マシンのネットワークインターフェースと仮想ネットワークのサブネットに関連付けできる。 通信の優先順が高いものからネットワークトラフィックを処理する。

WEBサーバーに特化したFirewallサービスで、SQLインジェクションやクロスサイトスクリプティングなどのWEBアプリケーションの脆弱性を悪用する攻撃から保護できる。

DDos攻撃からAzureのリソースを保護する。ネットワーク層を保護する。 プロトコル攻撃と帯域幅消費型攻撃を防御。

クラウドインフラストラクチャにあるセキュリティリスクを自動的に特定する機能。クラウド環境全体のセキュリティ評価やコンプライアンスの監視を行う。 セキュリティ評価を実行し、脆弱性が見つかったら自動的ににアラートを生成する。 設定ミスがあった場合、アラートを出す。

規定で有効になっている。 AzureやGCP全体で継続的な評価を行い、セキュリティに関する推奨事項の表示、セキュアスコア、Microsoftクラウドセキュリティベンチマークなどが提供される。

エージェントレスの脆弱性スキャン、攻撃パス分析、統合されたデータ対応セキュリティ態勢などが提供される。

・ブック（Azure Monitorブック） - データに対する迅速な洞察を提供、監視もできる, ・インシデント - ログから脅威を検出, ・ハンティングクエリ - アラートがトリガーされる前にセキュリティ脅威を特定、独自のクエリやルールを作成して既知の異常な攻撃パターンを検出, ・プレイブック - インシデントの対応を自動化