提供混合云工作负载的单一安全管控Azure强化进阶威胁侦测

早在2015年底，微软宣示提升企业资安防护之际，而推出新的软体系统与云端服务，例如，强化行动装置管理的Enterprise Mobility Suite（后来改名为Enterprise Mobility + Security），可侦测端点异常活动与建议安全组态的Advanced Threat Analytics，当然，同年稍早推出的个人端电脑作业系统Windows 10也是重点之一，当中内建了生物辨识相关机制——Microsoft Passport与Windows Hello，可防範恶意程式码擅自执行与安装的DeviceGuard，媲美商业防毒软体的Windows Defender，防护企业电子邮件受到进阶威胁攻击的Office 365 Advanced Threat Protection Service，以及可结合众家资安厂商之力，提供即时侦测威胁能力的Azure Security Center。

这些解决方案当中，我们过去几年都已陆续介绍，唯独Azure Security Center一直没机会深入了解，可能是因为微软当初发布时，这套云端服务仍处于封闭测试阶段，而等到正式推出已经是半年后（2016年7月），微软也在此时宣布採用的企业案例，像是法国的Chronodrive超市、美国的电子商务网站Jet.com、英国Metro Bank。

在Azure Security Center最初发表时，最令人关注的部份，是与多家资安厂商的合作，以趋势科技为例，他们的Trend Micro Deep Security，就在Azure Security Center稍后进入Beta测试阶段之际，宣布与其整合，另外，还有Barracuda、Checkpoint、Cisco、CloudFlare、F5 Networks、Imperva等公司的产品，都已陆续整合Azure Security Center。

而这套云端服务在近期发布的重大更新，主要是在2017年9月，微软公布了多项新增功能。例如，Azure Security Center现在能够监控的系统範围，可涵盖到企业内部网路与其他云端服务，用户只需在伺服器或电脑上，安装Microsoft Monitoring Agent的程式即可，而在这样的机制之下，也使得Azure Security Center能够管控到整个混合云环境。

对于资安政策的施行，用户可以透过管理群组（Management Groups），将Azure Security Center的安全性原则，运用到租赁的多个云端服务上，确保这些安全措施持续落实，保护用户在Azure及内部环境、其他云端服务执行的工作负载。

针对进阶威胁的侦测，Azure Security Center也将整合微软本身发展的端点侦防系统，也就是Windows Defender Advanced Threat Protection（WDATP），使得这套云端服务分析这类威胁的能力，能够延伸到Windows伺服器。至于使用Linux作业系统的虚拟机器，微软也在Azure Security Center当中，提供侦测进阶威胁的功能，它将透过分析系统的通用稽核框架，也就是auditd的记录，来找出潜藏其中的恶意行为。

对于应用系统执行的安全性，也是Azure Security Center改良的重点，微软预计提供自动调适的应用程式控管，主要是以正面表列的规则（白名单），来阻止电脑或伺服器执行恶意软体、非法应用程式，以及其他具有潜在安全性弱点的应用系统，而这里所用的白名单内容是动态调整而来的，将根据用户本身指定的应用系统，以及机器学习的分析结果而定。

Azure Security Center在这项机制运作的方式上，首先会分析用户在Azure VM里面执行的应用程式，接着自动产生应用程式名白名单、进行套用，而且，这些控管规则，是依附在特定一台或一群虚拟机器，如此一来，应用程式控管政策的施行目标较为精準，同时，也降低管理複杂度。

对于警示通知与突发事件的查看，Azure Security Center增加了互动式操作体验，管理者可以看到快速分类的警报事项、对于破坏规模的评估，以及根本原因的判定，同时，这里也会列出明显的连结，让管理者能够追查与攻击行动相关的警报、电脑、使用者，并且透过预先定义或随机（Ad Hoc）的查询，深入检验安全与维运事件的脉络。

除了监控系统的使用状态与连线活动，Azure Security Center也提供了自动化与调度指挥的机制，之所以能如此，是因为微软在这里整合了Azure Logic Apps，管理者可以运用Security Center connector，建立新的Logic Apps工作流程，然后，从Security Center发出的警报，来触动对于突发事件的反应机制。

而微软所提供的部份，主要是基于警报里面的细节而执行的条件反应动作，同时，管理者也能根据警报类型或其他因素，来修改工作流程。对于自动化工作流程的部份，用户可以运用的作法也不少，像是调整路由、派发警报到工单系统、在调查时收集额外资料，以及採取矫正威胁的动作。

产品资讯

Microsoft Azure Security Center
●原厂：微软(02)3725-3888
●建议售价：免费版仅限Azure资源，标準版支援混合部署与Azure资源，每月每节点是450.82元（分析资料500MB以内）
●监控项目：虚拟机器（Windows、Linux）、Azure Virtual Networks、Azure SQL Database、Azure Storage帐号、Azure Web Apps、Azure订阅服务整合解决方案
●安全性原则类型：系统更新、安全组态、端点防护、硬碟加密、网路安全群组、网站应用程式防火墙、次世代防火墙、SQL稽核与威胁侦测、SQL加密、弱点评估、储存加密、Just-In-Time 网路存取

【注：规格与价格由厂商提供，因时有异动，正确资讯请洽厂商】