随着公有云平台的成熟，全新的安全工具和服务随之涌现。比如，Microsoft Azure安全中心(Microsoft Azure Security Center)——Azure平台内的一个服务，帮助用户预防、检测并且回应所有云资源的安全威胁。

　　本文介绍了Microsoft Azure安全中心的核心特性，以及使用该服务的一些技巧。

　　1.预防

　　Microsoft Azure安全中心提供了一系列开箱即用的预防控制。它监控所有Azure资源的安全状态，这些资源可以是虚拟机(VM)或者基于服务的受管平台方案，比如Azure App Service。

　　安全策略检查各种风险，比如OS漏洞，端点保护，薄弱的网络安全组配置以及未加密的风险。然后，这些政策为纠正措施提出建议。用户还可以在安全中心内部从其他供应商那里部署服务，如安全应用。

　　2.检测

　　威胁检测由Azure里的高级分析系统驱动，包括机器学习和行为分析，并适应于每个用户环境都不相同的现实环境。随着时间的推移，Microsoft Azure安全中心的威胁检测技术能够理解每个用户的独特行为模式，并且可以基于之前的活动提出智能的建议。

　　另外，用户可以收集并且分析来自Azure资源的安全数据，并且接入外部资源，比如Microsoft Azure安全响应中心，来定位漏洞以及安全问题。

　　3.响应

　　Microsoft Azure安全中心的事件响应提供了一系列功能，包括优先级警报，用户可以根据它作出行动或者解除警报。该服务识别针对用户资源的攻击，并且提供对这些攻击源的洞察数据，给出如何减缓这些攻击的建议。

　　一个常见的例子是对Windows服务器的远程桌面协议(RDP)攻击。当网络安全组允许从任何资源上访问该协议(TCP端口3389)时，就可能经常看到针对该服务的大规模攻击了。Microsoft Azure安全中心能够识别这样的攻击，并且提供指导意见，关于如何使用入口规则限制访问从而保护网络安全组。

　　4.费用

　　Microsoft Azure安全中心提供了可以在任何Azure订阅中使用的免费版本。这也是能够提供高级威胁检测控制的标准版本。用户可以在90天的免费试用期内使用该标准版本。这之后，目前标准版本每月每个节点收费15美金。现在，节点仅仅能够映射到Azure的VM里，这也就意味着每个VM需要支付15美金。目前也包括监控其他服务，比如SQL数据库和Azure Cloud Service，但是以后Microsoft可能会将这些计算为不同的资源。

　　还要注意Microsoft Azure安全中心将受保护节点的安全数据保存在Azure存储上，这些存储所需的花费并没有涵盖在每个节点的费用里。这一点在免费试用期内也是一样的。

　　如何开始

　　Microsoft Azure安全中心对于所有Azure用户都可用。用户可以在Azure门户里通过点击More Service，滚动服务列表，就可以找到它。同时利用搜索功能可能更为容易，如图1所示。

　　图1：在Azure门户里找到安全中心

　　这里，用户就能够管理安全策略，查看警报以及建议，及部署由Microsoft合作伙伴构建的服务。

　　6.概览

　　导航到Microsoft Azure安全中心之后，点击Overview。这样会给出用户Azure账号里需要解决的问题列表。比如，如图2所示，有两个资源有问题。其中一个资源是VM，另一个是虚拟网络。还有针对如何保护Azure资源的五个建议。

　　图2：安全中心概览

　　7.安全策略

　　用户可以为Azure订阅以及单独的资源组配置策略。策略包括一系列设置，包括是否收集来自VM的数据以供分析所需，是否发送邮件通知，以及使用哪种定价版本。

　　图3：在安全中心里查看安全策略

　　图3展示了针对某个资源组的安全策略，称为MyServers。该策略里的设置目前是从订阅级别的父策略那里继承下来的。如果需要的话，用户可以禁用这些策略，并且配置自定义的策略设置。比如，个人策略对于账户里运行的不同环境会很有用，可能针对开发和生产环境的部署。

　　图4：安全中心里的预防策略设置

　　要了解系统使用哪种安全设置来生成建议，用户可以深入了解预防策略，如图4所示。要想接受到系统更新，OS漏洞或者端点保护的建议，在策略上启用数据保护选项即可。

　　数据保护会在需要应用策略的每个VM里安装一个代理。用户不需要手动安装任何东西;在启动VM后就会自动发生，不过可能需要一些时间。

　　8.建议

　　在安全中心的Prevention部分，用户可以导航到Recommendations里。这里列出用户的一系列公开的和已解决的问题，通过严重程度分类。用户如果认为建议不适用于自己的特定场景，还可以选择解除建议。

　　图5：查看安全中心建议

　　图5展示了由中等严重程度分类的常见建议。这里，网络安全组包括入站规则，允许网络上的任意外部资源访问RDP协议(TCP端口3389)。点击通知最上面的Edit按钮，就可以访问入站安全规则并且修复这里的问题。

　　Azure平台持续改变并且持续改进。随着时间的推移，我们很可能会看到有全新的以及改进的功能添加到Microsoft Azure安全中心里。现在就试试这个服务吧，可以在90天的免费试用期里看看可以使用这个服务做什么。

　　责任编辑：DJ编辑