Azure có thể giúp bảo mật ứng dụng của bạn như thế nào?
Bạn đã bao giờ gặp sự cố bảo mật với một trong các ứng dụng của mình chưa? Bạn có thể đã có một cái mà không hề biết. Với Azure, bạn có thể bảo vệ dữ liệu, ứng dụng và cơ sở hạ tầng bằng các dịch vụ bảo mật tích hợp bao gồm tính năng thông minh bảo mật để giúp bạn nhanh chóng xác định các mối đe dọa đang phát triển, cho phép bạn phản ứng kịp thời.
Azure cũng có thể giúp bạn triển khai chiến lược phòng thủ theo lớp, có chiều sâu trên danh tính, dữ liệu, máy chủ và mạng. Với các dịch vụ như Trung tâm bảo mật Azure, bạn có thể có cái nhìn tổng quan về tư thế bảo mật của mình, bảo vệ khỏi các mối đe dọa và xem các đề xuất về cách cải thiện bảo mật.
Quan trọng nhất, bạn sẽ được thông báo ngay khi có thể có sự cố bảo mật — vì vậy bạn sẽ luôn biết liệu có mối đe dọa hay không. Bằng cách này, bạn có thể thực hiện các bước ngay lập tức để đảm bảo tài sản của mình.
Hãy đi sâu vào.
Azure Active Directory
Một phần quan trọng trong bảo mật ứng dụng của bạn là xác thực người dùng trước khi họ có thể sử dụng nó — nhưng xác thực không phải là điều dễ dàng thực hiện. Bạn cần lưu trữ danh tính người dùng và thông tin đăng nhập ở đâu đó, triển khai quản lý mật khẩu, tạo bắt tay xác thực an toàn, v.v.
Azure Active Directory (Azure AD) cung cấp tất cả những thứ này và nhiều hơn thế nữa. Bạn lưu trữ danh tính người dùng của mình trong Azure AD và yêu cầu người dùng xác thực dựa trên đó, chỉ chuyển hướng họ đến ứng dụng của bạn sau khi họ đã được xác thực. Azure AD chăm sóc quản lý mật khẩu, bao gồm giải quyết các tình huống phổ biến như quên mật khẩu.
Vì Azure AD được sử dụng bởi hàng triệu ứng dụng mỗi ngày — bao gồm cổng Azure, Outlook.com và Office 365 — nên nó có thể dễ dàng phát hiện và xử lý các hành vi độc hại hơn. Ví dụ: nếu người dùng đăng nhập vào một ứng dụng từ một địa điểm ở Châu Âu và sau đó, một phút sau, đăng nhập từ Úc, Azure AD sẽ gắn cờ đây là hành vi độc hại và yêu cầu người dùng cung cấp thêm thông tin đăng nhập thông qua xác thực đa yếu tố (multi-factor authentication).
Dịch vụ nhận dạng doanh nghiệp Azure AD cung cấp xác thực đăng nhập một lần (SSO) và đa yếu tố để giúp bảo vệ người dùng của bạn khỏi 99,9% các cuộc tấn công an ninh mạng.
Kho chìa khóa (Key Vault)
Là một phần của kiến trúc bảo mật, bạn cần một nơi an toàn để lưu trữ và quản lý chứng chỉ, khóa và các bí mật khác. Key Vault cung cấp khả năng này. Với Key Vault, bạn có thể lưu trữ các bí mật mà các ứng dụng của bạn sử dụng ở một vị trí trung tâm, được bảo mật duy nhất sử dụng Mô-đun bảo mật phần cứng đã được xác thực FIPS 140-2 Cấp 2 (HSM).
Một ví dụ về việc sử dụng Key Vault với ứng dụng web là sử dụng nó để lưu trữ an toàn chuỗi kết nối (connection string). Ứng dụng của bạn sẽ nhận được chuỗi kết nối từ Key Vault thay vì từ hệ thống cấu hình. Bằng cách này, quản trị viên có thể kiểm soát các bí mật và các nhà phát triển không bao giờ cần phải xử lý chúng. Key Vault cũng lưu trữ SSL và các chứng chỉ khác được sử dụng để bảo mật lưu lượng truy cập đến và đi từ các ứng dụng của bạn qua HTTPS.
Azure Sentinel
Để có cái nhìn tổng quan tốt về trạng thái bảo mật của tổ chức của bạn và tất cả người dùng, ứng dụng, dịch vụ và dữ liệu của tổ chức, bạn có thể sử dụng trình quản lý thông tin và sự kiện bảo mật (SIEM) và nền tảng phản hồi tự động điều phối bảo mật (SOAR). Azure hiện cung cấp giải pháp SIEM và SOAR do AI hỗ trợ dưới dạng Azure Sentinel.
Sử dụng Azure Sentinel để thu thập dữ liệu từ tổ chức của bạn, bao gồm dữ liệu về người dùng, ứng dụng, máy chủ và tài sản cơ sở hạ tầng như tường lửa và thiết bị chạy trong đám mây và tại chỗ. Thật dễ dàng để thu thập dữ liệu từ tổ chức của bạn với các trình kết nối tích hợp. Khi dữ liệu đang được thu thập, Azure Sentinel phát hiện các mối đe dọa bảo mật và giảm thiểu xác thực sai bằng các thuật toán học máy thông minh của nó.
Khi có mối đe dọa, bạn sẽ được cảnh báo và có thể điều tra nó bằng AI, sử dụng hàng chục năm công tác an ninh mạng tại Microsoft. Bạn có thể ứng phó với các sự cố bằng tính năng tự động hóa quy trình làm việc và tự động hóa tác vụ được tích hợp sẵn của Azure Sentinel.
Bắt đầu với Quản lý API Azure Sentinel có sẵn
Quản lý API (API Management)
API phải được bảo mật. Điều này đúng với các API bạn tự tạo cũng như các API từ các nhà cung cấp bên thứ ba. Để hỗ trợ việc bảo mật các API của bạn, bạn có thể sử dụng Quản lý API. Về cơ bản, đây là một proxy bạn đặt trước các API bổ sung các tính năng như bộ nhớ đệm, điều chỉnh và xác thực hoặc ủy quyền.
Với Quản lý API, bạn bảo mật một API bằng cách yêu cầu người dùng tạo đăng ký cho nó. Bằng cách này, các ứng dụng cần xác thực trước khi chúng có thể sử dụng API của bạn. Bạn có thể sử dụng các phương pháp xác thực khác nhau, bao gồm mã thông báo truy cập, xác thực cơ bản và chứng chỉ. Ngoài ra, bạn có thể theo dõi ai đang gọi API của bạn và chặn những người gọi không mong muốn.
Quản lý API hỗ trợ nhiều cấp giá với đảm bảo SLA lên đến 99,95%. Cấp giá Tiêu dùng cung cấp khả năng để dịch vụ Quản lý API tự động mở rộng quy mô để xử lý tải.
Nhiều hơn là bảo mật (Much more than security)
Mặc dù bảo mật là rất quan trọng, nhưng Quản lý API cung cấp các khả năng khác có thể giúp hợp lý hóa quy trình phát triển và thử nghiệm của bạn, chẳng hạn như mô phỏng phản hồi dữ liệu thử nghiệm (test data response mocking), xuất bản nhiều phiên bản API (publishing multiple API versions), giới thiệu các thay đổi không vi phạm một cách an toàn với các bản sửa đổi (introducing non-breaking changes safely with revisions) và cấp cho nhà phát triển quyền truy cập vào tài liệu được tạo tự động của API của bạn , danh mục và mẫu mã.
Proxy ứng dụng Azure AD (Azure AD Application Proxy)
Azure AD Application Proxy cung cấp đăng nhập một lần (SSO) và truy cập từ xa an toàn cho các ứng dụng web được lưu trữ tại chỗ. Các ứng dụng mà bạn có thể muốn xuất bản bao gồm các trang SharePoint, Outlook Web Access hoặc các ứng dụng web dòng doanh nghiệp (LOB) khác. Các ứng dụng web tại chỗ này tích hợp với Azure AD, cùng một nền tảng nhận dạng và kiểm soát được sử dụng bởi Office 365. Người dùng cuối có thể truy cập các ứng dụng tại chỗ của bạn giống như cách họ truy cập vào Office 365 và các ứng dụng SaaS khác được tích hợp với Azure AD.
Danh tính được quản lý cho tài nguyên Azure (Managed identities for Azure resources)
Làm thế nào để bạn giữ thông tin đăng nhập hoàn toàn khỏi mã của bạn? Bạn có thể bắt đầu bằng cách sử dụng Key Vault, nhưng bạn lưu trữ thông tin đăng nhập để kết nối với Key Vault ở đâu? Tính năng Danh tính được quản lý cho tài nguyên Azure cung cấp một giải pháp.
Bạn có thể sử dụng danh tính được quản lý cho nhiều dịch vụ trong Azure, bao gồm cả Dịch vụ ứng dụng Azure. Bạn chỉ cần bật danh tính được quản lý bằng một nút để đưa thông tin đăng nhập vào ứng dụng của mình trong thời gian chạy và sau đó sử dụng thông tin đăng nhập đó để truy cập các dịch vụ khác, bao gồm Key Vault, Cơ sở dữ liệu SQL Azure và Lưu trữ Azure. Tất cả xác thực giữa các dịch vụ được thực hiện ở cấp độ cơ sở hạ tầng, có nghĩa là ứng dụng của bạn không phải xử lý nó và chỉ có thể sử dụng các dịch vụ khác.
Cách sử dụng danh tính được quản lý cho tài nguyên Azure trong Dịch vụ ứng dụng và Chức năng Azure