在Microsoft Ignite，我们将分享我们的团队为提高Azure安全中心和Azure平台的安全性而构建的许多新功能。我们有一个很长的创新列表，这个博客提供了我们的总体方向，并总结了一些我们最喜欢的新功能。有关更多信息，请阅读我们的Azure安全中心社区帖子中的所有详细信息。启用Azure安全中心所需的保护azuresecurity Center提供统一的基础设施安全管理，增强安全态势，并跨运行在Azure、本地和其他云中的工作负载提供高级威胁保护。它能够持续评估安全态势，利用微软强大的威胁情报抵御网络攻击，并通过集成控制帮助更快地实施安全。使用安全中心，您可以使用数百个内置的安全评估来监控计算机、网络和Azure服务的安全性，也可以在中央仪表板中创建自己的安全评估。为Azure安全中心和合作伙伴提供社区服务不断变化的威胁环境需要新的保护方法、云安全态势、企业级部署和自动化。通过与微软智能安全协会（Microsoft Intelligent Security Association）成员的合作，微软能够利用庞大的知识库抵御日益增长的网络安全威胁。根据内置和合作伙伴建议利用Security Center的所有功能。Azure安全中心简单的入职流程将现有的解决方案（包括Check Point CloudGuard、CyberArk和Tenable）连接起来，使您能够在一个地方查看所有安全态势建议。运行统一报告并导出安全中心对连接的合作伙伴产品的建议。我们邀请用户通过Azure Security Center社区菜单为其他脚本、内容和社区资源贡献和帮助改进安全中心中使用的策略和配置。增强云资源的威胁保护威胁保护检测并防止各种服务的攻击，从基础设施即服务（IaaS）层到Azure中的平台即服务（PaaS）资源，包括Azure IoT和Azure应用程序服务，以及本地虚拟机。将威胁检测结果传输到Azure Sentinel进行调查、威胁搜索、与其他安全解决方案的信号关联以及安全运营中心（SOC）级别的管理。最新的威胁保护功能包括：对Azure虚拟机上托管的SQL Server的威胁保护和漏洞评估支持。VMs的漏洞评估功能是我们的虚拟机保护产品（由Qualys提供支持）的一部分，无需额外付费。安全中心收集漏洞并将其显示为安全分数的一部分。针对专注于azurekubernetes服务（AKS）的容器的威胁保护套件包括扫描容器映像中的漏洞、AKS集群的安全配置以及Kubernetes运行时活动的威胁检测。Azure密钥保险库的威胁保护正在北美地区进行预览。这提供了一个附加的安全智能层，用于检测访问或利用Azure密钥保险库中的加密密钥、证书和机密的异常和潜在的有害尝试。Azure存储的威胁保护提供了由Microsoft威胁智能支持的新检测功能，用于使用哈希信誉分析和从活动Tor出口节点（匿名代理）进行可疑访问来检测上载到Azure存储的恶意软件。现在，您可以使用Azure安全中心跨存储帐户查看检测到的恶意软件。云安全态势管理增强配置错误是云工作负载安全漏洞的最常见原因。安全中心为您的Azure环境提供鸟瞰式安全态势视图，使您能够使用Azure安全分数持续监控和改进安全态势。安全中心帮助管理和实施您的安全策略，以识别和修复跨不同资源的错误配置，并维护法规遵从性。新功能：安全分数简化：使用更新的、基于百分比的安全分数可以更好地了解安全分数控件，并提供更可靠的分数计算方法。使用新的快速修复功能更快地解决错误配置。将在Azure策略中创建的自定义评估添加到安全分数中，并在安全中心监控其合规状态。根据一套新的监管标准自动评估合规状态，包括NIST SP 800-53 R4、SWIFT CSP CSCF v2020、加拿大联邦PBMM和英国官方以及英国NHS。错误配置是攻击的主要来源，提高您的安全分数可以显著改善您的总体安全状况。使用Azure安全中心更快地实现安全性为了使大型组织能够在企业范围内利用Security Center的发现，Azure Security Center继续提供清晰的API、自动化和管理功能，以帮助客户将Security Center连接到整个组织中使用的工作流、流程和工具。Security Center中的新功能允许使用Azure逻辑应用程序和基于建议或警报的策略触发器创建丰富的工作流。配置一个逻辑应用程序来执行一个由庞大的逻辑应用程序连接器社区支持的自定义操作，或者使用提供的模板之一，包括发送电子邮件或打开服务票证。从地面开始的保安除了Azure安全中心更新之外，我们还有几个针对Azure平台安全性的附加增强。为了让您能够做得更多，我们正在不断增强平台服务，以改进现有产品并满足您的反馈。下面是一些令人兴奋的更新即将到来的平台Microsoft Azure客户锁箱扩展到虚拟机之外客户密码箱为客户提供了控制Azure支持工程师对包含客户数据的工作负载的访问的功能此扩展的支持现在为客户提供了对更大组Azure产品的数据访问的控制。预览版中提供的新服务和方案：Azure存储Azure SQL数据库Azure数据浏览器Azure虚拟机的内存转储和托管磁盘正在传输Azure订阅发布Microsoft安全代码分析工具包，帮助您构建安全代码使用Microsoft安全代码分析扩展，您可以将安全分析工具（包括凭证扫描程序、BinSkim和其他工具）注入到您的azuredevops持续集成和交付（CI/CD）管道中。通过易于配置的构建任务来提高开发人员的生产效率并简化安全性，这些任务可以从分析工具中抽象出复杂性（安装、更新、维护和运行），而不会放弃对它们的控制此产品现已通过统一支持提供。客户可以使用现有的信用卡或支付服务费进行注册。要了解更多信息，请访问Microsoft安全代码分析文档页。Azure磁盘加密在更多地方，更多服务提供客户管理的密钥Azure磁盘加密允许您使用Azure密钥保险库中保护的密钥加密Azure虚拟机磁盘。以前，此功能通过PowerShell和CLI提供。我们现在已经将此功能添加到Azure门户，这使得它非常容易使用。我们还增加了对Azure上常见Linux发行版最新版本的支持，包括Red Hat Enterprise Linux 7.6和7.7以及CentOS Linux 7.6和7.7。现在使用Quickstart for Windows或Quickstart for Linux自行尝试。以下服务最近发布了用于静态加密的客户托管密钥预览。Azure事件中心Azure托管磁盘电源BI有关使用客户托管密钥提供加密的服务的完整列表，请参阅Azure静态数据加密文档页。新的Azure策略用于管理组织中的证书，当前正在预览中大型组织在密钥保险库中有数千个证书，分布在数千个应用程序和订阅中。如果您负责整个组织的安全性和法规遵从性，则需要一种简单的方法来跨所有这些证书设置规则，证明这些规则得到遵守，并标记违规行为。Azure策略对此有帮助。我们为Azure密钥保险库中的证书添加了新的预览策略。颁发者策略：标记由特定颁发者颁发（或不颁发）的证书。密钥类型策略：标记受RSA或ECC密钥对保护（或不受）的证书。密钥大小策略：标记受特定大小的密钥保护（或不受保护）的证书。过期策略：标记在到期日后"X"天内更新（或未更新）的证书。有效期策略：标记有效期小于、大于或等于"X"年数的证书。有关详细信息，请参阅Azure密钥保管库管理策略的文档。Azure密钥保险库虚拟机扩展现已正式提供Azure密钥保险库虚拟机扩展使运行在虚拟机上的应用程序更容易使用密钥保险库中的证书，方法是抽象常见任务和最佳做法身份验证、处理常见网络错误、缓存、定期刷新密钥保险库中的证书以及为传输层绑定证书安全（TLS）。此扩展现在通常可用于Windows和Linux。在Azure上为你的域提供免费的Azure托管证书我们希望确保没有理由不在您的Azure应用程序中使用TLS。Azure现在免费为您托管在以下服务上的自定义域提供TLS证书