你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

有关网络和连接的建议

适用于此 Azure 架构良好的框架安全清单建议：

SE：06	跨入口流和出口流隔离、筛选和控制网络流量。 通过在东西部和南北流量之间使用所有可用的网络边界使用本地化网络控制，以深度实施防御。

本指南介绍网络设计的建议。 重点是 安全控制，这些控制可以在体系结构的各个深度筛选、阻止和检测跨网络边界 的攻击者。

可以通过实施基于网络的访问控制措施来增强标识控制。 除了基于标识的访问控制之外，网络安全是保护资产的高优先级。 适当的网络安全控制可以提供深层防御元素，可帮助检测和包含威胁，并防止攻击者进入工作负荷。

定义

术语	定义
东-西流量	在受信任的边界内移动的网络流量。
出口流	出站工作负荷流量。
恶意网络	未部署为工作负荷一部分的网络。 敌对网络被视为威胁途径。
入口流	入站工作负荷流量。
网络筛选	允许或阻止基于指定规则的网络流量的机制。
网络分段或隔离	将网络划分为小型隔离段的策略，并在边界应用安全控制。 此方法可帮助保护资源免受恶意网络（如 Internet）的保护。
网络转换	一种机制，用于改变网络数据包以掩盖它们。
北-南流量	从受信任的边界移动到可能具有敌意的外部网络的网络流量，反之亦然。

关键设计策略

网络安全使用 模糊性来保护工作负荷资产免受恶意网络攻击。 在边界控制将流量标记为安全前进之前，网络边界后面的资源将隐藏。 网络安全设计基于三个主要策略构建：

• 段。 此方法 通过添加边界来隔离不同网络上的流量。 例如，传入和传出应用程序层的流量通过边界与其他层通信，这些层具有不同的安全要求。 分段层实现深层防御方法。

  最重要的安全边界是 应用程序和公用网络之间的网络边缘。 必须明确定义此外围，以便建立隔离敌对网络的边界。 此边缘上的控件必须非常有效，因为此边界是你的第一道防线。

  虚拟网络提供逻辑边界。 根据设计，除非边界被有意突破对等互连，否则虚拟网络无法与另一个虚拟网络通信。 体系结构应利用这种强大的平台提供的安全措施。

  还可以使用其他逻辑边界，例如虚拟网络中刻出的子网。 子网的好处是，可以使用它们将隔离边界内的资源组合在一起，并具有类似的安全保证。 然后，可以配置边界上的控制来筛选流量。

• 筛选器。 此策略有助于确保 进入边界的流量是预期、允许的和安全流量。 从零信任的角度来看，筛选会显式验证网络级别的所有可用数据点。 可以在边界上放置规则来检查特定条件。

  例如，在标头级别，规则可以验证流量是否源自预期位置或具有预期卷。 但这些检查是不够的。 即使流量表现出预期特征，有效负载也可能不安全。 验证检查可能会显示 SQL 注入攻击。

• 转换。 将边界上的数据包可变为安全措施。 例如，可以删除 HTTP 标头以消除暴露的风险。 或者，可以在一个点关闭传输层安全性（TLS），并使用更严格管理的证书将其重新建立到另一跃点。

对流量流进行分类

分类流的第一步是研究工作负荷体系结构的示意图。 从示意图中， 确定与工作负荷的功能实用工具和操作方面相关的流程 意向和特征。 使用以下问题来帮助对流进行分类：

• 如果工作负荷需要与外部网络通信，那么这些网络所需的接近级别应是什么？

• 流的网络特征是什么，例如预期的协议以及数据包的源和形状？ 网络级别是否有合规性要求？

可通过多种方式对流量流进行分类。 以下各节讨论常用条件。

从外部网络查看

• Public。 如果工作负荷的应用程序和其他组件可从公共 Internet 访问，则工作负荷面向公众。 应用程序通过一个或多个公共 IP 地址和公共域名系统（DNS）服务器公开。

• Private。 如果只能通过专用网络（例如虚拟专用网络（VPN）访问工作负荷，则工作负荷是专用的。 它仅通过一个或多个专用 IP 地址公开，并且可能通过专用 DNS 服务器公开。

  在专用网络中，没有从公共 Internet 到工作负荷的视线。 对于网关，可以使用负载均衡器或防火墙。 这些选项可以提供安全保证。

即使使用公共工作负荷， 也尽量保持工作负荷的私密性。 此方法强制数据包从公用网络到达时通过专用边界。 该路径中的网关可以通过充当反向代理充当转换点。

流量方向

• 入口。 入口是流入工作负荷或其组件的入站流量。 为了帮助保护入口，请应用前面的一组关键策略。 确定流量源是什么，以及流量源是否预期、允许和安全。 如果不检查入口或实施基本网络安全措施，扫描公有云提供商 IP 地址范围的攻击者可以成功渗透防御。

• 出口。 出口是从工作负荷或其组件流出的出站流量。 若要检查出口，请确定流量的前往位置以及目标是否为预期、允许和安全。 目标可能是恶意的，也可能与数据外泄风险相关联。

还可以 通过考虑工作负荷接近公共 Internet 来确定暴露程度。 例如，应用程序平台通常提供公共 IP 地址。 工作负荷组件是解决方案的面孔。

影响范围

• 南北。 在工作负荷网络和外部网络之间流动的流量是南北流量。 此流量会跨越网络的边缘。 外部网络可以是公共 Internet、企业网络或超出控制范围的任何其他网络。

  入口和出口可以是南北流量。

  例如，请考虑中心辐射型网络拓扑的出口流。 可以定义工作负荷的网络边缘，以便中心是外部网络。 在这种情况下，来自辐射虚拟网络的出站流量是南北流量。 但是，如果你认为中心网络在控制范围内，南北流量将扩展到中心的防火墙，因为下一跃点是 Internet，这可能存在敌意。

• 东西。 工作负荷网络中流动的流量是东西流量。 当工作负荷中的组件相互通信时，这种类型的流量将产生。 例如，n 层应用程序层之间的流量。 在微服务中，服务到服务通信是东西部流量。

若要提供深度防御，请维护 每个跃点中包含的安全保障措施的端到端控制，或者在数据包跨内部段时使用。 不同的风险级别需要不同的风险修正方法。

上图说明了私有云中的网络防御。 在此关系图中，公共和专用 IP 地址空间之间的边框与公有云关系图中的工作负荷要远得多。 多层将 Azure 部署与公共 IP 地址空间分开。

注意

标识始终是主要外围。 访问管理必须应用于网络流。 在网络组件之间使用 Azure 基于角色的访问控制（RBAC）时，请使用托管标识。

对流进行分类后，执行分段练习，以识别网络段的通信路径上的防火墙注入点。 在 跨所有段和所有流量类型深度设计网络防御时，假设在所有点发生违规。 在所有可用边界上使用各种本地化网络控件的组合。 有关详细信息，请参阅 分段策略。

在边缘应用防火墙

Internet 边缘流量是南北流量，包括流入量和流出量。 若要检测或阻止威胁，边缘策略须尽可能缓解针对和来自 Internet 的攻击。

对于出口， 请通过单个防火墙 发送所有受 Internet 绑定的流量，以增强对流量的监督、治理和控制。 对于流入量，强制来自 Internet 的所有流量流经网络虚拟设备 (NVA) 或 Web 应用程序防火墙。

• 防火墙通常是在组织中每个区域部署的单一实例。 因此，它们在工作负荷之间共享，由中心团队拥有。 请确保使用的任何 NVA 都配置为支持工作负荷的需求。

• 建议尽可能多地使用 Azure 本机控件。

  除了本机控件，还可以考虑提供高级或专用功能的合作伙伴 NVA。 合作伙伴防火墙和 Web 应用程序防火墙供应商产品可在Azure 市场中使用。

  使用本机功能而不是合作伙伴解决方案的决定应基于组织的经验和要求。

  权衡：合作伙伴功能通常提供高级功能，可以防范复杂但通常罕见的攻击。 合作伙伴解决方案的配置可能很复杂且脆弱，因为这些解决方案不与云的结构控制器集成。 从成本的角度来看，本机控制是首选的，因为它比合作伙伴解决方案便宜。

你考虑的任何技术选项都应为入口和出口流提供安全控制和监视。 若要查看可用于 Azure 的选项，请参阅 本文中的 Edge 安全 部分。

设计虚拟网络和子网安全性

私有云的主要目标是掩盖公共 Internet 中的资源。 可通过多种方式实现此目标：

• 移动到专用 IP 地址空间，可以使用虚拟网络完成此操作。 即使在自己的专用网络中，也能最大程度地减少网络视线。

• 最大程度地减少用于 公开工作负荷的公共 DNS 条目数。

• 添加入口和出口网络流控制。 不允许不受信任的流量。

分段策略

若要最大程度地减少网络可见性， 请将网络分段，并从最低特权网络控制开始。 如果段不可路由，则无法访问它。 扩大范围，仅包括需要通过网络访问相互通信的段。

可以通过创建子网来分段虚拟网络。 划分的条件应是有意的。 将服务并置在子网内时，请确保这些服务可以看到彼此。

可以将分段基于许多因素。 例如，可以将不同的应用程序层放置在专用段中。 另一种方法是基于使用已知协议的常见角色和函数规划子网。

有关详细信息，请参阅 分段策略。

子网防火墙

请务必检查每个子网的入站和出站流量。 在关键设计策略中使用 本文前面讨论的三个主要策略。 检查流是否预期、允许和安全。 若要验证此信息， 请定义基于流量的协议、源和目标的 防火墙规则。

在 Azure 上，在网络安全组中设置防火墙规则。 有关详细信息，请参阅 本文中的“网络安全组 ”部分。

有关子网设计的示例，请参阅 Azure 虚拟网络子网。

在组件级别使用控件

将网络可见性降到最低后，请从网络角度映射 Azure 资源并评估流。 可以使用以下类型的流：

• 根据体系结构设计，计划内的流量或服务之间的有意通信。 例如，体系结构建议 Azure Functions 从Azure 服务总线拉取消息时，你已计划流量。

• 作为服务功能的一部分发生的管理流量或通信。 此流量不属于你的设计，你无法控制它。 托管流量的示例是体系结构中的 Azure 服务与 Azure 管理平面之间的通信。

区分计划和管理流量有助于生成本地化的或服务级别的控制措施。 充分了解每个跃点的源和目标。 特别了解数据平面的公开方式。

首先，确定每个服务是否向 Internet 公开。 如果是，请计划如何限制访问。 如果不是，请将它置于虚拟网络中。

服务防火墙

如果希望向 Internet 公开服务， 请利用可用于大多数 Azure 资源的服务级别防火墙。 使用此防火墙时，可以根据访问模式设置规则。 有关详细信息，请参阅 本文中的 Azure 服务防火墙 部分。

注意

当组件不是服务时，除了网络级防火墙之外，还使用基于主机的防火墙。 虚拟机（VM）是不是服务的组件示例。

与平台即服务（PaaS）服务的连接

请考虑使用 专用终结点来帮助保护对 PaaS 服务的访问。 为专用终结点分配虚拟网络中的专用 IP 地址。 终结点允许网络中的其他资源通过专用 IP 地址与 PaaS 服务通信。

使用服务的公共 IP 地址和 DNS 记录实现与 PaaS 服务的通信。 该通信通过 Internet 发生。 可以将该通信设为私密。

从 PaaS 服务到其中一个子网的隧道会创建专用通道。 所有通信都从组件的专用 IP 地址到该子网中的专用终结点，然后与 PaaS 服务通信。

在此示例中，左侧的图像显示公开终结点的流。 在右侧，该流使用专用终结点进行保护。

有关详细信息，请参阅 本文中的“专用终结点 ”部分。

注意

建议将专用终结点与服务防火墙结合使用。 服务防火墙会阻止传入的 Internet 流量，然后将该服务私下公开给使用专用终结点的内部用户。

使用专用终结点的另一个优点是，无需打开防火墙上的端口进行出站流量。 专用终结点锁定公共 Internet 端口上的所有出站流量。 连接仅限于网络中的资源。

权衡：Azure 专用链接是一项付费服务，其中包含已处理的入站和出站数据的计量。 还需为专用终结点付费。

防范分布式拒绝服务 （DDoS） 攻击

DDoS 攻击尝试耗尽应用程序的资源，使应用程序对合法用户不可用。 DDoS 攻击可以针对可通过 Internet 公开访问的任何终结点。

DDoS 攻击通常是对系统资源的大规模、广泛、地理位置分散的滥用，因此很难查明和阻止源。

有关帮助防范这些攻击的Azure 支持，请参阅本文中的 Azure DDoS 防护部分。

Azure 便利化

可以使用以下 Azure 服务向网络添加深层防御功能。

Azure 虚拟网络

虚拟网络可帮助 Azure 资源安全地相互通信、Internet 和本地网络。

默认情况下，虚拟网络中的所有资源都可以与 Internet 进行出站通信。 但默认情况下，入站通信受到限制。

虚拟网络提供用于筛选流量的功能。 可以使用用户定义的路由（UDR）和防火墙组件来限制虚拟网络级别的访问。 在子网级别，可以使用网络安全组筛选流量。

Edge 安全性

默认情况下，入口和出口都流经公共 IP 地址。 根据服务或拓扑，设置这些地址或 Azure 会分配这些地址。 其他入口和出口可能性包括通过负载均衡器或网络地址转换（NAT）网关传递流量。 但这些服务适用于流量分发，不一定用于安全性。

建议使用以下技术选项：

• Azure 防火墙。 可以在网络边缘和常用网络拓扑（例如中心辐射网络和虚拟 WAN）中使用Azure 防火墙。 通常将Azure 防火墙部署为出口防火墙，在流量进入 Internet 之前充当最终安全门。 Azure 防火墙可以路由使用非 HTTP 和非 HTTPS 协议的流量，例如远程桌面协议（RDP）、安全外壳协议（SSH）和文件传输协议（FTP）。 Azure 防火墙的功能集包括：

  • 目标网络地址转换（DNAT）或端口转发。
  • 入侵检测和防护系统（IDPS）签名检测。
  • 强第 3 层、第 4 层和完全限定的域名（FQDN）网络规则。

  注意

  大多数组织都有强制隧道策略，强制流量流经 NVA。

  如果不使用虚拟 WAN 拓扑， 则必须将 UDR 部署到 NextHopType Internet NVA 的专用 IP 地址。 UDR 在子网级别应用。 默认情况下，子网到子网流量不会流经 NVA。

  还可以同时使用Azure 防火墙进行入口。 它可以路由 HTTP 和 HTTPS 流量。 在分层较高的 SKU 中，Azure 防火墙提供 TLS 终止，以便可以实施有效负载级别的检查。

  建议使用以下做法：

  • 启用Azure 防火墙中的诊断设置以收集流量流日志、IDPS 日志和 DNS 请求日志。

  • 在规则中尽可能具体。

  • 在实际情况下，请避免使用 FQDN 服务标记。 但是，当你使用它们时，请使用区域变体，该变体允许与服务的所有终结点通信。

  • 使用 IP 组定义必须在 IP 组生命周期内共享相同规则的源。 IP 组应反映分段策略。

  • 仅当工作负荷需要绝对出口控制时，才覆盖基础结构 FQDN 允许规则。 重写此规则具有可靠性权衡，因为 Azure 平台要求会更改服务。

  权衡：Azure 防火墙可能会影响性能。 规则顺序、数量、TLS 检查等因素可能会导致严重的延迟。

  还可以对工作负荷的可靠性产生影响。 它可能会遇到源网络地址转换（SNAT）端口耗尽。 若要帮助解决此问题，请根据需要添加公共 IP 地址。

  风险：对于出口流量，Azure 分配公共 IP 地址。 此分配可能会对外部安全门产生下游影响。

• Azure Web 应用程序防火墙。 此服务支持入站筛选，仅面向 HTTP 和 HTTPS 流量。

  它为常见攻击提供基本安全性，例如开放全球应用程序安全项目（OWASP）在 OWASP 前 10 文档中识别的威胁。 Azure Web 应用程序防火墙还提供侧重于第 7 层的其他安全功能，例如速率限制、SQL 注入规则和跨站点脚本。

  使用 Azure Web 应用程序防火墙时，需要 TLS 终止，因为大多数检查都基于有效负载。

  可以将 Azure Web 应用程序防火墙与路由器（例如Azure 应用程序网关或 Azure Front Door）集成。 这些类型的路由器的 Azure Web 应用程序防火墙实现可能会有所不同。

Azure 防火墙和 Azure Web 应用程序防火墙不是相互排斥的选择。 对于边缘安全解决方案，可以使用各种选项。 有关示例，请参阅虚拟网络的防火墙和应用程序网关。

网络安全组

网络安全组是子网或网络接口卡（NIC）级别应用的第 3 层和第 4 层防火墙。 默认情况下不会创建或应用网络安全组。

网络安全组规则充当防火墙 ，用于停止在子网外围进出的流量。 网络安全组具有过于宽松的默认规则集。 例如，默认规则不会从出口角度设置防火墙。 对于入口，不允许入站 Internet 流量。

若要创建规则，请从默认规则集开始：

• 对于 入站 流量或入口：
  • 允许来自直接、对等互连和 VPN 网关源的虚拟网络流量。
  • 允许Azure 负载均衡器运行状况探测。
  • 将阻止所有其他流量。
• 对于 出站 流量，或出口：
  • 允许将虚拟网络流量定向、对等互连和 VPN 网关目标。
  • 允许发到 Internet 的流量。
  • 将阻止所有其他流量。

然后考虑以下五个因素：

• 协议
• 源 IP 地址
• Source Port
• 目标 IP 地址
• 目标端口

缺乏对 FQDN 的支持会限制网络安全组功能。 你需要为工作负荷提供特定的 IP 地址范围，并且它们难以维护。

但对于 Azure 服务，可以使用 服务标记 来汇总源和目标 IP 地址范围。 服务标记的安全优势是，它们 对用户不透明，责任将卸载到 Azure。 还可以将应用程序安全组分配为要将流量路由到的目标类型。 这种类型的命名组包含具有类似入站或出站访问需求的资源。

风险：服务标记范围非常广泛，因此它们能够容纳尽可能广泛的客户。 对服务标记的更新滞后于服务中的更改。

在上图中，网络安全组在 NIC 上应用。 Internet 流量和子网到子网流量被拒绝。 网络安全组随标记一起 VirtualNetwork 应用。 因此，在这种情况下，对等网络的子网具有直接的视线。 标记的广泛 VirtualNetwork 定义可能会对安全产生重大影响。

使用服务标记时，请尽可能使用区域版本，例如 Storage.WestUS ，而不是 Storage使用区域版本。 通过采用此方法，可将范围限制为特定区域中的所有终结点。

某些标记专用于 入站 或 出站 流量。 其他类型适用于 这两 种类型。 入站 标记通常允许来自所有托管工作负荷（例如 AzureFrontDoor.Backend，或 Azure）的流量来支持服务运行时，例如 LogicAppsManagement。 同样， 出站 标记允许流量流向所有托管工作负荷，或者允许来自 Azure 的流量来支持服务运行时。

尽可能多地限定规则的范围。 在以下示例中，规则设置为特定值。 拒绝任何其他类型的流量。

信息	示例
协议	传输控制协议 （TCP）， UDP
源 IP 地址	允许从 <source-IP-address-range> 进入子网：4575/UDP
源端口	允许从 <服务标记>进入子网：443/TCP
目标 IP 地址	允许从子网流出到 <目标 IP 地址范围>：443/TCP
目标端口	允许从子网流出到 <服务标记>：443/TCP

总结：

• 创建规则时要精确。 仅允许应用程序正常运行所需的流量。 拒绝其他一切。 此方法将网络视线限制为支持工作负荷操作所需的网络流。 支持网络流比必要更多的网络流会导致不必要的攻击途径并扩展外围应用。

  限制流量并不意味着允许的流超出了攻击范围。 由于网络安全组在开放系统互连 （OSI） 堆栈的第 3 层和第 4 层工作，因此它们仅包含形状和方向信息。 例如，如果工作负荷需要允许 DNS 流量流向 Internet，则使用网络安全组。Internet:53:UDP 在这种情况下，攻击者可能能够通过端口 53 上的 UDP 向其他服务外泄数据。

• 了解网络安全组可能彼此略有不同。 很容易忽视差异的意图。 若要进行精细筛选，创建额外的网络安全组更安全。 设置至少一个网络安全组。

  • 添加网络安全组可解锁许多诊断工具，例如流日志和网络流量分析。

  • 使用 Azure Policy 帮助控制没有网络安全组的子网中的流量。

• 如果子网支持网络安全组，请添加一个组，即使其影响最小。

Azure 服务防火墙

大多数 Azure 服务都提供服务级别防火墙。 此功能检查从指定的无类域间路由 （CIDR） 范围传入服务的入口流量。 这些防火墙具有以下优势：

• 它们提供基本 级别的安全性。
• 性能有可容忍的影响。
• 大多数服务都提供这些防火墙， 无需额外付费。
• 防火墙通过 Azure 诊断发出日志，这对于分析访问模式很有用。

但也有与这些防火墙关联的安全问题，并且存在与提供参数相关的限制。 例如，如果使用Microsoft托管生成代理，则必须为所有Microsoft托管生成代理打开 IP 地址范围。 然后，该范围会向生成代理、其他租户和可能滥用服务的攻击者开放。

如果服务的访问模式可配置为服务防火墙规则集，则应启用该服务。 可以使用 Azure Policy 启用它。 如果默认情况下未启用受信任的 Azure 服务选项，请确保不要启用该选项。 这样做会引入规则范围内的所有依赖服务。

有关详细信息，请参阅各个 Azure 服务的产品文档。

专用终结点

专用链接提供了一种为 PaaS 实例提供专用 IP 地址的方法。 然后，该服务无法通过 Internet 访问。 所有 SKU 都不支持专用终结点 。

使用专用终结点时，请记住以下建议：

• 配置绑定到虚拟网络的服务，以 通过专用终结点联系 PaaS 服务，即使这些 PaaS 服务还需要提供公共访问。

• 提升对专用终结点的网络安全组的使用 ，以限制对专用终结点 IP 地址的访问 。

• 使用专用终结点时，请始终使用服务防火墙。

• 如果可能，如果某个服务只能通过专用终结点访问，请删除其公共终结点的 DNS 配置。

• 实现专用终结点时，请考虑运行时 视线问题 。 但也考虑 DevOps 和监视问题。

• 使用 Azure Policy 强制实施资源配置。

权衡：具有专用终结点的服务 SKU 成本高昂。 由于网络模糊，专用终结点可能会使操作复杂化。 需要将自承载代理、跳转框、VPN 和其他组件添加到体系结构。

DNS 管理在常见的网络拓扑中可能很复杂。 可能需要引入 DNS 转发器和其他组件。

虚拟网络注入

可以使用 虚拟网络注入过程 将某些 Azure 服务部署到网络中。 此类服务的示例包括Azure App 服务、Functions、Azure API 管理和 Azure Spring Apps。 此过程 将应用程序 与 Internet、专用网络中的系统和其他 Azure 服务隔离。 根据网络规则，允许或拒绝来自应用程序的入站和出站流量。

Azure Bastion

可以使用 Azure Bastion 通过浏览器和Azure 门户连接到 VM。 Azure Bastion 增强了 RDP 和 SSH 连接的安全性。 典型的用例包括连接到同一虚拟网络或对等互连虚拟网络中的跳转盒。 使用 Azure Bastion 无需 VM 具有公共 IP 地址。

Azure DDoS 防护

Azure 中的每个属性都受 Azure DDoS 基础结构保护，无需额外费用，且未添加任何配置。 保护级别基本，但保护阈值较高。 它还不提供遥测或警报，并且与工作负荷无关。

DDoS 防护的分层 SKU 可用，但不可用。 全球部署的 Azure 网络的规模和容量可防范常见的网络层攻击。 诸如始终启用流量监视和实时缓解等技术可提供此功能。

有关详细信息，请参阅 Azure DDoS 防护概述。

示例

下面是演示如何使用本文中建议的网络控件的一些示例。

IT 环境

此示例基于安全基线（SE：01）中建立的 信息技术（IT）环境。 此方法对各种外围应用的网络控制进行了广泛的了解，以限制流量。

1. 网络攻击角色。 在网络攻击中，可能会考虑多个角色，包括管理员、员工、客户的客户和匿名攻击者。

2. VPN 访问。 不良参与者可能通过 VPN 或通过 VPN 连接到本地环境的 Azure 环境来访问本地环境。 使用 IPSec 协议进行配置以启用安全通信。

3. 对应用程序的公共访问。 在应用程序前面有一个 Web 应用程序防火墙（WAF），以在网络 OSI 层的第 7 层保护它。

4. 操作员访问权限。 必须保护通过网络 OSI 层的第 4 层进行远程访问。 请考虑将Azure 防火墙与 IDP/IDS 功能一起使用。

5. DDOS 防护。 为整个 VNet 提供 DDoS 保护。

6. 网络拓扑。 网络拓扑（例如中心辐射）更安全，并优化成本。 中心网络为所有对等辐射提供集中式防火墙保护。

7. 专用终结点：请考虑使用专用终结点将公开的服务添加到专用网络中。 这些证书在专用 VNet 中创建网卡（NIC），并与 Azure 服务绑定。

8. TLS 通信。 通过 TLS 进行通信来保护传输中的数据。

9. 网络安全组（NSG）：使用 NSG 保护 VNet 中的段，这是一种免费资源，用于筛选考虑 IP 和端口范围的 TCP/UDP 入站和出站通信。 NSG 的一部分是应用程序安全组（ASG），可用于为流量规则创建标记，以便更轻松地管理。

10. Log Analytics。 Azure 资源会发出 Log Analytics 中引入的遥测数据，然后与 SIEM 解决方案（如 Microsoft Sentinel）一起使用进行分析。

11. Microsoft Sentinel 集成。 Log Analytics 与 Microsoft Sentinel 和其他解决方案（如 Microsoft Defender for Cloud）集成。

12. Microsoft Defender for Cloud。 Microsoft Defender for Cloud 提供了许多工作负载保护解决方案，包括针对环境的网络建议。

13. 流量分析：使用流量分析监视网络控制。 这是通过 网络观察程序（Azure Monitor 的一部分）配置的，并聚合 NSG 收集的子网中的入站和出站命中。

容器化工作负荷的体系结构

此示例体系结构结合了本文中所述的网络控件。 该示例不显示完整的体系结构。 相反，它侧重于私有云上的入口控件。

应用程序网关是一个 Web 流量负载均衡器，可用于管理发到 Web 应用程序的流量。 在具有网络安全组控制和 Web 应用程序防火墙控制的专用子网中部署应用程序网关。

通过专用终结点与所有 PaaS 服务进行通信。 所有终结点都放置在专用子网中。 DDoS 防护有助于保护为基本或更高级别的防火墙保护配置的所有公共 IP 地址。

通过 Azure Bastion 限制管理流量，这有助于通过 TLS 直接从 Azure 门户 提供安全无缝的 RDP 和 SSH 连接。 生成代理放置在虚拟网络中，以便它们具有工作负荷资源（例如计算资源、容器注册表和数据库）的网络视图。 此方法有助于为生成代理提供安全隔离的环境，从而增强代码和项目的保护。

计算资源的子网级别的网络安全组会限制出口流量。 强制隧道用于通过Azure 防火墙路由所有流量。 此方法有助于为计算资源提供安全隔离的环境，从而增强数据和应用程序的保护。

相关链接

• 有关设计分段策略的建议
• Azure 虚拟网络子网
• Azure 虚拟网络
• Azure 防火墙
• Azure Web 应用程序防火墙
• 面向虚拟网络的防火墙和应用程序网关
• 网络安全组
• 服务标记
• Azure 专用链接
• 专用终结点
• Azure Bastion
• Azure DDOS 防护概述

安全清单

请参阅完整的建议集。

安全清单