安全体系结构设计

信息安全一直是一个复杂的课题，它随着攻击者和安全研究人员的创意和实现而迅速发展。

安全性是任何体系结构最为重视的方面之一。 良好的安全性可以针对故意攻击和宝贵数据及系统的滥用提供机密性、完整性和可用性保证。 失去这些保证可能会损害你的业务运营和收入以及你的组织的信誉。

下面是设计安全系统时需要考虑到的一些大方面：

Azure 提供多种安全工具和功能。 下面只列出了 Azure 中提供的一部分重要安全服务：

• Microsoft Defender for Cloud。 统一的基础结构安全管理系统，可以增强数据中心的安全态势。 它还在云中和本地跨混合工作负载提供高级威胁防护。
• Microsoft Entra ID。 Microsoft 基于云的标识和访问管理服务。
• Azure Front Door。 可缩放的全局入口点，它使用 Microsoft 全球边缘网络来创建快速、高度安全且可大规模缩放的 Web 应用程序。
• Azure 防火墙。 一个云原生的智能网络防火墙安全服务，为 Azure 中运行的云工作负载提供威胁防护。
• Azure Key Vault。 一个高安全性机密存储，用于存储令牌、密码、证书、API 密钥和其他机密。 还可以使用密钥保管库来创建和控制用于加密数据的加密密钥。
• Azure 专用链接。 该服务让你可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务、你拥有的但由 Azure 托管的服务，或合作伙伴服务。
• Azure 应用程序网关。 一种高级 Web 流量负载均衡器，可用于管理 Web 应用程序的流量。
• Azure Policy。 可帮助你强制实施组织标准和评估合规性的服务。

有关 Azure 安全工具和功能的更详细介绍，请参阅 Azure 中的端到端安全性。

Azure 上的安全性简介

如果你还不熟悉 Azure 上的安全性，最好通过 Microsoft Learn 培训了解详细信息。 这是一个免费的在线平台，可提供 Microsoft 产品的交互式培训等内容。

下面是可帮助你入门的两条学习路径：

• Microsoft Azure 基础知识：介绍常见安全性和网络安全功能

• Microsoft 安全性、合规性和标识基础知识：介绍 Microsoft 安全性解决方案的功能

实现生产的路径

• 若要保护 Azure 应用程序工作负载，请在应用程序本身中使用身份验证和加密等保护措施。 你还可以向托管应用程序的虚拟机 (VM) 网络添加安全层。 有关概述，请参阅虚拟网络的防火墙和应用程序网关。
• 零信任是一种跨数字资产中所有层的主动集成式安全保护方法。 它显式并持续验证每个事务，断言最低特权，并依赖于智能功能、高级检测和实时威胁响应。
  • 有关针对 Web 应用的实现策略，请参阅使用 Azure 防火墙和应用程序网关为 Web 应用程序构建零信任网络。
  • 有关演示如何将 Microsoft Entra 标识和访问功能整合到整个零信任安全策略的体系结构，请参阅安全运营中的 Microsoft Entra IDaaS。
• Azure 治理建立支持云治理、合规性审核和自动化防范措施所需的工具。 有关治理 Azure 环境的信息，请参阅 Azure 治理设计领域指导。

最佳实践

Azure 架构良好的框架是一组指导原则，基于五个支柱，可用于提高体系结构的质量。 有关信息，请参阅安全支柱概述和 Azure 中的安全设计原则。

架构良好的框架还提供以下清单：

• Azure 标识和访问管理注意事项
• 网络安全
• 数据保护注意事项
• 治理、风险和符合性

有关敏感 IaaS 工作负载的安全性的信息，请参阅 Azure 中高度敏感的 IaaS 应用的安全注意事项。

安全体系结构

标识和访问管理

• 适用于 web 服务的 OAuth 2.0 代理刷新令牌
• Microsoft Entra ID 身份验证和访问控制管理的弹性
• AWS 的 Microsoft Entra 标识管理和访问权限管理

威胁防护

• Microsoft Sentinel 中网络威胁情报的威胁指标
• 针对 Azure 虚拟机访问权限的多层保护
• 实时欺诈检测

信息保护

• 医疗保健平台上的机密计算
• 通过 SEAL 实现同态加密
• 虚拟网络集成无服务器微服务

发现和响应

• Azure 数据资源管理器的长期安全日志保留

随时了解最新安全信息

获取有关 Azure 安全服务和功能的最新信息。

其他资源

示例解决方案

• 使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 进行混合安全监视
• 从本地网络对多租户 Web 应用进行更安全的访问
• 限制服务间通信
• 安全地托管 Web 应用程序
• 使用防火墙保护 Microsoft Teams 频道机器人和 Web 应用
• 与 Azure SQL 数据库的 Web 应用专用连接

浏览所有安全体系结构。

AWS 或 Google Cloud 专业人员

• 使用 Azure 和 AWS 的安全和标识
• AWS 和 Azure 服务的比较 - 安全性
• Google Cloud 和 Azure 服务的比较 - 安全性

后续步骤

安全体系结构属于一组复杂的安全指南，它还包括：

• 适用于 Azure 的 Microsoft 云采用框架中的安全性：云安全终端状态的简要概述。
• Azure 架构良好的框架：有关保护 Azure 上工作负载的指导。
• Azure 安全基准：Azure 安全性的规范性最佳做法和控制措施。
• Azure 中的端到端安全性：介绍 Azure 中的安全服务的文档。
• Azure 的 10 大安全最佳做法：Microsoft 根据在客户和自己的环境中学到的经验建议的最重要的 Azure 安全最佳做法。
• Microsoft 网络安全体系结构：该图描述 Microsoft 安全功能如何与 Microsoft 平台和第三方平台集成。