使用 Azure 安全服务构建第一层防御

通过使用各种 Azure 服务，可以构建完整的 IT 基础结构来运行组织。 Azure 还提供安全服务来保护基础结构。 通过使用 Azure 安全服务，可以改善 IT 环境的安全态势。 可以通过实施遵循 Microsoft 建议的架构良好的解决方案来缓解漏洞问题并避免违规。

部分安全服务会产生费用，而其他安全服务则不会产生额外费用。 免费服务包括网络安全组 (NSG)、存储加密、TLS/SSL、共享访问签名令牌等。 本文会介绍到此类服务。

本文是此系列中的第三部分（共五部分）。 若要查看本系列中的前两篇文章（介绍和回顾如何映射 IT 环境面临的威胁），请参阅以下文章：

• 使用 Azure 监视集成安全组件
• 将威胁映射到 IT 环境

可能的用例

本文根据每个 Azure 服务介绍 Azure 安全服务。 这样，就可以考虑针对资源（虚拟机 (VM)、操作系统、Azure 网络、应用程序）的特定威胁或可能危及用户和密码的攻击。 然后，本文中的示意图可帮助你了解哪些 Azure 安全服务可用于保护资源和用户标识免受此类威胁。

体系结构

下载此体系结构的 Visio 文件。

©2021 The MITRE Corporation。 本文经 MITRE Corporation 许可进行转载和传播。

此图中的 Azure 安全层基于 Azure 安全基准 (ASB) v3，这是一组通过 Azure 策略实现的安全规则。 ASB 由 Internet 安全 CIS 中心和国家标准与技术研究所提供的规则组合而来。 若要详细了解 ASB，请参阅 Azure 安全基准 v3 概述。

该示意图不包含所有可用的 Azure 安全服务，但展示了组织最常使用的安全服务。 体系结构示意图中标识的所有安全服务都可以根据 IT 环境和组织的安全要求以任何组合方式配合运作。

工作流

本部分介绍示意图中展示的组件和服务。 除缩写标签外，其中许多组件/服务还标有 ASB 控制代码。 控制代码对应于控制中列出的控制域。

1. Azure 安全基准

   每项安全控制是指一个或多个特定的 Azure 安全服务。 本文中的体系结构参考根据 ASB 文档展示其中一些服务及其控制编号。 控制措施包括：

   • 网络安全
   • 身份管理
   • 特权访问
   • 数据保护
   • 资产管理
   • 日志记录和威胁检测
   • 事件响应
   • 态势和漏洞管理
   • 终结点安全
   • 备份和恢复
   • DevOps 安全性
   • 治理和策略

   若要详细了解安全控制，请参阅 Azure 安全基准 (v3) 概述。

2. 网络

   下表介绍了示意图中的网络服务。

   Label	说明	文档
   NSG	附加到网络接口或子网的免费服务。 使用 NSG，可以通过输入和输出连接的 IP 地址范围和端口对 TCP 或 UDP 协议流量进行筛选。	网络安全组
   VPN	虚拟专用网络 (VPN) 网关，该网关提供带有 IPSEC (IKE v1/v2) 保护的隧道。	VPN 网关
   Azure 防火墙	一项平台即服务 (PaaS)，用于在第 4 层中提供保护，并附加到整个虚拟网络。	什么是 Azure 防火墙？
   APP GW + WAF	Azure 应用程序网关和 Web 应用程序防火墙 (WAF)。 应用程序网关是 Web 流量的负载均衡器，适用于第 7 层，并添加 WAF 来保护使用 HTTP 和 HTTPS 的应用程序。	什么是 Azure 应用程序网关？
   NVA	网络虚拟设备 (NVA)，是通过市场预配至 Azure VM 的虚拟安全服务。	网络虚拟设备
   DDOS	虚拟网络上实现的 DDoS 防护有助于缓解不同类型的 DDoS 攻击。	Azure DDoS 网络保护概述
   TLS/SSL	TLS/SSL 为大多数交换信息的 Azure 服务（如 Azure 存储和 Web 应用）提供传输中加密。	使用 PowerShell 通过应用程序网关配置端到端 TLS
   专用链接	允许为最初向 Internet 公开的 Azure 服务创建专用网络的服务。	什么是 Azure 专用链接？
   专用终结点	创建网络接口并将其附加到 Azure 服务。 专用终结点是专用链接的一部分。 此配置允许服务通过使用专用终结点成为虚拟网络的一部分。	什么是专用终结点？

3. 基础结构和终结点

   下表介绍示意图中展示的基础结构和终结点服务。

   Label	说明	文档
   BASTION	Bastion 提供跳转服务器功能。 使用该服务，可通过远程桌面协议 (RDP) 或SSH访问 VM，无需向 Internet 公开 VM。	什么是 Azure Bastion？
   反恶意软件	Microsoft Defender 提供反恶意软件服务，是 Windows 10、Windows 11、Windows Server 2016 和 Windows Server 2019 的一部分。	Windows 中的 Microsoft Defender 防病毒
   磁盘加密	磁盘加密允许加密 VM 的磁盘。	适用于 Windows VM 的 Azure 磁盘加密
   KEY VAULT	密钥保管库，是一项按照 FIPS 140-2 2 级或 3 级标准存储密钥、机密和证书的服务。	Azure Key Vault 基本概念
   RDP 短路径	Azure 虚拟桌面 RDP 短路径。 此功能允许远程用户从专用网络连接到虚拟桌面服务。	用于托管网络的 Azure 虚拟桌面 RDP 短路径
   反向连接	Azure 虚拟桌面中的内置安全功能。 反向连接保证远程用户仅接收像素流，无法访问主机 VM。	了解 Azure 虚拟桌面网络连接性

4. 应用程序和数据

   下表介绍示意图中展示的应用程序和数据服务。

   Label	说明	文档
   FRONTDOOR + WAF	内容分发网络 (CDN)。 Front Door 结合多个接入点，为访问服务的用户提供更好的连接并添加 WAF。	什么是 Azure Front Door？
   API 管理	这是一项为 API 调用提供安全性并跨环境管理 API 的服务。	关于 API 管理
   渗透测试	在环境（包括 Azure 资源）中执行渗透测试的一组最佳做法。	渗透测试
   存储 SAS 令牌	一种共享访问令牌，可允许其他人访问你的 Azure 存储帐户。	使用共享访问签名 (SAS) 授予对 Azure 存储资源的有限访问权限
   专用终结点	创建网络接口并将其附加到存储帐户，以在 Azure 上的专用网络中对其进行配置。	为 Azure 存储使用专用终结点
   存储防火墙	允许设置可访问存储帐户的 IP 地址范围的防火墙。	配置 Azure 存储防火墙和虚拟网络
   加密 （Azure 存储）	使用静态加密保护存储帐户。	静态数据的 Azure 存储加密
   SQL 审核	可跟踪数据库事件，并将事件写入 Azure 存储帐户中的审核日志。	Azure SQL 数据库和 Azure Synapse Analytics 的审核
   漏洞评估	此服务有助于发现、跟踪和补救潜在的数据库漏洞。	SQL 漏洞评估可帮助识别数据库漏洞
   加密 (Azure SQL)	透明数据加密 (TDE) 通过加密静态数据帮助保护 Azure SQL 数据库。	Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 的透明数据加密

5. IDENTITY

   下表介绍示意图中展示的标识服务。

   Label	说明	文档
   RBAC	Azure 基于角色的访问控制 (Azure RBAC) 通过使用基于用户的 Microsoft Entra 凭据的精细权限来管理对 Azure 服务的访问权限。	什么是 Azure 基于角色的访问控制 (Azure RBAC)？
   MFA	除了用户名和密码，多重身份验证还提供其他类型的身份验证。	工作原理：Microsoft Entra 多重身份验证
   ID 保护	标识保护是 Microsoft Entra ID 提供的一项安全服务，每天分析数万亿条信号，以识别用户并保护用户免受威胁。	什么是“标识保护”？
   PIM	Privileged Identity Management (PIM)，是 Microsoft Entra ID 提供的一项安全服务。 该服务有助于暂时为 Microsoft Entra ID（例如全局管理员）和 Azure 订阅（例如所有者或参与者）提供超级用户权限。	什么是 Microsoft Entra Privileged Identity Management？
   COND ACC	条件访问是一项智能安全服务，该服务使用为各种条件定义的策略来阻止用户访问或授予用户访问权限。	什么是条件访问？

组件

本文中的示例体系结构使用以下 Azure 组件：

• Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务。 Microsoft Entra ID 可帮助用户访问外部资源，例如 Microsoft 365、Azure 门户和数以千计的其他 SaaS 应用程序。 该服务还可以帮助用户访问内部资源，例如公司 Intranet 网络上的应用。

• Azure 虚拟网络是 Azure 中专用网络的基本构建基块。 借助虚拟网络，多种类型的 Azure 资源可相互之间、与 Internet 以及与本地网络安全通信。 虚拟网络提供了从 Azure 的基础结构受益（如缩放、可用性和隔离）的虚拟网络。

• Azure 负载均衡器是一项适用于所有 UDP 和 TCP 协议的高性能、低延迟第 4 层负载均衡服务（入站和出站）。 该服务旨在处理每秒数百万个请求，同时确保解决方案高度可用。 Azure 负载均衡器是区域冗余的，可确保整个可用性区域的高可用性。

• 虚拟机是 Azure 提供的按需分配可缩放的计算资源之一。 使用 Azure 虚拟机 (VM) 可以灵活进行虚拟化，而无需购买和维护运行 VM 的物理硬件。

• Azure Kubernetes 服务 (AKS) 是一项完全托管的 Kubernetes 服务，用于部署和管理容器化应用程序。 AKS 提供无服务器 Kubernetes、持续集成/持续交付 (CI/CD) 以及企业级安全性和治理。

• Azure 虚拟桌面，它是在云中运行的一项桌面和应用虚拟化服务，可面向远程用户提供桌面。

• 应用程序服务 Web 应用是一项基于 HTTP 的服务，用于托管 Web 应用程序、REST API 和移动后端。 可以使用自己喜欢的语言进行开发，应用程序可在基于 Windows 或 Linux 的环境中轻松地运行和缩放。

• Azure 存储是云中各种数据对象（包括对象、Blob、文件、磁盘、队列和表存储）的高度可用、可大规模缩放、持久且安全的存储。 该服务会对写入到 Azure 存储帐户的所有数据进行加密。 Azure 存储可以精细地控制谁可以访问你的数据。

• Azure SQL 数据库是一个完全托管的 PaaS 数据库引擎，可处理绝大部分数据库管理功能，如升级、修补、备份和监视。 该引擎在提供这些功能时无需用户参与。 SQL 数据库提供一系列内置安全性和合规性功能，可帮助应用程序满足安全性和合规性要求。

作者

本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

主要作者：

• Rudnei Oliveira | 高级客户工程师

其他参与者：

• Gary Moore | 程序员/作家
• Andrew Nathan | 高级客户工程经理

后续步骤

Microsoft 提供了更多文档，可帮助你保护 IT 环境，以下文章尤为有用：

• 适用于 Azure 的 Microsoft 云采用框架中的安全性。 云采用框架通过明确流程、最佳做法、模型和体验，为云旅程提供安全指导。
• Microsoft Azure 架构良好的框架。 Azure 架构良好的框架是一组指导原则，可用于提高工作负荷的质量。 该框架基于五大要素：可靠性、安全性、成本优化、卓越运营和性能效率。
• Microsoft 安全最佳做法。 Microsoft 安全最佳做法（以前称为 Azure Security Compass 或 Microsoft Security Compass）是一系列最佳做法，可为安全相关决策提供切实可行的清晰指导。
• Microsoft 网络安全参考体系结构 (MCRA)。 MCRA 是各种 Microsoft 安全参考体系结构的汇编。

在以下资源中，可以找到有关本文中提到的服务、技术和术语的详细信息：

• 什么是公有云、私有云和混合云？
• Azure 安全基准 (v3) 概述
• 通过零信任实现主动安全性
• Microsoft 365 订阅信息
• Microsoft Defender XDR

相关资源

有关此参考体系结构的更多详细信息，请参阅本系列的其他文章：

• 第 1 部分：使用 Azure 监视集成安全组件
• 第 2 部分：将威胁映射到 IT 环境
• 第 4 部分：使用 Microsoft Defender XDR 安全服务生成第二层防御
• 第 5 部分：集成 Azure 和 Microsoft Defender XDR 安全服务