Azure 网络安全零信任建议

零信任模型假定存在漏洞，并验证每个请求，就好像它源自不受控制的网络一样。 Azure 网络安全服务通过在云环境中检查、筛选和记录流量，在强制实施零信任原则方面发挥关键作用。

以下建议可帮助你评估和强化 Azure 网络安全状况。 每个建议都链接到描述安全检查、风险级别和修正步骤的详细指南。

小窍门

一些组织可能会完全按照书面内容接受这些建议，而其他组织可能会选择根据自己的业务需求进行修改。 建议在适用的情况下实现以下所有控件。 这些模式和做法有助于为安全的 Azure 网络环境提供基础。 随着时间的推移，会向此文档添加更多控件。

自动评估

根据环境的配置手动检查本指南可能非常耗时且容易出错。 零信任评估通过自动化来转换此过程，以测试这些安全配置项目等。 有关详细信息，请参阅什么是零信任评估？

Azure DDoS 防护

Azure DDoS 防护可保护面向公众的资源免受分布式拒绝服务攻击。 以下建议验证是否已启用并正确监视 DDoS 保护。

有关详细信息，请参阅 Azure DDoS 防护的零信任建议。

建议	风险级别	用户影响	实现成本
为 VNet 中的所有公共 IP 地址启用 DDoS 防护	高	低	低
为受 DDoS 保护的公共 IP 启用度量指标	中等	低	低
为受 DDoS 保护的公共 IP 启用诊断日志记录	中等	低	低

Azure 防火墙

Azure 防火墙跨虚拟网络提供集中式网络安全策略强制实施和日志记录。 以下建议验证关键保护功能是否处于活动状态。

有关详细信息，请参阅 Azure 防火墙的零信任建议。

建议	风险级别	用户影响	实现成本
VNet 集成工作负荷的出站流量通过 Azure 防火墙路由	高	低	中等
在 Azure 防火墙上以拒绝模式启用威胁情报	高	低	低
IDPS 检查在 Azure Firewall 上以拒绝模式启用	高	低	低
在 Azure 防火墙上启用了出站 TLS 流量检查	高	低	低
在 Azure 防火墙中启用了诊断日志记录	高	低	低

应用程序网关 WAF

应用程序网关上的 Azure Web 应用程序防火墙可保护 Web 应用程序免受常见攻击和漏洞的影响。 以下建议验证是否已正确配置和监视 WAF。

有关详细信息，请参阅 应用程序网关 WAF 的零信任建议。

建议	风险级别	用户影响	实现成本
Application Gateway WAF 在预防模式下启用	高	低	低
应用程序网关 WAF 中启用了请求正文检查	高	低	低
在应用程序网关 WAF 中启用默认规则集	高	低	低
在应用程序网关 WAF 中启用和分配机器人保护规则集	高	低	低
应用程序网关 WAF 中启用了 HTTP DDoS 保护规则集	高	低	低
应用程序网关 WAF 中启用了速率限制	高	低	中等
应用程序网关 WAF 中启用了 JavaScript 挑战	中等	低	低
在应用程序网关 WAF 中启用诊断日志记录	高	低	低

Azure Front Door WAF

Front Door 上的 Azure Web 应用程序防火墙保护网络边缘的 Web 应用程序。 以下建议验证是否已正确配置和监视 WAF。

有关详细信息，请参阅 Azure Front Door WAF 的零信任建议。

建议	风险级别	用户影响	实现成本
Azure Front Door WAF 在预防模式下启用	高	低	低
Azure Front Door WAF 中启用了请求正文检查	高	低	低
在 Azure Front Door WAF 中分配默认规则集	高	低	低
在 Azure Front Door WAF 中启用和分配机器人保护规则集	高	低	低
Azure Front Door WAF 中启用了速率限制	高	低	中等
Azure Front Door WAF 中已启用 JavaScript 挑战	中等	低	低
在 Azure Front Door WAF 中启用了 CAPTCHA 验证	中等	低	低
Azure Front Door WAF 中启用了诊断日志记录	高	低	低

相关内容

• 什么是 Azure 网络安全？
• Azure DDOS 防护概述
• Azure 防火墙概述
• Azure Web 应用程序防火墙概述
• 零信任概述