你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 操作安全性清单

在 Azure 上部署云应用程序的过程快速、轻松且经济高效。 在部署应用程序之前，应准备一个清单。 借助清单，你可以根据基本的和推荐的安全操作的列表来评估应用程序。

简介

Azure 提供一套可用于部署应用程序的基础结构服务。 Azure 操作安全性是指用户可用于在 Microsoft Azure 中保护其数据、应用程序和其他资产的服务、控件和功能。

为了最大程度地发挥云平台的优势，建议使用 Azure 服务并按清单操作。 在推出应用程序之前投入时间和资源评估应用程序操作就绪性的组织，比不采取这些措施的组织最终收获的满意度要高。 在执行这项工作时，清单可以充当一个极其有效的机制，确保以一致且整体的方式评估应用程序。

清单

此清单的目的是帮助企业在 Azure 上部署复杂的企业应用程序时全盘考虑各种操作安全因素。 此外，它还有助于为组织构建安全的云迁移和操作策略。

清单类别	说明
安全角色和访问控制	使用 Azure 基于角色的访问控制 (Azure RBAC) 向特定范围内的用户、组和应用程序分配权限。
数据保护和存储	使用 Azure 基于角色的访问控制 (Azure RBAC) 通过管理平面安全性来保护存储帐户。 使用共享访问签名 (SAS) 和存储访问策略通过数据平面安全性来保护对数据的访问。 使用传输级加密 – 使用 SMB（服务器消息块协议）3.0 对 Azure 文件共享所用的 HTTPS 和加密。 需要专门控制加密密钥时，使用客户端加密来保护发送到存储帐户的数据。 使用存储服务加密 (SSE) 来自动加密 Azure 存储中的数据，使用适用于 Linux VM 的 Azure 磁盘加密和适用于 Windows VM 的 Azure 磁盘加密来加密 OS 和数据磁盘的虚拟机磁盘文件。 使用 Azure 存储分析监视授权类型；像使用 Blob 存储时一样，可以查看用户使用的是共享访问签名还是存储帐户密钥。 使用跨域资源共享 (CORS) 访问不同域中的存储资源。
安全策略和建议	使用 Microsoft Defender For Cloud 部署终结点解决方案。 添加 Web 应用程序防火墙 (WAF) 来保护 Web 应用程序。 使用 Azure 防火墙来增强安全保护。 应用 Azure 订阅的安全联系人详细信息。 如果 Microsoft 安全响应中心 (MSRC) 发现客户数据被非法的或未授权的某方访问，MSRC 会联系你。
标识和访问管理	使用 Microsoft Entra ID 将本地目录与云目录同步。 使用单一登录让用户基于他们在 Azure AD 中的组织帐户访问其 SaaS 应用程序。 使用密码重置注册活动报告来监视正在注册的用户。 为用户启用多重身份验证 (MFA)。 开发人员可对应用使用安全标识功能，例如 Microsoft 安全开发生命周期 (SDL)。 使用 Microsoft Entra ID P1 或 P2 异常报告和 Microsoft Entra ID 保护功能主动监视可疑活动。
持续安全监视	使用恶意软件评估解决方案 Azure Monitor 日志来报告基础结构中的反恶意软件保护状态。 使用更新管理确定潜在安全问题的总体风险，以及这些更新对环境是否重要、有多重要。 Microsoft Entra 管理中心提供组织目录的完整性和安全性的可见性。
Microsoft Defender for Cloud 检测功能	使用云安全态势管理 (CSPM) 来强化指导，帮助你有效且高效地提高安全性。 使用警报，在云环境、混合环境或本地环境中发现威胁时你就会收到通知。 使用安全策略、计划和建议来改善安全态势。

结论

许多组织已在 Azure 中成功部署并运行其云应用程序。 提供的清单强调了几项必备要点，可帮助提高成功部署和顺畅运营的几率。 我们强烈建议针对 Azure 上的现有应用程序部署和新的部署实施这些操作性和策略性事项。

后续步骤

若要详细了解 Azure 中的安全性，请参阅以下文章：

• 云中责任分担。
• Azure 中的端到端安全性。
• Azure 中的勒索软件防护