你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 上可用的安全服务和技术

在我们与当前和未来 Azure 客户的讨论中,我们经常被问及“你们是否有 Azure 必须提供的所有安全相关服务和技术的列表?”

了解以下信息有助于评估云服务提供商选项。 因此,我们提供此列表帮助你入门。

随着时间的推移,此列表会进行更改,并且会不断变大,就像 Azure 一样。 请务必时时查看此页面,了解安全相关服务和技术的最新内容。

Azure 常规安全性

服务 说明
Microsoft Defender for Cloud 一个云工作负荷保护解决方案,可跨混合云工作负荷提供安全性管理和高级威胁防护。
Microsoft Sentinel 一种可缩放的云原生解决方案,可在整个企业内提供智能安全分析和威胁情报。
Azure 密钥保管库 一个安全的机密存储空间,用于存储密码、连接字符串和维持应用正常工作所需的其他信息。
Azure Monitor 日志 一项监视服务,它收集遥测和其他数据,并且提供查询语言和分析引擎,以传递应用和资源操作见解。 可单独使用或与其他服务一同使用(例如 Defender for Cloud)。
Azure 开发/测试实验室 一项可帮助开发人员和测试人员在 Azure 中快速创建环境,同时尽量减少浪费并控制成本的服务。

存储安全

服务 说明
Azure 存储服务加密 一项安全功能,会自动加密 Azure 存储中的数据。
Azure StorSimple 虚拟阵列 一个集成式存储解决方案,用于管理虚拟机监控程序中运行的本地虚拟阵列与 Microsoft Azure 云存储之间的存储任务。
Blob 的客户端加密 一个客户端加密解决方案,支持在上传到 Azure 存储之前加密客户端应用程序中的数据,以及在下载到客户端时解密数据。
Azure 存储共享访问签名 共享访问签名 (SAS) 用于对存储帐户中的资源进行委托访问。
Azure 存储帐户密钥 Azure 存储的一种访问控制方法,用于通过帐户访问密钥或 Microsoft Entra 帐户(默认)向存储帐户授权请求。
Azure 文件共享 一种在云中提供完全托管的文件共享的存储安全技术,这些共享项可通过行业标准的服务器消息块 (SMB) 协议、网络文件系统 (NFS) 协议和 Azure 文件存储 REST API 进行访问。
Azure 存储分析 一项记录和指标生成技术,适用于存储帐户中的数据。

数据库安全

服务 说明
Azure SQL 防火墙 一项网络访问控制功能,对针对数据库的网络攻击进行防护。
Azure SQL 连接加密 为了确保安全性,SQL 数据库会进行访问控制,即:使用防火墙规则来限制通过 IP 地址进行的连接,使用身份验证机制来要求用户证明其身份,并使用授权机制来限制用户执行特定操作和访问特定数据。
Azure SQL Always Encrypted 保护 Azure SQL 数据库、Azure SQL 托管实例和 SQL Server 数据库中存储的敏感数据,如信用卡号或国民/地区身份证号(例如,美国社会安全号码)。
Azure SQL 透明数据加密 一项数据库安全功能,通过加密静态数据,帮助保护 Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 免受恶意脱机活动的威胁。
Azure SQL 数据库审核 Azure SQL 数据库和 Azure Synapse Analytics 的一项审核功能,用于跟踪数据库事件,并将这些事件写入 Azure 存储帐户、Log Analytics 工作区或事件中心中的审核日志。
虚拟网络规则 防火墙安全功能,用于控制 Azure SQL 数据库中数据库和弹性池的服务器或 Azure Synapse Analytics 中专用 SQL 池(之前称为 SQL DW)数据库的服务器是否接受从虚拟网络中的特定子网发出的通信。

标识和访问管理

服务 说明
Azure 基于角色的访问控制 一项访问控制功能,它基于用户在组织内的角色,仅允许用户访问其必须访问的内容。
Microsoft Entra ID 一款基于云的身份和访问管理服务,支持基于云的多租户目录和 Azure 中的多标识管理服务。
Azure Active Directory B2C 一款客户标识访问管理 (CIAM) 解决方案,帮助控制客户在使用基于 Azure 的应用程序时如何注册、登录和管理他们的个人资料。
Microsoft Entra 域服务 Active Directory 域服务的一个基于云的托管版本,提供域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证等托管域服务。
Microsoft Entra 多重身份验证 一项安全性设置,它会采用几种形式的身份验证和验证,再允许访问安全信息。

备份和灾难恢复

服务 说明
Azure 备份 一项基于 Azure 的服务,用于备份和还原 Azure 云中的数据。
Azure Site Recovery 一项联机服务,它可将在物理计算机和虚拟机 (VM) 上运行的工作负荷从主站点复制到辅助位置,以便在出现故障后恢复服务。

网络

服务 说明
网络安全组 一项基于网络的访问控制功能,用于筛选 Azure 虚拟网络中 Azure 资源之间的网络流量。
Azure VPN 网关 一种网络设备,用作 VPN 终结点,以允许跨界访问 Azure 虚拟网络。
Azure 应用程序网关 一种高级 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。
Web 应用程序防火墙 (WAF) 一种功能,用于在出现常见攻击和漏洞时为 Web 应用程序提供集中保护
Azure 负载均衡器 TCP/UDP 应用程序网络负载均衡器。
Azure ExpressRoute 一项可通过连接服务提供商所提供的专用连接,将本地网络扩展到 Microsoft 云的功能。
Azure 流量管理器 一个基于 DNS 的流量负载均衡器。
Microsoft Entra 应用程序代理 一个身份验证前端,用于保护对本地 Web 应用程序的远程访问。
Azure 防火墙 一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供威胁防护。
Azure DDoS 防护 与应用程序设计最佳做法相结合,可提供针对 DDoS 攻击的防御。
虚拟网络服务终结点 通过 Azure 主干网络的优化路由提供与 Azure 服务的安全的直接连接。
Azure 专用链接 借助该服务,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的客户拥有的服务/合作伙伴服务。
Azure Bastion 你部署的一项服务,可让你使用浏览器和 Azure 门户或通过本地计算机上已安装的本机 SSH 或 RDP 客户端连接到虚拟机。
Azure Front Door 提供 Web 应用程序保护功能,可确保 Web 应用程序不受网络攻击和常见的 Web 漏洞攻击,例如 SQL 注入或跨站点脚本 (XSS)。

后续步骤

详细了解 Azure 的端到端安全性,以及 Azure 服务如何帮你满足业务的安全需求,并在云中保护用户、设备、资源、数据和应用程序。