概述 – 将零信任原则应用于 Azure 网络

本系列文章可帮助根据多方论证方法将零信任原则应用于 Microsoft Azure 中的网络基础结构。 零信任是一种安全策略。 它不是产品或服务，而是设计和实现以下一组安全原则的方法：

• 显式验证
• 使用最低权限访问
• 假定数据泄露

实现“假设违规，从不信任，始终验证”的零信任思维模式需要对云网络基础结构、部署策略和实现进行更改。

以下文章介绍了如何将零信任方法应用于常见部署的 Azure 基础结构服务的网络：

• 加密
• 细分
• 了解网络流量
• 停用旧式网络安全技术

重要

本零信任指南介绍了如何使用和配置 Azure 上为参考体系结构提供的多个安全解决方案和功能。 其他一些资源也为这些解决方案和功能提供了安全指南，包括：

• Microsoft Cloud 安全基准
• Microsoft Cloud App Security 基线

为更好地介绍应用零信任的方法，本指南以 VNet（和 IaaS 应用程序）中托管的基于虚拟机的应用程序为例进行说明，这是一种生产中常见的模式，在众多组织中广泛应用。 这是组织将本地应用程序迁移到 Azure 的常用模式，有时称为“直接迁移”。

使用 Microsoft Defender for Cloud 进行威胁防护

对于假设违反 Azure 网络零信任原则，Microsoft Defender for Cloud 是一种扩展检测和响应 (XDR) 解决方案，可自动收集、关联和分析来自整个环境的信号、威胁和警报数据。 Defender for Cloud 旨在与 Microsoft Defender XDR 一起使用，以为环境提供更广泛的关联保护，如以下关系图所示。

在图中：

• 为包含多个 Azure 订阅的管理组启用了 Defender for Cloud。
• Microsoft Defender XDR 为 Microsoft 365 应用和数据、与 Microsoft Entra ID 集成的 SaaS 应用，以及本地 Active Directory 域服务 (AD DS) 服务器启用。

有关配置管理组和启用 Defender for Cloud 的详细信息，请参阅：

• 将订阅组织到管理组中，并为用户分配角色
• 为管理组的所有订阅启用 Defender for Cloud

其他资源

请参阅以下其他文章，了解如何将零信任原则应用于 Azure IaaS：

• 对于 Azure IaaS：
  • Azure 存储
  • 虚拟机
  • 分支虚拟网络
  • 中心虚拟网络
  • 使用 Azure PaaS 服务的分支虚拟网络
• Azure 虚拟桌面
• Azure 虚拟 WAN
• Amazon Web Services 中的 IaaS 应用程序
• Microsoft Sentinel 和 Microsoft Defender XDR