安全性架構設計

資訊安全一直都是個複雜的主題，而且會隨著攻擊者和安全性研究人員的創意構想與實作而快速發展。

安全性是任何架構中最為重要的部分。 良好的安全性提供了機密、完整性和可用性保證，可避免您珍貴的資料和系統遭刻意攻擊與濫用。 失去這些保障，可能會讓您的業務營運和收益蒙受損失，甚至傷害組織的聲譽。

以下是設計安全性系統時，需要考慮的幾個廣泛主題類別：

Azure 提供廣泛的安全性工具和功能。 這裡僅列舉 Azure 提供的其中幾項重要安全性服務：

• 適用於雲端的 Microsoft Defender。 統一的基礎結構安全性管理系統，可強化資料中心的安全性狀態。 此外還能為您在雲端與內部部署中的混合式工作負載提供進階威脅防護。
• Microsoft Entra ID。 Microsoft 的雲端式身分識別與存取權管理服務。
• Azure Front Door。 一種可調整的全球性進入點，並使用 Microsoft 全球邊緣網路建立快速、高度安全且可大規模調整的 Web 應用程式。
• Azure 防火牆。 一項雲端原生和智慧型網路防火牆安全性服務，可為在 Azure 中執行的雲端工作負載提供威脅防護。
• Azure Key Vault。 一個高安全性秘密存放區，可存放權杖、密碼、憑證、API 金鑰和其他秘密。 您也可以使用 Key Vault，更輕鬆地建立和控制用來加密資料的加密金鑰。
• Azure Private Link。 可讓您透過虛擬網路中的私人端點，存取 Azure PaaS 服務、您擁有的 Azure 託管服務以及合作夥伴服務的一項服務。
• Azure 應用程式閘道。 先進的網路流量負載平衡器，可讓您管理 Web 應用程式的流量。
• Azure 原則。 一項可協助您強制執行組織標準，並評估合規性的服務。

如需更完整的 Azure 安全性工具和功能描述，請參閱 Azure 中的端對端安全性。

Azure 安全性簡介

如果您還不熟悉 Azure 安全性，最好的方法是透過 Microsoft Learn 訓練學習更多知識。 這是一個免費的線上平台，提供 Microsoft 產品和其他主題的互動式訓練。

以下是兩種可幫助您入門的學習途徑：

• Microsoft Azure 基本概念：描述一般安全性和網路安全性功能

• Microsoft 安全性、合規性和身分識別基本概念：描述 Microsoft 安全性解決方案的功能

邁向生產的路徑

• 如要保護 Azure 應用程式工作負載，您可以使用應用程式本身的驗證和加密等保護措施。 您也可以為裝載應用程式的虛擬機器 (VM) 網路新增安全性層級。 請參閱虛擬網路的防火牆和應用程式閘道以取得概觀。
• 零信任是一種主動的整合式方法，可確保數位資產各個層級的安全性。 它會明確且持續地驗證每筆交易、判斷提示最低權限，並依賴情報、進階偵測以及對威脅的即時回應。
  • 有關 Web 應用程式的實作策略，請參閱使用 Azure 防火牆和應用程式閘道的 Web 應用程式零信任網路。
  • 如需將 Microsoft Entra 身分識別與存取功能整合至整體零信任安全性策略中的架構示範，請參閱安全性作業中的 Microsoft Entra ID。
• Azure 治理會建立支援雲端治理、合規性稽核和自動化護欄所需要的工具。 如需管理 Azure 環境的相關資訊，請參閱 Azure 治理設計領域指引。

最佳作法

Azure Well-Architected Framework 是一組基於五大支柱的指導方針，可用來改善您的架構品質。 如需詳細資訊，請參閱安全性支柱概觀和 Azure 中的安全性設計原則。

Well-Architected Framework 也提供下列檢查清單：

• Azure 身分識別與存取權管理考量事項
• 網路安全性
• 資料保護考量
• 治理、風險和合規性

如需敏感性 IaaS 工作負載安全性的相關資訊，請參閱 Azure 中高度敏感的 IaaS 應用程式的安全性考量事項。

安全性架構

身分識別和存取管理

• 使用 Microsoft Entra ID 進行具復原能力的身分識別與存取權管理
• 適用於 AWS 的 Microsoft Entra 身分識別與存取權管理

威脅保護

• Microsoft Sentinel 中網路威脅情報的威脅指標
• 適用於 Azure 虛擬機器存取權的多層式保護
• 即時詐欺偵測

資訊保護

• 使用 SEAL 的同態加密

探索與回應

• 使用 Azure 資料總管長期保留安全性記錄

及時了解安全性狀況

取得 Azure 安全性服務和功能的最新更新。

其他資源

範例解決方案

• 使用適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 進行混合式安全性監視
• 提高從內部部署網路存取多租用戶 Web 應用程式的安全性
• 限制服務間通訊
• 安全受控的 Web 應用程式
• 保護 Microsoft Teams 通道 Bot 和防火牆後方的 Web 應用程式
• Web 應用程式與 Azure SQL 資料庫的私人連線

瀏覽我們的所有安全性架構。

AWS 或 Google Cloud 專業人員

• Azure 和 AWS 安全性與身分識別
• AWS 與 Azure 服務比較 - 安全性
• Google Cloud 與 Azure 服務比較 - 安全性

下一步

安全性架構是一組完整安全性指引的一部分，其中還包括：

• 適用於 Azure 的 Microsoft 雲端採用架構中的安全性：雲端安全性最終狀態的高階概觀。
• Azure 結構完善的架構：保護 Azure 上工作負載的指引。
• Azure 安全性基準：Azure 安全性的規範性最佳做法與控制項。
• Azure 中的端對端安全性：Azure 中的安全性服務說明文件。
• Azure 前 10 大安全性最佳作法：Microsoft 根據我們在客戶和自身環境中學到的經驗，建議的頂級 Azure 安全性最佳作法。
• Microsoft 網路安全性架構：這些圖表說明了 Microsoft 安全性功能如何與 Microsoft 平台及第三方平台整合。