Azure 作業安全性檢查清單

在 Azure 上部署雲端應用程式是快速、簡單且符合成本效益的。 部署應用程式之前，最好有檢查清單。 檢查清單可協助您根據基本和建議的安全性動作清單來評估應用程式。

簡介

Azure 提供一套基礎結構服務，可供您用來部署應用程式。 Azure 作業安全性是指使用者可在 Microsoft Azure 中保護其數據、應用程式和其他資產的服務、控件和功能。

若要獲得雲端平臺的最大權益，建議您使用 Azure 服務並遵循檢查清單。 在啟動之前，投資時間和資源來評估其應用程式的作業整備程度的組織，其滿意度比那些不滿意的組織還要高。 執行這項工作時，檢查清單可以是一種寶貴的機制，以確保應用程式會以一致且整體的方式進行評估。

檢查清單

此檢查清單旨在協助企業在 Azure 上部署複雜的企業應用程式時，思考各種作業安全性考慮。 它也可以用來協助您為組織建置安全的雲端移轉和作業策略。

檢查清單類別	描述
安全性角色和 存取控制	使用 Azure 角色型存取控制 （Azure RBAC） 提供使用者特定，用來將許可權指派給特定範圍的使用者、群組和應用程式。
數據保護與 儲存體	使用管理平面安全性，使用 Azure 角色型存取控制（Azure RBAC）保護您的 儲存體 帳戶。 使用共用存取簽章 （SAS） 和預存存取原則保護數據存取的數據平面安全性。 使用傳輸層級加密 – 使用 HTTPS 和 SMB （伺服器訊息塊通訊協定） 3.0 用於 Azure 檔案共用的加密。 當您需要唯一控制加密金鑰時，請使用 用戶端加密 來保護傳送至記憶體帳戶的數據。 使用 儲存體 服務加密 （SSE） 自動加密 Azure 儲存體 中的數據，以及 Linux VM 的 Azure 磁碟加密，以及 Windows VM Azure 磁碟加密，以加密 OS 和數據磁碟的虛擬機磁碟檔案。 使用 Azure 儲存體分析 來監視授權類型;如同 Blob 儲存體，您可以看到使用者是否已使用共用存取簽章或記憶體帳戶密鑰。 使用 跨原始來源資源分享 （CORS） 存取來自不同網域的記憶體資源。
安全策略與 建議	使用 適用於雲端的 Microsoft Defender 來部署端點解決方案。 新增 Web 應用程式防火牆 （WAF） 來保護 Web 應用程式。 使用 Azure 防火牆 來增加安全性保護。 套用 Azure 訂用帳戶的安全性聯繫人詳細數據。 如果 Microsoft 安全性回應中心 （MSRC） 發現客戶數據已由非法或未經授權的合作物件存取，則會連絡您。
身分識別與存取管理	使用 Microsoft Entra ID 同步處理內部部署目錄與雲端目錄。 使用 單一登錄 可讓用戶根據 Azure AD 中的組織帳戶存取其 SaaS 應用程式。 使用密碼 重設註冊活動 報告來監視正在註冊的使用者。 為用戶啟用多重要素驗證 （MFA）。 開發人員使用 Microsoft 安全性開發週期 （SDL） 等應用程式的安全身分識別功能。 使用 Microsoft Entra ID P1 或 P2 異常報告和 Microsoft Entra ID Protection 功能主動監視可疑活動。
進行中的安全性監視	使用惡意代碼評估解決方案 Azure 監視器記錄 來報告基礎結構中反惡意代碼防護的狀態。 使用 更新管理 來判斷潛在安全性問題的整體暴露程度，以及這些更新對您的環境是否重要或有多重要。 Microsoft Entra 系統管理中心可讓您了解組織目錄的完整性和安全性。
適用於雲端的 Microsoft Defender 偵測功能	使用 雲端安全性狀態管理 （CSPM） 強化指引，協助您有效率且有效地改善安全性。 使用 警示 ，在雲端、混合式或內部部署環境中識別威脅時收到通知。 使用 安全策略、計劃和建議 來改善您的安全性狀態。

推論

許多組織已成功在 Azure 上部署及操作其雲端應用程式。 提供的檢查清單會醒目提示數個檢查清單，這些檢查清單至關重要，並協助您增加成功部署和無挫折作業的可能性。 強烈建議您在 Azure 上現有的和新的應用程式部署，考慮這些操作和策略性考慮。

下一步

若要深入瞭解 Azure 中的安全性，請參閱下列文章：

• 雲端中的共同責任。
• Azure 中的端對端安全性。
• Azure 中的勒索軟體防護