共用方式為

Azure 安全性簡介

安全性在當今的雲端環境中至關重要。 網路威脅不斷演變,保護您的資料、應用程式和基礎設施需要採取全面的多層方法。 我們知道安全性是雲端中的首要工作和其重要性,因為您可在其中找到精確且及時的 Azure 安全性資訊。

本文完整說明 Azure 提供的安全性。 如需依保護、偵測和回應功能組織的 Azure 安全性端對端檢視,請參閱 Azure 中的端對端安全性

Azure 的深度防禦安全性方法

Azure 採用深度防禦策略,在整個堆疊中提供多層安全性保護,從實體資料中心到計算、儲存體、網路、應用程式和身分識別。 這種多層方法可確保,如果一層受到損害,其他層會繼續保護您的資源。

Azure 的基礎結構從頭到尾都經過精心打造,涵蓋從實體設施到應用程式的方方面面,能夠同時安全地裝載數百萬個客戶。 這一強大的基礎可讓企業自信地滿足其安全性需求。 如需 Microsoft 如何保護 Azure 平台本身的相關資訊,請參閱 Azure 基礎結構安全性。 如需實體資料中心安全性的詳細資訊,請參閱 Azure 實體安全性

Azure 是一個公用雲端服務平台,支援廣泛的作業系統、程式設計語言、架構、工具、資料庫及裝置等選擇。 它可以透過 Docker 整合執行 Linux 容器;使用 JavaScript、Python、.NET、PHP、Java 及 Node.js 建置應用程式;為 iOS、Android 及 Windows 裝置建置後端。 Azure 公用雲端服務支援數百萬名開發人員和 IT 專家早已仰賴和信任的相同技術。

內建平台安全性

Azure 提供內建於平台中的預設安全性保護,可協助從部署資源的那一刻起保護您的資源。 如需 Azure 平台安全性功能的完整資訊,請參閱 Azure 平台安全性概觀

  • 網路保護:Azure DDoS 防護會自動保護您的資源免於分散式阻斷服務攻擊
  • 預設加密:預設會針對 Azure 儲存體、SQL 資料庫和許多其他服務啟用待用資料加密
  • 身分識別安全性:Microsoft Entra ID 為所有 Azure 服務提供安全的驗證和授權
  • 威脅偵測:內建的威脅偵測監視 Azure 資源中的可疑活動
  • 合規性:Azure 維護業界最大的合規性組合,協助您符合法規需求

這些基礎安全控制在背景持續運作,以保護您的雲端基礎架構,無需額外設定即可進行基本保護。

雲端中共同承擔的責任

雖然 Azure 提供強大的平臺安全性,但雲端中的安全性是 Microsoft 與客戶之間的共同責任。 責任劃分取決於您的部署模型 (IaaS、PaaS 或 SaaS):

  • Microsoft 的責任:Azure 保護底層基礎設施,包括物理數據中心、硬件、網絡基礎設施和主機操作系統
  • 您的責任:您負責保護您的資料、應用程式、身分識別和存取管理

每個工作負載和應用程式都不同,根據產業法規、資料敏感度和業務需求,具有獨特的安全需求。 這就是 Azure 的高級安全服務發揮作用的地方。 如需共用責任模型的詳細資訊,請參閱 雲端中的共同責任

Note

本文件的主要焦點是客戶面對的控制,您可以使用這些控制來自訂並提升應用程式和服務的安全性。

適用於每個工作負載的進階安全服務

為了滿足您獨特的安全性需求,Azure 提供了一套完整的進階安全性服務,您可以根據特定需求進行設定和自訂。 這些服務分為六個功能領域:營運、應用程式、儲存、網路、運算和身分識別。 如需安全性服務和技術的完整目錄,請參閱 Azure 安全性服務和技術

此外,Azure 提供您各種可設定的安全性選項,以及控制這些選項的能力,讓您可以自訂安全性,以符合組織部署的獨特需求。 本文件有助於您了解 Azure 安全性功能如何協助您滿足這些需求。

如需 Azure 安全性控制和基準的結構化檢視,請參閱 Microsoft 雲端安全性基準,其中提供 Azure 服務的完整安全性指引。 如需 Azure 技術安全性功能的相關資訊,請參閱 Azure 安全性技術功能

運算安全性

保護虛擬機器和計算資源是保護 Azure 中工作負載的基礎。 Azure 提供多層計算安全性,從硬體型保護到軟體型威脅偵測。 如需詳細的虛擬機器安全性資訊,請參閱 Azure 虛擬機器安全性概觀

可信啟動

信任啟動 是新建立的第 2 代 Azure VM 和虛擬機器擴展集的預設設定。 可信任啟動可防範進階和持續性攻擊技術,包括啟動套件、rootkit 和核心層級惡意軟體。

Trusted Launch 提供:

  • 安全啟動: 通過確保只有簽名的操作系統和驅動程序才能啟動,防止安裝基於惡意軟件的 rootkit 和啟動套件
  • vTPM(虛擬可信平台模組):用於金鑰和測量的專用安全保管庫,可實現證明和啟動完整性驗證
  • 開機完整性監視:透過適用於雲端的 Microsoft Defender 使用證明來驗證開機鏈結完整性,並在失敗時發出警示

您可以在現有的 VM 和虛擬機器擴展集上啟用信任啟動。

Azure 機密運算

Azure 機密運算提供資料保護拼圖中最後缺少的一塊。 它可讓您的資料始終保持加密。 無論待用時、透過網路移動時都是,現在即使載入記憶體和使用中也不例外。 此外,透過使 遠端證明 成為可能,它允許您在解鎖資料之前,以加密方式驗證您部署的 VM 是否安全啟動並正確設定。

從啟用現有應用程式的「隨即轉移」案例,到完全控制安全性功能,都在選項範圍內。 針對基礎結構即服務 (IaaS),您可以使用:

針對平臺即服務 (PaaS),Azure 提供多個 以容器為基礎的機密運算選項,包括與 Azure Kubernetes Service (AKS) 的整合。

反惡意程式碼與防毒軟體

運用 Azure IaaS,您可以使用來自安全性廠商 (例如 Microsoft、Symantec、Trend Micro、McAfee 和 Kaspersky) 的反惡意程式碼軟體,以保護您的虛擬機器來抵禦惡意檔案、廣告軟體和其他威脅。 適用於 Azure 虛擬機器的 Microsoft 反惡意代碼是一項保護功能,可協助識別和移除病毒、間諜軟體和其他惡意軟體。 Microsoft Antimalware 會提供可設定的警示,在已知的惡意或垃圾軟體嘗試自行安裝或在您的 Azure 系統上執行時發出警示。 Microsoft 反惡意代碼也可以使用適用於雲端的 Microsoft Defender 來部署。

Note

如需新式保護,請考慮適用於 伺服器的 Microsoft Defender ,它透過與適用於端點的 Microsoft Defender 整合,提供進階威脅防護,包括端點偵測和回應 (EDR) 。

硬體安全性模型

加密和驗證不會改善安全性,除非金鑰本身也受到保護。 您可以藉由將關鍵密碼和金鑰存放在 Azure Key Vault,來簡化其管理與安全性。 Key Vault 提供選項,可將金鑰儲存在認證為 FIPS 140-3 層級 3 標準的硬體安全性模組 (HSM) 中。 備份或 透明資料加密 的 SQL Server 加密金鑰都能與應用程式的任何金鑰或密碼一起存放在金鑰保存庫中。 這些受保護項目的權限和存取權是透過 Microsoft Entra ID 來管理。

如需金鑰管理選項 (包括 Azure 金鑰保存庫、受控 HSM 和付款 HSM) 的完整資訊,請參閱 Azure 中的金鑰管理

虛擬機器備份

Azure 備份 是一種解決方案,可以零資本投資和最低的營運成本來保護您的應用程式資料。 應用程式錯誤可能導致資料損毀,而人為錯誤可能會將 Bug 導入應用程式,因而引發安全性問題。 使用 Azure 備份,您執行 Windows 與 Linux 的虛擬機器會受到保護。

Azure Site Recovery

組織之商務持續性/災害復原 (BCDR) 策略的一個重要部分是,找出在發生計劃中和非計劃中的中斷時讓企業工作負載和應用程式保持啟動並執行的方法。 Azure Site Recovery 有助於協調工作負載和應用程式的複寫、容錯移轉及復原,因此能夠在主要位置發生故障時透過次要位置來提供工作負載和應用程式。

SQL VM TDE

透明資料加密 (TDE) 和資料行層級加密 (CLE) 都是 SQL Server 加密功能。 此形式的加密需要客戶管理和儲存您用來加密的密碼編譯金鑰。

Azure 金鑰保存庫 (AKV) 服務是設計來改善這些金鑰在安全且高度可用位置的安全性和管理。 SQL Server 連接器讓 SQL Server 可以從 Azure Key Vault 使用這些金鑰。

如果您使用內部部署機器執行 SQL Server,則可遵循一些步驟來從內部部署 SQL Server 執行個體存取 Azure Key Vault。 但是對於 Azure VM 中的 SQL Server,您可以使用 Azure Key Vault 整合功能來節省時間。 使用一些 Azure PowerShell Cmdlet 來啟用這項功能,您可以自動化 SQL VM 存取您的金鑰保存庫所需的組態。

如需資料庫安全性最佳做法的完整清單,請參閱 Azure 資料庫安全性檢查清單

VM 磁碟加密

這很重要

Azure 磁碟加密預定於 2028 年 9 月 15 日退休。 在此之前,您可以繼續使用 Azure 磁碟加密,不會中斷。 2028 年 9 月 15 日,啟用 ADE 的工作負載仍可繼續運行,但加密磁碟在虛擬機重啟後將無法解鎖,導致服務中斷。

為新的虛擬機器使用主機端加密。 所有啟用 ADE 的虛擬機(包括備份)必須在退休日前遷移至主機加密,以避免服務中斷。 詳情請參見「 從 Azure 磁碟加密遷移到主機加密 」。

針對新式虛擬機器加密,Azure 提供:

  • 主機加密:為 VM 資料提供端對端加密,包括暫存磁碟和作業系統/資料磁碟快取
  • 機密磁碟加密:可與機密 VM 搭配使用,以進行硬體型加密
  • 使用客戶自控金鑰的伺服器端加密:透過 Azure 金鑰保存庫管理您自己的加密金鑰

如需詳細資訊,請參閱受控磁碟加密選項概觀

虛擬網路

虛擬機器需要遠端連線。 為了支援該需求,Azure 需要虛擬機器連接到 Azure 虛擬網路。 Azure 虛擬網路是以實體 Azure 網路網狀架構為基礎所建置的邏輯建構。 每個邏輯 Azure 虛擬網路都會與其他所有 Azure 虛擬網路隔離。 此隔離可協助確保其他 Microsoft Azure 客戶無法存取您部署中的網路流量。

修補程式更新

修補程式更新提供尋找及修正潛在問題的基礎並簡化軟體更新管理程序,方法是減少您必須在企業中部署的軟體更新數目,以及增強您監視合規性的能力。

安全性原則管理和報告

適用於雲端的 Defender 可幫助您防止、偵測和回應威脅,並加強對 Azure 資源的可見度和安全性控制權。 它提供您 Azure 訂用帳戶之間的整合式安全性監視和原則管理、協助偵測可能忽略的威脅,並適用於廣泛的安全性解決方案生態系統。

應用程式安全性

應用程式安全性著重於保護應用程式在整個生命週期中免受威脅,從開發到部署和執行階段。 Azure 提供全面的工具來安全開發、測試和保護應用程式。 如需安全應用程式開發指引,請參閱 在 Azure 上開發安全應用程式。 如需 PaaS 特定的安全性最佳做法,請參閱保護 PaaS 部署。 如需 IaaS 部署安全性,請參閱 Azure 中 IaaS 工作負載的安全性最佳做法

滲透測試

我們不會為您執行應用程式 的滲透測試 ,但我們瞭解您想要且需要對自己的應用程式執行測試。 不再需要通知進行 Microsoft 滲透測試活動,但客戶仍必須遵守 Microsoft 雲端滲透測試的參與規則

Web 應用程式防火牆

Azure 應用程式閘道中的 Web 應用程式防火牆 (WAF) 提供 Web 應用程式保護,以防止常見的 Web 型攻擊,例如 SQL 插入式攻擊、跨網站腳本處理和會話劫持。 它已預先設定,以防範 Open Web Application Security Project (OWASP) 所識別的前 10 個弱點。

Azure App Service 中的驗證與授權

App Service 驗證/授權是可讓應用程式接受使用者登入的一種功能,而不需要您在應用程式後端變更程式碼。 它提供簡單的方法來保護您的應用程式,以及使用每位使用者的資料。

分層式安全性架構

由於 App Service 環境提供部署至 Azure 虛擬網路的隔離執行階段環境,因此開發人員能夠建立分層式安全性架構,針對每個應用程式層提供不同層級的網路存取。 通常會將 API 後端隱藏在一般的網際網路存取之外,並且只允許上游 Web 應用程式呼叫 API。 網路安全性群組 (NSG) 可用於包含 App Service 環境的 Azure 虛擬網路子網路,以限制對 API 應用程式的公用存取。

App Service Web 應用程式提供強大的診斷功能,可從 Web 伺服器和 Web 應用程式中擷取記錄。 這些診斷分類為 Web 伺服器診斷和應用程式診斷。 Web 伺服器診斷在網站與應用程式的診斷與疑難排解方面有了重大進展。

第一個新功能是關於應用程式集區、背景工作處理序、網站、應用程式定義域和執行中要求的即時狀態資訊。 第二個新優點是詳細的追蹤事件,可在整個完成要求與回應程序中追蹤要求。

若要能夠收集這些追蹤事件,可以將 IIS 7 設定為自動擷取特定要求的 XML 格式的綜合性追蹤記錄。 集合可以經過的時間或錯誤回應碼為基礎。

儲存體安全性

確保儲存安全對於保護靜止與傳輸中的資料至關重要。 Azure 提供多層加密、存取控制和監視功能,以確保您的資料保持安全。 如需資料加密的詳細資訊,請參閱 Azure 加密概觀。 如需金鑰管理選項,請參閱 Azure 中的金鑰管理。 如需資料加密最佳做法,請參閱 Azure 資料安全性和加密最佳做法

Azure 角色型存取控制 (Azure RBAC)

您可以使用 Azure 角色型存取控制 (Azure RBAC) 保護儲存體帳戶。 對於想要強制執行資料存取安全性原則的組織,根據需要知道 (英文)最低權限 (英文) 安全性主體限制存取權限是必須做的事。 在特定範圍將適當的 Azure 角色指派給群組和應用程式,即可授與這些存取權限。 您可以使用 Azure 內建角色 (例如儲存體帳戶參與者) 將權限指派給使用者。 使用 Azure Resource Manager 模型來存取儲存體帳戶的儲存體金鑰,可以透過 Azure RBAC 來控制。

共用存取簽章

共用存取簽章 (SAS) 可提供您儲存體帳戶中資源的委派存取。 SAS 意謂著您可以將儲存體帳戶中物件的有限權限授與用戶端,讓該用戶端可以在一段指定期間內使用一組指定的權限進行存取。 您可以在不須分享您帳戶存取金鑰的情況下,授與這些有限的權限。

傳輸中加密

傳輸中加密是在透過網路傳輸資料時用來保護資料的機制。 透過 Azure 儲存體,您可以使用下列各項來保護資料:

待用加密

對許多組織來說,待用資料加密是達到資料隱私權、合規性及資料主權的必要步驟。 有三個 Azure 儲存體安全性功能可提供待用資料的加密:

儲存體分析

Azure 儲存體分析會執行記錄,並提供儲存體帳戶的計量資料。 您可以使用此資料來追蹤要求、分析使用量趨勢,以及診斷儲存體帳戶的問題。 儲存體分析會記錄對儲存體服務之成功和失敗要求的詳細資訊。 這項資訊可用來監視個別要求,並診斷儲存體服務的問題。 系統會以最佳方式來記錄要求。 系統將記錄下列類型的驗證要求:

  • 請求成功。
  • 失敗的要求,包括逾時、節流、網路、授權和其他錯誤。
  • 使用共用存取簽章 (SAS) 的要求,包括失敗和成功的要求。
  • 分析資料的要求。

使用 CORS 啟用瀏覽器型用戶端

跨來源資源共享 (CORS) 是一種機制,允許域相互授予訪問彼此資源的權限。 使用者代理程式會傳送額外的標頭,以確保允許從特定網域載入的 JavaScript 程式碼存取位於另一個網域的資源。 第二個網域接著會利用額外的標頭回覆,以允許或拒絕對其資源的原始網域存取。

Azure 儲存體服務目前支援 CORS,因此,一旦您設定服務的 CORS 規則之後,即會評估從不同網域對服務所提出的適當驗證要求,以判斷是否可根據您指定的規則來允許它。

網路安全性

網路安全性控制流量如何流入和流出 Azure 資源。 Azure 提供了一套全面的網路安全服務,從基本防火牆到進階威脅防護和全域負載平衡。 如需完整的網路安全性資訊,請參閱 Azure 網路安全性概觀。 如需網路安全性最佳做法,請參閱 Azure 網路安全性最佳做法

網路層控制

網路存取控制是指限制與特定裝置或子網路間之連線的動作,並代表網路安全性的核心。 網路存取控制的目的是確定只有您想要它們存取的使用者和裝置,才能存取您的虛擬機器和服務。

網路安全性群組

網路安全性群組 (NSG) 是基本可設定狀態封包篩選防火牆,並可讓您根據五元組來控制存取權。 NSG 未提供應用程式層級檢查或已驗證的存取控制。 它們可用來控制在 Azure 虛擬網路內子網路之間移動的流量,以及在 Azure 虛擬網路與網際網路之間的流量。

Azure 防火牆

Azure 防火牆 是雲端原生和智慧型網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。 它是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 此服務也提供東西和南北流量檢查。

Azure 防火牆提供三個 SKU:基本、標準和進階:

  • Azure 防火牆基本版 - 專為中小型企業設計,以實惠的價格提供必要的保護
  • Azure 防火牆標準 - 提供來自 Microsoft Cyber Security 的 L3-L7 篩選、威脅情報摘要,並可調整至 30 Gbps
  • Azure 防火牆進階版 - 高度敏感和受管制環境的進階威脅防護,具有:
    • TLS 檢查: 解密出站流量,處理威脅,然後在發送到目的地之前重新加密
    • IDPS(入侵檢測和防禦系統):基於簽名的 IDPS,擁有 50 多個類別的 67,000 多個簽名,每天更新 20-40+ 新規則
    • URL 篩選:擴充 FQDN 篩選以考慮整個 URL 路徑
    • 進階 Web 類別:根據 HTTP 和 HTTPS 流量的完整 URL 增強分類
    • 增強效能:擴大至 100 Gbps,支援 10 Gbps 高流量
    • PCI DSS 合規性:符合支付卡行業數據安全標準要求

Azure 防火牆進階版對於防範勒索軟體至關重要,因為它可以偵測並封鎖勒索軟體用來擷取加密金鑰的命令和控制 (C&C) 連線。 深入瞭解使用 Azure 防火牆進行勒索軟體防護

Azure DDoS 保護

Azure DDoS 保護 (與應用程式設計最佳做法結合) 提供增強的功能來防禦 DDoS 攻擊。 其會自動調整,以保護您在虛擬網路中特定的 Azure 資源。 在任何新的或現有的虛擬網路上啟用保護都非常簡單,且無需變更您的應用程式或資源。

Azure DDoS 保護提供兩個層級:DDoS 網路保護和 DDoS IP 保護。

  • DDoS 網路保護 - 提供增強的功能來防禦分散式阻斷服務 (DDoS) 攻擊。 它會在網路第 3 層和第 4 層運作,並包含 DDoS 快速回應支援、成本保護以及 Web 應用程式防火牆 (WAF) 的相關折扣等進階功能。

  • DDoS IP 保護 - 採用按每個受保護 IP 付費的模式。 它包含與 DDoS 網路保護相同的核心工程功能,但不提供 DDoS 快速回應支援、成本保護和 WAF 折扣等其他服務。

路由控制和強制通道

控制您 Azure 虛擬網路上路由行為的能力是重大網路安全性和存取控制功能。 例如,如果您想要確定進出 Azure 虛擬網路的所有流量都會經過該虛擬安全性設備,您需要能夠控制和自訂路由行為。 做法是在 Azure 中設定使用者定義的路由。

User-Defined 路由 可讓您自訂進出個別虛擬機器或子網路的流量的輸入和輸出路徑,以確保盡可能安全的路由。 強制通道是一種 機制,可用來確保您的服務不允許起始與網際網路上裝置的連線。

這與能夠接受連入連線,然後回應它們不同。 前端 Web 伺服器需要回應來自網際網路主機的要求,因此允許來自網際網路的流量傳入到這些 Web 伺服器,而 Web 伺服器可以回應。

強制通道處理通常用來強制傳至網際網路的連出流量通過內部部署安全性 Proxy 和防火牆。

虛擬網路安全性應用裝置

雖然網路安全群組、User-Defined 路由和強制通道可在 OSI 模型的網路和傳輸層為您提供一定程度的安全性,但有時您可能想要在堆疊的較高層級啟用安全性。 您可以使用 Azure 合作夥伴網路安全性設備解決方案,來存取這些增強的網路安全性功能。 您可以流覽 Azure Marketplace 並搜尋安全性和網路安全性,以尋找最新的 Azure 合作夥伴網路安全性解決方案。

Azure 虛擬網路

Azure 虛擬網路 (VNet) 是您的網路在雲端中的身分。 它是專屬於您訂用帳戶的 Azure 網路網狀架構邏輯隔離。 您可以完全控制此網路內的 IP 位址區塊、DNS 設定、安全性原則和路由表。 您可以將 VNet 分割成子網,並將 Azure IaaS 虛擬機器 (VM) 放在 Azure 虛擬網路上。

此外,您可以使用 Azure 中其中一個 可用的連線選項 ,將虛擬網路連線到內部部署網路。 基本上,您可以將您的網路延伸至 Azure,透過 Azure 提供的企業級好處完整控制 IP 位址區塊。

Azure 網路功能支援各種安全遠端存取案例。 其中包含:

Azure Virtual Network Manager

Azure Virtual Network Manager 提供集中式解決方案,可大規模管理和保護虛擬網路。 它使用 安全管理規則 在整個組織中集中定義和強制執行安全策略。 安全性系統管理規則優先於網路安全性群組 (NSG) 規則,並套用在虛擬網路上。 這可讓組織使用安全性系統管理員規則來強制執行核心原則,同時仍可讓下游小組根據子網路和 NIC 層級的特定需求量身打造 NSG。

根據組織的需求,您可以使用 [允許]、[ 拒絕] 或 [一律允許 ] 規則動作來強制執行安全性原則:

規則動作 Description
Allow 預設允許指定的流量。 下游 NSG 仍會收到此流量,並可能會拒絕該流量。
一律允許 不論優先順序較低或 NSG 的其他規則為何,一律允許指定的流量。 這可用來確保監視代理程式、網域控制器或管理流量未遭到封鎖。
Deny 封鎖指定的流量。 下游 NSG 在安全性管理規則遭到拒絕後不會評估此流量,確保現有和新虛擬網路的高風險連接埠預設會受到保護。

在 Azure Virtual Network Manager 中, 網路群組 可讓您將虛擬網路分組在一起,以集中管理和強制執行安全性原則。 網路群組是以拓撲和安全性觀點為基礎的虛擬網路邏輯群組。 您可以手動更新網路群組的虛擬網路成員資格,也可以使用 Azure 原則定義條件語句,以動態更新網路群組,藉此自動更新您的網路群組成員資格。

Azure Private Link 可讓您透過虛擬網路中的私人端點,存取 Azure PaaS 服務 (例如 Azure 儲存體和 SQL Database) 和 Azure 裝載的客戶擁有/合作夥伴服務。 使用 Azure Private Link 進行設定和取用的方式,在 Azure PaaS、客戶自有服務和共用合作夥伴服務之間是一致的。 從您的虛擬網路到 Azure 服務的流量一律會保留在 Microsoft Azure 骨幹網路上。

私人端點 可讓您保護僅虛擬網路的重要 Azure 服務資源。 Azure 私人端點使用您 VNet 中的私人 IP 位址,讓您私下安全地連到 Azure Private Link 支援的服務,進而有效地將服務帶入 VNet。 使用 Azure 上的服務,不再需要將虛擬網路公開至公用網際網路。

您也可以在虛擬網路中建立自己的 Private Link 服務。 Azure Private Link 服務是由 Azure Private Link 所支援的自有服務參考。 您可以針對在 Azure 標準負載平衡器後方執行的服務,啟用 Private Link 存取,讓服務取用者可以從自己的虛擬網路私下存取服務。 您的客戶可以在其虛擬網路內建立私人端點,並將其對應到此服務。 在 Azure 上轉譯服務不再需要向公用網際網路公開。

VPN 閘道

若要在 Azure 虛擬網路和您的內部部署網站之間傳送網路流量,就必須為 Azure 虛擬網路建立 VPN 閘道。 VPN 閘道是一種虛擬網路閘道,可透過公用連線傳送加密流量。 您也可以使用 VPN 閘道,透過 Azure 網路網狀架構傳送 Azure 虛擬網路之間的流量。

快速路由

Microsoft Azure ExpressRoute 是專用 WAN 連結,可讓您透過連線提供者協助的專用私人連線,將內部部署網路延伸至 Microsoft 雲端。

快速路線

透過 ExpressRoute,您可以建立 Microsoft 雲端服務的連線,例如 Microsoft Azure 和 Microsoft 365。 從任意點對任意點 (IP VPN) 網路、點對點乙太網路,或在共置設施上透過連線提供者的虛擬交叉連接,都可以進行連線。

ExpressRoute 連接不會經過公用網際網路,因此可視為比 VPN 型解決方案更安全。 相較於一般網際網路連線,這可讓 ExpressRoute 連線提供更可靠、更快速、延遲更短和更安全的連線。

應用程式閘道

Microsoft Azure 應用程式閘道會以服務形式提供應用程式傳遞控制器 (ADC) (英文),為您的應用程式提供各種第 7 層負載平衡功能。

應用程式閘道

它可讓您將 CPU 密集型 TLS 終止卸載至應用程式閘道 (也稱為 TLS 卸載TLS 橋接),以優化 Web 伺服器陣列生產力。 它也提供其他第 7 層路由功能,包括循環配置傳入流量、以 Cookie 為基礎的工作階段同質性、URL 路徑型路由,以及在單一應用程式閘道背後代管多個網站的能力。 Azure 應用程式閘道是第 7 層負載平衡器。

不論是在雲端或內部部署中,此閘道均提供在不同伺服器之間進行容錯移轉及效能路由傳送 HTTP 要求。

應用程式提供許多應用程式傳遞控制器 (ADC) 功能,包括 HTTP 負載平衡、Cookie 型工作階段親和性、 TLS 卸載、自訂健康情況探測、多站台支援等等。

Web 應用程式防火牆

Web 應用程式防火牆是 Azure 應用程式閘道的一項功能,可保護使用應用程式閘道執行標準應用程式傳遞控制 (ADC) 功能的 Web 應用程式。 Web 應用程式防火牆的做法是保護應用程式以防範 OWASP 前 10 個最常見的 Web 弱點。

Web 應用程式防火牆

  • SQL 插入式攻擊保護

  • 對抗常見的 Web 攻擊,例如命令注入、HTTP 請求走私、HTTP 回應分割,以及遠端檔案載入。

  • 防範 HTTP 通訊協定違規

  • 防範 HTTP 通訊協定異常,例如遺失 Host、User-Agent 及 Accept 標頭

  • 防範 Bot、編目程式和掃描器

  • 偵測常見的應用程式設定錯誤(例如 Apache、IIS)

集中式 Web 應用程式防火牆 (WAF) 可簡化安全性管理,並增強防範 Web 攻擊的保護。 其可針對入侵威脅提供更佳的保證,並可集中修補已知弱點,而不是保護每個個別 Web 應用程式,以更快回應安全性威脅。 現有的應用程式閘道可以輕鬆地升級,以包含 Web 應用程式防火牆。

Azure Front Door

Azure Front Door 是全域、可調整的進入點,它使用 Microsoft 的全域邊緣網路來建立快速、安全且可廣泛調整的 Web 應用程式。 Front Door 提供:

  • 全域負載平衡:將流量分散到不同區域的多個後端
  • 整合式 Web 應用程式防火牆:防範常見的 Web 漏洞和攻擊
  • DDoS 防護:內建針對分散式阻斷服務攻擊的保護
  • SSL/TLS 卸載:集中式憑證管理和流量加密
  • 基於 URL 的路由:根據 URL 模式將流量路由到不同的後端

Front Door 將內容傳遞、應用程式加速和安全性結合到單一服務中。

Traffic Manager

Microsoft Azure 流量管理員 可讓您控制不同資料中心中服務端點的使用者流量分佈。 流量管理員支援的服務端點包括 Azure VM、Web Apps 和雲端服務。 您也可以將流量管理員使用於外部、非 Azure 端點。

流量管理員會使用網域名稱系統 (DNS) ,根據 流量路由方法 和端點的健康情況,將用戶端要求導向至最適當的端點。 流量管理員提供一系列流量路由方法,以符合不同的應用程式需求、端點健康情況 監視和自動容錯移轉。 流量管理員可針對失敗彈性應變,包括整個 Azure 區域失敗。

Azure Load Balancer

Azure Load Balancer 可為您的應用程式提供高可用性和網路效能。 這是 Layer 4 (TCP、UDP) 負載平衡器,可將連入流量分配到負載平衡集中所定義服務的狀況良好執行個體。 Azure Load Balancer 可以設定為:

  • 對虛擬機器的連入網際網路流量進行負載平衡。 這種設定稱為公用負載平衡

  • 平衡虛擬網路中的虛擬機器之間、雲端服務中的虛擬機器之間,或內部部署電腦與跨單位部署虛擬網路中的虛擬機器之間的流量負載。 這個組態稱為 內部負載平衡

  • 將外部流量轉送到特定的虛擬機器

內部DNS

您可以在管理入口網站或網路組態檔中,管理用於 VNet 的 DNS 伺服器清單。 客戶可以為每個 VNet 新增最多 12 部 DNS 伺服器。 指定 DNS 伺服器時,請務必確認您會針對客戶環境以正確順序列出客戶的 DNS 伺服器。 DNS 伺服器清單不會使用循環配置資源。 其會依其指定的順序來使用。 如果可以連接至清單上的第一部 DNS 伺服器,用戶端就會使用該 DNS 伺服器,而無論該 DNS 伺服器是否運作正常。 若要變更客戶虛擬網路的 DNS 伺服器順序,請從清單中移除 DNS 伺服器,然後以客戶想要的順序將其重新加入。 DNS 支援 “CIA” 安全性三部曲的可用性層面。

Azure DNS

網域名稱系統 (DNS) 負責將網站或服務名稱轉譯 (或解析) 為其 IP 位址。 Azure DNS 是 DNS 網域的裝載服務,使用 Microsoft Azure 基礎結構提供名稱解析。 只要將您的網域裝載於 Azure,就可以像管理其他 Azure 服務一樣,使用相同的認證、API、工具和計費方式來管理 DNS 記錄。 DNS 支援「CIA」安全三元組的可用性方面。

Azure 監視器記錄 NSG

您可以啟用下列 NSG 的診斷記錄類別︰

  • 事件︰包含要將 NSG 規則套用到以 MAC 位址為基礎的 VM 和執行個體角色的項目。 每隔 60 秒會收集一次這些規則的狀態。

  • 規則計數器:包含套用每個 NSG 規則以拒絕或允許流量之次數的項目。

適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 會持續分析 Azure 資源的安全性狀態,以提供網路安全性最佳做法。 當 Defender for Cloud 識別潛在的安全性弱點時,它會建立 建議,引導您完成配置必要控制項的步驟,以強化和保護您的資源。

進階容器網路服務 (ACNS)

進階容器網路服務 (ACNS) 是一套綜合性的套件,旨在提升 Azure Kubernetes Service (AKS) 叢集的作業效率。 它提供進階的安全性和可檢視性功能,以解決大規模管理微服務基礎結構的複雜性。

這些功能分為兩大主要部分:

  • 安全性:對於使用 Azure CNI Powered by Cilium 的叢集,網路原則包含完整網域名稱 (FQDN) 篩選,以解決維護設定的複雜性。

  • 可觀察性:高級容器網絡服務套件的此功能將 Hubble 控制平面的強大功能帶到了 Cilium 和非 Cilium Linux 數據平面上,從而增強了對網絡和性能的可見性。

安全作業與管理

管理和監視 Azure 環境的安全性對於維持強大的安全性狀態至關重要。 Azure 提供安全性作業、威脅偵測和事件回應的全方位工具。 如需安全性管理和監視的詳細涵蓋範圍,請參閱 Azure 安全性管理和監視概觀。 如需作業安全性最佳做法,請參閱 Azure 作業安全性最佳做法。 如需完整的作業安全性概觀,請參閱 Azure 作業安全性概觀

Microsoft Sentinel

Microsoft Sentinel 是可調整的雲端原生安全性資訊與事件管理 (SIEM) 和安全性協調流程、自動化及回應 (SOAR) 解決方案。 Microsoft Sentinel 提供整個企業的智慧型安全性分析與威脅情報,並針對攻擊偵測、威脅可見性、主動搜捕及威脅回應,提供單一解決方案。

Microsoft Sentinel 現在可在 Microsoft Defender 入口網站中為所有客戶提供,提供統一的安全營運體驗,簡化工作流程並增強可見性。 與 Security Copilot 的整合可讓分析師使用自然語言與 Microsoft Sentinel 資料互動、產生搜尋查詢,並自動化調查以加快威脅回應速度。

適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 可協助您利用加強對 Azure 資源的可見度和安全性控制權,以防止、偵測和回應威脅。 適用於雲端的 Microsoft Defender 可跨 Azure 訂用帳戶提供整合式安全性監視和原則管理,協助偵測可能未被注意到的威脅,並與廣泛的安全性解決方案生態系統搭配使用。

適用於雲端的 Microsoft Defender 透過工作負載特定方案提供全面的保護,包括:

  • 適用於伺服器的 Defender - 適用於 Windows 和 Linux 伺服器的進階威脅防護
  • 適用於容器的 Defender - 容器化應用程式和 Kubernetes 的安全性
  • 適用於儲存體的 Defender - 使用惡意程式碼掃描和敏感性資料探索進行威脅偵測
  • Defender for Databases - 適用於 Azure SQL、Azure Database for MySQL 和 PostgreSQL 的保護
  • AI 服務防護者 - 針對 Azure AI 服務在執行期間的保護,防止越獄企圖、資料洩露及可疑存取模式
  • Defender CSPM - 雲端安全性態勢管理,具有攻擊路徑分析、安全性治理和 AI 安全性態勢管理

此外,適用於雲端的 Defender 透過為您提供單一儀表板來呈現可立即採取行動的警示和建議,以協助您進行安全性作業。 Security Copilot 整合提供 AI 產生的摘要、補救腳本和委派功能,以加速風險補救。

如需 Azure 的完整威脅偵測功能,請參閱 Azure 威脅防護

Azure Resource Manager

Azure Resource Manager 可讓您將方案中的資源做為群組使用。 您可以透過單一、協調的作業來部署、更新或刪除方案的所有資源。 您會使用 Azure Resource Manager 範本 (英文) 部署,該範本可用於不同的環境,例如測試、預備和生產環境。 Resource Manager 會提供安全性、稽核和標記功能,以協助您在部署後管理您的資源。

以 Azure Resource Manager 範本為基礎的部署,有助於提升部署於 Azure 中之解決方案的安全性 (因為標準的安全性控制設定),並且可整合至以標準化範本為基礎的部署中。 範本可降低在手動部署期間可能會發生的安全性設定錯誤風險。

Application Insights

Application Insights 是專為 Web 開發人員設計的彈性應用程式效能管理 (APM) 服務。 它可讓您監視即時 Web 應用程式,並自動偵測效能問題。 透過功能強大的分析工具,您可以診斷問題,並深入了解使用者與應用程式的互動。 Application Insights 會持續監視您的應用程式,從開發到測試和生產環境。

Application Insights 會產生富有洞察力的圖表和資料表,以顯示高峰使用者活動時間、應用程式回應能力以及它所依賴的任何外部服務的效能。

如果有當機、失敗或效能問題,您可以詳細搜尋資料來診斷原因。 此外,如果應用程式的可用性和效能有任何變更,服務會傳送電子郵件給您。 Application Insight 因而成為一個非常實用的安全性工具,因為它有助於提供機密性、完整性和可用性安全性三部曲中的「可用性」。

Azure 監視器

Azure 監視器 提供來自 Azure 訂用帳戶 (活動記錄) 和每個個別 Azure 資源 (資源記錄) 的資料視覺化、查詢、路由、警示、自動調整和自動化。 您可以使用 Azure 監視器,在 Azure 記錄中產生安全性相關事件時接收警示通知。

Azure 監視器記錄

除了 Azure 資源之外,Azure 監視器記錄還為內部部署和第三方雲端基礎結構 (例如 Amazon Web Services) 提供 IT 管理解決方案。 Azure 監視器中的資料可以直接路由至 Azure 監視器記錄,以便您可以在同一個地方看到整個環境的計量與記錄。

Azure 監視器記錄在鑑識和其他安全性分析方面是一個非常實用的工具,因為此工具可讓您利用彈性查詢方法快速搜尋大量的安全性相關項目。 此外,內部部署的防火牆和 Proxy 記錄可匯出到 Azure,並使用 Azure 監視器記錄來分析它們。

Azure Advisor

Azure Advisor 是個人化的雲端顧問,可協助您優化 Azure 部署。 它會分析您的資源設定及用量資料。 然後,它會建議解決方案,以協助改善資源的效能安全性和可靠性,同時尋找機會來減少整體 Azure 支出。 Azure Advisor 提供安全性建議,讓您能夠大幅改善您部署於 Azure 中之解決方案的整體安全性狀態。 這些建議均取自適用於雲端的 Microsoft Defender 所執行的安全性分析。

身分識別和存取管理

身分識別是雲端運算中的主要安全邊界。 保護身分識別和控制資源的存取是保護 Azure 環境的基礎。 Microsoft Entra ID 提供完整的身分識別和存取管理功能。 如需詳細資訊,請參閱 Azure 身分識別管理概觀。 如需身分識別管理最佳做法,請參閱 Azure 身分識別管理和存取控制安全性最佳做法。 如需保護身分識別基礎結構的指引,請參閱 保護身分識別基礎結構的五個步驟

Microsoft Entra ID

Microsoft Entra ID 是 Microsoft 的雲端式身分識別和存取管理服務。 這提供了以下內容:

  • 單一 Sign-On (SSO):使用戶能夠使用一組憑據訪問多個應用程序
  • 多重要素驗證 (MFA):需要多種形式的驗證才能登入
  • 條件式存取:根據使用者、裝置、位置和風險控制對資源的存取
  • 身分保護:偵測並回應基於身分的風險
  • Privileged Identity Management (PIM):提供 Azure 資源的即時特權存取
  • 身分治理:管理身分生命週期和存取權限

角色型存取控制 (RBAC)

Azure 角色型存取控制 (RBAC) 可協助您管理誰可以存取 Azure 資源、他們可以使用這些資源執行哪些動作,以及他們可以存取哪些區域。 RBAC 為 Azure 資源提供精細的存取管理,讓您只授與使用者執行工作所需的權限。

Microsoft Entra 特權身份管理

Microsoft Entra Privileged Identity Management (PIM) 可讓您管理、控制及監視組織中重要資源的存取。 PIM 提供基於時間和基於批准的角色激活,以降低過度、不必要或濫用訪問權限的風險。

Azure 資源的受控識別

Azure 資源的受控身分識別可在 Microsoft Entra ID 中為 Azure 服務提供自動管理的身分識別。 您可以使用此身分識別來向任何支援 Microsoft Entra 驗證的服務進行驗證,不需要任何您程式碼中的認證。

修補程式更新提供尋找及修正潛在問題的基礎並簡化軟體更新管理程序,方法是減少您必須在企業中部署的軟體更新數目,以及增強您監視合規性的能力。

安全性原則管理和報告

適用於雲端的 Defender 可幫助您防止、偵測和回應威脅,並加強對 Azure 資源的可見度和安全性控制權。 它提供您 Azure 訂用帳戶之間的整合式安全性監視和原則管理、協助偵測可能忽略的威脅,並適用於廣泛的安全性解決方案生態系統。

安全身分識別

Microsoft 在其產品與服務上使用多個安全性作法與技術來管理身分識別與存取。

  • 多重要素驗證 要求使用者使用多種方法進行存取,包括內部部署和雲端。 它使用一些簡單驗證選項來提供堅固的驗證,同時透過簡易登入程序來因應使用者。

  • Microsoft Authenticator 提供使用者易記的多重要素驗證體驗,可與 Microsoft Entra ID 和 Microsoft 帳戶搭配使用,並支援穿戴式裝置和指紋型核准。

  • 密碼原則強制執行藉由加強長度和複雜度需求、強制定期循環,以及在失敗的驗證嘗試之後鎖定帳戶,來提高傳統密碼的安全性。

  • 令牌型驗證 可使用 Microsoft Entra ID 來進行身份驗證。

  • Azure 角色型存取控制 (Azure RBAC) 可讓您根據使用者指派的角色來授與存取權限,以便輕鬆地只為使用者提供執行其作業內容所需的存取權限。 您可以針對每個組織的商務模型和風險承受度自訂 Azure RBAC。

  • 整合式身分識別管理 (混合式身分識別) 可讓您維持控制使用者在內部資料中心和雲端平台上的存取權,建立單一使用者身分識別,以便對所有資源進行驗證與授權。

保護應用程式和資料

Microsoft Entra ID 是全面性的身分識別和存取管理雲端解決方案,可協助保護對現場與雲端中應用程式內資料的存取,並簡化使用者和群組的管理。 它結合了核心目錄服務、進階身分識別控管、安全性,以及應用程式存取管理,並讓開發人員能夠輕鬆地將以原則為基礎的身分識別管理建置到他們的應用程式中。 若要增強您的 Microsoft Entra ID,您可以使用 Microsoft Entra Basic、Premium P1 及 Premium P2 版本來新增付費功能。

免費/常用功能 基本特點 Premium P1 功能 Premium P2 功能 Microsoft Entra join – 僅適用於 Windows 10 的相關功能
目錄物件使用者/群組管理 (新增/更新/刪除)/使用者型佈建、裝置註冊單一登入 (SSO)、雲端使用者的Self-Service 密碼變更連線 (將內部部署目錄延伸至 Microsoft Entra ID 的同步引擎)、安全性/使用情況報告 以群組為基礎的存取管理/佈建雲端使用者的自助式密碼重設公司商標 (登入頁面/存取面板自訂)應用程式 ProxySLA 99.9% 自助式群組和應用程式管理/自助式應用程式新增/動態群組、自助式密碼重設/變更/解除鎖定與內部部署回寫多重要素驗證 (雲端和內部部署 (MFA Server)、MIM CAL + MIM 伺服器、Cloud App Discovery、Connect Health自動變換組帳戶的密碼變換 身分識別保護特殊權限身分識別管理 將裝置加入 Microsoft Entra ID、Desktop SSO、適用於 Microsoft Entra ID 的 Microsoft Passport、系統管理員 BitLocker 復原MDM 自動註冊、自助式 BitLocker 復原、Windows 10 裝置透過 Microsoft Entra join 取得的額外本機系統管理員

  • Cloud App Discovery 是 Microsoft Entra ID 的一個高階功能,可讓您識別組織中的員工所使用的雲端應用程式。

  • Microsoft Entra ID Protection 是一種安全性服務,會使用 Microsoft Entra 異常偵測功能來提供可能影響組織身分識別之風險偵測和潛在弱點的合併檢視。

  • Microsoft Entra Domain Services 可讓您將 Azure VM 加入至網域,而不需部署網域控制站。 使用者利用其公司的 Active Directory 認證登入這些 VM,並可順暢地存取資源。

  • Microsoft Entra B2C 是適用於消費者面向應用程式的高可用性全域身分識別管理服務,可調整為數億個身分識別,並跨行動和 Web 平台整合。 您的客戶可以透過可自訂的體驗 (現有的社交媒體帳戶) 登入您所有的應用程式,或者您可以建立新的獨立認證。

  • Microsoft Entra B2B 共同作業是一個安全的合作夥伴整合解決方案,可支援公司間的關係,方法則是讓合作夥伴使用由其自行管理的身分識別,選擇性地存取您的公司應用程式和資料。

  • Microsoft Entra joined 可讓您將雲端功能擴充至 Windows 10 裝置以進行集中管理。 它可讓使用者透過 Microsoft Entra ID 連接到公司或組織雲端,並簡化對應用程式和資源的存取。

  • Microsoft Entra 應用程式 Proxy 為內部部署裝載的 Web 應用程式提供 SSO 及安全的遠端存取。

後續步驟

  • Last updated on