Azure 可用的安全性服務與技術
在我們與目前和未來的 Azure 客戶的討論中,我們經常被詢問「您有 Azure 提供的所有安全性相關服務和技術的清單嗎?」
在評估雲端服務提供者選項時,擁有此資訊是有幫助的。 所以我們提供了此清單以便您開始操作。
這份清單會隨著時間變更並成長,正如同 Azure。 請務必定期查看此頁面,掌握我們的安全性相關服務和技術。
一般 Azure 安全性
| Service | 描述 |
|---|---|
| 適用於雲端的 Microsoft Defender | 雲端工作負載保護解決方案,可為混合式雲端工作負載提供安全性管理和進階威脅保護。 |
| Microsoft Sentinel | 可調整的雲端原生解決方案,可跨企業提供智慧型安全性分析和威脅情報。 |
| Azure Key Vault | 安全的祕密存放區,可存放密碼、連接字串,以及讓應用程式保持運作所需的其他資訊。 |
| Azure 監視器記錄 | 監視服務,可收集遙測和其他資料,並提供查詢語言和分析引擎,以提供您應用程式和資源的作業見解。 可以單獨使用,或搭配適用於雲端的 Defender 等其他服務使用。 |
| Azure 開發/測試實驗室 | 這項服務可協助開發人員和測試人員在 Azure 中建立快速環境,同時將浪費降至最低並控制成本。 |
儲存體安全性
| Service | 描述 |
|---|---|
| Azure 儲存體服務加密 | 可自動將 Azure 儲存體中的資料加密的安全性功能。 |
| Azure StorSimple Virtual Array | 這是一個整合式儲存體解決方案,可管理 Hypervisor 中執行之內部部署虛擬陣列與 Microsoft Azure 雲端儲存體之間的儲存體工作。 |
| Blob 的用戶端加密 | 此用戶端加密解決方案支援在上傳至 Azure 儲存體之前將用戶端應用程式內的資料加密,並在下載至用戶端時解密資料。 |
| Azure 儲存體共用存取簽章 | 共用存取簽章 (SAS) 可提供您儲存體帳戶中資源的委派存取。 |
| Azure 儲存體帳戶金鑰 | Azure 儲存體的存取控制方法,可使用帳戶存取金鑰或 Microsoft Entra 帳戶 (預設) 來授權對儲存體帳戶的要求。 |
| Azure 檔案共用 | 此儲存體安全性技術提供雲端中完全受控的檔案共用,可透過業界標準伺服器訊息區 (SMB) 通訊協定、網路檔案系統 (NFS) 通訊協定和 Azure 檔案儲存體 REST API 來存取。 |
| AAzure 儲存體分析 | 記錄和度量產生技術,適用於儲存體帳戶中的資料。 |
資料庫安全性
| Service | 描述 |
|---|---|
| Azure SQL 防火牆 | 網路存取控制功能,可防止對資料庫的網路型攻擊。 |
| Azure SQL 連線加密 | 為了提供安全性,SQL Database 會透過以下機制來控制存取:依 IP 位址限制連線的防火牆規則、要求使用者證明其身分識別的驗證機制,以及將使用者限制在特定動作和資料的授權機制。 |
| Azure SQL Always Encrypted | 用於保護 Azure SQL Database、Azure SQL 受控執行個體和 SQL Server 資料庫中儲存的敏感性資料,像是信用卡號碼或身分證號碼 (例如美國的社會安全號碼)。 |
| Azure SQL 透明資料加密 | 此資料庫安全性功能可為待用資料加密,以協助 Azure SQL Database、Azure SQL 受控執行個體和 Azure Synapse Analytics 抵禦惡意離線活動的威脅。 |
| Azure SQL Database 稽核 | 適用於 Azure SQL Database 和 Azure Synapse Analytics 的稽核功能可追蹤資料庫事件,並將事件寫入 Azure 儲存體帳戶、Log Analytics 工作區或事件中樞的稽核記錄。 |
| 虛擬網路規則 | 防火牆安全性功能,可控制適用於 Azure SQL Database 中資料庫和彈性集區的伺服器,或是適用於 Azure Synapse Analytics 中專用 SQL 集區 (之前稱為 SQL DW) 資料庫的伺服器,是否接受虛擬網路中特定子網路傳來的通訊。 |
身分識別和存取管理
| Service | 描述 |
|---|---|
| Azure 角色型存取控制 \(部分機器翻譯\) | 存取控制功能,旨在根據使用者在其組織內的角色,只允許他們存取必須存取的資源。 |
| Microsoft Entra ID | 雲端式驗證存放庫,可支援多租戶、雲端式目錄,以及 Azure 內的多項身分識別管理服務。 |
| Azure Active Directory B2C | 客戶身分識別存取管理 (CIAM) 解決方案可控制客戶在使用以 Azure 為基礎的應用程式時如何註冊、登入及管理其設定檔。 |
| Microsoft Entra Domain Services | Active Directory Domain Services 雲端型受控版本提供受控網域服務,例如網域加入、群組原則、輕量型目錄存取通訊協定 (LDAP) 與 Kerberos/NTLM 驗證。 |
| Microsoft Entra 多重要素驗證 | 安全性佈建,其在允許存取受保護的資訊前,採用數種不同形式的驗證。 |
備份和災害復原
| Service | 描述 |
|---|---|
| Azure 備份 | 以 Azure 為基礎的服務,用來備份和還原 Azure 雲端中的資料。 |
| Azure Site Recovery | 一項線上服務,可將實體和虛擬機器 (VM) 上執行的工作負載從主要網站複寫到次要位置,以便在失敗後復原服務。 |
網路
| Service | 描述 |
|---|---|
| 網路安全性群組 | 一項網路行存取控制功能,可在 Azure 虛擬網路中篩選進出 Azure 資源的網路流量。 |
| Azure VPN 閘道 | 作為 VPN 端點使用的網路裝置,可允許跨單位存取 Azure 虛擬網路。 |
| Azure 應用程式閘道 | 先進的網路流量負載平衡器,可讓您管理 Web 應用程式的流量。 |
| Web 應用程式防火牆 (WAF) | 此功能可集中保護 Web 應用程式,使其免於遭遇常見的攻擊和弱點。 |
| Azure Load Balancer | TCP/UDP 應用程式網路負載平衡器。 |
| Azure ExpressRoute | 此功能可讓您藉由連線提供者的協助,透過私人連線將內部部署網路延伸至 Microsoft 雲端。 |
| Azure 流量管理員 | DNS 型流量負載平衡器。 |
| Microsoft Entra 應用程式 Proxy | 驗證前端,用於保護內部裝載 Web 應用程式的遠端存取。 |
| Azure 防火牆 | 雲端原生且智慧型的網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。 |
| Azure DDoS 保護 \(部分機器翻譯\) | 與應用程式設計最佳做法結合,可抵禦 DDoS 攻擊。 |
| 虛擬網路服務端點 | 可透過 Azure 骨幹網路上已最佳化的路由,為 Azure 服務提供安全的直接連線能力。 |
| Azure Private Link | 讓您透過虛擬網路中的私人端點,存取 Azure PaaS 服務 (例如 Azure 儲存體和 SQL Database) 和 Azure 裝載的客戶擁有/合作夥伴服務。 |
| Azure Bastion | 一種在部署後可讓您使用瀏覽器和 Azure 入口網站,或透過本機電腦上已安裝的原生 SSH 或 RDP 用戶端連線到虛擬機器的服務。 |
| Azure Front Door | 提供 Web 應用程式保護功能,保護 Web 應用程式免於受到網路攻擊與常見網路弱點惡意探索,例如 SQL 插入或跨網站指令碼 (XSS)。 |
下一步
深入了解 Azure 端對端安全性及 Azure 服務如何協助您符合企業的安全性需求,保護雲端中的使用者、裝置、資源、資料和應用程式。