概觀 – 將 零信任 原則套用至 Azure 網路
這一系列文章可協助您根據多紀律方法,將 零信任 原則套用至 Azure 中Microsoft的網路基礎結構。 零信任為安全性策略。 這不是產品或服務,而是設計和實作下列一組安全性原則的方法:
- 明確驗證
- 使用最低權限存取
- 假設缺口
實作「假設缺口、永不信任、永遠驗證」的 零信任 思維需要變更雲端網路基礎結構、部署策略和實作。
下列文章說明如何將 零信任 方法套用至常用的 Azure 基礎結構服務網路:
重要
本 零信任 指引說明如何使用及設定 Azure 上可用的數個安全性解決方案和功能,以取得參考架構。 其他數個資源也提供這些解決方案和功能的安全性指引,包括:
為了描述如何套用 零信任 方法,本指南以許多組織在生產中使用的常見模式為目標:裝載於 VNet 的虛擬機型應用程式(和 IaaS 應用程式)。 這是組織將內部部署應用程式移轉至 Azure 的常見模式,有時稱為「隨即轉移」。
使用 適用於雲端的 Microsoft Defender 進行威脅防護
針對假設 Azure 網路入侵 零信任 原則,適用於雲端的 Microsoft Defender 是一種擴充的偵測和響應解決方案,可自動收集、相互關聯和分析來自您環境中的訊號、威脅和警示數據。 適用於雲端的 Defender 旨在與 Microsoft Defender 全面偵測回應 搭配使用,以提供更廣度的環境相互關聯保護,如下圖所示。
在此圖表中:
- 已針對包含多個 Azure 訂用帳戶的管理群組啟用 適用於雲端的 Defender。
- Microsoft Defender 全面偵測回應 已啟用Microsoft 365 個應用程式和數據、與 Microsoft Entra ID 整合的 SaaS 應用程式,以及 內部部署的 Active Directory Domain Services (AD DS) 伺服器。
如需設定管理群組和啟用 適用於雲端的 Defender 的詳細資訊,請參閱:
其他資源
請參閱下列其他文章,以將 零信任 原則套用至 Azure IaaS: