概觀 – 將 零信任 原則套用至 Azure 網路

這一系列文章可協助您根據多紀律方法，將 零信任 原則套用至 Azure 中Microsoft的網路基礎結構。 零信任為安全性策略。 這不是產品或服務，而是設計和實作下列一組安全性原則的方法：

• 明確驗證
• 使用最低權限存取
• 假設缺口

實作「假設缺口、永不信任、永遠驗證」的 零信任 思維需要變更雲端網路基礎結構、部署策略和實作。

下列文章說明如何將 零信任 方法套用至常用的 Azure 基礎結構服務網路：

• 加密
• 區段化
• 取得網路流量的可見度
• 停止舊版網路安全性技術

重要

本 零信任 指引說明如何使用及設定 Azure 上可用的數個安全性解決方案和功能，以取得參考架構。 其他數個資源也提供這些解決方案和功能的安全性指引，包括：

• Microsoft雲端安全性效能評定
• Microsoft雲端安全性基準

為了描述如何套用 零信任 方法，本指南以許多組織在生產中使用的常見模式為目標：裝載於 VNet 的虛擬機型應用程式（和 IaaS 應用程式）。 這是組織將內部部署應用程式移轉至 Azure 的常見模式，有時稱為「隨即轉移」。

使用 適用於雲端的 Microsoft Defender 進行威脅防護

針對假設 Azure 網路入侵 零信任 原則，適用於雲端的 Microsoft Defender 是一種擴充的偵測和響應解決方案，可自動收集、相互關聯和分析來自您環境中的訊號、威脅和警示數據。 適用於雲端的 Defender 旨在與 Microsoft Defender 全面偵測回應 搭配使用，以提供更廣度的環境相互關聯保護，如下圖所示。

在此圖表中：

• 已針對包含多個 Azure 訂用帳戶的管理群組啟用 適用於雲端的 Defender。
• Microsoft Defender 全面偵測回應 已啟用Microsoft 365 個應用程式和數據、與 Microsoft Entra ID 整合的 SaaS 應用程式，以及 內部部署的 Active Directory Domain Services （AD DS） 伺服器。

如需設定管理群組和啟用 適用於雲端的 Defender 的詳細資訊，請參閱：

• 將訂用帳戶組織成管理群組，並將角色指派給使用者
• 在管理群組中的所有訂用帳戶上啟用 適用於雲端的 Defender

其他資源

請參閱下列其他文章，以將 零信任 原則套用至 Azure IaaS：

• 針對 Azure IaaS：
  • Azure 儲存體
  • 虛擬機器
  • 輪輻虛擬網路
  • 中樞虛擬網路
  • 使用 Azure PaaS 服務的輪輻虛擬網路
• Azure 虛擬桌面
• Azure 虛擬 WAN
• Amazon Web Services 中的 IaaS 應用程式
• Microsoft Sentinel 和 Microsoft Defender 全面偵測回應