Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure跨云部署的所有层提供全面的安全服务和技术。 本文介绍按域组织的主要安全功能,并提供了详细概述文章的链接以获取详细信息。
有关特定安全最佳做法和详细的实施指南,请参阅本文档中链接的特定于域的概述文章。
标识和访问管理
| 服务 | 说明 |
|---|---|
| Microsoft Entra ID | 支持单一登录(SSO)、多重身份验证(MFA)、条件访问和无密码身份验证的基于云的标识和访问管理服务。 |
| Azure基于角色的访问控制(RBAC) | 使用内置和自定义角色进行精细访问管理,可在管理组、订阅、资源组或资源范围分配。 |
| Microsoft Entra Privileged Identity Management | 具有审批工作流、访问评审和审核历史记录的实时特权访问Azure和Microsoft Entra角色。 |
| Microsoft Entra访问审核 | 定期审查组成员身份、应用程序访问和角色分配,并提供自动化建议和整改措施。 |
| Microsoft Entra应用程序代理 | 使用Microsoft Entra身份验证和条件访问来保护对没有 VPN 的本地 Web 应用程序的远程访问。 |
| Microsoft Entra Connect/Cloud Sync | 用于统一标识管理的本地 Active Directory和Microsoft Entra ID之间的混合标识同步。 |
有关详细的标识安全功能和最佳做法,请参阅Azure标识管理安全概述。
网络安全
| 服务 | 说明 |
|---|---|
| Azure 虚拟网络 | 具有子网、路由表和 DNS 设置的隔离专用网络。 所有Azure网络安全的基础。 |
| 网络安全组 (NSG) | 使用 5 元组规则、服务标记和应用程序安全组进行有状态数据包筛选,以便进行精细访问控制。 |
| Azure 防火墙 | 具有内置高可用性的云原生有状态防火墙。 标准 SKU 提供 L3-L7 筛选;高级 SKU 添加了 IDPS 和 TLS 检查。 |
| Web 应用程序防火墙 (WAF) | 集中保护 OWASP 前 10 个漏洞、SQL 注入、跨站点脚本和机器人攻击。 |
| Azure DDoS 防护 | 通过自适应优化、实时缓解和针对大流量和协议攻击的攻击分析进行始终在线的流量监控。 |
| Azure 专用链接 | 使用虚拟网络中的私有终结点与Azure PaaS服务建立私有连接,从而避免公共Internet暴露。 |
| 虚拟网络服务终结点 | 通过Azure主干网络直接连接到Azure服务,仅限制对虚拟网络的访问。 |
| Azure VPN 网关 | 使用 IPsec/IKE VPN 隧道进行加密的跨界连接,用于站点到站点连接和点到站点连接。 |
| Azure ExpressRoute | 专用 WAN 连接到Azure云服务,绕过公共 Internet 以提高安全性和可靠性。 |
| Azure 应用程序网关 | 第 7 层负载均衡器,其中包含 TLS 终止、基于 Cookie 的会话相关性、基于 URL 的路由和集成的 WAF。 |
| Azure Front Door | 具有边缘加速、集成 WAF、平台级 DDoS 保护和专用链接后端源的全局 HTTP 负载均衡器。 |
| Azure 网络观察程序 | 网络监视、诊断和安全分析,包括 NSG 流日志、数据包捕获和连接故障排除。 |
有关全面的网络安全指南和最佳做法,请参阅 Azure 网络安全概述。
数据加密
| 服务 | 说明 |
|---|---|
| Azure 存储 服务加密 | Azure Blob 存储、Azure 文件存储、队列存储和表存储中所有静态数据的自动 AES 256 加密。 |
| Azure SQL 数据库 透明数据加密 (TDE) | 在静止状态下进行数据库、备份和事务日志的实时加密。 默认启用,支持客户管理的密钥。 |
| Always Encrypted | 用于Azure SQL 数据库的客户端加密可确保数据在其整个生命周期内保持加密状态,即使来自数据库管理员也是如此。 |
| Azure 磁盘加密 | 使用平台管理的密钥、客户管理的密钥或两者双重加密对 OS 和数据磁盘进行加密。 |
| Azure Cosmos DB加密 | 使用具有可选客户管理的密钥(CMK)支持的服务管理的密钥进行静态自动加密。 |
| 传输中的 TLS 加密 | 用于所有 Azure 服务通信的传输层安全协议 (TLS 1.2+) 和完美前向保密 (PFS)。 |
| MACsec 数据链接加密 | 对于数据中心之间的所有Azure流量,使用 IEEE 802.1AE 进行点到点加密。 |
有关详细的加密选项和最佳做法,请参阅 Azure 加密概述。
密钥和机密管理
| 服务 | 说明 |
|---|---|
| Azure 密钥保管库 | 使用 FIPS 140-2 级别 1(标准层)或 FIPS 140-3 级别 3(HSM 高级层)验证密钥、机密和证书的安全存储。 |
| Azure 密钥保管库 托管 HSM | 单租户 FIPS 140-3 级别 3 验证的 HSM 服务提供完全客户控制,并提供机密密钥支持。 与 Azure PaaS 服务集成。 |
有关全面的密钥管理选项,请参阅 Azure 中的密钥管理。
威胁检测和响应
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 统一云安全,通过安全态势管理(CSPM)、工作负载保护(CWP)及跨 Azure、AWS、GCP 和混合环境的高级威胁检测。 与 Microsoft Defender 门户集成。 |
| Microsoft Sentinel | 利用机器学习、用户行为与实体行为分析(UEBA)、威胁情报集成以及自动化剧本的云原生 SIEM 和 SOAR 解决方案。 |
| Microsoft 适用于 Azure 的反恶意软件 | 针对Azure 云服务和虚拟机进行实时保护、计划扫描和自动恶意软件修正。 |
有关威胁检测功能和最佳做法的综合信息,请参阅Azure威胁防护。
平台完整性
| 服务 | 说明 |
|---|---|
| 固件安全性 | 从生产到部署,确保Azure硬件的供应链安全和固件完整性验证。 |
| UEFI 安全启动 | 确保只有已签名的作系统和驱动程序才能启动,防止固件级恶意软件。 |
| 平台代码完整性 | 在Azure基础结构上执行之前验证所有代码的代码完整性策略。 |
| 测量引导和主机认证 | 启动序列的加密验证,以确保主机处于安全且可信的状态。 |
| Project Cerberus | 提供平台标识和完整性验证的硬件信任根。 |
| 虚拟机监控程序安全性 | 加固的虚拟机监控程序,实现虚拟机与主机环境之间的强隔离。 |
有关详细的平台安全体系结构,请参阅 Azure 平台完整性和安全性概述。
虚拟机安全
| 服务 | 说明 |
|---|---|
| 可信启动 | 使用安全启动、vTPM 和启动完整性监视的 Gen2 VM 的默认值,可防范启动工具包、rootkit 和内核级恶意软件。 |
| Azure 备份 | 具有勒索软件保护、软删除和恢复服务保管库管理的独立独立备份。 |
| Azure Site Recovery | 用于协调复制、故障转移以及恢复到 Azure 或备用站点的灾难恢复业务流程。 |
有关全面的 VM 安全功能和指南,请参阅 Azure 虚拟机 安全概述。
容器安全性
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Containers | 跨 AKS、EKS、GKE 和本地群集的运行时保护、漏洞评估和 Kubernetes 威胁检测。 |
| Azure 容器注册表 | 具有漏洞扫描、内容信任(映像签名)、异地复制和专用终结点的托管容器注册表。 |
| Azure Kubernetes 服务 (AKS)安全性 | 与 Microsoft Entra 集成的托管 Kubernetes,包括 Azure RBAC、网络策略、分组安全性和机密管理。 |
| 容器映像扫描 | AKS 群集中注册表和运行时容器中容器映像的无代理漏洞评估。 |
有关全面的容器安全指南,请参阅 Microsoft Defender for Cloud 中的 容器安全性。
数据库安全
| 服务 | 说明 |
|---|---|
| Azure SQL 数据库安全性 | 通过网络隔离、Microsoft Entra身份验证、TDE 加密、Always Encrypted 和审核实现全面安全性。 |
| Microsoft Defender for SQL | 高级威胁防护检测 SQL 注入、暴力攻击、异常活动和漏洞攻击。 |
| SQL 漏洞评估 | 使用可行的安全建议发现、跟踪和帮助修正数据库漏洞。 |
| 行级安全性 (RLS) | 根据用户标识、角色或执行上下文限制行访问,以便进行精细的数据访问控制。 |
| 动态数据掩码 | 在不更改基础数据的情况下,将敏感数据屏蔽给非特权用户,从而减少暴露风险。 |
| Azure SQL 数据库账本 | 具有可揭示篡改行为的功能和不可变的事务记录,用于数据完整性验证和合规性。 |
| Azure Cosmos DB安全性 | 静态加密和传输中、网络隔离、RBAC 和审核日志记录,用于NoSQL和多模型工作负荷。 |
有关全面的数据库安全清单,请参阅 Azure 数据库安全清单。
监视和管理
| 服务 | 说明 |
|---|---|
| Azure Monitor | 使用指标、日志、Log Analytics工作区、Application Insights、警报和工作簿进行全面监视。 |
| Azure Policy | 治理服务通过策略定义、倡议、合规报告和自动修复来强制执行组织标准。 |
| Microsoft Defender for Cloud 的法规合规性 | 内置和自定义合规性评估符合Azure云安全基准、ISO 27001、NIST、PCI DSS 和其他标准。 |
| Azure活动日志 | 订阅级别的审核日志记录管理操作、服务健康事件和资源更改,保留期为 90 天。 |
| Azure 更新管理器 | 在Azure、本地和多云环境中,对Windows和Linux虚拟机进行统一的修补程序管理,包括计划修补和热补丁。 |
| Azure Resource Graph | 快速跨订阅查询能力,用于大规模识别具有特定配置或安全状态的资源。 |
| Microsoft 成本管理 | 成本监视、预算和异常情况检测,以识别可能指示安全事件的未经授权的资源部署。 |
有关详细的安全管理功能和最佳做法,请参阅Azure安全管理和监视概述。
备份和灾难恢复
| 服务 | 说明 |
|---|---|
| Azure 备份 | 独立独立备份,无需资本投资、勒索软件保护、软删除和跨区域还原。 |
| Azure Site Recovery | 业务连续性和灾难恢复(BCDR)业务流程,用于复制、故障转移和恢复到Azure或辅助站点。 |
有关全面的备份指南,请参阅 Azure 备份 文档。
PaaS 部署安全性
有关保护平台即服务部署(包括应用服务、Azure Functions和容器服务)的指导,请参阅 Securing PaaS 部署。
后续步骤
- Azure 中的端到端安全性 - 全面概述 Azure 的安全架构和功能
- Azure安全最佳做法和模式 - 各种方案的安全最佳做法集合
- Azure云安全基准 - Azure服务的综合安全指南
- 在云中共享责任 - 了解你和Microsoft之间共享的安全责任