Azure网络安全Zero Trust（零信任）建议

Zero Trust 模型假设存在漏洞，并验证每个请求，就好像它源自不受控制的网络一样。 Azure网络安全服务通过在云环境中检查、筛选和记录流量，在强制实施Zero Trust原则方面发挥了关键作用。

以下建议可帮助你评估和强化Azure网络安全状况。每个建议都链接到描述安全检查、风险级别和修正步骤的详细指南。

小窍门

一些组织可能会完全按照书面内容接受这些建议，而其他组织可能会选择根据自己的业务需求进行修改。建议在适用的情况下实现以下所有控件。这些模式和做法有助于为安全Azure网络环境提供基础。随着时间的推移，会向此文档添加更多控件。

自动评估

根据环境的配置手动检查本指南可能非常耗时且容易出错。 Zero Trust 的评估通过自动化来改进这一过程，以测试这些及其他安全配置项。了解更多信息，请参阅什么是Zero Trust评估？

Azure DDoS 防护可保护面向公众的资源免受分布式拒绝服务攻击。以下建议验证是否已启用并正确监视 DDoS 保护。

Azure Firewall在您的虚拟网络中提供集中式网络安全策略的强制实施和日志记录。以下建议验证关键保护功能是否处于活动状态。

有关详细信息，请参阅Zero Trust有关 Azure Firewall 的建议。

建议	风险级别	用户影响	实现成本
VNet 集成工作负荷的出站流量通过 Azure 防火墙路由	高	低	中等
< c0 > 在 Azure Firewall 上以拒绝模式启用威胁情报< /c0 >	高	低	低
在 Azure Firewall 上启用拒绝模式的 IDPS 检查	高	低	低
在 Azure 防火墙上启用对出站 TLS 流量的检查	高	低	低
在 Azure Firewall 中启用了诊断日志记录	高	低	低

应用程序网关上的Azure Web Application Firewall可保护 Web 应用程序免受常见攻击和漏洞的影响。以下建议验证是否已正确配置和监视 WAF。

建议	风险级别	用户影响	实现成本
Application Gateway WAF 在预防模式下启用	高	低	低
应用程序网关 WAF 中启用了请求正文检查	高	低	低
在应用程序网关 WAF 中启用默认规则集	高	低	低
在应用程序网关 WAF 中启用和分配机器人保护规则集	高	低	低
应用程序网关 WAF 中启用了 HTTP DDoS 保护规则集	高	低	低
应用程序网关 WAF 中启用了速率限制	高	低	中等
应用程序网关 WAF 中启用了 JavaScript 挑战	中等	低	低
在应用程序网关 WAF 中启用诊断日志记录	高	低	低

Front Door 上的Azure Web Application Firewall可保护网络边缘的 Web 应用程序。以下建议验证是否已正确配置和监视 WAF。

有关更多信息，请参阅 Azure Front Door WAF 的 Zero Trust 政策建议。

建议	风险级别	用户影响	实现成本
Azure Front Door WAF 在预防模式下启用	高	低	低
Azure Front Door WAF 中启用了请求正文检查	高	低	低
在 Azure Front Door WAF 中分配了默认规则集	高	低	低
在 Azure Front Door 的 WAF 中启用并分配了 Bot 保护规则集	高	低	低
在 Azure Front Door WAF 中启用速率限制	高	低	中等
Azure Front Door WAF 中启用了 JavaScript 挑战	中等	低	低
Azure Front Door WAF 中启用了 CAPTCHA 验证	中等	低	低
在 Azure Front Door 的 WAF 中启用了诊断日志记录	高	低	低