Azure 跨云部署的所有层提供全面的安全功能。 Azure 提供客户数据的机密性、完整性和可用性,同时实现透明责任。 本文介绍由保护、检测和响应功能组织的 Azure 安全体系结构。
有关按功能区域组织的 Azure 安全功能的全面介绍,请参阅 Azure 安全性简介。 有关详细的实施指南和最佳做法,请参阅本文档中链接的特定于域的安全概述文章。
Microsoft安全体系结构
Azure 安全服务分为三个基本类别:
- 安全和保护:跨标识、基础结构、网络和数据实施深度防御策略
- 检测威胁:识别可疑活动和潜在的安全事件
- 调查和响应:分析安全事件并采取纠正措施
下图说明了 Azure 安全服务如何与这些类别及其保护的资源保持一致:
安全控制和基线
Azure 云安全基准为 Azure 服务提供全面的安全指南:
- 安全控制:适用于 Azure 租户和服务的高级建议
- 服务基线:实施具有特定配置建议的单个 Azure 服务的控制措施
使用这些控件和基线可以:
- 为云部署建立安全标准
- 使用 Microsoft Defender for Cloud 法规合规性仪表板大规模评估合规性
- 映射到行业框架,包括 CIS、NIST 和 PCI-DSS
- 使用 Azure Policy 实现安全配置
有关治理和合规性功能,请参阅 Azure 安全管理和监视概述。
保护
Azure 跨标识、基础结构、网络和数据提供分层安全控制。 有关详细的实施指南,请参阅特定于域的概述文章。
威胁防护
Microsoft Defender for Cloud 提供统一的安全管理,并提供持续评估和高级威胁防护。 有关全面防护,请参阅 Azure 威胁防护。
身份和访问
- Microsoft Entra ID - 云标识和访问管理
- Privileged Identity Management - 实时特权访问
有关详细信息,请参阅 Azure 标识管理安全概述。
网络安全
- Azure 防火墙 - 具有 IDPS 的云原生网络防火墙
- Azure DDoS 防护 - 持续DDoS 缓解
- Azure VPN 网关 - 加密的跨界连接
- Azure Front Door - 具有集成 WAF 的全局负载均衡器
- Azure 专用链接 - 与 Azure 服务的专用连接
有关详细信息,请参阅 Azure 网络安全概述。
数据保护
- Azure Key Vault - 使用 FIPS 140-2 级别 1(标准层)和 FIPS 140-3 级别 3(高级层)验证的 HSM 来保护密钥和机密存储
- Key Vault 托管 HSM - 单租户 FIPS 140-3 第3级 HSM
- Azure 存储服务加密 - 静态自动加密
- Azure 备份 - 独立和隔离的备份
有关详细信息,请参阅 Azure 中的 Azure 加密概述 和 密钥管理。
治理
- Azure Policy - 强制实施标准和评估合规性
有关详细信息,请参阅 Azure 安全管理和监视概述。
检测威胁
Azure 威胁检测服务可识别环境中可疑的活动和安全事件。
- Microsoft Defender for Cloud - 使用特定于工作负荷的计划进行高级威胁防护
- Microsoft Sentinel - 云原生 SIEM 和 SOAR 解决方案
- Microsoft Defender XDR - 统一终结点、标识、电子邮件和应用程序保护
- Azure 网络观察程序 - 网络监视和诊断
有关全面的威胁检测功能,请参阅 Azure 威胁防护。
调查和响应
Azure 提供了用于分析安全事件和响应事件的工具。
- Microsoft Sentinel - 使用搜索和查询工具进行威胁搜寻
- Azure Monitor - 使用 Log Analytics 工作区进行全面的遥测收集和分析
- 什么是 Microsoft Entra 监视和运行状况? - 活动日志和审核历史记录
有关监视和运作指导,请参阅 Azure 安全管理和监视概述。
后续步骤
- 有关按功能区域组织的全面概述,请查看 Azure 安全性简介
- 查看 Azure 安全服务和技术 ,了解全面的安全功能列表
- 了解 云中的共同责任
- 了解 Azure 安全最佳做法和模式
- 了解 Azure 云安全基准