Azure 跨云部署的所有层提供全面的安全服务和技术。 本文介绍按域组织的主要安全功能,并提供了详细概述文章的链接以获取详细信息。
有关特定安全最佳做法和详细的实施指南,请参阅本文档中链接的特定于域的概述文章。
威胁检测和响应
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 云工作负载保护涵盖 Azure、混合云和多云资源,并提供持续的安全评估、建议和高级威胁检测。 |
| Microsoft Sentinel | 云原生 SIEM 和 SOAR 解决方案提供智能安全分析、威胁情报、攻击检测、主动搜寻和自动响应。 |
有关威胁检测功能和最佳做法的综合信息,请参阅 Azure 威胁防护。
标识和访问管理
| 服务 | 说明 |
|---|---|
| Microsoft Entra ID | 支持单一登录、多重身份验证、条件访问和标识保护的基于云的标识和访问管理服务。 |
| Azure 基于角色的访问控制 | 精细的访问管理使你能够仅向用户授予执行其作业所需的权限。 |
| Microsoft Entra Privileged Identity Management | 具有审批工作流和访问评审的实时特权访问 Azure 和 Microsoft Entra 角色。 |
有关详细的标识安全功能和最佳做法,请参阅 Azure 标识管理安全概述。
密钥和机密管理
| 服务 | 说明 |
|---|---|
| Azure 密钥保管库 | 使用 FIPS 140-2 级别 1(标准层)或 FIPS 140-3 级别 3(HSM 高级层)验证密钥、机密和证书的安全存储。 |
| Azure 密钥保管库托管 HSM | 单租户 FIPS 140-2 级别 3 验证的 HSM 服务,提供完整控制和保密密钥支持。 |
数据加密
| 服务 | 说明 |
|---|---|
| Azure 存储服务加密 | 使用 AES 256 加密对 Azure 存储中静态数据进行自动加密。 |
| Azure SQL 数据库透明数据加密 | 实时加密数据库、备份和事务日志,而无需更改应用程序。 |
| Azure 磁盘加密 | 使用平台管理的密钥或客户管理的密钥对 Azure 虚拟机的 OS 和数据磁盘进行加密。 |
有关详细的加密选项和最佳做法,请参阅 Azure 加密概述。
网络安全
| 服务 | 说明 |
|---|---|
| Azure 防火墙 | 具有威胁情报、IDPS 功能(高级 SKU)和 TLS 检查的云原生网络防火墙。 |
| Azure DDoS 防护 | 持续流量监控和网络级DDoS攻击的实时防护。 |
| Azure 虚拟网络 | 使用网络安全组、服务终结点和专用链接进行网络隔离,以确保安全连接。 |
| Azure VPN 网关 | 通过 IPsec/IKE VPN 隧道实现安全的跨园区连接到 Azure 虚拟网络。 |
| 使用 WAF 的 Azure 应用程序网关 | 第 7 层负载均衡与集成的 Web 应用程序防火墙进行负载均衡,防止 OWASP 前 10 个漏洞。 |
| Azure Front Door | 具有集成 WAF、DDoS 保护和 SSL/TLS 卸载的全局 HTTP 负载均衡器。 |
有关全面的网络安全指南和最佳做法,请参阅 Azure 网络安全概述。
监视和管理
| 服务 | 说明 |
|---|---|
| Azure Monitor | 使用 Log Analytics 工作区、指标、警报和工作簿收集和分析遥测数据的综合监视解决方案。 |
| Azure Policy | 治理服务执行组织标准,进行大规模的合规评估,并提供自动纠正措施。 |
| Microsoft Defender for Cloud 法规合规性 | 内置和自定义合规性评估符合 Azure 云安全基准、ISO 27001 和 NIST 等标准。 |
有关详细的安全管理功能和最佳做法,请参阅 Azure 安全管理和监视概述。
数据库安全
| 服务 | 说明 |
|---|---|
| Azure SQL 数据库安全性 | 网络访问控制、身份验证、授权、静态加密和传输、审核和威胁检测。 |
| Microsoft Defender for SQL | 高级威胁防护检测漏洞、异常活动和 SQL 注入尝试。 |
有关全面的数据库安全清单,请参阅 Azure 数据库安全清单。
虚拟机安全
| 服务 | 说明 |
|---|---|
| 可信启动 | 第 2 代 VM 的默认值为提供安全启动、vTPM 和启动完整性监视,以防止启动工具包和 rootkit。 |
有关全面的 VM 安全功能和指南,请参阅 Azure 虚拟机安全概述。
平台完整性
| 服务 | 说明 |
|---|---|
| Azure 平台安全性 | 硬件和固件安全性,包括 Project Cerberus、可信启动和主机证明。 |
| 安全启动和代码完整性 | UEFI 安全启动和代码完整性策略保护 Azure 基础结构免受恶意代码的侵害。 |
有关详细的平台安全体系结构,请参阅 Azure 平台完整性和安全性概述。
备份和灾难恢复
| 服务 | 说明 |
|---|---|
| Azure 备份 | 独立且隔离的备份,以无需资本投资的方式与内置管理结合,保护应用程序数据。 |
| Azure Site Recovery | 用于编排工作负荷复制、故障转移及恢复到辅助位置或 Azure 的灾难恢复。 |
PaaS 部署安全性
有关保护平台即服务部署(包括应用服务、Azure Functions 和容器服务)的指导,请参阅 保护 PaaS 部署。
后续步骤
- Azure 中的端到端安全性 - 全面概述 Azure 的安全体系结构和功能
- Azure 安全最佳做法和模式 - 各种方案的安全最佳做法集合
- Azure 云安全基准 - Azure 服务的综合安全指南
- 云中的共同责任 - 了解你与Microsoft之间共享的安全责任