Azure 跨云部署的所有层提供全面的安全服务和技术。 本文介绍按域组织的主要安全功能,并提供了详细概述文章的链接以获取详细信息。
有关特定安全最佳做法和详细的实施指南,请参阅本文档中链接的特定于域的概述文章。
标识和访问管理
| 服务 | 说明 |
|---|---|
| Microsoft Entra ID | 支持单一登录(SSO)、多重身份验证(MFA)、条件访问和无密码身份验证的基于云的标识和访问管理服务。 |
| Azure 基于角色的访问控制 (RBAC) | 使用内置和自定义角色进行精细访问管理,可在管理组、订阅、资源组或资源范围分配。 |
| Microsoft Entra Privileged Identity Management | 具有审批工作流、访问评审和审核历史记录的实时特权访问 Azure 和Microsoft Entra 角色。 |
| Microsoft Entra 访问评审 | 定期审查组成员身份、应用程序访问和角色分配,并提供自动化建议和整改措施。 |
| Microsoft Entra 应用程序代理 | 使用 Microsoft Entra 身份验证和条件访问来保护对没有 VPN 的本地 Web 应用程序的远程访问。 |
有关详细的标识安全功能和最佳做法,请参阅 Azure 标识管理安全概述。
网络安全
| 服务 | 说明 |
|---|---|
| Azure 虚拟网络 | 具有子网、路由表和 DNS 设置的隔离专用网络。 所有 Azure 网络安全的基础。 |
| 网络安全组 (NSG) | 使用 5 元组规则、服务标记和应用程序安全组进行有状态数据包筛选,以便进行精细访问控制。 |
| Azure 防火墙 | 具有内置高可用性的云原生有状态防火墙。 标准 SKU 提供 L3-L7 筛选;高级 SKU 添加了 IDPS 和 TLS 检查。 |
| Web 应用程序防火墙 (WAF) | 集中保护 OWASP 前 10 个漏洞、SQL 注入、跨站点脚本和机器人攻击。 |
| Azure DDoS 防护 | 通过自适应优化、实时缓解和针对大流量和协议攻击的攻击分析进行始终在线的流量监控。 |
| Azure 专用链接 | 通过虚拟网络中的专用终结点与 Azure PaaS 服务建立专用连接,避免了暴露于公共 Internet。 |
| 虚拟网络服务终结点 | 通过 Azure 主干网络直接连接到 Azure 服务,仅限制对虚拟网络的访问。 |
| Azure VPN 网关 | 使用 IPsec/IKE VPN 隧道进行加密的跨界连接,用于站点到站点连接和点到站点连接。 |
| Azure ExpressRoute | 与 Azure 云服务的专用 WAN 连接,绕过公共 Internet 以提高安全性和可靠性。 |
| Azure 应用程序网关 | 第 7 层负载均衡器,其中包含 TLS 终止、基于 Cookie 的会话相关性、基于 URL 的路由和集成的 WAF。 |
| Azure Front Door | 具有边缘加速、集成 WAF、平台级 DDoS 保护和专用链接后端源的全局 HTTP 负载均衡器。 |
| Azure 网络观察程序 | 网络监视、诊断和安全分析,包括 NSG 流日志、数据包捕获和连接故障排除。 |
有关全面的网络安全指南和最佳做法,请参阅 Azure 网络安全概述。
数据加密
| 服务 | 说明 |
|---|---|
| Azure 存储服务加密 | Azure Blob 存储、Azure 文件存储、队列存储和表存储中所有静态数据的 AES 256 自动加密。 |
| Azure SQL 数据库透明数据加密 (TDE) | 在静止状态下进行数据库、备份和事务日志的实时加密。 默认启用,支持客户管理的密钥。 |
| Always Encrypted | Azure SQL 数据库的客户端加密可确保数据在整个生命周期内保持加密状态,即使来自数据库管理员也是如此。 |
| Azure 磁盘加密 | 使用平台管理的密钥、客户管理的密钥或两者双重加密对 OS 和数据磁盘进行加密。 |
| Azure Cosmos DB 加密 | 使用具有可选客户管理的密钥(CMK)支持的服务管理的密钥进行静态自动加密。 |
| 传输中的 TLS 加密 | 所有 Azure 服务通信均采用传输层安全协议(TLS 1.2+)和完美正向保密(PFS)。 |
| MACsec 数据链接加密 | 对于数据中心之间的所有 Azure 流量,使用 IEEE 802.1AE 进行点到点加密。 |
有关详细的加密选项和最佳做法,请参阅 Azure 加密概述。
密钥和机密管理
| 服务 | 说明 |
|---|---|
| Azure 密钥保管库 | 使用 FIPS 140-2 级别 1(标准层)或 FIPS 140-3 级别 3(HSM 高级层)验证密钥、机密和证书的安全存储。 |
| Azure 密钥保管库托管 HSM | 单租户 FIPS 140-3 级别 3 验证的 HSM 服务提供完全客户控制,并提供机密密钥支持。 与 Azure PaaS 服务集成。 |
有关全面的密钥管理选项,请参阅 Azure 中的密钥管理。
威胁检测和响应
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 统一云安全,具备安全态势管理(CSPM)、工作负载保护(CWP),并在 Azure、AWS、GCP 和混合环境中进行高级威胁检测。 与 Microsoft Defender 门户集成。 |
| Microsoft Sentinel | 利用机器学习、用户行为与实体行为分析(UEBA)、威胁情报集成以及自动化剧本的云原生 SIEM 和 SOAR 解决方案。 |
| 适用于 Azure 的 Microsoft反恶意软件 | Azure 云服务和虚拟机的实时保护、计划扫描和自动恶意软件修正。 |
有关威胁检测功能和最佳做法的综合信息,请参阅 Azure 威胁防护。
平台完整性
| 服务 | 说明 |
|---|---|
| 固件安全性 | 从制造到部署,保障 Azure 硬件的供应链安全和固件完整性验证。 |
| UEFI 安全启动 | 确保只有已签名的作系统和驱动程序才能启动,防止固件级恶意软件。 |
| 平台代码完整性 | 在 Azure 基础结构上执行之前验证所有代码的代码完整性策略。 |
| 测量引导和主机认证 | 启动序列的加密验证,以确保主机处于安全且可信的状态。 |
| Project Cerberus | 提供平台标识和完整性验证的硬件信任根。 |
| 虚拟机监控程序安全性 | 加固的虚拟机监控程序,实现虚拟机与主机环境之间的强隔离。 |
有关详细的平台安全体系结构,请参阅 Azure 平台完整性和安全性概述。
虚拟机安全
| 服务 | 说明 |
|---|---|
| 可信启动 | 使用安全启动、vTPM 和启动完整性监视的 Gen2 VM 的默认值,可防范启动工具包、rootkit 和内核级恶意软件。 |
| Azure 备份 | 具有勒索软件保护、软删除和恢复服务保管库管理的独立独立备份。 |
| Azure Site Recovery | 用于复制、故障转移和恢复到 Azure 或辅助站点的灾难恢复业务流程。 |
有关全面的 VM 安全功能和指南,请参阅 Azure 虚拟机安全概述。
容器安全性
| 服务 | 说明 |
|---|---|
| 适用于容器的 Microsoft Defender | 跨 AKS、EKS、GKE 和本地群集的运行时保护、漏洞评估和 Kubernetes 威胁检测。 |
| Azure 容器注册表 | 具有漏洞扫描、内容信任(映像签名)、异地复制和专用终结点的托管容器注册表。 |
| Azure Kubernetes 服务 (AKS) 安全性 | 使用 Microsoft Entra 集成、Azure RBAC、网络策略、Pod 安全性和密钥管理的 Kubernetes 托管服务。 |
| 容器映像扫描 | AKS 群集中注册表和运行时容器中容器映像的无代理漏洞评估。 |
有关全面的容器安全指南,请参阅 Microsoft Defender for Cloud 中的容器安全性。
数据库安全
| 服务 | 说明 |
|---|---|
| Azure SQL 数据库安全性 | 通过网络隔离、Microsoft Entra 身份验证、TDE 加密、Always Encrypted 和审核实现全面安全性。 |
| Microsoft Defender for SQL | 高级威胁防护检测 SQL 注入、暴力攻击、异常活动和漏洞攻击。 |
| SQL 漏洞评估 | 使用可行的安全建议发现、跟踪和帮助修正数据库漏洞。 |
| 行级安全性 (RLS) | 根据用户标识、角色或执行上下文限制行访问,以便进行精细的数据访问控制。 |
| 动态数据掩码 | 在不更改基础数据的情况下,将敏感数据屏蔽给非特权用户,从而减少暴露风险。 |
| Azure SQL 数据库账本 | 具有可揭示篡改行为的功能和不可变的事务记录,用于数据完整性验证和合规性。 |
| Azure Cosmos DB 安全性 | 静态和传输中的加密、网络隔离、RBAC,以及适用于 NoSQL 和多模型工作负荷的审核日志记录。 |
有关全面的数据库安全清单,请参阅 Azure 数据库安全清单。
监视和管理
| 服务 | 说明 |
|---|---|
| Azure Monitor | 使用指标、日志、Log Analytics 工作区、Application Insights、警报和工作簿进行全面监视。 |
| Azure Policy | 治理服务通过策略定义、倡议、合规报告和自动修复来强制执行组织标准。 |
| Microsoft Defender for Cloud 法规合规性 | 内置和自定义符合性评估,符合 Azure 云安全基准、ISO 27001、NIST、PCI DSS 和其他标准。 |
| Azure 活动日志 | 订阅级别的审核日志记录管理操作、服务健康事件和资源更改,保留期为 90 天。 |
| Azure 更新管理器 | 跨 Azure、本地和多云环境的 Windows 和 Linux VM 统一补丁管理,以及计划的补丁和热修补。 |
| Azure Resource Graph | 快速跨订阅查询能力,用于大规模识别具有特定配置或安全状态的资源。 |
| Microsoft 成本管理 | 成本监视、预算和异常情况检测,以识别可能指示安全事件的未经授权的资源部署。 |
有关详细的安全管理功能和最佳做法,请参阅 Azure 安全管理和监视概述。
备份和灾难恢复
| 服务 | 说明 |
|---|---|
| Azure 备份 | 独立独立备份,无需资本投资、勒索软件保护、软删除和跨区域还原。 |
| Azure Site Recovery | 业务连续性和灾难恢复(BCDR)业务流程,用于复制、故障转移和恢复到 Azure 或辅助站点。 |
有关全面的备份指南,请参阅 Azure 备份文档。
PaaS 部署安全性
有关保护平台即服务部署(包括应用服务、Azure Functions 和容器服务)的指导,请参阅 保护 PaaS 部署。
后续步骤
- Azure 中的端到端安全性 - 全面概述 Azure 的安全体系结构和功能
- Azure 安全最佳做法和模式 - 各种方案的安全最佳做法集合
- Azure 云安全基准 - Azure 服务的综合安全指南
- 云中的共同责任 - 了解你与Microsoft之间共享的安全责任