你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 跨云部署的所有层提供全面的安全服务和技术。 本文介绍按域组织的主要安全功能,并提供了详细概述文章的链接以获取详细信息。
有关特定安全最佳做法和详细的实施指南,请参阅本文档中链接的特定于域的概述文章。
威胁检测和响应
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 云工作负载保护涵盖 Azure、混合云和多云资源,并提供持续的安全评估、建议和高级威胁检测。 |
| Microsoft Sentinel | 云原生 SIEM 和 SOAR 解决方案提供智能安全分析、威胁情报、攻击检测、主动搜寻和自动响应。 |
有关威胁检测功能和最佳做法的综合信息,请参阅 Azure 威胁防护。
标识和访问管理
| 服务 | 说明 |
|---|---|
| Microsoft Entra ID | 支持单一登录、多重身份验证、条件访问和标识保护的基于云的标识和访问管理服务。 |
| Azure 基于角色的访问控制 | 精细的访问管理使你能够仅向用户授予执行其作业所需的权限。 |
| Microsoft Entra Privileged Identity Management | 通过审批工作流和访问评审,为 Azure 和 Microsoft Entra 角色提供即时特权访问。 |
有关详细的标识安全功能和最佳做法,请参阅 Azure 标识管理安全概述。
密钥和机密管理
| 服务 | 说明 |
|---|---|
| Azure Key Vault | 为密钥、机密和证书提供安全存储,并通过 FIPS 140-2 级别 1(标准层)或 FIPS 140-3 级别 3(带 HSM 的高级层)验证。 |
| Azure 密钥保管库托管 HSM | 单租户 FIPS 140-2 级别 3 验证的 HSM 服务,提供完整控制和保密密钥支持。 |
有关全面的密钥管理选项,包括 Azure 专用 HSM 和 Azure 支付 HSM,请参阅 Azure 中的密钥管理。
数据加密
| 服务 | 说明 |
|---|---|
| Azure 存储服务加密 | 使用 AES 256 加密对 Azure 存储中静态数据进行自动加密。 |
| Azure SQL 数据库透明数据加密 | 实时加密数据库、备份和事务日志,而无需更改应用程序。 |
| Azure 磁盘加密 | 使用平台管理的密钥或客户管理的密钥对 Azure 虚拟机的 OS 和数据磁盘进行加密。 |
有关详细的加密选项和最佳做法,请参阅 Azure 加密概述。
网络安全
| 服务 | 说明 |
|---|---|
| Azure 防火墙 | 具有威胁情报、IDPS 功能(高级 SKU)和 TLS 检查的云原生网络防火墙。 |
| Azure DDoS 防护 | 持续流量监控和网络级DDoS攻击的实时防护。 |
| Azure 虚拟网络 | 使用网络安全组、服务终结点和专用链接进行网络隔离,以确保安全连接。 |
| Azure VPN 网关 | 通过 IPsec/IKE VPN 隧道实现安全的跨园区连接到 Azure 虚拟网络。 |
| 使用 WAF 的 Azure 应用程序网关 | 第 7 层负载均衡与集成的 Web 应用程序防火墙进行负载均衡,防止 OWASP 前 10 个漏洞。 |
| Azure Front Door | 具有集成 WAF、DDoS 保护和 SSL/TLS 卸载的全局 HTTP 负载均衡器。 |
有关全面的网络安全指南和最佳做法,请参阅 Azure 网络安全概述。
监视和管理
| 服务 | 说明 |
|---|---|
| Azure Monitor | 使用 Log Analytics 工作区、指标、警报和工作簿收集和分析遥测数据的综合监视解决方案。 |
| Azure Policy | 治理服务执行组织标准,进行大规模的合规评估,并提供自动纠正措施。 |
| Microsoft Defender for Cloud 法规合规性 | 内置和自定义合规性评估符合Microsoft云安全基准、ISO 27001 和 NIST 等标准。 |
有关详细的安全管理功能和最佳做法,请参阅 Azure 安全管理和监视概述。
数据库安全
| 服务 | 说明 |
|---|---|
| Azure SQL 数据库安全性 | 网络访问控制、身份验证、授权、静态加密和传输、审核和威胁检测。 |
| Microsoft Defender for SQL | 高级威胁防护检测漏洞、异常活动和 SQL 注入尝试。 |
| Azure Cosmos DB 安全性 | 静态数据和传输中数据加密、网络隔离、基于角色的访问控制 (RBAC) 以及 NoSQL 工作负载的审计日志记录。 |
有关全面的数据库安全清单,请参阅 Azure 数据库安全清单。
虚拟机安全
| 服务 | 说明 |
|---|---|
| 可信启动 | Gen2 VM 默认启用安全启动、vTPM 和启动完整性监视,以防范 Bootkit 和 Rootkit 攻击。 |
| Azure 机密计算 | 基于硬件的受信任执行环境,使用 AMD SEV-SNP 保护正在使用中的数据。 |
| 适用于服务器的 Microsoft Defender | Windows 和 Linux 虚拟机的威胁检测和漏洞管理。 |
有关全面的 VM 安全功能和指南,请参阅 Azure 虚拟机安全概述。
平台完整性
| 服务 | 说明 |
|---|---|
| Azure 平台安全性 | 硬件和固件安全性,包括 Project Cerberus、测量的启动和主机证明。 |
| 安全启动和代码完整性 | UEFI 安全启动和代码完整性策略保护 Azure 基础结构免受恶意代码的侵害。 |
有关详细的平台安全体系结构,请参阅 Azure 平台完整性和安全性概述。
备份和灾难恢复
| 服务 | 说明 |
|---|---|
| Azure 备份 | 独立且隔离的备份,以无需资本投资的方式与内置管理结合,保护应用程序数据。 |
| Azure Site Recovery | 灾难恢复业务流程,用于将工作负载复制、故障转移和恢复到备用位置或 Azure。 |
PaaS 部署安全性
有关保护平台即服务部署(包括应用服务、Azure Functions 和容器服务)的指导,请参阅 保护 PaaS 部署。
后续步骤
- Azure 中的端到端安全性 - 全面概述 Azure 的安全体系结构和功能
- Azure 安全最佳做法和模式 - 各种方案的安全最佳做法集合
- Microsoft云安全基准 - Azure 服务的综合安全指南
- 云中的共同责任 - 了解你与Microsoft之间共享的安全责任