你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

安全体系结构设计

Microsoft Entra ID

Azure 防火墙

Azure Front Door

Azure Key Vault

Azure 专用链接

信息安全一直是一个复杂的课题，它随着攻击者和安全研究人员的创意和实现而迅速发展。

安全性是任何体系结构最为重视的方面之一。良好的安全性可以针对故意攻击和宝贵数据及系统的滥用提供机密性、完整性和可用性保证。失去这些保证可能会损害你的业务运营和收入以及你的组织的信誉。

注意

在适用于 Azure 的 Microsoft 云采用框架中的安全性中了解云安全如何是不断发展和成熟的过程。在 Azure 架构良好的框架安全支柱概述中了解如何将安全性构建到解决方案中。

下面是设计安全系统时需要考虑到的一些大方面：

显示设计安全系统时要考虑到的方面的插图。

Azure 提供多种安全工具和功能。下面只列出了 Azure 中提供的一部分重要安全服务：

Microsoft Defender for Cloud。统一的基础结构安全管理系统，可以增强数据中心的安全态势。它还在云中和本地跨混合工作负载提供高级威胁防护。
Microsoft Entra ID。 Microsoft 基于云的标识和访问管理服务。
Azure Front Door。可缩放的全局入口点，它使用 Microsoft 全球边缘网络来创建快速、高度安全且可大规模缩放的 Web 应用程序。
Azure 防火墙。一个云原生的智能网络防火墙安全服务，为 Azure 中运行的云工作负载提供威胁防护。
Azure Key Vault。一个高安全性机密存储，用于存储令牌、密码、证书、API 密钥和其他机密。还可以使用密钥保管库来创建和控制用于加密数据的加密密钥。
Azure 专用链接。该服务让你可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务、你拥有的但由 Azure 托管的服务，或合作伙伴服务。
Azure 应用程序网关。一种高级 Web 流量负载均衡器，可用于管理 Web 应用程序的流量。
Azure Policy。可帮助你强制实施组织标准和评估合规性的服务。

有关 Azure 安全工具和功能的更详细介绍，请参阅 Azure 中的端到端安全性。

Azure 上的安全性简介

如果你还不熟悉 Azure 上的安全性，最好通过 Microsoft Learn 培训了解详细信息。这是一个免费的在线平台，可提供 Microsoft 产品的交互式培训等内容。

下面是可帮助你入门的两条学习路径：

实现生产的路径

若要保护 Azure 应用程序工作负载，请在应用程序本身中使用身份验证和加密等保护措施。你还可以向托管应用程序的虚拟机 (VM) 网络添加安全层。有关概述，请参阅虚拟网络的防火墙和应用程序网关。
零信任是一种跨数字资产中所有层的主动集成式安全保护方法。它显式并持续验证每个事务，断言最低特权，并依赖于智能功能、高级检测和实时威胁响应。
- 有关针对 Web 应用的实现策略，请参阅使用 Azure 防火墙和应用程序网关为 Web 应用程序构建零信任网络。
- 有关演示如何将 Microsoft Entra 标识和访问功能整合到整个零信任安全策略的体系结构，请参阅安全运营中的 Microsoft Entra IDaaS。
Azure 治理建立支持云治理、合规性审核和自动化防范措施所需的工具。有关治理 Azure 环境的信息，请参阅 Azure 治理设计领域指导。

最佳实践

Azure 架构良好的框架是一组指导原则，基于五个支柱，可用于提高体系结构的质量。有关信息，请参阅安全支柱概述和 Azure 中的安全设计原则。

架构良好的框架还提供以下清单：

有关敏感 IaaS 工作负载的安全性的信息，请参阅 Azure 中高度敏感的 IaaS 应用的安全注意事项。