你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

安全防御云采用

安全方法是云采用任务域中的关键步骤。

图 1：域跟踪器 - 任务域

安全性是指保密性、完整性和可用性的网络安全三重奏。 尽管安全性属于任务域，但在云采用旅程的每个阶段，这是一个重要的考虑因素。 安全失败，没有适当的策略和计划。 登陆区域和治理不需适当的安全注意事项。 如果开发和运营流程中未内置安全状况，则现代化会削弱安全态势。

对于工作负荷而言，安全性并不重要。 工作负荷从平台继承安全控制，但仍必须应用平台级别的安全控制。 下面是在构建和管理防御工作负荷时要考虑的一些安全建议。

实现零信任

零信任是一种安全方法，而不是产品。 零信任的实现将有所不同，但共同性是消除信任的尝试。

解决零信任的三个主要原则是（1）显式验证每个会话，（2）对每个标识强制实施最低特权，（3）监视、搜索和安全。 让我们进一步了解这些原则。

显式 验证每个会话 - 验证引用身份验证和授权。 无论位置如何，都需要对每个设备进行身份验证和授权。 多重身份验证是常见的防御标准，其中使用安全令牌补充身份验证过程。

建议使用基于属性的访问控制（ABAC）系统。 ABAC 基于基于角色的访问控制（RBAC）构建，要求设备在获取对资源的访问权限之前满足额外的条件。 安全专业人员配置条件以限制访问，并最大程度地减少需要管理的角色分配数。 Microsoft Entra ID 提供本机 ABAC 功能，因此云标识仅访问授权信息。 有关详细信息，请参阅 基于属性的访问控制。

对每个标识 强制实施最小特权 - 最低特权访问的概念是防御环境中熟悉的概念。 在强制访问控制系统中，许多防御组织使用的宏级别可见。 数据根据其敏感度（机密、机密、最高机密）接收分类标签，并且个人接收对完成任务所需的数据的访问权限。 任务完成后，将删除访问权限。 如果不需要，则访问敏感数据是违反最低特权模型。

RBAC 和 ABAC 是最低特权强制实施的核心功能。 人员更改角色和体系结构更改，因此请务必定期查看访问权限以避免特权爬行。 RBAC 和 ABAC 允许团队创建精细的访问控制系统，以满足环境的需求，因为访问要求会随着时间推移而变化。

Azure 使用 RBAC 和 ABAC 自动化访问控制方面简化了访问评审。 条件访问策略可以绑定到国防人员的角色、部门、项目和位置。 当人员更改角色或位置时，在标识中更新资源时，其对资源的访问权限将发生变化。 安全团队可以随时对 Azure 中的任何资源执行手动评审。 Azure 允许用户查看多个级别的资源，从而更轻松地进行手动评审。

为定义的时间段授予提升的权限是一种安全最佳做法。 Microsoft Entra ID 简化了特权与 Privileged Identity Management（PIM）的使用。 PIM 在合法用户请求时授予提升的权限，并且仅在定义的时间段内授予这些权限。 此过程表示实时访问，并减少具有特权访问权限的休眠帐户数。 有关详细信息，请参阅：

• 用于实时访问的 PIM
• Azure 标识管理和访问控制安全最佳做法
• 通过零信任保护标识

持续监视、扫描和改进 - 安全性不应是静态的。 威胁形势不断变化，安全必须随之而来。 防御安全团队应监视、扫描和改进云环境，以降低风险。 防御组织通常具有云原生工具可以补充的安全工具，以便进行全面的安全检测和分析。 我们建议Microsoft Defender for Cloud 作为基线云安全状况管理工具，以持续评估环境的安全状况。 有关详细信息，请参阅什么是 Microsoft Defender for Cloud？。

下面是为防御部署增加价值的一些工具：

• 威胁智能：云环境应具有一个持续的威胁情报源和检测工具，用于评估网络安全状况。 此工具应扫描你的环境，并为其检测到的漏洞生成警报。 有关详细信息，请参阅 威胁情报源。

• 分布式拒绝服务（DDoS）：安全工具应防范恶意或非恶意分布式拒绝服务攻击。

• 安全信息和事件管理（SIEM）：SIEM 是一种必要的威胁检测和取证功能，用于分析、聚合和检测整个云环境中生成的日志中的威胁。 有关可用安全工具的列表，请参阅Azure 政府安全性。

有关详细信息，请参阅 Azure 中的零信任。

自动化安全符合性

防御安全标准要求防御安全专业人员维护数百个安全控制措施。 此过程的手动执行是劳动密集型且容易发生人为错误。 可以自动遵守领先的安全标准，并自动修正云资源，以符合这些标准。 Azure 允许任务所有者自动符合零信任、CMMC 和 NIST 800-53

Microsoft Defender for Cloud 可以根据给定的安全标准创建所有不合规资源的视觉报告。 它可以为不符合标准的安全控制生成修正建议。 Microsoft Defender for Cloud 还允许安全专业人员下载充当安全基线的合规性评估报告。 有关详细信息，请参阅：

• 自动化合规性
• 可视化符合性

有关常规安全信息，请参阅：

• 安全文档
• 安全基础知识
• 运营安全清单
• 网络安全参考体系结构
• CAF 安全性

下一步

任务域中的最后一种方法是管理方法。 管理方法具有推动运营效率的建议。

管理