你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

准备安全云资产

在云采用旅程的“就绪”阶段，你专注于创建资产的基础。 Microsoft Azure 登陆区域 方法为企业和大型组织提供了更安全、可缩放、模块化的设计模式，以便在实现其资产时遵循这些模式。 较小的组织和初创公司可能不需要登陆区域方法提供的组织级别，但对登陆区域理念的理解可以帮助任何组织制定基础设计，并获得高度的安全性和可伸缩性。

定义云采用 策略 和 计划后，可以通过设计基础开始实施阶段。 使用本指南中的建议来确保基础设计和实现优先于安全性。

本文是就绪方法的支持指南。 它描述了在旅程中经历该阶段时应考虑的安全优化领域。

安全状况现代化

现代化安全态势的第一个实现步骤是构建登陆区域或云基础，并创建或现代化标识、授权和访问平台。

• 采用登陆区域方法： 采用登陆区域方法或将登陆区域方法的设计原则纳入用例的实际程度，使你能够以优化的方式启动实现。 随着云资产的发展，将资产的不同域分开有助于使整个资产更安全且更易于管理。

  • 如果不打算采用完整的企业登陆区域，则仍需了解 设计区域 并应用与云资产相关的指导。 无论你的基础如何构建，都需要考虑所有这些设计区域并实现特定于每个区域的控件。 例如，使用管理组有助于管理云资产，即使它只包含几个订阅。

开发安全、可缩放的登陆区域，这些区域提供用于部署云资源的受控环境。 这些区域可帮助你确保一致地应用安全策略，并根据安全要求隔离资源。 有关本主题的详细指南，请参阅安全设计区域。

• 新式标识、授权和访问：根据零信任原则，标识、授权和访问的新式方法从默认信任转移到信任异常。 它遵循这些原则，即应允许用户、设备、系统和应用仅访问所需的资源，并且只要需要满足其需求。 相同的指南适用于资产的基础要素：严格控制对订阅、网络资源、治理解决方案、标识和访问管理（IAM）平台和租户的权限，方法是遵循针对运行的工作负载遵循的相同建议。 有关本主题的详细指南，请参阅标识和访问管理设计区域。

Azure 便利化

• Azure 登陆区域加速器： Microsoft维护多个登陆区域加速器，这些加速器是给定工作负荷类型的预打包部署，可以轻松部署到登陆区域以快速入门。 它们包括 Azure Integration Services、Azure Kubernetes 服务（AKS）、Azure API 管理等的加速器。 有关与新式应用程序注意事项相关的加速器和其他主题的完整列表，请参阅 Azure 文档云采用框架的新式应用程序平台方案部分。

• Azure 登陆区域 Terraform 模块：可以使用 Azure 登陆区域 Terraform 模块通过自动化优化登陆区域部署。 通过使用持续集成和持续部署（CI/CD）管道来部署登陆区域，可以确保部署所有登陆区域完全相同，并采用所有安全机制。

• Microsoft Entra：Microsoft Entra 是一系列标识和网络访问产品。 它使组织能够实施零信任安全策略，并创建一个信任结构，用于验证标识、验证访问条件、检查权限、加密连接通道以及监视泄露情况。

准备事件准备和响应

定义策略并制定事件准备和响应计划后，即可开始实施。 无论是采用完整的企业登陆区域设计还是较小的基础设计，网络隔离对于保持高度的安全性至关重要。

网络分段： 设计具有适当分段和隔离的网络体系结构，以最大程度地减少攻击面并包含潜在的违规。 使用虚拟私有云（VPC）、子网和安全组等技术来管理和控制流量。 有关本主题的详细指导，请参阅“ 网络分段 计划”一文。 请务必查看 Azure 登陆区域网络安全指南的其余部分。 本指南包括有关 入站和出站连接、 网络加密和 流量检查的建议。

Azure 便利化

• Azure 虚拟 WAN：Azure 虚拟 WAN是一种网络服务，它整合了许多网络、安全性和路由功能，以提供单个操作接口。 该设计是一种中心辐射型体系结构，内置于分支（VPN/SD-WAN 设备）、用户（Azure VPN/OpenVPN/IKEv2 客户端）、Azure ExpressRoute 线路和虚拟网络的缩放和性能。 实现登陆区域时，Azure 虚拟 WAN可以通过分段和安全机制来帮助优化网络。

准备保密性

在“就绪”阶段，从保密角度准备工作负荷是确保实施和强制执行 IAM 策略和标准的过程。 此准备可确保在部署工作负荷时，数据默认受到保护。 请务必对：

• 最小特权原则。 向用户授予执行其任务所需的最低访问权限。

• 基于角色的访问控制 (RBAC)。 根据作业职责分配角色和权限。 这样做有助于高效管理访问权限，并降低未经授权的访问风险。

• 多重身份验证 (MFA)。 实现 MFA 以添加额外的安全层。

• 条件访问控制。 条件访问控制通过强制实施基于特定条件的策略来提供额外的安全性。 策略可以包括强制实施 MFA、基于地理位置阻止访问以及许多其他方案。 选择 IAM 平台时，请确保支持条件访问，并且实现满足你的要求。

Azure 便利化

• Microsoft Entra 条件访问是Microsoft零信任策略引擎。 在执行策略决策时，它会考虑来自各种来源的信号。

准备完整性

与机密性准备一样，请确保你拥有妥善管理的数据和系统完整性策略和标准，以便默认部署具有改进安全性的工作负载。 定义以下方面的策略和标准。

数据管理做法

• 数据分类： 创建数据分类框架和敏感度标签分类，用于定义数据安全风险的高级类别。 你将使用该分类来简化数据清单或活动见解、策略管理、调查优先级等所有内容。 有关本主题的详细指南，请参阅 创建设计良好的数据分类框架 。

• 数据验证和验证： 投资自动化数据验证和验证的工具，以减少数据工程师和管理员的负担，并降低人为错误的风险。

• 备份策略： 对备份策略进行编码，以确保定期备份所有数据。 定期测试备份和还原，以确保备份成功且数据正确且一致。 将这些策略与组织的恢复时间目标（RTO）和恢复点目标（RPO）保持一致。

• 强加密： 确保云提供商默认加密静态和传输中的数据。 在 Azure 上，数据是端到端加密的。 有关详细信息， 请参阅Microsoft信任中心 。 对于在工作负荷中使用的服务，请确保支持强加密，并适当地配置为满足业务要求。

系统完整性设计模式

• 安全监视： 若要检测对云系统的未经授权的更改，请在整体监视和可观测性策略中设计可靠的安全监视平台。 有关详细的总体指导，请参阅“管理方法 监视”部分 。 有关安全监视的建议，请参阅零信任可见性、自动化和业务流程指南。

  • SIEM 和威胁检测： 使用安全信息和事件管理（SIEM）和安全业务流程、自动化和响应（SOAR）工具和威胁检测工具来检测对基础结构的可疑活动和潜在威胁。

• 自动配置管理： 将工具用于自动执行配置管理。 自动化有助于确保所有系统配置都是一致的，无需人为错误，并自动强制实施。

• 自动修补管理： 将工具用于管理和管理虚拟机的更新。 自动修补有助于确保所有系统都定期修补，并且系统版本是一致的。

• 自动化基础结构部署： 将基础结构作为代码（IaC）用于所有部署进行编码。 将 IaC 部署为 CI/CD 管道的一部分。 对 IaC 部署应用与软件部署相同的 安全部署做法 。

Azure 便利化

• Azure Policy 和 Microsoft Defender for Cloud 协同工作，帮助你跨云资产定义和强制实施安全策略。 这两种解决方案都支持基础元素和工作负荷资源的治理。

• Azure 更新管理器 是本机 Azure 更新和修补程序管理解决方案。 可以将它扩展到本地系统和已启用 Arc 的系统。

• Microsoft Sentinel 是MICROSOFT SIEM 和 SOAR 解决方案。 它提供网络威胁检测、调查和响应、主动搜寻以及整个企业的全面视图。

准备可用性

为复原能力设计工作负载有助于确保业务能够承受故障和安全事件，并且这些操作可以在解决受影响系统问题的同时继续操作。 以下建议符合云采用框架原则，可帮助设计可复原的工作负载：

• 实现可复原的应用程序设计。 采用应用程序设计模式，以增强针对基础结构和非基础结构事件的复原能力，使其符合云采用框架更广泛的原则。 标准化设计，包括自我修复和自我保护机制，以确保持续操作和快速恢复。 有关弹性设计模式的详细指南，请参阅精心构建的 框架的可靠性 支柱。

• 采用无服务器体系结构。 使用无服务器技术（包括平台即服务（PaaS）、软件即服务（SaaS）以及作为服务（FaaS）来减少服务器管理开销、按需自动缩放和提高可用性。 此方法支持云采用框架强调将工作负荷现代化并优化运营效率。

• 使用微服务和容器化。 实现微服务和容器化，通过将微服务和容器化分解为可以独立部署和缩放的较小独立服务来避免整体式应用程序。 此方法符合云环境中敏捷性和可伸缩性的云采用框架原则。

• 分离服务。 从战略上隔离服务，以减少事件的爆破半径。 此策略有助于确保一个组件中的故障不会影响整个系统。 它通过提升可靠的服务边界和操作复原能力，支持云采用框架治理模型。

• 启用自动缩放。 确保应用程序体系结构支持自动缩放来处理不同的负载，以便它可以在流量高峰期间保持可用性。 这种做法与创建可缩放且响应迅速的云环境的云采用框架指南保持一致，有助于保持成本可管理和可预测性。

• 实现故障隔离。 设计应用程序以隔离单个任务或函数的故障。 这样做有助于防止广泛中断并提高复原能力。 此方法支持云采用框架专注于创建可靠且容错的系统。

• 确保高可用性。 整合内置冗余和灾难恢复机制，以保持持续操作。 此方法支持云采用框架高可用性和业务连续性规划的最佳做法。

• 规划自动故障转移。 跨多个区域部署应用程序，以支持无缝故障转移和不间断的服务。 此方法符合地理冗余和灾难恢复云采用框架策略。

为安全维持做好准备

在“就绪”阶段，为长期安全维持做准备涉及确保资产的基础要素遵守初始工作负载的安全最佳做法，但也是可缩放的。 这样做有助于确保随着资产的增长和发展，你的安全不会受到损害，你的安全管理不会变得过于复杂和繁重。 这反过来又有助于避免影子 IT 行为。 为此，在“就绪”阶段，考虑如何实现长期业务目标，而无需对运营实践进行重大体系结构重新设计或重大大修。 即使你选择建立比登陆区域设计更简单的基础，请确保你可以将基础设计过渡到企业体系结构，而无需重新部署资产的主要元素，例如网络和关键工作负荷。 创建可随着资产增长而增长但仍保持安全的设计有助于云之旅的成功。

有关将现有 Azure 占用空间移动到登陆区域体系结构的建议，请参阅将现有 Azure 环境过渡到 Azure 登陆区域概念体系结构。

下一步

通过增强的安全性执行云采用