你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 上可用的安全服务和技术
在我们与当前和未来 Azure 客户的讨论中,我们经常被问及“你们是否有 Azure 必须提供的所有安全相关服务和技术的列表?”
了解以下信息有助于评估云服务提供商选项。 因此,我们提供此列表帮助你入门。
随着时间的推移,此列表会进行更改,并且会不断变大,就像 Azure 一样。 请务必时时查看此页面,了解安全相关服务和技术的最新内容。
Azure 常规安全性
| 服务 | 说明 |
|---|---|
| Microsoft Defender for Cloud | 一个云工作负荷保护解决方案,可跨混合云工作负荷提供安全性管理和高级威胁防护。 |
| Microsoft Sentinel | 一种可缩放的云原生解决方案,可在整个企业内提供智能安全分析和威胁情报。 |
| Azure 密钥保管库 | 一个安全的机密存储空间,用于存储密码、连接字符串和维持应用正常工作所需的其他信息。 |
| Azure Monitor 日志 | 一项监视服务,它收集遥测和其他数据,并且提供查询语言和分析引擎,以传递应用和资源操作见解。 可单独使用或与其他服务一同使用(例如 Defender for Cloud)。 |
| Azure 开发/测试实验室 | 一项可帮助开发人员和测试人员在 Azure 中快速创建环境,同时尽量减少浪费并控制成本的服务。 |
存储安全
| 服务 | 说明 |
|---|---|
| Azure 存储服务加密 | 一项安全功能,会自动加密 Azure 存储中的数据。 |
| Azure StorSimple 虚拟阵列 | 一个集成式存储解决方案,用于管理虚拟机监控程序中运行的本地虚拟阵列与 Microsoft Azure 云存储之间的存储任务。 |
| Blob 的客户端加密 | 一个客户端加密解决方案,支持在上传到 Azure 存储之前加密客户端应用程序中的数据,以及在下载到客户端时解密数据。 |
| Azure 存储共享访问签名 | 共享访问签名 (SAS) 用于对存储帐户中的资源进行委托访问。 |
| Azure 存储帐户密钥 | Azure 存储的一种访问控制方法,用于通过帐户访问密钥或 Microsoft Entra 帐户(默认)向存储帐户授权请求。 |
| Azure 文件共享 | 一种在云中提供完全托管的文件共享的存储安全技术,这些共享项可通过行业标准的服务器消息块 (SMB) 协议、网络文件系统 (NFS) 协议和 Azure 文件存储 REST API 进行访问。 |
| Azure 存储分析 | 一项记录和指标生成技术,适用于存储帐户中的数据。 |
数据库安全
| 服务 | 说明 |
|---|---|
| Azure SQL 防火墙 | 一项网络访问控制功能,对针对数据库的网络攻击进行防护。 |
| Azure SQL 连接加密 | 为了确保安全性,SQL 数据库会进行访问控制,即:使用防火墙规则来限制通过 IP 地址进行的连接,使用身份验证机制来要求用户证明其身份,并使用授权机制来限制用户执行特定操作和访问特定数据。 |
| Azure SQL Always Encrypted | 保护 Azure SQL 数据库、Azure SQL 托管实例和 SQL Server 数据库中存储的敏感数据,如信用卡号或国民/地区身份证号(例如,美国社会安全号码)。 |
| Azure SQL 透明数据加密 | 一项数据库安全功能,通过加密静态数据,帮助保护 Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 免受恶意脱机活动的威胁。 |
| Azure SQL 数据库审核 | Azure SQL 数据库和 Azure Synapse Analytics 的一项审核功能,用于跟踪数据库事件,并将这些事件写入 Azure 存储帐户、Log Analytics 工作区或事件中心中的审核日志。 |
| 虚拟网络规则 | 防火墙安全功能,用于控制 Azure SQL 数据库中数据库和弹性池的服务器或 Azure Synapse Analytics 中专用 SQL 池(之前称为 SQL DW)数据库的服务器是否接受从虚拟网络中的特定子网发出的通信。 |
标识和访问管理
| 服务 | 说明 |
|---|---|
| Azure 基于角色的访问控制 | 一项访问控制功能,它基于用户在组织内的角色,仅允许用户访问其必须访问的内容。 |
| Microsoft Entra ID | 一款基于云的身份和访问管理服务,支持基于云的多租户目录和 Azure 中的多标识管理服务。 |
| Azure Active Directory B2C | 一款客户标识访问管理 (CIAM) 解决方案,帮助控制客户在使用基于 Azure 的应用程序时如何注册、登录和管理他们的个人资料。 |
| Microsoft Entra 域服务 | Active Directory 域服务的一个基于云的托管版本,提供域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证等托管域服务。 |
| Microsoft Entra 多重身份验证 | 一项安全性设置,它会采用几种形式的身份验证和验证,再允许访问安全信息。 |
备份和灾难恢复
| 服务 | 说明 |
|---|---|
| Azure 备份 | 一项基于 Azure 的服务,用于备份和还原 Azure 云中的数据。 |
| Azure Site Recovery | 一项联机服务,它可将在物理计算机和虚拟机 (VM) 上运行的工作负荷从主站点复制到辅助位置,以便在出现故障后恢复服务。 |
网络
| 服务 | 说明 |
|---|---|
| 网络安全组 | 一项基于网络的访问控制功能,用于筛选 Azure 虚拟网络中 Azure 资源之间的网络流量。 |
| Azure VPN 网关 | 一种网络设备,用作 VPN 终结点,以允许跨界访问 Azure 虚拟网络。 |
| Azure 应用程序网关 | 一种高级 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。 |
| Web 应用程序防火墙 (WAF) | 一种功能,用于在出现常见攻击和漏洞时为 Web 应用程序提供集中保护 |
| Azure 负载均衡器 | TCP/UDP 应用程序网络负载均衡器。 |
| Azure ExpressRoute | 一项可通过连接服务提供商所提供的专用连接,将本地网络扩展到 Microsoft 云的功能。 |
| Azure 流量管理器 | 一个基于 DNS 的流量负载均衡器。 |
| Microsoft Entra 应用程序代理 | 一个身份验证前端,用于保护对本地 Web 应用程序的远程访问。 |
| Azure 防火墙 | 一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供威胁防护。 |
| Azure DDoS 防护 | 与应用程序设计最佳做法相结合,可提供针对 DDoS 攻击的防御。 |
| 虚拟网络服务终结点 | 通过 Azure 主干网络的优化路由提供与 Azure 服务的安全的直接连接。 |
| Azure 专用链接 | 借助该服务,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的客户拥有的服务/合作伙伴服务。 |
| Azure Bastion | 你部署的一项服务,可让你使用浏览器和 Azure 门户或通过本地计算机上已安装的本机 SSH 或 RDP 客户端连接到虚拟机。 |
| Azure Front Door | 提供 Web 应用程序保护功能,可确保 Web 应用程序不受网络攻击和常见的 Web 漏洞攻击,例如 SQL 注入或跨站点脚本 (XSS)。 |
后续步骤
详细了解 Azure 的端到端安全性,以及 Azure 服务如何帮你满足业务的安全需求,并在云中保护用户、设备、资源、数据和应用程序。