描述 Azure 中的网络分段

已完成

分段是将某些内容划分成更小的部分。 例如，组织通常由较小的业务组（例如人力资源、销售、客户服务等）组成。 在办公室环境中，通常可以看到每个业务组都有自己的专用办公空间，而同一组的成员共享办公室。 这样，同一业务组的成员就可以进行协作，同时保持与其他组的分离，以满足每个业务的保密要求。

同样的概念也适用于企业 IT 网络。 网络分段的主要原因是：

• 能够对属于（或支持）工作负载操作的相关资产进行分组。
• 资源的隔离。
• 组织制定的治理政策。

网络分段还支持零信任模型和分层方法来保障安全，这是深层防御策略的一部分。

假定存在安全漏洞是零信任模型的原则，包含攻击者的能力对于保护信息系统至关重要。 如果工作负载（或给定工作负载的一部分）被放置到单独的段中，你可以控制进出这些段的流量以保护通信路径。 如果某个段受到威胁，你将能够更好地控制影响并防止其横向传播到你的网络的其余部分。

网络分段可以保护边界之间的交互。 这种方法可以加强组织的安全态势，遏制违规风险，并阻止攻击者获得对整个工作负载的访问权限。

Azure 虚拟网络

Azure 虚拟网络 (VNet) 是 Azure 中组织的专用网络的基本构建块。 虚拟网络类似于在你在自己的数据中心运营的传统网络，但附带了 Azure 基础设施的其他优势，例如可伸缩性、可用性和隔离性。

Azure 虚拟网络使组织可以细分其网络。 组织可以为每个区域的每个订阅创建多个虚拟网络，并且可以在每个虚拟网络中创建多个较小的网络（子网）。

VNet 提供网络级资源包含，默认情况下，不允许跨 VNet 或入站虚拟网络的流量。 需要显式预配通信。 这可以更好地控制虚拟网络中的 Azure 资源与其他 Azure 资源、Internet 和本地网络通信的方式。