編輯

共用方式為


安全性架構設計

Microsoft Entra ID
Azure 防火牆
Azure Front Door
Azure 金鑰保存庫
Azure Private Link

資訊安全一直都是個複雜的主題,而且會隨著攻擊者和安全性研究人員的創意構想與實作而快速發展。

安全性是任何架構中最為重要的部分。 良好的安全性提供了機密、完整性和可用性保證,可避免您珍貴的資料和系統遭刻意攻擊與濫用。 失去這些保障,可能會讓您的業務營運和收益蒙受損失,甚至傷害組織的聲譽。

注意

請參閱適用於 Azure 的 Microsoft 雲端採用架構中的安全性,了解雲端安全性持續進步並邁向成熟的過程。 透過 Azure Well-Architected Framework 中的安全性支柱概觀,了解如何將安全性建置到您的解決方案中。

以下是設計安全性系統時,需要考慮的幾個廣泛主題類別:

此圖顯示了設計安全性系統時需要考慮的主題類別。

Azure 提供廣泛的安全性工具和功能。 這裡僅列舉 Azure 提供的其中幾項重要安全性服務:

  • 適用於雲端的 Microsoft Defender。 統一的基礎結構安全性管理系統,可強化資料中心的安全性狀態。 此外還能為您在雲端與內部部署中的混合式工作負載提供進階威脅防護。
  • Microsoft Entra ID。 Microsoft 的雲端式身分識別與存取權管理服務。
  • Azure Front Door。 一種可調整的全球性進入點,並使用 Microsoft 全球邊緣網路建立快速、高度安全且可大規模調整的 Web 應用程式。
  • Azure 防火牆。 一項雲端原生和智慧型網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。
  • Azure Key Vault。 一個高安全性秘密存放區,可存放權杖、密碼、憑證、API 金鑰和其他秘密。 您也可以使用 Key Vault,更輕鬆地建立和控制用來加密資料的加密金鑰。
  • Azure Private Link。 可讓您透過虛擬網路中的私人端點,存取 Azure PaaS 服務、您擁有的 Azure 託管服務以及合作夥伴服務的一項服務。
  • Azure 應用程式閘道。 先進的網路流量負載平衡器,可讓您管理 Web 應用程式的流量。
  • Azure 原則。 一項可協助您強制執行組織標準,並評估合規性的服務。

如需更完整的 Azure 安全性工具和功能描述,請參閱 Azure 中的端對端安全性

Azure 安全性簡介

如果您還不熟悉 Azure 安全性,最好的方法是透過 Microsoft Learn 訓練學習更多知識。 這是一個免費的線上平台,提供 Microsoft 產品和其他主題的互動式訓練。

以下是兩種可幫助您入門的學習途徑:

邁向生產的路徑

  • 如要保護 Azure 應用程式工作負載,您可以使用應用程式本身的驗證和加密等保護措施。 您也可以為裝載應用程式的虛擬機器 (VM) 網路新增安全性層級。 請參閱虛擬網路的防火牆和應用程式閘道以取得概觀。
  • 零信任是一種主動的整合式方法,可確保數位資產各個層級的安全性。 它會明確且持續地驗證每筆交易、判斷提示最低權限,並依賴情報、進階偵測以及對威脅的即時回應。
  • Azure 治理會建立支援雲端治理、合規性稽核和自動化護欄所需要的工具。 如需管理 Azure 環境的相關資訊,請參閱 Azure 治理設計領域指引

最佳作法

Azure Well-Architected Framework 是一組基於五大支柱的指導方針,可用來改善您的架構品質。 如需詳細資訊,請參閱安全性支柱概觀Azure 中的安全性設計原則

Well-Architected Framework 也提供下列檢查清單:

如需敏感性 IaaS 工作負載安全性的相關資訊,請參閱 Azure 中高度敏感的 IaaS 應用程式的安全性考量事項

安全性架構

身分識別與存取權管理

威脅保護

資訊保護

及時了解安全性狀況

取得 Azure 安全性服務和功能的最新更新。

其他資源

範例解決方案

瀏覽我們的所有安全性架構

AWS 或 Google Cloud 專業人員

下一步

安全性架構是一組完整安全性指引的一部分,其中還包括: