準備您的安全雲端資產

在雲端採用旅程的就緒階段，您會專注於建立資產的基礎。 Microsoft Azure 登陸區域 方法可為企業和大型組織提供更安全、可調整、模組化的設計模式，以在實作其資產時遵循。 較小的組織和新創公司可能不需要登陸區域方法所提供的組織層級，但瞭解登陸區域理念可協助任何組織制定基礎設計策略，並取得高度的安全性和延展性。

定義雲端採用 策略 和 計劃之後，您可以設計基礎來開始實作階段。 使用本指南中的建議，以確保您的基礎設計和實作會優先處理安全性。

本文是就緒方法的支援指南。 它描述您在旅程中經歷該階段時應考慮的安全性優化領域。

安全性狀態現代化

將安全性狀態現代化的第一個實作步驟是建置登陸區域或雲端基礎，以及建立或現代化您的身分識別、授權和存取平臺。

• 採用登陸區域方法： 採用登陸區域方法，或將登陸區域方法的設計原則納入使用案例的實際程度，可讓您以優化的方式啟動實作。 隨著雲端資產的發展，將資產的不同網域分開，有助於讓整個資產更安全且可管理。

  • 如果您不打算採用完整的企業登陸區域，您仍然需要了解 設計區域 ，並套用與雲端資產相關的指引。 無論您的基礎架構如何，您都需要考慮所有這些設計區域，並實作每個區域專屬的控件。 例如，使用管理群組可協助您管理雲端資產，即使它只包含一些訂用帳戶也一樣。

開發安全、可調整的登陸區域，以提供用於部署雲端資源的受控制環境。 這些區域可協助您確保一致地套用安全策略，並根據其安全性需求隔離資源。 如需本主題的詳細指引，請參閱安全性設計區域。

• 新式身分識別、授權和存取：根據 零信任 的原則，身分識別、授權和存取的新式方法會從預設信任移至信任例外狀況。 其遵循這些原則，使用者、裝置、系統和應用程式應該只允許存取所需的資源，而且只要需要才能符合其需求。 相同的指導方針適用於資產的基礎元素：嚴格控制訂用帳戶、網路資源、治理解決方案、身分識別和存取管理 （IAM） 平臺和租用戶的許可權，方法是遵循您針對您執行的工作負載遵循的相同建議。 如需本主題的詳細指引，請參閱身分識別和存取管理設計區域。

Azure 促進

• Azure 登陸區域加速器： Microsoft維護數個登陸區域加速器，這些加速器是預先封裝的指定工作負載類型的部署，可輕鬆地部署到登陸區域以快速開始使用。 其中包括 Azure Integration Services、Azure Kubernetes Service （AKS）、Azure API 管理 和其他專案的加速器。 如需與新式應用程式考慮相關的快速鍵和其他主題的完整清單，請參閱 Azure 檔 雲端採用架構 的現代應用程式平臺案例一節。

• Azure 登陸區域 Terraform 模組：您可以使用 Azure 登陸區域 Terraform 模組，將登陸區域部署優化。 藉由使用持續整合和持續部署 （CI/CD） 管線來部署登陸區域，您可以確定所有登陸區域都以完全相同的方式部署，並具備所有安全性機制。

• Microsoft Entra：Microsoft Entra 是身分識別和網路存取產品的系列。 它可讓組織實作 零信任 安全性策略，並建立信任網狀架構，以驗證身分識別、驗證存取條件、檢查許可權、加密連線通道，以及監視入侵。

準備事件準備和回應

定義策略並開發事件準備和回應計劃之後，您就可以開始實作。 無論您是採用完整的企業登陸區域設計或較小的基礎設計，網路隔離對於維護高度安全性而言非常重要。

網路分割： 設計具有適當分割和隔離的網路架構，以將受攻擊面降到最低，並包含潛在的缺口。 使用虛擬私人雲端（VPC）、子網和安全組等技術來管理和控制流量。 如需本主題的詳細指引，請參閱規劃網路分割一文。 請務必檢閱 Azure 登陸區域網路安全性指南的其餘部分。 本指南包含輸入和輸出 連線、 網路加密和 流量檢查的建議。

Azure 促進

• Azure 虛擬 WAN：Azure 虛擬 WAN 是一種網路服務，可合併許多網路、安全性和路由功能，以提供單一作業介面。 此設計是一種中樞和輪輻架構，內建於分支（VPN/SD-WAN 裝置）、使用者（Azure VPN/OpenVPN/IKEv2 用戶端）、Azure ExpressRoute 線路和虛擬網路。 當您實作登陸區域時，Azure 虛擬 WAN 可協助您透過分割和安全性機制將網路優化。

準備機密性

在就緒階段，從機密性的觀點準備您的工作負載，是確保您的 IAM 原則和標準已實作並強制執行的程式。 此準備可確保當您部署工作負載時，數據預設會受到保護。 請務必有妥善治理的原則和標準：

• 最低許可權原則。 授與使用者執行其工作所需的最低存取權。

• 角色型存取控制 (RBAC)。 根據工作職責指派角色和許可權。 這麼做可協助您有效率地管理存取權，並降低未經授權的存取風險。

• 多重要素驗證 (MFA)。 實作 MFA 以新增額外的安全性層。

• 條件式訪問控制。 條件式訪問控制會根據特定條件強制執行原則，以提供額外的安全性。 原則可能包括強制執行 MFA、根據地理位置封鎖存取，以及其他許多案例。 當您選擇 IAM 平臺時，請確定支援條件式存取，且實作符合您的需求。

Azure 促進

• Microsoft Entra 條件式存取是Microsoft 零信任 原則引擎。 它會在強制執行原則決策時考慮各種來源的訊號。

準備完整性

與機密性準備一樣，請確定您有妥善控管的數據和系統完整性原則和標準，因此您預設會部署具有改良安全性的工作負載。 定義下列領域的原則和標準。

數據管理做法

• 數據分類： 建立數據分類架構和敏感度標籤分類法，以定義高階的數據安全性風險類別。 您將使用該分類法來簡化數據清查或活動深入解析、原則管理、調查優先順序等所有專案。 如需本主題的詳細指引，請參閱 建立設計良好的數據分類架構 。

• 數據驗證和驗證： 投資可將數據驗證和驗證自動化的工具，以減少數據工程師和系統管理員的負擔，並降低人為錯誤的風險。

• 備份原則： 編纂備份原則，以確保會定期備份所有數據。 定期測試備份和還原，以確保備份成功且數據正確且一致。 將這些原則與組織的復原時間目標 （RTO） 和恢復點目標 （RPO） 目標保持一致。

• 強式加密： 確定您的雲端提供者預設會加密待用和傳輸中的數據。 在 Azure 上，您的資料會以端對端加密。 如需詳細資訊， 請參閱Microsoft信任中心 。 針對您在工作負載中使用的服務，請確定支持強式加密，並適當地設定以符合您的商務需求。

系統完整性設計模式

• 安全性監視： 若要偵測未經授權的雲端系統變更，請設計強大的安全性監視平臺，作為整體監視和可觀察性策略的一部分。 如需詳細的整體指引，請參閱管理方法 監視一節 。 如需安全性監視的建議，請參閱 零信任 可見度、自動化和協調流程指南。

  • SIEM 和威脅偵測： 使用安全性資訊和事件管理 （SIEM） 和安全性協調流程、自動化和回應 （SOAR） 工具和威脅偵測工具來偵測可疑活動和基礎結構的潛在威脅。

• 自動化組態管理： 使用工具將組態管理自動化。 自動化可協助您確保所有系統組態都一致、不受人為錯誤及自動強制執行。

• 自動化修補程式管理： 將工具用於管理和控管虛擬機的更新。 自動化修補可協助確保所有系統都會定期修補，且系統版本一致。

• 自動化基礎結構部署： 將基礎結構即程序代碼 （IaC） 用於所有部署。 將 IaC 部署為 CI/CD 管線的一部分。 針對 IaC 部署套用與軟體部署相同的 安全部署做法 。

Azure 促進

• Azure 原則 和 適用於雲端的 Microsoft Defender 一起運作，以協助您定義及強制執行雲端資產的安全策略。 這兩個解決方案都支援治理基礎元素和工作負載資源。

• Azure Update Manager 是原生 Azure 更新和修補程式管理解決方案。 您可以將它延伸至內部部署系統和已啟用 Arc 的系統。

• Microsoft Sentinel 是MICROSOFT SIEM 和 SOAR 解決方案。 它提供網路威脅偵測、調查和響應、主動搜捕，以及整個企業的完整檢視。

準備可用性

設計您的工作負載以進行復原有助於確保您的企業能夠承受故障和安全性事件，且在解決受影響系統的問題時，該作業可以繼續。 下列符合 雲端採用架構 原則的建議可協助您設計具彈性的工作負載：

• 實作復原應用程式設計。 採用應用程式設計模式，以針對基礎結構和非基礎結構事件增強復原能力，以符合 雲端採用架構的更廣泛原則。 標準化設計，納入自我修復和自我保護機制，以確保持續操作和快速恢復。 如需彈性設計模式的詳細指引，請參閱架構完善的架構 可靠性 支柱。

• 採用無伺服器架構。 使用無伺服器技術，包括平臺即服務（PaaS）、軟體即服務（SaaS）和功能即服務（FaaS），以減少伺服器管理額外負荷、自動隨需求進行調整，以及改善可用性。 此方法支援 雲端採用架構 強調將工作負載現代化，並將作業效率優化。

• 使用微服務和容器化。 實作微服務和容器化，以避免整合型應用程式，方法是將它們細分為較小的獨立服務，您可以獨立部署和調整。 這種方法符合雲端環境中靈活度和延展性 雲端採用架構 原則。

• 分離服務。 策略性地隔離服務彼此，以減少事件的爆炸半徑。 此策略有助於確保某個元件中的失敗不會影響整個系統。 其支援 雲端採用架構 治理模型，方法是提升健全的服務界限和作業復原能力。

• 啟用自動調整。 請確定您的應用程式架構支援自動調整以處理不同的負載，以便在流量尖峰期間維持可用性。 此做法與建立可調整且回應式雲端環境的 雲端採用架構 指導方針一致，並協助您讓成本保持可管理且可預測。

• 實作錯誤隔離。 設計應用程式以隔離個別工作或函式的失敗。 這樣做有助於防止廣泛的中斷，並增強復原能力。 此方法支援 雲端採用架構 著重於建立可靠且容錯的系統。

• 確定高可用性。 納入內建備援和災害復原機制，以維護持續作業。 此方法支援 雲端採用架構 高可用性和商務持續性規劃的最佳做法。

• 規劃自動故障轉移。 跨多個區域部署應用程式，以支持順暢的故障轉移和不間斷的服務。 此方法與地理備援和災害復原 雲端採用架構 策略一致。

準備安全性維持

在就緒階段，準備長期安全性維持涉及確保資產的基礎元素遵守初始工作負載的安全性最佳做法，但也可調整。 這麼做可協助您確保資產成長和發展時，您的安全性不會受到危害，且安全性管理不會變得過於複雜且繁重。 接著，這可協助您避免影子IT行為。 為此，在就緒階段，請思考您長期的業務目標如何完成，而不需要對營運實務進行重大架構重新設計或重大大修。 即使您選擇建立比登陸區域設計更簡單的基礎，也請務必將基礎設計轉換為企業架構，而不需要重新部署資產的主要元素，例如網路和關鍵工作負載。 建立可隨著資產成長而成長，但仍保持安全的設計，有助於雲端旅程的成功。

如需將現有 Azure 使用量移至登陸區域架構的建議，請參閱 將現有的 Azure 環境轉換為 Azure 登陸區域概念架構 。

後續步驟

使用增強的安全性執行雲端採用