Azure 作業安全性檢查清單

在 Azure 上部署雲端應用程式很快速、輕鬆且符合成本效益。 部署應用程式之前，最好有檢查清單。 檢查清單可協助您根據基本和建議的安全性動作清單來評估應用程式。

簡介

Azure 提供的基礎結構服務套件，可讓您用來部署應用程式。 Azure 作業安全性是指使用者可在 Microsoft Azure 中用來保護其資料、應用程式和其他資產的服務、控制及功能。

若要發揮雲端平台的最大效益，建議您使用 Azure 服務並遵循下列檢查清單。 在啟動之前投入時間和資源評估其應用程式之作業整備狀態的組織，會比未這麼做的組織擁有更高的滿意度。 執行這項工作時，檢查清單可用來作為一項重要機制，確保會以一致且完整的方式來評估應用程式。

檢查清單

這份檢查清單旨在協助企業在 Azure 上部署複雜的企業應用程式之際，思考各種作業的安全性考量。 它也可以用來協助您建置組織的安全雲端移轉和作業策略。

檢查清單類別	描述
安全性角色和存取控制	使用 Azure 角色型存取控制 (Azure RBAC)可提供用來指派權限給特定範圍的使用者、群組和應用程式的使用者特定。
資料保護與儲存	透過 Azure 角色型存取控制 (Azure RBAC)，使用管理平面安全性來保護您的儲存體帳戶。 資料平面安全性可使用共用存取簽章 (SAS) 和儲存的存取原則來保護您的資料存取。 使用傳輸等級加密 – 使用 HTTPS 和適用於 Azure 檔案共用的 SMB (伺服器訊息區塊通訊協定) 3.0 所使用的加密。 使用用戶端加密可保護您需要加密金鑰的唯一控制權時，傳送給儲存體帳戶的資料。 使用儲存體服務加密 (SSE)可將 Azure 儲存體中的資料自動加密，而使用適用於 Linux VM 的 Azure 磁碟加密和適用於 Windows VM 的 Azure 磁碟加密可將 OS 和資料磁碟的虛擬機器磁碟檔案進行加密。 使用 Azure 儲存體分析可監視授權類型；如同使用 Blob 儲存體，您可以看到使用者是否已使用共用存取簽章還是儲存體帳戶金鑰。 使用跨原始資源共用 (CORS) 可存取來自不同網域的儲存區資源。
安全性原則和建議	使用適用於雲端的 Microsoft Defender 來部署端點解決方案。 新增 Web 應用程式防火牆 (WAF) 來保護 Web 應用程式。 使用 Azure 防火牆 來增加安全性保護。 套用 Azure 訂用帳戶的安全性連絡人詳細資料。 當 Microsoft 安全性回應中心 (MSRC) 發現有非法或未經授權的一方存取您的客戶資料時，就會連絡您。
身分識別與存取管理	使用 Microsoft Entra ID 同步處理內部部署目錄與雲端目錄。 使用單一登入可讓使用者以其在 Azure AD 中的組織帳戶作為基礎，存取其 SaaS 應用程式。 使用密碼重設登錄活動報告可監視進行註冊的使用者。 對使用者啟用 Multi-Factor Authentication (MFA)。 開發人員可以針對應用程式使用安全的身分識別功能，例如 Microsoft 安全性開發週期 (SDL)。 主動監視可疑的活動，方法是使用 Microsoft Entra ID P1 或 P2 異常報告和 Microsoft Entra ID Protection 功能。
持續安全性監視	使用惡意程式碼評定解決方案 Azure 監視器記錄來回報基礎結構中的惡意程式碼保護狀態。 使用更新管理判斷潛在安全性問題的整體風險，以及這些更新是否或如何適用於您的環境。 Microsoft Entra 系統管理中心提供貴組織的目錄完整性和安全性的可見度。
適用於雲端的 Microsoft Defender 偵測功能	使用雲端安全性態勢管理 (CSPM) 提供強化指引，協助您有效率地改善安全性。 使用警示，在雲端、混合式或內部部署環境中發現威脅時會收到通知。 使用安全原則、方案和建議來改善您的安全性態勢。

推論

許多組織已成功在 Azure 上部署和操作其雲端應用程式。 所提供的檢查清單強調顯示數個重要的檢查清單，並協助您對於成功部署更有把握且作業不會失敗。 強烈建議您在 Azure 上進行現有和新的應用程式部署時，使用這些作業和策略考量。

下一步

若要深入了解 Azure 中的安全性，請參閱下列文章：

• 雲端中共同承擔的責任。
• Azure 中的端對端安全性。
• Azure 中的勒索軟體防護