概觀 – 將 零信任 原則套用至 Azure 網路
這一系列文章可協助您根據多紀律方法,將 零信任 原則套用至 azure Microsoft 網路基礎結構。 零信任為安全性策略。 這不是產品或服務,而是設計和實作下列一組安全性原則的方法:
- 明確驗證
- 使用最低權限存取
- 假設缺口
實作「假設缺口、永不信任、永遠驗證」的 零信任 思維需要變更雲端網路基礎結構、部署策略和實作。
下列文章說明如何將 零信任 方法套用至常用的 Azure 基礎結構服務網路:
重要
本 零信任 指引說明如何使用及設定 Azure 上提供的數個安全性解決方案和功能,以取得參考架構。 其他數個資源也提供這些解決方案和功能的安全性指引,包括:
- Microsoft 雲端安全性基準 (部分機器翻譯)
- Microsoft雲端安全性基準
為了描述如何套用 零信任 方法,本指南以許多組織用於生產環境的常見模式為目標:裝載於 VNet 的虛擬機型應用程式(和 IaaS 應用程式)。 這是組織將內部部署應用程式移轉至 Azure 的常見模式,有時稱為「隨即轉移」。
使用 適用於雲端的 Microsoft Defender 進行威脅防護
針對 Azure 網路的假設外洩 零信任 原則,適用於雲端的 Microsoft Defender 是一種擴充的偵測和回應 (XDR) 解決方案,可自動收集、相互關聯和分析來自整個環境的訊號、威脅和警示數據。 適用於雲端的 Defender 旨在與 Microsoft Defender 全面偵測回應 搭配使用,以提供更廣度的環境相互關聯保護,如下圖所示。
在此圖表中:
- 已針對包含多個 Azure 訂用帳戶的管理群組啟用 適用於雲端的 Defender。
- Microsoft Defender 全面偵測回應 已啟用Microsoft 365 應用程式和數據、與 Microsoft Entra ID 整合的 SaaS 應用程式,以及 內部部署的 Active Directory Domain Services (AD DS) 伺服器。
如需設定管理群組和啟用 適用於雲端的 Defender 的詳細資訊,請參閱:
其他資源
請參閱下列其他文章,以將 零信任 原則套用至 Azure IaaS: