描述 Azure 中的網路分割

已完成

分段是将某些内容划分成更小的部分。 例如,組織通常由是較小的商務群組,如人力資源、銷售、客戶服務等等組成。 在办公室环境中,通常可以看到每个业务组都有自己的专用办公空间,而同一组的成员共享办公室。 這可讓相同商務群組的成員共同作業,同時與其他群組保持區隔,以實現每個商務的機密性需求。

同样的概念也适用于企业 IT 网络。 網路分割的主要原因包括:

  • 能夠將屬於 (或支援) 工作負載作業的相關資產分組在一起。
  • 隔離資源。
  • 組織設定的治理原則。

網路分割也支援零信任模型和安全性的分層式方法,其為深度防禦策略的一部分。

假設缺口是零信任模型的原則,因此遏制攻擊者的能力對於保護資訊系統至為重要。 當工作負載 (或特定工作負載的一部分) 放入不同的區段時,您可以控制進出這些區段的流量,以保護通訊路徑。 如果一個區段遭到入侵,您將能夠更妥善地控制影響,並防止它透過網路的其餘部分橫向擴散。

網路分割可保護周邊網路之間的互動。 這種方法可以強化組織的安全性態勢、遏制漏洞中的風險,以及阻止攻擊者取得整個工作負載的存取權。

Azure 虛擬網路

Azure 虛擬網路 (VNet) 是您的組織私人網路在 Azure 中的基本建置組塊。 虛擬網路與您自有資料中心內所運作的傳統網路類似,但會有更多 Azure 基礎結構的好處,例如調整規模、可用性和隔離。

Azure 虛擬網路可讓組織區段其網路。 組織可以在每個訂用帳戶的每個區域建立多個虛擬網路,而且可以在每個虛擬網路內建立多個較小的網路 (子網路)。

依預設,VNet 會提供資源的網路層級內含項目,而不允許跨 VNet 的流量或對虛擬網路的輸入。 必須明確佈建通訊。 這可讓您更充分掌控虛擬網路中的 Azure 資源與其他 Azure 資源、網際網路和內部部署網路通訊的方式。

Diagram depicting network segmentation using Azure Virtual Networks.