【Azure安全】Azure安全简介

概述

我们知道安全是云中的首要任务，找到有关Azure安全的准确和及时的信息是多么重要。将Azure用于应用程序和服务的最佳原因之一是利用其广泛的安全工具和功能。这些工具和功能有助于在安全的Azure平台上创建安全的解决方案。Microsoft Azure提供客户数据的机密性、完整性和可用性，同时还实现了透明的问责制。

本文全面介绍了Azure提供的安全性。

Azure平台

Azure是一个公共云服务平台，支持多种操作系统、编程语言、框架、工具、数据库和设备。它可以运行与Docker集成的Linux容器；使用JavaScript、Python构建应用程序。NET、PHP、Java和Node.js；为iOS、Android和Windows设备构建后端。

Azure公共云服务支持数百万开发人员和IT专业人员已经依赖和信任的相同技术。当您构建或迁移IT资产到公共云服务提供商时，您依赖于该组织的能力，通过他们提供的服务和控制来保护您的应用程序和数据，以管理基于云的资产的安全性。

Azure的基础架构从设施到应用程序都是为同时托管数百万客户而设计的，它为企业满足其安全要求提供了值得信赖的基础。

此外，Azure为您提供了一系列可配置的安全选项以及控制它们的能力，以便您可以自定义安全性以满足组织部署的独特要求。本文档帮助您了解Azure安全功能如何帮助您满足这些要求。

注：

本文档的主要重点是面向客户的控件，您可以使用这些控件来定制和提高应用程序和服务的安全性。

有关Microsoft如何保护Azure平台本身的信息，请参阅Azure基础架构安全。

Azure安全功能概述

根据云服务模型，谁负责管理应用程序或服务的安全性是可变的。Azure平台中有一些功能可以通过内置功能和可以部署到Azure订阅中的合作伙伴解决方案来帮助您履行这些职责。

内置功能分为六个功能区域：运营、应用程序、存储、网络、计算和身份。通过摘要信息提供了Azure平台在这六个领域中可用的特性和功能的更多详细信息。

运营

本节提供了有关安全操作中关键功能的更多信息以及有关这些功能的摘要信息。

Microsoft Sentinel

Microsoft Sentinel是一个可扩展的云原生安全信息和事件管理（SIEM）以及安全编排、自动化和响应（SOAR）解决方案。Microsoft Sentinel为整个企业提供智能安全分析和威胁情报，为攻击检测、威胁可见性、主动狩猎和威胁响应提供单一解决方案。

微软云卫士

Microsoft Defender for Cloud可帮助您预防、检测和应对威胁，提高对Azure资源安全性的可见性和控制。它为您的Azure订阅提供集成的安全监控和策略管理，帮助检测可能被忽视的威胁，并与广泛的安全解决方案生态系统协同工作。

此外，Defender for Cloud通过为您提供一个单一的仪表板来帮助您进行安全操作，该仪表板显示可以立即采取行动的警报和建议。通常，您可以在Defender for Cloud控制台中单击一次来修复问题。

Azure资源管理器

Azure资源管理器使您能够以组的形式使用解决方案中的资源。您可以在单个协调操作中部署、更新或删除解决方案的所有资源。您可以使用Azure资源管理器模板进行部署，该模板可以用于不同的环境，如测试、测试和生产。资源管理器提供安全、审计和标记功能，以帮助您在部署后管理资源。

基于Azure资源管理器模板的部署有助于提高部署在Azure中的解决方案的安全性，因为标准的安全控制设置可以集成到基于模板的标准化部署中。这降低了手动部署期间可能发生的安全配置错误的风险。

应用洞察

Application Insights是面向web开发人员的可扩展应用程序性能管理（APM）服务。借助Application Insights，您可以监控实时web应用程序并自动检测性能异常。它包括强大的分析工具，可帮助您诊断问题并了解用户对应用程序的实际操作。它在测试期间以及发布或部署后一直监控您的应用程序。

Application Insights创建图表和表格，显示您一天中获得最多用户的时间、应用程序的响应速度以及它所依赖的任何外部服务的服务质量。

如果出现崩溃、故障或性能问题，您可以详细搜索遥测数据以诊断原因。如果您的应用程序的可用性和性能有任何变化，该服务会向您发送电子邮件。因此，Application Insight成为一种有价值的安全工具，因为它有助于提高机密性、完整性和可用性安全三元组的可用性。

Azure监视器

Azure Monitor为来自Azure订阅（活动日志）和每个单独的Azure资源（资源日志）的数据提供可视化、查询、路由、警报、自动扩展和自动化。您可以使用Azure Monitor在Azure日志中生成的安全相关事件上向您发出警报。

Azure监视器日志

Azure Monitor日志-除了Azure资源外，还为本地和第三方基于云的基础设施（如AWS）提供IT管理解决方案。来自Azure Monitor的数据可以直接路由到Azure Monitor日志，这样您就可以在一个地方看到整个环境的指标和日志。

Azure Monitor日志在取证和其他安全分析中是一个有用的工具，因为该工具使您能够通过灵活的查询方法快速搜索大量与安全相关的条目。此外，本地防火墙和代理日志可以导出到Azure中，并使用Azure Monitor日志进行分析。

Azure顾问

Azure Advisor是一个个性化的云顾问，可帮助您优化Azure部署。它分析您的资源配置和使用遥测。然后，它会推荐解决方案，以帮助提高资源的性能、安全性和可靠性，同时寻找减少Azure总体支出的机会。Azure Advisor提供安全建议，可以显著改善您在Azure中部署的解决方案的整体安全状况。这些建议来自Microsoft Defender for Cloud进行的安全分析。

应用

本节提供了有关应用程序安全中关键功能的更多信息以及有关这些功能的摘要信息。

渗透测试

我们不会为您执行应用程序的渗透测试，但我们理解您希望并需要对自己的应用程序进行测试。这是一件好事，因为当你增强应用程序的安全性时，你有助于使整个Azure生态系统更加安全。虽然不再需要通知微软笔测试活动，但客户仍必须遵守微软云渗透测试参与规则。

Web应用程序防火墙

Azure application Gateway中的web应用程序防火墙（WAF）有助于保护web应用程序免受常见的基于web的攻击，如SQL注入、跨站脚本攻击和会话劫持。它预先配置了针对开放Web应用程序安全项目（OWASP）确定为十大常见漏洞的威胁的保护。

Azure应用服务中的身份验证和授权

应用服务身份验证/授权是一种功能，它为您的应用程序提供了一种登录用户的方式，这样您就不必在应用程序后端更改代码。它提供了一种简单的方法来保护您的应用程序并处理每个用户的数据。

分层安全架构

由于应用服务环境提供了一个部署到Azure虚拟网络中的隔离运行时环境，开发人员可以创建一个分层安全架构，为每个应用层提供不同级别的网络访问。一个常见的愿望是对普通互联网访问隐藏API后台，并且只允许上游网络应用程序调用API。可以在包含应用程序服务环境的Azure虚拟网络子网上使用网络安全组（NSG）来限制对API应用程序的公共访问。

Web服务器诊断和应用程序诊断

App Service web应用程序提供诊断功能，用于记录来自web服务器和web应用程序的信息。这些在逻辑上分为web服务器诊断和应用程序诊断。Web服务器在诊断和排除站点和应用程序故障方面取得了两项重大进展。

第一个新功能是有关应用程序池、工作进程、站点、应用程序域和运行请求的实时状态信息。第二个新优点是详细的跟踪事件，可以在整个请求和响应过程中跟踪请求。

为了能够收集这些跟踪事件，可以将IIS 7配置为根据经过的时间或错误响应代码，以XML格式自动捕获任何特定请求的完整跟踪日志。

Storage（存储)

本节提供了有关Azure存储安全中关键功能的其他信息以及有关这些功能的摘要信息。

Azure基于角色的访问控制（Azure RBAC）

您可以使用Azure基于角色的访问控制（Azure RBAC）来保护您的存储帐户。对于希望强制执行数据访问安全策略的组织来说，根据需要知道和最低权限安全原则限制访问是至关重要的。这些访问权限是通过在特定范围内向组和应用程序分配适当的Azure角色来授予的。您可以使用Azure内置角色（如存储帐户参与者）为用户分配权限。使用Azure资源管理器模型访问存储帐户的存储密钥可以通过Azure RBAC进行控制。

共享访问签名

共享访问签名（SAS）提供对存储帐户中资源的委派访问。SAS意味着您可以在指定的时间段内，使用指定的一组权限，向客户端授予存储帐户中对象的有限权限。您可以授予这些有限的权限，而无需共享您的帐户访问密钥。

传输中的加密

传输中的加密是一种在数据通过网络传输时保护数据的机制。使用Azure存储，您可以使用以下方式保护数据：

• 传输级加密，例如在将数据传输到Azure存储或从Azure存储传输数据时使用HTTPS。
• 有线加密，如Azure文件共享的SMB 3.0加密。
• 客户端加密，在数据传输到存储器之前对其进行加密，并在数据传输出存储器之后对其进行解密。

静态加密

对于许多组织来说，静态数据加密是实现数据隐私、合规性和数据主权的强制性步骤。有三种Azure存储安全功能可以对“静态”数据进行加密：

• 存储服务加密允许您请求存储服务在将数据写入Azure存储时自动加密数据。
• 客户端加密还提供静态加密功能。
• Linux虚拟机的Azure磁盘加密和Windows虚拟机的Microsoft Azure磁盘加密允许您加密IaaS虚拟机使用的操作系统磁盘和数据磁盘。

存储分析

Azure存储分析执行日志记录，并为存储帐户提供指标数据。您可以使用此数据跟踪请求、分析使用趋势并诊断存储帐户的问题。Storage Analytics记录有关向存储服务成功和失败的请求的详细信息。此信息可用于监视单个请求并诊断存储服务的问题。请求以尽力为基础进行记录。记录以下类型的经过身份验证的请求：

• 请求成功。
• 失败的请求，包括超时、限制、网络、授权和其他错误。
• 使用共享访问签名（SAS）的请求，包括失败和成功的请求。
• 请求分析数据。
   

使用CORS启用基于浏览器的客户端

跨源资源共享（CORS）是一种机制，允许域相互授予访问彼此资源的权限。User-Agent发送额外的标头，以确保允许从某个域加载的JavaScript代码访问位于另一个域的资源。然后，后一个域用额外的标头进行回复，允许或拒绝原始域访问其资源。

Azure存储服务现在支持CORS，因此，一旦您为服务设置了CORS规则，就会评估来自不同域的针对该服务的正确身份验证请求，以确定是否根据您指定的规则允许该请求。

网络

本节提供有关Azure网络安全中关键功能的其他信息以及有关这些功能的摘要信息。

网络层控制

网络访问控制是限制特定设备或子网之间的连接的行为，是网络安全的核心。网络访问控制的目标是确保只有您希望访问的用户和设备才能访问您的虚拟机和服务。

网络安全组

网络安全组（NSG）是一种基本的有状态数据包过滤防火墙，它使您能够基于5元组控制访问。NSG不提供应用层检查或经过身份验证的访问控制。它们可用于控制Azure虚拟网络内子网之间的流量以及Azure虚拟网络和互联网之间的流量。

Azure防火墙

Azure防火墙是一种云原生智能网络防火墙安全服务，为在Azure中运行的云工作负载提供威胁防护。它是一个完全有状态的防火墙即服务，具有内置的高可用性和不受限制的云可扩展性。它提供东西和南北交通检查。

Azure防火墙提供两种SKU：标准版和高级版。Azure防火墙标准直接从Microsoft网络安全提供L3-L7过滤和威胁情报。Azure防火墙高级版提供高级功能，包括基于签名的IDPS，通过查找特定模式快速检测攻击。

路线控制和强制隧道施工

控制Azure虚拟网络上路由行为的能力是一项关键的网络安全和访问控制功能。例如，如果你想确保所有进出Azure虚拟网络的流量都通过该虚拟安全设备，你需要能够控制和自定义路由行为。您可以通过在Azure中配置用户定义路由来实现这一点。

用户定义路由允许您为进出单个虚拟机或子网的流量自定义入站和出站路径，以确保尽可能安全的路由。强制隧道是一种机制，您可以使用它来确保您的服务不允许启动与互联网上设备的连接。

这与能够接受传入连接然后对其进行响应不同。前端web服务器需要响应来自Internet主机的请求，因此允许来自Internet的流量入站到这些web服务器，web服务器可以响应。

强制隧道通常用于强制互联网的出站流量通过本地安全代理和防火墙。

虚拟网络安全设备

虽然网络安全组、用户定义路由和强制隧道在OSI模型的网络和传输层为您提供了一定程度的安全性，但有时您可能希望在堆栈的更高级别启用安全性。您可以使用Azure合作伙伴网络安全设备解决方案访问这些增强的网络安全功能。您可以通过访问Azure Marketplace并搜索“安全”和“网络安全”来找到最新的Azure合作伙伴网络安全解决方案

Azure虚拟网络

Azure虚拟网络（ExpressRoute）是云中您自己的网络的表示。它是专用于订阅的Azure网络结构的逻辑隔离。您可以完全控制此网络中的IP地址块、DNS设置、安全策略和路由表。您可以将ListView划分为子网，并将Azure IaaS虚拟机（VM）和/或云服务（PaaS角色实例）放置在Azure虚拟网络上。

此外，您可以使用Azure中可用的连接选项之一将虚拟网络连接到本地网络。本质上，您可以将网络扩展到Azure，并利用Azure提供的企业级优势完全控制IP地址块。

Azure网络支持各种安全的远程访问场景。其中一些包括：

• 将单个工作站连接到Azure虚拟网络
• 使用VPN将本地网络连接到Azure虚拟网络
• 使用专用WAN链接将本地网络连接到Azure虚拟网络
• 将Azure虚拟网络相互连接

Azure虚拟网络管理器

Azure虚拟网络管理器提供了一个集中式解决方案，用于大规模保护您的虚拟网络。它使用安全管理规则为整个组织的虚拟网络集中定义和执行安全策略。安全管理规则优先于网络安全组（NSG）规则，并应用于虚拟网络。这允许组织使用安全管理规则执行核心策略，同时仍使下游团队能够根据子网和NIC级别的特定需求定制NSG。根据组织的需要，您可以使用“允许”、“拒绝”或“始终允许”规则操作来强制执行安全策略。

Rule Action	Description
Allow	Allows the specified traffic by default. Downstream NSGs still receive this traffic and may deny it.
Always Allow	Always allow the specified traffic, regardless of other rules with lower priority or NSGs. This can be used to ensure that monitoring agent, domain controller, or management traffic is not blocked.
Deny	Block the specified traffic. Downstream NSGs will not evaluate this traffic after being denied by a security admin rule, ensuring your high-risk ports for existing and new virtual networks are protected by default.

在Azure Virtual Network Manager中，网络组允许您将虚拟网络分组在一起，以便集中管理和执行安全策略。网络组是基于拓扑和安全角度的需求对虚拟网络进行的逻辑分组。您可以手动更新网络组的虚拟网络成员资格，也可以使用Azure策略定义条件语句来动态更新网络组，以自动更新您的网络组成员资格。

Azure专用链接

Azure私有链接使您能够通过私有端点在虚拟网络中私有访问Azure PaaS服务（例如，Azure存储和SQL数据库）和Azure托管的客户拥有/合作伙伴服务。使用Azure Private Link的设置和使用在Azure PaaS、客户拥有和共享合作伙伴服务中是一致的。从虚拟网络到Azure服务的流量始终保持在Microsoft Azure骨干网络上。

专用端点[Private Endpoints ]允许您将关键的Azure服务资源仅保护到虚拟网络。Azure Private Endpoint使用您的ExpressRoute中的私有IP地址，将您私密安全地连接到由Azure Private Link提供支持的服务，从而有效地将该服务引入您的ExpressRoute。使用Azure上的服务不再需要将虚拟网络暴露给公共互联网。

您还可以在虚拟网络中创建自己的专用链接服务。Azure专用链接服务[Azure Private Link service]是对由Azure专用链接提供支持的您自己的服务的引用。您在Azure标准负载均衡器后面运行的服务可以启用私有链接访问，以便您的服务的消费者可以从他们自己的虚拟网络私有访问它。您的客户可以在其虚拟网络内创建一个专用端点，并将其映射到此服务。在Azure上提供服务不再需要向公共互联网公开您的服务。

VPN网关

若要在Azure虚拟网络和本地站点之间发送网络流量，必须为Azure虚拟网络创建VPN网关。VPN网关是一种通过公共连接发送加密流量的虚拟网络网关。您还可以使用VPN网关通过Azure网络结构在Azure虚拟网络之间发送流量。

快速路线[ExpressRoute]

Microsoft Azure ExpressRoute是一个专用的广域网链接，允许您通过连接提供商提供的专用私有连接将本地网络扩展到Microsoft云中。

快速路线

使用ExpressRoute，您可以建立与Microsoft云服务（如Microsoft Azure、Microsoft 365和CRM Online）的连接。连接可以是从任意到任意（IP VPN）网络、点对点以太网或通过共置设施的连接提供商的虚拟交叉连接。

ExpressRoute连接不通过公共互联网，因此可以认为比基于VPN的解决方案更安全。这使得ExpressRoute连接比互联网上的典型连接提供更高的可靠性、更快的速度、更低的延迟和更高的安全性。

应用网关

Microsoft Azure应用程序网关提供应用程序交付控制器（ADC）即服务，为您的应用程序提供各种第7层负载平衡功能。

应用网关

它允许您通过将CPU密集型TLS终止卸载到应用程序网关（也称为“TLS卸载”或“TLS桥接”）来优化web场生产力。它还提供了其他第7层路由功能，包括传入流量的轮询分布、基于cookie的会话相关性、基于URL路径的路由，以及在单个应用程序网关后托管多个网站的能力。Azure应用程序网关是一个第7层负载均衡器。

它提供故障转移，在不同服务器之间路由HTTP请求，无论它们是在云端还是在本地。

应用程序提供了许多应用程序交付控制器（ADC）功能，包括HTTP负载平衡、基于cookie的会话亲和性、TLS卸载、自定义健康探测、支持多站点等。

Web应用程序防火墙

Web应用程序防火墙是Azure应用程序网关的一项功能，它为使用应用程序网关执行标准应用程序交付控制（ADC）功能的Web应用程序提供保护。Web应用程序防火墙通过保护它们免受OWASP十大常见Web漏洞的侵害来实现这一点。

Web应用程序防火墙

• SQL注入保护
• 常见的Web攻击保护，如命令注入、HTTP请求走私、HTTP响应拆分和远程文件包含攻击
• 防止HTTP协议违规
• 防止HTTP协议异常，如缺少主机用户代理和接受标头
• 防止机器人、爬虫和扫描仪
• 检测常见的应用程序配置错误（即Apache、IIS等）

集中式web应用程序防火墙可防止web攻击，使安全管理更加简单，并为应用程序抵御入侵威胁提供了更好的保证。WAF解决方案还可以通过在中心位置修补已知漏洞来更快地应对安全威胁，而不是保护每个单独的web应用程序。现有的应用网关可以很容易地转换为具有web应用防火墙的应用网关。

流量管理器[Traffic Manager]

Microsoft Azure流量管理器允许您控制不同数据中心中服务端点的用户流量分布。Traffic Manager支持的服务端点包括Azure虚拟机、Web应用程序和云服务。您还可以将流量管理器用于外部非Azure端点。Traffic Manager使用域名系统（DNS）根据流量路由方法和端点的健康状况将客户端请求定向到最合适的端点。

Traffic Manager提供了一系列流量路由方法，以满足不同的应用程序需求、端点健康监控和自动故障转移。Traffic Manager对故障具有弹性，包括整个Azure区域的故障。

Azure负载平衡器

Azure负载均衡器为您的应用程序提供高可用性和网络性能。它是一个第4层（TCP、UDP）负载均衡器，在负载平衡集中定义的健康服务实例之间分配传入流量。Azure负载平衡器可以配置为：

• 对虚拟机的传入Internet流量进行负载平衡。这种配置被称为公共负载平衡。
• 虚拟网络中的虚拟机之间、云服务中的虚拟机器之间，或跨本地虚拟网络中本地计算机和虚拟机之间的负载平衡流量。这种配置称为内部负载平衡。
• 将外部流量转发到特定虚拟机

内部DNS

您可以在管理门户或网络配置文件中管理在ExpressRoute中使用的DNS服务器列表。客户最多可以为每个ExpressRoute添加12个DNS服务器。在指定DNS服务器时，重要的是要验证您是否按照客户环境的正确顺序列出了客户的DNS服务器。DNS服务器列表不能循环工作。它们按照指定的顺序使用。如果能够访问列表中的第一个DNS服务器，则客户端将使用该DNS服务器，而不管DNS服务器是否正常运行。要更改客户虚拟网络的DNS服务器顺序，请从列表中删除DNS服务器，然后按照客户想要的顺序重新添加。DNS支持“CIA”安全三元组的可用性方面。

Azure DNS

域名系统或DNS负责将网站或服务名称转换（或解析）为其IP地址。Azure DNS是DNS域的托管服务，使用Microsoft Azure基础架构提供名称解析。通过在Azure中托管域，您可以使用与其他Azure服务相同的凭据、API、工具和计费来管理DNS记录。DNS支持“CIA”安全三元组的可用性方面。

Azure监视器记录NSG

您可以为NSG启用以下诊断日志类别：

• 事件：包含根据MAC地址将NSG规则应用于VM和实例角色的条目。这些规则的状态每60秒收集一次。
• 规则计数器：包含每个NSG规则应用于拒绝或允许流量的次数。

微软云卫士

Microsoft Defender for Cloud持续分析Azure资源的安全状态，以获取网络安全最佳实践。当Defender for Cloud识别出潜在的安全漏洞时，它会创建建议，指导您完成配置所需控制的过程，以加强和保护您的资源。

计算

本节提供了有关此领域关键功能的更多信息以及有关这些功能的摘要信息。

Azure机密计算【Azure confidential computing】

Azure机密计算提供了数据保护难题中最后一块缺失的部分。它允许您始终对数据进行加密。在静止时，在通过网络运动时，现在，甚至在加载到内存和使用时。此外，通过使远程认证成为可能，它允许您在解锁数据之前，通过加密验证您提供的VM是否已安全启动并且配置正确。

选项范围从启用现有应用程序的“升降”场景到完全控制安全功能。对于基础设施即服务（IaaS），您可以使用由AMD SEV-SNP驱动的机密虚拟机，或者为运行英特尔软件保护扩展（SGX）的虚拟机使用机密应用程序包。对于平台即服务，我们有多个基于容器的选项，包括与Azure Kubernetes Service（AKS）的集成。

反恶意软件和防病毒软件

借助Azure IaaS，您可以使用来自微软、赛门铁克、趋势科技、迈克菲和卡巴斯基等安全供应商的反恶意软件来保护您的虚拟机免受恶意文件、广告软件和其他威胁。Microsoft针对Azure云服务和虚拟机的反恶意软件是一种保护功能，可帮助识别和删除病毒、间谍软件和其他恶意软件。当已知的恶意或不需要的软件试图在Azure系统上自行安装或运行时，Microsoft Antimalware会提供可配置的警报。Microsoft反恶意软件也可以使用Microsoft Defender for Cloud进行部署

硬件安全模块

除非密钥本身受到保护，否则加密和身份验证并不能提高安全性。您可以通过将关键机密和密钥存储在Azure密钥库中来简化其管理和安全性。密钥库提供将密钥存储在经过FIPS 140验证标准认证的硬件安全模块（HSM）中的选项。用于备份或透明数据加密的SQL Server加密密钥都可以与应用程序中的任何密钥或机密一起存储在密钥库中。对这些受保护项目的权限和访问是通过Microsoft Entra ID进行管理的。

虚拟机备份

Azure Backup是一种以零资本投资和最低运营成本保护您的应用程序数据的解决方案。应用程序错误可能会损坏您的数据，人为错误可能会在您的应用程序中引入错误，从而导致安全问题。使用Azure Backup，运行Windows和Linux的虚拟机将受到保护。

Azure站点恢复

您组织的业务连续性/灾难恢复（BCDR）战略的一个重要部分是弄清楚如何在发生计划内和计划外停机时保持公司工作负载和应用程序的正常运行。Azure Site Recovery有助于协调工作负载和应用程序的复制、故障转移和恢复，以便在主位置发生故障时可以从辅助位置访问它们。

SQL-VM-TDE

透明数据加密（TDE）和列级加密（CLE）是SQL server加密功能。这种加密形式要求客户管理和存储您用于加密的加密密钥。

Azure密钥库（AKV）服务旨在提高这些密钥在安全和高可用位置的安全性和管理。SQL Server连接器使SQL Server能够使用Azure密钥库中的这些密钥。

如果您使用本地计算机运行SQL Server，则可以按照以下步骤从本地SQL Server实例访问Azure密钥库。但对于Azure VM中的SQL Server，您可以通过使用Azure密钥库集成功能来节省时间。通过几个Azure PowerShell cmdlet启用此功能，您可以自动配置SQL VM访问密钥库所需的配置。

VM磁盘加密

适用于Linux虚拟机的Azure磁盘加密和适用于Windows虚拟机的Microsoft Azure磁盘加密可帮助您加密IaaS虚拟机磁盘。它应用了Windows的行业标准BitLocker功能和Linux的DM Crypt功能，为操作系统和数据磁盘提供卷加密。该解决方案与Azure密钥库集成，可帮助您控制和管理密钥库订阅中的磁盘加密密钥和机密。该解决方案还确保虚拟机磁盘上的所有数据在Azure存储中静态加密。

虚拟网络

虚拟机需要网络连接。为了满足这一要求，Azure要求虚拟机连接到Azure虚拟网络。Azure虚拟网络是构建在物理Azure网络结构之上的逻辑构造。每个逻辑Azure虚拟网络都与所有其他Azure虚拟网络隔离。这种隔离有助于确保其他Microsoft Azure客户无法访问部署中的网络流量。

补丁更新

补丁更新为查找和修复潜在问题提供了基础，并简化了软件更新管理过程，既减少了必须在企业中部署的软件更新数量，又提高了监控合规性的能力。

安全策略管理和报告

Defender for Cloud可帮助您预防、检测和应对威胁，并为您提供对Azure资源安全性的更高可见性和控制。它为您的Azure订阅提供集成的安全监控和策略管理，帮助检测可能被忽视的威胁，并与广泛的安全解决方案生态系统协同工作。

身份和访问管理

保护系统、应用程序和数据始于基于身份的访问控制。内置于Microsoft业务产品和服务中的身份和访问管理功能有助于保护您的组织和个人信息免受未经授权的访问，同时使合法用户随时随地都可以使用。

安全身份

Microsoft在其产品和服务中使用多种安全实践和技术来管理身份和访问。

• 多因素身份验证要求用户在本地和云中使用多种访问方法。它提供了一系列易于验证的强大身份验证选项，同时为用户提供了一个简单的登录过程。
• Microsoft Authenticator提供了一种用户友好的多因素身份验证体验，适用于Microsoft Entra ID和Microsoft帐户，并包括对可穿戴设备和基于指纹的批准的支持。
• 密码策略实施通过强制长度和复杂性要求、强制定期轮换以及在身份验证尝试失败后锁定帐户，提高了传统密码的安全性。
• 基于令牌的身份验证允许通过Microsoft Entra ID进行身份验证。
• Azure基于角色的访问控制（Azure RBAC）使您能够根据用户分配的角色授予访问权限，从而可以轻松地只授予用户执行工作职责所需的访问权限。您可以根据组织的业务模型和风险承受能力自定义Azure RBAC。
• 集成身份管理（混合身份）使您能够跨内部数据中心和云平台保持对用户访问的控制，为所有资源的身份验证和授权创建一个单一的用户身份。

安全的应用程序和数据

Microsoft Entra ID是一个全面的身份和访问管理云解决方案，有助于保护对现场和云中应用程序中数据的访问，并简化用户和组的管理。它结合了核心目录服务、高级身份治理、安全性和应用程序访问管理，使开发人员能够轻松地在他们的应用程序中构建基于策略的身份管理。为了增强您的Microsoft Entra ID，您可以使用Microsoft Entra Basic、Premium P1和Premium P2版本添加付费功能。

Free / Common Features	Basic Features	Premium P1 Features	Premium P2 Features	Microsoft Entra join – Windows 10 only related features
Directory Objects, User/Group Management (add/update/delete)/ User-based provisioning, Device registration, single sign-on (SSO), Self-Service Password Change for cloud users, Connect (Sync engine that extends on-premises directories to Microsoft Entra ID), Security / Usage Reports	Group-based access management / provisioning, Self-Service Password Reset for cloud users, Company Branding (Logon Pages/Access Panel customization), Application Proxy, SLA 99.9%	Self-Service Group and app Management/Self-Service application additions/Dynamic Groups, Self-Service Password Reset/Change/Unlock with on-premises write-back, Multi-Factor Authentication (Cloud and On-premises (MFA Server)), MIM CAL + MIM Server, Cloud App Discovery, Connect Health, Automatic password rollover for group accounts	Identity Protection, Privileged Identity Management	Join a device to Microsoft Entra ID, Desktop SSO, Microsoft Passport for Microsoft Entra ID, Administrator BitLocker recovery, MDM auto-enrollment, Self-Service BitLocker recovery, Additional local administrators to Windows 10 devices via Microsoft Entra join

• Cloud App Discovery是Microsoft Entra ID的高级功能，使您能够识别组织中员工使用的云应用程序。
• Microsoft Entra ID Protection是一种安全服务，它使用Microsoft Entra异常检测功能来提供对可能影响您组织身份的风险检测和潜在漏洞的综合视图。
• Microsoft Entra域服务使您能够将Azure VM加入域，而无需部署域控制器。用户使用其公司Active Directory凭据登录到这些虚拟机，并可以无缝访问资源。
• Azure Active Directory B2C是面向消费者的应用程序的高可用性全球身份管理服务，可以扩展到数亿个身份，并跨移动和web平台集成。您的客户可以通过使用现有社交媒体帐户的可定制体验登录您的所有应用程序，或者您可以创建新的独立凭据。
• Microsoft Entra B2B Collaboration是一种安全的合作伙伴集成解决方案，通过使合作伙伴能够使用其自我管理的身份有选择地访问您的企业应用程序和数据，从而支持您的跨公司关系。
• Microsoft Entra的加入使您能够将云功能扩展到Windows 10设备进行集中管理。它使用户可以通过Microsoft Entra ID连接到企业或组织云，并简化了对应用程序和资源的访问。
• Microsoft Entra应用程序代理为本地托管的web应用程序提供SSO和安全的远程访问。

下一步

• Understand your shared responsibility in the cloud.

• Learn how Microsoft Defender for Cloud can help you prevent, detect, and respond to threats with increased visibility and control over the security of your Azure resources.