Azure 安全性效能評定基礎藍圖範例的概觀
重要
在 2026 年 7 月 11 日,藍圖 (預覽) 將會淘汰。 將現有的藍圖定義和指派移轉至範本規格和部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要了解如何將成品撰寫為 ARM 資源,請參閱:
Azure 安全性效能評定基礎藍圖範例提供一組基準基礎結構模式,可協助您建置安全且相容的 Azure 環境。 此藍圖可協助您部署雲端式架構,進而將解決方案提供給有認證或合規性需求的案例。 其會部署和設定網路界限、監視和其他資源,以配合 Azure 安全性效能評定中定義的原則和其他規範。
架構
此藍圖範例所建立的基礎環境是以中樞和輪輻模型的架構主體為基礎。 藍圖會部署中樞虛擬網路,其中包含用於連線、管理和跳躍箱子網路的常見共用資源、服務和成品 (例如 Azure Bastion、閘道和防火牆),以託管其他/選擇性管理、維護、管理和連線基礎結構。 也會部署一個或多個輪輻虛擬網路來託管應用程式工作負載,例如 Web 和資料庫服務。 輪輻虛擬網路會使用 Azure 虛擬網路對等互連來連線到中樞虛擬網路,以提供順暢且安全的連線。 您可以重新指派範例藍圖,或手動建立 Azure 虛擬網路並將其與中樞虛擬網路對等互連,以新增其他輪輻。 輪輻虛擬網路和子網路的所有外部連線都會設定為透過中樞虛擬網路、防火牆、閘道和管理跳躍箱進行路由。
此藍圖會部署數個 Azure 服務,以提供受到監視的企業級安全基礎。 此環境包含:
- Azure 監視器記錄和 Azure 儲存體帳戶,可確保資源記錄、活動記錄、計量和網路流量會儲存在集中位置,以便輕鬆查詢、分析、封存和警示。
- Azure 資訊安全中心 (標準版本),可為 Azure 資源提供威脅防護。
- 中樞內的 Azure 虛擬網路,支援連線回內部部署網路的子網路、用於網際網路連線的輸入和輸出堆疊到,以及用於部署其他系統管理或管理服務的選擇性子網路。 輪輻中的虛擬網路包含託管應用程式工作負載的子網路。 您可以視需要在部署後建立其他子網路來支援適用的案例。
- Azure 防火牆,用於路由所有輸出網際網路流量,以及透過跳躍箱啟用輸入網際網路流量。 (預設防火牆規則會封鎖所有網際網路輸入和輸出流量,必須在部署之後設定規則 (如適用)。)
- 指派給所有子網路的網路安全性群組 (NSG),為封鎖所有網際網路輸入和輸出流量而設定 (但服務擁有的子網路除外,例如 Azure Bastion、閘道和 Azure 防火牆)。
- 應用程式安全性群組,可群組 Azure 虛擬機器以套用常見的網路安全性原則。
- 路由表,可透過防火牆從子網路由所有輸出網際網路流量。 (必須在部署之後設定 Azure 防火牆和 NSG 規則,才能開啟連線。)
- Azure 網路監看員,可讓您監視、診斷及檢視 Azure 虛擬網路中的資源計量。
- Azure DDoS 保護,可保護 Azure 資源免於遭受 DDoS 攻擊。
- Azure Bastion,可為不需要公用 IP 位址、代理程式或特殊用戶端軟體的虛擬機器提供順暢且安全的連線。
- Azure VPN 閘道,可透過公用網際網路在 Azure 虛擬網路和內部部署位置之間啟用加密流量。
注意
Azure 安全性效能評定基礎會配置工作負載的基礎架構。 上述架構圖包含數個表示資源,用於示範子網路的可能用法。 您仍需要以此基礎架構為基礎來部署工作負載。
下一步
您已檢閱 Azure 安全性效能評定基礎基礎藍圖範例的概觀和架構。
有關藍圖及其使用方式的其他文件: