Azure 安全性管理和監視概觀

本文提供 Azure 提供的安全性功能和服務概觀，以協助管理和監視 Azure 雲端服務和虛擬機器。

Azure 角色型存取控制

Azure 角色型存取控制 （Azure RBAC） 提供 Azure 資源的詳細存取管理。 藉由使用 Azure RBAC，您可以只授與人員執行其工作所需的存取量。 Azure RBAC 也可以協助您確保當人員離開組織時，他們無法存取雲端中的資源。

深入了解：

• Azure 角色型存取控制 (Azure RBAC)

反惡意程式碼

透過 Azure，您可以從 Microsoft、Symantec、Trend Micro、McAfee 和卡巴斯基等主要安全性廠商使用反惡意程式碼軟體。 此軟體可協助保護您的虛擬機器免于惡意檔案、廣告軟體和其他威脅。

適用于 Azure 雲端服務 和 虛擬機器 的 Microsoft Antimalware 可讓您同時為 PaaS 角色和虛擬機器安裝反惡意程式碼代理程式。 此功能以 System Center Endpoint Protection 為基礎，將經過實證的內部部署安全性技術帶入雲端。

Azure 上也支援 Symantec Endpoint Protection （SEP）。 透過入口網站整合，您可以指定您想要在 VM 上使用 SEP。 SEP 可以透過 Azure 入口網站 安裝在新的 VM 上，也可以透過 PowerShell 安裝在現有的 VM 上。

深入了解：

• 適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware
• 保護 Azure 虛擬機器 的新反惡意程式碼選項

多重要素驗證

Microsoft Entra 多重要素驗證是一種驗證方法，需要使用多個驗證方法。 它會將重要的第二層安全性新增至使用者登入和交易。

多重要素驗證有助於保護對資料和應用程式的存取，同時滿足使用者對簡單登入程式的需求。 它會透過一系列驗證選項（電話、簡訊或行動代理程式更新或驗證碼）和協力廠商 OATH 權杖來提供增強式驗證。

深入了解：

• 多重要素驗證
• Microsoft Entra 多重要素驗證的運作方式

ExpressRoute

您可以使用 Azure ExpressRoute，透過連線提供者所促進的專用私人連線，將內部部署網路延伸至 Microsoft Cloud。 透過 ExpressRoute，您可以建立與 Microsoft 雲端服務的連線，例如 Azure、Microsoft 365 和 CRM Online。 連線性可以是：

• 任意對任意 （IP VPN） 網路。
• 點對點乙太網路。
• 透過共同位置設施連線提供者的虛擬交叉連線。

ExpressRoute 連線不會經過公用網際網路。 它們可提供比透過網際網路一般連線更高的可靠性、更快的速度、較低的延遲和更高的安全性。

深入了解：

• ExpressRoute 技術概觀

虛擬網路閘道

VPN 閘道也稱為 Azure 虛擬網路閘道，可用來在虛擬網路與內部部署位置之間傳送網路流量。 它們也可用來在 Azure 內的多個虛擬網路之間傳送流量（網路到網路）。 VPN 閘道可在 Azure 與基礎結構之間提供安全的跨單位連線。

深入了解：

• 關於 VPN 閘道
• Azure 網路安全性概觀

Privileged Identity Management

有時候使用者需要在 Azure 資源或其他 SaaS 應用程式中執行特殊許可權作業。 這通常表示組織在 Microsoft Entra ID 中給予他們永久特殊許可權存取權。

對於雲端裝載的資源而言，這是日益嚴重的安全性風險，因為組織無法充分監視這些使用者使用其特殊許可權存取來執行哪些動作。 此外，如果具有特殊許可權存取權的使用者帳戶遭到入侵，該缺口可能會影響組織的整體雲端安全性。 Microsoft Entra Privileged Identity Management 可藉由降低許可權的曝光時間及提高使用量的可見度，協助解決此風險。

Privileged Identity Management 引進角色或「Just-In-Time」系統管理員存取的暫時系統管理員概念。 這類系統管理員是需要完成該指派角色啟用程式的使用者。 啟用程式會將使用者的指派變更為 Microsoft Entra 識別碼中的角色，從非使用中變更為作用中，以指定時間週期。

深入了解：

• Microsoft Entra Privileged Identity Management
• 開始使用 Privileged Identity Management

身分識別保護

Microsoft Entra ID Protection 提供可疑登入活動的合併檢視，以及協助保護您的企業的潛在弱點。 Identity Protection 會根據下列訊號來偵測使用者和特殊許可權（系統管理員）身分識別的可疑活動：

• 暴力密碼破解攻擊。
• 認證外泄。
• 來自不熟悉位置和受感染裝置的登入。

藉由提供通知和建議的補救，Identity Protection 可協助即時降低風險。 它會計算使用者風險嚴重性。 您可以設定風險型原則，以自動協助保護應用程式存取不受未來威脅的影響。

深入了解：

• Microsoft Entra ID Protection

Defender for Cloud

適用於雲端的 Microsoft Defender可協助您防止、偵測及回應威脅。 適用於雲端的 Defender可讓您更瞭解及控制 Azure 資源的安全性，以及混合式雲端環境中的安全性。

適用於雲端的 Defender會執行連線資源的持續安全性評估，並比較其設定和部署與 Microsoft 雲端安全性基準測試 可提供專為您環境量身打造的詳細安全性建議。

適用於雲端的 Defender可透過下列方式協助您優化和監視 Azure 資源的安全性：

• 可讓您根據：
  • 貴組織的安全性需求。
  • 每個訂用帳戶中資料的應用程式類型或敏感度。
  • 您套用至訂用帳戶的任何產業或法規標準或基準。
• 監視 Azure 虛擬機器、網路和應用程式的狀態。
• 提供已排定優先順序的安全性警示清單，包括來自整合式合作夥伴解決方案的警示。 它也提供您需要快速調查攻擊的資訊，以及如何補救攻擊的建議。

深入了解：

• 適用於雲端的 Microsoft Defender簡介
• 在 適用於雲端的 Microsoft Defender 中改善您的安全分數

後續步驟

瞭解 共用責任模型 ，以及 Microsoft 處理哪些安全性工作，以及由您處理哪些工作。

如需安全性管理的詳細資訊，請參閱 Azure 中的安全性管理。