Azure网络安全.PDFVIP

Azure 网络安全 Azure 网络安全 第 1 页 Azure 网络安全 摘要 本白皮书介绍了如何通过增强网络通讯安全性以更好地保护 Azure 中部署的虚拟基础架构，以及数据和应 用程序。 本白皮书的目标读者包括： • 对于在 Azure 中部署应用程序感兴趣的 IT 和网络管理员 • 对于创建在 Azure 中运行的应用程序感兴趣的开发者 • 考虑用 Azure 为新增或现有服务提供支持的技术决策者（TDM ） 注意：本文包含的一些建议可能增加数据、网络，或计算资源的使用量，进而导致您的许可或订阅成本增 加。 第 3 版，发布于 2015 年 2 月 (c) 2015 Microsoft Corporation。保留所有权利。本文档“依原样”提供。本文所含信息与表达的观点，包括引用的网站地 址，若有更改恕不另行通知。您在使用时应自担风险。本文包含的一些示例纯属虚构，仅供说明之用。无意进行任何实际关 联，也不应做此推断。 本文档不向您提供对任何微软产品中的任何知识产权的任何法律权利。您可以出于内部参考目的复制和使用本文档。 第 2 页 Azure 网络安全 目录 1 概述4 2 Azure 虚拟机保护指南4 2.1 私有网络4 2.1.1 启用互联网通讯5 2.1.2 通讯的保护6 2.2 安全管理和威胁防范9 3 Azure 云服务保护指南 11 4 总结 13 5 参考资源和后续阅读 14 6 附件：深入了解 Azure 网络安全 15 6.1 多层保护 15 6.2 隔离 16 第 3 页 Azure 网络安全 1 概述 Azure 网络提供了将虚拟机 （VM ）安全地连接在一起所需的基础架构，可充当云环境和on-premises 数据 中心之间的桥梁。 Azure 的网络服务按照设计可提供最大程度的灵活性、可用性、适应性、安全性以及完整性。本白皮书详细 介绍了 Azure 的网络功能，并告诉客户如何使用 Azure 的原生安全功能保护自己的信息资产。 2 Azure 虚拟机保护指南 由世纪互联运营的Microsoft Azure 是一个多租户平台，使用位于北京和上海的数据中心的共享基础架构为 客户的并发访问提供支持。因为 Azure 的共享基础架构中运行着大量的活跃虚拟机，网络通讯的安全和机 密性保护就显得尤为重要。 Azure 虚拟网络配合使用逻辑隔离、防火墙、访问控制、身份验证，以及加密技术保护传输中的客户数据。 Azure 数据中心的运营遵循了一整套完善的信息安全策略和流程，使用了标准化的行业控制框架，例如 ISO 27001。第三方审计师会定期审核 Azure 基础架构中物理和虚拟部分对这些标准的遵守情况。 在传统数据中心模式下，公司的信息技术（IT）部门控制着联网的系统，包括对网络设备的物理访问。公司 员工或承包商承担部署、配置，以及管理职责，例如网络拓扑的物理调整，路由器设置的改动，防火墙设 备的部署等。 在云服务模式下，网络的保护和管理职责是由云服务供应商和客户共同承担的。客户没有物理访问权限， 他们无法进入云服务供应商的数据中心调整服务器机架的接线，但客户可以通过来宾操作系统（OS ）防火 墙、虚拟网络网关配置，以及虚拟私有网络等工具在自己的云环境内部进行类似的逻辑实施。这种物理和 逻辑的分离使得客户