什麼是 Microsoft 雲，以及如何安全遷移到 Microsoft 雲上

控制。區段。自動化。

Microsoft^® Azure^® 是一個彈性的企業級雲運算平台，可協助組織因應不斷成長的資料 中心 需求，並具備敏捷性、可擴充性和全球性等優點。

大多數進軍雲端的組織都採用混合架構，基本上是透過安全連線將企業網路延伸至 Azure。但是，這種方法在帶來額外好處的同時，也帶來了安全上的挑戰，而這些挑戰通常與本地部署資料中心所面臨的挑戰並無二致。雖然 Azure 部署的應用程式可能比基於實體網路的應用程式少，但攻擊者在達成其惡意目標方面並不會有所區別。因此，保護您的 Azure 部署免受威脅至關重要。

組織可以實施後述的安全實作，將實體資料中心安全地延伸至 Microsoft Azure 公有雲。

1.控制 Azure 部署的存取權限

作為本機 Azure 安全措施的補充，可部署 新一代防火牆 以保護 Azure 環境中的工作負載和資料。

• 根據使用者的憑證和需求，設定授予不同環境存取權限的政策
• 隨著 Azure 雲中部署的工作負載越來越多，需要更新的應用程式也越來越多。與其先將更新透過企業網路傳送，然後再傳送至網際網路資源，不如實施網際網路閘道安全政策，讓工作負載直接將更新路由至網際網路，省去第一步。這樣既能提高效率，又能對進出 Azure 環境的應用程式保持嚴格控制。

2.區分您的 Azure 部署以提高安全性和合規性

就像實體資料中心一樣，分割政策和應用程式型政策（包括 Threat Prevention 技術）可用於阻止攻擊存取您的工作負載，並阻止攻擊在工作負載間橫向移動。

• 透過建立應用程式政策，強制應用程式在預設連接埠上運作，以應用分割來改善安全性。隱含地強制執行新一代防火牆所依據的「拒絕其他一切」前提，以減少攻擊面。
• 為了維持合規性，分割政策可讓您控制跨不同子網路以及 VNets 之間的應用程式通訊，同時將它們與資料來源分開。

3.簡化管理並自動執行 Azure 部署

雲運算的一個主要優點是能夠更加靈活，透過自動化快速回應功能更新或全新應用程式的部署。

• 集中式網路安全管理系統有助於確保實體和虛擬防火牆部署的政策一致性和連貫性。
• 以 Bootstrapping 和動態政策更新形式實現的自動化，有助於緩解受控更新流程所造成的瓶頸問題，使安全性能夠與業務保持同步。

若要瞭解更多資訊，請閱讀 Securing Your Microsoft Environment 白皮書。