什么是微软云以及如何安全地迁移到微软云上

控制。分段。自动化。

Microsoft^® Azure^® 是一个灵活的企业级云计算平台，可帮助组织应对不断增长的数据 中心 需求，并具有灵活性、可扩展性和全球覆盖性等额外优势。

大多数涉足云的组织都采用混合架构，基本上是通过安全连接将企业网络扩展到 Azure。但是，这种方法在带来额外好处的同时，也带来了安全挑战，而这些挑战往往与本地部署数据中心所面临的挑战并无二致。虽然与基于物理网络的部署相比，Azure 部署所承载的应用程序可能较少，但攻击者在实现其恶意目标方面并不会区别对待。因此，保护您的 Azure 部署免受威胁至关重要。

组织可以实施以下安全实践，将其物理数据中心安全地扩展到 Microsoft Azure 公共云中。

1.控制对 Azure 部署的访问权限

作为原生 Azure 安全措施的补充，可部署 的新一代防火墙 ，以保护 Azure 环境中的工作负载和数据。

• 设置政策，根据用户凭证和需求授予不同环境的访问权限
• 随着越来越多的工作负载被部署到 Azure 云中，需要进行更多的应用程序更新。实施互联网网关安全策略，允许工作负载直接将更新路由到互联网，省去了第一步，而不是先通过企业网络将更新输送到基于互联网的资源。这样既能提高效率，又能对进出 Azure 环境的应用程序保持严格控制。

2.细分你的 Azure 部署，提高安全性和合规性

就像物理数据中心一样，分段策略和基于应用的策略（包括威胁预防技术）可用于阻止攻击进入工作负载，并阻止攻击在工作负载间横向移动。

• 建立基于应用程序的策略，强制应用程序在默认端口上运行，从而应用分段技术提高安全性。隐含地执行新一代防火墙所基于的 "拒绝其他一切 "前提，以减少攻击面。
• 为了保持合规性，分段策略可让您控制不同子网和 VNet 之间的应用程序通信，同时将它们与数据源分开。

3.简化管理并实现 Azure 部署自动化

云计算的一个关键优势是能够更加灵活，通过自动化快速响应功能更新或全新的应用程序部署。

• 集中式网络安全管理系统有助于确保物理和虚拟防火墙部署的策略一致性和连贯性。
• 以引导和动态策略更新为形式的自动化可帮助缓解受控更新流程造成的瓶颈，从而使安全与业务保持同步。

要了解更多信息，请阅读 Securing Your Microsoft Environment 白皮书。