評估您的零信任安全性態勢
選取類別以開始使用
回答幾個問題,以取得有關貴組織零信任成熟度等級的建議,並查看實用部署資源。
採用主動式方法實現網路安全性
端點 • 問題 1 (共 9 題)
您是否為內部使用者啟用多重要素驗證?
端點 • 問題 2 (共 9 題)
您為使用者啟用哪些形式的無密碼驗證?
端點 • 問題 3 (共 9 題)
哪些使用者群組使用單一登入 (SSO) 佈建?
端點 • 問題 4 (共 9 題)
您使用下列哪一種安全性原則引擎來為企業資源制定存取權決策?
端點 • 問題 5 (共 9 題)
您是否停用舊版驗證?
端點 • 問題 6 (共 9 題)
當評估存取要求時,您是否使用即時使用者和登入風險偵測?
端點 • 問題 7 (共 9 題)
您已將下列哪項技術與身分識別與存取權管理解決方案整合?
端點 • 問題 8 (共 9 題)
您的存取原則使用下列哪一種內容?
端點 • 問題 9 (共 9 題)
您是否使用身分識別安全分數作為指導方針?
實作多重要素驗證。
啟用無密碼驗證。
- 無密碼驗證方式 (例如 Windows Hello 和 Microsoft Authenticator) 為網路和行動裝置提供更簡單也更安全的驗證體驗。根據最近開發的 FIDO2 標準,這些方式讓使用者不需要密碼,即可輕鬆安全地驗證。
- Microsoft 可協助您立即採用無密碼驗證。 下載無密碼驗證資料工作表 以深入了解。
- 如果您已經擁有 Microsoft Entra ID, 請立即了解如何啟用無密碼身份驗證。
實作單一登入 (SSO)。
- SSO 不僅能免除針對同一人管理多項認證的需求來強化安全性,還能透過更少的登入提示來提供更佳的使用者體驗。
- Microsoft Entra ID 為熱門軟體即服務 (SaaS) 應用程式、內部部署應用程式,以及自訂建置的應用程式提供 SSO 體驗 ,這些應用程式位於任何雲端,提供給任何使用者類型及任何身分識別使用。
- 規劃您的 SSO 部署。
透過自適性風險型原則,強制執行存取控制。
- 超越簡單的存取/封鎖決策,並根據風險偏好 (例如,允許存取、封鎖、限制存取,或需要像多重要素驗證等其他證明),量身打造決策。
- 使用 條件式存取 Microsoft Entra ID,以根據使用者內容、裝置、地點,以及工作階段風險資訊,強制執行微調自適性存取控制 (例如需要多重要素驗證)。
- 規劃您的條件式存取部署。
封鎖舊版驗證。
- 惡意動作最常見的攻擊媒介之一,是針對傳統通訊協定 (例如 SMTP) 使用遭竊或重新執行的認證,這些傳統通訊協定無法使用現代安全性挑戰。
- Microsoft Entra 中的條件式存取可協助您封鎖舊版驗證。查看有關 封鎖舊版驗證的詳細資訊。
保護身分識別防範遭入侵。
- 即時風險評定可協助在登入工作階段時以及工作階段期間,防範身分識別洩露。
- Azure 身分識別保護 提供即時持續偵測、自動補救,以及已連線的智慧功能來調查風險性使用者和登入,以處理潛在漏洞。
- 啟用身分識別保護 以開始使用。從 Microsoft 雲端 App 安全性 帶入使用者工作階段資料,在驗證之後,透過可能的風險性使用者行為擴充 Microsoft Entra ID。
以更多資料擴充您的身分識別與存取權管理 (IAM) 解決方案。
- 您為 IAM 解決方案摘要越多資料,您就越能透過精細的存取權決策改進安全性態勢,越深入了解存取公司資源的使用者,您就越能量身打造終端使用者體驗。
- Microsoft Entra ID、 Microsoft 雲端 App 安全性和 適用於端點的 Microsoft Defender 協同工作,提供豐富的信號處理,以便做出更好的決策。
- 在 適用於端點的 Microsoft Defender、 適用於端點的 Microsoft Defender,以及 Microsoft Cloud App Security 中設定條件式存取。
微調您的存取原則。
- 透過風險型自適性存取原則強制執行精細的存取控制,該原則跨端點、應用程式和網路進行整合,更完善地保護您的資料。
- 條件式存取 Microsoft Entra ID 您根據使用者內容、裝置,以及工作階段風險資訊,強制執行微調自適性存取控制 (例如需要多重要素驗證)。
- 微調您的 條件式存取原則。
改善您的身分識別安全性態勢。
- 通過分析環境與 Microsoft 最佳做法安全建議的一致性程度, Microsoft Entra ID 中的身分識別安全分數幫助您評估標識安全狀況。
- 取得您的身分識別安全分數
端點 • 問題 1 (共 7 題)
是否透過身分識別提供者註冊裝置?
端點 • 問題 2 (共 7 題)
是否為內部使用者對裝置註冊行動裝置管理?
端點 • 問題 3 (共 7 題)
在授與存取權之前,受管理的裝置是否必須符合 IT 設定原則?
端點 • 問題 4 (共 7 題)
您是否有可讓使用者從非受管理的裝置連線到組織資源的模型?
端點 • 問題 5 (共 7 題)
是否為外部使用者對裝置註冊行動裝置管理?
端點 • 問題 6 (共 7 題)
您是否在所有受管理和非受管理的裝置上強制執行資料外洩防護原則?
端點 • 問題 7 (共 7 題)
您是否已實施端點威脅偵測以啟用即時裝置風險評估?
透過身分識別提供者註冊您的裝置。
- 為了監控任何人使用多個端點的安全性和風險,您需要查看可能正在存取您資源的所有裝置和存取點。
- 使用 Microsoft Entra ID 註冊裝置,讓您能查看可存取網路的裝置,並且能在存取決策中利用裝置健康情況和狀態的資訊。
- 在 Microsoft Entra ID 設定和管理裝置身分識別
為內部使用者對裝置註冊行動裝置管理。
- 授與資料存取權後,便能控制使用者對貴公司資料進行的動作,是降低風險的關鍵。
- Microsoft 端點管理員 啟用端點佈建、設定、自動更新、裝置抹除和其他遠端動作。
- 為內部使用者設定 行動裝置管理 。
授與存取權之前先確保合規性。
- 一旦具有用來存取公司資源之所有端點的身分識別,並在授與存取權之前,您要確保它們符合貴組織設定的最低安全性需求。
- Microsoft 端點管理員 可協助您設定合規性規則,確保在授與存取權前,裝置符合最低安全性需求。同時為不符合規範的裝置設定補救規則,讓人員了解如何解決問題。
- 使用 Microsoft Intune 在裝置上設定規則 以允許存取組織中的資源。
視需要為非受管理的裝置啟用存取權。
- 讓您的員工可以從非受管理的裝置存取適當的資源,是維持生產力的關鍵。不過,務必讓您的資料仍然受到保護。
- Microsoft Intune 行動裝置應用程式管理讓您為使用者發佈、推送、設定、保護、監控和更新行動裝置應用程式,確保他們擁有進行工作所需應用程式的存取權。
- 為 非受管理的裝置設定存取權。
為外部使用者對裝置註冊行動裝置管理。
- 從外部使用者 (例如承包商、廠商、合作夥伴等) 將外部裝置註冊到您的 MDM 解決方案,是確保您的資料受到保護,並擁有進行工作所需存取權的一種絕佳方式。
- Microsoft 端點管理員 提供端點佈建、設定、自動更新、裝置抹除和其他遠端動作。
- 為外部使用者設定行動裝置管理 。
在您的裝置強制執行資料外洩防護原則。
- 授與資料存取權後,控制使用者對您資料進行的動作是關鍵。例如,如果使用者透過公司身分識別存取文件,您想要防止該文件儲存在未受保護的客戶儲存位置,或防止透過消費者通訊或聊天應用程式分享。
- 無論是否在裝置管理解決方案中註冊過裝置,Intune 應用程式防護原則 都將透過限制存取公司資源和將資料保留在 IT 部門的範圍,來協助保護資料。
- 開始使用 Intune 應用程式原則。
啟用即時裝置風險評估。
- 確保只允許狀況良好且受信任的裝置存取貴公司資源,是零信任旅程中的關鍵步驟。在身分識別提供者註冊裝置後,您就可以將訊號帶入存取決策,只讓安全且符合規範的裝置進行存取。
- 透過整合 Microsoft Entra ID,Microsoft 端點管理員使您能夠根據組織的風險承受能力強制實施更精細的存取決策,並微調條件式存取原則。例如,排除特定裝置平台存取特定應用程式。
- 在 適用於端點的 Microsoft Defender 中設定條件式存取
端點 • 問題 1 (共 6 題)
您是否針對應用程式強制執行原則型存取控制?
端點 • 問題 2 (共 6 題)
您是否針對應用程式強制執行原則型工作階段控制措施 (例如,限制可見度或封鎖下載)?
端點 • 問題 3 (共 6 題)
您是否將商務關鍵應用程式連線到應用程式安全性平台以監控雲端資料和雲端威脅?
端點 • 問題 4 (共 6 題)
沒有 VPN 或固線式連線時,貴組織可使用多少個私人應用程式和資源?
端點 • 問題 5 (共 6 題)
您是否對待批准的應用程式有持續的 Shadow IT Discovery、風險評定與控制措施?
端點 • 問題 6 (共 6 題)
對應用程式的系統管理存取權是否提供即時/足夠的權限,以降低永久權限的風險?
為您的應用程式強制執行原則型存取控制。
- 超越簡單的存取/封鎖決策,並根據風險承受能力量身定製決策,例如,允許存取、封鎖、限制存取,或要求多重要素驗證等其它額外證明。
- Microsoft Entra ID 條件式存取 可以根據使用者內容、裝置、位置以及工作階段風險資訊,強制執行微調自適性存取控制,例如要求進行多重要素驗證。
- 您應用程式存取的設定條件式存取
強制執行原則型工作階段控制措施。
- 在員工蓄意或不慎將資料和組織置於風險前即時阻止入侵和外洩,是在授與存取權後降低風險的關鍵。同時,讓員工安全地使用自己的裝置,對於企業而言至關重要。
- Microsoft Cloud App Security (MCAS) 與 Microsoft Entra ID 條件式存取整合,因此可以設定應用程式使用條件式存取應用程式控制。根據條件式存取中的任何條件,讓您輕鬆地且有選擇性地對組織的應用程式強制執行存取和工作階段控制措施 (例如,防止資料外流、下載保護、防止上傳、封鎖惡意程式碼等)。
- 建立 Microsoft Cloud App Security 工作階段原則 以開始使用。
將商務應用程式連線到雲端應用程式安全性代理程式 (CASB)。
- 了解跨應用程式和平台對於執行控管動作 (例如,隔離檔案或暫停使用者,以及降低任何已標幟的風險) 至關重要。
- 連線至 Microsoft Cloud App Security (MCAS) 的應用程式 可透過內建的異常偵測,立即取得預設的保護。MCAS 使用實體與使用者行為分析 (UEBA) 和機器學習來偵測雲端應用程式中的異常行為,協助識別威脅 (例如,勒索軟體、遭入侵的使用者或流氓應用程式)。
- 連線您的商務關鍵雲端應用程式 至 Microsoft Cloud App Security.
透過應用程式 Proxy 提供內部部署應用程式的遠端存取權。
- 提供使用者在內部部署伺服器中執行內部應用程式的安全遠端存取,對維持現今的生產力非常重要。
- Microsoft Entra ID 應用程式 Proxy 提供內部部署 Web 應用程式安全遠端存取,無需 VPN 或雙重主目錄伺服器和防火牆規則。 Microsoft Entra ID 和條件式存取整合後,使用者可以透過單一登入存取 Web 應用程式,同時讓 IT 針對微調存取控制來設定條件式存取原則。
- 開始使用 。
探索和管理網路中的影子 IT。
- 一般企業中由員工存取的應用程式總數超過 1,500 個。這等於每個月上傳超過 80 GB 的資料到各種應用程式,不到 15% 是由他們的 IT 部門管理。隨著遠端工作已成為多數人的現實,只將存取原則套用到您的網路設備已不再足夠。
- Microsoft Cloud App Security 可協助您探索正在使用哪個應用程式、探索這些應用程式的風險、設定原則以識別正在使用的新高風險應用程式,以及取消批准這些應用程式以封鎖它們原生使用您的 Proxy 或防火牆設備。請參閱 電子書,以深入了解。
- 若要開始探索和評定雲端應用程式,請在 Microsoft Cloud App Security 中設定 雲端探索 。
使用即時方式管理虛擬機器的存取權。
- 使用即時且足夠的存取權 (JIT/JEA)、風險型自適性原則以及資料保護來限制使用者存取,以保護資料和生產力。
- 將輸入流量鎖定至您的 Azure 虛擬機器具有 Azure 資訊安全中心的 即時 (JIT) 虛擬機器 (VM) 存取功能,以降低遭受攻擊的機會,同時在需要連線到 VM 時提供輕鬆的存取方式。
- 啟用 JIT 虛擬機器存取權。
端點 • 問題 1 (共 9 題)
您是否在整個混合式和多重雲端數位資產中啟用雲端基礎結構保護解決方案?
端點 • 問題 2 (共 9 題)
是否為每個工作負載指派應用程式身分識別?
端點 • 問題 3 (共 9 題)
是否針對每個工作負載區隔使用者和資源 (機器對機器) 的存取權?
端點 • 問題 4 (共 9 題)
您的安全性營運小組是否具有專屬威脅偵測工具的存取權來防範端點、電子郵件攻擊和身分識別攻擊?
端點 • 問題 5 (共 9 題)
您的安全性營運小組是否具有安全性資訊與事件管理 (SIEM) 解決方案的存取權來彙總分析多個來源中的事件?
端點 • 問題 6 (共 9 題)
您的安全性營運小組是否使用行為分析來偵測和調查威脅?
端點 • 問題 7 (共 9 題)
您的安全性營運小組是否使用安全性協調流程、自動化和補救 (SOAR) 工具來減少威脅回應中的手動操作?
端點 • 問題 8 (共 9 題)
您是否定期 (至少每 180 天一次) 檢閱系統管理權限,以確保系統管理員僅擁有足夠的系統管理權限?
端點 • 問題 9 (共 9 題)
您是否針對伺服器和其他基礎結構的系統管理啟用即時存取?
使用雲端工作負載保護解決方案。
- 全面了解所有您的跨雲端工作負載,對於在高度分散的環境保持資源安全至關重要。
- Azure 資訊安全中心 是一種整合基礎結構安全性管理系統,可以強化資料中心的安全性態勢,並在雲端 (無論是否在 Azure) 和內部部署跨混合式工作負載提供進階威脅防護。
- 設定 Azure 資訊安全中心
指派應用程式身分識別。
- 指派應用程式身分識別對於保護不同服務之間的通訊至關重要。
- Azure 支援來自 Microsoft Entra ID 的受控身份識別 ,讓您輕鬆存取其它受 Microsoft Entra ID 保護的資源 (例如,安全儲存密碼和認證的 Azure Key Vault)。
- 在 Azure 入口網站中指派應用程式身分識別
區隔使用者和資源存取權。
- 區隔每個工作負載的存取權是您零信任旅程中的關鍵步驟。
- Microsoft Azure 提供許多區隔工作負載的方式,來管理使用者和資源存取權。網路區隔是一種整體方法,在 Azure 中可以使用虛擬網路 (VNet),VNet 對等規則、網路安全性群組 (NSG),應用程式安全性群組 (ASG) 和 Azure 防火牆在訂閱層級隔離資源。
- 建立 Azure 虛擬網路 ,讓您的 Azure 資源能安全地相互通訊。
實作威脅偵測工具。
- 在您的混合式基礎結構防護、偵測、調查和回應進階威脅,將有助於改善您的安全性態勢。
- 適用於端點的 Microsoft Defender 進階威脅防護 是一種企業端點安全性平台,專門設計來協助企業網路防護、偵測、調查和回應進階威脅。
- 規劃您的 適用於端點的 Microsoft Defender 進階威脅防護 部署
部署安全性資訊與事件管理 (SIEM) 解決方案。
- 隨著數位資訊的價值持續增加,攻擊的數量和精心策劃的程度也持續上升。SIEM 提供一種集中的方式,減緩跨整個資產的威脅。
- Azure Sentinel 是一種雲端原生安全性資訊與事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案,讓您的安全性營運中心 (SOC) 可在單一畫面窗格運作以監控跨企業的安全性事件。它能透過收集您整個混合式組織的訊號,然後套用智慧型分析以快速識別威脅,協助保護您所有的資產。
- 部署 Sentinel 以開始使用。
實作行為分析。
- 當您建立新的基礎結構時,您需要確保也建立規則來監控和提出警示。這是識別資源何時顯示未預期行為的關鍵。
- 適用於身分識別的 Microsoft Defender 讓訊號收集來識別、偵測和調查針對組織的進階威脅、遭到入侵的身分識別和惡意的內部行動。
- 深入了解 適用於身分識別的 Microsoft Defender
設定自動化調查。
- 安全性營運小組在處理從看似無止盡的多種威脅提出的警示時面臨到挑戰。實作具有自動化調查和補救 (AIR) 功能的解決方案可協助您的安全性營運小組更有效率且更有效地處理威脅。
- 適用於端點的 Microsoft Defender 進階威脅防護 包括自動化調查和補救功能,以協助檢查警示並立即採取行動以解決外洩。這些功能可以大幅降低警示量,讓安全性營運小組專注在更精心策畫的威脅,以及其他高價值計畫。
- 深入了解 自動化調查。
控管對特殊權限資源的存取權。
- 人員應謹慎使用系統管理存取權。當需要系統管理功能時,使用者應獲得臨時的系統管理存取權。
- Microsoft Entra ID 的Privileged Identity Management (PIM) 讓您能探索、限制和監控特殊權限身分識別的存取權。PIM 透過使用即時、具時限和角色型存取控制來限制存取重要作業,協助確保您的系統管理帳戶保持安全。
- 部署 Privileged Identity Management 以開始使用
提供特殊權限帳戶的即時存取權。
- 人員應謹慎使用系統管理存取權。當需要系統管理功能時,使用者應獲得臨時的系統管理存取權。
- Microsoft Entra ID 的Privileged Identity Management (PIM) 讓您能探索、限制和監控特殊權限身分識別的存取權。PIM 透過使用即時、具時限和角色型存取控制來限制存取重要作業,協助確保您的系統管理帳戶保持安全。
- 部署 Privileged Identity Management 以開始使用。
端點 • 問題 1 (共 6 題)
貴組織是否已定義資料分類法?
端點 • 問題 2 (共 6 題)
存取權決策是否受資料敏感度控管,而不是受簡易網路周邊控制措施控管?
端點 • 問題 3 (共 6 題)
公司資料是否在任何位置皆主動且持續依敏感度探索?
端點 • 問題 4 (共 6 題)
資料存取權決策是否受原則控管並由雲端安全性原則引擎強制執行?(例如,可隨時隨地在網際網路上使用)
端點 • 問題 5 (共 6 題)
是否透過加密持續保護最具敏感性的檔案以防止未經授權的存取使用?
端點 • 問題 6 (共 6 題)
是否有資料外洩防護控制措施來監控、警示或限制敏感性資訊流程 (例如,封鎖電子郵件、上傳或複製到 USB)?
根據敏感度控管存取權決策。
- 資料敏感性越高,所需的保護控制措施和強制力就越大。同樣地,控制措施也應該與如何和從何處存取資料相關聯的風險性質相稱 (例如,如果要求原先來自非受管理的裝置或來自外部使用者)。 Microsoft 資訊保護 會根據資料敏感度和風險,提供一組靈活的保護控制。
- 某些敏感性資料需要由強制執行加密的原則來保護,以確保只有授權的使用者能夠存取資料。
- 設定敏感度標籤 來管制存取決策。新的 Azure Purview 以 Microsoft 資訊保護為基礎,提供整合的資料控管服務。閱讀 公告部落格
- 以深入了解。
實作強固的資料分類和標籤策略。
- 擁有大量資料的企業在為資料加上適當的標籤和分類時,可能會面臨挑戰。使用機器學習進行更聰明的自動化分類可協助降低終端使用者的負擔,獲得更一致的標籤體驗。
- Microsoft 365 提供三種分類內容的方式,包括手動、 自動化模式比對,以及全新 可訓練的分類器。可訓練的分類器適用於手動或自動化模式比對方法不易識別的內容。對於內部部署檔案存放庫和內部部署 SharePoint 2013 以上的網站, Azure 資訊保護 (AIP) 掃描器 可協助探索、分類、標籤和保護敏感性資訊。
- 請參閱 標籤部署指導 以開始使用。
根據原則控管存取權決策。
- 超越簡單的存取/封鎖決策,並根據風險偏好 (例如,允許存取、封鎖、限制存取,或需要像多重要素驗證等其他證明),為您的資料量身打造存取決策。
- 條件式存取 Azure AD 讓您根據使用者內容、裝置,以及工作階段風險資訊,強制執行微調自適性存取控制 (例如需要多重要素驗證)。
- 整合 Azure 資訊保護 與 Microsoft Cloud App Security 以啟用條件式存取原則。
對與公司界限外共用的資料強制執行存取和使用權限。
- 若要適當地降低風險,而不會對生產力產生負面影響,您需要能控制和保護與公司外部共用的電子郵件、文件和敏感性資料。
- Azure 資訊保護協助保護公司防火牆內外的電子郵件、文件和敏感性資料。從輕鬆分類到內嵌標籤和權限,無論資料儲存在何處或與誰共用,使用 Azure 資訊保護可隨時增強資料保護。
- 規劃您的部署以開始使用。
實作資料外洩防護 (DLP) 原則。
- 若要遵守企業標準和產業法規,組織必須保護敏感性資訊並避免資訊遭到意外洩漏。敏感性資訊可包括財務資料或個人識別資訊,例如信用卡號碼、社會安全號碼或健康記錄。
- 在 Microsoft 365 中使用各種 DLP 原則 以識別、監控及自動保護整個服務 (例如 Teams、Exchange、SharePoint 和 OneDrive)、Office 應用程式 (例如,Word、Excel 和 PowerPoint)、Windows 10 端點、非 Microsoft 雲端應用程式、內部部署檔案共用和 SharePoint,以及 Microsoft Cloud App Security 的敏感性項目。
端點 • 問題 1 (共 5 題)
您是否已區隔網路來防止橫向移動?
端點 • 問題 2 (共 5 題)
您有什麼防護措施來保護您的網路?
端點 • 問題 3 (共 5 題)
您是否使用安全存取控制來保護您的網路?
端點 • 問題 4 (共 5 題)
您是否使用憑證來加密所有網路通訊 (包括機器對機器)?
端點 • 問題 5 (共 5 題)
您是否正在使用 ML 型威脅防護並且透過內容型訊號進行篩選?
區隔網路。
- 透過實作軟體定義周邊和逐漸提升的精細控制措施來區隔網路,增加攻擊者透過您的網路散佈的成本,大幅減少威脅橫向移動。
- Azure 提供許多區隔網路的方式,來管理使用者和資源存取權。網路區隔是一種整體方法。在 Azure 中可以使用虛擬網路、虛擬網路對等互連規則、網路安全性群組、應用程式安全性群組和 Azure 防火牆在訂閱層級隔離資源。
- 規劃您的區隔策略。
建立網路保護措施。
- 向外部環境 (例如,網際網路或您的內部部署資源使用量) 開啟端點的雲端應用程式,具有遭受來自這些環境的攻擊風險。務必掃描惡意承載或邏輯的流量。
- Azure 提供 Azure DDoS 保護服務、 Azure 防火牆,以及 Azure Web 應用程式防火牆 等服務,提供全面的威脅防護。
- 設定您的 網路保護工具
設定加密系統管理員存取權。
- 系統管理員存取權通常是重要的威脅媒介。保護存取權對防止入侵來說非常重要。
- Azure VPN 閘道 是一種雲端原生、大規模 VPN 服務,支援 Microsoft Entra ID、條件式存取和多重要素驗證完全整合的使用者能夠進行遠端存取。 Azure 的Azure 虛擬桌面 支援從任何位置提供安全的遠端桌面體驗,由 Azure Microsoft Entra ID 應用程式 Proxy使用零信任存取方法發佈內部部署 Web 應用程式。
- Azure Bastion 為虛擬網路中佈建它的所有虛擬機器,提供安全的遠端桌面通訊協定 (RDP) 和安全殼層通訊協定 (SSH) 連線能力。使用 Azure Bastion 可協助保護您的虛擬機器免於將 RDP/SSH 連接埠暴露在外面的環境,同時使用 RDP/SSH 提供安全存取。
- 部署 Azure Bastion。
加密所有網路流量。
- 無法保護傳輸中的資料的組織,較容易遭受中間人攻擊、竊聽和工作階段劫持。這些攻擊可能是攻擊者用於取得機密資料存取權的第一步。
- 端對端加密從對 Azure 的連線能力開始,一路到後端應用程式或資源。 Azure VPN 閘道 讓您更輕鬆地透過加密通道連線至 Azure。 Azure Front Door 和 應用程式閘道 可協助 SSL 卸載、WAF 檢查和重新加密。客戶可設計他們的流量透過 SSL 端對端執行。 Azure 防火牆 Premium TLS 檢查 讓您在加密的連線中透過其進階 IDPS 引擎,檢視、偵測和封鎖惡意流量。 Azure 應用程式閘道中的端對端 TLS 加密 協助您加密並安全地將敏感性資料傳輸到後端,同時利用第 7 層負載平衡功能。 透過 Azure 應用程式閘道進行Azure 應用程式閘道中的端對端 TLS 加密 。
實作以機器學習為基礎的威脅防護和篩選。
- 隨著攻擊的精心策劃程度和頻率持續增加,組織必須確保他們有能力去處理攻擊。以機器學習為基礎的威脅防護和篩選可協助組織更快速回應,改善調查、自動化修補和更輕鬆管理規模。此外,也可以從多種服務 (DDoS、WAF 和 FW) 將事件彙總到 Microsoft SIEM 和 Azure Sentinel,以提供智慧型安全性分析。
- Azure DDoS 保護 使用機器學習協助監控您的 Azure 代管應用程式流量、建立基準和偵測體積流量洪水,以及套用自動風險降低措施。
- 開啟 Azure DDoS 保護標準。
關注 Microsoft 安全性