Azure 网络安全
第 4 页
1 概述
Azure 网络提供了将虚拟机(VM)安全地连接在一起所需的基础架构,可充当云环境和 on-premises 数据
中心之间的桥梁。
Azure 的网络服务按照设计可提供最大程度的灵活性、可用性、适应性、安全性以及完整性。本白皮书详细
介绍了 Azure 的网络功能,并告诉客户如何使用 Azure 的原生安全功能保护自己的信息资产。
2 Azure 虚拟机保护指南
由世纪互联运营的 Microsoft Azure 是一个多租户平台,使用位于北京和上海的数据中心的共享基础架构为
客户的并发访问提供支持。因为 Azure 的共享基础架构中运行着大量的活跃虚拟机,网络通讯的安全和机
密性保护就显得尤为重要。
Azure 虚拟网络配合使用逻辑隔离、防火墙、访问控制、身份验证,以及加密技术保护传输中的客户数据。
Azure 数据中心的运营遵循了一整套完善的信息安全策略和流程,使用了标准化的行业控制框架,例如 ISO
27001。第三方审计师会定期审核 Azure 基础架构中物理和虚拟部分对这些标准的遵守情况。
在传统数据中心模式下,公司的信息技术(IT)部门控制着联网的系统,包括对网络设备的物理访问。公司
员工或承包商承担部署、配置,以及管理职责,例如网络拓扑的物理调整,路由器设置的改动,防火墙设
备的部署等。
在云服务模式下,网络的保护和管理职责是由云服务供应商和客户共同承担的。客户没有物理访问权限,
他们无法进入云服务供应商的数据中心调整服务器机架的接线,但客户可以通过来宾操作系统(OS)防火
墙、虚拟网络网关配置,以及虚拟私有网络等工具在自己的云环境内部进行类似的逻辑实施。这种物理和
逻辑的分离使得客户在构建自己的基础架构时能够充分使用 Azure 提供的一些基础安全功能。
2.1
私有网络
在公有云中对客户的基础架构进行逻辑隔离,这是维持安全性的关键。Azure 主要通过分布式虚拟防火墙实
现这一点。此外,客户可以部署多个逻辑上相互隔离的私有网络。这些进一步细化的网络主要可分为两个
类别:
• 部署网络:每个部署可在网络层面与其他部署相互隔离。一个部署中的多个虚拟机可通过私有 IP
地址相互通讯。
• 虚拟网络:每个虚拟网络可与其他虚拟网络相互隔离。同一订阅中的多个部署可位于同一个虚拟网
络中,这样即可通过私有 IP 地址相互通讯。
图 1 演示了一个虚拟网络拓扑的范例。