Azure 網(wǎng)絡(luò)安全最佳做法

本文介紹一系列Azure最佳做法以增強(qiáng)網(wǎng)絡(luò)安全。這些最佳實(shí)踐衍生自我們的Azure網(wǎng)絡(luò)經(jīng)驗(yàn)和客戶的經(jīng)驗(yàn)。

對于每項(xiàng)最佳實(shí)踐，本文將說明：

最佳實(shí)踐是什么

為何要啟用該最佳實(shí)踐

如果無法啟用該最佳實(shí)踐，可能的結(jié)果是什么

最佳實(shí)踐的可能替代方案

如何學(xué)習(xí)啟用最佳實(shí)踐

這些最佳做法以共識(shí)以及Azure平臺(tái)功能和特性集（因?yàn)樵诰帉懕疚臅r(shí)已存在）為基礎(chǔ)?？捶ê图夹g(shù)將隨著時(shí)間改變，本文會(huì)定期更新以反映這些更改。

使用強(qiáng)網(wǎng)絡(luò)控制

你可以將Azure虛擬機(jī)(VM)和設(shè)備放在Azure虛擬網(wǎng)絡(luò)上，從而將它們連接到其他網(wǎng)絡(luò)設(shè)備。也就是說，可以將虛擬網(wǎng)絡(luò)接口卡連接到虛擬網(wǎng)絡(luò)，允許啟用了網(wǎng)絡(luò)的設(shè)備之間進(jìn)行基于TCP/IP的通信。連接到Azure虛擬網(wǎng)絡(luò)的虛擬機(jī)能夠連接到相同虛擬網(wǎng)絡(luò)、不同虛擬網(wǎng)絡(luò)、Internet或自己的本地網(wǎng)絡(luò)上的設(shè)備。

規(guī)劃網(wǎng)絡(luò)和網(wǎng)絡(luò)安全性時(shí)，建議集中執(zhí)行以下操作：

管理核心網(wǎng)絡(luò)功能，如ExpressRoute、虛擬網(wǎng)絡(luò)和子網(wǎng)預(yù)配以及IP尋址。

治理網(wǎng)絡(luò)安全元素，如ExpressRoute、虛擬網(wǎng)絡(luò)和子網(wǎng)預(yù)配以及IP尋址等網(wǎng)絡(luò)虛擬設(shè)備功能。

如果使用一組通用的管理工具來監(jiān)視網(wǎng)絡(luò)和網(wǎng)絡(luò)的安全性，則可清楚地了解這兩者。一種簡單、統(tǒng)一的安全策略可減少錯(cuò)誤，因?yàn)檫@會(huì)改善人員理解和自動(dòng)化可靠性。

以邏輯方式分段子網(wǎng)

Azure虛擬網(wǎng)絡(luò)類似于本地網(wǎng)絡(luò)上的LAN。Azure虛擬網(wǎng)絡(luò)背后的思路是創(chuàng)建基于單個(gè)專用IP地址空間的網(wǎng)絡(luò)，以將所有Azure虛擬機(jī)置于其上?？捎玫膶Ｓ肐P地址空間位于類別A(10.0.0.0/8)、類別B(172.16.0.0/12)和類別C(192.168.0.0/16)范圍內(nèi)。

以邏輯方式對子網(wǎng)進(jìn)行分段的最佳做法包括：

最佳做法：不要分配具有廣泛范圍的允許規(guī)則（例如，允許0.0.0.0到255.255.255.255）。

詳細(xì)信息：確保故障排除過程不會(huì)建議或禁止設(shè)置這些類型的規(guī)則。這些允許規(guī)則會(huì)導(dǎo)致錯(cuò)誤的安全感，經(jīng)常被紅隊(duì)發(fā)現(xiàn)并利用。

最佳做法：將較大的地址空間分段成子網(wǎng)。

詳細(xì)信息：使用基于CIDR的子網(wǎng)原理來創(chuàng)建子網(wǎng)。

最佳做法：在子網(wǎng)之間創(chuàng)建網(wǎng)絡(luò)訪問控制。子網(wǎng)之間的路由會(huì)自動(dòng)發(fā)生，不需要手動(dòng)配置路由表。默認(rèn)情況下，在Azure虛擬網(wǎng)絡(luò)上創(chuàng)建的子網(wǎng)之間沒有任何網(wǎng)絡(luò)訪問控制。

詳細(xì)信息：使用網(wǎng)絡(luò)安全組防止未經(jīng)請求的流量進(jìn)入Azure子網(wǎng)。網(wǎng)絡(luò)安全組是簡單的有狀態(tài)數(shù)據(jù)包檢查設(shè)備，使用5元組方法（源IP、源端口、目標(biāo)IP、目標(biāo)端口和第4層協(xié)議）來創(chuàng)建網(wǎng)絡(luò)流量的允許/拒絕規(guī)則?？梢栽试S或拒絕流往或來自單個(gè)IP地址、多個(gè)IP地址或整個(gè)子網(wǎng)的流量。

將網(wǎng)絡(luò)安全組用于子網(wǎng)之間的網(wǎng)絡(luò)訪問控制時(shí)，可將屬于同一安全區(qū)域或角色的資源置于其本身的子網(wǎng)中。

最佳做法：避免小型虛擬網(wǎng)絡(luò)和子網(wǎng)，以確保簡易性和靈活性。

詳細(xì)信息：大多數(shù)組織會(huì)添加比最初計(jì)劃更多的資源，重新分配地址是勞動(dòng)密集型工作。使用小型子網(wǎng)會(huì)增加有限的安全值，將網(wǎng)絡(luò)安全組映射到每個(gè)子網(wǎng)會(huì)增加開銷。廣泛定義子網(wǎng)，以確保具有增長靈活性。

最佳做法：通過定義應(yīng)用程序安全組來簡化網(wǎng)絡(luò)安全組規(guī)則管理。

詳細(xì)信息：為你認(rèn)為將來可能會(huì)更改或是在許多網(wǎng)絡(luò)安全組間使用的IP地址列表定義一個(gè)應(yīng)用程序安全組。務(wù)必清楚地命名應(yīng)用程序安全組，以便其他人可以理解其內(nèi)容和用途。

采用零信任方法

基于外圍的網(wǎng)絡(luò)在工作時(shí)假設(shè)網(wǎng)絡(luò)中的所有系統(tǒng)都可以受信任。但當(dāng)前的員工會(huì)通過各種設(shè)備和應(yīng)用，從任何位置訪問其組織的資源，這使得外圍安全控制不適用。僅關(guān)注可以訪問資源的用戶的訪問控制策略是不夠的。為了掌握安全與效率之間的平衡，安全管理員還需要考慮訪問資源的方式。

網(wǎng)絡(luò)需要從傳統(tǒng)防御進(jìn)行演化，因?yàn)榫W(wǎng)絡(luò)可能容易受到侵害：攻擊者可能會(huì)破壞受信任邊界內(nèi)的單個(gè)終結(jié)點(diǎn)，然后在整個(gè)網(wǎng)絡(luò)中快速擴(kuò)展立足點(diǎn)。零信任網(wǎng)絡(luò)消除了基于外圍中的網(wǎng)絡(luò)位置的信任概念。相反，零信任體系結(jié)構(gòu)使用設(shè)備和用戶信任聲明來獲取組織數(shù)據(jù)和資源的訪問權(quán)限。對于新計(jì)劃，采用在訪問時(shí)驗(yàn)證信任的零信任方法。

最佳做法包括：

最佳做法：基于設(shè)備、標(biāo)識(shí)、保證、網(wǎng)絡(luò)位置等提供對資源的條件訪問。

詳細(xì)信息：Azure AD條件訪問使你可以根據(jù)所需條件實(shí)現(xiàn)自動(dòng)訪問控制決策，從而應(yīng)用正確的訪問控制。有關(guān)詳細(xì)信息，請參閱使用條件訪問管理對Azure管理的訪問。

最佳做法：僅在工作流審批之后才啟用端口訪問。

詳細(xì)信息：可以使用Azure Security Center中的實(shí)時(shí)VM訪問來鎖定發(fā)往Azure VM的入站流量，降低遭受攻擊的可能性，同時(shí)在需要時(shí)還允許輕松連接到VM。

最佳做法：授予執(zhí)行特權(quán)任務(wù)的臨時(shí)權(quán)限，防止惡意用戶或未授權(quán)用戶在權(quán)限過期后獲得訪問權(quán)限。只有在用戶需要的情況下，才會(huì)授予訪問權(quán)限。

詳細(xì)信息：使用Azure AD Privileged Identity Management或第三方解決方案中的實(shí)時(shí)訪問來授予執(zhí)行特權(quán)任務(wù)的權(quán)限。

零信任是網(wǎng)絡(luò)安全的下一步發(fā)展。網(wǎng)絡(luò)攻擊的狀態(tài)促使組織采用“假定違規(guī)”思維方式，但這種方法不應(yīng)受到限制。零信任網(wǎng)絡(luò)可保護(hù)公司數(shù)據(jù)和資源，同時(shí)確保組織可以使用相關(guān)技術(shù)來構(gòu)建新式工作區(qū)，這些技術(shù)使員工能夠以任何方式隨時(shí)隨地提高工作效率。

控制路由行為

將虛擬機(jī)置于Azure虛擬網(wǎng)絡(luò)時(shí)，即使其他VM位于不同的子網(wǎng)，VM也可以連接到同一虛擬網(wǎng)絡(luò)上的任何其他VM。這是可能的，原因是默認(rèn)啟用的系統(tǒng)路由集合允許這種類型的通信。這些默認(rèn)路由可讓相同虛擬網(wǎng)絡(luò)上的VM彼此發(fā)起連接，以及與Internet連接（僅適用于Internet的出站通信）。

盡管默認(rèn)系統(tǒng)路由適用于許多部署方案，但有時(shí)也需要針對部署自定義路由配置?？梢耘渲孟乱粋€(gè)躍點(diǎn)地址，用于訪問特定目標(biāo)。

建議你在為虛擬網(wǎng)絡(luò)部署安全設(shè)備時(shí)配置用戶定義的路由。我們將在后面的標(biāo)題為保護(hù)關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進(jìn)行訪問的部分中討論此問題。

備注

不需要用戶定義的路由，默認(rèn)的系統(tǒng)路通常有效。

使用虛擬網(wǎng)絡(luò)設(shè)備

網(wǎng)絡(luò)安全組和用戶定義的路由可以在網(wǎng)絡(luò)和OSI模型的傳輸層上提供一定的網(wǎng)絡(luò)安全措施。但在某些情況下，建議在高級別堆棧中啟用安全性。在此類情況下，建議部署Azure合作伙伴所提供的虛擬網(wǎng)絡(luò)安全設(shè)備。

Azure網(wǎng)絡(luò)安全設(shè)備可提供比網(wǎng)絡(luò)級控制所提供的更高的安全性。虛擬網(wǎng)絡(luò)安全設(shè)備的網(wǎng)絡(luò)安全功能包括：

防火墻

入侵檢測/入侵防護(hù)

漏洞管理

應(yīng)用程序控制

基于網(wǎng)絡(luò)的異常檢測

Web篩選

防病毒

僵尸網(wǎng)絡(luò)防護(hù)

要查找可用的Azure虛擬網(wǎng)絡(luò)安全設(shè)備，請轉(zhuǎn)到Azure市場并搜索“安全”和“網(wǎng)絡(luò)安全”。

為安全區(qū)部署外圍網(wǎng)絡(luò)

外圍網(wǎng)格（也稱為DMZ）是物理或邏輯網(wǎng)絡(luò)區(qū)段，可在資產(chǎn)與Internet之間提供額外的安全層。外圍網(wǎng)絡(luò)邊緣的專用網(wǎng)絡(luò)訪問控制設(shè)備只允許所需流量流入虛擬網(wǎng)絡(luò)。

外圍網(wǎng)絡(luò)非常有用，因?yàn)榭梢詫⒕W(wǎng)絡(luò)訪問控制管理、監(jiān)視、日志記錄和報(bào)告的重點(diǎn)放在位于Azure虛擬網(wǎng)絡(luò)邊緣的設(shè)備上。在外圍網(wǎng)絡(luò)中通常將啟用分布式拒絕服務(wù)(DDoS)預(yù)防、入侵檢測/入侵防護(hù)系統(tǒng)(IDS/IPS)、防火墻規(guī)則和策略、Web篩選、網(wǎng)絡(luò)反惡意軟件等。網(wǎng)絡(luò)安全設(shè)備位于Internet與Azure虛擬網(wǎng)絡(luò)之間，在兩個(gè)網(wǎng)絡(luò)上均有接口。

盡管這是外圍網(wǎng)絡(luò)的基本設(shè)計(jì)，但有許多不同的設(shè)計(jì)，例如背靠背式、三閘式、多閘式。

基于前面提到的零信任概念，建議考慮將外圍網(wǎng)絡(luò)用于所有高安全性部署，以增強(qiáng)Azure資源的網(wǎng)絡(luò)安全和訪問控制級別?？梢允褂肁zure或第三方解決方案在資產(chǎn)與Internet之間提供額外的安全層：

Azure本機(jī)控制。Azure防火墻和應(yīng)用程序網(wǎng)關(guān)中的Web應(yīng)用程序防火墻通過完全有狀態(tài)防火墻即服務(wù)、內(nèi)置高可用性、無限制的云可伸縮性、FQDN篩選、對OWASP核心規(guī)則集的支持以及簡單的設(shè)置和配置，來提供基本安全性。

第三方產(chǎn)品/服務(wù)。在Azure市場中搜索下一代防火墻(NGFW)和其他第三方產(chǎn)品/服務(wù)，它們可提供熟悉的安全工具和顯著增強(qiáng)的網(wǎng)絡(luò)安全級別。配置可能會(huì)更加復(fù)雜，但第三方產(chǎn)品/服務(wù)可能會(huì)允許你使用現(xiàn)有功能和技能組。

避免向具有專用WAN鏈接的Internet公開

許多組織選擇了混合IT路由。使用混合IT時(shí)，有些企業(yè)的信息資產(chǎn)是在Azure中，而有些企業(yè)則維持在本地。在許多情況下，服務(wù)的某些組件在Azure中運(yùn)行，而其他組件則維持在本地。

在混合IT方案中，通常有某種類型的跨界連接?？缃邕B接可讓公司將其本地網(wǎng)絡(luò)連接到Azure虛擬網(wǎng)絡(luò)?？捎玫目缃邕B接解決方案有兩種：

站點(diǎn)到站點(diǎn)VPN。它是一種值得信賴、可靠且成熟的技術(shù)，但連接是通過Internet進(jìn)行的。帶寬限制在1.25 Gbps左右。在某些情況下，站點(diǎn)到站點(diǎn)VPN是一個(gè)理想選擇。

Azure ExpressRoute。建議使用ExpressRoute進(jìn)行跨界連接。使用ExpressRoute可通過連接服務(wù)提供商所提供的專用連接，將本地網(wǎng)絡(luò)擴(kuò)展到Microsoft云。借助ExpressRoute，你可以與Microsoft云服務(wù)（如Azure、Microsoft 365和Dynamics 365）建立連接。ExpressRoute是你本地位置與Microsoft Exchange托管提供商之間專用的WAN鏈接。因?yàn)檫@是電信運(yùn)營商連接，所以數(shù)據(jù)不會(huì)通過Internet傳輸，也不會(huì)暴露在Internet通信的潛在風(fēng)險(xiǎn)中。

ExpressRoute連接的位置可能會(huì)影響防火墻容量、可伸縮性、可靠性和網(wǎng)絡(luò)流量可見性。需要確定在現(xiàn)有（本地）網(wǎng)絡(luò)中終止ExpressRoute的位置?？梢裕?/span>

如果需要查看流量、需要繼續(xù)執(zhí)行隔離數(shù)據(jù)中心的現(xiàn)有做法或者只是將extranet資源放在Azure上，請?jiān)诜阑饓χ饨K止（外圍網(wǎng)絡(luò)范例）。

在防火墻之內(nèi)終止（網(wǎng)絡(luò)擴(kuò)展范例）。這是默認(rèn)建議。在所有其他情況下，建議將Azure視為第n個(gè)數(shù)據(jù)中心。

優(yōu)化運(yùn)行時(shí)間和性能

如果服務(wù)已關(guān)閉，便無法訪問信息。如果性能太差而無法使用數(shù)據(jù)，則可以將此數(shù)據(jù)視為無法訪問。從安全角度來看，需要盡可能確保服務(wù)有最佳的運(yùn)行時(shí)間和性能。

用于增強(qiáng)可用性和性能的常用且有效的方法是負(fù)載均衡。負(fù)載均衡是將網(wǎng)絡(luò)流量分布于服務(wù)中各服務(wù)器的方法。例如，如果服務(wù)中有前端Web服務(wù)器，可以使用負(fù)載均衡將流量分布于多臺(tái)前端Web服務(wù)器。

這種流量分布將提高可用性，因?yàn)槿绻渲幸慌_(tái)Web服務(wù)器不可用，負(fù)載均衡器停止將流量發(fā)送到該服務(wù)器，并將它重定向到仍在運(yùn)行的服務(wù)器。負(fù)載均衡還對性能有幫助，因?yàn)樘幚碚埱蟮奶幚砥鳌⒕W(wǎng)絡(luò)和內(nèi)存開銷將分布于所有負(fù)載均衡的服務(wù)器之間。

建議盡可能為服務(wù)采用適當(dāng)?shù)呢?fù)載均衡。以下是Azure虛擬網(wǎng)絡(luò)級別和全球級別的方案，以及每個(gè)級別的負(fù)載均衡選項(xiàng)。

情形：你有如下應(yīng)用程序：

要求來自同一用戶/客戶端會(huì)話的請求訪問相同后端虛擬機(jī)。此類示例如購物車應(yīng)用和Web郵件服務(wù)器。

僅接受安全連接，因此與服務(wù)器進(jìn)行未加密的通信是不可接受的選項(xiàng)。

要求將長時(shí)間運(yùn)行的同一TCP連接上多個(gè)HTTP請求路由到或負(fù)載均衡到不同的后端服務(wù)器。

負(fù)載均衡選項(xiàng)：使用Azure應(yīng)用程序網(wǎng)關(guān)，一個(gè)HTTP Web流量負(fù)載均衡器。應(yīng)用程序網(wǎng)關(guān)支持網(wǎng)關(guān)上的端到端TLS加密和TLS終止。然后，Web服務(wù)器可以免受加密和解密開銷以及未加密流向后端服務(wù)器的流量的負(fù)擔(dān)。

情形：需要在位于Azure虛擬網(wǎng)絡(luò)中的服務(wù)器之間對來自Internet的傳入連接進(jìn)行負(fù)載均衡。也就是說當(dāng)：

具有接受來自Internet的傳入請求的無狀態(tài)應(yīng)用程序時(shí)。

不需要粘性會(huì)話或TLS卸載時(shí)。粘性會(huì)話是與應(yīng)用程序負(fù)載均衡一起使用的方法，用于實(shí)現(xiàn)服務(wù)器關(guān)聯(lián)。

負(fù)載均衡選項(xiàng)：使用Azure門戶創(chuàng)建外部負(fù)載均衡器，該均衡器將多個(gè)VM之間的傳入請求進(jìn)行分散，以提供更高級別的可用性。

情形：需要從不在Internet上的VM對連接進(jìn)行負(fù)載均衡。大多數(shù)情況下，接受的用于進(jìn)行負(fù)載均衡的連接由Azure虛擬網(wǎng)絡(luò)上的設(shè)備發(fā)起，例如SQL Server實(shí)例或內(nèi)部Web服務(wù)器。

負(fù)載均衡選項(xiàng)：使用Azure門戶創(chuàng)建內(nèi)部負(fù)載均衡器，該均衡器將多個(gè)VM之間的傳入請求進(jìn)行分散，以提供更高級別的可用性。

情形：你需要全球負(fù)載均衡，因?yàn)椋?/span>

擁有廣泛分布在多個(gè)地區(qū)的云解決方案，并且需要可能的最高級別的正常運(yùn)行時(shí)間（可用性）。

需要可能的最高級別的正常運(yùn)行時(shí)間，以確保即使整個(gè)數(shù)據(jù)中心不可用，服務(wù)仍然可用。

負(fù)載均衡選項(xiàng)：使用Azure流量管理器。流量管理器可以根據(jù)用戶的位置，對服務(wù)的連接進(jìn)行負(fù)載均衡。

例如，如果用戶從歐盟對服務(wù)發(fā)出請求，此連接會(huì)被定向到位于歐盟數(shù)據(jù)中心的服務(wù)。這一部分的流量管理器全局負(fù)載均衡有助于改善性能，因?yàn)檫B接到最近的數(shù)據(jù)中心比連接到遠(yuǎn)處的數(shù)據(jù)中心還要快。

禁用對虛擬機(jī)的RDP/SSH訪問

使用遠(yuǎn)程桌面協(xié)議(RDP)和安全外殼(SSH)協(xié)議可以訪問Azure虛擬機(jī)。這些協(xié)議支持遠(yuǎn)程管理VM，并且是數(shù)據(jù)中心計(jì)算中的標(biāo)準(zhǔn)協(xié)議。

在Internet上使用這些協(xié)議的潛在安全問題是，攻擊者可以使用暴力破解技術(shù)來訪問Azure虛擬機(jī)。攻擊者獲取訪問權(quán)限后，就可以使用VM作為破壞虛擬網(wǎng)絡(luò)上其他計(jì)算機(jī)的啟動(dòng)點(diǎn)，甚至攻擊Azure之外的網(wǎng)絡(luò)設(shè)備。

我們建議禁用從Internet對Azure虛擬機(jī)的直接RDP和SSH訪問。禁用從Internet的直接RDP和SSH訪問之后，有其他選項(xiàng)可用于訪問這些VM以便進(jìn)行遠(yuǎn)程管理。

情形：可讓單個(gè)用戶通過Internet連接到Azure虛擬網(wǎng)絡(luò)。

選項(xiàng)：點(diǎn)到站點(diǎn)VPN是遠(yuǎn)程訪問VPN客戶端/服務(wù)器連接的另一種說法。建立點(diǎn)到站點(diǎn)連接之后，用戶能夠使用RDP或SSH連接到位于用戶通過點(diǎn)到站點(diǎn)VPN連接的Azure虛擬網(wǎng)絡(luò)上的任何VM。此處假設(shè)用戶有權(quán)訪問這些VM。

點(diǎn)到站點(diǎn)VPN比直接RDP或SSH連接更安全，因?yàn)橛脩舯仨毷孪韧ㄟ^兩次身份驗(yàn)證才將連接到VM。首先，用戶需要進(jìn)行身份驗(yàn)證（并獲得授權(quán)）以建立點(diǎn)到站點(diǎn)VPN連接。其次，用戶需要進(jìn)行身份驗(yàn)證（并獲得授權(quán)）以建立RDP或SSH會(huì)話。

情形：使本地網(wǎng)絡(luò)上的用戶能夠連接到Azure虛擬網(wǎng)絡(luò)上的VM。

選項(xiàng)：站點(diǎn)到站點(diǎn)VPN通過Internet將整個(gè)網(wǎng)絡(luò)連接到另一個(gè)網(wǎng)絡(luò)?？梢允褂谜军c(diǎn)到站點(diǎn)VPN將本地網(wǎng)絡(luò)連接到Azure虛擬網(wǎng)絡(luò)。本地網(wǎng)絡(luò)上的用戶通過站點(diǎn)到站點(diǎn)VPN使用RDP或SSH協(xié)議進(jìn)行連接。不必允許通過Internet進(jìn)行的直接RDP或SSH訪問。

情形：使用專用的WAN鏈接提供類似于站點(diǎn)到站點(diǎn)VPN的功能。

選項(xiàng)：使用ExpressRoute。它提供類似于站點(diǎn)到站點(diǎn)VPN的功能。它們的主要區(qū)別包括：

專用的WAN鏈接不會(huì)遍歷Internet。

專用的WAN鏈接通常更穩(wěn)定且性能更佳。

保護(hù)關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進(jìn)行訪問

使用虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)可通過直接連接將虛擬網(wǎng)絡(luò)專用地址空間和虛擬網(wǎng)絡(luò)標(biāo)識(shí)擴(kuò)展到Azure服務(wù)。使用終結(jié)點(diǎn)可以保護(hù)關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進(jìn)行訪問。從虛擬網(wǎng)絡(luò)發(fā)往Azure服務(wù)的流量始終保留在Microsoft Azure主干網(wǎng)絡(luò)中。

服務(wù)終結(jié)點(diǎn)提供以下優(yōu)勢：

提高了Azure服務(wù)資源的安全性：使用服務(wù)終結(jié)點(diǎn)，可在虛擬網(wǎng)絡(luò)中保護(hù)Azure服務(wù)資源。在虛擬網(wǎng)絡(luò)中保護(hù)服務(wù)資源可以完全消除通過公共Internet對這些資源進(jìn)行訪問，只允許來自客戶自己的虛擬網(wǎng)絡(luò)的流量，從而提高了安全性。

來自虛擬網(wǎng)絡(luò)的Azure服務(wù)流量的最佳路由：虛擬網(wǎng)絡(luò)中強(qiáng)制Internet流量通過本地和/或虛擬設(shè)備（稱為強(qiáng)制隧道）的任何路由也會(huì)強(qiáng)制Azure服務(wù)流量采用與Internet流量相同的路由。服務(wù)終結(jié)點(diǎn)為Azure流量提供最佳路由。

終結(jié)點(diǎn)始終將服務(wù)流量直接從虛擬網(wǎng)絡(luò)帶至Azure主干網(wǎng)絡(luò)上的服務(wù)。將流量保留在Azure主干網(wǎng)絡(luò)上可以通過強(qiáng)制隧道持續(xù)審核和監(jiān)視來自虛擬網(wǎng)絡(luò)的出站Internet流量，而不會(huì)影響服務(wù)流量。詳細(xì)了解用戶定義的路由和強(qiáng)制隧道。

設(shè)置簡單，管理開銷更少：不再需要使用虛擬網(wǎng)絡(luò)中的保留公共IP地址通過IP防火墻保護(hù)Azure資源。無需使用NAT或網(wǎng)關(guān)設(shè)備即可設(shè)置服務(wù)終結(jié)點(diǎn)。只需單擊一下子網(wǎng)，即可配置服務(wù)終結(jié)點(diǎn)。不會(huì)產(chǎn)生與終結(jié)點(diǎn)維護(hù)相關(guān)的額外開銷。

要了解服務(wù)終結(jié)點(diǎn)及可使用服務(wù)終結(jié)點(diǎn)的Azure服務(wù)和區(qū)域的詳細(xì)信息，請參閱虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)。

后續(xù)步驟

有關(guān)通過Azure設(shè)計(jì)、部署和管理云解決方案時(shí)可以使用的更多安全最佳做法，請參閱Azure安全最佳做法和模式。