Azure 資安完整指南:WAF、Front Door、DDoS 防護企業實戰
- 一、Azure 資安服務總覽
- 1.1 資安服務分類
- 1.2 共同責任模型
- 1.3 Azure 資安最佳實踐框架
- 二、Azure WAF 設定與最佳實踐
- 2.1 什麼是 Azure WAF?
- 2.2 WAF 部署選項
- 2.3 WAF 規則設定
- 2.4 WAF 監控與調校
- 三、Azure Front Door CDN 與安全整合
- 3.1 Front Door 核心功能
- 3.2 Front Door Standard 與 Premium 比較
- 3.3 Front Door 與後端整合架構
- 四、Azure DDoS Protection
- 4.1 DDoS Protection 服務層級
- 4.2 DDoS 防護最佳實踐
- 五、Azure Key Vault 金鑰管理
- 5.1 Key Vault 用途
- 5.2 Key Vault 存取控制
- 5.3 Key Vault 與應用程式整合
- 5.4 Key Vault 安全最佳實踐
- 六、Microsoft Entra ID 身分安全
- 6.1 Azure AD 與 Entra ID
- 6.2 Entra ID 核心功能
- 6.3 Entra ID Connect 混合身分
- 6.4 Privileged Identity Management(PIM)
- 七、企業資安合規
- 7.1 Azure 合規認證
- 7.2 Azure Policy 合規管理
- 7.3 Microsoft Defender for Cloud
- 7.4 合規實踐建議
- 八、Azure 與 AWS 資安比較
- 常見問題 FAQ
- Azure 資料中心安全嗎?
- Azure WAF 和 Azure Firewall 有什麼差別?
- Azure Front Door 和 Application Gateway 該選哪個?
- Key Vault 的 HSM 是什麼?
- 怎麼開始啟用 MFA?
- Azure 符合台灣金管會的雲端規範嗎?
- 結論與下一步
- Azure 資安需要專業協助?
Azure 資安完整指南:WAF、Front Door、DDoS 防護企業實戰
企業上雲的最大顧慮,往往不是技術難度,而是資安風險。「資料放在雲端安全嗎?」「遇到 DDoS 攻擊怎麼辦?」「如何符合 ISO 27001 合規要求?」這些都是企業 IT 主管最常問的問題。
Azure 提供了完整的資安服務體系,從網路層防護(WAF、Firewall、DDoS Protection)、應用層安全(Front Door、API Management)、身分管理(Entra ID)到資料保護(Key Vault、加密服務),涵蓋雲端安全的每一個面向。
這篇文章會帶你了解 Azure 資安的核心服務,從基礎概念到企業實戰配置,幫你打造完整的雲端安全防線。
一、Azure 資安服務總覽
1.1 資安服務分類
Azure 資安服務可以依據防護層級分為五大類:
網路安全:
- Azure Firewall:雲端原生的網路防火牆
- Azure WAF:Web 應用程式防火牆
- Azure DDoS Protection:分散式阻斷服務防護
- Azure Front Door:全球負載平衡與 WAF 整合
身分與存取管理:
- Microsoft Entra ID(前 Azure AD):企業身分識別服務
- Privileged Identity Management(PIM):特權帳號管理
- Conditional Access:條件式存取控制
資料保護:
- Azure Key Vault:金鑰與密碼管理
- Azure Information Protection:資料分類與保護
- 透明資料加密(TDE):資料庫加密
威脅防護:
- Microsoft Defender for Cloud:雲端安全態勢管理
- Microsoft Sentinel:SIEM 與 SOAR 服務
- Azure Network Watcher:網路監控與診斷
合規管理:
- Azure Policy:合規政策自動化
- Azure Blueprints:合規藍圖部署
- Compliance Manager:合規狀態管理
1.2 共同責任模型
雲端資安採用「共同責任模型」(Shared Responsibility Model)。簡單來說:
| 責任歸屬 | IaaS | PaaS | SaaS |
|---|---|---|---|
| 資料分類與治理 | 客戶 | 客戶 | 客戶 |
| 身分與存取管理 | 客戶 | 客戶 | 共同 |
| 應用程式安全 | 客戶 | 共同 | Microsoft |
| 網路控制 | 客戶 | 共同 | Microsoft |
| 作業系統 | 客戶 | Microsoft | Microsoft |
| 實體基礎設施 | Microsoft | Microsoft | Microsoft |
這代表什麼?使用 Azure VM(IaaS),你要負責作業系統的補丁更新;使用 Azure App Service(PaaS),微軟會幫你處理作業系統安全;但無論使用哪種服務,資料的分類與保護永遠是你的責任。
1.3 Azure 資安最佳實踐框架
微軟提供了 Cloud Adoption Framework(CAF)安全基準,建議的實踐順序是:
- 身分優先:先確立身分管理策略,啟用 MFA
- 網路分割:建立 VNet、NSG、Firewall 多層防護
- 資料保護:敏感資料加密,金鑰集中管理
- 威脅偵測:啟用 Defender for Cloud 與日誌收集
- 合規自動化:用 Azure Policy 確保持續合規
二、Azure WAF 設定與最佳實踐
2.1 什麼是 Azure WAF?
Azure WAF(Web Application Firewall)是保護 Web 應用程式的第一道防線。它能防禦 OWASP Top 10 常見攻擊,包括:
- SQL Injection(SQL 注入)
- Cross-Site Scripting(XSS 跨站腳本)
- Command Injection(命令注入)
- Remote File Inclusion(遠端檔案包含)
- HTTP Protocol Violations(HTTP 協定違規)
2.2 WAF 部署選項
Azure WAF 可以部署在三種服務上:
Application Gateway WAF:
- 適合:區域性應用、需要 L7 負載平衡
- 計費:固定費用 + 容量單位費用
- 優勢:與 Azure Virtual Network 深度整合
Front Door WAF:
- 適合:全球分散式應用、需要 CDN 加速
- 計費:每百萬請求 + 規則數量
- 優勢:邊緣節點防護、回應速度快
CDN WAF:
- 適合:靜態內容加速為主的應用
- 計費:與 CDN 費用整合
- 優勢:簡單易用、成本較低
對大多數企業應用來說,Front Door WAF 是最推薦的選擇,因為它結合了全球加速、DDoS 防護和 WAF 功能。
2.3 WAF 規則設定
Azure WAF 提供三種規則類型:
託管規則集(Managed Rule Sets): 微軟維護的預設規則,涵蓋 OWASP Top 10。主要有兩個版本:
- OWASP 3.2:較嚴格,誤報率較高
- Microsoft Default Rule Set (DRS) 2.1:較平衡,建議使用
自訂規則(Custom Rules): 根據業務需求自訂的規則,例如:
- 封鎖特定 IP 或國家
- 限制特定 URL 的請求頻率
- 檢查特定 Header 或 Cookie
排除規則(Exclusions): 當託管規則誤擋正常流量時,可以設定排除:
- 排除特定請求欄位(如檔案上傳)
- 排除特定 URL 路徑
- 排除特定規則 ID
2.4 WAF 監控與調校
WAF 上線後,最重要的工作是持續監控與調校:
偵測模式與防禦模式:
- 偵測模式(Detection):只記錄不阻擋,適合上線初期
- 防禦模式(Prevention):記錄並阻擋,適合調校完成後
建議的上線流程:
- 以偵測模式上線,收集 7-14 天日誌
- 分析 WAF 日誌,找出誤報的規則
- 針對誤報設定排除或調整規則
- 切換到防禦模式
- 持續監控,定期檢視規則效果
監控指標:
- WAF 請求總數與阻擋比例
- 觸發最多的規則 Top 10
- 阻擋請求的來源 IP 分布
- 誤報申訴與處理時間
WAF 設定需要專業協助? WAF 設定錯誤可能導致誤擋正常流量或漏掉攻擊。 預約資安評估,讓我們幫你檢視 WAF 設定。
三、Azure Front Door CDN 與安全整合
Azure Front Door 是微軟的全球邊緣網路服務,結合了 CDN、全球負載平衡、WAF 和 DDoS 防護。
3.1 Front Door 核心功能
全球負載平衡:
- 智慧路由到最近或最快的後端
- 主動健康探測,自動故障轉移
- 支援優先級、權重等路由策略
CDN 加速:
- 全球 118+ 邊緣節點
- 靜態內容快取
- 動態站台加速(DSA)
安全整合:
- 內建 DDoS L3/L4 防護
- WAF 規則可在邊緣執行
- Bot 管理與 Rate Limiting
3.2 Front Door Standard 與 Premium 比較
| 功能 | Standard | Premium |
|---|---|---|
| CDN 加速 | ✓ | ✓ |
| 全球負載平衡 | ✓ | ✓ |
| SSL 憑證管理 | ✓ | ✓ |
| WAF 基本規則 | ✓ | ✓ |
| 進階 WAF 規則 | - | ✓ |
| Bot 管理 | - | ✓ |
| Private Link | - | ✓ |
對需要進階 WAF 功能(如 Bot 防護)或 Private Link 連接的企業,建議選擇 Premium。
3.3 Front Door 與後端整合架構
典型的 Front Door 安全架構:
Internet → Front Door (WAF + DDoS) → Private Link → App Service / AKS / VM
這個架構的優勢:
- 攻擊在邊緣被阻擋,不會到達後端
- 後端可以完全隱藏在私有網路中
- 結合 Private Link,連 Azure 內部也是私有連線
四、Azure DDoS Protection
4.1 DDoS Protection 服務層級
Azure 提供兩個 DDoS 防護層級:
DDoS Network Protection(舊稱 Standard):
- 自動調整的 L3/L4 防護
- 即時攻擊分析與報告
- 攻擊期間的成本保護
- 費用:每月約 $2,944 USD + 每 100 個公用 IP $29.5
DDoS IP Protection:
- 適合小型部署
- 保護單一公用 IP
- 費用:每個 IP 每月約 $199 USD
4.2 DDoS 防護最佳實踐
架構設計:
- 盡量減少公用 IP 數量
- 使用 Azure Front Door 或 Application Gateway 作為入口
- 後端服務放在私有子網路
監控配置:
- 啟用 DDoS 診斷日誌
- 設定攻擊警示通知
- 建立攻擊回應流程
演練準備:
- 記錄正常流量基準
- 準備緊急聯絡清單
- 定期模擬攻擊演練(需向 Microsoft 申請)
五、Azure Key Vault 金鑰管理
5.1 Key Vault 用途
Azure Key Vault 是集中管理密碼、金鑰和憑證的服務:
密碼管理(Secrets):
- 資料庫連線字串
- API 金鑰
- 服務帳號密碼
金鑰管理(Keys):
- 加密金鑰(用於資料加密)
- 簽章金鑰(用於數位簽章)
- 支援 HSM 硬體保護
憑證管理(Certificates):
- SSL/TLS 憑證儲存
- 自動憑證更新
- 整合 DigiCert、GlobalSign
5.2 Key Vault 存取控制
Key Vault 提供兩種存取控制模型:
Azure RBAC(建議):
- 使用 Azure 角色型存取控制
- 可細分到單一密碼或金鑰層級
- 角色例如:Key Vault Secrets User、Key Vault Crypto User
存取原則(Access Policies):
- 傳統存取控制方式
- 以使用者或服務主體為單位授權
- 無法細分到單一物件
5.3 Key Vault 與應用程式整合
Azure App Service 整合: 在 App Service 設定中,可以直接參照 Key Vault 密碼:
@Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/dbpassword)
Azure Kubernetes Service 整合: 使用 CSI Secrets Store Driver,將 Key Vault 密碼掛載為 Volume。
程式碼整合: 使用 Azure SDK 搭配 Managed Identity,無需在程式碼中硬編金鑰。
5.4 Key Vault 安全最佳實踐
- 啟用軟刪除與清除保護:防止意外刪除
- 使用 Managed Identity:避免在程式碼中儲存認證
- 啟用診斷日誌:追蹤所有存取紀錄
- 設定網路存取限制:只允許特定 VNet 或 IP
- 定期輪換密碼:設定自動化輪換流程
擔心雲端安全? 金鑰管理是資安的基礎,一旦外洩後果嚴重。 預約資安評估,讓我們幫你檢視金鑰管理策略。
六、Microsoft Entra ID 身分安全
6.1 Azure AD 與 Entra ID
2023 年,微軟將 Azure AD 更名為 Microsoft Entra ID,強調身分識別不只是 Azure 的服務,而是整個 Microsoft 生態系的核心。
功能上沒有改變,只是品牌重新定位:
- Azure AD → Microsoft Entra ID
- Azure AD Premium P1/P2 → Microsoft Entra ID P1/P2
- Azure AD B2C → Microsoft Entra External ID
6.2 Entra ID 核心功能
單一登入(SSO):
- 支援數千個 SaaS 應用程式
- SAML、OIDC、WS-Federation 協定
- 使用者只需記住一組密碼
多因素驗證(MFA):
- Microsoft Authenticator App
- SMS / 電話驗證
- FIDO2 硬體金鑰
條件式存取(Conditional Access):
- 依據使用者、裝置、位置設定存取條件
- 例如:從公司網路可直接登入,從外部需要 MFA
- 可整合 Microsoft Defender for Cloud Apps
6.3 Entra ID Connect 混合身分
大多數企業有既有的 Active Directory,需要與雲端身分整合:
同步選項:
- Password Hash Sync:密碼雜湊同步到雲端
- Pass-through Authentication:即時驗證本地 AD
- Federation(ADFS):透過地端 ADFS 驗證
對大多數企業,Password Hash Sync + Seamless SSO 是最簡單有效的方案。
6.4 Privileged Identity Management(PIM)
PIM 用於管理特權帳號,核心概念是「即時存取」(Just-in-Time Access):
運作方式:
- 管理員平時沒有特權角色
- 需要時,申請啟用角色
- 經過核准(或自動核准),獲得限時權限
- 時間到期後,權限自動撤銷
支援的角色:
- Entra ID 角色(如 Global Admin)
- Azure RBAC 角色(如 Subscription Owner)
- Azure 資源群組與訂用帳戶
最佳實踐:
- Global Admin 數量控制在 2-4 人
- 所有特權角色都透過 PIM 管理
- 啟用角色需要 MFA 與 justification
七、企業資安合規
7.1 Azure 合規認證
Azure 擁有業界最廣泛的合規認證:
| 合規標準 | 說明 | 適用產業 |
|---|---|---|
| ISO 27001 | 資訊安全管理系統 | 所有產業 |
| SOC 1/2/3 | 服務組織控制 | 金融、SaaS |
| PCI DSS | 支付卡產業安全 | 電商、金融 |
| HIPAA | 醫療資訊保護 | 醫療照護 |
| GDPR | 歐盟資料保護 | 有歐洲客戶的企業 |
| CSA STAR | 雲端安全聯盟 | 所有產業 |
7.2 Azure Policy 合規管理
Azure Policy 讓你定義合規規則,並自動強制執行:
內建政策範例:
- 要求所有儲存體帳戶啟用加密
- 禁止在特定區域建立資源
- 要求所有 VM 安裝指定的擴充功能
政策效果:
- Deny:阻擋不合規的部署
- Audit:記錄但不阻擋
- DeployIfNotExists:自動修復不合規設定
- Append:自動附加設定(如標籤)
Initiative(計畫): 將多個相關政策打包成一個計畫,例如「CIS Azure Foundations Benchmark」包含了數十條安全最佳實踐。
7.3 Microsoft Defender for Cloud
Microsoft Defender for Cloud(前 Azure Security Center)是雲端安全態勢管理(CSPM)平台:
核心功能:
- 安全分數(Secure Score):量化你的安全狀態
- 安全建議:優先處理的改善項目
- 合規儀表板:符合各標準的程度
進階功能(Defender 方案):
- Defender for Servers:VM 威脅防護
- Defender for Containers:容器安全掃描
- Defender for Databases:資料庫威脅偵測
- Defender for Storage:儲存體惡意軟體掃描
整合 DevSecOps: Defender for Cloud 可以整合到 CI/CD 流程,在部署前掃描 IaC 設定(如 ARM、Terraform),找出安全問題。想了解更多 DevSecOps 實踐,請參考 Azure DevOps 完整教學。
7.4 合規實踐建議
給準備 ISO 27001 的企業:
- 先用 Azure Policy 部署 ISO 27001 Initiative
- 透過 Defender for Cloud 檢視合規狀態
- 針對不合規項目制定改善計畫
- 收集稽核所需的證據與報告
給金融業客戶: Azure 在台灣有金管會認可的資料中心,符合金融業使用雲端的規範。建議搭配 Azure Confidential Computing 處理最敏感的資料。
若你對 Azure 資安認證有興趣,AZ-500(Azure Security Engineer Associate)是專門的資安證照,詳情請參考 Azure 證照考試指南。
八、Azure 與 AWS 資安比較
如果你同時在評估 Azure 和 AWS,以下是兩者在資安服務上的對照:
| 功能類別 | Azure | AWS |
|---|---|---|
| WAF | Azure WAF | AWS WAF |
| DDoS | DDoS Protection | AWS Shield |
| 金鑰管理 | Key Vault | KMS + Secrets Manager |
| 身分管理 | Entra ID | IAM + Cognito |
| 網路防火牆 | Azure Firewall | Network Firewall |
| SIEM | Microsoft Sentinel | Security Lake + OpenSearch |
| CSPM | Defender for Cloud | Security Hub |
Azure 的優勢:
- 與 Microsoft 365 的深度整合
- Entra ID 是企業身分管理的業界標準
- Sentinel 的威脅情報與 AI 分析
AWS 的優勢:
- 更細緻的 IAM 權限控制
- Security Hub 的合規報告較完整
- 更多的第三方安全工具整合
更完整的平台比較,請參考 Azure vs AWS 完整比較。
常見問題 FAQ
Azure 資料中心安全嗎?
Azure 全球資料中心都通過 ISO 27001、SOC 2 等認證,有 24/7 實體安全、生物辨識門禁、視訊監控等措施。在共同責任模型下,實體安全是微軟的責任,你的責任是保護好帳號、資料和應用程式。
Azure WAF 和 Azure Firewall 有什麼差別?
WAF 是 Layer 7(應用層)防火牆,保護 Web 應用程式,防禦 SQL Injection、XSS 等攻擊。Firewall 是 Layer 3/4(網路層)防火牆,控制 IP 和 Port 的進出流量。兩者通常會搭配使用,WAF 放在前端,Firewall 放在 VNet 層級。
Azure Front Door 和 Application Gateway 該選哪個?
Front Door 適合全球分散式應用,在邊緣節點提供 WAF 和 CDN。Application Gateway 適合區域性應用,整合在 VNet 內部。如果你的用戶遍布全球,選 Front Door;如果用戶主要在台灣,Application Gateway 就足夠了。
Key Vault 的 HSM 是什麼?
HSM(Hardware Security Module)是硬體安全模組,金鑰儲存在專用的硬體晶片中,無法被匯出。Azure Key Vault 提供三種 SKU:Standard(軟體保護)、Premium(HSM 保護)、Managed HSM(專用 HSM)。金融、政府等高安全需求的場景建議使用 Premium 或 Managed HSM。
怎麼開始啟用 MFA?
在 Entra ID 管理中心,可以啟用「安全預設值」(Security Defaults),這會強制所有使用者使用 MFA。如果需要更細緻的控制,可以使用 Conditional Access 政策,依據使用者角色、登入位置等條件決定是否要求 MFA。想了解資安服務的費用規劃,請見 Azure 費用計算完整指南。
Azure 符合台灣金管會的雲端規範嗎?
是的。Azure 東亞區域(包含台灣)符合金管會的金融業使用雲端服務規範。微軟也提供相關的合規文件與稽核報告。建議在上雲前與金管會確認最新的規範要求。
結論與下一步
Azure 提供了全方位的資安服務,從網路邊界的 Front Door + WAF,到內部的 Firewall 與 NSG;從身分管理的 Entra ID,到資料保護的 Key Vault;從威脅偵測的 Defender for Cloud,到合規管理的 Azure Policy。
建議的資安強化順序:
- 身分安全:啟用 MFA,設定條件式存取
- 網路防護:部署 WAF,啟用 DDoS Protection
- 資料保護:使用 Key Vault 管理密碼與金鑰
- 持續監控:啟用 Defender for Cloud,建立安全基準
- 合規管理:部署 Azure Policy,確保持續合規
Azure 資安是整體雲端架構的重要一環,更多 Azure 服務介紹請見 Azure 完整指南。
Azure 資安需要專業協助?
如果你正在:
- 規劃 Azure WAF 與 DDoS 防護架構
- 需要符合 ISO 27001 或其他合規要求
- 擔心雲端資安但不知從何開始
預約資安評估諮詢,我們會在 24 小時內回覆。 從架構檢視到合規建議,提供完整的資安諮詢服務。