把企业的主要业务迁移至云计算环境为企业带来了很多的好处，但是在云计算供应商环境中实施充分的安全控制将是一项极具挑战性的工作。微软公司的Azure是如今市场上最大型的云计算平台之一，而微软Azure于近期新增的安全性功能则使得它进一步得到了企业用户的青睐。

微软对于它的一些内部运行安全措施是持开放态度的，其中就包括了公司的安全开发生命周期、微软安全响应中心以及微软恶意软件防护中心。关于这些团队和安全措施的信息都是通过SSAE 16 SOC 2和其他报告中的标准审计和合同要求披露的。

但是，除了微软的内部安全措施和控制以外，该公司还增加了客户能够自行配置和管理的大量安全功能。

网络安全

微软Azure安全性包括了允许客户通过Azure虚拟网络网关从他们的本地数据中心建立一个加密的IPSed通道。此外，内部网络和虚拟机实例不仅能够单独使用，而且还能在使用虚拟网络、专用IP地址范围以及用作状态防火墙规则集的网络安全组中被部署在相同的客户订阅中的各个系统和IP子网。从选择的供应商合作伙伴处所获得的单个虚拟网络安全设施也可以在Azure中实施，以用作不同的安全网关，从而提供更强大的入侵防御和网络应用程序防火墙功能。

日志密钥

为了保护存储在Azure中的数据，微软公司提供了Azure Key Vault硬件安全模块来生成导入密钥，以供Azure中的应用程序或虚拟机使用。Azure的密钥都默认采用了256位AES加密算法，该算法满足了业界对于数据加密的基本行业要求。Azure Key Vault日志将很快提供导出至日志监控和SIEM平台的功能，同时所有对密钥的访问（无论是通过直接访问还是通过API）都将被记录在案以供后期完整性审计使用。

所有Azure实例和应用程序可生成审计和日志事件，并将相关记录存储至使用Azure存储服务的Windows Azure Diagnostics收集器。然后，这些事件就可被发送至Azure的HDInsight Hadoop服务，以供集成和分析，或者导出至一个内部部署SIEM或其他日志管理和监控服务。大量的报告也被纳入管理控制面板以监控管理门户的登陆和活动。

反恶意软件

微软Azure安全提供了大量的集成反恶意软件选项。对于一个完全集成的简单方法，客户可在Azure管理门户网站中启用Azure的微软反恶意软件。这就可以在虚拟机环境中使用微软公司自己的反恶意软件服务以监控和保护虚拟机。众多业界领先的反恶意软件供应商（例如赛门铁克、McAfee、卡巴斯基、趋势科技等等）也纷纷推出了兼容Azure security的产品。其中，有些采用了虚拟设备格式，那么就可以使用Azure API来监控虚拟机。而其他的一些产品则可与Active Directory集成，它们可更多地关注于电子邮件、即时消息以及一些基于网络的恶意软件。

身份和访问管理

微软提供了多元身份认证及其Azure多元身份验证服务，该服务也适用于内部部署的Azure集成。Azure的Active Directory是Azure的身份提供和管理产品，该产品可通过用户使用微软联合服务来实现与内部部署Active Directory系统的集成。它也可以作为一个全功能的身份识别即服务产品来控制和管理用户对微软应用程序和其他SaaS供应商的访问。

最后，微软允许客户通过填写表格来执行针对他们Azure环境的渗透测试。

微软Azure安全的未来

随着IaaS和PaaS云计算服务竞争的日益白热化，微软Azure正逐渐发展成为提供更多客户管理安全控件的供应商之一。对于那些把敏感数据和工作负载迁移至云计算的企业来说，安全性变得比以往任何时候都更加地至关重要，而对于微软公司这样的业内巨头来说，安全性将有可能继续成为一个企业成功的竞争优势。