Azure 資安完整指南：WAF、Front Door、DDoS 防護企業實戰

企業上雲的最大顧慮，往往不是技術難度，而是資安風險。「資料放在雲端安全嗎？」「遇到 DDoS 攻擊怎麼辦？」「如何符合 ISO 27001 合規要求？」這些都是企業 IT 主管最常問的問題。

Azure 提供了完整的資安服務體系，從網路層防護（WAF、Firewall、DDoS Protection）、應用層安全（Front Door、API Management）、身分管理（Entra ID）到資料保護（Key Vault、加密服務），涵蓋雲端安全的每一個面向。

這篇文章會帶你了解 Azure 資安的核心服務，從基礎概念到企業實戰配置，幫你打造完整的雲端安全防線。

一、Azure 資安服務總覽

1.1 資安服務分類

Azure 資安服務可以依據防護層級分為五大類：

網路安全：

• Azure Firewall：雲端原生的網路防火牆
• Azure WAF：Web 應用程式防火牆
• Azure DDoS Protection：分散式阻斷服務防護
• Azure Front Door：全球負載平衡與 WAF 整合

身分與存取管理：

• Microsoft Entra ID（前 Azure AD）：企業身分識別服務
• Privileged Identity Management（PIM）：特權帳號管理
• Conditional Access：條件式存取控制

資料保護：

• Azure Key Vault：金鑰與密碼管理
• Azure Information Protection：資料分類與保護
• 透明資料加密（TDE）：資料庫加密

威脅防護：

• Microsoft Defender for Cloud：雲端安全態勢管理
• Microsoft Sentinel：SIEM 與 SOAR 服務
• Azure Network Watcher：網路監控與診斷

合規管理：

• Azure Policy：合規政策自動化
• Azure Blueprints：合規藍圖部署
• Compliance Manager：合規狀態管理

1.2 共同責任模型

雲端資安採用「共同責任模型」（Shared Responsibility Model）。簡單來說：

責任歸屬	IaaS	PaaS	SaaS
資料分類與治理	客戶	客戶	客戶
身分與存取管理	客戶	客戶	共同
應用程式安全	客戶	共同	Microsoft
網路控制	客戶	共同	Microsoft
作業系統	客戶	Microsoft	Microsoft
實體基礎設施	Microsoft	Microsoft	Microsoft

這代表什麼？使用 Azure VM（IaaS），你要負責作業系統的補丁更新；使用 Azure App Service（PaaS），微軟會幫你處理作業系統安全；但無論使用哪種服務，資料的分類與保護永遠是你的責任。

1.3 Azure 資安最佳實踐框架

微軟提供了 Cloud Adoption Framework（CAF）安全基準，建議的實踐順序是：

1. 身分優先：先確立身分管理策略，啟用 MFA
2. 網路分割：建立 VNet、NSG、Firewall 多層防護
3. 資料保護：敏感資料加密，金鑰集中管理
4. 威脅偵測：啟用 Defender for Cloud 與日誌收集
5. 合規自動化：用 Azure Policy 確保持續合規

二、Azure WAF 設定與最佳實踐

2.1 什麼是 Azure WAF？

Azure WAF（Web Application Firewall）是保護 Web 應用程式的第一道防線。它能防禦 OWASP Top 10 常見攻擊，包括：

• SQL Injection（SQL 注入）
• Cross-Site Scripting（XSS 跨站腳本）
• Command Injection（命令注入）
• Remote File Inclusion（遠端檔案包含）
• HTTP Protocol Violations（HTTP 協定違規）

2.2 WAF 部署選項

Azure WAF 可以部署在三種服務上：

Application Gateway WAF：

• 適合：區域性應用、需要 L7 負載平衡
• 計費：固定費用 + 容量單位費用
• 優勢：與 Azure Virtual Network 深度整合

Front Door WAF：

• 適合：全球分散式應用、需要 CDN 加速
• 計費：每百萬請求 + 規則數量
• 優勢：邊緣節點防護、回應速度快

CDN WAF：

• 適合：靜態內容加速為主的應用
• 計費：與 CDN 費用整合
• 優勢：簡單易用、成本較低

對大多數企業應用來說，Front Door WAF 是最推薦的選擇，因為它結合了全球加速、DDoS 防護和 WAF 功能。

2.3 WAF 規則設定

Azure WAF 提供三種規則類型：

託管規則集（Managed Rule Sets）： 微軟維護的預設規則，涵蓋 OWASP Top 10。主要有兩個版本：

• OWASP 3.2：較嚴格，誤報率較高
• Microsoft Default Rule Set (DRS) 2.1：較平衡，建議使用

自訂規則（Custom Rules）： 根據業務需求自訂的規則，例如：

• 封鎖特定 IP 或國家
• 限制特定 URL 的請求頻率
• 檢查特定 Header 或 Cookie

排除規則（Exclusions）： 當託管規則誤擋正常流量時，可以設定排除：

• 排除特定請求欄位（如檔案上傳）
• 排除特定 URL 路徑
• 排除特定規則 ID

2.4 WAF 監控與調校

WAF 上線後，最重要的工作是持續監控與調校：

偵測模式與防禦模式：

• 偵測模式（Detection）：只記錄不阻擋，適合上線初期
• 防禦模式（Prevention）：記錄並阻擋，適合調校完成後

建議的上線流程：

1. 以偵測模式上線，收集 7-14 天日誌
2. 分析 WAF 日誌，找出誤報的規則
3. 針對誤報設定排除或調整規則
4. 切換到防禦模式
5. 持續監控，定期檢視規則效果

監控指標：

• WAF 請求總數與阻擋比例
• 觸發最多的規則 Top 10
• 阻擋請求的來源 IP 分布
• 誤報申訴與處理時間

---

WAF 設定需要專業協助？ WAF 設定錯誤可能導致誤擋正常流量或漏掉攻擊。 預約資安評估，讓我們幫你檢視 WAF 設定。

---

三、Azure Front Door CDN 與安全整合

Azure Front Door 是微軟的全球邊緣網路服務，結合了 CDN、全球負載平衡、WAF 和 DDoS 防護。

3.1 Front Door 核心功能

全球負載平衡：

• 智慧路由到最近或最快的後端
• 主動健康探測，自動故障轉移
• 支援優先級、權重等路由策略

CDN 加速：

• 全球 118+ 邊緣節點
• 靜態內容快取
• 動態站台加速（DSA）

安全整合：

• 內建 DDoS L3/L4 防護
• WAF 規則可在邊緣執行
• Bot 管理與 Rate Limiting

3.2 Front Door Standard 與 Premium 比較

功能	Standard	Premium
CDN 加速	✓	✓
全球負載平衡	✓	✓
SSL 憑證管理	✓	✓
WAF 基本規則	✓	✓
進階 WAF 規則	-	✓
Bot 管理	-	✓
Private Link	-	✓

對需要進階 WAF 功能（如 Bot 防護）或 Private Link 連接的企業，建議選擇 Premium。

3.3 Front Door 與後端整合架構

典型的 Front Door 安全架構：

Internet → Front Door (WAF + DDoS) → Private Link → App Service / AKS / VM

這個架構的優勢：

1. 攻擊在邊緣被阻擋，不會到達後端
2. 後端可以完全隱藏在私有網路中
3. 結合 Private Link，連 Azure 內部也是私有連線

四、Azure DDoS Protection

4.1 DDoS Protection 服務層級

Azure 提供兩個 DDoS 防護層級：

DDoS Network Protection（舊稱 Standard）：

• 自動調整的 L3/L4 防護
• 即時攻擊分析與報告
• 攻擊期間的成本保護
• 費用：每月約 $2,944 USD + 每 100 個公用 IP $29.5

DDoS IP Protection：

• 適合小型部署
• 保護單一公用 IP
• 費用：每個 IP 每月約 $199 USD

4.2 DDoS 防護最佳實踐

架構設計：

• 盡量減少公用 IP 數量
• 使用 Azure Front Door 或 Application Gateway 作為入口
• 後端服務放在私有子網路

監控配置：

• 啟用 DDoS 診斷日誌
• 設定攻擊警示通知
• 建立攻擊回應流程

演練準備：

• 記錄正常流量基準
• 準備緊急聯絡清單
• 定期模擬攻擊演練（需向 Microsoft 申請）

五、Azure Key Vault 金鑰管理

5.1 Key Vault 用途

Azure Key Vault 是集中管理密碼、金鑰和憑證的服務：

密碼管理（Secrets）：

• 資料庫連線字串
• API 金鑰
• 服務帳號密碼

金鑰管理（Keys）：

• 加密金鑰（用於資料加密）
• 簽章金鑰（用於數位簽章）
• 支援 HSM 硬體保護

憑證管理（Certificates）：

• SSL/TLS 憑證儲存
• 自動憑證更新
• 整合 DigiCert、GlobalSign

5.2 Key Vault 存取控制

Key Vault 提供兩種存取控制模型：

Azure RBAC（建議）：

• 使用 Azure 角色型存取控制
• 可細分到單一密碼或金鑰層級
• 角色例如：Key Vault Secrets User、Key Vault Crypto User

存取原則（Access Policies）：

• 傳統存取控制方式
• 以使用者或服務主體為單位授權
• 無法細分到單一物件

5.3 Key Vault 與應用程式整合

Azure App Service 整合： 在 App Service 設定中，可以直接參照 Key Vault 密碼：

@Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/dbpassword)

Azure Kubernetes Service 整合： 使用 CSI Secrets Store Driver，將 Key Vault 密碼掛載為 Volume。

程式碼整合： 使用 Azure SDK 搭配 Managed Identity，無需在程式碼中硬編金鑰。

5.4 Key Vault 安全最佳實踐

1. 啟用軟刪除與清除保護：防止意外刪除
2. 使用 Managed Identity：避免在程式碼中儲存認證
3. 啟用診斷日誌：追蹤所有存取紀錄
4. 設定網路存取限制：只允許特定 VNet 或 IP
5. 定期輪換密碼：設定自動化輪換流程

---

擔心雲端安全？ 金鑰管理是資安的基礎，一旦外洩後果嚴重。 預約資安評估，讓我們幫你檢視金鑰管理策略。

---

六、Microsoft Entra ID 身分安全

6.1 Azure AD 與 Entra ID

2023 年，微軟將 Azure AD 更名為 Microsoft Entra ID，強調身分識別不只是 Azure 的服務，而是整個 Microsoft 生態系的核心。

功能上沒有改變，只是品牌重新定位：

• Azure AD → Microsoft Entra ID
• Azure AD Premium P1/P2 → Microsoft Entra ID P1/P2
• Azure AD B2C → Microsoft Entra External ID

6.2 Entra ID 核心功能

單一登入（SSO）：

• 支援數千個 SaaS 應用程式
• SAML、OIDC、WS-Federation 協定
• 使用者只需記住一組密碼

多因素驗證（MFA）：

• Microsoft Authenticator App
• SMS / 電話驗證
• FIDO2 硬體金鑰

條件式存取（Conditional Access）：

• 依據使用者、裝置、位置設定存取條件
• 例如：從公司網路可直接登入，從外部需要 MFA
• 可整合 Microsoft Defender for Cloud Apps

6.3 Entra ID Connect 混合身分

大多數企業有既有的 Active Directory，需要與雲端身分整合：

同步選項：

• Password Hash Sync：密碼雜湊同步到雲端
• Pass-through Authentication：即時驗證本地 AD
• Federation（ADFS）：透過地端 ADFS 驗證

對大多數企業，Password Hash Sync + Seamless SSO 是最簡單有效的方案。

6.4 Privileged Identity Management（PIM）

PIM 用於管理特權帳號，核心概念是「即時存取」（Just-in-Time Access）：

運作方式：

1. 管理員平時沒有特權角色
2. 需要時，申請啟用角色
3. 經過核准（或自動核准），獲得限時權限
4. 時間到期後，權限自動撤銷

支援的角色：

• Entra ID 角色（如 Global Admin）
• Azure RBAC 角色（如 Subscription Owner）
• Azure 資源群組與訂用帳戶

最佳實踐：

• Global Admin 數量控制在 2-4 人
• 所有特權角色都透過 PIM 管理
• 啟用角色需要 MFA 與 justification

七、企業資安合規

7.1 Azure 合規認證

Azure 擁有業界最廣泛的合規認證：

合規標準	說明	適用產業
ISO 27001	資訊安全管理系統	所有產業
SOC 1/2/3	服務組織控制	金融、SaaS
PCI DSS	支付卡產業安全	電商、金融
HIPAA	醫療資訊保護	醫療照護
GDPR	歐盟資料保護	有歐洲客戶的企業
CSA STAR	雲端安全聯盟	所有產業

7.2 Azure Policy 合規管理

Azure Policy 讓你定義合規規則，並自動強制執行：

內建政策範例：

• 要求所有儲存體帳戶啟用加密
• 禁止在特定區域建立資源
• 要求所有 VM 安裝指定的擴充功能

政策效果：

• Deny：阻擋不合規的部署
• Audit：記錄但不阻擋
• DeployIfNotExists：自動修復不合規設定
• Append：自動附加設定（如標籤）

Initiative（計畫）： 將多個相關政策打包成一個計畫，例如「CIS Azure Foundations Benchmark」包含了數十條安全最佳實踐。

7.3 Microsoft Defender for Cloud

Microsoft Defender for Cloud（前 Azure Security Center）是雲端安全態勢管理（CSPM）平台：

核心功能：

• 安全分數（Secure Score）：量化你的安全狀態
• 安全建議：優先處理的改善項目
• 合規儀表板：符合各標準的程度

進階功能（Defender 方案）：

• Defender for Servers：VM 威脅防護
• Defender for Containers：容器安全掃描
• Defender for Databases：資料庫威脅偵測
• Defender for Storage：儲存體惡意軟體掃描

整合 DevSecOps： Defender for Cloud 可以整合到 CI/CD 流程，在部署前掃描 IaC 設定（如 ARM、Terraform），找出安全問題。想了解更多 DevSecOps 實踐，請參考 Azure DevOps 完整教學。

7.4 合規實踐建議

給準備 ISO 27001 的企業：

1. 先用 Azure Policy 部署 ISO 27001 Initiative
2. 透過 Defender for Cloud 檢視合規狀態
3. 針對不合規項目制定改善計畫
4. 收集稽核所需的證據與報告

給金融業客戶： Azure 在台灣有金管會認可的資料中心，符合金融業使用雲端的規範。建議搭配 Azure Confidential Computing 處理最敏感的資料。

若你對 Azure 資安認證有興趣，AZ-500（Azure Security Engineer Associate）是專門的資安證照，詳情請參考 Azure 證照考試指南。

八、Azure 與 AWS 資安比較

如果你同時在評估 Azure 和 AWS，以下是兩者在資安服務上的對照：

功能類別	Azure	AWS
WAF	Azure WAF	AWS WAF
DDoS	DDoS Protection	AWS Shield
金鑰管理	Key Vault	KMS + Secrets Manager
身分管理	Entra ID	IAM + Cognito
網路防火牆	Azure Firewall	Network Firewall
SIEM	Microsoft Sentinel	Security Lake + OpenSearch
CSPM	Defender for Cloud	Security Hub

Azure 的優勢：

• 與 Microsoft 365 的深度整合
• Entra ID 是企業身分管理的業界標準
• Sentinel 的威脅情報與 AI 分析

AWS 的優勢：

• 更細緻的 IAM 權限控制
• Security Hub 的合規報告較完整
• 更多的第三方安全工具整合

更完整的平台比較，請參考 Azure vs AWS 完整比較。

常見問題 FAQ

Azure 資料中心安全嗎？

Azure 全球資料中心都通過 ISO 27001、SOC 2 等認證，有 24/7 實體安全、生物辨識門禁、視訊監控等措施。在共同責任模型下，實體安全是微軟的責任，你的責任是保護好帳號、資料和應用程式。

Azure WAF 和 Azure Firewall 有什麼差別？

WAF 是 Layer 7（應用層）防火牆，保護 Web 應用程式，防禦 SQL Injection、XSS 等攻擊。Firewall 是 Layer 3/4（網路層）防火牆，控制 IP 和 Port 的進出流量。兩者通常會搭配使用，WAF 放在前端，Firewall 放在 VNet 層級。

Azure Front Door 和 Application Gateway 該選哪個？

Front Door 適合全球分散式應用，在邊緣節點提供 WAF 和 CDN。Application Gateway 適合區域性應用，整合在 VNet 內部。如果你的用戶遍布全球，選 Front Door；如果用戶主要在台灣，Application Gateway 就足夠了。

Key Vault 的 HSM 是什麼？

HSM（Hardware Security Module）是硬體安全模組，金鑰儲存在專用的硬體晶片中，無法被匯出。Azure Key Vault 提供三種 SKU：Standard（軟體保護）、Premium（HSM 保護）、Managed HSM（專用 HSM）。金融、政府等高安全需求的場景建議使用 Premium 或 Managed HSM。

怎麼開始啟用 MFA？

在 Entra ID 管理中心，可以啟用「安全預設值」（Security Defaults），這會強制所有使用者使用 MFA。如果需要更細緻的控制，可以使用 Conditional Access 政策，依據使用者角色、登入位置等條件決定是否要求 MFA。想了解資安服務的費用規劃，請見 Azure 費用計算完整指南。

Azure 符合台灣金管會的雲端規範嗎？

是的。Azure 東亞區域（包含台灣）符合金管會的金融業使用雲端服務規範。微軟也提供相關的合規文件與稽核報告。建議在上雲前與金管會確認最新的規範要求。

結論與下一步

Azure 提供了全方位的資安服務，從網路邊界的 Front Door + WAF，到內部的 Firewall 與 NSG；從身分管理的 Entra ID，到資料保護的 Key Vault；從威脅偵測的 Defender for Cloud，到合規管理的 Azure Policy。

建議的資安強化順序：

1. 身分安全：啟用 MFA，設定條件式存取
2. 網路防護：部署 WAF，啟用 DDoS Protection
3. 資料保護：使用 Key Vault 管理密碼與金鑰
4. 持續監控：啟用 Defender for Cloud，建立安全基準
5. 合規管理：部署 Azure Policy，確保持續合規

Azure 資安是整體雲端架構的重要一環，更多 Azure 服務介紹請見 Azure 完整指南。

---

Azure 資安需要專業協助？

如果你正在：

• 規劃 Azure WAF 與 DDoS 防護架構
• 需要符合 ISO 27001 或其他合規要求
• 擔心雲端資安但不知從何開始

預約資安評估諮詢，我們會在 24 小時內回覆。 從架構檢視到合規建議，提供完整的資安諮詢服務。

---

插圖：Azure 資安服務全景圖

場景描述： 從上到下的分層架構圖，展示 Azure 資安服務在不同層級的布局

視覺重點：

• 主要內容清晰呈現

必須出現的元素：

• 依據描述中的關鍵元素

需要顯示的中文字： 無

顏色調性： 專業、清晰

避免元素： 抽象圖形、齒輪、發光特效

Slug: azure-security-service-overview

插圖：Azure WAF 防護流程

場景描述： 橫向流程圖，展示請求從用戶到後端經過 WAF 的檢查流程

視覺重點：

• 主要內容清晰呈現

必須出現的元素：

• 依據描述中的關鍵元素

需要顯示的中文字： 無

顏色調性： 專業、清晰

避免元素： 抽象圖形、齒輪、發光特效

Slug: azure-waf-protection-flow

插圖：共同責任模型

場景描述： 三欄並列的責任分配圖，展示 IaaS、PaaS、SaaS 下微軟與客戶的責任劃分

視覺重點：

• 主要內容清晰呈現

必須出現的元素：

• 依據描述中的關鍵元素

需要顯示的中文字： 無

顏色調性： 專業、清晰

避免元素： 抽象圖形、齒輪、發光特效

Slug: azure-shared-responsibility-model

插圖：Entra ID 條件式存取

場景描述： 決策流程圖，展示條件式存取根據不同條件決定存取權限

視覺重點：

• 主要內容清晰呈現

必須出現的元素：

• 依據描述中的關鍵元素

需要顯示的中文字： 無

顏色調性： 專業、清晰

避免元素： 抽象圖形、齒輪、發光特效

Slug: azure-conditional-access-flow

---