ما هو أمان شبكة Azure؟

أمان الشبكة هو جانب مهم من جوانب حوسبة السحابة، لأنه يحمي البيانات والتطبيقات التي تعمل على السحابة من التهديدات والهجمات المختلفة. يوفر Azure مجموعة شاملة من حلول أمان الشبكة التي تمكنك من تصميم ونشر وإدارة الشبكات الآمنة والمرنة في السحابة.

أحد المبادئ التوجيهية لأمان شبكة Azure هو نموذج الثقة المعدومة، والذي يفترض أنه لا توجد شبكة أو جهاز آمن بطبيعتها أو جدير بالثقة. بدلا من ذلك، يجب التحقق من كل طلب واتصال والتحقق من صحته استنادا إلى البيانات والهوية والسياق. يساعدك نموذج الثقة المعدومة على منع الوصول غير المصرح به، والحد من الحركة الجانبية، وتقليل سطح الهجوم لشبكاتك.

اختيار حل

يعتمد اختيار حل أمان الشبكة المناسب لأحمال عمل Azure على احتياجاتك ومتطلباتك المحددة. يوفر Azure مجموعة متنوعة من خدمات أمان الشبكة التي يمكن استخدامها بشكل فردي أو مجتمعة لحماية أحمال العمل الخاصة بك. فيما يلي بعض العوامل الرئيسية التي يجب مراعاتها عند اختيار حل أمان الشبكة:

• نوع حمل العمل: أحمال العمل المختلفة لها متطلبات أمان مختلفة. على سبيل المثال، قد تتطلب تطبيقات الويب الحماية من هجمات الويب، بينما قد تتطلب الأجهزة الظاهرية الحماية من الهجمات المستندة إلى الشبكة.
• نموذج التوزيع: يوفر Azure نماذج توزيع مختلفة لخدمات أمان الشبكة، مثل الأجهزة الظاهرية والخدمات المدارة والحلول المتكاملة. اختر النموذج الذي يناسب احتياجاتك ومتطلباتك.
• التكامل مع خدمات Azure الأخرى: تتكامل العديد من خدمات أمان شبكة Azure مع خدمات Azure الأخرى، مثل Azure Monitor ومركز أمان Azure وMicrosoft Sentinel. اختر حلا يمكن أن يتكامل بسهولة مع خدمات Azure الحالية لتحسين الأمان والمراقبة.
• التكلفة: خدمات أمان الشبكة المختلفة لها نماذج تسعير مختلفة. اختر حلا يناسب ميزانيتك ويوفر مستوى الحماية الذي تحتاجه.
• متطلبات التوافق: اعتمادا على مجال عملك وموقعك، قد يكون لديك متطلبات امتثال محددة يجب أن يفي بها حل أمان الشبكة. اختر حلا يمكن أن يساعدك على تلبية هذه المتطلبات.
• قابلية التوسع: مع نمو أحمال العمل الخاصة بك، يجب أن يكون حل أمان الشبكة قادرا على التوسع معها. اختر حلا يمكنه التعامل مع زيادة نسبة استخدام الشبكة وأحمال العمل دون المساس بالأمان.
• الإدارة والمراقبة: اختر حلا يوفر إمكانات إدارة ومراقبة سهلة، مثل لوحات المعلومات والتنبيهات وإعداد التقارير. سيساعدك هذا على تحديد الحوادث الأمنية والاستجابة لها بسرعة.

جدار حماية Azure

Azure Firewall هي خدمة جدار حماية شبكة ذكية أصلية على السحابة توفر حماية كاملة ذات حالة عالية مع قابلية وصول عالية مدمجة وقابلية توسع غير محدودة للسحابة. يوفر كلا من الأمان على مستوى الشبكة والتطبيق لأحمال عمل Azure. كخدمة مدارة، يمكن نشر Azure Firewall في شبكة ظاهرية والتكامل بسلاسة مع خدمات Azure الأخرى مثل Azure Monitor ومركز أمان Azure وMicrosoft Sentinel لتحسين الأمان والمراقبة.

اعتمادا على احتياجاتك، يمكنك الاختيار من بين ثلاث وحدات SKU لجدار حماية Azure:

• أساسي: SKU الأساسية هي خيار فعال من حيث التكلفة لحلول جدار الحماية البسيطة في أحمال عمل Azure. ويوفر ميزات أساسية مثل تصفية الشبكة والتطبيق وترجمة عنوان الشبكة والتسجيل.
• قياسي: SKU القياسي هو خيار أكثر تقدما يتضمن ميزات إضافية مثل وكيل DNS وفئات الويب. تم تصميمه لحلول جدار الحماية الأكثر شمولا في أحمال عمل Azure.
• Premium: Premium SKU هو الخيار الأكثر تقدما الذي يتضمن جميع ميزات SKU القياسية، بالإضافة إلى ميزات إضافية مثل فحص TLS واكتشاف التسلل والوقاية منه وتصفية عنوان URL. تم تصميمه لأعلى مستوى من الأمان والتحكم في أحمال عمل Azure.

حالات الاستخدام

• أمان الشبكة: حماية أحمال عمل Azure من الهجمات المستندة إلى الشبكة والوصول غير المصرح به.
• أمان التطبيق: حماية أحمال عمل Azure من الهجمات والثغرات الأمنية المستندة إلى التطبيق.
• الكشف عن التسلل والوقاية منه: راقب شبكتك للبحث عن نشاط ضار، وسجل معلومات حول هذا النشاط، وقم بالإبلاغ عنه، وحاول حظره اختياريا.
• فحص TLS: فحص وفك تشفير حركة مرور TLS للكشف عن التهديدات المخفية في حركة المرور المشفرة وحظرها.
• تصفية عنوان URL: التحكم في الوصول إلى عناوين URL أو فئات محددة من عناوين URL استنادا إلى نهج مؤسستك.

لمزيد من المعلومات، راجع نظرة عامة على جدار حماية Azure.

حماية Azure DDoS

Azure DDoS Protection هي خدمة توفر ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية. الحماية بسيطة لتمكينها على أي شبكة ظاهرية جديدة أو موجودة أو موارد عنوان IP العام، ولا تتطلب أي تغييرات في التطبيق أو الموارد.

• حماية IP: توفر Azure DDoS IP Protection لموارد Azure التي تم تعيين عنوان IP عام لها. إنه يحمي من هجمات طبقة الحجم والبروتوكول والتطبيق.

  

• حماية الشبكة: توفر حماية شبكة Azure DDoS الحماية لموارد Azure في شبكة ظاهرية تم تعيين عنوان IP عام لها. يحتوي على ميزات إضافية مثل دعم الاستجابة السريعة ل DDoS وحماية التكلفة وخصومات WAF.

  

حالات الاستخدام

• الحماية من هجمات DDoS: حماية موارد Azure من هجمات DDoS، بما في ذلك هجمات طبقة التطبيق والبروتوكول والحجم.
• حماية التكلفة: حماية موارد Azure من التكاليف غير المتوقعة بسبب هجمات DDoS.
• الاستجابة السريعة: احصل على دعم الاستجابة السريعة من خبراء Azure DDoS في حالة هجوم DDoS.

لمزيد من المعلومات، راجع نظرة عامة على Azure DDoS Protection.

Azure Web Application Firewall

Azure Web Application Firewall (WAF) هو جدار حماية تطبيق ويب يوفر حماية مركزية لتطبيقات الويب الخاصة بك من عمليات الاستغلال والثغرات الأمنية الشائعة. يستخدم WAF القواعد لمراقبة طلبات واستجابات HTTP، ويمكنه حظر حركة المرور أو السماح بها استنادا إلى القواعد التي تحددها.

يتوفر WAF في خيارين للنشر:

• Azure Application Gateway WAF: Azure Application Gateway هو موازن تحميل لحركة مرور الويب (طبقة OSI 7) التي تمكنك من إدارة نسبة استخدام الشبكة إلى تطبيقات الويب الخاصة بك.
• Azure Front Door WAF: Azure Front Door هو نقطة دخول قابلة للتطوير وآمنة للتسليم السريع لتطبيقاتك العالمية. يوفر تفريغ SSL وتسريع التطبيق وموازنة التحميل العمومية مع تجاوز الفشل الفوري.

حالات الاستخدام

• الحماية من هجمات الويب: حماية تطبيقات الويب الخاصة بك من عمليات الاستغلال والثغرات الأمنية الشائعة، مثل حقن SQL والبرمجة النصية عبر المواقع (XSS).
• الإدارة المركزية: إدارة قواعد ونهج جدار حماية تطبيق الويب الخاص بك من موقع واحد.
• التكامل مع خدمات Azure: دمج WAF مع خدمات Azure الأخرى، مثل Azure Application Gateway وAzure Front Door، لتحسين الأمان والأداء.
• القواعد المخصصة: إنشاء قواعد مخصصة لتلبية متطلبات الأمان والنهج المحددة.
• حماية الروبوت: حماية تطبيقات الويب الخاصة بك من الروبوتات الضارة والهجمات التلقائية.

لمزيد من المعلومات، راجع نظرة عامة على Azure Web Application Firewall.

تجربة Azure portal

يوفر مدخل Microsoft Azure تجربة موحدة لإدارة خدمات أمان الشبكة. يمكنك بسهولة إنشاء خدمات أمان الشبكة وإدارتها من موقع واحد، ويمكنك أيضا عرض حالة خدماتك وصحتها.

سيناريوهات أمان الشبكة الشائعة

يدعم مركز أمان الشبكة حاليا خيارات النشر التالية:

• شبكة ظاهرية موزعة ومتحدثة آمنة: نشر جدار حماية Azure في شبكة ظاهرية معينة كمركز. يمكن لهذه الشبكة الظاهرية المركزية الاتصال بشبكات ظاهرية متعددة محورية باستخدام نظير الشبكة الظاهرية. يرتبط جدار حماية Azure بنهج جدار حماية Azure الذي يحدد القواعد والتكوينات لجدار الحماية. يعد نموذج التوزيع هذا مثاليا للمؤسسات التي تسعى إلى مركزية أمان الشبكة وإدارتها في موقع واحد.

• حماية شبكات WAN الظاهرية على نطاق واسع: نشر جدار حماية Azure في مركز Azure Virtual WAN الآمن. يرتبط جدار حماية Azure بنهج جدار حماية Azure، ويتم توصيل المركز الآمن بمكاتب فرعية متعددة ومستخدمين بعيدين. نموذج النشر هذا مثالي للمؤسسات التي تستخدم Azure Virtual WAN لتوصيل مكاتب فرعية متعددة ومستخدمين بعيدين بموارد Azure.

• الثقة المعدومة لتطبيقات الويب: استخدم Azure Application Gateway مع نهج Azure Web Application Firewall (WAF) لحماية تطبيقات الويب الإقليمية من عمليات الاستغلال والثغرات الأمنية الشائعة. تخصيص نهج WAF لتلبية احتياجات الأمان المحددة لتطبيقات الويب الخاصة بك بشكل فعال.

• تقديم محتوى السحابة بأمان: استخدم Azure Front Door مع نهج Azure Web Application Firewall (WAF) لحماية وتحسين تسليم تطبيقات الويب العالمية. يضمن نموذج التوزيع هذا أداء التطبيق الآمن والفعال مع السماح لك بتخصيص نهج WAF لتلبية احتياجات الأمان المحددة.

الخطوات التالية

تعرف على المزيد حول الميزات والقدرات المختلفة لكل خدمة أمان شبكة Azure:

وثائق أمان شبكة Azure