نظرة عامة على أمان شبكة Azure

يمكن أن يكون تعريف أمان الشبكة على أنه عملية حماية الموارد من الوصول غير المصرّح به أو الهجوم من خلال تطبيق عناصر التحكم على نسبة استخدام الشبكة. الهدف هة الحرص على السماح لنسبة استخدام شبكة شرعية واحدة. يتضمن Azure بنية أساسية قوية لشبكة الاتصال لدعم متطلبات الاتصال للتطبيق والخدمة. اتصال الشبكة ممكن بين الموارد الموجودة في Azure، وبين الموارد المحلية وAzure المستضافة، وإلى ومن الإنترنت وAzure.

تتناول هذه المقالة بعض الخيارات التي يقدمها Azure في مجال أمان الشبكة. يمكنك معرفة المزيد عن:

• شبكة Azure
• التحكم في الوصول إلى الشبكة
• جدار حماية Azure
• تأمين الوصول عن بعد والاتصال عبر أماكن العمل
• التوافر
• تحليل الاسم
• بنية الشبكة المحيطة (DMZ)
• حماية Azure DDoS
• الواجهة الأمامية لـ Azure
• مدير نسبة استخدام الشبكة
• المراقبة والكشف عن التهديدات

إشعار

بالنسبة لأحمال عمل الويب، نوصي بشدة باستخدام حماية Azure DDoS وجدار حماية تطبيق الويب للحماية من هجمات DDoS الناشئة. خيار آخر هو نشر Azure Front Door جنبا إلى جنب مع جدار حماية تطبيق الويب. يوفر Azure Front Door حماية على مستوى النظام الأساسي ضد هجمات DDoS على مستوى الشبكة.

شبكة Azure

يتطلب Azure توصيل الأجهزة الظاهرية بشبكة Azure الظاهرية. الشبكة الظاهرية هي بنية منطقية مبنية فوق نسيج شبكة Azure الفعلي. يتم عزل كل شبكة ظاهرية من كل الشبكات الظاهرية الأخرى. يساعد هذا في ضمان عدم إمكانية وصول عملاء Azure الآخرين إلى نسبة استخدام الشبكة في عمليات التوزيع الخاصة بك.

اعرف المزيد‬:

• نظرة عامة على الشبكة الظاهرية

التحكم في الوصول إلى الشبكة

التحكم في الوصول إلى الشبكة هو إجراء تقييد الاتصال من وإلى أجهزة أو شبكات فرعية معينة داخل شبكة ظاهرية. الهدف من التحكم في الوصول إلى الشبكة هو الحد من الوصول إلى الأجهزة والخدمات الظاهرية للمستخدمين والأجهزة المعتمدة. تستند عناصر التحكم في الوصول إلى قرارات السماح بالاتصالات من وإلى الجهاز الظاهري أو الخدمة أو رفضها.

يدعم Azure عدة أنواع من التحكم في الوصول إلى الشبكة، مثل:

• التحكم في طبقة الشبكة
• تحكم في المسار والنفق القسري
• خيارات الأمـان للشبكة الظاهرية

التحكم في طبقة الشبكة

يتطلب أي توزيع آمن قدرًا من التحكم في الوصول إلى الشبكة. الهدف من التحكم في الوصول إلى الشبكة هو تقييد اتصال الجهاز الظاهري بالأنظمة الضرورية. يتم حظر محاولات الاتصال الأخرى.

إشعار

تتم تغطية جدران حماية التخزين في مقالة نظرة عامة على أمان تخزين Azure

قواعد أمان الشبكة (NSGs)

إذا كنت بحاجة إلى التحكم الأساسي في الوصول على مستوى الشبكة (استنادًا إلى عنوان IP وبروتوكولات TCP أو UDP)، يمكنك استخدام مجموعات أمان الشبكة (NSGs). NSG هو جدار حماية أساسي ذو حالة وتصفية حزمة بيانات، ويمكنك من التحكم في الوصول استنادا إلى 5 مجموعات. تتضمن مجموعات أمان الشبكة وظائف لتبسيط الإدارة وتقليل فرص أخطاء التكوين:

• تبسط قواعد الأمان المعززة تعريف قاعدة NSG وتسمح لك بإنشاء قواعد معقدة بدلًا من الاضطرار إلى إنشاء قواعد بسيطة متعددة لتحقيق نفس النتيجة.
• علامات الخدمة هي تسميات أنشأتها Microsoft تمثل مجموعة من عناوين IP. يتم تحديثها ديناميكيا لتضمين نطاقات IP التي تفي بالشروط التي تحدد التضمين في التسمية. على سبيل المثال، إذا كنت تريد إنشاء قاعدة تنطبق على جميع تخزين Azure في المنطقة الشرقية، يمكنك استخدام Storage.EastUS
• تسمح لك مجموعات أمان التطبيقات بنشر الموارد إلى مجموعات التطبيقات والتحكم في الوصول إلى هذه الموارد عن طريق إنشاء قواعد تستخدم مجموعات التطبيقات هذه. على سبيل المثال، إذا كان لديك خوادم ويب منشورة في مجموعة تطبيقات "خوادم الويب"، يمكنك إنشاء قاعدة تطبق NSG تسمح بنسبة استخدام الشبكة 443 من الإنترنت إلى جميع الأنظمة في مجموعة تطبيقات "خوادم الويب".

لا تتوفر NSGs فحص طبقة التطبيق أو عناصر تحكم الوصول المصادق عليها.

اعرف المزيد‬:

• مجموعات أمان الشبكة

Defender للسحابة - الوصول إلى الجهاز الظاهري في الوقت المناسب

يمكن ل Microsoft Defender for Cloud إدارة مجموعات أمان الشبكة على الأجهزة الظاهرية وتأمين الوصول إلى الجهاز الظاهري حتى يطلب المستخدم الذي لديه التحكم المناسب في الوصول المستند إلى دور Azure أذونات Azure RBAC الوصول. عندما يكون المستخدم معتمدا بنجاح يقوم Defender for Cloud بإجراء تعديلات على NSGs للسماح بالوصول إلى المنافذ المحددة للوقت المحدد. عندما تنتهي صلاحية الوقت، تتم استعادة مجموعات أمان الشبكة إلى حالتها الآمنة السابقة.

اعرف المزيد‬:

• Microsoft Defender للسحابة في الوقت المناسب الوصول

نقاط نهاية الخدمة

نقاط نهاية الخدمة هي طريقة أخرى لتطبيق التحكم في نسبة استخدام الشبكة. يمكنك تقييد الاتصال بالخدمات المدعومة بالشبكات الظاهرية الخاصة بك فقط عبر اتصال مباشر. دائمًا ما تبقى نسبة الاستخدام من VNet المحددة إلى خدمة Azure على الشبكة الأساسية لـ Microsoft Azure.

اعرف المزيد‬:

• نقاط نهاية الخدمة

تحكم في المسار والنفق القسري

تعد القدرة على التحكم في سلوك التوجيه على الشبكات الظاهرية أمرا بالغ الأهمية. إذا تم تكوين التوجيه بشكل غير صحيح، فقد تتصل التطبيقات والخدمات المستضافة على جهازك الظاهري بالأجهزة غير المصرح بها، بما في ذلك الأنظمة المملوكة والمشغلة من قبل المهاجمين المحتملين.

تدعم شبكة Azure القدرة على تخصيص سلوك التوجيه لنسبة استخدام الشبكة على الشبكات الظاهرية. يمكنك هذا من تغيير إدخالات جدول التوجيه الافتراضية في شبكتك الظاهرية. يساعدك التحكم في سلوك التوجيه على التأكد من أن كل نسبة استخدام الشبكة من جهاز معين أو مجموعة من الأجهزة تدخل شبكتك الظاهرية أو تغادرها من خلال موقع معين.

على سبيل المثال، قد يكون لديك جهاز أمان شبكة ظاهرية على شبكتك الظاهرية. تريد التأكد من أن جميع نسبة استخدام الشبكة من وإلى شبكتك الظاهرية تمر عبر جهاز الأمان الظاهري هذا. يمكنك القيام بذلك عن طريق تكوين المسارات المعرفة من قبل المستخدم (UDRs) في Azure.

التوجيه النفقي القسريهو آلية يمكنك استخدامها لضمان عدم السماح لخدماتك ببدء الاتصال بالأجهزة عبر الإنترنت. لاحظ أن هذا يختلف عن قبول الاتصالات الواردة ثم الاستجابة لها. تحتاج خوادم الويب الأمامية إلى الاستجابة للطلبات الواردة من مضيفي الإنترنت، لذلك يسمح بنسبة استخدام الشبكة المصدر عبر الإنترنت الواردة إلى خوادم الويب هذه ويسمح لخوادم الويب بالاستجابة.

ما لا تريد السماح به هو خادم ويب أمامي لبدء طلب صادر. قد تمثل هذه الطلبات خطرًا أمنيًا لأنه يمكن استخدام هذه الاتصالات لتنزيل البرامج الضارة. حتى إذا كنت تريد أن تبدأ هذه الخوادم الأمامية الطلبات الصادرة إلى الإنترنت، فقد ترغب في إجبارها على الانتقال عبر وكلاء الويب المحليين. يمكنك هذا من الاستفادة من تصفية عنوان URL وتسجيله.

بدلًا من ذلك، قد ترغب في استخدام الاتصال النفقي القسري لمنع ذلك. عند تمكين الاتصال النفقي القسري، يتم فرض جميع الاتصالات بالإنترنت من خلال البوابة المحلية. يمكنك تكوين الاتصال النفقي القسري من خلال الاستفادة من UDRs.

اعرف المزيد‬:

• توجيه نسبة استخدام الشبكة الظاهرية

خيارات الأمـان للشبكة الظاهرية

بينما توفر لك NSGs وUDRs والنفق القسري مستوى من الأمان في طبقات الشبكة والنقل من نموذج OSI، قد تحتاج أيضا إلى تمكين الأمان في طبقة التطبيق.

على سبيل المثال، قد تتضمن متطلبات الأمان ما يلي:

• المصادقة والتخويل قبل السماح بالوصول إلى تطبيقك
• الكشف عن الاختراق والقضاء على التدخل
• فحص طبقة التطبيق للبروتوكولات عالية المستوى
• تصفية URL
• مكافحة الفيروسات على مستوى الشبكة ومكافحة البرامج الضارة
• الحماية من الروبوت
• التحكم في الوصول إلى التطبيق
• حماية DDoS إضافية (أعلى حماية DDoS التي يوفرها نسيج Azure نفسه)

يمكنك الوصول إلى ميزات أمان الشبكة المحسنة هذه باستخدام حل شريك Azure. يمكنك العثور على أحدث حلول أمان لشبكة شريك Azure من خلال زيارة Azure Marketplace والبحث عن "الأمان" و"أمان الشبكة."

جدار حماية Azure

Azure Firewall عبارة عن خدمة أمان جدار حماية ذكية سحابية أصلية للشبكة توفر حماية من التهديدات لأحمال العمل السحابية التي تعمل في Azure. إنه جدار حماية ذو حالة كاملة كخدمة ذات قابلية وصول عالية مدمجة وقابلية توسع سحابية غير مقيدة. يفحص جدار حماية Azure كل من حركة المرور بين الشرق والغرب وشمال الجنوب.

يتوفر جدار حماية Azure في ثلاث وحدات SKU: Basic وStandard وPremium.

• يوفر Azure Firewall Basic أمانا مبسطا مشابها لوحدة SKU القياسية ولكن دون ميزات متقدمة.
• يوفرAzure Firewall Standard تصفية L3-L7 وموجزات التحليل الذكي للمخاطر مباشرة من تطبيق Microsoft Cyber Security.
• يتضمن Azure Firewall Premium قدرات متقدمة مثل IDPS المستندة إلى التوقيع للكشف عن الهجمات السريعة من خلال تحديد أنماط محددة.

اعرف المزيد‬:

• ما هو جدار حماية Azure Firewall

تأمين الوصول عن بعد والاتصال عبر أماكن العمل

يجب إعداد موارد Azure وتكوينها وإدارتها عن بعد. بالإضافة إلى ذلك، قد ترغب في نشر حلول تكنولوجيا المعلومات المختلطة التي تحتوي على مكونات محلية وفي سحابة Azure العامة. تتطلب هذه السيناريوهات وصولا آمنا عن بعد.

تدعم شبكة Azure سيناريوهات الوصول الآمنة التالية عن بعد:

• توصيل محطات العمل الفردية بشبكة ظاهرية
• اتصال الشبكة المحلية بشبكة ظاهرية باستخدام VPN
• توصيل شبكتك المحلية بشبكة ظاهرية باستخدام ارتباط WAN مخصص
• توصيل الشبكات الظاهرية ببعضها

توصيل محطات العمل الفردية بشبكة ظاهرية

قد ترغب في تمكين المطورين الفرديين أو موظفي العمليات من إدارة الأجهزة والخدمات الظاهرية في Azure. على سبيل المثال، إذا كنت بحاجة إلى الوصول إلى جهاز ظاهري على شبكة ظاهرية ولكن نهج الأمان الخاص بك يحظر الوصول عن بعد RDP أو SSH إلى الأجهزة الظاهرية الفردية، يمكنك استخدام اتصال VPN من نقطة إلى موقع .

يسمح لك اتصال VPN من نقطة إلى موقع بإنشاء اتصال خاص وآمن بين المستخدم والشبكة الظاهرية. بمجرد تأسيس اتصال VPN، يمكن للمستخدم RDP أو SSH عبر رابط VPN في أي جهاز ظاهري على الشبكة الظاهرية، شريطة أن تتم مصادقته وتفويضه. يدعم VPN من نقطة إلى موقع ما يلي:

• بروتوكول نفق مأخذ التوصيل الآمن (SSTP): بروتوكول VPN مستند إلى SSL خاص يمكنه اختراق جدران الحماية نظرا لأن معظم جدران الحماية تفتح منفذ TCP 443، والذي يستخدمه TLS/SSL. يتم دعم SSTP على أجهزة Windows (Windows 7 والإحدث).
• IKEv2 VPN: حل IPsec VPN قائم على المعايير يمكن استخدامه للاتصال من أجهزة Mac (إصدارات OSX 10.11 والإصدارات الأحدث).
• بروتوكول OpenVPN: بروتوكول VPN المستند إلى SSL/TLS يمكنه اختراق جدران الحماية نظرا لأن معظم جدران الحماية تفتح منفذ TCP 443 الصادر، والذي يستخدمه TLS. يمكن استخدام OpenVPN للاتصال من أجهزة Android وiOS (الإصدارات 11.0 والإصدارات الأحدث) وWindows وLinux وMac (إصدارات macOS 10.13 والإصدارات الأحدث). الإصدارات المدعومة هي TLS 1.2 وTLS 1.3 استنادا إلى تأكيد اتصال TLS.

اعرف المزيد‬:

• حول توجيه VPN من نقطة إلى موقع

توصيل شبكتك المحلية بشبكة ظاهرية باستخدام بوابة VPN

لتوصيل شبكة شركتك بالكامل أو مقاطع معينة بشبكة ظاهرية، ضع في اعتبارك استخدام VPN من موقع إلى موقع. هذا الأسلوب شائع في سيناريوهات تكنولوجيا المعلومات المختلطة حيث تتم استضافة أجزاء من الخدمة في كل من Azure والأماكن المحلية. على سبيل المثال، قد يكون لديك خوادم ويب أمامية في قواعد بيانات Azure والخلفية المحلية. تعمل الشبكات الظاهرية الخاصة من موقع إلى موقع على تحسين أمان إدارة موارد Azure وتمكين سيناريوهات مثل توسيع وحدات تحكم مجال Active Directory إلى Azure.

تختلف VPN من موقع إلى موقع من شبكة ظاهرية خاصة من نقطة إلى موقع من حيث أنها تربط شبكة كاملة (مثل شبكتك المحلية) بشبكة ظاهرية، بدلا من مجرد جهاز واحد. تستخدم الشبكات الظاهرية الخاصة من موقع إلى موقع بروتوكول VPN لوضع نفق IPsec الآمن للغاية لإنشاء هذه الاتصالات.

اعرف المزيد‬:

• حول بوابة VPN

توصيل شبكتك المحلية بشبكة ظاهرية باستخدام ارتباط WAN مخصص

تعد اتصالات VPN من نقطة إلى موقع ومن موقع إلى موقع مفيدة لتمكين الاتصال عبر أماكن العمل. ومع ذلك، لديهم بعض القيود:

• تنقل اتصالات VPN البيانات عبر الإنترنت، ما يعرضها لمخاطر أمنية محتملة مرتبطة بالشبكات العامة. بالإضافة إلى ذلك، لا يمكن ضمان موثوقية وتوافر اتصالات الإنترنت.
• قد لا توفر اتصالات VPN بالشبكات الظاهرية نطاقا تردديا كافيا لبعض التطبيقات، وعادة ما يبلغ الحد الأقصى حوالي 200 ميغابت في الثانية.

بالنسبة للمؤسسات التي تتطلب أعلى مستويات الأمان والتوافر لاتصالاتها عبر أماكن العمل، غالبا ما يفضل ارتباطات WAN المخصصة. يقدم Azure حلولا مثل ExpressRoute وExpressRoute Direct وExpressRoute Global Reach لتسهيل هذه الاتصالات المخصصة بين شبكتك المحلية وشبكات Azure الظاهرية.

اعرف المزيد‬:

• نظرة عامة على ExpressRoute
• ExpressRoute Direct
• ExpressRoute Global Reach

توصيل الشبكات الظاهرية ببعضها

من الممكن استخدام شبكات ظاهرية متعددة لنشرك لأسباب مختلفة، مثل تبسيط الإدارة أو زيادة الأمان. بغض النظر عن الدافع، قد تكون هناك أوقات تريد فيها أن تتصل الموارد على الشبكات الظاهرية المختلفة ببعضها البعض.

أحد الخيارات هو أن تكون الخدمات على شبكة ظاهرية واحدة متصلة بالخدمات على شبكة ظاهرية أخرى عن طريق "إعادة التكرار" عبر الإنترنت. وهذا يعني أن الاتصال يبدأ على شبكة ظاهرية واحدة، ويمر عبر الإنترنت، ثم يصل إلى الشبكة الظاهرية الوجهة. ومع ذلك، فإن هذا يكشف الاتصال بمخاطر الأمان الكامنة في الاتصال المستند إلى الإنترنت.

الخيار الأفضل هو إنشاء VPN من موقع إلى موقع يربط الشبكتين الظاهريتين. يستخدم هذا الأسلوب نفس بروتوكول وضع نفق IPsec مثل اتصال VPN من موقع إلى موقع الواردة سابقا.

تتمثل ميزة هذا النهج في إنشاء اتصال VPN عبر نسيج شبكة Azure، ما يوفر طبقة إضافية من الأمان مقارنة بالشبكات الظاهرية الخاصة من موقع إلى موقع التي تتصل عبر الإنترنت.

اعرف المزيد‬:

• تكوين اتصال VNet إلى VNet باستخدام مدخل Microsoft Azure

طريقة أخرى لتوصيل الشبكات الظاهرية الخاصة بك هي من خلال نظير VNet. يتيح نظير VNet الاتصال المباشر بين شبكتين ظاهريتين من Azure عبر البنية الأساسية ل Microsoft، متجاوزا الإنترنت العام. تدعم هذه الميزة التناظر داخل نفس المنطقة أو عبر مناطق Azure المختلفة. يمكنك أيضا استخدام مجموعات أمان الشبكة (NSGs) للتحكم في الاتصال بين الشبكات الفرعية أو الأنظمة داخل الشبكات النظيرة وتقييده.

التوافر

يعد التوفر أمرا بالغ الأهمية لأي برنامج أمان. إذا لم يتمكن المستخدمون والأنظمة من الوصول إلى الموارد الضرورية، يتم اختراق الخدمة بشكل فعال. يقدم Azure تقنيات الشبكات التي تدعم آليات قابلية الوصول العالية، بما في ذلك:

• موازنة التحميل المستندة إلى HTTP
• موازنة التحميل على مستوى الشبكة
• موازنة التحميل العالمية

موازنة التحميل توزع الاتصالات بالتساوي عبر أجهزة متعددة، بهدف:

• زيادة التوفر: من خلال توزيع الاتصالات، تظل الخدمة قيد التشغيل حتى إذا أصبح جهاز واحد أو أكثر غير متوفر. تستمر الأجهزة المتبقية في تقديم المحتوى.
• تحسين الأداء: يؤدي توزيع الاتصالات إلى تقليل الحمل على أي جهاز واحد، ونشر متطلبات المعالجة والذاكرة عبر أجهزة متعددة.
• تسهيل التحجيم: مع زيادة الطلب، يمكنك إضافة المزيد من الأجهزة إلى موازن التحميل، ما يسمح له بمعالجة المزيد من الاتصالات.

موازنة التحميل المستندة إلى HTTP

غالبا ما تستفيد المؤسسات التي تقوم بتشغيل الخدمات المستندة إلى الويب من استخدام موازن تحميل يستند إلى HTTP لضمان الأداء العالي والتوافر. على عكس موازنات التحميل التقليدية المستندة إلى الشبكة التي تعتمد على بروتوكولات طبقة الشبكة والنقل، تتخذ موازنات التحميل المستندة إلى HTTP قرارات بناء على خصائص بروتوكول HTTP.

توفر Azure Application Gateway وAzure Front Door موازنة تحميل مستندة إلى HTTP لخدمات الويب. تدعم كلتا الخدمتين:

• ترابط جلسة العمل المستندة إلى ملف تعريف الارتباط: يضمن أن الاتصالات التي تم إنشاؤها بخادم واحد تظل متسقة بين العميل والخادم، مع الحفاظ على استقرار المعاملة.
• إلغاء تحميل TLS: تشفير الجلسات بين العميل وموازن التحميل باستخدام HTTPS (TLS). لتحسين الأداء، يمكن للاتصال بين موازن التحميل وخادم الويب استخدام HTTP (غير مشفر)، ما يقلل من حمل التشفير على خوادم الويب ويسمح لها بمعالجة الطلبات بشكل أكثر كفاءة.
• توجيه المحتوى المستند إلى عنوان URL: يسمح لموازن التحميل بإعادة توجيه الاتصالات استنادا إلى عنوان URL الهدف، ما يوفر مرونة أكبر من القرارات المستندة إلى عنوان IP.
• جدار حماية تطبيق الويب: يوفر حماية مركزية لتطبيقات الويب من التهديدات والثغرات الأمنية الشائعة.

اعرف المزيد‬:

• نظرة عامة على Application Gateway
• نظرة عامة على Azure Front Door
• نظرة عامة على جدار حماية تطبيق الويب

موازنة التحميل على مستوى الشبكة

على النقيض من موازنة التحميل المستندة إلى HTTP، تتخذ موازنة التحميل على مستوى الشبكة قرارات استنادا إلى عنوان IP وأرقام المنفذ (TCP أو UDP). يوفر Azure Load Balancer موازنة تحميل على مستوى الشبكة مع الخصائص الرئيسية التالية:

• موازنة نسبة استخدام الشبكة استنادا إلى عنوان IP وأرقام المنافذ.
• يدعم أي بروتوكول طبقة تطبيق.
• توزيع نسبة استخدام الشبكة على أجهزة Azure الظاهرية ومثيلات دور الخدمة السحابية.
• يمكن استخدامها لكل من التطبيقات المواجهة للإنترنت (موازنة التحميل الخارجية) والتطبيقات غير المواجهة للإنترنت (موازنة التحميل الداخلية) والأجهزة الظاهرية.
• يتضمن مراقبة نقطة النهاية للكشف عن عدم توفر الخدمة والاستجابة لها.

اعرف المزيد‬:

• نظرة عامة حول موازنة التحميل الداخلي

موازنة التحميل العالمية

ترغب بعض المؤسسات في الحصول على أعلى مستوى ممكن من التوفر. إحدى الطرق للوصول إلى هذا الهدف هي استضافة التطبيقات في مراكز البيانات الموزعة عالميًا. عند استضافة تطبيق في مراكز البيانات الموجودة في جميع أنحاء العالم، من الممكن أن تصبح منطقة جيوسياسية بأكملها غير متوفرة، ولا يزال التطبيق قيد التشغيل.

يمكن أن تؤدي استراتيجية موازنة التحميل هذه أيضًا إلى فوائد الأداء. يمكنك توجيه طلبات الخدمة إلى مركز البيانات الأقرب إلى الجهاز الذي يقوم بالطلب.

في Azure، يمكنك الحصول على فوائد موازنة التحميل العمومية باستخدام Azure Traffic Manager لموازنة التحميل المستندة إلى DNS، أو موازن التحميل العمومي لموازنة تحميل طبقة النقل، أو Azure Front Door لموازنة التحميل المستندة إلى HTTP.

اعرف المزيد‬:

• ما المقصود بـ Traffic Manager؟
• نظرة عامة على Azure Front Door
• نظرة عامة على موازن التحميل العمومي

تحليل الاسم

تحليل الاسم ضروري لجميع الخدمات المستضافة في Azure. من وجهة نظر الأمان، يمكن أن يسمح المساس بوظيفة تحليل الاسم للمهاجمين بإعادة توجيه الطلبات من مواقعك إلى مواقع ضارة. لذلك، يعد تحليل الاسم الآمن أمرا بالغ الأهمية لجميع الخدمات المستضافة على السحابة.

هناك نوعان من تحليل الاسم يجب مراعاته:

• تحليل الاسم الداخلي: تستخدم بواسطة الخدمات داخل الشبكات الظاهرية أو الشبكات المحلية أو كليهما. لا يمكن الوصول إلى هذه الأسماء عبر الإنترنت. للحصول على الأمان الأمثل، تأكد من عدم تعرض نظام تحليل الاسم الداخلي للمستخدمين الخارجيين.
• تحليل الاسم الخارجي: يستخدمه الأشخاص والأجهزة خارج الشبكات المحلية والشبكات الظاهرية. هذه الأسماء مرئية على الإنترنت والاتصالات المباشرة بخدماتك المستندة إلى السحابة.

لتحليل الاسم الداخلي، لديك خياران:

• خادم DNS للشبكة الظاهرية: عند إنشاء شبكة ظاهرية جديدة، يوفر Azure خادم DNS يمكنه حل أسماء الأجهزة داخل تلك الشبكة الظاهرية. تتم إدارة خادم DNS هذا بواسطة Azure وهو غير قابل للتكوين، مما يساعد على تأمين تحليل اسمك.
• إحضار خادم DNS الخاص بك: يمكنك نشر خادم DNS من اختيارك داخل شبكتك الظاهرية. يمكن أن يكون هذا خادم DNS متكامل ل Active Directory أو حل خادم DNS مخصص من شريك Azure، متوفر في Azure Marketplace.

اعرف المزيد‬:

• نظرة عامة على الشبكة الظاهرية
• إدارة خوادم DNS المستخدمة من قبل شبكة ظاهرية

لتحليل الاسم الخارجي، لديك خياران:

• استضافة خادم DNS الخارجي الخاص بك محليًا.
• استخدم موفر خدمة DNS خارجيا.

غالبا ما تستضيف المؤسسات الكبيرة خوادم DNS الخاصة بها محليا بسبب خبرتها في الشبكات ووجودها العالمي.

ومع ذلك، بالنسبة لمعظم المؤسسات، يفضل استخدام موفر خدمة DNS خارجي. يوفر هؤلاء الموفرون قابلية وصول عالية وموثوقية عالية لخدمات DNS، وهو أمر بالغ الأهمية لأن فشل DNS يمكن أن يجعل خدماتك التي تواجه الإنترنت غير قابلة للوصول.

يوفر Azure DNS حل DNS خارجي عالي التوفر وعالي الأداء. فهو يستفيد من البنية الأساسية العالمية ل Azure، مما يسمح لك باستضافة مجالك في Azure بنفس بيانات الاعتماد وواجهات برمجة التطبيقات والأدوات والفوترة مثل خدمات Azure الأخرى. بالإضافة إلى ذلك، فإنه يستفيد من عناصر تحكم الأمان القوية في Azure.

اعرف المزيد‬:

• نظرة عامة حول Azure DNS
• تسمح لك مناطق Azure DNS الخاصة بتكوين أسماء DNS الخاصة لموارد Azure بدلا من الأسماء المعينة تلقائيا دون الحاجة إلى إضافة حل DNS مخصص.

بنية الشبكة المحيطة

تستخدم العديد من المؤسسات الكبيرة شبكات محيطية لتقسيم شبكاتها، وإنشاء منطقة عازلة بين الإنترنت وخدماتها. يعتبر الجزء المحيط من الشبكة منطقة منخفضة الأمان، ولا يتم وضع أي أصول عالية القيمة في مقطع الشبكة هذا. سترى عادة أجهزة أمان الشبكة التي تحتوي على واجهة شبكة اتصال على مقطع الشبكة المحيط. يتم توصيل واجهة شبكة أخرى بشبكة تحتوي على أجهزة وخدمات ظاهرية تقبل الاتصالات الواردة من الإنترنت.

يمكنك تصميم الشبكات المحيطة بعدة طرق مختلفة. يعتمد قرار نشر شبكة محيطة، ثم نوع الشبكة المحيطة التي يجب استخدامها إذا قررت استخدام واحدة، على متطلبات أمان الشبكة.

اعرف المزيد‬:

• الشبكات المحيطة لمناطق الأمان

حماية Azure DDoS

تعد هجمات رفض الخدمة الموزعة (DDoS) توفرا كبيرا وتهديدات أمنية للتطبيقات السحابية. تهدف هذه الهجمات إلى استنفاد موارد التطبيق، مما يجعلها غير قابلة للوصول للمستخدمين الشرعيين. يمكن أن تكون أي نقطة نهاية يمكن الوصول إليها بشكل عام هدفا.

تتضمن ميزات DDoS Protection ما يلي:

• تكامل النظام الأساسي الأصلي: مدمج بالكامل في Azure مع التكوين المتوفر من خلال مدخل Microsoft Azure. إنه يفهم مواردك وتكويناتها.
• حماية المفتاح الرئيسي: يحمي تلقائيا جميع الموارد على شبكة ظاهرية بمجرد تمكين حماية DDoS، دون الحاجة إلى تدخل المستخدم. يبدأ التخفيف على الفور عند الكشف عن الهجمات.
• مراقبة حركة المرور دائما: مراقبة نسبة استخدام الشبكة للتطبيق الخاص بك 24/7 للحصول على علامات هجمات DDoS وبدء التخفيف عند خرق نهج الحماية.
• تقارير التخفيف من حدة الهجوم: يوفر معلومات مفصلة حول الهجمات باستخدام بيانات تدفق الشبكة المجمعة.
• سجلات تدفق التخفيف من حدة الهجوم: يقدم سجلات قريبة من الوقت الحقيقي لنسبة استخدام الشبكة التي تم إسقاطها وإعادة توجيهها أثناء هجوم DDoS نشط.
• الضبط التكيفي: يتعلم أنماط حركة مرور التطبيق الخاص بك بمرور الوقت ويضبط ملف تعريف الحماية وفقا لذلك. يوفر حماية الطبقة 3 إلى الطبقة 7 عند استخدامها مع جدار حماية تطبيق ويب.
• توسيع نطاق التخفيف من المخاطر: يمكن التخفيف من أكثر من 60 نوعا مختلفا من الهجمات ذات القدرة العالمية للتعامل مع أكبر هجمات DDoS المعروفة.
• مقاييس الهجوم: تتوفر المقاييس الملخصة من كل هجوم من خلال Azure Monitor.
• تنبيه الهجوم: تنبيهات قابلة للتكوين لبدء الهجوم وإيقافه ومدته، مع التكامل مع أدوات مثل سجلات Azure Monitor وSplunk وAzure Storage والبريد الإلكتروني ومدخل Azure.
• ضمان التكلفة: يقدم أرصدة خدمة نقل البيانات وتوسيع نطاق التطبيق لهجمات DDoS الموثقة.
• الاستجابة السريعة ل DDoS: يوفر الوصول إلى فريق الاستجابة السريعة أثناء هجوم نشط للتحقيق، والتخفيف المخصص، وتحليل ما بعد الهجوم.

اعرف المزيد‬:

• نظرة عامة على حماية DDOS

الواجهة الأمامية لـ Azure

يتيح لك Azure Front Door تحديد التوجيه العالمي لنسبة استخدام الشبكة على الويب وإدارته ومراقبته، وتحسينه للأداء وقابلية الوصول العالية. يمكنك من إنشاء قواعد مخصصة لجدار حماية تطبيق الويب (WAF) لحماية أحمال عمل HTTP/HTTPS الخاصة بك من الاستغلال استنادا إلى عناوين IP للعميل ورموز البلد ومعلمات HTTP. بالإضافة إلى ذلك، يدعم Front Door قواعد تحديد المعدل لمكافحة حركة مرور الروبوتات الضارة، بما في ذلك تفريغ TLS، ويوفر معالجة طبقة تطبيق طلب HTTP/HTTPS لكل.

النظام الأساسي ل Front Door محمي بواسطة حماية DDoS على مستوى البنية الأساسية ل Azure. للحصول على حماية محسنة، يمكنك تمكين Azure DDoS Network Protection في VNets لحماية الموارد من هجمات طبقة الشبكة (TCP/UDP) من خلال الضبط التلقائي والتخفيف. كوكيل عكسي للطبقة 7، يسمح Front Door فقط لحركة مرور الويب بالمرور إلى خوادم الواجهة الخلفية، ما يمنع أنواعا أخرى من نسبة استخدام الشبكة بشكل افتراضي.

إشعار

بالنسبة لأحمال عمل الويب، نوصي بشدة باستخدام حماية Azure DDoS وجدار حماية تطبيق الويب للحماية من هجمات DDoS الناشئة. خيار آخر هو نشر Azure Front Door جنبا إلى جنب مع جدار حماية تطبيق الويب. يوفر Azure Front Door حماية على مستوى النظام الأساسي ضد هجمات DDoS على مستوى الشبكة.

اعرف المزيد‬:

• لمزيد من المعلومات حول المجموعة بأكملها من قدرات Azure Front door، يمكنك مراجعة نظرة عامة على Azure Front Door

Azure Traffic Manager

Azure Traffic Manager هو موازن تحميل نسبة استخدام الشبكة المستند إلى DNS الذي يوزع نسبة استخدام الشبكة على الخدمات عبر مناطق Azure العالمية، ما يضمن قابلية وصول عالية واستجابة عالية. ويستخدم DNS لتوجيه طلبات العميل إلى نقطة نهاية الخدمة الأكثر ملاءمة استنادا إلى أسلوب توجيه نسبة استخدام الشبكة وصحة نقاط النهاية. يمكن أن تكون نقطة النهاية أي خدمة مواجهة للإنترنت مستضافة داخل Azure أو خارجها. يراقب Traffic Manager نقاط النهاية باستمرار ويتجنب توجيه حركة المرور إلى أي غير متوفر.

اعرف المزيد‬:

• نظرة عامة على Azure Traffic manager

المراقبة والكشف عن التهديدات

يوفر Azure قدرات لمساعدتك في هذا المجال الرئيسي من خلال الكشف المبكر عن نسبة استخدام الشبكة ومراقبتها وجمعها ومراجعتها.

Azure Network Watcher

يوفر Azure Network Watcher أدوات للمساعدة في استكشاف مشكلات الأمان وتحديدها.

• عرض مجموعة الأمان: تدقيق وضمان التوافق الأمني للأجهزة الظاهرية من خلال مقارنة نهج الأساس بالقواعد الفعالة، مما يساعد على تحديد انحراف التكوين.
• التقاط الحزمة: يلتقط حركة مرور الشبكة من وإلى الأجهزة الظاهرية، مما يساعد في جمع إحصائيات الشبكة واستكشاف أخطاء التطبيق وإصلاحها. يمكن أيضا تشغيله بواسطة Azure Functions استجابة لتنبيهات محددة.

لمزيد من المعلومات، راجع نظرة عامة على مراقبة Azure Network Watcher.

إشعار

للحصول على آخر التحديثات حول توفر الخدمة وحالتها، تفضل بزيارة صفحة تحديثات Azure.

Microsoft Defender للسحابة

يساعدك Microsoft Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها من خلال زيادة الرؤية والتحكم في أمان موارد Azure. يوفر مراقبة أمان متكاملة وإدارة سياسة عبر اشتراكات Azure، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع مجموعة كبيرة من الحلول الأمنية.

يساعدك Defender for Cloud على تحسين أمان الشبكة ومراقبته من خلال:

• تقديم توصيات أمان الشبكة.
• مراقبة حالة تكوين أمان الشبكة.
• تنبيهك إلى التهديدات المستندة إلى الشبكة، على كل من مستوى نقطة النهاية والشبكة.

اعرف المزيد‬:

• مقدمة إلى Microsoft Defender for Cloud

TAP للشبكة الظاهرية

تتيح لك شبكة Azure الظاهرية TAP (نقطة وصول Terminal) دفق بيانات نسبة استخدام شبكة الجهاز الظاهري باستمرار إلى أداة تجميع حزم بيانات الشبكة أو أداة التحليلات. يتم توفير أداة التجميع أو التحليلات من قبل شريك جهاز ظاهري للشبكة. يمكنك استخدام مورد TAP نفسه للشبكة الظاهرية لتجميع نسبة استخدام الشبكة من واجهات شبكة متعددة في الاشتراكات نفسها أو اشتراكات مختلفة.

اعرف المزيد‬:

• TAP للشبكة الظاهرية

تسجيل الدخول

يعد التسجيل على مستوى الشبكة وظيفة رئيسية لأي سيناريو أمان شبكة. في Azure، يمكنك تسجيل المعلومات التي تم الحصول عليها لـNSGs للحصول على معلومات تسجيل مستوى الشبكة. مع تسجيل NSG، يمكنك الحصول على معلومات من:

• سجلات النشاط. استخدم هذه السجلات لعرض جميع العمليات المرسلة إلى اشتراكات Azure. يتم تمكين هذه السجلات بشكل افتراضي ويمكن استخدامها داخل مدخل Microsoft Azure. كانت تعرف سابقًا باسم سجلات التدقيق أو التشغيل.
• سجلات الأحداث. توفر هذه السجلات معلومات حول قواعد NSG التي تم تطبيقها.
• سجلات العداد. تتيح لك هذه السجلات معرفة عدد المرات التي تم فيها تطبيق كل قاعدة NSG لرفض حركة المرور أو السماح بها.

يمكنك أيضًا استخدام Microsoft Power BI، وهي أداة فعالة لتصور البيانات، لعرض هذه السجلات وتحليلها. اعرف المزيد‬:

• سجلات Azure Monitor لمجموعات أمان الشبكة (NSGs)