Přehled zabezpečení sítě Azure

Zabezpečení sítě může být definováno jako proces ochrany prostředků před neoprávněným přístupem nebo útokem použitím kontrolních mechanismů na síťový provoz. Cílem je zajistit, aby byl povolený jenom legitimní provoz. Azure zahrnuje robustní síťovou infrastrukturu, která podporuje požadavky na připojení aplikací a služeb. Síťové připojení je možné mezi prostředky umístěnými v Azure, mezi místními a hostovanými prostředky Azure a z internetu a z Azure.

Tento článek se zabývá některými možnostmi, které Azure nabízí v oblasti zabezpečení sítě. Další informace o:

• Sítě Azure
• Řízení přístupu k síti
• Azure Firewall
• Zabezpečení vzdáleného přístupu a připojení mezi místy
• Dostupnost
• Překlad adres IP
• Architektura hraniční sítě (DMZ)
• Azure DDoS Protection
• Azure Front Door
• Traffic Manager
• Monitorování a detekce hrozeb

Poznámka:

U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je nasadit Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě.

Sítě Azure

Azure vyžaduje připojení virtuálních počítačů k virtuální síti Azure. Virtuální síť je logická konstrukce založená na fyzických prostředcích infrastruktury sítě Azure. Každá virtuální síť je izolovaná od všech ostatních virtuálních sítí. To pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný jiným zákazníkům Azure.

Další informace:

• Přehled virtuální sítě

Řízení přístupu k síti

Řízení přístupu k síti je omezení připojení k určitým zařízením nebo podsítím v rámci virtuální sítě a z konkrétních zařízení. Cílem řízení přístupu k síti je omezit přístup k virtuálním počítačům a službám na schválené uživatele a zařízení. Řízení přístupu vychází z rozhodnutí o povolení nebo zamítnutí připojení k virtuálnímu počítači nebo službě a z vašeho virtuálního počítače nebo služby.

podpora Azure několik typů řízení přístupu k síti, například:

• Řízení síťové vrstvy
• Řízení tras a vynucené tunelování
• Zařízení zabezpečení virtuální sítě

Řízení síťové vrstvy

Jakékoli zabezpečené nasazení vyžaduje určitou míru řízení přístupu k síti. Cílem řízení přístupu k síti je omezit komunikaci virtuálních počítačů na nezbytné systémy. Ostatní pokusy o komunikaci jsou zablokované.

Poznámka:

Brány firewall úložiště jsou popsané v článku s přehledem zabezpečení úložiště Azure.

Pravidla zabezpečení sítě (NSG)

Pokud potřebujete základní řízení přístupu na úrovni sítě (na základě IP adresy a protokolů TCP nebo UDP), můžete použít skupiny zabezpečení sítě (NSG). Skupina zabezpečení sítě je základní stavová brána firewall pro filtrování paketů a umožňuje řídit přístup na základě řazené kolekce členů 5. Skupiny zabezpečení sítě zahrnují funkce pro zjednodušení správy a snížení pravděpodobnosti chyb konfigurace:

• Rozšířená pravidla zabezpečení zjednodušují definici pravidla NSG a umožňují vytvářet složitá pravidla a nemusíte vytvářet více jednoduchých pravidel, abyste dosáhli stejného výsledku.
• Značky služeb jsou štítky vytvořené Microsoftem, které představují skupinu IP adres. Dynamicky se aktualizují tak, aby zahrnovaly rozsahy IP adres, které splňují podmínky definující zahrnutí do popisku. Pokud například chcete vytvořit pravidlo, které platí pro všechna úložiště Azure ve východní oblasti, můžete použít Storage.EastUS.
• Skupiny zabezpečení aplikací umožňují nasadit prostředky do skupin aplikací a řídit přístup k těmto prostředkům vytvořením pravidel, která tyto skupiny aplikací používají. Pokud máte například webové servery nasazené do skupiny aplikací Webservers, můžete vytvořit pravidlo, které použije skupinu zabezpečení sítě umožňující provoz 443 z internetu do všech systémů ve skupině aplikací Webservers.

Skupiny zabezpečení sítě neposkytují kontrolu aplikační vrstvy ani ověřené řízení přístupu.

Další informace:

• Network Security Groups (Skupiny zabezpečení sítě)

Přístup k virtuálnímu počítači v programu Defender for Cloud za běhu

Microsoft Defender for Cloud může spravovat skupiny zabezpečení sítě na virtuálních počítačích a zamknout přístup k virtuálnímu počítači, dokud uživatel s příslušným řízením přístupu na základě role v Azure požádá o přístup. Když je uživatel úspěšně autorizovaný Defender pro cloud, provede změny skupin zabezpečení sítě, aby umožňoval přístup k vybraným portům po zadaný čas. Když vyprší platnost skupin zabezpečení sítě, obnoví se do předchozího zabezpečeného stavu.

Další informace:

• Přístup k Microsoft Defenderu pro cloud za běhu

Koncové body služby

Koncové body služby jsou dalším způsobem, jak použít kontrolu nad provozem. Komunikaci s podporovanými službami můžete omezit jenom na virtuální sítě přes přímé připojení. Provoz z vaší virtuální sítě do zadané služby Azure zůstává v páteřní síti Microsoft Azure.

Další informace:

• Koncové body služby

Řízení tras a vynucené tunelování

Schopnost řídit chování směrování ve virtuálních sítích je důležitá. Pokud je směrování správně nakonfigurované, můžou se aplikace a služby hostované na vašem virtuálním počítači připojit k neoprávněným zařízením, včetně systémů vlastněných a provozovaných potenciálními útočníky.

Sítě Azure podporují možnost přizpůsobit chování směrování síťového provozu ve virtuálních sítích. To umožňuje změnit výchozí položky směrovací tabulky ve vaší virtuální síti. Řízení chování směrování pomáhá zajistit, aby veškerý provoz z určitého zařízení nebo skupiny zařízení vstoupil nebo opustil vaši virtuální síť přes konkrétní umístění.

Můžete mít například ve virtuální síti zařízení zabezpečení virtuální sítě. Chcete zajistit, aby veškerý provoz do a z vaší virtuální sítě procházel přes toto virtuální zařízení zabezpečení. Můžete to provést konfigurací tras definovaných uživatelem v Azure.

Vynucené tunelování je mechanismus, který můžete použít k zajištění, že vaše služby nesmí inicializovat připojení k zařízením na internetu. Všimněte si, že se liší od přijímání příchozích připojení a následné reakce na ně. Front-endové webové servery musí odpovídat na požadavky z internetových hostitelů, takže je povolený příchozí provoz z internetu na tyto webové servery a webové servery mohou reagovat.

To, co nechcete povolit, je front-end webový server, který inicializuje odchozí požadavek. Takové žádosti můžou představovat bezpečnostní riziko, protože tato připojení se dají použít ke stažení malwaru. I když chcete, aby tyto front-endové servery iniciovaly odchozí požadavky na internet, můžete je vynutit, aby procházely přes místní webové proxy servery. To vám umožní využít filtrování a protokolování adres URL.

Místo toho byste chtěli použít vynucené tunelování, abyste tomu zabránili. Když povolíte vynucené tunelování, budou všechna připojení k internetu vynucená prostřednictvím vaší místní brány. Vynucené tunelování můžete nakonfigurovat tak, že využijete trasy definované uživatelem.

Další informace:

• Co jsou trasy definované uživatelem a předávání IP

Zařízení zabezpečení virtuální sítě

Skupiny zabezpečení sítě, trasy definované uživatelem a vynucené tunelování poskytují úroveň zabezpečení v síťové a přenosové vrstvě modelu OSI, ale můžete také chtít povolit zabezpečení na vyšších úrovních než síť.

Například vaše požadavky na zabezpečení můžou zahrnovat:

• Ověřování a autorizace před povolením přístupu k aplikaci
• Detekce neoprávněných vniknutí a reakce na neoprávněný vniknutí
• Kontrola aplikační vrstvy pro protokoly vysoké úrovně
• Filtrování adres URL
• Antivirová ochrana na úrovni sítě a Antimalware
• Ochrana před roboty
• Řízení přístupu k aplikacím
• Další ochrana před útoky DDoS (nad ochranou před útoky DDoS poskytovanou samotným prostředkům infrastruktury Azure)

K těmto rozšířeným funkcím zabezpečení sítě můžete přistupovat pomocí partnerského řešení Azure. Nejnovější řešení zabezpečení partnerských sítí Azure najdete na webu Azure Marketplace a vyhledáte "zabezpečení" a "zabezpečení sítě".

Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Zajišťuje kontrolu provozu na východ-západ i sever-jih.

Azure Firewall se nabízí ve třech SKU: Standard, Premium a Basic. Azure Firewall Standard poskytuje filtry L3-L7 a informační kanály analýzy hrozeb přímo od Microsoft Cyber Security. Azure Firewall Premium poskytuje pokročilé funkce, včetně zprostředkovatele identity založeného na podpisu, který umožňuje rychlou detekci útoků vyhledáním konkrétních vzorů. Azure Firewall Basic je zjednodušená skladová položka, která poskytuje stejnou úroveň zabezpečení jako skladová položka Standard, ale bez pokročilých funkcí.

Další informace:

• Co je Azure Firewall

Zabezpečení vzdáleného přístupu a připojení mezi místy

Nastavení, konfigurace a správa vašich prostředků Azure se musí provádět vzdáleně. Kromě toho můžete chtít nasadit hybridní IT řešení, která mají komponenty místně i ve veřejném cloudu Azure. Tyto scénáře vyžadují zabezpečený vzdálený přístup.

Sítě Azure podporují následující scénáře zabezpečeného vzdáleného přístupu:

• Připojení jednotlivých pracovních stanic k virtuální síti
• Připojení místní sítě k virtuální síti pomocí sítě VPN
• Připojení místní sítě k virtuální síti pomocí vyhrazeného propojení WAN
• Vzájemné propojení virtuálních sítí

Připojení jednotlivých pracovních stanic k virtuální síti

Můžete chtít povolit jednotlivým vývojářům nebo provozním pracovníkům správu virtuálních počítačů a služeb v Azure. Řekněme například, že potřebujete přístup k virtuálnímu počítači ve virtuální síti. Vaše zásady zabezpečení ale neumožňují vzdálený přístup RDP ani SSH k jednotlivým virtuálním počítačům. V tomto případě můžete použít připojení VPN typu point-to-site.

Připojení VPN typu point-to-site umožňuje nastavit privátní a zabezpečené připojení mezi uživatelem a virtuální sítí. Po navázání připojení VPN může uživatel přes propojení VPN přes připojení RDP nebo SSH přes připojení VPN k libovolnému virtuálnímu počítači ve virtuální síti. (Předpokládá se, že se uživatel může ověřit a má oprávnění.) Vpn typu point-to-site podporuje:

• Secure Socket Tunneling Protocol (SSTP), proprietární protokol VPN založený na SSL. Řešení SSL VPN může proniknout do bran firewall, protože většina bran firewall otevírá port TCP 443, který protokol TLS/SSL používá. SSTP se podporuje jenom na zařízeních s Windows. podpora Azure všechny verze Windows, které mají SSTP (Windows 7 a novější).

• IKEv2 VPN, řešení IPsec VPN založené na standardech. IKEv2 VPN je možné použít k připojení ze zařízení se systémem Mac (OSX verze 10.11 a vyšší).

• OpenVPN

Další informace:

• Konfigurace připojení typu point-to-site k virtuální síti pomocí PowerShellu

Připojení místní sítě k virtuální síti pomocí sítě VPN

Možná budete chtít připojit celou podnikovou síť nebo jeho části k virtuální síti. To je běžné v hybridních scénářích IT, kdy organizace rozšiřují své místní datové centrum do Azure. V mnoha případech organizace hostují části služby v Azure a místně. Můžou to udělat například v případě, že řešení zahrnuje front-endové webové servery v Azure a back-endové databáze v místním prostředí. Díky těmto typům "připojení mezi místy" je správa prostředků umístěných v Azure bezpečnější a umožňují scénáře, jako je rozšíření řadičů domény Active Directory do Azure.

Jedním ze způsobů, jak toho dosáhnout, je použít síť VPN typu site-to-site. Rozdíl mezi sítí VPN typu site-to-site a vpn typu point-to-site spočívá v tom, že druhá připojuje jedno zařízení k virtuální síti. Síť VPN typu site-to-site propojuje celou síť (například místní síť) s virtuální sítí. Sítě VPN typu Site-to-Site do virtuální sítě používají vysoce zabezpečený protokol VPN v režimu tunelu IPsec.

Další informace:

• Vytvoření virtuální sítě Resource Manageru s připojením VPN typu site-to-site pomocí webu Azure Portal
• Informace o službě VPN Gateway

Připojení místní sítě k virtuální síti pomocí vyhrazeného propojení WAN

Připojení VPN typu point-to-site a site-to-site jsou efektivní pro povolení připojení mezi místními sítěmi. Některé organizace je však považují za nevýhodu:

• Připojení VPN přesouvají data přes internet. Tato připojení se zpřístupňují potenciálním problémům se zabezpečením, které se týkají přesunu dat přes veřejnou síť. Spolehlivost a dostupnost internetových připojení navíc nelze zaručit.
• Připojení VPN k virtuálním sítím nemusí mít šířku pásma pro některé aplikace a účely, protože jsou maximálně kolem 200 Mb/s.

Organizace, které potřebují nejvyšší úroveň zabezpečení a dostupnosti pro svá připojení mezi místními sítěmi, obvykle k připojení ke vzdáleným lokalitám používají vyhrazené odkazy WAN. Azure poskytuje možnost používat vyhrazené propojení WAN, které můžete použít k připojení místní sítě k virtuální síti. Tento přístup umožňují globální přístup k Azure ExpressRoute, ExpressRoute, ExpressRoute a ExpressRoute.

Další informace:

• Technický přehled ExpressRoute
• ExpressRoute Direct
• Globální dosah expressroute

Vzájemné propojení virtuálních sítí

Pro vaše nasazení je možné použít mnoho virtuálních sítí. Existuje několik důvodů, proč to můžete udělat. Možná budete chtít zjednodušit správu nebo můžete chtít zvýšit zabezpečení. Bez ohledu na motivaci pro umístění prostředků do různých virtuálních sítí může dojít k tomu, že budete chtít, aby se prostředky v jednotlivých sítích vzájemně spojily.

Jednou z možností je, že se služby v jedné virtuální síti budou připojovat ke službám v jiné virtuální síti tak, že "smyčka zpět" prochází internetem. Připojení začíná v jedné virtuální síti, prochází internetem a pak se vrátí do cílové virtuální sítě. Tato možnost zveřejňuje připojení k problémům se zabezpečením, které jsou součástí jakékoli internetové komunikace.

Lepší možností může být vytvoření sítě VPN typu site-to-site, která se připojuje mezi dvěma virtuálními sítěmi. Tato metoda používá stejný protokol režimu tunelu IPSec jako připojení VPN typu site-to-site mezi místními sítěmi, které je uvedeno výše.

Výhodou tohoto přístupu je, že připojení VPN se vytváří přes síťové prostředky infrastruktury Azure místo připojení přes internet. To poskytuje další vrstvu zabezpečení ve srovnání s sítěmi VPN typu site-to-site, které se připojují přes internet.

Další informace:

• Konfigurace připojení typu VNet-to-VNet pomocí Azure Resource Manageru a PowerShellu

Dalším způsobem připojení virtuálních sítí je partnerský vztah virtuálních sítí. Tato funkce umožňuje propojit dvě sítě Azure, aby se komunikace mezi nimi dějila přes páteřní infrastrukturu Microsoftu, aniž by vůbec přecházení přes internet. Partnerský vztah virtuálních sítí může propojit dva virtuální sítě v rámci stejné oblasti nebo dvou virtuálních sítí napříč oblastmi Azure. Skupiny zabezpečení sítě je možné použít k omezení připojení mezi různými podsítěmi nebo systémy.

Dostupnost

Dostupnost je klíčovou součástí libovolného programu zabezpečení. Pokud uživatelé a systémy nemají přístup k tomu, co potřebují pro přístup přes síť, může být služba považována za ohroženou. Azure má síťové technologie, které podporují následující mechanismy vysoké dostupnosti:

• Vyrovnávání zatížení založené na protokolu HTTP
• Vyrovnávání zatížení na úrovni sítě
• Globální vyrovnávání zatížení

Vyrovnávání zatížení je mechanismus, který je navržený tak, aby rovnoměrně distribuuje připojení mezi více zařízení. Mezi cíle vyrovnávání zatížení patří:

• Zvýšení dostupnosti Když vyrovnáte zatížení připojení mezi více zařízeními, může být jedno nebo více zařízení nedostupné, aniž by došlo k ohrožení služby. Služby spuštěné na zbývajících online zařízeních můžou dál obsluhovat obsah ze služby.
• Zvýšení výkonu. Když vyrovnáváte zatížení připojení mezi několika zařízeními, nemusí jedno zařízení zpracovávat veškeré zpracování. Místo toho se požadavky na zpracování a paměť pro obsluhu obsahu rozprostírají na více zařízeních.

Vyrovnávání zatížení založené na protokolu HTTP

Organizace, které spouštějí webové služby, často chtějí mít před těmito webovými službami nástroj pro vyrovnávání zatížení založený na protokolu HTTP. To pomáhá zajistit odpovídající úroveň výkonu a vysoké dostupnosti. Tradiční nástroje pro vyrovnávání zatížení založené na síti využívají protokoly síťové a přenosové vrstvy. Nástroje pro vyrovnávání zatížení založené na protokolu HTTP na druhé straně rozhodují na základě charakteristik protokolu HTTP.

Aplikace Azure lication Gateway poskytuje vyrovnávání zatížení založené na protokolu HTTP pro webové služby. Application Gateway podporuje:

• Spřažení relací na základě souborů cookie. Tato funkce zajišťuje, že připojení vytvořená na jednom ze serverů za tímto nástrojem pro vyrovnávání zatížení zůstanou mezi klientem a serverem nedotčená. Tím se zajistí stabilita transakcí.
• Přesměrování zpracování PROTOKOLU TLS. Když se klient připojí k nástroji pro vyrovnávání zatížení, je tato relace šifrovaná pomocí protokolu HTTPS (TLS). Ke zvýšení výkonu ale můžete použít protokol HTTP (nešifrovaný) pro připojení mezi nástrojem pro vyrovnávání zatížení a webovým serverem za nástrojem pro vyrovnávání zatížení. To se označuje jako přesměrování zpracování TLS, protože webové servery za nástrojem pro vyrovnávání zatížení nemají zkušenosti s režií procesoru související s šifrováním. Webové servery proto mohou žádosti o služby rychleji vyhovět.
• Směrování obsahu založeného na adrese URL Tato funkce umožňuje nástroji pro vyrovnávání zatížení rozhodovat o tom, kde se mají přesměrovávat připojení na základě cílové adresy URL. To poskytuje mnohem větší flexibilitu než řešení, která rozhodují o vyrovnávání zatížení na základě IP adres.

Další informace:

• Přehled služby Application Gateway

Vyrovnávání zatížení na úrovni sítě

Na rozdíl od vyrovnávání zatížení založeného na protokolu HTTP provádí vyrovnávání zatížení na úrovni sítě rozhodnutí na základě IP adresy a portu (TCP nebo UDP). Výhody vyrovnávání zatížení na úrovni sítě v Azure můžete získat pomocí Azure Load Balanceru. Mezi klíčové charakteristiky Load Balanceru patří:

• Vyrovnávání zatížení na úrovni sítě na základě IP adresy a čísel portů
• Podpora libovolného protokolu aplikační vrstvy
• Vyrovnávání zatížení pro virtuální počítače Azure a instance rolí cloudových služeb
• Lze použít pro aplikace a virtuální počítače přístupné z internetu (externí vyrovnávání zatížení) i ne internetu (interní vyrovnávání zatížení).
• Monitorování koncových bodů, které se používá k určení, jestli některá ze služeb za nástrojem pro vyrovnávání zatížení není dostupná.

Další informace:

• Přehled interního nástroje pro vyrovnávání zatížení

Globální vyrovnávání zatížení

Některé organizace chtějí nejvyšší možnou úroveň dostupnosti. Jedním ze způsobů, jak dosáhnout tohoto cíle, je hostování aplikací v globálně distribuovaných datacentrech. Když je aplikace hostovaná v datacentrech umístěných po celém světě, může být celá geopolitické oblasti nedostupná a aplikace bude pořád spuštěná.

Tato strategie vyrovnávání zatížení může také přinést výhody výkonu. Žádosti o službu můžete směrovat do datacentra, které je nejblíže zařízení, které žádost provádí.

V Azure můžete získat výhody globálního vyrovnávání zatížení pomocí Azure Traffic Manageru.

Další informace:

• Co je Traffic Manager?

Překlad adres IP

Překlad názvů je kritická funkce pro všechny služby, které hostujete v Azure. Z hlediska zabezpečení může ohrožení funkce překladu ip adres vést k tomu, že útočník přesměruje požadavky z vašich webů na web útočníka. Zabezpečený překlad ip adres je požadavek na všechny služby hostované v cloudu.

Je potřeba řešit dva typy překladu ip adres:

• Interní překlad ip adres. Používá se službami ve vašich virtuálních sítích, místních sítích nebo obojím. Názvy používané pro interní překlad ip adres nejsou přístupné přes internet. Pro zajištění optimálního zabezpečení je důležité, aby vaše interní schéma překladu ip adres nebylo přístupné externím uživatelům.
• Překlad externích ip adres Používají ho lidé a zařízení mimo vaše místní sítě a virtuální sítě. Jedná se o názvy, které jsou viditelné pro internet a slouží k přímému připojení ke cloudovým službám.

V případě interního překladu ip adres máte dvě možnosti:

• Server DNS virtuální sítě. Když vytvoříte novou virtuální síť, vytvoří se pro vás server DNS. Tento server DNS dokáže přeložit názvy počítačů umístěných v této virtuální síti. Tento server DNS není konfigurovatelný, spravuje ho Správce prostředků infrastruktury Azure, a proto vám může pomoct zabezpečit řešení překladu ip adres.
• Přineste si vlastní server DNS. Máte možnost umístit server DNS vlastního výběru do vaší virtuální sítě. Tento server DNS může být integrovaný server DNS služby Active Directory nebo vyhrazené řešení serveru DNS poskytované partnerem Azure, které můžete získat z Azure Marketplace.

Další informace:

• Přehled virtuální sítě
• Správa serverů DNS používaných virtuální sítí

Pro překlad externích ip adres máte dvě možnosti:

• Hostujte vlastní externí server DNS místně.
• Hostujte vlastní externí server DNS s poskytovatelem služeb.

Mnoho velkých organizací hostuje své vlastní servery DNS místně. Můžou to udělat, protože k tomu mají zkušenosti se sítěmi a globální přítomnost.

Ve většině případů je lepší hostovat služby překladu názvů DNS u poskytovatele služeb. Tito poskytovatelé služeb mají zkušenosti se sítí a globální přítomnost, aby zajistili vysokou dostupnost vašich služeb překladu ip adres. Dostupnost je nezbytná pro služby DNS, protože pokud vaše služby překladu ip adres selžou, nikdo nebude moct kontaktovat vaše internetové služby.

Azure poskytuje vysoce dostupné a vysoce výkonné externí řešení DNS ve formě Azure DNS. Toto externí řešení překladu ip adres využívá výhod celosvětové infrastruktury Azure DNS. Umožňuje hostovat svoji doménu v Azure pomocí stejných přihlašovacích údajů, rozhraní API, nástrojů a fakturace jako ostatní služby Azure. V rámci Azure také dědí silné bezpečnostní prvky integrované do platformy.

Další informace:

• Přehled Azure DNS
• Privátní zóny Azure DNS umožňují nakonfigurovat privátní názvy DNS pro prostředky Azure místo automaticky přiřazených názvů, aniž byste museli přidat vlastní řešení DNS.

Architektura hraniční sítě

Řada velkých organizací používá hraniční sítě k segmentace sítí a vytváří zónu vyrovnávací paměti mezi internetem a jejich službami. Hraniční část sítě se považuje za zónu nízkého zabezpečení a v daném segmentu sítě nejsou umístěné žádné prostředky s vysokou hodnotou. Obvykle uvidíte zařízení zabezpečení sítě, která mají síťové rozhraní v segmentu hraniční sítě. K síti s virtuálními počítači a službami, které přijímají příchozí připojení z internetu, je připojené jiné síťové rozhraní.

Hraniční sítě můžete navrhovat mnoha různými způsoby. Rozhodnutí nasadit hraniční síť a potom, jaký typ hraniční sítě se má použít, pokud se rozhodnete použít, závisí na vašich požadavcích na zabezpečení sítě.

Další informace:

• Hraniční sítě pro zóny zabezpečení

Azure DDoS Protection

Distribuované útoky na dostupnost služeb (DDoS) patří k největším hrozbám pro dostupnost a zabezpečení, se kterými se musejí zákazníci přesouvající aplikace do cloudu vyrovnávat. Útok DDoS se pokusí vyčerpat prostředky aplikace a znepřístupňuje aplikaci legitimním uživatelům. Útoky DDoS můžou cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.

Mezi funkce ochrany před útoky DDoS patří:

• Integrace nativní platformy: Nativně integrovaná do Azure. Zahrnuje konfiguraci prostřednictvím webu Azure Portal. DDoS Protection rozumí vašim prostředkům a jejich konfiguraci.
• Ochrana pomocí klíče: Zjednodušená konfigurace okamžitě chrání všechny prostředky ve virtuální síti hned po povolení ochrany před útoky DDoS. Není vyžadován žádný zásah ani definice uživatele. DDoS Protection okamžitě a automaticky zmírní útok, jakmile se zjistí.
• Nepřetržité monitorování provozu: Vzorce provozu vaší aplikace se monitorují 24 hodin denně, 7 dní v týdnu a hledají indikátory útoků DDoS. Zmírnění rizik se provádí při překročení zásad ochrany.
• Sestavy omezení rizik útoku na útoky používají agregovaná data toku sítě k poskytnutí podrobných informací o útocích cílených na vaše prostředky.
• Protokoly toku omezení rizik útoku na útoky umožňují zkontrolovat vynechaný provoz, přesměrovaný provoz a další data útoku téměř v reálném čase během aktivního útoku DDoS.
• Adaptivní ladění: Profilace inteligentního provozu se učí provoz vaší aplikace v průběhu času a vybírá a aktualizuje profil, který je pro vaši službu nejvhodnější. Profil se upraví tak, jak se v průběhu času mění provoz. Ochrana vrstvy 3 na vrstvu 7: Poskytuje úplnou ochranu před útoky DDoS zásobníku při použití s firewallem webových aplikací.
• Rozsáhlé škálování omezení rizik: Více než 60 různých typů útoků je možné zmírnit s globální kapacitou, aby se chránily před největšími známými útoky DDoS.
• Metriky útoku: Souhrnné metriky z každého útoku jsou přístupné prostřednictvím služby Azure Monitor.
• Upozorňování na útoky: Výstrahy je možné nakonfigurovat na začátku a zastavení útoku a po dobu trvání útoku pomocí předdefinovaných metrik útoku. Výstrahy se integrují do vašeho provozního softwaru, jako jsou protokoly služby Microsoft Azure Monitor, Splunk, Azure Storage, e-mail a Azure Portal.
• Záruka nákladů: Kredity služeb pro přenos dat a škálování aplikace na více instancí pro zdokumentované útoky DDoS
• Zákazníci DDoS Rapid responzivní DDoS Protection teď mají během aktivního útoku přístup k týmu rychlé reakce. DrR může pomoct s vyšetřováním útoku, vlastními zmírněními rizik během útoku a analýzy po útoku.

Další informace:

• Přehled ochrany před útoky DDOS

Azure Front Door

Služba Azure Front Door Service umožňuje definovat, spravovat a monitorovat globální směrování webového provozu. Optimalizuje směrování provozu pro zajištění nejlepšího výkonu a vysoké dostupnosti. Azure Front Door umožňuje vytvořit vlastní pravidla firewallu webových aplikací pro řízení přístupu za účelem ochrany úloh HTTP/HTTPS před zneužitím na základě klientských IP adres, kódů zemí a parametrů HTTP. Front Door také umožňuje vytvářet pravidla omezování rychlosti pro boj se škodlivými přenosy robotů, zahrnuje snižování zátěže TLS a požadavky HTTP/HTTPS, zpracování aplikační vrstvy.

Samotná platforma Front Door je chráněná ochranou před útoky DDoS na úrovni infrastruktury Azure. Pro další ochranu může být ve vašich virtuálních sítích povolená služba Azure DDoS Network Protection a chránit prostředky před útoky na síťovou vrstvu (TCP/UDP) prostřednictvím automatického ladění a zmírnění rizik. Front Door je reverzní proxy vrstva 7, umožňuje pouze webový provoz projít na back-endové servery a ve výchozím nastavení blokovat jiné typy provozu.

Poznámka:

U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je nasadit Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě.

Další informace:

• Další informace o celé sadě funkcí služby Azure Front Door najdete v přehledu služby Azure Front Door.

Azure Traffic Manager

Azure Traffic Manager je nástroj pro vyrovnávání zatížení provozu na základě DNS, který umožňuje optimálně distribuovat provoz do služeb napříč globálními oblastmi Azure při zajištění vysoké dostupnosti a rychlosti odezvy. Traffic Manager pomocí DNS směruje požadavky klientů do nejvhodnějšího koncového bodu služby v závislosti na metodě směrování provozu a stavu koncových bodů. Koncový bod je jakákoli internetová služba hostovaná v rámci nebo mimo Azure. Traffic Manager monitoruje koncové body a nesměruje provoz do žádných koncových bodů, které nejsou k dispozici.

Další informace:

• Přehled Azure Traffic Manageru

Monitorování a detekce hrozeb

Azure poskytuje možnosti, které vám v této klíčové oblasti pomůžou s včasným zjišťováním, monitorováním a shromažďováním a kontrolou síťového provozu.

Azure Network Watcher

Azure Network Watcher vám může pomoct s řešením potíží a poskytuje zcela novou sadu nástrojů, které vám pomůžou s identifikací problémů se zabezpečením.

Zobrazení skupiny zabezpečení pomáhá s auditováním a dodržováním předpisů zabezpečení virtuálních počítačů. Pomocí této funkce můžete provádět programové audity a porovnávat základní zásady definované vaší organizací s efektivními pravidly pro každý z vašich virtuálních počítačů. To vám může pomoct identifikovat všechny odchylky konfigurace.

Zachytávání paketů umožňuje zachytit síťový provoz do a z virtuálního počítače. Můžete shromažďovat statistiky sítě a řešit problémy s aplikacemi, které mohou být neocenitelné při vyšetřování narušení sítě. Tuto funkci můžete také použít společně se službou Azure Functions ke spuštění zachytávání sítí v reakci na konkrétní výstrahy Azure.

Další informace o službě Network Watcher a o tom, jak začít testovat některé funkce v testovacích prostředích, najdete v přehledu monitorování služby Azure Network Watcher.

Poznámka:

Nejaktuálnější oznámení o dostupnosti a stavu této služby najdete na stránce aktualizací Azure.

Microsoft Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně a poskytuje lepší přehled o zabezpečení vašich prostředků Azure a jejich kontrolu a kontrolu nad nimi. Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá zjišťovat hrozby, které by jinak nemusely být nepovšimnuty, a funguje s velkou sadou řešení zabezpečení.

Defender for Cloud pomáhá optimalizovat a monitorovat zabezpečení sítě pomocí:

• Poskytování doporučení zabezpečení sítě
• Monitorování stavu konfigurace zabezpečení sítě
• Upozorní vás na hrozby na základě sítě, a to jak na úrovni koncového bodu, tak na úrovni sítě.

Další informace:

• Úvod do Microsoft Defenderu pro cloud

VTAP (Virtual Network TAP)

Azure Virtual Network TAP (terminálový přístupový bod) umožňuje nepřetržitě streamovat síťový provoz virtuálního počítače do kolektoru síťových paketů nebo analytického nástroje. Kolektor nebo analytický nástroj poskytuje partner síťového virtuálního zařízení. Stejný prostředek TAP virtuální sítě můžete použít k agregaci provozu z více síťových rozhraní ve stejném nebo jiném předplatném.

Další informace:

• KLEPNĚTE na virtuální síť

Protokolování

Protokolování na úrovni sítě je klíčovou funkcí pro každý scénář zabezpečení sítě. V Azure můžete protokolovat informace získané pro skupiny zabezpečení sítě a získat informace o protokolování na úrovni sítě. Pomocí protokolování NSG získáte informace z:

• Protokoly aktivit. Tyto protokoly slouží k zobrazení všech operací odeslaných do vašich předplatných Azure. Tyto protokoly jsou ve výchozím nastavení povolené a lze je použít na webu Azure Portal. Dříve se označovaly jako protokoly auditu nebo provozu.
• Protokoly událostí. Tyto protokoly poskytují informace o tom, jaká pravidla NSG byla použita.
• Protokoly čítačů Tyto protokoly vám umožňují zjistit, kolikrát se každé pravidlo NSG použilo k odepření nebo povolení provozu.

K zobrazení a analýze těchto protokolů můžete použít také Microsoft Power BI, výkonný nástroj pro vizualizaci dat. Další informace:

• Protokoly služby Azure Monitor pro skupiny zabezpečení sítě (NSG)