Sdílet prostřednictvím

Co je zabezpečení sítě Azure?

Zabezpečení sítě je důležitým aspektem cloud computingu, protože chrání data a aplikace, které běží v cloudu před různými hrozbami a útoky. Azure poskytuje komplexní sadu řešení zabezpečení sítě, která umožňují navrhovat, nasazovat a spravovat zabezpečené a odolné sítě v cloudu.

Snímek obrazovky znázorňující ikony služby Azure Firewall, Azure DDoS Protection a Firewall webových aplikací Azure

Jedním z hlavních principů zabezpečení sítě Azure je model nulové důvěryhodnosti, který předpokládá, že žádná síť nebo zařízení nejsou ze své podstaty zabezpečené nebo důvěryhodné. Místo toho by se měl každý požadavek a připojení ověřit a validovat na základě dat, identity a kontextu. Model nulové důvěry pomáhá zabránit neoprávněnému přístupu, omezit laterální pohyb a snížit prostor pro útoky vašich sítí.

Volba řešení

Volba správného řešení zabezpečení sítě pro vaše úlohy Azure závisí na konkrétních potřebách a požadavcích. Azure poskytuje celou řadu služeb zabezpečení sítě, které je možné použít jednotlivě nebo v kombinaci k ochraně vašich úloh. Tady je několik klíčových faktorů, které je potřeba vzít v úvahu při výběru řešení zabezpečení sítě:

  • Typ úlohy: Různé úlohy mají různé požadavky na zabezpečení. Například webové aplikace můžou vyžadovat ochranu před webovými útoky, zatímco virtuální počítače můžou vyžadovat ochranu před síťovými útoky.
  • Model nasazení: Azure poskytuje různé modely nasazení pro služby zabezpečení sítě, jako jsou virtuální zařízení, spravované služby a integrovaná řešení. Vyberte model, který nejlépe vyhovuje vašim potřebám a požadavkům.
  • Integrace s jinými službami Azure: Řada služeb zabezpečení sítě Azure se integruje s dalšími službami Azure, jako je Azure Monitor, Azure Security Center a Microsoft Sentinel. Zvolte řešení, které se dá snadno integrovat se stávajícími službami Azure pro lepší zabezpečení a monitorování.
  • Náklady: Různé služby zabezpečení sítě mají různé cenové modely. Zvolte řešení, které odpovídá vašemu rozpočtu, a poskytuje úroveň ochrany, kterou potřebujete.
  • Požadavky na dodržování předpisů: V závislosti na vašem odvětví a umístění můžete mít specifické požadavky na dodržování předpisů, které musí vaše řešení zabezpečení sítě splňovat. Zvolte řešení, které vám pomůže splnit tyto požadavky.
  • Škálovatelnost: S rostoucími úlohami by vaše řešení zabezpečení sítě mělo být možné škálovat s nimi. Zvolte řešení, které dokáže zvládnout zvýšený provoz a úlohy bez ohrožení zabezpečení.
  • Správa a monitorování: Vyberte řešení, které poskytuje snadné možnosti správy a monitorování, jako jsou řídicí panely, výstrahy a vytváření sestav. Pomůže vám to rychle identifikovat bezpečnostní incidenty a reagovat na ně.

Azure Firewall

Azure Firewall je služba firewall sítě nativní pro cloud, která nabízí úplnou stavovou ochranu s integrovanou vysokou dostupností a neomezenou škálovatelností cloudu. Poskytuje zabezpečení na úrovni sítě i aplikací pro vaše úlohy Azure. Jako spravovanou službu je možné nasadit službu Azure Firewall ve virtuální síti a bezproblémově ji integrovat s dalšími službami Azure, jako je Azure Monitor, Azure Security Center a Microsoft Sentinel pro lepší zabezpečení a monitorování.

Diagram znázorňující, jak Azure Firewall kontroluje provoz do a z internetu před jeho směrováním do cíle

V závislosti na vašich potřebách můžete vybrat ze tří skladových položek služby Azure Firewall:

  • Základní: Verze Basic je nákladově efektivní možnost pro jednoduchá řešení firewallu v prostředí Azure. Poskytuje základní funkce, jako je filtrování sítí a aplikací, překlad síťových adres a protokolování.
  • Standard: Standardní skladová položka je pokročilejší možnost, která zahrnuje další funkce, jako jsou proxy server DNS a webové kategorie. Je navržen pro komplexnější řešení brány firewall v rámci úloh Azure.
  • Premium: Skladová položka Premium je nejpokročilejší možností, která zahrnuje všechny funkce skladové položky Standard a navíc další funkce, jako je kontrola protokolu TLS, detekce neoprávněných vniknutí a prevence a filtrování adres URL. Je navržená pro nejvyšší úroveň zabezpečení a kontroly v úlohách Azure.

Případy použití

  • Zabezpečení sítě: Chraňte své úlohy Azure před síťovými útoky a neoprávněným přístupem.
  • Zabezpečení aplikací: Chraňte své úlohy Azure před útoky a ohroženími zabezpečení na základě aplikací.
  • Detekce a prevence neoprávněných vniknutí: Monitorujte síť pro škodlivou aktivitu, protokolujte informace o této aktivitě, nahlaste ji a volitelně se ji pokuste zablokovat.
  • Kontrola protokolu TLS: Zkontrolujte a dešifrujte provoz PROTOKOLU TLS, abyste zjistili a blokovali hrozby skryté v šifrovaných přenosech.
  • Filtrování adres URL: Řídí přístup ke konkrétním adresám URL nebo kategoriím adres URL na základě zásad vaší organizace.

Další informace najdete v přehledu služby Azure Firewall.

Azure ochrana před DDoS útoky

Azure DDoS Protection je služba, která poskytuje vylepšené funkce omezení rizik útoků DDoS, které chrání před útoky DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti. Ochranu lze snadno povolit pro jakékoli nové či stávající zdroje virtuální sítě nebo veřejnou IP adresu a nevyžaduje to žádné změny aplikací ani zdrojů.

  • Ochrana IP: Ochrana IP před Azure DDoS poskytuje ochranu pro vaše prostředky Azure, které mají přiřazenou veřejnou IP adresu. Chrání před útoky na objemové, protokolární a aplikační vrstvy.

    Diagram znázorňující Službu Azure DDoS Protection použitou u prostředku s veřejnou IP adresou

  • Ochrana sítě: Azure DDoS Network Protection poskytuje ochranu vašich prostředků Azure ve virtuální síti, která má přiřazenou veřejnou IP adresu. Má další funkce, jako je podpora DDoS Rapid Response, ochrana nákladů a slevy WAF.

    Diagram znázorňující povolení služby Azure DDoS Protection na úrovni virtuální sítě pro topologii rozbočovač a paprsek.

Případy použití

  • Ochrana před útoky DDoS: Chraňte své prostředky Azure před útoky DDoS, včetně útoků volumetric, protocol a aplikační vrstvy.
  • Ochrana nákladů: Chraňte své prostředky Azure před neočekávanými náklady kvůli útokům DDoS.
  • Rychlá reakce: Získejte podporu rychlých odpovědí od odborníků azure DDoS v případě útoku DDoS.

Další informace najdete v přehledu služby Azure DDoS Protection.

Firewall webových aplikací Azure

Azure Web Application Firewall (WAF) je firewall webových aplikací, který poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. WAF používá pravidla k monitorování požadavků a odpovědí HTTP a může blokovat nebo povolit provoz na základě definovaných pravidel.

Diagram znázorňující Bránu firewall webových aplikací Azure použitou na službu Azure Application Gateway i Azure Front Door, která umožňuje platné požadavky a blokuje webové útoky.

WAF je k dispozici ve dvou možnostech nasazení:

  • WAF služby Azure Application Gateway: Azure Application Gateway je nástroj pro vyrovnávání zatížení webového provozu (vrstva OSI 7), který umožňuje spravovat provoz do webových aplikací.
  • Azure Front Door WAF: Azure Front Door je škálovatelný a zabezpečený vstupní bod pro rychlé doručování globálních aplikací. Nabízí SSL offloading, akceleraci aplikací a globální vyrovnávání zatížení s okamžitým failoverem.

Případy použití

  • Ochrana před webovými útoky: Chraňte své webové aplikace před běžným zneužitím a ohroženími zabezpečení, jako je injektáž SQL a skriptování mezi weby (XSS).
  • Centralizovaná správa: Správa pravidel a zásad firewallu webových aplikací z jednoho umístění
  • Integrace se službami Azure: Integrace WAF s dalšími službami Azure, jako je Azure Application Gateway a Azure Front Door, pro lepší zabezpečení a výkon
  • Vlastní pravidla: Vytvořte vlastní pravidla, která vyhovují vašim konkrétním požadavkům na zabezpečení a zásadám.
  • Ochrana před roboty: Chraňte své webové aplikace před škodlivými roboty a automatizovanými útoky.

Další informace najdete v tématu Přehled služby Azure Web Application Firewall.

Prostředí webu Azure Portal

Azure Portal poskytuje jednotné prostředí pro správu služeb zabezpečení sítě. Služby zabezpečení sítě můžete snadno vytvářet a spravovat z jednoho umístění a také můžete zobrazit stav a stav služeb.

Snímek obrazovky s prostředím pro výběr zabezpečení sítě na webu Azure Portal

Běžné scénáře zabezpečení sítě

Centrum zabezpečení sítě aktuálně podporuje následující možnosti nasazení:

  • Zabezpečená virtuální síť s topologií hvězdice: Nasaďte bránu Azure Firewall ve virtuální síti určené jako uzel. Tato virtuální síť centra se může připojit k více spojeným virtuálním sítím pomocí propojování virtuálních sítí. Azure Firewall je přidružený k zásadám služby Azure Firewall, které definují pravidla a konfigurace brány firewall. Tento model nasazení je ideální pro organizace, které chtějí centralizovat zabezpečení a správu sítě v jednom umístění.

  • Ochrana virtuálních WAN ve velkém měřítku: Nasaďte bránu Azure Firewall v zabezpečeném centru Azure Virtual WAN. Služba Azure Firewall je přidružená k zásadám služby Azure Firewall a zabezpečené centrum je připojené k několika pobočkovým kancelářím a vzdáleným uživatelům. Tento model nasazení je ideální pro organizace, které používají Azure Virtual WAN k připojení více poboček a vzdálených uživatelů k prostředkům Azure.

  • Zero Trust pro webové aplikace: Použijte Azure Application Gateway se zásadami Azure Web Application Firewall (WAF) k ochraně regionálních webových aplikací před běžnými zneužitími a bezpečnostními zranitelnostmi. Přizpůsobte zásady WAF tak, aby efektivně řešily konkrétní požadavky na zabezpečení webových aplikací.

  • Bezpečné doručování cloudového obsahu: Pomocí služby Azure Front Door se zásadami firewallu webových aplikací Azure (WAF) můžete chránit a optimalizovat doručování globálních webových aplikací. Tento model nasazení zajišťuje zabezpečený a efektivní výkon aplikací a zároveň umožňuje přizpůsobit zásady WAF tak, aby řešily konkrétní potřeby zabezpečení.

Další kroky

Přečtěte si další informace o různých funkcích a možnostech každé služby zabezpečení sítě Azure:

Dokumentace k zabezpečení sítě Azure

  • Last updated on