Osvědčené postupy Azure pro zabezpečení sítě

  • Článek

Tento článek popisuje kolekci osvědčených postupů Azure pro zvýšení zabezpečení sítě. Tyto osvědčené postupy vycházejí z našich zkušeností se sítěmi Azure a prostředími zákazníků, jako jste vy sami.

Pro každý osvědčený postup vysvětluje tento článek:

  • Co je osvědčeným postupem
  • Proč chcete povolit tento osvědčený postup
  • Co může být výsledkem, pokud nepovolíte osvědčený postup
  • Možné alternativy k osvědčeným postupům
  • Jak se naučit povolit osvědčený postup

Tyto osvědčené postupy jsou založené na stanovisku ke konsensu a možnostech platformy Azure a sadách funkcí, protože existují v době, kdy byl tento článek napsán. Názory a technologie se v průběhu času mění a tento článek bude pravidelně aktualizován tak, aby odrážel tyto změny.

Použití silných síťových ovládacích prvků

Virtuální počítače a zařízení Azure můžete připojit k jiným síťovým zařízením tak, že je umístíte do virtuálních sítí Azure. To znamená, že můžete k virtuální síti připojit karty virtuálních síťových rozhraní, abyste umožnili komunikaci založenou na protokolu TCP/IP mezi zařízeními s podporou sítě. Virtuální počítače připojené k virtuální síti Azure se můžou připojit k zařízením ve stejné virtuální síti, různých virtuálních sítích, internetu nebo vlastních místních sítích.

Při plánování sítě a zabezpečení sítě doporučujeme centralizovat:

  • Správa základních síťových funkcí, jako jsou ExpressRoute, zřizování virtuální sítě a podsítě a přidělování IP adres.
  • Zásady správného řízení prvků zabezpečení sítě, jako jsou funkce síťových virtuálních zařízení, jako jsou ExpressRoute, virtuální síť a zřizování podsítí a přidělování IP adres.

Pokud k monitorování sítě a zabezpečení sítě používáte společnou sadu nástrojů pro správu, získáte jasný přehled o obou nástrojích. Jednoduchá jednotná strategie zabezpečení snižuje chyby, protože zvyšuje lidské porozumění a spolehlivost automatizace.

Logické segmentace podsítí

Virtuální sítě Azure se podobají sítím LAN ve vaší místní síti. Myšlenka virtuální sítě Azure spočívá v tom, že vytvoříte síť na základě jednoho privátního adresního prostoru IP adres, na kterém můžete umístit všechny virtuální počítače Azure. Dostupné prostory privátních IP adres jsou v rozsahech třídy A (10.0.0.0/8), třídy B (172.16.0.0/12) a ve třídě C (192.168.0.0/16).

Mezi osvědčené postupy pro logické segmentování podsítí patří:

Osvědčený postup: Nepřiřazujte pravidla povolení s širokými rozsahy (například povolte 0.0.0.0 až 255.255.255.255).255).
Podrobnosti: Ujistěte se, že postupy řešení potíží zakazují nebo zakazují nastavení těchto typů pravidel. Tato pravidla umožňují vést k falešnému pocitu zabezpečení a často se najdou a zneužívají červenými týmy.

Osvědčený postup: Segmentujte větší adresní prostor do podsítí.
Podrobnosti: K vytvoření podsítí použijte principy ciDR založené na podsíti.

Osvědčený postup: Vytvoření řízení přístupu k síti mezi podsítěmi Směrování mezi podsítěmi probíhá automaticky a nemusíte ručně konfigurovat směrovací tabulky. Ve výchozím nastavení neexistují žádné řízení přístupu k síti mezi podsítěmi, které vytvoříte ve virtuální síti Azure.
Podrobnosti: Pomocí skupiny zabezpečení sítě můžete chránit před nevyžádaným provozem do podsítí Azure. Skupiny zabezpečení sítě (NSG) jsou jednoduché a stavové zařízení pro kontrolu paketů. Skupiny zabezpečení sítě používají přístup řazené kolekce řazených kolekcí členů (zdrojová IP adresa, zdrojový port, cílová IP adresa, cílový port a protokol vrstvy 4) k vytvoření pravidel povolení a odepření síťového provozu. Povolíte nebo zakážete provoz do a z jedné IP adresy, do a z několika IP adres nebo do a z celých podsítí.

Pokud používáte skupiny zabezpečení sítě pro řízení přístupu k síti mezi podsítěmi, můžete prostředky, které patří do stejné zóny zabezpečení nebo role, umístit do vlastních podsítí.

Osvědčený postup: Vyhněte se malým virtuálním sítím a podsítím, abyste zajistili jednoduchost a flexibilitu. Podrobnosti: Většina organizací přidává více prostředků, než je původně naplánováno, a přidělení adres je náročné na práci. Použití malých podsítí přidává omezenou hodnotu zabezpečení a mapování skupiny zabezpečení sítě na každou podsíť zvyšuje režii. Definujte podsítě široce, abyste měli jistotu, že máte flexibilitu pro růst.

Osvědčený postup: Zjednodušení správy pravidel skupin zabezpečení sítě definováním skupin zabezpečení aplikací
Podrobnosti: Definujte skupinu zabezpečení aplikace pro seznamy IP adres, o které si myslíte, že se může v budoucnu změnit nebo použít v mnoha skupinách zabezpečení sítě. Nezapomeňte jasně pojmenovat skupiny zabezpečení aplikací, aby ostatní pochopili jejich obsah a účel.

Přijetí přístupu nulová důvěra (Zero Trust)

Hraniční sítě fungují podle předpokladu, že všechny systémy v síti mohou být důvěryhodné. Dnešní zaměstnanci ale přistupují k prostředkům organizace odkudkoli na různých zařízeních a aplikacích, což z hlediska hraničního zabezpečení irelevantních kontrolních mechanismů zabezpečení. Zásady řízení přístupu, které se zaměřují jenom na to, kdo má přístup k prostředku, nestačí. Aby správci zabezpečení a produktivity zvládli rovnováhu mezi zabezpečením a produktivitou, musí také přistoupit k tomu, jak se k prostředku přistupuje.

Sítě se musí vyvíjet od tradičních obran, protože sítě můžou být ohrožené porušením zabezpečení: útočník může ohrozit jeden koncový bod v rámci důvěryhodné hranice a pak rychle rozšířit zápatí v celé síti. nulová důvěra (Zero Trust) sítě eliminují koncept důvěryhodnosti na základě síťového umístění v rámci hraniční sítě. Místo toho nulová důvěra (Zero Trust) architektury používají deklarace identity důvěryhodnosti zařízení a uživatelů k bráně přístupu k datům a prostředkům organizace. U nových iniciativ přijměte přístupy nulová důvěra (Zero Trust), které ověřují důvěryhodnost v době přístupu.

Mezi osvědčené postupy patří:

Osvědčený postup: Udělení podmíněného přístupu k prostředkům na základě zařízení, identity, záruky, síťového umístění a dalších.
Podrobnosti: Podmíněný přístup společnosti Microsoft Entra umožňuje použít správné řízení přístupu implementací automatizovaných rozhodnutí o řízení přístupu na základě požadovaných podmínek. Další informace najdete v tématu Správa přístupu ke správě Azure pomocí podmíněného přístupu.

Osvědčený postup: Povolte přístup k portům až po schválení pracovního postupu.
Podrobnosti: Přístup k virtuálním počítačům za běhu můžete v Programu Microsoft Defender for Cloud použít k uzamčení příchozího provozu do virtuálních počítačů Azure, což snižuje vystavení útokům a v případě potřeby poskytuje snadný přístup k virtuálním počítačům.

Osvědčený postup: Udělte dočasná oprávnění k provádění privilegovaných úloh, která brání škodlivým nebo neoprávněným uživatelům v získání přístupu po vypršení platnosti oprávnění. Přístup se uděluje jenom v případě, že ho uživatelé potřebují.
Podrobnosti: Pomocí přístupu za běhu v Microsoft Entra Privileged Identity Management nebo v řešení třetí strany udělte oprávnění k provádění privilegovaných úloh.

nulová důvěra (Zero Trust) je dalším vývojem zabezpečení sítě. Stav kybernetických útoků vede organizace k tomu, aby si rozmysleli "předpokládat porušení zabezpečení", ale tento přístup by neměl být omezen. nulová důvěra (Zero Trust) sítě chrání podniková data a prostředky a zároveň zajišťují, aby organizace mohly vytvářet moderní pracoviště pomocí technologií, které zaměstnancům umožňují být produktivní kdykoli, kdekoli a kdekoli.

Řízení chování směrování

Když umístíte virtuální počítač do virtuální sítě Azure, může se virtuální počítač připojit k jakémukoli jinému virtuálnímu počítači ve stejné virtuální síti, i když jsou ostatní virtuální počítače v různých podsítích. To je možné, protože kolekce systémových tras povolená ve výchozím nastavení umožňuje tento typ komunikace. Tyto výchozí trasy umožňují virtuálním počítačům ve stejné virtuální síti inicializovat připojení mezi sebou a s internetem (pouze pro odchozí komunikaci s internetem).

I když jsou výchozí systémové trasy užitečné pro mnoho scénářů nasazení, existují situace, kdy chcete přizpůsobit konfiguraci směrování pro vaše nasazení. Adresu dalšího segmentu směrování můžete nakonfigurovat tak, aby se dostala do konkrétních cílů.

Při nasazování zařízení zabezpečení pro virtuální síť doporučujeme nakonfigurovat trasy definované uživatelem. Toto doporučení si probereme v další části s názvem Zabezpečení důležitých prostředků služeb Azure pouze s vašimi virtuálními sítěmi.

Poznámka:

Trasy definované uživatelem nejsou povinné a výchozí systémové trasy obvykle fungují.

Použití zařízení virtuální sítě

Skupiny zabezpečení sítě a uživatelem definované směrování můžou poskytovat určitou míru zabezpečení sítě v síťových a dopravních vrstvách modelu OSI. V některých situacích ale chcete nebo potřebujete povolit zabezpečení na vysoké úrovni zásobníku. V takových situacích doporučujeme nasadit zařízení zabezpečení virtuální sítě poskytovaná partnery Azure.

Zařízení zabezpečení sítě Azure můžou poskytovat lepší zabezpečení, než jaké ovládací prvky na úrovni sítě poskytují. Mezi možnosti zabezpečení sítě zařízení zabezpečení virtuální sítě patří:

  • Brána firewall
  • Detekce neoprávněných vniknutí / prevence neoprávněných vniknutí
  • Správa ohrožení zabezpečení
  • Řízení aplikace
  • Detekce anomálií na základě sítě
  • Filtrování webů
  • Antivirus
  • Ochrana botnetu

Pokud chcete najít dostupná zařízení zabezpečení virtuální sítě Azure, přejděte na Azure Marketplace a vyhledejte "zabezpečení" a "zabezpečení sítě".

Nasazení hraničních sítí pro zóny zabezpečení

Hraniční síť (označovaná také jako DMZ) je fyzický nebo logický segment sítě, který poskytuje další vrstvu zabezpečení mezi vašimi prostředky a internetem. Specializovaná zařízení pro řízení přístupu k síti na okraji hraniční sítě umožňují pouze požadovaný provoz do vaší virtuální sítě.

Hraniční sítě jsou užitečné, protože se můžete zaměřit na správu řízení přístupu k síti, monitorování, protokolování a vytváření sestav na zařízeních na okraji virtuální sítě Azure. Hraniční síť je místo, kde obvykle povolíte ochranu před distribuovaným odepřením služby (DDoS), systémy detekce neoprávněných vniknutí a neoprávněných vniknutí (IDS/IPS), pravidla a zásady brány firewall, filtrování webů, antimalware sítě a další. Zařízení zabezpečení sítě se nacházejí mezi internetem a virtuální sítí Azure a mají rozhraní v obou sítích.

I když se jedná o základní návrh hraniční sítě, existuje mnoho různých návrhů, jako je back-to-back, tri-homed a multi-homed.

Na základě dříve zmíněného konceptu nulová důvěra (Zero Trust) doporučujeme zvážit použití hraniční sítě pro všechna nasazení s vysokým zabezpečením, abyste zvýšili úroveň zabezpečení sítě a řízení přístupu pro vaše prostředky Azure. Azure nebo řešení třetí strany můžete použít k zajištění další vrstvy zabezpečení mezi vašimi prostředky a internetem:

  • Nativní ovládací prvky Azure Azure Firewall a Azure Web Application Firewall nabízejí základní výhody zabezpečení. Výhody jsou plně stavová brána firewall jako služba, integrovaná vysoká dostupnost, neomezená cloudová škálovatelnost, filtrování plně kvalifikovaného názvu domény, podpora základních sad pravidel OWASP a jednoduchá nastavení a konfigurace.
  • Nabídky třetích stran. V Azure Marketplace vyhledejte firewall nové generace (NGFW) a další nabídky třetích stran, které poskytují známé nástroje zabezpečení a vylepšené úrovně zabezpečení sítě. Konfigurace může být složitější, ale nabídka třetí strany vám může umožnit používat stávající funkce a sady dovedností.

Řada organizací zvolila hybridní it trasu. Díky hybridnímu IT jsou některé informační prostředky společnosti v Azure a jiné zůstávají v místním prostředí. V mnoha případech jsou některé komponenty služby spuštěné v Azure, zatímco jiné komponenty zůstávají v místním prostředí.

V hybridním scénáři IT je obvykle nějaký typ připojení mezi místy. Připojení mezi místy umožňuje společnosti připojit své místní sítě k virtuálním sítím Azure. K dispozici jsou dvě řešení pro připojení mezi místy:

  • Vpn typu Site-to-Site. Je to důvěryhodná, spolehlivá a zavedená technologie, ale připojení probíhá přes internet. Šířka pásma je omezená na maximálně přibližně 1,25 Gb/s. Síť VPN typu Site-to-Site je v některých scénářích žádoucí.
  • Azure ExpressRoute. Doporučujeme používat ExpressRoute pro připojení mezi místy. ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes soukromé připojení zajišťované poskytovatelem připojení. Pomocí ExpressRoute můžete navázat připojení ke cloudovým službám Microsoftu, jako jsou Azure, Microsoft 365 a Dynamics 365. ExpressRoute je vyhrazené propojení WAN mezi vaším místním umístěním nebo poskytovatelem hostingu Microsoft Exchange. Vzhledem k tomu, že se jedná o telco připojení, vaše data nepřechází přes internet, takže nejsou vystavena potenciálním rizikům internetové komunikace.

Umístění připojení ExpressRoute může mít vliv na kapacitu brány firewall, škálovatelnost, spolehlivost a viditelnost síťového provozu. Budete muset určit, kde ukončit ExpressRoute v existujících (místních) sítích. Můžete provádět následující akce:

  • Ukončete mimo bránu firewall (paradigmatu hraniční sítě). Toto doporučení použijte, pokud potřebujete mít přehled o provozu, pokud potřebujete pokračovat ve stávajícím postupu izolace datových center nebo pokud do Azure vkládáte výhradně extranetové prostředky.
  • Ukončete bránu firewall (paradigma síťového rozšíření). Toto je výchozí doporučení. Ve všech ostatních případech doporučujeme považovat Azure za jiné datové centrum.

Optimalizace provozu a výkonu

Pokud je služba v provozu, není možné získat přístup k informacím. Pokud je výkon tak nízký, že data jsou nepoužitelná, můžete zvážit nedostupná data. Z hlediska zabezpečení musíte udělat cokoli, abyste měli jistotu, že vaše služby mají optimální dobu provozu a výkon.

Oblíbenou a efektivní metodou pro zvýšení dostupnosti a výkonu je vyrovnávání zatížení. Vyrovnávání zatížení je metoda distribuce síťového provozu mezi servery, které jsou součástí služby. Pokud máte například front-endové webové servery jako součást služby, můžete pomocí vyrovnávání zatížení distribuovat provoz mezi několik front-endových webových serverů.

Tato distribuce provozu zvyšuje dostupnost, protože pokud některý z webových serverů přestane být dostupný, nástroj pro vyrovnávání zatížení přestane odesílat provoz na tento server a přesměruje ho na servery, které jsou stále online. Vyrovnávání zatížení také pomáhá s výkonem, protože zatížení procesoru, sítě a paměti pro obsluhu požadavků se distribuuje napříč všemi servery s vyrovnáváním zatížení.

Doporučujeme používat vyrovnávání zatížení vždy, když budete moct, a podle potřeby pro vaše služby. Následují scénáře na úrovni virtuální sítě Azure i na globální úrovni spolu s možnostmi vyrovnávání zatížení pro každou z nich.

Scénář: Máte aplikaci, která:

  • Vyžaduje požadavky ze stejné relace uživatele nebo klienta, aby se dostaly do stejného back-endového virtuálního počítače. Příklady jsou aplikace nákupního košíku a webové poštovní servery.
  • Přijímá pouze zabezpečené připojení, takže nešifrovaná komunikace se serverem není přijatelná.
  • Vyžaduje více požadavků HTTP na stejném dlouhotrvajícím připojení TCP ke směrování nebo vyrovnávání zatížení na různé back-endové servery.

Možnost vyrovnávání zatížení: Použijte bránu Aplikace Azure, nástroj pro vyrovnávání zatížení webového provozu HTTP. Application Gateway podporuje kompletní šifrování TLS a ukončení protokolu TLS v bráně. Webové servery je pak možné zrušit z režie šifrování a dešifrování a provozu, který se nešifruje na back-endové servery.

Scénář: Musíte vyrovnávat zatížení příchozích připojení z internetu mezi servery umístěnými ve virtuální síti Azure. Scénáře jsou v následujících situacích:

  • Máte bezstavové aplikace, které přijímají příchozí požadavky z internetu.
  • Nevyžadujte rychlé relace ani přesměrování zpracování TLS. Rychlé relace je metoda používaná s vyrovnáváním zatížení aplikace k dosažení spřažení serveru.

Možnost vyrovnávání zatížení: Pomocí webu Azure Portal vytvořte externí nástroj pro vyrovnávání zatížení, který rozděluje příchozí požadavky na několik virtuálních počítačů, aby poskytoval vyšší úroveň dostupnosti.

Scénář: Musíte vyrovnávat zatížení připojení z virtuálních počítačů, které nejsou na internetu. Ve většině případů jsou připojení přijatá pro vyrovnávání zatížení inicializována zařízeními ve virtuální síti Azure, jako jsou instance SQL Serveru nebo interní webové servery.
Možnost vyrovnávání zatížení: Pomocí webu Azure Portal vytvořte interní nástroj pro vyrovnávání zatížení, který rozděluje příchozí požadavky na několik virtuálních počítačů, aby poskytoval vyšší úroveň dostupnosti.

Scénář: Potřebujete globální vyrovnávání zatížení, protože:

  • Máte cloudové řešení, které je široce distribuované napříč několika oblastmi a vyžaduje nejvyšší možnou úroveň dostupnosti (dostupnosti).
  • Potřebujete nejvyšší možnou úroveň dostupnosti, abyste měli jistotu, že je vaše služba dostupná i v případě, že nebude k dispozici celé datové centrum.

Možnost vyrovnávání zatížení: Použijte Azure Traffic Manager. Traffic Manager umožňuje vyrovnávat zatížení připojení k vašim službám na základě umístění uživatele.

Pokud například uživatel odešle žádost o vaši službu z EU, bude připojení přesměrováno na vaše služby umístěné v datacentru EU. Tato část globálního vyrovnávání zatížení Traffic Manageru pomáhá zlepšit výkon, protože připojení k nejbližšímu datacentru je rychlejší než připojování k datovým centrům, která jsou daleko.

Zakázání přístupu RDP/SSH k virtuálním počítačům

Virtuální počítače Azure je možné kontaktovat přes protokoly RDP (Remote Desktop Protocol) a SSH (Secure Shell). Tyto protokoly umožňují správu virtuálních počítačů ze vzdálených umístění a jsou standardem v datacentrovém computingu.

Potenciální bezpečnostní problém s používáním těchto protokolů přes internet spočívá v tom, že útočníci můžou k získání přístupu k virtuálním počítačům Azure použít techniky hrubou silou . Potom co útočníci získají přístup, můžou použít váš virtuální počítač jako spouštěcí bod pro narušení dalších počítačů ve virtuální síti, nebo dokonce zaútočit na síťová zařízení mimo Azure.

Doporučujeme zakázat přímý přístup RDP a SSH k virtuálním počítačům Azure z internetu. Po zakázání přímého přístupu RDP a SSH z internetu máte další možnosti, které můžete použít pro přístup k těmto virtuálním počítačům pro vzdálenou správu.

Scénář: Povolte jednomu uživateli připojení k virtuální síti Azure přes internet.
Možnost: Síť VPN typu point-to-site je dalším termínem pro připojení klienta nebo serveru VPN vzdáleného přístupu. Po navázání připojení typu point-to-site se uživatel může pomocí protokolu RDP nebo SSH připojit k jakýmkoli virtuálním počítačům umístěným ve virtuální síti Azure, ke kterým se uživatel připojil přes vpn typu point-to-site. Předpokládá se, že uživatel má oprávnění k přístupu k těmto virtuálním počítačům.

Připojení VPN typu point-to-site je bezpečnější než přímé připojení RDP nebo SSH, protože se uživatel musí před připojením k virtuálnímu počítači ověřit dvakrát. Nejprve musí uživatel ověřit (a autorizovat) k navázání připojení VPN typu point-to-site. Za druhé, uživatel se musí ověřit (a autorizovat) k navázání relace RDP nebo SSH.

Scénář: Povolte uživatelům ve vaší místní síti připojení k virtuálním počítačům ve vaší virtuální síti Azure.
Možnost: Síť VPN typu site-to-site propojuje celou síť s jinou sítí přes internet. K připojení místní sítě k virtuální síti Azure můžete použít síť VPN typu site-to-site. Uživatelé ve vaší místní síti se připojují pomocí protokolu RDP nebo SSH přes připojení VPN typu site-to-site. Nemusíte povolovat přímý přístup RDP ani SSH přes internet.

Scénář: Pomocí vyhrazeného odkazu WAN můžete poskytovat funkce podobné síti VPN typu site-to-site.
Možnost: Použijte ExpressRoute. Poskytuje funkce podobné vpn typu site-to-site. Hlavní rozdíly:

  • Vyhrazený odkaz WAN neprochází internetem.
  • Vyhrazené propojení WAN jsou obvykle stabilnější a lépe fungují.

Zabezpečení důležitých prostředků služby Azure pouze pro vaše virtuální sítě

Pomocí služby Azure Private Link můžete přistupovat ke službám Azure PaaS (například Azure Storage a SQL Database) přes privátní koncový bod ve vaší virtuální síti. Privátní koncové body umožňují zabezpečit důležité prostředky služby Azure pouze pro vaše virtuální sítě. Provoz z vaší virtuální sítě do služby Azure zůstává vždy v páteřní síti Microsoft Azure. Zveřejnění virtuální sítě na veřejný internet už není nutné k využívání služeb Azure PaaS.

Azure Private Link nabízí následující výhody:

  • Vylepšené zabezpečení prostředků služeb Azure: Pomocí služby Azure Private Link je možné prostředky služeb Azure zabezpečit do vaší virtuální sítě pomocí privátního koncového bodu. Zabezpečení prostředků služby s privátním koncovým bodem ve virtuální síti poskytuje lepší zabezpečení tím, že plně odebere veřejný přístup k internetu k prostředkům a povolí provoz pouze z privátního koncového bodu ve vaší virtuální síti.
  • Privátní přístup k prostředkům služby Azure na platformě Azure: Připojení virtuální síť ke službám v Azure pomocí privátních koncových bodů. Veřejnou IP adresu není potřeba. Platforma Private Link bude zpracovávat připojení mezi příjemcem a službami přes páteřní síť Azure.
  • Přístup z místních a partnerských sítí: Přístup ke službám běžícím v Azure z místního prostředí přes privátní partnerský vztah ExpressRoute, tunely VPN a partnerské virtuální sítě pomocí privátních koncových bodů Pro připojení ke službě není potřeba konfigurovat partnerský vztah ExpressRoute Microsoftu ani procházet internetem. Private Link poskytuje bezpečný způsob migrace úloh do Azure.
  • Ochrana před únikem dat: Privátní koncový bod je mapován na instanci prostředku PaaS místo celé služby. Uživatelé se můžou připojit pouze ke konkrétnímu prostředku. Přístup k jakémukoli jinému prostředku ve službě je zablokovaný. Tento mechanismus poskytuje ochranu před riziky úniku dat.
  • Globální dosah: Připojení soukromě ke službám běžícím v jiných oblastech. Virtuální síť příjemce může být v oblasti A a může se připojit ke službám v oblasti B.
  • Jednoduché nastavení a správa: Už nepotřebujete rezervované veřejné IP adresy ve virtuálních sítích k zabezpečení prostředků Azure prostřednictvím brány firewall protokolu IP. K nastavení privátních koncových bodů nejsou potřeba žádná zařízení NAT ani brány. Privátní koncové body se konfigurují prostřednictvím jednoduchého pracovního postupu. Na straně služby můžete také snadno spravovat požadavky na připojení k prostředku služby Azure. Azure Private Link funguje i pro uživatele a služby patřící do různých tenantů Microsoft Entra.

Další informace o privátních koncových bodech a službách a oblastech Azure, pro které jsou k dispozici privátní koncové body, najdete v tématu Azure Private Link.

Další kroky

Podívejte se na osvědčené postupy a vzory zabezpečení Azure, kde najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.