Sdílet prostřednictvím

Přehled zabezpečení sítě Azure

Zabezpečení sítě může být definováno jako proces ochrany prostředků před neoprávněným přístupem nebo útokem použitím kontrolních mechanismů na síťový provoz. Cílem je zajistit, aby byl povolený jenom legitimní provoz. Azure zahrnuje robustní síťovou infrastrukturu, která podporuje požadavky na připojení aplikací a služeb. Síťové připojení je možné mezi prostředky umístěnými v Azure, mezi místními a hostovanými prostředky Azure a z internetu a z Azure.

Tento článek se zabývá některými možnostmi, které Azure nabízí v oblasti zabezpečení sítě. Další informace o:

  • Sítě Azure
  • Řízení přístupu k síti
  • Azure Firewall
  • Zabezpečení vzdáleného přístupu a připojení mezi místy
  • Dostupnost
  • Překlad názvů domén
  • Architektura hraniční sítě (DMZ)
  • Azure ochrana před DDoS útoky
  • Azure Front Door (přední dveře Azure)
  • Správce dopravy
  • Monitorování a detekce hrozeb

Poznámka:

U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je nasadit Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě.

Sítě Azure

Azure vyžaduje připojení virtuálních počítačů k virtuální síti Azure. Virtuální síť je logická konstrukce postavená na fyzické síťové struktuře Azure. Každá virtuální síť je izolovaná od všech ostatních virtuálních sítí. To pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný jiným zákazníkům Azure.

Další informace:

Řízení přístupu k síti

Řízení přístupu k síti je omezení připojení k určitým zařízením nebo podsítím v rámci virtuální sítě a z konkrétních zařízení. Cílem řízení přístupu k síti je omezit přístup k virtuálním počítačům a službám na schválené uživatele a zařízení. Řízení přístupu vychází z rozhodnutí o povolení nebo zamítnutí připojení k vašemu virtuálnímu počítači nebo službě a od nich.

Azure podporuje několik typů řízení přístupu k síti, například:

  • Řízení síťové vrstvy
  • Řízení tras a vynucené tunelování
  • Zařízení zabezpečení virtuální sítě

Řízení síťové vrstvy

Jakékoli zabezpečené nasazení vyžaduje určitou míru řízení přístupu k síti. Cílem řízení přístupu k síti je omezit komunikaci virtuálních počítačů na nezbytné systémy. Ostatní pokusy o komunikaci jsou zablokované.

Poznámka:

Brány firewall úložiště jsou pokryty v článku Přehled zabezpečení úložiště Azure.

Pravidla zabezpečení sítě (NSG)

Pokud potřebujete základní řízení přístupu na úrovni sítě (na základě IP adresy a protokolů TCP nebo UDP), můžete použít skupiny zabezpečení sítě (NSG). NSG je základní stavový firewall pro filtrování paketů a umožňuje řídit přístup na základě 5-tice. Skupiny zabezpečení sítě (NSG) zahrnují funkce pro zjednodušení správy a snížení pravděpodobnosti chyb v konfiguraci.

  • Rozšířená pravidla zabezpečení zjednodušují definici pravidla NSG a umožňují vytvářet složitá pravidla a nemusíte vytvářet více jednoduchých pravidel, abyste dosáhli stejného výsledku.
  • Značky služeb jsou štítky vytvořené Microsoftem, které představují skupinu IP adres. Dynamicky se aktualizují tak, aby zahrnovaly rozsahy IP adres, které splňují podmínky definující zahrnutí do popisku. Pokud například chcete vytvořit pravidlo, které platí pro všechna úložiště Azure ve východní oblasti, můžete použít Storage.EastUS.
  • Skupiny zabezpečení aplikací umožňují nasadit prostředky do skupin aplikací a řídit přístup k těmto prostředkům vytvořením pravidel, která tyto skupiny aplikací používají. Pokud máte například webové servery nasazené do skupiny aplikací 'Webservers', můžete vytvořit pravidlo, které použije Network Security Group (NSG), umožňující přístup internetovému provozu na portu 443 do všech systémů ve skupině aplikací 'Webservers'.

Skupiny zabezpečení sítě neposkytují kontrolu aplikační vrstvy ani ověřené řízení přístupu.

Další informace:

Přístup k virtuálnímu počítači v Defender pro Cloud právě včas

Microsoft Defender for Cloud může spravovat skupiny zabezpečení sítě na virtuálních počítačích a uzamknout přístup k virtuálnímu počítači, dokud uživatel s příslušnými oprávněními řízení přístupu na základě role Azure Azure RBAC nepožádá o přístup. Když je uživatel úspěšně autorizovaný, Defender pro Cloud provádí změny skupin zabezpečení sítě, aby umožnil přístup k vybraným portům po zadanou dobu. Když vyprší čas, skupiny zabezpečení sítě (NSGs) jsou obnoveny do svého předchozího zabezpečeného stavu.

Další informace:

Koncové body služby

Koncové body služby jsou dalším způsobem, jak použít kontrolu nad provozem. Komunikaci s podporovanými službami můžete omezit jenom na virtuální sítě přes přímé připojení. Provoz z vaší virtuální sítě do zadané služby Azure zůstává v páteřní síti Microsoft Azure.

Další informace:

Řízení tras a vynucené tunelování

Schopnost řídit chování směrování ve virtuálních sítích je důležitá. Pokud je směrování správně nakonfigurované, můžou se aplikace a služby hostované na vašem virtuálním počítači připojit k neoprávněným zařízením, včetně systémů vlastněných a provozovaných potenciálními útočníky.

Sítě Azure podporují možnost přizpůsobit chování směrování síťového provozu ve virtuálních sítích. To umožňuje změnit výchozí položky směrovací tabulky ve vaší virtuální síti. Řízení chování směrování pomáhá zajistit, aby veškerý provoz z určitého zařízení nebo skupiny zařízení vstoupil nebo opustil vaši virtuální síť přes konkrétní umístění.

Můžete mít například ve virtuální síti zařízení zabezpečení virtuální sítě. Chcete zajistit, aby veškerý provoz do a z vaší virtuální sítě procházel přes toto virtuální zařízení zabezpečení. Můžete to provést konfigurací tras definovaných uživatelem v Azure.

Vynucené tunelování je mechanismus, který můžete použít k zajištění, že vaše služby nesmí inicializovat připojení k zařízením na internetu. Všimněte si, že se liší od přijímání příchozích připojení a následné reakce na ně. Front-endové webové servery musí odpovídat na požadavky z internetových klientů, takže je povolen příchozí provoz z internetu na tyto webové servery a webové servery mohou reagovat.

Nepřejete si povolit, aby front-end webový server inicializoval odchozí požadavek. Takové žádosti můžou představovat bezpečnostní riziko, protože tato připojení se dají použít ke stažení malwaru. I když chcete, aby tyto front-endové servery iniciovaly odchozí požadavky na internet, můžete je vynutit, aby procházely přes místní webové proxy servery. To vám umožní využít filtrování a protokolování adres URL.

Místo toho byste chtěli použít vynucené tunelování, abyste tomu zabránili. Když povolíte vynucené tunelování, budou všechna připojení k internetu vynucená prostřednictvím vaší místní brány. Můžete nakonfigurovat vynucené tunelování využitím tras definovaných uživatelem.

Další informace:

Zařízení zabezpečení virtuální sítě

Skupiny zabezpečení sítě, trasy definované uživatelem a vynucené tunelování poskytují úroveň zabezpečení v síťové a přenosové vrstvě modelu OSI, ale můžete také chtít povolit zabezpečení v aplikační vrstvě.

Například vaše požadavky na zabezpečení můžou zahrnovat:

  • Ověřování a autorizace před povolením přístupu k aplikaci
  • Detekce neoprávněných vniknutí a reakce na neoprávněná vniknutí
  • Kontrola aplikační vrstvy pro protokoly vysoké úrovně
  • Filtrování adres URL
  • Antivirová ochrana na úrovni sítě a Antimalware
  • Ochrana před roboty
  • Řízení přístupu k aplikacím
  • Další ochrana před útoky DDoS (nad ochranou před útoky DDoS poskytovanou samotným prostředkům infrastruktury Azure)

K těmto rozšířeným funkcím zabezpečení sítě můžete přistupovat pomocí partnerského řešení Azure. Nejnovější řešení zabezpečení partnerských sítí Azure najdete na webu Azure Marketplace a vyhledáte "zabezpečení" a "zabezpečení sítě".

Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jde o službu poskytovanou jako plně stavovou ochranu firewallu, s integrovanou vysokou dostupností a neomezenou škálovatelností v cloudu. Azure Firewall kontroluje provoz mezi východem a západem i severojižní provoz.

Azure Firewall je k dispozici ve třech SKU: Basic, Standard a Premium.

  • Azure Firewall Basic nabízí zjednodušené zabezpečení podobné jako Standard SKU, ale bez pokročilých funkcí.
  • Azure Firewall Standard poskytuje filtry L3-L7 a informační kanály analýzy hrozeb přímo od Microsoft Cyber Security.
  • Azure Firewall Premium zahrnuje pokročilé funkce, jako je IDPS založené na podpisu pro rychlé zjišťování útoků pomocí identifikace konkrétních vzorů.

Další informace:

Zabezpečení vzdáleného přístupu a připojení mezi místy

Nastavení, konfigurace a správa vašich prostředků Azure se musí provádět vzdáleně. Kromě toho můžete chtít nasadit hybridní IT řešení, která mají komponenty místně i ve veřejném cloudu Azure. Tyto scénáře vyžadují zabezpečený vzdálený přístup.

Sítě Azure podporují následující scénáře zabezpečeného vzdáleného přístupu:

  • Připojení jednotlivých pracovních stanic k virtuální síti
  • Připojení místní sítě k virtuální síti pomocí sítě VPN
  • Připojení místní sítě k virtuální síti pomocí vyhrazeného propojení WAN
  • Vzájemné propojení virtuálních sítí

Připojení jednotlivých pracovních stanic k virtuální síti

Můžete chtít povolit jednotlivým vývojářům nebo provozním pracovníkům správu virtuálních počítačů a služeb v Azure. Pokud například potřebujete přístup k virtuálnímu počítači ve virtuální síti, ale vaše zásady zabezpečení zakazují vzdálený přístup RDP nebo SSH k jednotlivým virtuálním počítačům, můžete použít připojení VPN typu point-to-site .

Připojení VPN typu point-to-site umožňuje vytvořit privátní a zabezpečené připojení mezi uživatelem a virtuální sítí. Po navázání připojení VPN se uživatel může připojit k libovolnému virtuálnímu počítači ve virtuální síti pomocí RDP nebo SSH, pokud je ověřený a autorizovaný. Vpn typu point-to-site podporuje:

  • Protokol SSTP (Secure Socket Tunneling Protocol): Proprietární protokol VPN založený na SSL, který může proniknout do bran firewall, protože většina bran firewall otevírá port TCP 443, který protokol TLS/SSL používá. SSTP se podporuje na zařízeních s Windows (Windows 7 a novějších).
  • IKEv2 VPN: Řešení IPsec VPN založené na standardech, které se dá použít k připojení ze zařízení Mac (OSX verze 10.11 a novější).
  • Protokol OpenVPN: Protokol VPN založený na protokolu SSL/TLS, který může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP 443, který protokol TLS používá. OpenVPN se dá použít k připojení z Androidu, iOS (verze 11.0 a novější), zařízení s Windows, Linuxem a Macem (macOS verze 10.13 a novější). Podporované verze jsou TLS 1.2 a TLS 1.3 založené na handshake protokolu TLS.

Další informace:

Připojení místní sítě k virtuální síti pomocí služby VPN Gateway

Pokud chcete připojit celou podnikovou síť nebo konkrétní segmenty k virtuální síti, zvažte použití sítě VPN typu site-to-site. Tento přístup je běžný v hybridních scénářích IT, kde jsou části služby hostované jak v Azure, tak v místním prostředí. Můžete mít například front-endové webové servery v Azure a v back-end databázích místně. Sítě VPN typu Site-to-Site vylepšují zabezpečení správy prostředků Azure a umožňují scénáře, jako je rozšíření řadičů domény Active Directory do Azure.

Síť VPN typu site-to-site se liší od sítě VPN typu point-to-site v tom, že připojuje celou síť (například vaši místní síť) k virtuální síti, a ne jenom k jednomu zařízení. Sítě VPN typu Site-to-Site používají k navázání těchto připojení vysoce zabezpečený protokol VPN režimu tunelu IPsec.

Další informace:

Připojení VPN typu point-to-site a site-to-site jsou užitečná pro povolení připojení mezi místními sítěmi. Mají ale určitá omezení:

  • Připojení VPN přenášejí data přes internet a vystavují je potenciálním bezpečnostním rizikům spojeným s veřejnými sítěmi. Spolehlivost a dostupnost internetových připojení navíc nelze zaručit.
  • Připojení VPN k virtuálním sítím nemusí poskytovat dostatečnou šířku pásma pro určité aplikace, což obvykle dosáhne přibližně 200 Mb/s.

Pro organizace, které vyžadují nejvyšší úroveň zabezpečení a dostupnosti pro svá připojení mezi místními sítěmi, se často preferují vyhrazené propojení WAN. Azure nabízí řešení, jako jsou ExpressRoute, ExpressRoute Direct a ExpressRoute Global Reach, a usnadňují tak tato vyhrazená připojení mezi vaší místní sítí a virtuálními sítěmi Azure.

Další informace:

Vzájemné propojení virtuálních sítí

Pro vaše nasazení je možné použít několik virtuálních sítí z různých důvodů, jako je zjednodušení správy nebo zvýšení zabezpečení. Bez ohledu na motivaci může dojít k tomu, že budete chtít, aby se prostředky v různých virtuálních sítích vzájemně spojily.

Jednou z možností je mít služby v jedné virtuální síti, které se připojují ke službám v jiné virtuální síti, a to "smyčkou zpět" přes internet. To znamená, že připojení začíná v jedné virtuální síti, prochází internetem a pak dosáhne cílové virtuální sítě. To ale zpřístupňuje připojení k bezpečnostním rizikům spojeným s internetovou komunikací.

Lepší možností je vytvořit síť VPN typu site-to-site, která propojuje obě virtuální sítě. Tato metoda používá stejný protokol tunelového režimu IPsec jako připojení VPN typu site-to-site mezi místními sítěmi, které jsme zmínili dříve.

Výhodou tohoto přístupu je, že připojení VPN je vytvořeno prostřednictvím síťových prostředků infrastruktury Azure a poskytuje další vrstvu zabezpečení ve srovnání s sítěmi VPN typu site-to-site, které se připojují přes internet.

Další informace:

Další metodou připojení virtuálních sítí je partnerský vztah virtuálních sítí. VNet Peering umožňuje přímou komunikaci mezi dvěma virtuálními sítěmi Azure přes páteřní infrastrukturu Microsoftu a obejít veřejný internet. Tato funkce podporuje partnerský vztah ve stejné oblasti nebo napříč různými oblastmi Azure. Skupiny zabezpečení sítě (NSG) můžete použít také k řízení a omezení připojení mezi podsítěmi nebo systémy v rámci partnerských sítí.

Dostupnost

Dostupnost je zásadní pro každý program zabezpečení. Pokud uživatelé a systémy nemají přístup k nezbytným prostředkům, služba je efektivně ohrožena. Azure nabízí síťové technologie, které podporují mechanismy vysoké dostupnosti, včetně následujících:

  • Vyrovnávání zatížení založené na protokolu HTTP
  • Vyrovnávání zatížení na úrovni sítě
  • Globální vyrovnávání zatížení

Vyrovnávání zatížení rovnoměrně distribuuje připojení mezi více zařízení, jejichž cílem je:

  • Zvýšení dostupnosti: Díky distribuci připojení zůstává služba funkční i v případě, že jedno nebo více zařízení přestane být k dispozici. Zbývající zařízení budou dál obsluhovat obsah.
  • Zvýšení výkonu: Distribuce připojení snižuje zatížení jakéhokoli jednoho zařízení, rozprostírá požadavky na zpracování a paměť napříč několika zařízeními.
  • Usnadnění škálování: S rostoucí poptávkou můžete do nástroje pro vyrovnávání zatížení přidat další zařízení, což umožňuje zpracovávat více připojení.

Vyrovnávání zatížení založené na protokolu HTTP

Organizace, které spouštějí webové služby, často využívají k zajištění vysokého výkonu a dostupnosti nástroj pro vyrovnávání zatížení založeného na protokolu HTTP. Na rozdíl od tradičních síťových nástrojů pro vyrovnávání zatížení, které spoléhají na protokoly síťové a přenosové vrstvy, dělají nástroje pro vyrovnávání zatížení založené na protokolu HTTP rozhodnutí na základě charakteristik protokolu HTTP.

Azure Application Gateway a Azure Front Door nabízejí vyrovnávání zatížení založené na protokolu HTTP pro webové služby. Obě služby podporují:

  • Spřažení relací na základě souborů cookie: Zajišťuje, aby připojení vytvořená na jednom serveru zůstala konzistentní mezi klientem a serverem a zachovala stabilitu transakcí.
  • Přesměrování zpracování TLS: Šifruje relace mezi klientem a nástrojem pro vyrovnávání zatížení pomocí protokolu HTTPS (TLS). Pro zvýšení výkonu může připojení mezi nástrojem pro vyrovnávání zatížení a webovým serverem používat protokol HTTP (nešifrované), což snižuje režii na šifrování webových serverů a umožňuje jim efektivněji zpracovávat požadavky.
  • Směrování obsahu na základě adresy URL: Umožňuje nástroji pro vyrovnávání zatížení předávat připojení na základě cílové adresy URL a poskytuje větší flexibilitu než rozhodování na základě IP adres.
  • Firewall webových aplikací: Nabízí centralizovanou ochranu webových aplikací před běžnými hrozbami a ohroženími zabezpečení.

Další informace:

Vyrovnávání zatížení na úrovni sítě

Na rozdíl od vyrovnávání zatížení založeného na protokolu HTTP provádí vyrovnávání zatížení na úrovni sítě rozhodnutí na základě IP adresy a portu (TCP nebo UDP). Azure Load Balancer poskytuje vyrovnávání zatížení na úrovni sítě s následujícími klíčovými vlastnostmi:

  • Vyrovnává provoz na základě IP adresy a čísel portů.
  • Podporuje jakýkoli protokol aplikační vrstvy.
  • Distribuuje provoz do virtuálních počítačů Azure a instancí rolí cloudové služby.
  • Lze použít jak pro internetové aplikace (externí vyrovnávání zatížení), tak pro aplikace bez internetu (interní vyrovnávání zatížení) a virtuální počítače.
  • Zahrnuje monitorování koncových bodů pro detekci nedostupnosti služby a reagování na ně.

Další informace:

Globální vyrovnávání zatížení

Některé organizace chtějí nejvyšší možnou úroveň dostupnosti. Jedním ze způsobů, jak dosáhnout tohoto cíle, je hostování aplikací v globálně distribuovaných datacentrech. Když je aplikace hostovaná v datacentrech umístěných po celém světě, může být celá geopolitické oblasti nedostupná a aplikace bude pořád spuštěná.

Tato strategie vyrovnávání zatížení může také přinést výhody výkonu. Žádosti o službu můžete směrovat do datacentra, které je nejblíže zařízení, které žádost provádí.

V Azure můžete získat výhody globálního vyrovnávání zatížení pomocí Azure Traffic Manageru pro vyrovnávání zatížení založeného na DNS, globálního load balanceru pro vyrovnávání zatížení vrstvy přenosu nebo služby Azure Front Door pro vyrovnávání zatížení založeného na protokolu HTTP.

Další informace:

Překlad názvů domén

Rozlišení názvů je nezbytné pro všechny služby hostované v Azure. Z hlediska zabezpečení může narušení funkce překladu názvů umožnit útočníkům přesměrovat požadavky z vašich stránek na škodlivé stránky. Bezpečné řešení doménových jmen je proto klíčové pro všechny vaše služby hostované v cloudu.

Existují dva typy překladu názvů, které je potřeba vzít v úvahu:

  • Interní řešení názvů: Používá se službami v rámci vašich virtuálních sítí, místních sítí nebo obojího. Tyto názvy nejsou přístupné přes internet. Pokud chcete zajistit optimální zabezpečení, ujistěte se, že vaše interní schéma překladu jmen není vystavené externím uživatelům.
  • Externí překlad názvů: Používají lidé a zařízení mimo vaše místní a virtuální sítě. Tyto názvy jsou viditelné na internetu a mají přímé spojení s vašimi cloudovými službami.

Pro interní rozlišení jmen máte dvě možnosti:

  • Server DNS virtuální sítě: Když vytvoříte novou virtuální síť, Azure poskytne server DNS, který dokáže přeložit názvy počítačů v této virtuální síti. Tento server DNS spravuje Azure a není konfigurovatelný a pomáhá zabezpečit překlad ip adres.
  • Používání vlastního serveru DNS: V rámci virtuální sítě můžete nasadit server DNS podle svého výběru. Může to být integrovaný server DNS služby Active Directory nebo vyhrazené řešení serveru DNS od partnera Azure, který je k dispozici na Azure Marketplace.

Další informace:

Pro externí řešení jmen máte dvě možnosti:

  • Hostujte vlastní externí server DNS místně.
  • Použijte externího poskytovatele služeb DNS.

Velké organizace často hostují své vlastní servery DNS místně, protože mají zkušenosti se sítí a globální přítomnost.

Pro většinu organizací je ale vhodnější použít externího poskytovatele služeb DNS. Tito poskytovatelé nabízejí vysokou dostupnost a spolehlivost služeb DNS, což je zásadní, protože selhání DNS můžou zajistit nedostupnost vašich internetových služeb.

Azure DNS nabízí vysoce dostupné a vysoce výkonné externí řešení DNS. Využívá globální infrastrukturu Azure, která umožňuje hostovat vaši doménu v Azure se stejnými přihlašovacími údaji, rozhraními API, nástroji a fakturací jako ostatní služby Azure. Kromě toho přináší výhody robustních kontrolních mechanismů zabezpečení Azure.

Další informace:

  • Přehled Azure DNS
  • Privátní zóny Azure DNS umožňují nakonfigurovat privátní názvy DNS pro prostředky Azure místo automaticky přiřazených názvů, aniž byste museli přidat vlastní řešení DNS.

Architektura hraniční sítě

Řada velkých organizací používá hraniční sítě k segmentace sítí a vytváří zónu vyrovnávací paměti mezi internetem a jejich službami. Hraniční část sítě se považuje za zónu nízkého zabezpečení a v daném segmentu sítě nejsou umístěné žádné prostředky s vysokou hodnotou. Obvykle uvidíte zařízení zabezpečení sítě, která mají síťové rozhraní v segmentu hraniční sítě. K síti s virtuálními počítači a službami, které přijímají příchozí připojení z internetu, je připojené jiné síťové rozhraní.

Hraniční sítě můžete navrhovat mnoha různými způsoby. Rozhodnutí nasadit hraniční síť a potom, jaký typ hraniční sítě se má použít, pokud se rozhodnete použít, závisí na vašich požadavcích na zabezpečení sítě.

Další informace:

Azure ochrana před DDoS útoky

Útoky DDoS (Distributed Denial of Service) představují významnou hrozbu pro dostupnost a bezpečnost cloudových aplikací. Tyto útoky mají za cíl vyčerpat prostředky aplikace a učinit ji nepřístupnou oprávněným uživatelům. Cílem může být jakýkoli veřejně dostupný koncový bod.

Mezi funkce ochrany před útoky DDoS patří:

  • Integrace nativní platformy: Plně integrovaná do Azure s konfigurací dostupnou prostřednictvím webu Azure Portal. Rozumí vašim prostředkům a jejich konfiguracím.
  • Automatická ochrana: Automaticky chrání všechny prostředky ve virtuální síti, jakmile je povolená služba DDoS Protection, aniž by bylo nutné zásahu uživatele. Zmírnění rizik začne okamžitě po detekci útoku.
  • Stále aktivní monitorování provozu: Monitoruje provoz vaší aplikace 24/7, zjišťuje známky útoků typu DDoS a zahajuje zmírnění v případě porušení zásad ochrany.
  • Zprávy o zmírnění útoků: Poskytují podrobné informace o útocích pomocí agregovaných dat toku sítě.
  • Protokoly toku omezení rizik útoku: Nabízí protokoly vyřazených a přesměrovaných přenosů téměř v reálném čase během aktivního útoku DDoS.
  • Adaptivní ladění: Učí se provozním vzorům vaší aplikace v průběhu času a odpovídajícím způsobem upravuje profil ochrany. Poskytuje ochranu vrstvy 3 až vrstvy 7 při použití s firewallem webových aplikací.
  • Rozsáhlé škálování omezení rizik: Dokáže zmírnit více než 60 různých typů útoků s globální kapacitou pro zpracování největších známých útoků DDoS.
  • Metriky útoku: Souhrnné metriky z každého útoku jsou dostupné prostřednictvím služby Azure Monitor.
  • Upozorňování na útoky: Konfigurovatelná upozornění pro spuštění, zastavení a dobu trvání útoku, integraci s nástroji, jako jsou protokoly služby Azure Monitor, Splunk, Azure Storage, e-mail a Azure Portal.
  • Záruka nákladů: Nabízí kredity na služby přenosu dat a škálování aplikací pro zdokumentované útoky DDoS.
  • Rychlá reakce DDoS: Poskytuje přístup týmu rychlé reakce během aktivního útoku pro vyšetřování, vlastní zmírnění rizik a analýzu po útoku.

Další informace:

Azure Front Door (přední dveře Azure)

Azure Front Door umožňuje definovat, spravovat a monitorovat globální směrování webového provozu a optimalizovat ho pro zajištění výkonu a vysoké dostupnosti. Umožňuje vytvářet vlastní pravidla firewallu webových aplikací (WAF) pro ochranu úloh HTTP/HTTPS před zneužitím na základě IP adres klientů, kódů zemí a parametrů HTTP. Kromě toho služba Front Door podporuje pravidla pro omezení rychlosti pro boj proti škodlivému provozu botů, zahrnuje odstranění TLS a poskytuje zpracování aplikační vrstvy pro každý požadavek HTTP/HTTPS.

Platforma Front Door je chráněná ochranou před útoky DDoS na úrovni infrastruktury Azure. Pokud chcete rozšířenou ochranu, můžete ve virtuálních sítích povolit službu Azure DDoS Network Protection, abyste zajistili ochranu prostředků před útoky na síťovou vrstvu (TCP/UDP) prostřednictvím automatického ladění a zmírnění rizik. Front Door jako reverzní proxy vrstvy 7 umožňuje, aby webový provoz procházel jenom na back-endové servery a ve výchozím nastavení blokoval jiné typy provozu.

Poznámka:

U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je nasadit Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě.

Další informace:

Azure Traffic Manager

Azure Traffic Manager je nástroj pro vyrovnávání zatížení provozu založený na DNS, který distribuuje provoz do služeb napříč globálními oblastmi Azure a zajišťuje vysokou dostupnost a rychlost odezvy. Pomocí DNS směruje požadavky klientů na nejvhodnější koncový bod služby na základě metody směrování provozu a stavu koncových bodů. Koncový bod může být libovolná internetová služba hostovaná uvnitř Nebo mimo Azure. Traffic Manager nepřetržitě monitoruje koncové body a zabraňuje směrování provozu na všechny, které nejsou k dispozici.

Další informace:

Monitorování a detekce hrozeb

Azure poskytuje možnosti, které vám v této klíčové oblasti pomůžou s včasným zjišťováním, monitorováním a shromažďováním a kontrolou síťového provozu.

Azure Network Watcher

Azure Network Watcher poskytuje nástroje, které vám pomůžou řešit a identifikovat problémy se zabezpečením.

  • Zobrazení skupiny zabezpečení: Provádí audity a zajišťuje dodržování předpisů zabezpečení virtuálních počítačů porovnáním základního souboru pravidel s efektivními pravidly, což pomáhá identifikovat odchylky konfigurace.
  • Zachytávání paketů: Zachytává síťový provoz do a z virtuálních počítačů a pomáhá při řešení potíží se statistikami sítě a aplikací. Služba Azure Functions ji může aktivovat také v reakci na konkrétní výstrahy.

Další informace najdete v přehledu monitorování služby Azure Network Watcher.

Poznámka:

Nejnovější aktualizace o dostupnosti a stavu služby najdete na stránce aktualizací Azure.

Microsoft Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně a poskytuje lepší přehled o zabezpečení vašich prostředků Azure a jejich kontrolu a kontrolu nad nimi. Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá zjišťovat hrozby, které by jinak nemusely být nepovšimnuty, a funguje s velkou sadou řešení zabezpečení.

Defender for Cloud pomáhá optimalizovat a monitorovat zabezpečení sítě pomocí:

  • Poskytování doporučení zabezpečení sítě
  • Monitorování stavu konfigurace zabezpečení sítě
  • Upozorní vás na hrozby na základě sítě, a to jak na úrovni koncového bodu, tak na úrovni sítě.

Další informace:

VTAP (Virtual Network TAP)

Azure Virtual Network TAP (terminálový přístupový bod) umožňuje nepřetržitě streamovat síťový provoz virtuálního počítače do kolektoru síťových paketů nebo analytického nástroje. Kolektor nebo analytický nástroj poskytuje partner síťového virtuálního zařízení. Stejný prostředek TAP virtuální sítě můžete použít k agregaci provozu z více síťových rozhraní ve stejném nebo jiném předplatném.

Další informace:

Protokolování

Protokolování na úrovni sítě je klíčovou funkcí pro každý scénář zabezpečení sítě. V Azure můžete logovat údaje získané pro skupiny zabezpečení sítě a tím získat informace o logování na úrovni sítě. Pomocí protokolování NSG získáte informace z:

  • Protokoly aktivit. Tyto protokoly slouží k zobrazení všech operací odeslaných vašim předplatným Azure. Tyto protokoly jsou ve výchozím nastavení povolené a lze je použít v portálu Azure. Dříve se označovaly jako protokoly auditu nebo provozu.
  • Protokoly událostí. Tyto protokoly poskytují informace o tom, jaká pravidla NSG byla použita.
  • Záznamy čítačů Tyto protokoly vám umožňují zjistit, kolikrát se každé pravidlo NSG použilo k odepření nebo povolení provozu.

K zobrazení a analýze těchto protokolů můžete použít také Microsoft Power BI, výkonný nástroj pro vizualizaci dat. Další informace: