Přehled zabezpečení sítě Azure

Zabezpečení sítě chrání prostředky před neoprávněným přístupem nebo útokem tím, že řídí síťový provoz. Azure poskytuje robustní síťovou infrastrukturu, která podporuje požadavky na připojení aplikací a služeb s kontrolními mechanismy zabezpečení v každé vrstvě.

Tento článek se zabývá klíčovými možnostmi zabezpečení sítě v Azure:

• Řízení přístupu k síti
• Azure Firewall
• Zabezpečení vzdáleného přístupu a připojení mezi místy
• Dostupnost a vyrovnávání zatížení
• Překlad názvů domén
• ochrana před útoky DDoS
• Azure Front Door
• Monitorování a detekce hrozeb

Poznámka:

U webových úloh doporučujeme použít Azure DDoS Protection a firewall webových aplikací k ochraně před útoky DDoS. Azure Front Door s firewallem webových aplikací poskytuje ochranu na úrovni platformy před útoky DDoS na úrovni sítě.

Virtuální síť Azure

Azure Virtual Network je základní stavební blok vaší privátní sítě v Azure. Každá virtuální síť je izolovaná od ostatních virtuálních sítí a pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný jiným zákazníkům Azure. Virtuální sítě umožňují prostředkům Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi.

Další informace:

• Přehled služby Azure Virtual Network
• Plánování virtuálních sítí

Řízení přístupu k síti

Řízení přístupu k síti omezuje připojení ke konkrétním zařízením nebo podsítím v rámci virtuální sítě a z určitých podsítí. Cílem je omezit přístup k virtuálním počítačům a službám na schválené uživatele a zařízení.

Skupiny zabezpečení sítě

Skupiny zabezpečení sítě (NSG) poskytují základní a stavové filtrování paketů na základě IP adres a protokolů TCP/UDP. Skupiny zabezpečení sítě řídí přístup pomocí 5-tuple (zdrojová IP adresa, zdrojový port, cílová IP adresa, cílový port, protokol).

Skupiny zabezpečení sítě (NSGs) zahrnují funkce pro zjednodušení správy:

• Rozšířená pravidla zabezpečení: Vytvoření složitých pravidel místo několika jednoduchých pravidel pro dosažení stejného výsledku
• Značky služeb: Popisky spravované Microsoftem představující skupiny IP adres, které se dynamicky aktualizují
• Skupiny zabezpečení aplikací: Uspořádání prostředků do skupin aplikací a řízení přístupu na základě těchto skupin

Další informace:

• Network Security Groups (Skupiny zabezpečení sítě)
• Osvědčené postupy zabezpečení sítě

Koncové body služby

Koncové body služby virtuální sítě rozšiřují privátní adresní prostor virtuální sítě na služby Azure přes přímé připojení. Koncové body služeb udržují provoz v páteřní síti Azure a omezují komunikaci s podporovanými službami jenom na virtuální sítě.

Další informace:

• Koncové body služby pro virtuální síť

Azure Private Link

Azure Private Link poskytuje privátní připojení z virtuální sítě ke službám Azure PaaS, službám vlastněným zákazníkem nebo partnerským službám Microsoftu. Provoz služby Private Link zůstává v páteřní síti Microsoft Azure a eliminuje riziko ohrožení veřejného internetu.

Další informace:

• Co je Azure Private Link?
• Soukromé koncové body

Azure Firewall

Azure Firewall je inteligentní síťová brána firewall s nativní podporou cloudu, která poskytuje ochranu cloudových úloh před hrozbami. Jedná se o plně stavový firewall jako služba s integrovanou vysokou dostupností a neomezenou škálovatelností v cloudu.

Azure Firewall je k dispozici ve třech SKU:

• Azure Firewall Basic: Zjednodušené zabezpečení pro malé a střední firmy
• Azure Firewall Standard: L3-L7 filtrování a analýzy hrozeb od Microsoft Cyber Security
• Azure Firewall Premium: Pokročilé funkce, včetně systému pro detekci a prevenci průniků na základě podpisu pro rychlou detekci útoků

Další informace:

• Co je Azure Firewall?
• Výběr správné skladové položky služby Azure Firewall
• Přehled detekce a ochrany před hrozbami

Zabezpečení vzdáleného přístupu a připojení mezi místy

Azure podporuje několik scénářů zabezpečeného vzdáleného přístupu pro správu prostředků Azure a nasazování hybridních IT řešení.

Point-to-site VPN

Připojení VPN typu point-to-site umožňují jednotlivým uživatelům navázat privátní a zabezpečená připojení k virtuální síti. Po ověření mají uživatelé přístup k virtuálním počítačům a službám v Azure. Vpn typu point-to-site podporuje:

• Secure Socket Tunneling Protocol (SSTP): Proprietární protokol VPN založený na SSL (zařízení s Windows)
• IKEv2 VPN: Řešení IPsec VPN založené na standardech (zařízení Mac)
• Protokol OpenVPN: Protokol VPN založený na protokolu SSL/TLS (zařízení s Androidem, iOSem, Windows, Linuxem a Mac)

Další informace:

• Informace o síti VPN typu point-to-site
• Konfigurace připojení VPN typu point-to-site

Mezi lokalitami VPN

Připojení vpn gateway typu Site-to-Site vytvářejí zabezpečená připojení mezi různými místy mezi vaší místní sítí a virtuálními sítěmi Azure. Sítě VPN typu Site-to-Site používají vysoce zabezpečený protokol VPN v režimu tunelu IPsec.

Služba VPN Gateway je nezbytná pro hybridní scénáře IT, ve kterých jsou části služby hostované v Azure i v místním prostředí.

Další informace:

• Informace o službě VPN Gateway
• Vytvoření připojení typu site-to-site

ExpressRoute

ExpressRoute poskytuje vyhrazená propojení WAN mezi vaší místní sítí a cloudovými službami Microsoftu. Připojení ExpressRoute neprocházejí přes veřejný internet, nabízejí lepší zabezpečení, spolehlivost, rychlost a nižší latenci v porovnání s internetovými připojeními.

ExpressRoute podporuje:

• ExpressRoute Direct: Přímé připojení ke globální síti Microsoftu
• ExpressRoute Global Reach: Připojení mezi místními lokalitami prostřednictvím okruhů ExpressRoute

Další informace:

• Přehled ExpressRoute
• Modely připojení ExpressRoute

Propojení virtuálních sítí

Propojení virtuálních sítí spojuje dvě virtuální sítě Azure, umožňuje prostředkům v obou sítích vzájemně komunikovat. VNet peering používá páteřní infrastrukturu Microsoftu a obchází veřejný internet. Partnerský vztah podporuje připojení ve stejné oblasti Azure nebo napříč různými oblastmi (globální partnerský vztah virtuálních sítí).

Další informace:

• Propojení virtuálních sítí
• Vytvoření partnerského vztahu virtuálních sítí

Dostupnost a vyrovnávání zatížení

Vyrovnávání zatížení distribuuje připojení mezi více zařízení, aby se zvýšila dostupnost a výkon. Azure nabízí několik možností vyrovnávání zatížení.

Azure Load Balancer

Azure Load Balancer poskytuje vysoce výkonné vyrovnávání zatížení vrstvy 4 s nízkou latencí pro všechny protokoly UDP a TCP. Load Balancer distribuuje příchozí provoz do back-endových instancí podle nakonfigurovaných pravidel a sond stavu.

Mezi funkce Load Balanceru patří:

• Podpora interních a externích scénářů vyrovnávání zatížení
• Zónová redundance a zónová nasazení
• Podpora aplikací TCP a UDP
• Zdravotní sondy pro určení dostupnosti backendové instance

Další informace:

• Co je Azure Load Balancer?
• Standard Load Balancer a zóny dostupnosti

Azure Application Gateway

Azure Application Gateway je nástroj pro vyrovnávání zatížení webového provozu (vrstva 7), který spravuje provoz do vašich webových aplikací. Application Gateway provádí rozhodnutí o směrování na základě atributů požadavků HTTP, jako jsou cesta URI nebo hlavičky hostitele.

Mezi funkce služby Application Gateway patří:

• Firewall webových aplikací (WAF) pro centralizovanou ochranu
• Ukončení protokolu TLS za účelem snížení režie šifrování na webových serverech
• Spřažení relací na základě souborů cookie
• Směrování obsahu na základě adresy URL
• Automatické škálování a redundance zón

Další informace:

• Co je Azure Application Gateway?
• Komponenty služby Application Gateway

Azure Traffic Manager

Azure Traffic Manager je nástroj pro vyrovnávání zatížení provozu založený na DNS, který distribuuje provoz optimálně do služeb napříč globálními oblastmi Azure. Traffic Manager poskytuje vysokou dostupnost a rychlost odezvy směrováním požadavků klientů na nejvhodnější koncový bod služby na základě metody směrování provozu a stavu koncového bodu.

Traffic Manager podporuje více metod směrování, včetně priority, váženého směrování, výkonnostního směrování, geografického směrování, vícehodnotového směrování a směrování podle podsítě.

Další informace:

• Co je Traffic Manager?
• Metody směrování Traffic Manageru

Překlad názvů domén

Zabezpečené překládání jmen je pro všechny služby hostované v Cloudu zásadní. Ohrožené funkce překladu jmen můžou přesměrovat požadavky na škodlivé weby.

Azure DNS

Azure DNS poskytuje vysoce dostupný a výkonný překlad názvů pomocí infrastruktury Microsoft Azure. Azure DNS podporuje:

• Veřejné domény DNS hostované v globální infrastruktuře Azure
• Privátní zóny DNS pro překlad názvů v rámci virtuálních sítí a napříč virtuálními sítěmi
• Scénáře DNS s rozděleným horizontem, ve kterých se stejný název domény překládá jinak pro privátní a veřejné dotazy

Další informace:

• Přehled Azure DNS
• Zóny Azure Private DNS

ochrana před útoky DDoS

Útoky DDoS (Distributed Denial of Service) patří mezi největší problémy s dostupností a zabezpečením pro zákazníky, kteří přesouvají aplikace do cloudu. Azure DDoS Protection chrání prostředky Azure před útoky DDoS.

Skladové položky služby Azure DDoS Protection:

• Ochrana infrastruktury před útoky DDoS: Základní ochrana povolená ve výchozím nastavení ve všech vlastnostech Azure bez dalších poplatků
• DDoS Network Protection: Rozšířená ochrana prostředků ve virtuálních sítích s adaptivním laděním, zásadami zmírnění rizik a monitorováním

Mezi funkce DDoS Network Protection patří:

• Integrace nativní platformy s konfigurací prostřednictvím webu Azure Portal
• Nepřetržité monitorování provozu a zmírnění rizik v reálném čase
• Analýzy útoků, včetně sestav pro zmírnění rizik a protokolů toků
• Adaptivní ladění na základě vzorů provozu aplikací
• Záruka nákladů včetně přenosu dat a kreditů služby škálování aplikace

Další informace:

• Přehled služby Azure DDoS Protection
• Správa ochrany před útoky DDoS

Azure Front Door

Azure Front Door je globální škálovatelný vstupní bod, který používá globální hraniční síť Microsoftu k vytváření rychlých, zabezpečených a široce škálovatelných webových aplikací. Front Door poskytuje vyrovnávání zatížení vrstvy 7, ukončení protokolu TLS, směrování na základě adresy URL a integrované zabezpečení.

Mezi možnosti služby Front Door patří:

• Globální vyrovnávání zatížení HTTP s okamžitým failoverem
• Ukončení protokolu TLS na okraji sítě
• Směrování na základě cest URL
• Spřažení relací na základě souborů cookie
• Ochrana firewallu webových aplikací
• Ochrana před útoky DDoS na úrovni platformy
• Integrace služby Private Link pro ochranu back-endových zdrojů

Další informace:

• Co je Azure Front Door?
• Architektura směrování služby Front Door

Monitorování a detekce hrozeb

Azure poskytuje nástroje pro monitorování zabezpečení sítě a detekci hrozeb.

Azure Network Watcher

Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku a získávání přehledů o vaší síti v Azure.

Mezi možnosti Network Watcheru patří:

• Sledování připojení: Kontroluje připojení mezi prostředky Azure a koncovými body
• Protokoly toku NSG: Protokoly o provozu IP proudícím skrze skupiny zabezpečení sítě
• Zachytávání paketů: Zachytává síťový provoz do a z virtuálních počítačů.
• Řešení potíží se sítí VPN: Diagnostika problémů se službami VPN Gateway a připojeními
• Diagnostika sítě: Ověřuje konfiguraci sítě a identifikuje problémy se zabezpečením.

Další informace:

• Co je Azure Network Watcher?
• Přehled monitorování služby Network Watcher

Microsoft Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně se zvýšenou viditelností a kontrolou zabezpečení vašich prostředků Azure. Defender for Cloud poskytuje doporučení zabezpečení sítě, monitoruje konfiguraci zabezpečení sítě a upozorňuje vás na hrozby založené na síti.

Další informace:

• Úvod do Microsoft Defenderu pro cloud
• Ochrana síťových prostředků
• Přehled detekce hrozeb

Další kroky

• Osvědčené postupy a vzory zabezpečení Azure
• Osvědčené postupy zabezpečení sítě
• Přehled zabezpečení správy identit
• Detekce a ochrana před hrozbami