Mi az Azure hálózati biztonsága?

A hálózati biztonság a felhőalapú számítástechnika kritikus eleme, mivel védi a felhőben futó adatokat és alkalmazásokat a különböző fenyegetésektől és támadásoktól. Az Azure olyan hálózati biztonsági megoldások átfogó készletét biztosítja, amelyekkel biztonságos és rugalmas hálózatokat tervezhet, helyezhet üzembe és kezelhet a felhőben.

Képernyőkép az Azure Firewall, az Azure DDoS Protection és az Azure Web Application Firewall ikonjairól.

Az Azure hálózati biztonságának egyik alapelve a nulla megbízhatósági modell, amely feltételezi, hogy egyetlen hálózat vagy eszköz sem eredendően biztonságos vagy megbízható. Ehelyett minden kérést és kapcsolatot ellenőrizni és érvényesíteni kell az adatok, az identitás és a környezet alapján. A Nulla megbízhatósági modell segít megelőzni a jogosulatlan hozzáférést, korlátozni az oldalirányú mozgást, és csökkenteni a hálózatok támadási felületét.

Megoldás kiválasztása

Az Azure-számítási feladatokhoz megfelelő hálózati biztonsági megoldás kiválasztása az Ön igényeitől és követelményeitől függ. Az Azure különböző hálózati biztonsági szolgáltatásokat biztosít, amelyek egyenként vagy együttesen is használhatók a számítási feladatok védelméhez. Az alábbiakban néhány fontos tényezőt érdemes figyelembe venni a hálózati biztonsági megoldás kiválasztásakor:

  • Számítási feladat típusa: A különböző számítási feladatok eltérő biztonsági követelményekkel rendelkeznek. A webalkalmazások például védelmet igényelhetnek a webes támadásokkal szemben, míg a virtuális gépek hálózati alapú támadásokkal szembeni védelmet igényelhetnek.
  • Üzemi modell: Az Azure különböző üzemi modelleket biztosít a hálózati biztonsági szolgáltatásokhoz, például a virtuális berendezésekhez, a felügyelt szolgáltatásokhoz és az integrált megoldásokhoz. Válassza ki az igényeinek és követelményeinek leginkább megfelelő modellt.
  • Integráció más Azure-szolgáltatásokkal: Számos Azure hálózati biztonsági szolgáltatás integrálható más Azure-szolgáltatásokkal, például az Azure Monitorral, az Azure Security Centerrel és a Microsoft Sentinellel. Válasszon egy megoldást, amely könnyen integrálható meglévő Azure-szolgáltatásaival a fokozott biztonság és monitorozás érdekében.
  • Költség: A különböző hálózati biztonsági szolgáltatások különböző díjszabási modellekkel rendelkeznek. Válasszon egy olyan megoldást, amely megfelel a költségvetésnek, és biztosítja a szükséges védelmi szintet.
  • Megfelelőségi követelmények: Az iparágtól és a helytől függően előfordulhat, hogy a hálózati biztonsági megoldásnak meg kell felelnie a megfelelőségi követelményeknek. Válasszon ki egy megoldást, amely segíthet ezeknek a követelményeknek a teljesítésében.
  • Méretezhetőség: A számítási feladatok növekedésével a hálózati biztonsági megoldásnak képesnek kell lennie skálázni velük. Olyan megoldást válasszon, amely a biztonság veszélyeztetése nélkül képes kezelni a megnövekedett forgalmat és számítási feladatokat.
  • Felügyelet és figyelés: Válasszon olyan megoldást, amely egyszerű felügyeleti és monitorozási képességeket biztosít, például irányítópultokat, riasztásokat és jelentéskészítést. Ez segít a biztonsági incidensek gyors azonosításában és megválaszolásában.

Azure Firewall

Az Azure Firewall egy natív felhőbeli, intelligens hálózati tűzfalszolgáltatás, amely teljes körű védelmet nyújt a beépített magas rendelkezésre állással és korlátlan felhőméretezhetőséggel. Hálózati és alkalmazásszintű biztonságot is biztosít az Azure-számítási feladatokhoz. Felügyelt szolgáltatásként az Azure Firewall üzembe helyezhető egy virtuális hálózaton, és zökkenőmentesen integrálható más Azure-szolgáltatásokkal, például az Azure Monitorral, az Azure Security Centerrel és a Microsoft Sentinellel a fokozott biztonság és monitorozás érdekében.

Diagram, amely bemutatja, hogy az Azure Firewall hogyan vizsgálja meg az internetre irányuló és az onnan érkező forgalmat, mielőtt a célhelyre irányítanák.

Az igényeitől függően három Azure Firewall-termékváltozat közül választhat:

  • Alapszintű: Az alapszintű termékváltozat költséghatékony megoldás az azure-beli számítási feladatok egyszerű tűzfalmegoldásaihoz. Olyan alapvető funkciókat biztosít, mint a hálózat- és alkalmazásszűrés, a hálózati címfordítás és a naplózás.
  • Standard: A standard termékváltozat egy speciálisabb lehetőség, amely olyan további funkciókat tartalmaz, mint a DNS-proxy és a webkategóriák. Az Azure számítási feladatainak átfogóbb tűzfalmegoldásaihoz lett tervezve.
  • Prémium: A prémium termékváltozat a legfejlettebb lehetőség, amely magában foglalja a standard termékváltozat összes funkcióját, valamint olyan további funkciókat, mint a TLS-vizsgálat, a behatolásészlelés és -megelőzés, valamint az URL-szűrés. Az Azure számítási feladatainak legmagasabb szintű biztonságához és felügyeletéhez lett kialakítva.

Használati esetek

  • Hálózati biztonság: Az Azure-számítási feladatok védelme a hálózati támadásoktól és a jogosulatlan hozzáféréstől.
  • Alkalmazásbiztonság: Az Azure-számítási feladatok védelme az alkalmazásalapú támadásokkal és biztonsági résekkel szemben.
  • Behatolásészlelés és -megelőzés: A hálózat figyelése rosszindulatú tevékenységekre, naplóadatok a tevékenységről, jelentéskészítés, és opcionálisan kísérlet a letiltására.
  • TLS-vizsgálat: TLS-forgalom vizsgálata és visszafejtése a titkosított forgalomban rejtett fenyegetések észleléséhez és blokkolásához.
  • URL-szűrés: Adott URL-címekhez vagy URL-kategóriákhoz való hozzáférés szabályozása a szervezet szabályzatai alapján.

További információkért tekintse meg az Azure Firewall áttekintését.

Azure DDoS elleni védelem

Az Azure DDoS Protection egy olyan szolgáltatás, amely továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. Automatikusan úgy van beállítva, hogy a virtuális hálózatban lévő specifikus Azure-erőforrásokat védje. A védelem egyszerűen engedélyezhetők új vagy meglévő virtuális hálózatokon vagy nyilvános IP-címerőforrásokon, és nem igényel alkalmazás- vagy erőforrásmódosítást.

  • IP-védelem: Az Azure DDoS IP Protection védelmet nyújt a nyilvános IP-címhez rendelt Azure-erőforrások számára. Védelmet nyújt a mennyiségi, protokoll- és alkalmazásréteg-támadások ellen.

    Egy nyilvános IP-címmel rendelkező erőforrásra alkalmazott Azure DDoS Protectiont bemutató ábra.

  • Hálózatvédelem: Az Azure DDoS Network Protection egy nyilvános IP-címmel rendelkező virtuális hálózaton biztosítja az Azure-erőforrások védelmét. Olyan további funkciókkal rendelkezik, mint a DDoS gyorsreagálás támogatása, a költségvédelem és a WAF-kedvezmények.

    A küllős topológia virtuális hálózati szintjén engedélyezett Azure DDoS Protectiont bemutató ábra.

Használati esetek

  • DDoS-támadások elleni védelem: Az Azure-erőforrások védelme a DDoS-támadásokkal szemben, beleértve a mennyiségi, protokoll- és alkalmazásréteg-támadásokat.
  • Költségvédelem: Az Azure-erőforrások védelme a DDoS-támadások miatti váratlan költségekkel szemben.
  • Gyors válasz: Gyors választámogatást kaphat az Azure DDoS szakértőitől DDoS-támadás esetén.

További információkért tekintse meg az Azure DDoS Protection áttekintését.

Azure Web Application Firewall

Az Azure Web Application Firewall (WAF) egy webalkalmazási tűzfal, amely központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések és biztonsági rések ellen. A WAF szabályokkal figyeli a HTTP-kéréseket és -válaszokat, és az Ön által meghatározott szabályok alapján blokkolhatja vagy engedélyezheti a forgalmat.

Az Azure Application Gatewayre és az Azure Front Doorra egyaránt alkalmazott Azure Web Application Firewallt bemutató ábra, amely lehetővé teszi az érvényes kéréseket és blokkolja a webes támadásokat.

A WAF két üzembe helyezési lehetőséggel érhető el:

  • Azure Application Gateway WAF: Az Azure Application Gateway egy webes forgalom (OSI 7. réteg) terheléselosztó, amely lehetővé teszi a webalkalmazások felé irányuló forgalom kezelését.
  • Azure Front Door WAF: Az Azure Front Door egy méretezhető és biztonságos belépési pont a globális alkalmazások gyors kézbesítéséhez. Ssl-kiszervezést, alkalmazásgyorsítást és globális terheléselosztást kínál azonnali feladatátvétellel.

Használati esetek

  • Webtámadások elleni védelem: A webalkalmazások védelme a gyakori biztonsági résekkel, például az SQL-injektálással és a helyek közötti parancsfájlokkal (XSS) szemben.
  • Központosított felügyelet: A webalkalmazás tűzfalszabályait és szabályzatait egyetlen helyről kezelheti.
  • Integráció az Azure-szolgáltatásokkal: A WAF integrálása más Azure-szolgáltatásokkal, például az Azure Application Gatewayrel és az Azure Front Doornal a fokozott biztonság és teljesítmény érdekében.
  • Egyéni szabályok: Egyéni szabályok létrehozása az adott biztonsági követelményeknek és szabályzatok teljesítéséhez.
  • Robotvédelem: A webalkalmazások védelme a rosszindulatú robotokkal és az automatizált támadásokkal szemben.

További információkért tekintse meg az Azure Web Application Firewall áttekintését.

Az Azure Portal felülete

Az Azure Portal egységes felületet biztosít a hálózati biztonsági szolgáltatások kezeléséhez. A hálózati biztonsági szolgáltatásokat egyszerűen létrehozhatja és kezelheti egyetlen helyről, és megtekintheti a szolgáltatások állapotát és állapotát is.

Képernyőkép az Azure Portal hálózati biztonsági kiválasztási felületéről.

Gyakori hálózati biztonsági forgatókönyvek

A Hálózati biztonsági központ jelenleg a következő üzembehelyezési lehetőségeket támogatja:

  • Biztonságos központ és küllő elrendezésű virtuális hálózat: Telepítsen Azure-tűzfalat egy központként kijelölt virtuális hálózatban. Ez a központi virtuális hálózat több küllős virtuális hálózathoz is csatlakozhat virtuális hálózatok közötti társviszony-létesítéssel. Az Azure Firewall egy Azure Firewall-szabályzattal van társítva, amely meghatározza a tűzfal szabályait és konfigurációit. Ez az üzembe helyezési modell ideális azoknak a szervezeteknek, ahol a hálózatbiztonságot és -felügyeletet egy helyen szeretnék központosítani.

  • Virtuális WAN-ok védelme nagy méretekben: Azure-tűzfal üzembe helyezése egy Azure Virtual WAN által védett központban. Az Azure Firewall egy Azure Firewall-szabályzathoz van társítva, a biztonságos központ pedig több fiókirodához és távoli felhasználóhoz csatlakozik. Ez az üzembe helyezési modell ideális az Azure Virtual WAN-t használó szervezetek számára, amelyek több fiókirodát és távoli felhasználót csatlakoztatnak az Azure-erőforrásokhoz.

  • Nulla megbízhatóság webalkalmazásokhoz: Az Azure Application Gateway használata egy Azure Web Application Firewall-szabályzattal (WAF) a regionális webalkalmazások védelmére a gyakori kihasználások és sebezhetőségek ellen. A WAF-szabályzat testreszabása a webalkalmazások adott biztonsági igényeinek hatékony kielégítése érdekében.

  • Felhőtartalmak biztonságos biztosítása: Az Azure Front Door használata egy Azure Web Application Firewall (WAF) szabályzattal a globális webalkalmazások kézbesítésének védelméhez és optimalizálásához. Ez az üzembe helyezési modell biztosítja a biztonságos és hatékony alkalmazásteljesítményt, miközben lehetővé teszi a WAF-szabályzat testreszabását az adott biztonsági igények kielégítése érdekében.

Következő lépések

További információ az egyes Azure hálózati biztonsági szolgáltatások különböző funkcióiról és képességeiről:

Az Azure hálózati biztonsági dokumentációja

  • Last updated on