Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A hálózati biztonság a hálózati forgalom szabályozásával védi az erőforrásokat a jogosulatlan hozzáféréstől vagy támadástól. Az Azure robusztus hálózati infrastruktúrát biztosít az alkalmazás- és szolgáltatáskapcsolati követelmények támogatására, minden réteg biztonsági vezérlőivel.
Ez a cikk az Azure legfontosabb hálózati biztonsági funkcióit ismerteti:
- Hálózati hozzáférés-vezérlés
- Azure Firewall
- Távoli hozzáférés és helyszíni kapcsolatok biztonságossá tétele
- Rendelkezésre állás és terheléselosztás
- Névfeloldás
- DDoS elleni védelem
- Azure Front Door
- Monitorozás és fenyegetésészlelés
Feljegyzés
Webes számítási feladatok esetén az Azure DDoS Protection és egy webalkalmazási tűzfal használatát javasoljuk a DDoS-támadások elleni védelemhez. Az Azure Front Door webalkalmazási tűzfallal platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen.
Azure Virtual Network
Az Azure Virtual Network az Azure-beli magánhálózat alapvető építőeleme. Minden virtuális hálózat el van különítve más virtuális hálózatoktól, így biztosítható, hogy az üzemelő példányok hálózati forgalma ne legyen elérhető más Azure-ügyfelek számára. A virtuális hálózatok lehetővé teszik az Azure-erőforrások számára, hogy biztonságosan kommunikáljanak egymással, az internettel és a helyszíni hálózatokkal.
További információ:
Hálózati hozzáférés-vezérlés
A hálózati hozzáférés-vezérlés korlátozza a virtuális hálózaton belüli adott eszközökhöz vagy alhálózatokhoz való kapcsolódást. A cél a virtuális gépekhez és szolgáltatásokhoz való hozzáférés korlátozása jóváhagyott felhasználókra és eszközökre.
Hálózati Biztonsági Csoportok
A hálózati biztonsági csoportok (NSG-k) alapszintű, állapotalapú csomagszűrést biztosítanak AZ IP-cím és a TCP/UDP protokollok alapján. Az NSG-k 5-tuplet használatával szabályozzák a hozzáférést (forrás IP-cím, forrásport, cél IP-cím, célport, protokoll).
Az NSG-k olyan funkciókat tartalmaznak, amelyek leegyszerűsítik a felügyeletet:
- Bővített biztonsági szabályok: Összetett szabályok létrehozása több egyszerű szabály helyett ugyanazon eredmény eléréséhez
- Szolgáltatáscímkék: A Dinamikusan frissülő IP-címek csoportjait képviselő, Microsoft által felügyelt címkék
- Alkalmazásbiztonsági csoportok: Erőforrások rendszerezése alkalmazáscsoportokba, és a hozzáférés szabályozása ezen csoportok alapján
További információ:
Szolgáltatásvégpontok
A virtuális hálózati szolgáltatásvégpontok kiterjesztik a virtuális hálózat privát címterét az Azure-szolgáltatásokra közvetlen kapcsolaton keresztül. A szolgáltatásvégpontok megtartják a forgalmat az Azure gerinchálózatán, és csak a támogatott szolgáltatásokkal való kommunikációt korlátozzák a virtuális hálózatok felé.
További információ:
Azure Private Link
Az Azure Private Link privát kapcsolatot biztosít egy virtuális hálózatról az Azure PaaS-szolgáltatásokhoz, az ügyfél tulajdonában lévő szolgáltatásokhoz vagy a Microsoft partnerszolgáltatásaihoz. A Private Link-forgalom továbbra is a Microsoft Azure gerinchálózatán marad, így megszűnik a nyilvános internetnek való kitettség.
További információ:
Azure Firewall
Az Azure Firewall egy felhőalapú natív, intelligens hálózati tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít a felhőbeli számítási feladatok számára. Ez egy szolgáltatásként nyújtott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan skálázhatósággal a felhőben.
Az Azure Firewall három termékváltozatban érhető el:
- Alapszintű Azure Firewall: Egyszerűsített biztonság kis- és középvállalkozásoknak
- Azure Firewall Standard: L3-L7 Szűrés és fenyegetésfelderítés a Microsoft Cyber Securitytől
- Prémium szintű Azure Firewall: Speciális képességek, beleértve az aláírásalapú IDPS-t a gyors támadásészleléshez
További információ:
- Mi az Az Azure Firewall?
- Válassza ki a megfelelő Azure Firewall termékváltozatot
- Fenyegetésészlelés és -védelem – áttekintés
Távoli hozzáférés és helyszíni kapcsolatok biztonságossá tétele
Az Azure számos biztonságos távelérési forgatókönyvet támogat az Azure-erőforrások kezeléséhez és a hibrid informatikai megoldások üzembe helyezéséhez.
Pont–hely VPN
A pont–hely VPN-kapcsolatok lehetővé teszik, hogy az egyes felhasználók privát, biztonságos kapcsolatokat létesíthessenek egy virtuális hálózathoz. A felhasználók hitelesítés után hozzáférhetnek az Azure-beli virtuális gépekhez és szolgáltatásokhoz. A pont–hely VPN támogatja a következőket:
- Secure Socket Tunneling Protocol (SSTP): Védett SSL-alapú VPN-protokoll (Windows-eszközök)
- IKEv2 VPN: Szabványalapú IPsec VPN-megoldás (Mac-eszközök)
- OpenVPN Protokoll: SSL/TLS-alapú VPN protokoll (Android, iOS, Windows, Linux és Mac rendszerű eszközök)
További információ:
Helyek közötti VPN
A helyek közötti VPN Gateway-kapcsolatok biztonságos helyek közötti kapcsolatot hoznak létre a helyszíni hálózat és az Azure-beli virtuális hálózatok között. A helyek közötti VPN-ek a rendkívül biztonságos IPsec-alagút módú VPN protokollt használják.
A VPN Gateway nélkülözhetetlen olyan hibrid informatikai forgatókönyvekhez, ahol a szolgáltatás egyes részei az Azure-ban és a helyszínen is üzemelnek.
További információ:
ExpressRoute
Az ExpressRoute dedikált WAN-kapcsolatokat biztosít a helyszíni hálózat és a Microsoft felhőszolgáltatásai között. Az ExpressRoute-kapcsolatok nem lépik át a nyilvános internetet, így nagyobb biztonságot, megbízhatóságot, sebességet és kisebb késést kínálnak az internetkapcsolatokhoz képest.
Az ExpressRoute a következőket támogatja:
- ExpressRoute Direct: Közvetlen kapcsolat a Microsoft globális hálózattal
- ExpressRoute Global Reach: Kapcsolat a helyszíni helyek között ExpressRoute-kapcsolatcsoportokon keresztül
További információ:
Virtuális hálózatok közötti társviszony
A virtuális hálózatok közötti társviszony-létesítés két Azure-beli virtuális hálózatot köt össze, így mindkét hálózat erőforrásai kommunikálhatnak egymással. A virtuális hálózatok közötti társviszony-létesítés a Microsoft gerinchálózati infrastruktúrát használja, megkerülve a nyilvános internetet. A társviszony-létesítés támogatja az azonos Azure-régión belüli vagy különböző régiók közötti kapcsolatokat (globális virtuális hálózatok közötti társviszony-létesítés).
További információ:
Rendelkezésre állás és terheléselosztás
A terheléselosztás több eszközön osztja el a kapcsolatokat a rendelkezésre állás és a teljesítmény növelése érdekében. Az Azure számos terheléselosztási lehetőséget kínál.
Azure Load Balancer
Az Azure Load Balancer nagy teljesítményű, alacsony késésű 4. rétegbeli terheléselosztást biztosít az összes UDP- és TCP-protokollhoz. A Load Balancer a konfigurált szabályok és állapotminták alapján osztja el a bejövő forgalmat a háttérpéldányok között.
A Load Balancer funkciói a következők:
- Belső és külső terheléselosztási forgatókönyvek támogatása
- Zónaredundancia és zónatelepítések
- TCP- és UDP-alkalmazások támogatása
- Állapottesztek a háttérpéldányok rendelkezésre állásának meghatározásához
További információ:
Azure Application Gateway
Az Azure Application Gateway egy webes forgalom terheléselosztója (7. réteg), amely kezeli a webalkalmazások felé irányuló forgalmat. Az Application Gateway HTTP-kérési attribútumok, például URI-útvonal vagy host fejlécek alapján hoz útválasztási döntéseket.
Az Application Gateway funkciói a következők:
- Webalkalmazási tűzfal (WAF) központosított védelemhez
- TLS-leállítás a webkiszolgálók titkosítási többletterhelésének csökkentése érdekében
- Cookie-alapú munkamenet-affinitás
- URL-alapú tartalom-útválasztás
- Automatikus skálázás és zónaredundancia
További információ:
Azure Traffic Manager
Az Azure Traffic Manager egy DNS-alapú forgalmi terheléselosztó, amely optimálisan osztja el a forgalmat a globális Azure-régiók szolgáltatásai között. A Traffic Manager magas rendelkezésre állást és válaszkészséget biztosít azáltal, hogy az ügyfélkéréseket a legmegfelelőbb szolgáltatásvégpontra irányítja a forgalom-útválasztási módszer és a végpont állapota alapján.
A Traffic Manager több útválasztási módszert is támogat, beleértve a prioritást, a súlyozott, a teljesítményt, a földrajzi, a többértékű és az alhálózati útválasztást.
További információ:
Névfeloldás
A biztonságos névfeloldás minden felhőalapú szolgáltatás esetében kulcsfontosságú. A sérült névfeloldási függvények átirányíthatják a kéréseket rosszindulatú webhelyekre.
Azure DNS
Az Azure DNS magas rendelkezésre állású és teljesíthető névfeloldást biztosít a Microsoft Azure-infrastruktúrával. Az Azure DNS a következőket támogatja:
- Az Azure globális infrastruktúráján üzemeltetett nyilvános DNS-tartományok
- Privát DNS-zónák a névfeloldáshoz a virtuális hálózatokon belül és azon keresztül
- Osztott horizontú DNS-forgatókönyvek, ahol ugyanaz a tartománynév másként oldja fel a privát és nyilvános lekérdezéseket
További információ:
DDoS elleni védelem
Az elosztott szolgáltatásmegtagadási (DDoS-) támadások a legnagyobb rendelkezésre állási és biztonsági problémák közé tartoznak az alkalmazások felhőbe történő áthelyezése során. Az Azure DDoS Protection védi az Azure-erőforrásokat a DDoS-támadásoktól.
Azure DDoS Protection termékváltozatok:
- DDoS Infrastructure Protection: Alapszintű védelem alapértelmezés szerint engedélyezve minden Azure-tulajdonságon további költségek nélkül
- DDoS Network Protection: Speciális védelem a virtuális hálózatok erőforrásaihoz adaptív hangolással, kockázatcsökkentési szabályzatokkal és monitorozással
A DDoS Network Protection funkciói a következők:
- Natív platformintegráció a konfigurációval az Azure Portalon keresztül
- Folyamatos forgalomfigyelés és valós idejű kockázatcsökkentés
- Támadáselemzés, beleértve a kockázatcsökkentési jelentéseket és a folyamatnaplókat
- Adaptív hangolás az alkalmazás forgalmi mintái alapján
- Költséggarancia, beleértve az adatátvitelt és az alkalmazás-kibővített szolgáltatási krediteket
További információ:
Azure Front Door
Az Azure Front Door egy globális, méretezhető belépési pont, amely a Microsoft globális peremhálózatát használja gyors, biztonságos és széles körben skálázható webalkalmazások létrehozásához. A Front Door 7. rétegbeli terheléselosztást, TLS-lezárást, URL-alapú útválasztást és integrált biztonságot biztosít.
A Front Door funkciói a következők:
- Globális HTTP-terheléselosztás azonnali feladatátvétellel
- TLS-megszakítás a peremhálózaton
- URL-útvonalalapú útválasztás
- Cookie-alapú munkamenet-affinitás
- Webalkalmazási tűzfalvédelem
- Platformszintű DDoS-védelem
- Private Link-integráció a háttérrendszer eredetének védelméhez
További információ:
Monitorozás és fenyegetésészlelés
Az Azure eszközöket biztosít a hálózati biztonság figyeléséhez és a fenyegetések észleléséhez.
Azure Network Watcher
Az Azure Network Watcher eszközöket biztosít az Azure-beli hálózat figyeléséhez, diagnosztizálásához és elemzéséhez.
A Network Watcher funkciói a következők:
- Kapcsolatfigyelő: Figyeli az Azure-erőforrások és végpontok közötti kapcsolatot
- NSG-folyamatnaplók: Naplózza a hálózati biztonsági csoportokon áthaladó IP-forgalom adatait
- Csomagrögzítés: Rögzíti a virtuális gépek felé és onnan érkező hálózati forgalmat
- VPN-hibaelhárítás: A VPN-átjárókkal és -kapcsolatokkal kapcsolatos problémák diagnosztizálása
- Hálózati diagnosztika: Ellenőrzi a hálózati konfigurációt, és azonosítja a biztonsági problémákat
További információ:
Felhőhöz készült Microsoft Defender
A Microsoft Defender for Cloud segít megelőzni, észlelni és reagálni a fenyegetésekre az Azure-erőforrások nagyobb láthatóságával és felügyeletével. A Defender for Cloud hálózati biztonsági javaslatokat nyújt, figyeli a hálózati biztonsági konfigurációt, és riasztásokat küld a hálózati fenyegetésekre.
További információ:
- Bevezetés a Microsoft Defender a Felhőért
- A hálózati erőforrások védelme
- Fenyegetésészlelés áttekintése