Az Azure ajánlott hálózati biztonsági eljárásai

  • Cikk

Ez a cikk az Azure ajánlott eljárásainak gyűjteményét ismerteti a hálózati biztonság növelése érdekében. Ezek az ajánlott eljárások az Azure-hálózatkezeléssel és az olyan ügyfelek tapasztalataival kapcsolatos tapasztalatainkból származnak, mint ön.

Minden ajánlott eljárás esetében ez a cikk a következőt ismerteti:

  • Mi az ajánlott eljárás?
  • Miért szeretné engedélyezni ezt az ajánlott eljárást?
  • Mi lehet az eredmény, ha nem engedélyezi az ajánlott eljárást?
  • Az ajánlott eljárás lehetséges alternatívái
  • Útmutató az ajánlott eljárások engedélyezéséhez

Ezek az ajánlott eljárások konszenzusos véleményen, valamint az Azure-platform képességein és funkciókészletén alapulnak, mivel ezek a cikk írásakor léteznek. A vélemények és a technológiák idővel változnak, és ez a cikk rendszeresen frissül, hogy tükrözze ezeket a változásokat.

Erős hálózati vezérlők használata

Az Azure-beli virtuális gépekhez és berendezésekhez azure-beli virtuális hálózatokon való elhelyezéssel csatlakoztathatja az Azure-beli virtuális gépeket és berendezéseket más hálózati eszközökhöz. Ez azt is jelentheti, hogy virtuális hálózati adapterkártyákat csatlakoztathat egy virtuális hálózathoz, hogy lehetővé tegye a TCP-/IP-alapú kommunikációt a hálózattal kompatibilis eszközök között. Az Azure-beli virtuális hálózathoz csatlakoztatott virtuális gépek ugyanahhoz a virtuális hálózathoz, különböző virtuális hálózatokhoz, internethez vagy saját helyszíni hálózatokhoz csatlakozhatnak.

A hálózat megtervezése és a hálózat biztonsága során javasoljuk, hogy központosítsa a következőket:

  • Az olyan alapvető hálózati funkciók kezelése, mint az ExpressRoute, a virtuális hálózat és az alhálózat kiépítése, valamint az IP-címzés.
  • A hálózati biztonsági elemek, például a hálózati virtuális berendezés olyan funkcióinak szabályozása, mint az ExpressRoute, a virtuális hálózat és az alhálózat kiépítése, valamint az IP-címzés.

Ha gyakran használt felügyeleti eszközöket a hálózat és a hálózat biztonságának figyelésére, mindkét eszközről egyértelmű láthatóságot kap. Az egyszerű, egységes biztonsági stratégia csökkenti a hibákat, mert növeli az emberi megértést és az automatizálás megbízhatóságát.

Logikailag szegmentált alhálózatok

Az Azure-beli virtuális hálózatok hasonlóak a helyszíni hálózaton található helyi hálózatokhoz. Az Azure-beli virtuális hálózat lényege, hogy egyetlen privát IP-címtartományon alapuló hálózatot hoz létre, amelyen elhelyezheti az összes Azure-beli virtuális gépet. Az elérhető privát IP-címterek az A osztály (10.0.0.0/8), a B osztály (172.16.0.0/12) és a C osztály (192.168.0.0/16) tartományokban találhatók.

Az alhálózatok logikai szegmentálásával kapcsolatos ajánlott eljárások a következők:

Ajánlott eljárás: Ne rendeljen hozzá engedélyezési szabályokat széles tartományokkal (például engedélyezze a 0.0.0.0 és 255.255.255.255 közötti értékeket).
Részletek: Győződjön meg arról, hogy a hibaelhárítási eljárások nem akadályozzák vagy tiltják az ilyen típusú szabályok beállítását. Ezek az engedélyezési szabályok hamis biztonsági érzetet eredményeznek, és a vörös csapatok gyakran megtalálják és kihasználják őket.

Ajánlott eljárás: A nagyobb címtartományt alhálózatokra szegmentálta.
Részletek: Az alhálózatok létrehozásához használjon CIDR-alapú alhálózati alapelveket.

Ajánlott eljárás: Hálózati hozzáférési vezérlők létrehozása az alhálózatok között. Az alhálózatok közötti útválasztás automatikusan megtörténik, és nem kell manuálisan konfigurálnia az útválasztási táblákat. Alapértelmezés szerint nincs hálózati hozzáférés-vezérlés az Azure-beli virtuális hálózaton létrehozott alhálózatok között.
Részletek: Használjon hálózati biztonsági csoportot az Azure-alhálózatokba irányuló kéretlen forgalom elleni védelemhez. A hálózati biztonsági csoportok (NSG-k) egyszerű, állapotalapú csomagvizsgálati eszközök. Az NSG-k az 5 rekordos megközelítést (forrás IP-címet, forrásportot, cél IP-címet, célportot és 4. rétegbeli protokollt) használják a hálózati forgalom engedélyezési/megtagadási szabályainak létrehozásához. Engedélyezheti vagy letilthatja a forgalmat egyetlen IP-címről, több IP-címről, illetve a teljes alhálózatokra és azok felé.

Ha hálózati biztonsági csoportokat használ az alhálózatok közötti hálózati hozzáférés-vezérléshez, az ugyanahhoz a biztonsági zónához vagy szerepkörhöz tartozó erőforrásokat a saját alhálózataikban helyezheti el.

Ajánlott eljárás: Kerülje a kis méretű virtuális hálózatokat és alhálózatokat az egyszerűség és a rugalmasság biztosítása érdekében. Részletek: A legtöbb szervezet az eredetileg tervezettnél több erőforrást ad hozzá, és a címek újraelosztása munkaigényes. A kis alhálózatok használata korlátozott biztonsági értéket ad, és a hálózati biztonsági csoport minden alhálózathoz való hozzárendelése többletterhelést jelent. Alhálózatok széles körének meghatározása annak biztosítása érdekében, hogy rugalmasságot biztosítson a növekedéshez.

Ajánlott eljárás: Egyszerűsítse a hálózati biztonsági csoportok szabálykezelését az alkalmazásbiztonsági csoportok definiálásával.
Részletek: Definiáljon egy alkalmazásbiztonsági csoportot azoknak az IP-címeknek a listáihoz, amelyek a jövőben változhatnak, vagy amelyek számos hálózati biztonsági csoportban használhatók. Ügyeljen arra, hogy egyértelműen nevezze el az alkalmazásbiztonsági csoportokat, hogy mások megértsék a tartalmukat és rendeltetésüket.

Teljes felügyelet megközelítés alkalmazása

A szegélyhálózatok azon a feltételezésen alapulnak, hogy a hálózaton belüli összes rendszer megbízható. A mai alkalmazottak azonban bárhonnan hozzáférhetnek a szervezet erőforrásaihoz különböző eszközökön és alkalmazásokban, ami irrelevánssá teszi a szegélybiztonsági vezérlőket. A hozzáférés-vezérlési szabályzatok, amelyek csak arra összpontosítanak, hogy ki férhet hozzá egy erőforráshoz, nem elég. A biztonság és a hatékonyság közötti egyensúly elsajátításához a biztonsági rendszergazdáknak figyelembe kell adniuk az erőforrások elérésének módját is.

A hálózatoknak a hagyományos védelemből kell fejlődnie, mert a hálózatok sebezhetőek lehetnek a biztonsági résekkel szemben: a támadók egyetlen végpontot veszélyeztethetnek a megbízható határvonalon belül, majd gyorsan kiterjeszthetik a láblécet a teljes hálózatra. Teljes felügyelet hálózatok megszüntetik a megbízhatóság fogalmát a szegélyhálózaton belüli hálózati hely alapján. Ehelyett Teljes felügyelet architektúrák eszköz- és felhasználói megbízhatósági jogcímeket használnak a szervezeti adatokhoz és erőforrásokhoz való hozzáférés kapuzásához. Új kezdeményezések esetén olyan Teljes felügyelet megközelítéseket fogadjon el, amelyek a hozzáféréskor érvényesítik a megbízhatóságot.

Ajánlott eljárások:

Ajánlott eljárás: Feltételes hozzáférés biztosítása az erőforrásokhoz az eszköz, az identitás, a garancia, a hálózati hely és egyebek alapján.
Részletek: Azure AD feltételes hozzáférés lehetővé teszi a megfelelő hozzáférés-vezérlés alkalmazását a szükséges feltételeken alapuló automatikus hozzáférés-vezérlési döntések végrehajtásával. További információ: Hozzáférés kezelése az Azure-felügyelethez feltételes hozzáféréssel.

Ajánlott eljárás: Csak a munkafolyamat jóváhagyása után engedélyezze a porthozzáférést.
Részletek: A Microsoft Defender for Cloudban a megfelelő idejű virtuálisgép-hozzáféréssel zárolhatja az Azure-beli virtuális gépek bejövő forgalmát, csökkentve a támadásoknak való kitettséget, miközben szükség esetén könnyű hozzáférést biztosít a virtuális gépekhez való csatlakozáshoz.

Ajánlott eljárás: Ideiglenes engedélyeket adhat a kiemelt feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók az engedélyek lejárta után hozzáférjenek. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá.
Részletek: Igény szerint, Azure AD Privileged Identity Management vagy külső megoldásban való hozzáféréssel engedélyeket adhat a kiemelt feladatok végrehajtásához.

Teljes felügyelet a hálózati biztonság következő fejlődése. A kibertámadások állapota arra ösztönzi a szervezeteket, hogy vegyék igénybe a "jogsértés feltételezése" szemléletet, de ennek a megközelítésnek nem szabad korlátoznia. Teljes felügyelet hálózatok védik a vállalati adatokat és erőforrásokat, miközben biztosítják, hogy a szervezetek modern munkahelyet építsenek olyan technológiákkal, amelyekkel az alkalmazottak bármikor, bárhol és bármilyen módon hatékonyan dolgozhatnak.

Útválasztási viselkedés szabályozása

Amikor egy virtuális gépet egy Azure-beli virtuális hálózatra helyez, a virtuális gép csatlakozhat az ugyanazon a virtuális hálózaton található bármely más virtuális géphez, még akkor is, ha a többi virtuális gép különböző alhálózatokon található. Ez azért lehetséges, mert a rendszerútvonalak alapértelmezés szerint engedélyezett gyűjteménye lehetővé teszi az ilyen típusú kommunikációt. Ezek az alapértelmezett útvonalak lehetővé teszik, hogy az ugyanazon a virtuális hálózaton lévő virtuális gépek kapcsolatot kezdeményezhessenek egymással és az internettel (csak az internet felé irányuló kimenő kommunikációhoz).

Bár az alapértelmezett rendszerútvonalak számos üzembe helyezési forgatókönyv esetében hasznosak, vannak esetek, amikor testre szeretné szabni az üzemelő példányok útválasztási konfigurációját. A következő ugrási cím konfigurálható úgy, hogy meghatározott célhelyeket érjen el.

Javasoljuk, hogy konfigurálja a felhasználó által megadott útvonalakat , amikor biztonsági berendezést helyez üzembe egy virtuális hálózaton. Erről a javaslatról egy későbbi szakaszban beszélünk, amely a kritikus Azure-szolgáltatás erőforrásainak védelmét csak a virtuális hálózatok számára biztosítja.

Megjegyzés

A felhasználó által megadott útvonalakra nincs szükség, és az alapértelmezett rendszerútvonalak általában működnek.

Virtuális hálózati berendezések használata

A hálózati biztonsági csoportok és a felhasználó által definiált útválasztás bizonyos mértékig képes biztosítani a hálózati biztonságot az OSI-modell hálózati és átviteli rétegeinél. Bizonyos helyzetekben azonban magas szintű biztonságot szeretne vagy kell engedélyeznie. Ilyen esetekben azt javasoljuk, hogy telepítse az Azure-partnerek által biztosított virtuális hálózati biztonsági berendezéseket.

Az Azure hálózati biztonsági berendezései jobb biztonságot nyújthatnak, mint amit a hálózati szintű vezérlők biztosítanak. A virtuális hálózati biztonsági berendezések hálózati biztonsági képességei a következők:

  • Tűzfal
  • Behatolásészlelés/behatolás-megelőzés
  • Biztonságirés-kezelés
  • Alkalmazásvezérlő
  • Hálózati anomáliadetektálás
  • Webszűrés
  • Vírusvédelem
  • Botnet-védelem

Az elérhető Azure-beli virtuális hálózati biztonsági berendezések megkereséséhez lépjen a Azure Marketplace, és keressen rá a "biztonság" és a "hálózati biztonság" kifejezésre.

Szegélyhálózatok üzembe helyezése biztonsági zónákhoz

A szegélyhálózat (más néven DMZ) egy fizikai vagy logikai hálózati szegmens, amely további biztonsági réteget biztosít az eszközök és az internet között. A peremhálózat peremhálózatán lévő speciális hálózati hozzáférés-vezérlési eszközök csak a kívánt forgalmat engedélyezik a virtuális hálózatba.

A szegélyhálózatok azért hasznosak, mert az Azure-beli virtuális hálózat peremén lévő eszközökre összpontosíthatja a hálózati hozzáférés-vezérlés kezelését, figyelését, naplózását és jelentéskészítését. A szegélyhálózaton általában engedélyezi az elosztott szolgáltatásmegtagadási (DDoS) védelmet, a behatolásészlelési/behatolás-megelőzési rendszereket (IDS/IPS), a tűzfalszabályokat és szabályzatokat, a webszűrést, a hálózati kártevőirtókat stb. A hálózati biztonsági eszközök az internet és az Azure-beli virtuális hálózat között ücsörögnek, és mindkét hálózathoz rendelkeznek interfészsel.

Bár ez a szegélyhálózat alapszintű kialakítása, számos különböző kialakítás létezik, például a back-to-back, a tri-homed és a multi-homed.

A korábban említett Teljes felügyelet koncepció alapján javasoljuk, hogy fontolja meg szegélyhálózat használatát az összes magas biztonsági szintű üzembe helyezéshez, hogy javítsa az Azure-erőforrások hálózati biztonságát és hozzáférés-vezérlését. Az Azure vagy egy külső megoldás használatával további biztonsági réteget biztosíthat az eszközök és az internet között:

  • Natív Azure-vezérlők. A Azure Firewall és az Azure Web Application Firewall alapvető biztonsági előnyöket nyújtanak. Az előnyök közé tartozik a szolgáltatásként nyújtott teljes körű állapotalapú tűzfal, a beépített magas rendelkezésre állás, a korlátlan felhőméretezhetőség, az FQDN-szűrés, az OWASP alapvető szabálykészletek támogatása, valamint az egyszerű beállítás és konfigurálás.
  • Külső ajánlatok. Keresse meg a Azure Marketplace a következő generációs tűzfalat (NGFW) és más külső ajánlatokat, amelyek ismerős biztonsági eszközöket és magasabb szintű hálózati biztonságot biztosítanak. A konfiguráció összetettebb lehet, de egy külső ajánlat lehetővé teheti a meglévő képességek és képességcsoportok használatát.

Számos szervezet választotta a hibrid informatikai útvonalat. A hibrid informatikai rendszerek esetében a vállalat információs eszközeinek egy része az Azure-ban található, míg mások a helyszínen maradnak. A szolgáltatás egyes összetevői sok esetben az Azure-ban futnak, míg más összetevők a helyszínen maradnak.

Hibrid informatikai forgatókönyvekben általában van valamilyen létesítmények közötti kapcsolat. A létesítmények közötti kapcsolat lehetővé teszi a vállalat számára, hogy helyszíni hálózatait Azure-beli virtuális hálózatokhoz csatlakoztassa. Két létesítmények közötti kapcsolati megoldás érhető el:

  • Helyek közötti VPN. Megbízható, megbízható és bevált technológia, de a kapcsolat az interneten keresztül történik. A sávszélesség legfeljebb 1,25 Gb/s-ra van korlátozva. Bizonyos esetekben a helyek közötti VPN kívánatos lehetőség.
  • Azure ExpressRoute. Javasoljuk, hogy az ExpressRoute-ot használja a létesítmények közötti kapcsolathoz. Az ExpressRoute használatával kiterjesztheti helyszíni hálózatait a Microsoft Cloudba egy privát kapcsolaton keresztül, amelyet egy kapcsolatszolgáltató biztosít. Az ExpressRoute-tal kapcsolatokat hozhat létre a Microsoft felhőszolgáltatásaihoz, például az Azure-hoz, a Microsoft 365-höz és a Dynamics 365. Az ExpressRoute egy dedikált WAN-kapcsolat a helyszíni hely vagy a Microsoft Exchange szolgáltató között. Mivel ez egy telco-kapcsolat, az adatok nem haladnak át az interneten, így nincsenek kitéve az internetes kommunikáció lehetséges kockázatainak.

Az ExpressRoute-kapcsolat helye befolyásolhatja a tűzfal kapacitását, méretezhetőségét, megbízhatóságát és a hálózati forgalom láthatóságát. Meg kell határoznia, hogy hol kell leállítanunk az ExpressRoute-ot a meglévő (helyszíni) hálózatokban. A következőket teheti:

  • Állítsa le a tűzfalon kívül (a szegélyhálózati paradigmán kívül). Ezt a javaslatot akkor használja, ha a forgalom láthatóságára van szüksége, ha folytatnia kell az adatközpontok elkülönítésének meglévő gyakorlatát, vagy ha kizárólag extranetes erőforrásokat helyez el az Azure-ban.
  • Megszakítás a tűzfalon belül (a hálózati bővítmény paradigma). Ez az alapértelmezett javaslat. Minden más esetben azt javasoljuk, hogy az Azure-t egy másik adatközpontként kezelje.

Üzemidő és teljesítmény optimalizálása

Ha egy szolgáltatás nem működik, az információk nem érhetők el. Ha a teljesítmény olyan gyenge, hogy az adatok használhatatlanok, az adatok elérhetetlennek tekinthetők. Biztonsági szempontból mindent meg kell tennie, hogy a szolgáltatások optimális üzemidővel és teljesítménnyel rendelkezzenek.

A rendelkezésre állás és a teljesítmény növelésének egyik népszerű és hatékony módja a terheléselosztás. A terheléselosztás a hálózati forgalom szolgáltatás részét képező kiszolgálók közötti elosztásának módszere. Ha például a szolgáltatás részeként előtér-webkiszolgálókkal rendelkezik, terheléselosztással eloszthatja a forgalmat több előtér-webkiszolgáló között.

Ez a forgalomeloszlás növeli a rendelkezésre állást, mert ha az egyik webkiszolgáló elérhetetlenné válik, a terheléselosztó nem küld forgalmat a kiszolgálónak, és átirányítja a még online kiszolgálókra. A terheléselosztás emellett a teljesítményt is segíti, mivel a kérések kiszolgálásához szükséges processzor-, hálózat- és memóriaterhelés el van osztva az összes elosztott terhelésű kiszolgáló között.

Javasoljuk, hogy a terheléselosztást mindig alkalmazza, amikor csak lehetséges, és a szolgáltatásoknak megfelelően. Az alábbiakban az Azure-beli virtuális hálózati és globális szintű forgatókönyveket, valamint a terheléselosztási lehetőségeket is bemutatjuk.

Forgatókönyv: Van egy olyan alkalmazása, amely:

  • Ugyanabból a felhasználóból/ügyfél munkamenetből érkező kéréseket igényel ugyanahhoz a háttérbeli virtuális géphez való hozzáféréshez. Ilyenek például a bevásárlókocsi-alkalmazások és a webposta-kiszolgálók.
  • Csak biztonságos kapcsolatot fogad el, ezért a kiszolgálóval folytatott titkosítatlan kommunikáció nem elfogadható lehetőség.
  • Több HTTP-kérést igényel ugyanazon a hosszú ideig futó TCP-kapcsolaton, vagy a terheléselosztást különböző háttérkiszolgálókra kell irányítani.

Terheléselosztási lehetőség: Használja a Azure Application Gateway, egy HTTP webes forgalom terheléselosztót. Application Gateway támogatja a végpontok közötti TLS-titkosítást és a TLS-lezárásokat az átjárón. A webkiszolgálók ezután feloldhatók a titkosítás és a visszafejtési többletterhelés, valamint a háttérkiszolgálók felé titkosítatlan forgalom miatt.

Forgatókönyv: Terheléselosztásra van szükség az internetről érkező bejövő kapcsolatok között az Azure-beli virtuális hálózaton található kiszolgálók között. A forgatókönyvek a következők:

  • Olyan állapot nélküli alkalmazásokkal rendelkezik, amelyek fogadják az internetről érkező bejövő kéréseket.
  • Nincs szükség beragadó munkamenetekre vagy TLS-kiszervezésre. A beragadó munkamenetek az alkalmazásterhelés-kiegyensúlyozással a kiszolgáló-affinitás elérésére használt metódusok.

Terheléselosztási lehetőség: A Azure Portal használatával hozzon létre egy külső terheléselosztót, amely a bejövő kéréseket több virtuális gép között osztva magasabb szintű rendelkezésre állást biztosít.

Forgatókönyv: Az interneten nem található virtuális gépekről származó kapcsolatok terheléselosztására van szükség. A legtöbb esetben a terheléselosztásra elfogadott kapcsolatokat egy Azure-beli virtuális hálózaton lévő eszközök, például SQL Server példányok vagy belső webkiszolgálók kezdeményezik.
Terheléselosztási lehetőség: Az Azure Portal használatával hozzon létre egy belső terheléselosztót, amely a bejövő kéréseket több virtuális gép között osztva magasabb szintű rendelkezésre állást biztosít.

Forgatókönyv: Globális terheléselosztásra van szükség, mert:

  • Olyan felhőalapú megoldással rendelkezik, amely széles körben el van osztva több régióban, és a lehető legmagasabb szintű üzemidőt (rendelkezésre állást) igényli.
  • A lehető legmagasabb szintű üzemidőre van szükség annak biztosításához, hogy a szolgáltatás akkor is elérhető legyen, ha egy teljes adatközpont elérhetetlenné válik.

Terheléselosztási lehetőség: Használja az Azure Traffic Managert. A Traffic Manager lehetővé teszi a szolgáltatások kapcsolatainak terheléselosztását a felhasználó helye alapján.

Ha például a felhasználó kérést intéz az Ön szolgáltatásához az EU-ból, a kapcsolat egy EU-adatközpontban található szolgáltatásokhoz lesz irányítva. A Traffic Manager globális terheléselosztásának ezen része segít a teljesítmény javításában, mivel a legközelebbi adatközponthoz való csatlakozás gyorsabb, mint a távoli adatközpontokhoz való csatlakozás.

RDP-/SSH-hozzáférés letiltása virtuális gépekhez

Az Azure-beli virtuális gépeket a Remote Desktop Protocol (RDP) és a Secure Shell (SSH) protokoll használatával érheti el. Ezek a protokollok lehetővé teszik a virtuális gépek távoli felügyeletét, és mindennaposak az adatközpontokban használt számítástechnikában.

A protokollok internetes használatával kapcsolatos lehetséges biztonsági probléma, hogy a támadók találgatásos technikákkal férhetnek hozzá az Azure-beli virtuális gépekhez. Miután a támadó megszerezte a hozzáférést, a virtuális gépet kiindulópontként használva a virtuális hálózat más gépeit is feltörheti, és akár az Azure-on kívüli, hálózatra kötött eszközöket is megtámadhatja.

Javasoljuk, hogy tiltsa le az Azure-beli virtuális gépek közvetlen RDP- és SSH-hozzáférését az internetről. Miután letiltotta a közvetlen RDP- és SSH-hozzáférést az internetről, további lehetőségekkel is elérheti ezeket a virtuális gépeket a távoli felügyelethez.

Forgatókönyv: Lehetővé teszi, hogy egyetlen felhasználó csatlakozzon egy Azure-beli virtuális hálózathoz az interneten keresztül.
Lehetőség: A pont–hely TÍPUSÚ VPN egy másik kifejezés a távelérési VPN-ügyfél-/kiszolgálókapcsolathoz. A pont–hely kapcsolat létrejötte után a felhasználó RDP-vel vagy SSH-val csatlakozhat az Azure-beli virtuális hálózaton található virtuális gépekhez, amelyekhez a felhasználó pont–hely VPN-kapcsolaton keresztül csatlakozott. Ez azt feltételezi, hogy a felhasználó jogosult elérni ezeket a virtuális gépeket.

A pont–hely VPN biztonságosabb, mint a közvetlen RDP- vagy SSH-kapcsolatok, mivel a felhasználónak kétszer kell hitelesítenie magát, mielőtt csatlakozik egy virtuális géphez. Először is a felhasználónak hitelesítenie kell (és engedélyeznie kell) a pont–hely VPN-kapcsolat létrehozásához. Másodszor, a felhasználónak hitelesítenie kell (és engedélyeznie kell) az RDP- vagy SSH-munkamenet létrehozásához.

Forgatókönyv: Engedélyezze a helyszíni hálózat felhasználóinak, hogy csatlakozzanak az Azure-beli virtuális hálózaton lévő virtuális gépekhez.
Lehetőség: A helyek közötti VPN egy teljes hálózatot csatlakoztat egy másik hálózathoz az interneten keresztül. Helyek közötti VPN használatával csatlakoztathatja a helyszíni hálózatot egy Azure-beli virtuális hálózathoz. A helyszíni hálózat felhasználói az RDP- vagy SSH-protokollal csatlakoznak a helyek közötti VPN-kapcsolaton keresztül. Nem kell engedélyeznie a közvetlen RDP- vagy SSH-hozzáférést az interneten keresztül.

Forgatókönyv: Használjon dedikált WAN-hivatkozást a helyek közötti VPN-hez hasonló funkciók biztosításához.
Lehetőség: Használja az ExpressRoute-ot. A helyek közötti VPN-hez hasonló funkciókat biztosít. A legfontosabb különbségek a következők:

  • A dedikált WAN-hivatkozás nem halad át az interneten.
  • A dedikált WAN-kapcsolatok általában stabilabbak, és jobb teljesítményt nyújtanak.

A kritikus Fontosságú Azure-szolgáltatás erőforrásainak védelme csak a virtuális hálózatok számára

A Azure Private Link használatával elérheti az Azure PaaS-szolgáltatásokat (például az Azure Storage-t és a SQL Database) a virtuális hálózat privát végpontja felett. A privát végpontok lehetővé teszik a kritikus Fontosságú Azure-szolgáltatás erőforrásainak védelmét csak a virtuális hálózatok számára. A virtuális hálózat és az Azure szolgáltatás közötti forgalom mindig a Microsoft Azure gerinchálózatán marad. Az Azure PaaS-szolgáltatások használatához már nincs szükség a virtuális hálózat nyilvános internetre való felfedésére.

Azure Private Link a következő előnyöket nyújtja:

  • Az Azure-szolgáltatás erőforrásainak fokozott biztonsága: A Azure Private Link az Azure-szolgáltatás erőforrásai privát végpont használatával védhetők a virtuális hálózat számára. A szolgáltatáserőforrások privát végponthoz való biztonságossá tétele a virtuális hálózatban jobb biztonságot nyújt azáltal, hogy teljesen eltávolítja a nyilvános internet-hozzáférést az erőforrásokhoz, és csak a virtuális hálózat privát végpontjáról engedélyezi a forgalmat.
  • Azure-szolgáltatáserőforrások privát elérése az Azure platformon: Csatlakoztassa a virtuális hálózatot az Azure-szolgáltatásokhoz privát végpontok használatával. Nincs szükség nyilvános IP-címre. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül.
  • Hozzáférés helyszíni és társhálózatokról: Hozzáférés az Azure-ban futó szolgáltatásokhoz a helyszíni ExpressRoute-on keresztüli privát társviszony-létesítésből, VPN-alagutakból és privát végpontokat használó társhálózatokból. A szolgáltatás eléréséhez nincs szükség az ExpressRoute Microsoft-társviszony-létesítés konfigurálására vagy az internetre való bejárásra. Private Link biztosítja a számítási feladatok Azure-ba való migrálásának biztonságos módját.
  • Adatszivárgás elleni védelem: A privát végpontok a teljes szolgáltatás helyett egy PaaS-erőforrás egy példányára lesznek leképezve. A fogyasztók csak az adott erőforráshoz csatlakozhatnak. A szolgáltatás bármely más erőforrásához való hozzáférés le van tiltva. Ez a mechanizmus védelmet nyújt az adatszivárgási kockázatokkal szemben.
  • Globális elérés: Privát csatlakozás más régiókban futó szolgáltatásokhoz. A fogyasztó virtuális hálózata az A régióban lehet, és kapcsolódhat a B régió szolgáltatásaihoz.
  • Egyszerű beállítás és kezelés: A virtuális hálózatokban már nincs szükség fenntartott nyilvános IP-címekre az Azure-erőforrások IP-tűzfalon keresztüli védelméhez. A privát végpontok beállításához nincs szükség NAT- vagy átjáróeszközökre. A privát végpontok egy egyszerű munkafolyamaton keresztül vannak konfigurálva. A szolgáltatás oldalán könnyedén kezelheti az Azure-szolgáltatás erőforrásának kapcsolatkéréseit is. Azure Private Link különböző Azure Active Directory-bérlőkhöz tartozó fogyasztók és szolgáltatások esetében is működik.

A privát végpontokról, valamint a privát végpontok által elérhető Azure-szolgáltatásokról és régiókról a Azure Private Link című témakörben olvashat bővebben.

Következő lépések

Tekintse meg az Azure biztonsági ajánlott eljárásait és mintáit a felhőmegoldások Azure-beli tervezésekor, üzembe helyezésekor és kezelésekor használható további ajánlott biztonsági eljárásokért.