Az Azure ajánlott hálózatbiztonsági eljárásai

  • Cikk

Ez a cikk az Azure ajánlott eljárásainak gyűjteményét ismerteti a hálózati biztonság javítása érdekében. Ezeket az ajánlott eljárásokat az Azure hálózatkezeléssel kapcsolatos tapasztalatainkból és az olyan ügyfelek tapasztalataiból származtatjuk, mint ön.

Minden ajánlott eljáráshoz ez a cikk a következőt ismerteti:

  • Mi az ajánlott eljárás?
  • Miért szeretné engedélyezni ezt az ajánlott eljárást?
  • Mi lehet az eredmény, ha nem engedélyezi az ajánlott eljárásokat?
  • Az ajánlott eljárás lehetséges alternatívái
  • Útmutató az ajánlott eljárások engedélyezéséhez

Ezek az ajánlott eljárások egy konszenzusos véleményen, valamint az Azure platform képességein és funkciókészletén alapulnak, mivel a cikk írásának időpontjában léteznek. A vélemények és a technológiák idővel változnak, és ez a cikk rendszeresen frissül, hogy tükrözze ezeket a változásokat.

Erős hálózati vezérlők használata

Azure-beli virtuális gépeket (virtuális gépeket) és berendezéseket csatlakoztathat más hálózati eszközökhöz az Azure-beli virtuális hálózatokon való elhelyezéssel. Ez azt is jelentheti, hogy virtuális hálózati adaptereket csatlakoztathat egy virtuális hálózathoz, hogy lehetővé tegye a TCP/IP-alapú kommunikációt a hálózatbarát eszközök között. Az Azure-beli virtuális hálózathoz csatlakoztatott virtuális gépek ugyanahhoz a virtuális hálózathoz, különböző virtuális hálózatokhoz, internethez vagy saját helyszíni hálózatokhoz csatlakozhatnak.

A hálózat és a hálózat biztonsága megtervezése során javasoljuk, hogy központosítsa a következőket:

  • Az olyan alapvető hálózati funkciók kezelése, mint az ExpressRoute, a virtuális hálózat és az alhálózat kiépítése és az IP-címzés.
  • A hálózati biztonsági elemek, például a hálózati virtuális berendezés olyan funkcióinak szabályozása, mint az ExpressRoute, a virtuális hálózat és az alhálózat kiépítése, valamint az IP-címzés.

Ha gyakran használ felügyeleti eszközöket a hálózat és a hálózat biztonságának monitorozásához, mindkét eszköz egyértelmű láthatóságot kap. Az egyszerű, egységes biztonsági stratégia csökkenti a hibákat, mivel növeli az emberi megértést és az automatizálás megbízhatóságát.

Alhálózatok logikai szegmentálása

Az Azure-beli virtuális hálózatok hasonlóak a helyszíni hálózaton lévő helyi hálózatokhoz. Az Azure-beli virtuális hálózat lényege, hogy egyetlen magánhálózati IP-címtéren alapuló hálózatot hoz létre, amelyre az összes Azure-beli virtuális gépet elhelyezheti. A rendelkezésre álló privát IP-címterek az A osztály (10.0.0.0/8), a B osztály (172.16.0.0/12) és a C osztály (192.168.0.0/16) tartományban találhatók.

Ajánlott eljárások az alhálózatok logikai szegmentálásához:

Ajánlott eljárás: Ne rendeljen engedélyezési szabályokat széles tartományokkal (például engedélyezze a 0.0.0.0-t és a 255.255.255.255-öt).
Részletek: Győződjön meg arról, hogy a hibaelhárítási eljárások elriasztják vagy tiltják az ilyen típusú szabályok beállítását. Ezek az engedélyezési szabályok hamis biztonsági érzetet keltenek, és a vörös csapatok gyakran megtalálják és kihasználják őket.

Ajánlott eljárás: A nagyobb címtartományt alhálózatokra bonthatja.
Részletek: Az alhálózatok létrehozásához CIDR-alapú alhálózati alapelveket használjon.

Ajánlott eljárás: Hálózati hozzáférési vezérlők létrehozása az alhálózatok között. Az alhálózatok közötti útválasztás automatikusan megtörténik, és nem kell manuálisan konfigurálnia az útválasztási táblákat. Alapértelmezés szerint nincsenek hálózati hozzáférési vezérlők az Azure-beli virtuális hálózaton létrehozott alhálózatok között.
Részletek: Használjon hálózati biztonsági csoportot az Azure-alhálózatokba irányuló kéretlen forgalom elleni védelemhez. A hálózati biztonsági csoportok (NSG-k) egyszerű, állapotalapú csomagvizsgálati eszközök. Az NSG-k az 5 rekordos megközelítést használják (forrás IP-cím, forrásport, cél IP-cím, célport és 4. réteg protokoll) a hálózati forgalom engedélyezési/megtagadási szabályainak létrehozásához. Engedélyezheti vagy letilthatja a forgalmat egyetlen IP-címről, több IP-címről, illetve a teljes alhálózatra és onnan.

Ha hálózati biztonsági csoportokat használ az alhálózatok közötti hálózati hozzáférés-vezérléshez, az ugyanahhoz a biztonsági zónához vagy szerepkörhöz tartozó erőforrásokat saját alhálózataikban helyezheti el.

Ajánlott eljárás: Kerülje a kis méretű virtuális hálózatokat és alhálózatokat az egyszerűség és a rugalmasság biztosítása érdekében. Részlet: A legtöbb szervezet több erőforrást ad hozzá, mint eredetileg tervezett, és a címek újraelosztása munkaigényes. A kis alhálózatok használata korlátozott biztonsági értéket ad, és egy hálózati biztonsági csoport hozzárendelése minden alhálózathoz többletterhelést okoz. Alhálózatok széles körű definiálása annak érdekében, hogy rugalmasságot biztosítson a növekedéshez.

Ajánlott eljárás: Egyszerűbbé teheti a hálózati biztonsági csoportok szabálykezelését az alkalmazásbiztonsági csoportok definiálásával.
Részletek: Definiáljon egy alkalmazásbiztonsági csoportot azoknak az IP-címeknek a listájához, amelyek a jövőben változhatnak, vagy számos hálózati biztonsági csoportban használhatók. Ügyeljen arra, hogy egyértelműen nevezze el az alkalmazásbiztonsági csoportokat, hogy mások is megérthessék a tartalmukat és rendeltetésüket.

Teljes felügyelet megközelítés alkalmazása

A peremhálózatok azon a feltételezésen alapulnak, hogy a hálózaton belüli összes rendszer megbízható. A mai alkalmazottak azonban bárhonnan hozzáférhetnek a szervezet erőforrásaihoz különböző eszközökön és alkalmazásokban, ami irrelevánssá teszi a peremhálózati biztonsági vezérlőket. A hozzáférés-vezérlési szabályzatok, amelyek csak arra összpontosítanak, hogy ki férhet hozzá egy erőforráshoz, nem elég. A biztonság és a termelékenység közötti egyensúly elsajátításához a biztonsági rendszergazdáknak is figyelembe kell vennie az erőforrások elérésének módját .

A hálózatoknak a hagyományos védelemtől kell fejlődnie, mert a hálózatok sebezhetőek lehetnek a biztonsági résekkel szemben: a támadók egyetlen végpontot veszélyeztethetnek a megbízható határokon belül, majd gyorsan kiterjeszthetik a láblécet a teljes hálózaton. Teljes felügyelet hálózatok megszüntetik a megbízhatóság fogalmát a szegélyhálózaton belüli hálózati hely alapján. Ehelyett Teljes felügyelet architektúrák eszköz- és felhasználói megbízhatósági jogcímeket használnak a szervezeti adatokhoz és erőforrásokhoz való hozzáférés kapuzásához. Új kezdeményezések esetén Teljes felügyelet megközelítéseket alkalmazhat, amelyek a hozzáféréskor ellenőrzik a megbízhatóságot.

Ajánlott eljárások:

Ajánlott eljárás: Feltételes hozzáférés biztosítása az erőforrásokhoz eszköz, identitás, garancia, hálózati hely stb. alapján.
Részletek: A Microsoft Entra Feltételes hozzáférés lehetővé teszi a megfelelő hozzáférés-vezérlés alkalmazását a szükséges feltételek alapján automatizált hozzáférés-vezérlési döntések végrehajtásával. További információ: Az Azure-felügyelethez való hozzáférés kezelése feltételes hozzáféréssel.

Ajánlott eljárás: A porthozzáférés engedélyezése csak a munkafolyamat jóváhagyása után.
Részletek: A Felhőhöz készült Microsoft Defender igény szerint használható virtuálisgép-hozzáféréssel zárolhatja az Azure-beli virtuális gépek bejövő forgalmát, csökkentve a támadásoknak való kitettséget, miközben szükség esetén könnyű hozzáférést biztosít a virtuális gépekhez való csatlakozáshoz.

Ajánlott eljárás: Ideiglenes engedélyek megadása emelt szintű feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók az engedélyek lejárta után hozzáférjenek. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá.
Részletek: A Microsoft Entra Privileged Identity Managementben vagy egy harmadik féltől származó megoldásban igény szerint történő hozzáféréssel engedélyeket adhat a kiemelt feladatok végrehajtásához.

Teljes felügyelet a hálózati biztonság következő fejlődése. A kibertámadások állapota arra ösztönzi a szervezeteket, hogy vegyék figyelembe a "jogsértés" gondolkodásmódot, de ennek a megközelítésnek nem szabad korlátoznia. Teljes felügyelet hálózatok védik a vállalati adatokat és erőforrásokat, miközben biztosítják, hogy a szervezetek modern munkahelyet építhessenek olyan technológiákkal, amelyekkel az alkalmazottak bármikor, bárhol és bármilyen módon hatékonyan dolgozhatnak.

Útválasztási viselkedés szabályozása

Amikor egy virtuális gépet egy Azure-beli virtuális hálózatra helyez, a virtuális gép csatlakozhat az ugyanazon a virtuális hálózaton található bármely más virtuális géphez, még akkor is, ha a többi virtuális gép különböző alhálózatokon található. Ez azért lehetséges, mert a rendszerútvonalak alapértelmezés szerint engedélyezett gyűjteménye lehetővé teszi az ilyen típusú kommunikációt. Ezek az alapértelmezett útvonalak lehetővé teszik, hogy az ugyanazon a virtuális hálózaton lévő virtuális gépek kapcsolatot kezdeményezhessenek egymással és az internettel (csak az internet felé irányuló kimenő kommunikációhoz).

Bár az alapértelmezett rendszerútvonalak számos üzembe helyezési forgatókönyv esetében hasznosak, vannak olyan esetek, amikor testre szeretné szabni az üzemelő példányok útválasztási konfigurációját. A következő ugrási cím konfigurálható úgy, hogy meghatározott célhelyeket érjen el.

Javasoljuk, hogy felhasználói útvonalakat konfiguráljon, amikor biztonsági berendezést helyez üzembe egy virtuális hálózaton. Erről a javaslatról egy későbbi szakaszban beszélünk, amely a kritikus Azure-szolgáltatás erőforrásainak védelmét csak a virtuális hálózatok számára biztosítja.

Feljegyzés

A felhasználó által megadott útvonalak nem szükségesek, és az alapértelmezett rendszerútvonalak általában működnek.

Virtuális hálózati berendezések használata

A hálózati biztonsági csoportok és a felhasználó által definiált útválasztás bizonyos mértékig képes biztosítani a hálózati biztonságot az OSI-modell hálózati és átviteli rétegeinél. Bizonyos helyzetekben azonban a biztonságot a verem magas szintjein szeretné vagy kell engedélyeznie. Ilyen esetekben javasoljuk, hogy telepítse az Azure-partnerek által biztosított virtuális hálózati biztonsági berendezéseket.

Az Azure hálózati biztonsági berendezései nagyobb biztonságot nyújtanak, mint amit a hálózati szintű vezérlők biztosítanak. A virtuális hálózati biztonsági berendezések hálózati biztonsági képességei a következők:

  • Tűzfalak
  • Behatolásészlelés/behatolás megakadályozása
  • Biztonságirés-kezelés
  • Alkalmazásvezérlő
  • Hálózati anomáliadetektálás
  • Webszűrés
  • Vírusölő
  • Botnet-védelem

Az elérhető Azure-beli virtuális hálózati biztonsági berendezések megkereséséhez lépjen az Azure Marketplace-re, és keressen rá a "biztonság" és a "hálózati biztonság" kifejezésre.

Szegélyhálózatok üzembe helyezése biztonsági zónákhoz

A szegélyhálózat (más néven DMZ) egy fizikai vagy logikai hálózati szegmens, amely további biztonsági réteget biztosít az eszközök és az internet között. A szegélyhálózat peremhálózatán lévő speciális hálózati hozzáférés-vezérlési eszközök csak a kívánt forgalmat teszik lehetővé a virtuális hálózatba.

A szegélyhálózatok azért hasznosak, mert az Azure-beli virtuális hálózat peremhálózatán lévő eszközökre összpontosíthatja a hálózati hozzáférés-vezérlés kezelését, figyelését, naplózását és jelentéskészítését. A szegélyhálózaton általában engedélyezi az elosztott szolgáltatásmegtagadási (DDoS) védelmet, a behatolásészlelési/behatolás-megelőzési rendszereket (IDS/IPS), a tűzfalszabályokat és szabályzatokat, a webszűrést, a hálózati kártevőirtókat stb. A hálózati biztonsági eszközök az internet és az Azure-beli virtuális hálózat között ücsörögnek, és mindkét hálózaton van interfész.

Bár ez a szegélyhálózat alapszintű kialakítása, számos különböző kialakítás létezik, például a háttérrendszer, a tri-homed és a multi-homed.

A korábban említett Teljes felügyelet koncepció alapján javasoljuk, hogy fontolja meg a szegélyhálózat használatát minden magas biztonsági üzemelő példányhoz, hogy növelje az Azure-erőforrások hálózati biztonságának és hozzáférés-vezérlésének szintjét. Az Azure vagy egy külső megoldás használatával további biztonsági réteget biztosíthat az eszközök és az internet között:

  • Natív Azure-vezérlők. Az Azure Firewall és az Azure Web Application Firewall alapvető biztonsági előnyöket kínál. Az előnyök közé tartozik a szolgáltatásként nyújtott teljes körű állapotalapú tűzfal, a beépített magas rendelkezésre állás, a felhő korlátlan méretezhetősége, a teljes tartománynév szűrése, az OWASP alapvető szabálykészleteinek támogatása, valamint az egyszerű beállítás és konfigurálás.
  • Harmadik féltől származó ajánlatok. Keressen rá az Azure Marketplace-en a következő generációs tűzfalra (NGFW) és más külső ajánlatokra, amelyek ismerős biztonsági eszközöket és magasabb szintű hálózati biztonságot biztosítanak. A konfiguráció összetettebb lehet, de egy külső ajánlat lehetővé teszi a meglévő képességek és képességek használatát.

Számos szervezet választotta a hibrid informatikai útvonalat. A hibrid informatikával a vállalat információs eszközeinek egy része az Azure-ban található, mások pedig a helyszínen maradnak. A szolgáltatás egyes összetevői sok esetben az Azure-ban futnak, míg más összetevők a helyszínen maradnak.

Hibrid informatikai forgatókönyvben általában van valamilyen típusú helyszíni kapcsolat. A helyszíni kapcsolatok lehetővé teszik a vállalat számára, hogy helyszíni hálózatait Azure-beli virtuális hálózatokhoz csatlakoztassa. Két helyszíni kapcsolati megoldás érhető el:

  • Helyek közötti VPN. Ez egy megbízható, megbízható és bevált technológia, de a kapcsolat az interneten keresztül történik. A sávszélesség legfeljebb 1,25 Gb/s-ra van korlátozva. Egyes helyzetekben a helyek közötti VPN kívánatos lehetőség.
  • Azure ExpressRoute. Javasoljuk, hogy az ExpressRoute-ot használja a helyszíni kapcsolatokhoz. Az ExpressRoute használatával kiterjesztheti helyszíni hálózatait a Microsoft Cloudba egy privát kapcsolaton keresztül, amelyet egy kapcsolatszolgáltató biztosít. Az ExpressRoute-tal kapcsolatot létesíthet olyan Microsoft-felhőszolgáltatásokhoz, mint az Azure, a Microsoft 365 és a Dynamics 365. Az ExpressRoute egy dedikált WAN-kapcsolat a helyszíni hely vagy a Microsoft Exchange szolgáltató között. Mivel ez egy telco-kapcsolat, az adatok nem utaznak az interneten keresztül, így nem lesznek kitéve az internetes kommunikáció lehetséges kockázatainak.

Az ExpressRoute-kapcsolat helye befolyásolhatja a tűzfalkapacitást, a méretezhetőséget, a megbízhatóságot és a hálózati forgalom láthatóságát. Meg kell határoznia, hogy hol kell leállítja az ExpressRoute-t a meglévő (helyszíni) hálózatokban. A következőket teheti:

  • A tűzfalon (a szegélyhálózati paradigmán) kívül végződik. Ezt a javaslatot akkor érdemes használnia, ha a forgalom láthatóságára van szüksége, ha folytatnia kell az adatközpontok elkülönítésére vonatkozó meglévő gyakorlatot, vagy ha kizárólag extranetes erőforrásokat helyez üzembe az Azure-ban.
  • Állítsa le a tűzfalon belül (a hálózati bővítmény paradigma). Ez az alapértelmezett javaslat. Minden más esetben javasoljuk, hogy az Azure-t egy másik adatközpontként kezelje.

Az üzemidő és a teljesítmény optimalizálása

Ha egy szolgáltatás leállt, az információk nem érhetők el. Ha a teljesítmény olyan gyenge, hogy az adatok használhatatlanok, az adatok elérhetetlennek tekinthetők. Biztonsági szempontból mindent meg kell tennie annak érdekében, hogy szolgáltatásai optimális üzemidővel és teljesítménnyel rendelkezzenek.

A rendelkezésre állás és a teljesítmény növelésének népszerű és hatékony módszere a terheléselosztás. A terheléselosztás a hálózati forgalom szolgáltatás részét képező kiszolgálók közötti elosztásának módszere. Ha például előtér-webkiszolgálókkal rendelkezik a szolgáltatás részeként, terheléselosztással eloszthatja a forgalmat több előtérbeli webkiszolgáló között.

Ez a forgalomeloszlás növeli a rendelkezésre állást, mert ha az egyik webkiszolgáló elérhetetlenné válik, a terheléselosztó nem küld forgalmat a kiszolgálónak, és átirányítja azokat a még online kiszolgálókra. A terheléselosztás a teljesítményt is segíti, mivel a kérések kiszolgálásához szükséges processzor-, hálózat- és memóriaterhelés az összes elosztott terhelésű kiszolgáló között el van osztva.

Javasoljuk, hogy a terheléselosztást mindig alkalmazza, és a szolgáltatásoknak megfelelően. Az alábbiakban az Azure-beli virtuális hálózati és a globális szintű forgatókönyveket, valamint a terheléselosztási lehetőségeket is bemutatjuk.

Forgatókönyv: Van egy olyan alkalmazása, amely:

  • Az ugyanazon felhasználói/ügyfél-munkamenetből érkező kéréseknek ugyanahhoz a háttérbeli virtuális géphez kell eljutniuk. Ilyenek például a bevásárlókocsi-alkalmazások és a webposta-kiszolgálók.
  • Csak biztonságos kapcsolatot fogad el, ezért a kiszolgálóval folytatott titkosítatlan kommunikáció nem elfogadható lehetőség.
  • Az ugyanazon a hosszú ideig futó TCP-kapcsolaton több HTTP-kérést kell átirányítani vagy kiosztani a különböző háttérkiszolgálókra.

Terheléselosztási lehetőség: Használja Azure-alkalmazás Gatewayt, egy HTTP webes forgalom terheléselosztót. Az Application Gateway támogatja a végpontok közötti TLS-titkosítást és a TLS-lezárásokat az átjárónál. A webkiszolgálók ezután feloldhatók a titkosítás és a visszafejtési többletterhelés, valamint a háttérkiszolgálók felé titkosítatlan forgalom miatt.

Forgatókönyv: Be kell töltenie az internetről érkező bejövő kapcsolatokat az Azure-beli virtuális hálózaton található kiszolgálók között. A forgatókönyvek a következők:

  • Állapot nélküli alkalmazásokkal rendelkezik, amelyek fogadják a bejövő kéréseket az internetről.
  • Nincs szükség ragadós munkamenetekre vagy TLS-kiszervezésre. A ragadós munkamenetek az alkalmazás terheléselosztásának módszere a kiszolgáló-affinitás eléréséhez.

Terheléselosztási lehetőség: Az Azure Portal használatával hozzon létre egy külső terheléselosztót , amely a bejövő kéréseket több virtuális gépre osztva magasabb szintű rendelkezésre állást biztosít.

Forgatókönyv: Az interneten nem található virtuális gépekről származó kapcsolatok terheléselosztására van szükség. A legtöbb esetben a terheléselosztáshoz elfogadott kapcsolatokat egy Azure-beli virtuális hálózaton lévő eszközök, például SQL Server-példányok vagy belső webkiszolgálók kezdeményezik.
Terheléselosztási lehetőség: Az Azure Portal használatával hozzon létre egy belső terheléselosztót , amely a bejövő kéréseket több virtuális gépre osztva magasabb szintű rendelkezésre állást biztosít.

Forgatókönyv: Globális terheléselosztásra van szüksége, mert:

  • Olyan felhőalapú megoldással rendelkezik, amely több régióban széles körben el van osztva, és a lehető legmagasabb szintű üzemidőt (rendelkezésre állást) igényli.
  • A lehető legmagasabb szintű üzemidőre van szüksége annak biztosításához, hogy a szolgáltatás akkor is elérhető legyen, ha egy teljes adatközpont elérhetetlenné válik.

Terheléselosztási lehetőség: Az Azure Traffic Manager használata. A Traffic Manager lehetővé teszi a szolgáltatások kapcsolatainak terheléselosztását a felhasználó helye alapján.

Ha például a felhasználó kérést intéz a szolgáltatásához az EU-ból, a rendszer átirányítja a kapcsolatot az eu-adatközpontban található szolgáltatásaihoz. A Traffic Manager globális terheléselosztásának ezen része segít a teljesítmény javításában, mivel a legközelebbi adatközponthoz való csatlakozás gyorsabb, mint a távoli adatközpontokhoz való csatlakozás.

RDP/SSH-hozzáférés letiltása virtuális gépekhez

Az Azure-beli virtuális gépek Távoli asztal protokoll (RDP) és a Secure Shell (SSH) protokoll használatával is elérhetők. Ezek a protokollok lehetővé teszik a virtuális gépek távoli felügyeletét, és mindennaposak az adatközpontokban használt számítástechnikában.

A protokollok internetes használatával kapcsolatos lehetséges biztonsági probléma, hogy a támadók találgatásos technikákkal férhetnek hozzá az Azure-beli virtuális gépekhez. Miután a támadó megszerezte a hozzáférést, a virtuális gépet kiindulópontként használva a virtuális hálózat más gépeit is feltörheti, és akár az Azure-on kívüli, hálózatra kötött eszközöket is megtámadhatja.

Javasoljuk, hogy tiltsa le az Azure-beli virtuális gépekhez való közvetlen RDP- és SSH-hozzáférést az internetről. Ha az internetről való közvetlen RDP- és SSH-hozzáférés le van tiltva, más lehetőségekkel is hozzáférhet ezekhez a virtuális gépekhez a távoli felügyelethez.

Forgatókönyv: Lehetővé teszi, hogy egyetlen felhasználó csatlakozzon egy Azure-beli virtuális hálózathoz az interneten keresztül.
Lehetőség: A pont–hely VPN egy másik kifejezés a távelérési VPN-ügyfél/kiszolgáló kapcsolathoz. A pont–hely kapcsolat létrejötte után a felhasználó RDP vagy SSH használatával csatlakozhat az Azure-beli virtuális hálózaton található virtuális gépekhez, amelyekhez a felhasználó pont–hely VPN-en keresztül csatlakozott. Ez feltételezi, hogy a felhasználó jogosult elérni ezeket a virtuális gépeket.

A pont–hely VPN biztonságosabb, mint a közvetlen RDP- vagy SSH-kapcsolatok, mivel a felhasználónak kétszer kell hitelesítenie magát, mielőtt csatlakozik egy virtuális géphez. Először a felhasználónak hitelesítenie kell (és engedélyeznie kell) a pont–hely VPN-kapcsolat létrehozásához. Másodszor, a felhasználónak hitelesítenie kell (és engedélyeznie kell) az RDP- vagy SSH-munkamenet létrehozásához.

Forgatókönyv: Engedélyezze a helyszíni hálózat felhasználóinak, hogy csatlakozzanak az Azure-beli virtuális hálózat virtuális gépeihez.
Lehetőség: A helyek közötti VPN egy teljes hálózatot csatlakoztat egy másik hálózathoz az interneten keresztül. Helyek közötti VPN használatával csatlakoztathatja helyszíni hálózatát egy Azure-beli virtuális hálózathoz. A helyszíni hálózaton lévő felhasználók RDP- vagy SSH-protokoll használatával csatlakoznak a helyek közötti VPN-kapcsolaton keresztül. Nem kell engedélyeznie a közvetlen RDP- vagy SSH-hozzáférést az interneten keresztül.

Forgatókönyv: Használjon egy dedikált WAN-hivatkozást a helyek közötti VPN-hez hasonló funkciók biztosításához.
Lehetőség: Az ExpressRoute használata. A helyek közötti VPN-hez hasonló funkciókat biztosít. A legfontosabb különbségek a következők:

  • A dedikált WAN-hivatkozás nem lépi át az internetet.
  • A dedikált WAN-hivatkozások általában stabilabbak és jobbak.

A kritikus Azure-szolgáltatás erőforrásainak védelme csak a virtuális hálózatok számára

Az Azure Private Link használatával elérheti az Azure PaaS-szolgáltatásokat (például az Azure Storage-t és az SQL Database-t) a virtuális hálózat egy privát végpontja felett. A privát végpontok lehetővé teszik a kritikus Azure-szolgáltatás erőforrásainak védelmét csak a virtuális hálózatok számára. A virtuális hálózatról az Azure szolgáltatásba érkező forgalom mindig a Microsoft Azure gerinchálózatán marad. Az Azure PaaS Services használatához már nem szükséges a virtuális hálózat nyilvános internetre való felfedése.

Az Azure Private Link a következő előnyöket nyújtja:

  • Az Azure-szolgáltatás erőforrásainak fokozott biztonsága: Az Azure Private Link használatával az Azure-szolgáltatás erőforrásai privát végpontok használatával védhetők a virtuális hálózathoz. A szolgáltatáserőforrások biztonságossá tétele a virtuális hálózat privát végpontjához jobb biztonságot nyújt azáltal, hogy teljesen eltávolítja a nyilvános internet-hozzáférést az erőforrásokhoz, és csak a virtuális hálózat privát végpontjáról engedélyezi a forgalmat.
  • Privát hozzáférés az Azure-szolgáltatás erőforrásaihoz az Azure-platformon: Csatlakozás a virtuális hálózatot az Azure-beli szolgáltatásokhoz privát végpontok használatával. Nincs szükség nyilvános IP-címre. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán.
  • Hozzáférés helyszíni és társhálózatokról: Hozzáférés az Azure-ban futó szolgáltatásokhoz a helyszíni expressRoute-beli privát társviszony-létesítésen, VPN-alagutakon és privát végpontokat használó társhálózatokon keresztül. A szolgáltatás eléréséhez nincs szükség az ExpressRoute Microsoft-társviszony-létesítés konfigurálására vagy az internetre való bejárásra. A Private Link biztonságos módot biztosít a számítási feladatok Azure-ba való migrálásához.
  • Adatszivárgás elleni védelem: A privát végpontok a teljes szolgáltatás helyett egy PaaS-erőforrás egy példányára lesznek leképezve. A felhasználók csak az adott erőforráshoz csatlakozhatnak. A szolgáltatás bármely más erőforrásához való hozzáférés le van tiltva. Ez a mechanizmus védelmet nyújt az adatszivárgási kockázatok ellen.
  • Globális elérés: Csatlakozás privát módon más régiókban futó szolgáltatásokhoz. A fogyasztó virtuális hálózata az A régióban lehet, és csatlakozhat a B régió szolgáltatásaihoz.
  • Egyszerűen beállítható és kezelhető: A virtuális hálózatokban már nincs szükség fenntartott nyilvános IP-címekre az Azure-erőforrások IP-tűzfalon keresztüli védelméhez. A privát végpontok beállításához nincs szükség NAT- vagy átjáróeszközökre. A privát végpontok egy egyszerű munkafolyamaton keresztül vannak konfigurálva. Szolgáltatásoldalon egyszerűen kezelheti az Azure-szolgáltatási erőforrás kapcsolatkéréseit is. Az Azure Private Link különböző Microsoft Entra-bérlőkhöz tartozó felhasználók és szolgáltatások számára is működik.

A privát végpontokról, valamint a privát végpontok által elérhető Azure-szolgáltatásokról és régiókról további információt az Azure Private Linkben talál.

Következő lépések

Tekintse meg az Azure biztonsági ajánlott eljárásait és mintáit a felhőmegoldások Azure-beli tervezésekor, üzembe helyezésekor és kezelésekor használandó ajánlott biztonsági eljárásokért.