Az Azure-hálózat biztonsági áttekintése

A hálózati biztonság definiálható úgy, mint az erőforrások jogosulatlan hozzáféréssel vagy támadással szembeni védelmének folyamata a hálózati forgalom vezérlőinek alkalmazásával. A cél annak biztosítása, hogy csak a jogszerű forgalom engedélyezett legyen. Az Azure egy robusztus hálózati infrastruktúrát tartalmaz, amely támogatja az alkalmazás- és szolgáltatáskapcsolati követelményeket. A hálózati kapcsolat az Azure-ban található erőforrások, a helyszíni és az Azure által üzemeltetett erőforrások, valamint az internet és az Azure között lehetséges.

Ez a cikk az Azure által a hálózatbiztonság területén kínált lehetőségek némelyikét ismerteti. Az alábbiakról tudhat meg többet:

• Azure-hálózatok
• Hálózati hozzáférés-vezérlés
• Azure Firewall
• Távoli hozzáférés és helyszíni kapcsolatok biztonságossá tétele
• Elérhetőség
• Névfeloldás
• Szegélyhálózat (DMZ) architektúrája
• Azure DDoS Protection
• Azure Front Door
• Traffic Manager
• Monitorozás és fenyegetésészlelés

Feljegyzés

Webes számítási feladatok esetén javasoljuk az Azure DDoS-védelem és a webalkalmazási tűzfal használatát a felmerülő DDoS-támadások elleni védelem érdekében. Egy másik lehetőség az Azure Front Door üzembe helyezése webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen.

Azure-hálózatok

Az Azure-nak virtuális gépeket kell csatlakoztatnia egy Azure-beli virtuális hálózathoz. A virtuális hálózat egy logikai szerkezet, amely a fizikai Azure hálózati hálóra épül. Minden virtuális hálózat el van különítve az összes többi virtuális hálózattól. Ez segít biztosítani, hogy az üzemelő példányok hálózati forgalma ne legyen elérhető más Azure-ügyfelek számára.

További információ:

• A virtuális hálózat áttekintése

Hálózati hozzáférés-vezérlés

A hálózati hozzáférés-vezérlés a virtuális hálózaton belüli meghatározott eszközökhöz vagy alhálózatokhoz való csatlakozás korlátozásának eszköze. A hálózati hozzáférés-vezérlés célja, hogy a virtuális gépekhez és szolgáltatásokhoz való hozzáférést a jóváhagyott felhasználókra és eszközökre korlátozza. A hozzáférési vezérlők olyan döntéseken alapulnak, amelyek engedélyezik vagy letiltják a virtuális géphez vagy szolgáltatáshoz való csatlakozást.

Azure-támogatás több hálózati hozzáférés-vezérlési típust is használ, például:

• Hálózati réteg vezérlése
• Útvonal-vezérlés és kényszerített bújtatás
• Virtuális hálózati biztonsági berendezések

Hálózati réteg vezérlése

Minden biztonságos üzembe helyezéshez szükség van a hálózati hozzáférés-vezérlés bizonyos mértékére. A hálózati hozzáférés-vezérlés célja, hogy korlátozza a virtuális gépek kommunikációját a szükséges rendszerek felé. Más kommunikációs kísérletek le vannak tiltva.

Feljegyzés

A tárolási tűzfalakról az Azure Storage biztonsági áttekintési cikke nyújt tájékoztatást

Hálózati biztonsági szabályok (NSG-k)

Ha alapszintű hálózati szintű hozzáférés-vezérlésre van szüksége (az IP-cím és a TCP- vagy UDP-protokollok alapján), használhat hálózati biztonsági csoportokat (NSG-ket). Az NSG egy alapszintű, állapotalapú csomagszűrési tűzfal, amely lehetővé teszi a hozzáférés szabályozását 5 rekord alapján. Az NSG-k olyan funkciókat tartalmaznak, amelyek leegyszerűsítik a felügyeletet, és csökkentik a konfigurációs hibák esélyét:

• A kiterjesztett biztonsági szabályok leegyszerűsítik az NSG-szabálydefiníciót, és lehetővé teszik összetett szabályok létrehozását ahelyett, hogy több egyszerű szabályt kellene létrehozniuk ugyanazon eredmény eléréséhez.
• A szolgáltatáscímkék olyan Microsoft által létrehozott címkék, amelyek IP-címek egy csoportját jelölik. Dinamikusan frissülnek, hogy olyan IP-tartományokat tartalmazzanak, amelyek megfelelnek a címkében való felvételt meghatározó feltételeknek. Ha például olyan szabályt szeretne létrehozni, amely a keleti régióban lévő összes Azure Storage-ra vonatkozik, használhatja a Storage.EastUS-t.
• Az alkalmazásbiztonsági csoportok lehetővé teszik az erőforrások alkalmazáscsoportokban való üzembe helyezését és az erőforrásokhoz való hozzáférés szabályozását az adott alkalmazáscsoportokat használó szabályok létrehozásával. Ha például webkiszolgálókat helyez üzembe a "Webservers" alkalmazáscsoportban, létrehozhat egy olyan szabályt, amely egy NSG-t alkalmaz, amely 443 forgalmat tesz lehetővé az internetről a "Webservers" alkalmazáscsoport összes rendszerére.

Az NSG-k nem biztosítanak alkalmazásréteg-ellenőrzést vagy hitelesített hozzáférés-vezérlést.

További információ:

• Network Security Groups (Hálózati biztonsági csoportok)

Felhőhöz készült Defender időbeni virtuálisgép-hozzáférés

Felhőhöz készült Microsoft Defender kezelheti az NSG-ket a virtuális gépeken, és zárolhatja a virtuális géphez való hozzáférést, amíg egy megfelelő Azure szerepköralapú hozzáférés-vezérléssel rendelkező felhasználó nem kér hozzáférést az Azure RBAC-engedélyekhez. Ha a felhasználó sikeresen engedélyezve van, Felhőhöz készült Defender módosításokat végez az NSG-ken, hogy a megadott ideig engedélyezhesse a kiválasztott portokhoz való hozzáférést. Amikor lejár az idő, a rendszer visszaállítja az NSG-ket a korábbi biztonságos állapotba.

További információ:

• Felhőhöz készült Microsoft Defender Just in Time Access

Szolgáltatásvégpontok

A szolgáltatásvégpontok egy másik módszer a forgalom vezérlésének alkalmazására. A támogatott szolgáltatásokkal folytatott kommunikációt csak a virtuális hálózatokra korlátozhatja közvetlen kapcsolaton keresztül. A virtuális hálózatról a megadott Azure-szolgáltatásra érkező forgalom a Microsoft Azure gerinchálózatán marad.

További információ:

• Szolgáltatásvégpontok

Útvonal-vezérlés és kényszerített bújtatás

A virtuális hálózatok útválasztási viselkedésének szabályozása kritikus fontosságú. Ha az útválasztás helytelenül van konfigurálva, előfordulhat, hogy a virtuális gépen üzemeltetett alkalmazások és szolgáltatások jogosulatlan eszközökhöz csatlakoznak, beleértve a potenciális támadók által birtokolt és üzemeltetett rendszereket is.

Az Azure-hálózatkezelés támogatja a virtuális hálózatok hálózati forgalmának útválasztási viselkedésének testreszabását. Ez lehetővé teszi a virtuális hálózat alapértelmezett útválasztási táblabejegyzéseinek módosítását. Az útválasztási viselkedés szabályozásával gondoskodhat arról, hogy egy adott eszközről vagy eszközcsoportról érkező összes forgalom egy adott helyen keresztül lépjen be vagy hagyja el a virtuális hálózatot.

Előfordulhat például, hogy egy virtuális hálózati biztonsági berendezés van a virtuális hálózaton. Győződjön meg arról, hogy a virtuális hálózatra érkező és onnan érkező összes forgalom áthalad a virtuális biztonsági berendezésen. Ezt úgy teheti meg, hogy konfigurálja a felhasználó által definiált útvonalakat (UDR-eket) az Azure-ban.

A kényszerített bújtatás olyan mechanizmus, amellyel biztosítható, hogy a szolgáltatások ne kezdeményezhessenek kapcsolatot az interneten található eszközökkel. Vegye figyelembe, hogy ez nem azonos a bejövő kapcsolatok elfogadásával, majd azok megválaszolásával. Az előtérbeli webkiszolgálóknak válaszolniuk kell az internetes gazdagépektől érkező kérésekre, így az internetről érkező forgalom engedélyezett ezeken a webkiszolgálókon, és a webkiszolgálók is válaszolhatnak.

Amit nem szeretne engedélyezni, az egy előtér-webkiszolgáló, amely kimenő kérést kezdeményez. Az ilyen kérések biztonsági kockázatot jelenthetnek, mivel ezek a kapcsolatok kártevők letöltésére használhatók. Még ha azt is szeretné, hogy ezek az előtérbeli kiszolgálók kimenő kéréseket kezdeményezhessenek az interneten, akkor is kényszerítheti őket a helyszíni webes proxykon való áthaladásra. Ez lehetővé teszi az URL-szűrés és a naplózás előnyeit.

Ehelyett a kényszerített bújtatást kellene használnia ennek megakadályozására. Ha engedélyezi a kényszerített bújtatást, a rendszer a helyszíni átjárón keresztül kényszeríti az internetkapcsolatot. A kényszerített bújtatás konfigurálásához használja ki az UDR-eket.

További információ:

• Mik azok a felhasználó által megadott útvonalak és IP-továbbítás?

Virtuális hálózati biztonsági berendezések

Bár az NSG-k, az UDR-ek és a kényszerített bújtatás az OSI-modell hálózati és átviteli rétegeinek biztonsági szintjét biztosítják, érdemes lehet a hálózatnál magasabb szinten is engedélyezni a biztonságot.

A biztonsági követelmények például a következők lehetnek:

• Hitelesítés és engedélyezés az alkalmazáshoz való hozzáférés engedélyezése előtt
• Behatolásészlelés és behatolási válasz
• Alkalmazásréteg-vizsgálat magas szintű protokollokhoz
• URL-szűrés
• Hálózati szintű víruskereső és kártevőirtó
• Robotok elleni védelem
• Alkalmazáshozzáférés-vezérlés
• További DDoS-védelem (az Azure Fabric által biztosított DDoS-védelem felett)

Ezeket a továbbfejlesztett hálózati biztonsági funkciókat egy Azure-partnermegoldás használatával érheti el. A legfrissebb Azure-partnerhálózati biztonsági megoldásokat az Azure Marketplace-en találja, és a "biztonság" és a "hálózati biztonság" kifejezésre keres.

Azure Firewall

Az Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít az Azure-ban futó felhőbeli számítási feladatok számára. Ez egy szolgáltatott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan felhőalapú skálázhatósággal. Kelet-nyugati és észak-déli forgalmi ellenőrzést is biztosít.

Az Azure Firewall három termékváltozatban érhető el: Standard, Premium és Basic. Az Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. Az Azure Firewall Premium speciális képességeket biztosít, például az aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését adott minták keresésével. Az Azure Firewall Basic egy egyszerűsített termékváltozat, amely ugyanolyan szintű biztonságot nyújt, mint a standard termékváltozat, de speciális képességek nélkül.

További információ:

• Mi az Az Azure Firewall?

Távoli hozzáférés és helyszíni kapcsolatok biztonságossá tétele

Az Azure-erőforrások beállítását, konfigurálását és kezelését távolról kell elvégezni. Emellett érdemes lehet olyan hibrid informatikai megoldásokat üzembe helyezni, amelyek összetevői a helyszínen és az Azure nyilvános felhőben vannak. Ezek a forgatókönyvek biztonságos távelérést igényelnek.

Az Azure-hálózatkezelés a következő biztonságos távelérési forgatókönyveket támogatja:

• Egyéni munkaállomások csatlakoztatása virtuális hálózathoz
• A helyszíni hálózat csatlakoztatása virtuális hálózathoz VPN-sel
• A helyszíni hálózat csatlakoztatása egy dedikált WAN-kapcsolattal rendelkező virtuális hálózathoz
• Virtuális hálózatok összekapcsolása egymással

Egyéni munkaállomások csatlakoztatása virtuális hálózathoz

Érdemes lehet engedélyeznie az egyes fejlesztőknek vagy üzemeltetési személyzetnek, hogy az Azure-beli virtuális gépeket és szolgáltatásokat felügyelhessék. Tegyük fel például, hogy hozzáférésre van szüksége egy virtuális hálózaton lévő virtuális géphez. A biztonsági szabályzat azonban nem engedélyezi az RDP- vagy SSH-távelérést az egyes virtuális gépekhez. Ebben az esetben pont–hely VPN-kapcsolatot használhat.

A pont–hely VPN kapcsolat lehetővé teszi, hogy privát és biztonságos kapcsolatot állítson be a felhasználó és a virtuális hálózat között. A VPN-kapcsolat létrejötte után a felhasználó RDP-t vagy SSH-t használhat a VPN-kapcsolaton keresztül a virtuális hálózat bármely virtuális gépére. (Ez feltételezi, hogy a felhasználó hitelesíthet és jogosult.) A pont–hely VPN támogatja a következőket:

• Secure Socket Tunneling Protocol (SSTP), egy védett SSL-alapú VPN-protokoll. Az SSL VPN-megoldások behatolhatnak a tűzfalakba, mivel a legtöbb tűzfal a 443-as TCP-portot nyitja meg, amelyet a TLS/SSL használ. Az SSTP csak Windows-eszközökön támogatott. Azure-támogatás a Windows összes SSTP-t (Windows 7 és újabb) tartalmazó verzióját.

• IKEv2 VPN, egy szabványalapú IPsec VPN-megoldás. Az IKEv2 VPN segítségével Macről is lehetségessé válik a csatlakozás (OSX 10.11-es vagy újabb verziók használata esetén).

• OpenVPN

További információ:

• Pont–hely kapcsolat konfigurálása virtuális hálózathoz a PowerShell használatával

A helyszíni hálózat csatlakoztatása virtuális hálózathoz VPN-sel

Előfordulhat, hogy a teljes vállalati hálózatot vagy annak egy részét egy virtuális hálózathoz szeretné csatlakoztatni. Ez gyakori a hibrid informatikai forgatókönyvekben, ahol a szervezetek kiterjesztik helyszíni adatközpontjukat az Azure-ra. A szervezetek sok esetben egy szolgáltatás részeit üzemeltetik az Azure-ban, a helyszíni részeket pedig. Ezt például akkor tehetik meg, ha egy megoldás előtér-webkiszolgálókat tartalmaz az Azure-ban és a helyszíni háttéradatbázisokat. Az ilyen típusú "helyek közötti" kapcsolatok az Azure-beli erőforrások felügyeletét is biztonságosabbá teszik, és olyan forgatókönyveket tesznek lehetővé, mint például az Active Directory-tartományvezérlők kiterjesztése az Azure-ba.

Ennek egyik módja egy helyek közötti VPN használata. A helyek közötti VPN és a pont–hely VPN közötti különbség az, hogy az utóbbi egyetlen eszközt csatlakoztat egy virtuális hálózathoz. A helyek közötti VPN egy teljes hálózatot (például a helyszíni hálózatot) csatlakoztat egy virtuális hálózathoz. A virtuális hálózat helyek közötti VPN-jei a rendkívül biztonságos IPsec-alagút módú VPN-protokollt használják.

További információ:

• Resource Manager virtuális hálózat létrehozása helyek közötti VPN-kapcsolattal az Azure Portal használatával
• Információk a VPN Gateway-ről

A helyszíni hálózat csatlakoztatása egy dedikált WAN-kapcsolattal rendelkező virtuális hálózathoz

A helyek közötti és helyek közötti VPN-kapcsolatok hatékonyak a helyek közötti kapcsolatok engedélyezéséhez. Egyes szervezetek azonban úgy vélik, hogy az alábbi hátrányaik vannak:

• A VPN-kapcsolatok az interneten keresztül helyezik át az adatokat. Ez elérhetővé teszi ezeket a kapcsolatokat az adatok nyilvános hálózaton keresztüli áthelyezésével kapcsolatos lehetséges biztonsági problémáknak. Emellett az internetkapcsolatok megbízhatósága és rendelkezésre állása nem garantálható.
• Előfordulhat, hogy a virtuális hálózatokkal létesített VPN-kapcsolatok nem rendelkeznek bizonyos alkalmazásokhoz és célokhoz szükséges sávszélességtel, mivel ezek maximális mérete körülbelül 200 Mbps.

Azok a szervezetek, amelyeknek a helyszíni kapcsolataikhoz a legmagasabb szintű biztonságra és rendelkezésre állásra van szükségük, általában dedikált WAN-hivatkozásokat használnak a távoli helyekhez való csatlakozáshoz. Az Azure lehetővé teszi egy dedikált WAN-kapcsolat használatát, amellyel csatlakoztathatja a helyszíni hálózatot egy virtuális hálózathoz. Ezt az Azure ExpressRoute, a közvetlen expressz útvonal és az expressz útvonal globális elérése teszi lehetővé.

További információ:

• Az ExpressRoute műszaki áttekintése
• ExpressRoute direct
• Express route global reach

Virtuális hálózatok összekapcsolása egymással

Számos virtuális hálózat használható az üzemelő példányokhoz. Ennek több oka is lehet. Egyszerűsíteni szeretné a felügyeletet, vagy nagyobb biztonságot szeretne. Függetlenül attól, hogy az erőforrásokat különböző virtuális hálózatokra kell-e helyezni, előfordulhatnak olyan esetek, amikor azt szeretné, hogy az egyes hálózatok erőforrásai csatlakozzanak egymáshoz.

Az egyik lehetőség az, hogy az egyik virtuális hálózaton lévő szolgáltatások egy másik virtuális hálózaton lévő szolgáltatásokhoz csatlakoznak az interneten keresztüli "visszacsatolással". A kapcsolat egy virtuális hálózaton indul el, keresztülhalad az interneten, majd visszatér a cél virtuális hálózathoz. Ez a beállítás az internetes kommunikációban rejlő biztonsági problémákhoz való kapcsolódást teszi elérhetővé.

Jobb megoldás lehet egy helyek közötti VPN létrehozása, amely két virtuális hálózat között csatlakozik. Ez a módszer ugyanazt az IPSec-alagútmódú protokollt használja, mint a fent említett helyek közötti VPN-kapcsolat.

Ennek a megközelítésnek az az előnye, hogy a VPN-kapcsolat az Azure hálózati hálón keresztül jön létre, nem pedig az interneten keresztül. Ez további biztonsági réteget biztosít a helyek közötti VPN-ekhez képest, amelyek az interneten keresztül csatlakoznak.

További információ:

• Virtuális hálózatok közötti kapcsolat konfigurálása az Azure Resource Manager és a PowerShell használatával

A virtuális hálózatok összekapcsolásának másik módja a virtuális hálózatok közötti társviszony-létesítés. Ez a funkció lehetővé teszi két Azure-hálózat csatlakoztatását, hogy a kommunikáció a Microsoft gerincinfrastruktúra segítségével történjen anélkül, hogy az az interneten keresztül történne. A virtuális hálózatok közötti társviszony-létesítés két VNET-t csatlakoztathat ugyanazon a régión belül, vagy két VNET-t az Azure-régiók között. Az NSG-k a különböző alhálózatok vagy rendszerek közötti kapcsolat korlátozására használhatók.

Elérhetőség

A rendelkezésre állás minden biztonsági program kulcsfontosságú összetevője. Ha a felhasználók és a rendszerek nem férnek hozzá a hálózaton keresztüli hozzáféréshez szükséges adatokhoz, a szolgáltatás sérültnek tekinthető. Az Azure a következő magas rendelkezésre állású mechanizmusokat támogató hálózatkezelési technológiák használatával rendelkezik:

• HTTP-alapú terheléselosztás
• Hálózati szintű terheléselosztás
• Globális terheléselosztás

A terheléselosztás egy olyan mechanizmus, amelynek célja a kapcsolatok egyenlő elosztása több eszköz között. A terheléselosztás céljai a következők:

• A rendelkezésre állás növelése. Ha több eszközön is betölti a kapcsolatok terheléselosztását, egy vagy több eszköz elérhetetlenné válhat a szolgáltatás veszélyeztetése nélkül. A többi online eszközön futó szolgáltatások továbbra is kiszolgálhatják a szolgáltatás tartalmát.
• A teljesítmény növelése. Ha több eszköz közötti kapcsolatok terheléselosztását végzi el, egyetlen eszköznek nem kell minden feldolgozást kezelnie. Ehelyett a tartalom kiszolgálásához szükséges feldolgozási és memóriaigények több eszközön is elterülnek.

HTTP-alapú terheléselosztás

A webalapú szolgáltatásokat futtató szervezetek gyakran szeretnének HTTP-alapú terheléselosztóval rendelkezni ezek előtt a webszolgáltatások előtt. Ez segít biztosítani a megfelelő teljesítményszintet és a magas rendelkezésre állást. A hagyományos, hálózati alapú terheléselosztók a hálózati és átviteli réteg protokolljaira támaszkodnak. A HTTP-alapú terheléselosztók viszont a HTTP protokoll jellemzői alapján hoznak döntéseket.

Azure-alkalmazás Gateway HTTP-alapú terheléselosztást biztosít a webalapú szolgáltatásokhoz. Az Application Gateway a következőket támogatja:

• Cookie-alapú munkamenet-affinitás. Ez a képesség gondoskodik arról, hogy a terheléselosztó mögötti egyik kiszolgálóval létesített kapcsolatok érintetlenek maradnak az ügyfél és a kiszolgáló között. Ez biztosítja a tranzakciók stabilitását.
• TLS-kiszervezés. Amikor egy ügyfél csatlakozik a terheléselosztóhoz, a munkamenet a HTTPS (TLS) protokoll használatával lesz titkosítva. A teljesítmény növelése érdekében azonban a HTTP (titkosítatlan) protokoll használatával csatlakozhat a terheléselosztó és a terheléselosztó mögötti webkiszolgáló között. Ezt "TLS-kiszervezésnek" nevezzük, mivel a terheléselosztó mögötti webkiszolgálók nem tapasztalják a titkosítással járó processzorterhelést. A webkiszolgálók így gyorsabban tudják kiszolgálni a kéréseket.
• URL-alapú tartalom-útválasztás. Ez a funkció lehetővé teszi a terheléselosztó számára, hogy a cél URL-cím alapján döntsön a kapcsolatok továbbításának helyéről. Ez sokkal nagyobb rugalmasságot biztosít, mint az IP-címeken alapuló terheléselosztási döntéseket hozó megoldások.

További információ:

• Az Application Gateway áttekintése

Hálózati szintű terheléselosztás

A HTTP-alapú terheléselosztással ellentétben a hálózati szintű terheléselosztás AZ IP-cím és a port (TCP vagy UDP) számán alapuló döntéseket hoz. Az Azure Load Balancer használatával kihasználhatja a hálózati szintű terheléselosztás előnyeit az Azure-ban. A Load Balancer néhány fő jellemzője:

• Hálózati szintű terheléselosztás IP-cím és portszámok alapján.
• Bármely alkalmazásréteg protokoll támogatása.
• Terheléselosztás azure-beli virtuális gépekre és felhőszolgáltatások szerepkörpéldányokra.
• Internetkapcsolattal rendelkező (külső terheléselosztás) és nem internetes (belső terheléselosztási) alkalmazásokhoz és virtuális gépekhez egyaránt használható.
• Végpontfigyelés, amely annak megállapítására szolgál, hogy a terheléselosztó mögötti szolgáltatások valamelyike elérhetetlenné vált-e.

További információ:

• Belső terheléselosztó áttekintése

Globális terheléselosztás

Egyes szervezetek a lehető legmagasabb rendelkezésre állást szeretnék elérni. Ennek a célnak az egyik módja az alkalmazások globálisan elosztott adatközpontokban való üzemeltetésének. Ha egy alkalmazást a világ minden táján található adatközpontokban üzemeltetnek, lehetséges, hogy egy teljes geopolitikai régió elérhetetlenné válik, és továbbra is működik az alkalmazás.

Ez a terheléselosztási stratégia teljesítménybeli előnyöket is eredményezhet. A szolgáltatásra vonatkozó kéréseket a kérést küldő eszközhöz legközelebbi adatközpontba irányíthatja.

Az Azure-ban az Azure Traffic Manager használatával élvezheti a globális terheléselosztás előnyeit.

További információ:

• A Traffic Manager ismertetése

Névfeloldás

A névfeloldás kritikus fontosságú az Azure-ban üzemeltetett összes szolgáltatáshoz. Biztonsági szempontból a névfeloldási függvény sérülése azt eredményezheti, hogy a támadó átirányítja a kéréseket a webhelyekről a támadó webhelyére. A biztonságos névfeloldás minden felhőalapú szolgáltatás esetében követelmény.

A névfeloldásnak két típusa van:

• Belső névfeloldás. Ezt a virtuális hálózatokon, a helyszíni hálózatokon vagy mindkettőn lévő szolgáltatások használják. A belső névfeloldáshoz használt nevek nem érhetők el az interneten keresztül. Az optimális biztonság érdekében fontos, hogy a belső névfeloldási séma ne legyen elérhető a külső felhasználók számára.
• Külső névfeloldás. Ezt a helyszíni hálózatokon és virtuális hálózatokon kívüli személyek és eszközök használják. Ezek azok a nevek, amelyek láthatók az interneten, és a felhőalapú szolgáltatásokhoz való közvetlen kapcsolódásra szolgálnak.

A belső névfeloldáshoz két lehetősége van:

• Virtuális hálózati DNS-kiszolgáló. Új virtuális hálózat létrehozásakor létrejön egy DNS-kiszolgáló. Ez a DNS-kiszolgáló feloldhatja a virtuális hálózaton található gépek nevét. Ez a DNS-kiszolgáló nem konfigurálható, az Azure Fabric Manager felügyeli, ezért segíthet a névfeloldási megoldás biztonságossá tételében.
• Hozzon saját DNS-kiszolgálót. Lehetősége van saját maga által választott DNS-kiszolgálót elhelyezni a virtuális hálózaton. Ez a DNS-kiszolgáló lehet Egy Active Directory integrált DNS-kiszolgáló, vagy egy Azure-partner által biztosított dedikált DNS-kiszolgálói megoldás, amelyet az Azure Marketplace-ről szerezhet be.

További információ:

• A virtuális hálózat áttekintése
• Virtuális hálózat által használt DNS-kiszolgálók kezelése

A külső névfeloldáshoz két lehetősége van:

• Saját külső DNS-kiszolgáló üzemeltetése a helyszínen.
• Saját külső DNS-kiszolgálót üzemeltethet egy szolgáltatónál.

Számos nagy szervezet saját DNS-kiszolgálókat üzemeltet a helyszínen. Ezt azért tehetik meg, mert rendelkeznek a hálózatkezelési szakértelemmel és a globális jelenléttel.

A legtöbb esetben jobb, ha a DNS-névfeloldási szolgáltatásokat egy szolgáltatónál üzemelteti. Ezek a szolgáltatók rendelkeznek a hálózati szakértelemmel és a globális jelenléttel a névfeloldási szolgáltatások magas rendelkezésre állásának biztosítása érdekében. A rendelkezésre állás elengedhetetlen a DNS-szolgáltatásokhoz, mert ha a névfeloldási szolgáltatások sikertelenek, senki sem fogja tudni elérni az internetre irányuló szolgáltatásokat.

Az Azure magas rendelkezésre állású és nagy teljesítményű külső DNS-megoldást biztosít Azure DNS formájában. Ez a külső névfeloldási megoldás kihasználja a globális Azure DNS-infrastruktúrát. Lehetővé teszi a tartomány azure-beli üzemeltetését ugyanazokkal a hitelesítő adatokkal, API-kkal, eszközökkel és számlázással, mint a többi Azure-szolgáltatás. Az Azure részeként a platformba beépített erős biztonsági vezérlőket is örökli.

További információ:

• Az Azure DNS áttekintése
• Az Azure DNS privát zónái lehetővé teszik privát DNS-nevek konfigurálását az Azure-erőforrásokhoz az automatikusan hozzárendelt nevek helyett anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia.

Szegélyhálózat architektúrája

Sok nagy szervezet szegélyhálózatokkal szegmentált hálózatokat használ, és pufferzónát hoz létre az internet és a szolgáltatásaik között. A hálózat szegélyterülete alacsony biztonsági zónának minősül, és a rendszer nem helyez el nagy értékű objektumokat az adott hálózati szegmensben. Általában olyan hálózati biztonsági eszközöket fog látni, amelyek hálózati adapterrel rendelkeznek a szegélyhálózati szegmensben. Egy másik hálózati adapter olyan hálózathoz csatlakozik, amely olyan virtuális gépekkel és szolgáltatásokkal rendelkezik, amelyek bejövő kapcsolatokat fogadnak az internetről.

A szegélyhálózatokat többféleképpen is megtervezheti. A szegélyhálózat üzembe helyezésének döntése, majd az, hogy milyen típusú szegélyhálózatot szeretne használni, a hálózati biztonsági követelményektől függ.

További információ:

• Biztonsági zónák szegélyhálózatai

Azure DDoS Protection

Az elosztott szolgáltatásmegtagadásos (DDoS-) támadások az egyik legnagyobb rendelkezésreállási és biztonsági kockázatot jelentik az olyan felhasználók számára, akik alkalmazásaikat a felhőbe helyezik át. A DDoS-támadás megpróbálja kimeríteni az alkalmazás erőforrásait, így az alkalmazás nem érhető el a jogos felhasználók számára. A DDoS-támadások bármilyen, az interneten keresztül nyilvánosan elérhető végpontot megcélozhatnak.

A DDoS Protection funkciói a következők:

• Natív platformintegráció: Natív integráció az Azure-ba. Az Azure Portalon keresztüli konfigurációt is tartalmazza. A DDoS Protection értelmezi a védeni kívánt környezet erőforrásait és erőforrás-konfigurációját.
• Kulcsrakész védelem: Az egyszerűsített konfiguráció azonnal védi a virtuális hálózaton lévő összes erőforrást, amint a DDoS Protection engedélyezve van. Nincs szükség beavatkozásra vagy felhasználódefinícióra. A DDoS Protection azonnal és automatikusan mérsékli a támadást, amint észleli.
• Folyamatos forgalomfigyelés: Az alkalmazás forgalmi mintáit a rendszer a nap 24 órájában, a hét 7 napján figyeli, és a DDoS-támadások jelzéseit keresi. A kockázatcsökkentés a védelmi szabályzatok túllépésekor történik.
• A támadáscsökkentési jelentések támadáscsökkentési jelentései összesített hálózati adatfolyam-adatokat használnak az erőforrásokra irányuló támadások részletes információinak megadásához.
• A támadáscsökkentési folyamatnaplók támadáscsökkentési folyamatnaplói lehetővé teszik az elvetett forgalom, a továbbított forgalom és egyéb támadási adatok közel valós idejű áttekintését egy aktív DDoS-támadás során.
• Adaptív hangolás: Az intelligens forgalomprofilozás idővel megtanulja az alkalmazás forgalmát, és kiválasztja és frissíti a szolgáltatás számára legmegfelelőbb profilt. A profil a forgalom időbeli változásával változik. 3. réteg a 7. réteghez védelem: Teljes körű DDoS-védelmet biztosít, ha webalkalmazási tűzfallal használják.
• Átfogó kockázatcsökkentési skálázás: Több mint 60 különböző támadástípus enyhíthető globális kapacitással a legnagyobb ismert DDoS-támadások elleni védelem érdekében.
• Támadási metrikák: Az egyes támadások összesített metrikái az Azure Monitoron keresztül érhetők el.
• Támadásriasztás: A riasztások a támadás kezdetekor és végén, valamint a támadás időtartama alatt konfigurálhatók beépített támadási metrikák használatával. A riasztások integrálhatók az operatív szoftverbe, például a Microsoft Azure Monitor-naplókba, a Splunkba, az Azure Storage-ba, az e-mailbe és az Azure Portalra.
• Költséggarancia: Dokumentált DDoS-támadások adatátviteli és alkalmazásbőzített szolgáltatási kreditjei.
• A DDoS Rapid válaszidejű DDoS Protection-ügyfelek mostantól aktív támadás során hozzáférhetnek a gyorsreagálási csapathoz. A DRR segíthet a támadás kivizsgálásában, a támadások során felmerülő egyéni kockázatcsökkentésekben és a támadás utáni elemzésekben.

További információ:

• A DDOS-védelem áttekintése

Azure Front Door

Az Azure Front Door Service lehetővé teszi a webes forgalom globális útválasztásának meghatározását, kezelését és monitorozását. Optimalizálja a forgalom útválasztását a legjobb teljesítmény és magas rendelkezésre állás érdekében. Az Azure Front Doorral egyéni webalkalmazási tűzfalszabályok (WAF-szabályok) készítésével hozzáférés-vezérlést valósíthat meg, amellyel megvédheti a HTTP/HTTPS-számítási feladatait attól, hogy feltörjék őket az ügyféloldali IP-cím, országkód és HTTP-paraméterek alapján. Emellett a Front Door lehetővé teszi sebességkorlátozó szabályok létrehozását a rosszindulatú robotforgalom elleni küzdelemhez, beleértve a TLS-kiszervezést és a HTTP-/HTTPS-kérelmeket, az alkalmazásréteg-feldolgozást.

A Front Door platformot maga az Azure infrastruktúraszintű DDoS-védelem védi. A további védelem érdekében az Azure DDoS Network Protection engedélyezhető a VNET-eken, és automatikus hangolással és kockázatcsökkentéssel megvédheti az erőforrásokat a hálózati réteg (TCP/UDP) támadásaitól. A Front Door egy 7. rétegbeli fordított proxy, amely csak lehetővé teszi, hogy a webes forgalom áthaladjon a háttérkiszolgálókon, és alapértelmezés szerint blokkolja az egyéb típusú forgalmat.

Feljegyzés

Webes számítási feladatok esetén javasoljuk az Azure DDoS-védelem és a webalkalmazási tűzfal használatát a felmerülő DDoS-támadások elleni védelem érdekében. Egy másik lehetőség az Azure Front Door üzembe helyezése webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen.

További információ:

• Az Azure Front Door képességeinek teljes halmazáról további információt az Azure Front Door áttekintésében talál.

Azure Traffic Manager

Az Azure Traffic Manager egy DNS-alapú forgalom-terheléselosztó, amely lehetővé teszi a szolgáltatásokhoz érkező forgalom optimális elosztását a globális Azure-régiókban, miközben magas rendelkezésre állást és válaszkészséget biztosít. A Traffic Manager DNS használatával a leginkább megfelelő szolgáltatási végpontra irányítja az ügyfélkéréseket a forgalom-útválasztási módszer és a végpont állapota alapján. A végpont egy, az Azure-on kívül vagy belül üzemeltetett, internetkapcsolattal rendelkező szolgáltatás. A Traffic Manager figyeli a végpontokat, és nem irányítja a forgalmat olyan végpontokra, amelyek nem érhetők el.

További információ:

• Az Azure Traffic Manager áttekintése

Monitorozás és fenyegetésészlelés

Az Azure olyan képességeket biztosít, amelyekkel ezen a kulcsterületen korai észlelést, monitorozást, valamint a hálózati forgalom gyűjtését és áttekintését is lehetővé teszi.

Azure Network Watcher

Az Azure Network Watcher segíthet a hibaelhárításban, és egy teljesen új eszközkészletet biztosít a biztonsági problémák azonosításához.

A biztonsági csoport nézet segít a virtuális gépek naplózásában és biztonsági megfelelőségében. Ezzel a funkcióval programozott naplózásokat hajthat végre, és összehasonlíthatja a szervezet által meghatározott alapszintű szabályzatokat az egyes virtuális gépek hatékony szabályaival. Ez segíthet azonosítani a konfigurációs eltéréseket.

A csomagrögzítés lehetővé teszi a virtuális gép felé és onnan érkező hálózati forgalom rögzítését. Összegyűjtheti a hálózati statisztikákat, és elháríthatja az alkalmazásokkal kapcsolatos problémákat, amelyek felbecsülhetetlenek lehetnek a hálózati behatolások vizsgálatában. Ezt a funkciót az Azure Functions szolgáltatással együtt is használhatja a hálózatrögzítések elindításához adott Azure-riasztásokra válaszul.

A Network Watcherről és a tesztkörnyezetek egyes funkcióinak tesztelésének megkezdéséről az Azure Network Watcher monitorozási áttekintésében olvashat bővebben.

Feljegyzés

A szolgáltatás elérhetőségével és állapotával kapcsolatos legfrissebb értesítésekért tekintse meg az Azure frissítési oldalát.

Microsoft Defender for Cloud

Felhőhöz készült Microsoft Defender segít megelőzni, észlelni és reagálni a fenyegetésekre, és nagyobb átláthatóságot biztosít az Azure-erőforrások biztonságának és felügyeletének. Integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben, segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek, és számos biztonsági megoldással működik együtt.

Felhőhöz készült Defender a következők segítségével optimalizálhatja és figyelheti a hálózati biztonságot:

• Hálózati biztonsági javaslatok megadása.
• A hálózati biztonsági konfiguráció állapotának figyelése.
• Riasztást küld a hálózatalapú fenyegetésekre mind a végpont, mind a hálózati szinten.

További információ:

• Bevezetés a Felhőhöz készült Microsoft Defender

Virtual Network TAP

Az Azure-beli virtuális hálózati TAP (terminálelérési pont) lehetővé teszi, hogy folyamatosan streamelje a virtuális gép hálózati forgalmát egy hálózati csomaggyűjtő vagy -elemző eszköz felé. A gyűjtőt vagy az elemzési eszközt egy hálózati virtuális berendezés-partner biztosítja. Ugyanazt a virtuális hálózati TAP-erőforrást használhatja több hálózati adapter forgalmának összesítéséhez ugyanazon vagy különböző előfizetésekben.

További információ:

• Virtuális hálózat TAP

Naplózás

A hálózati szintű naplózás minden hálózati biztonsági forgatókönyv kulcsfontosságú funkciója. Az Azure-ban naplózhatja az NSG-khez beszerzett adatokat a hálózati szintű naplózási információk lekéréséhez. Az NSG-naplózással a következő információkhoz juthat:

• Tevékenységnaplók. Ezekkel a naplókkal megtekintheti az Azure-előfizetéseinek küldött összes műveletet. Ezek a naplók alapértelmezés szerint engedélyezve vannak, és az Azure Portalon használhatók. Ezeket korábban naplózási vagy üzemeltetési naplóknak nevezték.
• Eseménynaplók. Ezek a naplók információt nyújtanak arról, hogy milyen NSG-szabályokat alkalmaztak.
• Számlálónaplók. Ezek a naplók jelzik, hogy hányszor alkalmazták az egyes NSG-szabályokat a forgalom megtagadására vagy engedélyezésére.

A Naplók megtekintéséhez és elemzéséhez a Microsoft Power BI, egy hatékony adatvizualizációs eszköz is használható. További információ:

• Azure Monitor-naplók hálózati biztonsági csoportokhoz (NSG-khez)