Az Azure hálózati biztonságának áttekintése

A hálózati biztonság az erőforrások jogosulatlan hozzáféréssel vagy támadással szembeni védelmének folyamataként határozható meg úgy, hogy vezérlőket alkalmaz a hálózati forgalomra. A cél annak biztosítása, hogy csak a jogszerű forgalom engedélyezett legyen. Az Azure egy robusztus hálózati infrastruktúrát tartalmaz, amely támogatja az alkalmazás- és szolgáltatáskapcsolati követelményeket. Hálózati kapcsolat létesíthető az Azure-ban található erőforrások, a helyszíni és az Azure által üzemeltetett erőforrások, valamint az internet és az Azure között.

Ez a cikk az Azure által a hálózati biztonság területén kínált néhány lehetőséget ismerteti. Az alábbiakról tudhat meg többet:

  • Azure-hálózatkezelés
  • Hálózati hozzáférés-vezérlés
  • Azure Firewall
  • Biztonságos távelérés és létesítmények közötti kapcsolat
  • Rendelkezésre állás
  • Névfeloldás
  • Szegélyhálózat (DMZ) architektúrája
  • Azure DDoS Protection
  • Azure Front Door
  • Traffic Manager
  • Monitorozás és fenyegetésészlelés

Azure-hálózatkezelés

Az Azure megköveteli, hogy a virtuális gépek csatlakozva legyenek egy Azure-Virtual Network. A virtuális hálózat egy logikai szerkezet, amely a fizikai Azure hálózati hálóra épül. Minden virtuális hálózat el van különítve az összes többi virtuális hálózattól. Ez segít biztosítani, hogy az üzemelő példányok hálózati forgalma ne legyen elérhető más Azure-ügyfelek számára.

További információ:

Hálózati hozzáférés-vezérlés

A hálózati hozzáférés-vezérlés a virtuális hálózaton belüli adott eszközökhöz vagy alhálózatokhoz való csatlakozás korlátozása. A hálózati hozzáférés-vezérlés célja, hogy a virtuális gépekhez és szolgáltatásokhoz való hozzáférést a jóváhagyott felhasználókra és eszközökre korlátozza. A hozzáférés-vezérlés olyan döntéseken alapul, amelyek engedélyezik vagy letiltják a virtuális géphez vagy szolgáltatáshoz való csatlakozást.

Az Azure számos hálózati hozzáférés-vezérlési típust támogat, például:

  • Hálózati réteg vezérlése
  • Útvonal-vezérlés és kényszerített bújtatás
  • Virtuális hálózati biztonsági berendezések

Hálózati réteg vezérlése

Minden biztonságos üzembe helyezéshez szükség van valamilyen hálózati hozzáférés-vezérlési mértékre. A hálózati hozzáférés-vezérlés célja a virtuális gépek kommunikációjának korlátozása a szükséges rendszerekre. Más kommunikációs kísérletek le vannak tiltva.

Megjegyzés

Storage tűzfalakról az Azure Storage biztonsági áttekintését ismertető cikk nyújt tájékoztatást

Hálózati biztonsági szabályok (NSG-k)

Ha alapszintű hálózati szintű hozzáférés-vezérlésre van szüksége (AZ IP-cím és a TCP- vagy UDP-protokollok alapján), használhat hálózati biztonsági csoportokat (NSG-ket). Az NSG egy alapszintű, állapotalapú, csomagszűrési tűzfal, amely lehetővé teszi a hozzáférés ötrekordos szabályozását. Az NSG-k olyan funkciókat tartalmaznak, amelyek leegyszerűsítik a felügyeletet, és csökkentik a konfigurációs hibák esélyét:

  • A kibővített biztonsági szabályok leegyszerűsítik az NSG-szabálydefiníciót, és lehetővé teszik összetett szabályok létrehozását ahelyett, hogy több egyszerű szabályt kellene létrehozniuk ugyanannak az eredménynek az eléréséhez.
  • A szolgáltatáscímkék olyan Microsoft által létrehozott címkék, amelyek IP-címek egy csoportját jelölik. Dinamikusan frissülnek, hogy olyan IP-címtartományokat tartalmazzanak, amelyek megfelelnek a címkébe való belefoglalást meghatározó feltételeknek. Ha például olyan szabályt szeretne létrehozni, amely a keleti régióban található összes Azure Storage-ra vonatkozik, használhatja Storage. EastUS
  • Az alkalmazásbiztonsági csoportok lehetővé teszik az erőforrások alkalmazáscsoportokban való üzembe helyezését és az erőforrásokhoz való hozzáférés szabályozását az adott alkalmazáscsoportokat használó szabályok létrehozásával. Ha például webkiszolgálókat telepített a "Webservers" alkalmazáscsoportba, létrehozhat egy szabályt, amely egy NSG-t alkalmaz, amely 443 forgalmat engedélyez az internetről a "Webservers" alkalmazáscsoport összes rendszerére.

Az NSG-k nem biztosítanak alkalmazásréteg-ellenőrzést vagy hitelesített hozzáférés-vezérlést.

További információ:

Felhőhöz készült Defender a virtuális gépekhez való igény szerint

Felhőhöz készült Microsoft Defender kezelheti az NSG-ket a virtuális gépeken, és zárolhatja a virtuális géphez való hozzáférést, amíg a megfelelő Azure szerepköralapú hozzáférés-vezérléssel rendelkező felhasználó nem kér hozzáférést az Azure RBAC-engedélyekhez. Ha a felhasználó sikeresen engedélyezve van, Felhőhöz készült Defender módosítja az NSG-ket, hogy a megadott ideig engedélyezze a hozzáférést a kiválasztott portokhoz. Az idő lejártakor a rendszer visszaállítja az NSG-ket a korábbi biztonságos állapotba.

További információ:

Szolgáltatásvégpontok

A szolgáltatásvégpontok egy másik módja a forgalom szabályozásának. A támogatott szolgáltatásokkal folytatott kommunikációt csak a virtuális hálózatokra korlátozhatja közvetlen kapcsolaton keresztül. A virtuális hálózat és a megadott Azure-szolgáltatás közötti forgalom a Microsoft Azure gerinchálózaton marad.

További információ:

Útvonal-vezérlés és kényszerített bújtatás

A virtuális hálózatok útválasztási viselkedésének szabályozása kritikus fontosságú. Ha az útválasztás helytelenül van konfigurálva, a virtuális gépen üzemeltetett alkalmazások és szolgáltatások jogosulatlan eszközökhöz kapcsolódhatnak, beleértve a potenciális támadók tulajdonában lévő és üzemeltetett rendszereket is.

Az Azure hálózatkezelése támogatja a virtuális hálózatok hálózati forgalmának útválasztási viselkedésének testreszabását. Ez lehetővé teszi a virtuális hálózat alapértelmezett útválasztási táblabejegyzéseinek módosítását. Az útválasztási viselkedés szabályozásával gondoskodhat arról, hogy egy adott eszközről vagy eszközcsoportról érkező összes forgalom egy adott helyen lépjen be vagy hagyja el a virtuális hálózatot.

Előfordulhat például, hogy rendelkezik egy virtuális hálózati biztonsági berendezéssel a virtuális hálózaton. Gondoskodni szeretne arról, hogy a virtuális hálózat minden bejövő és kimenő forgalma ezen a virtuális biztonsági berendezésen haladjon át. Ehhez konfigurálja a felhasználó által megadott útvonalakat (UDR-eket) az Azure-ban.

A kényszerített bújtatás olyan mechanizmus, amellyel biztosíthatja, hogy a szolgáltatások ne kezdeményezhessenek internetkapcsolatot az eszközökhöz. Vegye figyelembe, hogy ez nem azonos a bejövő kapcsolatok fogadásával, majd azok megválaszolásával. Az előtér-webkiszolgálóknak válaszolniuk kell az internetes gazdagépektől érkező kérésekre, így az internetről érkező forgalom engedélyezett ezeken a webkiszolgálókon, és a webkiszolgálók is válaszolhatnak.

Amit nem szeretne engedélyezni, az egy előtérbeli webkiszolgáló, amely kimenő kérést kezdeményez. Az ilyen kérések biztonsági kockázatot jelenthetnek, mivel ezek a kapcsolatok kártevők letöltésére használhatók. Még ha azt is szeretné, hogy ezek az előtér-kiszolgálók kimenő kéréseket kezdeményezhessenek az internetre, kényszerítheti őket a helyszíni webes proxykon való áthaladásukra. Ez lehetővé teszi az URL-szűrés és -naplózás előnyeit.

Ehelyett a kényszerített bújtatást kellene használnia ennek megakadályozására. A kényszerített bújtatás engedélyezésekor az összes internetkapcsolat a helyszíni átjárón keresztül lesz kényszerítve. A kényszerített bújtatás konfigurálásához használja ki az UDR-eket.

További információ:

Virtuális hálózati biztonsági berendezések

Bár az NSG-k, UDR-ek és kényszerített bújtatások biztonsági szintet biztosítanak az OSI-modell hálózati és átviteli rétegei számára, érdemes lehet a hálózatnál magasabb szinteken is engedélyezni a biztonságot.

A biztonsági követelmények közé tartozhatnak például a következők:

  • Hitelesítés és engedélyezés az alkalmazáshoz való hozzáférés engedélyezése előtt
  • Behatolásészlelés és behatolási válasz
  • Alkalmazásréteg-vizsgálat magas szintű protokollokhoz
  • URL-szűrés
  • Hálózati szintű víruskereső és kártevőirtó
  • Robotok elleni védelem
  • Alkalmazáshozzáférés-vezérlés
  • További DDoS-védelem (az Azure-háló által biztosított DDoS-védelem felett)

Ezeket a továbbfejlesztett hálózati biztonsági funkciókat egy Azure-partnermegoldás használatával érheti el. A legfrissebb Azure-partnerhálózati biztonsági megoldásokat a Azure Marketplace felkeresve, a "biztonság" és a "hálózati biztonság" kifejezésre keresve találhatja meg.

Azure Firewall

Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít az Azure-ban futó felhőalapú számítási feladatok számára. Egy teljes mértékben állapotalapú tűzfalszolgáltatás, beépített magas rendelkezésre állással és korlátlan felhőméretezhetőséggel. Kelet-nyugati és észak-déli közlekedési ellenőrzést is biztosít.

Azure Firewall két termékváltozatban érhető el: Standard és Prémium. Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. Azure Firewall Prémium speciális képességeket biztosít, például aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését adott minták keresésével.

További információ:

Biztonságos távelérés és létesítmények közötti kapcsolat

Az Azure-erőforrások beállítását, konfigurálását és kezelését távolról kell elvégezni. Emellett érdemes lehet olyan hibrid informatikai megoldásokat is üzembe helyezni, amelyek összetevői a helyszínen és az Azure nyilvános felhőben vannak. Ezek a forgatókönyvek biztonságos távelérést igényelnek.

Az Azure hálózatkezelése a következő biztonságos távelérési forgatókönyveket támogatja:

  • egyéni munkaállomások Csatlakozás virtuális hálózathoz
  • A helyszíni hálózat Csatlakozás VPN-t tartalmazó virtuális hálózatra
  • a helyszíni hálózat Csatlakozás egy dedikált WAN-kapcsolattal rendelkező virtuális hálózatra
  • virtuális hálózatok egymáshoz Csatlakozás

egyéni munkaállomások Csatlakozás virtuális hálózathoz

Előfordulhat, hogy lehetővé szeretné tenni, hogy az egyes fejlesztők vagy üzemeltetési munkatársak felügyelhessék az Azure-beli virtuális gépeket és szolgáltatásokat. Tegyük fel például, hogy hozzáférésre van szüksége egy virtuális hálózaton lévő virtuális géphez. A biztonsági szabályzat azonban nem engedélyezi az RDP- vagy SSH-távoli hozzáférést az egyes virtuális gépekhez. Ebben az esetben pont –hely VPN-kapcsolatot használhat.

A pont–hely VPN-kapcsolat lehetővé teszi privát és biztonságos kapcsolat beállítását a felhasználó és a virtuális hálózat között. A VPN-kapcsolat létrehozásakor a felhasználó RDP-t vagy SSH-t használhat a VPN-kapcsolaton keresztül a virtuális hálózat bármely virtuális gépére. (Ez feltételezi, hogy a felhasználó hitelesíthet és jogosult.) A pont–hely VPN a következőket támogatja:

  • Secure Socket Tunneling Protocol (SSTP), egy védett SSL-alapú VPN-protokoll. Az SSL VPN-megoldások képesek áthatolni a tűzfalakon, mivel a legtöbb tűzfal a 443-os TCP-portot nyitja meg, amelyet a TLS/SSL használ. Az SSTP csak Windows eszközökön támogatott. Az Azure támogatja az SSTP-t (Windows 7-es és újabb) Windows összes verzióját.

  • IKEv2 VPN, egy szabványalapú IPsec VPN-megoldás. Az IKEv2 VPN segítségével Macről is lehetségessé válik a csatlakozás (OSX 10.11-es vagy újabb verziók használata esetén).

  • OpenVPN

További információ:

A helyszíni hálózat Csatlakozás VPN-t tartalmazó virtuális hálózatra

Előfordulhat, hogy a teljes vállalati hálózatot vagy annak egy részét egy virtuális hálózathoz szeretné csatlakoztatni. Ez gyakori a hibrid informatikai forgatókönyvekben, ahol a szervezetek kiterjesztik helyszíni adatközpontjukat az Azure-ba. Sok esetben a szervezetek üzemeltetik egy szolgáltatás egyes részeit az Azure-ban, és a helyszíni részeket. Ezt például akkor tehetik meg, ha egy megoldás előtér-webkiszolgálókat tartalmaz az Azure-ban és a helyszíni háttéradatbázisokat. Az ilyen típusú "létesítmények közötti" kapcsolatok az Azure-ban található erőforrások felügyeletét is biztonságosabbá teszik, és olyan forgatókönyveket tesznek lehetővé, mint az Active Directory-tartományvezérlők kiterjesztése az Azure-ba.

Ennek egyik módja egy helyek közötti VPN használata. A helyek közötti VPN és a pont–hely VPN közötti különbség az, hogy az utóbbi egyetlen eszközt csatlakoztat egy virtuális hálózathoz. A helyek közötti VPN egy teljes hálózatot (például a helyszíni hálózatot) csatlakoztat egy virtuális hálózathoz. A virtuális hálózatok helyek közötti VPN-jei a rendkívül biztonságos IPsec-alagút módú VPN-protokollt használják.

További információ:

A pont–hely és a helyek közötti VPN-kapcsolatok hatékonyak a létesítmények közötti kapcsolatok engedélyezéséhez. Egyes szervezetek azonban a következő hátrányokkal rendelkeznek:

  • A VPN-kapcsolatok az interneten keresztül helyezik át az adatokat. Ez elérhetővé teszi ezeket a kapcsolatokat az adatok nyilvános hálózaton keresztüli áthelyezésével kapcsolatos lehetséges biztonsági problémáknak. Emellett az internetkapcsolatok megbízhatósága és rendelkezésre állása nem garantálható.
  • Előfordulhat, hogy a virtuális hálózatokkal létesített VPN-kapcsolatok nem rendelkeznek bizonyos alkalmazásokhoz és célokhoz szükséges sávszélességtel, mivel ezek maximális mérete körülbelül 200 Mbps.

Azok a szervezetek, amelyeknek a létesítmények közötti kapcsolataikhoz a legmagasabb szintű biztonságra és rendelkezésre állásra van szükségük, általában dedikált WAN-hivatkozásokat használnak a távoli helyekhez való csatlakozáshoz. Az Azure lehetővé teszi egy dedikált WAN-kapcsolat használatát, amellyel csatlakoztathatja a helyszíni hálózatot egy virtuális hálózathoz. Ezt az Azure ExpressRoute, a közvetlen expressz útvonal és az Express route globális elérése teszi lehetővé.

További információ:

virtuális hálózatok egymáshoz Csatlakozás

Az üzemelő példányokhoz számos virtuális hálózat használható. Ennek több oka is lehet. Egyszerűsítheti a felügyeletet, vagy növelheti a biztonságot. Függetlenül attól, hogy milyen motivációt ad az erőforrások különböző virtuális hálózatokon való elhelyezéséhez, előfordulhat, hogy azt szeretné, hogy az egyes hálózatok erőforrásai csatlakozzanak egymáshoz.

Az egyik lehetőség az, hogy az egyik virtuális hálózat szolgáltatásai egy másik virtuális hálózaton lévő szolgáltatásokhoz csatlakoznak az interneten keresztüli "visszacsatolással". A kapcsolat egy virtuális hálózaton indul el, áthalad az interneten, majd visszatér a cél virtuális hálózathoz. Ez a beállítás elérhetővé teszi a kapcsolatot az internetes kommunikációban rejlő biztonsági problémákhoz.

Jobb megoldás lehet egy helyek közötti VPN létrehozása, amely két virtuális hálózat között csatlakozik. Ez a metódus ugyanazt az IPSec-alagútmódú protokollt használja, mint a fent említett helyek közötti VPN-kapcsolat.

Ennek a megközelítésnek az az előnye, hogy a VPN-kapcsolat az Azure hálózati hálón keresztül jön létre ahelyett, hogy az interneten keresztül csatlakozik. Ez egy további biztonsági réteget biztosít, szemben az interneten keresztül csatlakozó helyek közötti VPN-ekkel.

További információ:

A virtuális hálózatok összekapcsolásának másik módja a virtuális hálózatok közötti társviszony-létesítés. Ez a funkció lehetővé teszi két Azure-hálózat csatlakoztatását, hogy a microsoftos gerincinfrastruktúrán keresztül kommunikáljon anélkül, hogy az az interneten keresztül történne. A virtuális hálózatok közötti társviszony-létesítés két VNET-t csatlakoztathat ugyanabban a régióban, vagy két VNET-t az Azure-régiók között. Az NSG-k a különböző alhálózatok vagy rendszerek közötti kapcsolat korlátozására használhatók.

Rendelkezésre állás

A rendelkezésre állás minden biztonsági program kulcsfontosságú összetevője. Ha a felhasználók és a rendszerek nem férnek hozzá a hálózaton keresztüli hozzáféréshez szükséges adatokhoz, a szolgáltatás sérültnek tekinthető. Az Azure hálózatkezelési technológiái a következő magas rendelkezésre állású mechanizmusokat támogatják:

  • HTTP-alapú terheléselosztás
  • Hálózati szintű terheléselosztás
  • Globális terheléselosztás

A terheléselosztás egy olyan mechanizmus, amelynek célja a kapcsolatok egyenlő elosztása több eszköz között. A terheléselosztás céljai a következők:

  • A rendelkezésre állás növelése. Ha több eszköz közötti kapcsolatok terheléselosztását használja, egy vagy több eszköz elérhetetlenné válhat a szolgáltatás veszélyeztetése nélkül. A többi online eszközön futó szolgáltatások továbbra is kiszolgálhatják a szolgáltatás tartalmát.
  • A teljesítmény növelése. Ha több eszköz közötti kapcsolatok terheléselosztását végzi el, egyetlen eszköznek nem kell minden feldolgozást kezelnie. Ehelyett a tartalom kiszolgálásához szükséges feldolgozási és memóriaigény több eszközön is el van osztva.

HTTP-alapú terheléselosztás

A webalapú szolgáltatásokat futtató szervezetek gyakran szeretnének HTTP-alapú terheléselosztót létrehozni ezek előtt a webszolgáltatások előtt. Ez segít biztosítani a megfelelő teljesítményszintet és a magas rendelkezésre állást. A hagyományos, hálózatalapú terheléselosztók hálózati és átviteli rétegbeli protokollokra támaszkodnak. A HTTP-alapú terheléselosztók viszont a HTTP-protokoll jellemzői alapján hoznak döntéseket.

Azure Application Gateway HTTP-alapú terheléselosztást biztosít a webalapú szolgáltatásokhoz. Application Gateway a következőket támogatja:

  • Cookie-alapú munkamenet-affinitás. Ez a képesség biztosítja, hogy a terheléselosztó mögötti egyik kiszolgálóval létesített kapcsolatok érintetlenek maradjanak az ügyfél és a kiszolgáló között. Ez biztosítja a tranzakciók stabilitását.
  • TLS-kiszervezés. Amikor egy ügyfél csatlakozik a terheléselosztóhoz, a munkamenet a HTTPS (TLS) protokoll használatával lesz titkosítva. A teljesítmény növelése érdekében azonban a HTTP (titkosítatlan) protokoll használatával csatlakozhat a terheléselosztó és a terheléselosztó mögötti webkiszolgáló között. Ezt "TLS-kiszervezésnek" nevezzük, mivel a terheléselosztó mögötti webkiszolgálók nem tapasztalják a titkosítással járó processzorterhelést. A webkiszolgálók így gyorsabban tudják kiszolgálni a kéréseket.
  • URL-alapú tartalom-útválasztás. Ez a funkció lehetővé teszi, hogy a terheléselosztó döntsön arról, hogy a cél URL-cím alapján hol továbbíthatja a kapcsolatokat. Ez sokkal nagyobb rugalmasságot biztosít, mint azok a megoldások, amelyek IP-címek alapján hoznak terheléselosztási döntéseket.

További információ:

Hálózati szintű terheléselosztás

A HTTP-alapú terheléselosztással ellentétben a hálózati szintű terheléselosztás AZ IP-címek és portok (TCP- vagy UDP-) számok alapján hoz döntéseket. Az Azure-ban a hálózati szintű terheléselosztás előnyeit az Azure Load Balancer használatával érheti el. A Load Balancer néhány fő jellemzője:

  • Hálózati szintű terheléselosztás IP-cím és portszámok alapján.
  • Bármely alkalmazásrétegbeli protokoll támogatása.
  • Terheléselosztás azure-beli virtuális gépekre és felhőszolgáltatások szerepkörpéldányokra.
  • Internetkapcsolattal rendelkező (külső terheléselosztás) és nem internetkapcsolattal rendelkező (belső terheléselosztási) alkalmazásokhoz és virtuális gépekhez egyaránt használható.
  • Végpontmonitorozás, amely annak megállapítására szolgál, hogy a terheléselosztó mögötti szolgáltatások bármelyike elérhetetlenné vált-e.

További információ:

Globális terheléselosztás

Egyes szervezetek a lehető legmagasabb szintű rendelkezésre állást szeretnék elérni. Ennek a célnak az egyik módja, ha globálisan elosztott adatközpontokban üzemeltet alkalmazásokat. Ha egy alkalmazást a világ minden táján található adatközpontokban üzemeltetnek, lehetséges, hogy egy teljes geopolitikai régió elérhetetlenné válik, és az alkalmazás továbbra is működőképes marad.

Ez a terheléselosztási stratégia teljesítménybeli előnyökkel is járhat. A szolgáltatásra vonatkozó kéréseket a kérést küldő eszközhöz legközelebbi adatközpontba irányíthatja.

Az Azure-ban az Azure Traffic Manager használatával élvezheti a globális terheléselosztás előnyeit.

További információ:

Névfeloldás

A névfeloldás kritikus fontosságú függvény az Azure-ban üzemeltetett összes szolgáltatáshoz. Biztonsági szempontból a névfeloldási funkció feltörése azt eredményezheti, hogy egy támadó átirányítja a kéréseket a webhelyekről a támadó webhelyére. A biztonságos névfeloldás követelmény az összes felhőben üzemeltetett szolgáltatás számára.

A névfeloldásnak két típusát kell kezelnie:

  • Belső névfeloldás. Ezt a virtuális hálózatok, a helyszíni hálózatok vagy mindkettő szolgáltatásai használják. A belső névfeloldáshoz használt nevek nem érhetők el az interneten keresztül. Az optimális biztonság érdekében fontos, hogy a belső névfeloldási séma ne legyen elérhető a külső felhasználók számára.
  • Külső névfeloldás. Ezt a helyszíni hálózatokon és virtuális hálózatokon kívüli személyek és eszközök használják. Ezek azok a nevek, amelyek láthatók az interneten, és a felhőalapú szolgáltatásokhoz való közvetlen kapcsolódásra szolgálnak.

A belső névfeloldáshoz két lehetősége van:

  • Egy virtuális hálózati DNS-kiszolgáló. Új virtuális hálózat létrehozásakor létrejön egy DNS-kiszolgáló. Ez a DNS-kiszolgáló fel tudja oldani a virtuális hálózaton található gépek nevét. Ez a DNS-kiszolgáló nem konfigurálható, az Azure Fabric Manager felügyeli, ezért segíthet a névfeloldási megoldás védelmében.
  • Saját DNS-kiszolgáló használata. Lehetősége van saját MAGA által választott DNS-kiszolgálót elhelyezni a virtuális hálózaton. Ez a DNS-kiszolgáló lehet egy Active Directory integrált DNS-kiszolgáló, vagy egy Azure-partner által biztosított dedikált DNS-kiszolgálói megoldás, amelyet a Azure Marketplace szerezhet be.

További információ:

Külső névfeloldáshoz két lehetőség közül választhat:

  • Saját külső DNS-kiszolgálót üzemeltethet a helyszínen.
  • Saját külső DNS-kiszolgálót üzemeltethet egy szolgáltatónál.

Számos nagy szervezet üzemeltet saját DNS-kiszolgálót a helyszínen. Ezt azért tehetik meg, mert rendelkeznek hálózati szakértelemmel és globális jelenléttel ehhez.

A legtöbb esetben jobb, ha a DNS-névfeloldási szolgáltatásokat egy szolgáltatónál üzemelteti. Ezek a szolgáltatók rendelkeznek hálózati szakértelemmel és globális jelenléttel a névfeloldási szolgáltatások magas rendelkezésre állásának biztosítása érdekében. A rendelkezésre állás elengedhetetlen a DNS-szolgáltatásokhoz, mert ha a névfeloldási szolgáltatások meghibásodnak, senki sem fogja tudni elérni az internetkapcsolattal rendelkező szolgáltatásokat.

Az Azure magas rendelkezésre állású és nagy teljesítményű külső DNS-megoldást biztosít Azure DNS formájában. Ez a külső névfeloldási megoldás kihasználja a globális Azure DNS-infrastruktúrát. Lehetővé teszi a tartomány azure-beli üzemeltetését ugyanazokkal a hitelesítő adatokkal, API-kkal, eszközökkel és számlázással, mint a többi Azure-szolgáltatás. Az Azure részeként a platformba beépített erős biztonsági vezérlőket is örökli.

További információ:

Szegélyhálózat architektúrája

Számos nagy szervezet használ szegélyhálózatokat a hálózataik szegmentálására, és pufferzónát hoz létre az internet és a szolgáltatásaik között. A hálózat szegélyhálózati része alacsony biztonsági szintű zónának minősül, és ebben a hálózati szegmensben nincs nagy értékű adategység. Általában olyan hálózati biztonsági eszközöket láthat, amelyek hálózati adapterrel rendelkeznek a szegélyhálózati szegmensen. Egy másik hálózati adapter csatlakozik egy olyan hálózathoz, amely olyan virtuális gépekkel és szolgáltatásokkal rendelkezik, amelyek fogadják az internetről bejövő kapcsolatokat.

A szegélyhálózatokat többféleképpen is megtervezheti. A szegélyhálózat üzembe helyezése, majd a használni kívánt szegélyhálózat típusa a hálózati biztonsági követelményektől függ.

További információ:

Azure DDoS Protection

Az elosztott szolgáltatásmegtagadásos (DDoS-) támadások az egyik legnagyobb rendelkezésreállási és biztonsági kockázatot jelentik az olyan felhasználók számára, akik alkalmazásaikat a felhőbe helyezik át. A DDoS-támadás megpróbálja kimeríteni az alkalmazás erőforrásait, így az alkalmazás nem érhető el a jogosult felhasználók számára. A DDoS-támadások bármilyen, az interneten keresztül nyilvánosan elérhető végpontot megcélozhatnak.

A DDoS Protection Standard funkciói a következők:

  • Natív platformintegráció: Natív módon integrálva az Azure-ba. A Azure Portal keresztüli konfigurációt is tartalmazza. A DDoS Protection Standard megérti az erőforrásokat és az erőforrások konfigurációját.
  • Kulcsrakész védelem: Az egyszerűsített konfiguráció azonnal védi a virtuális hálózat összes erőforrását, amint a DDoS Protection Standard engedélyezve van. Nincs szükség beavatkozásra vagy felhasználódefinícióra. A DDoS Protection Standard azonnal és automatikusan csökkenti a támadást, amint észleli.
  • Folyamatos forgalomfigyelés: Az alkalmazás forgalmi mintáit a rendszer a hét minden napján, napi 24 órában figyeli, és a DDoS-támadásokra utaló jeleket keres. A megoldás a védelmi szabályzatok túllépésekor történik.
  • Támadáscsökkentési jelentések A támadáscsökkentési jelentések összesített hálózati forgalmi adatokat használnak az erőforrásokra irányuló támadásokkal kapcsolatos részletes információk biztosításához.
  • A támadáscsökkentési Flow naplók támadáscsökkentési Flow a naplók lehetővé teszik az eldobott forgalom, a továbbított forgalom és más támadási adatok közel valós idejű áttekintését egy aktív DDoS-támadás során.
  • Adaptív hangolás: Az intelligens adatforgalmi profilkészítés idővel megtanulja az alkalmazás forgalmát, és kiválasztja és frissíti a szolgáltatásához legmegfelelőbb profilt. A profil az idő múlásával a forgalom változásával módosul. 3. rétegről 7. rétegre történő védelem: Teljes körű DDoS-védelmet biztosít, ha webalkalmazási tűzfallal használják.
  • Kiterjedt kockázatcsökkentési skálázás: Több mint 60 különböző támadástípus enyhíthető globális kapacitással a legnagyobb ismert DDoS-támadások elleni védelem érdekében.
  • Támadási metrikák: Az egyes támadások összesített metrikái az Azure Monitoron keresztül érhetők el.
  • Támadásriasztás: A riasztások a támadás kezdetén és végén, valamint a támadás időtartama alatt, beépített támadási metrikák használatával konfigurálhatók. A riasztások integrálhatók az operatív szoftverbe, például a Microsoft Azure monitorozási naplókba, a Splunkba, az Azure Storage, az e-mailbe és a Azure Portal.
  • Költséggarancia: Dokumentált DDoS-támadásokhoz kapcsolódó adatátviteli és alkalmazásbőség-felskálázási szolgáltatási kreditek.
  • DDoS Gyors válaszidő A DDoS Protection Standard ügyfelei mostantól aktív támadás esetén hozzáférhetnek a gyorsreagálási csapathoz. A DRR segíthet a támadások kivizsgálásában, a támadások során felmerülő egyéni kockázatcsökkentésekben és a támadás utáni elemzésekben.

További információ:

Azure Front Door

Az Azure Front Door Service lehetővé teszi a webes forgalom globális útválasztásának meghatározását, kezelését és monitorozását. Optimalizálja a forgalom útválasztását a legjobb teljesítmény és magas rendelkezésre állás érdekében. Az Azure Front Doorral egyéni webalkalmazási tűzfalszabályok (WAF-szabályok) készítésével hozzáférés-vezérlést valósíthat meg, amellyel megvédheti a HTTP/HTTPS-számítási feladatait attól, hogy feltörjék őket az ügyféloldali IP-cím, országkód és HTTP-paraméterek alapján. Emellett a Front Door lehetővé teszi sebességkorlátozó szabályok létrehozását a rosszindulatú robotforgalom elleni küzdelemhez, beleértve a TLS-kiszervezést és a HTTP-/HTTPS-kérelmeket, az alkalmazásréteg-feldolgozást.

A Front Door platformot maga az Azure infrastruktúraszintű DDoS-védelem védi. További védelemként engedélyezheti a virtuális hálózatain a Standard szintű Azure DDoS Protectiont, így automatikus finomhangolással és kárenyhítéssel megvédheti erőforrásait a hálózati rétegből érkező (TCP/UDP) támadásokkal szemben. A Front Door egy 7. rétegbeli fordított proxy, amely csak a webes forgalmat engedélyezi a háttérkiszolgálók felé, és alapértelmezés szerint más típusú forgalmat blokkol.

További információ:

Azure Traffic Manager

Az Azure Traffic Manager egy DNS-alapú forgalom-terheléselosztó, amely lehetővé teszi a szolgáltatásokhoz érkező forgalom optimális elosztását a globális Azure-régiókban, miközben magas rendelkezésre állást és válaszkészséget biztosít. A Traffic Manager DNS használatával a leginkább megfelelő szolgáltatási végpontra irányítja az ügyfélkéréseket a forgalom-útválasztási módszer és a végpont állapota alapján. A végpont egy, az Azure-on kívül vagy belül üzemeltetett, internetkapcsolattal rendelkező szolgáltatás. A Traffic Manager figyeli a végpontokat, és nem irányítja a forgalmat olyan végpontokra, amelyek nem érhetők el.

További információ:

Monitorozás és fenyegetésészlelés

Az Azure olyan képességeket biztosít, amelyekkel ezen a kulcsfontosságú területen korai észlelést, monitorozást, valamint a hálózati forgalom gyűjtését és áttekintését segíti.

Azure Network Watcher

Az Azure Network Watcher segíthet a hibaelhárításban, és egy teljesen új eszközkészletet biztosít a biztonsági problémák azonosításához.

A Biztonsági csoport nézet segít a Virtual Machines naplózásában és biztonsági megfelelőségében. Ezzel a funkcióval programozott naplózásokat hajthat végre, összehasonlítva a szervezet által meghatározott alapkonfigurációs szabályzatokat az egyes virtuális gépek hatályos szabályaival. Ez segíthet azonosítani a konfiguráció eltérését.

A csomagrögzítés lehetővé teszi a virtuális gép felé és onnan érkező hálózati forgalom rögzítését. Hálózati statisztikákat gyűjthet, és elháríthatja az alkalmazásokkal kapcsolatos problémákat, amelyek felbecsülhetetlen értékűek lehetnek a hálózati behatolások kivizsgálása során. Ezt a funkciót a Azure Functions együtt is használhatja a hálózati rögzítések adott Azure-riasztásokra adott válaszként történő elindításához.

Az Network Watcher és a tesztkörnyezet egyes funkcióinak tesztelésének megkezdéséről az Azure Network Watcher monitorozási áttekintésében talál további információt.

Megjegyzés

A szolgáltatás elérhetőségével és állapotával kapcsolatos legfrissebb értesítésekért tekintse meg az Azure-frissítések oldalát.

Microsoft Defender for Cloud

Felhőhöz készült Microsoft Defender segít megelőzni, észlelni és reagálni a fenyegetésekre, valamint nagyobb átláthatóságot és irányítást biztosít az Azure-erőforrások biztonságáról. Integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben, segít észlelni az egyébként észrevétlen fenyegetéseket, és számos biztonsági megoldással együttműködik.

Felhőhöz készült Defender segítségével optimalizálhatja és figyelheti a hálózati biztonságot:

  • Hálózati biztonsági javaslatok megadása.
  • A hálózati biztonsági konfiguráció állapotának figyelése.
  • Riasztást küld a hálózatalapú fenyegetésekről, mind a végponton, mind a hálózati szinten.

További információ:

VIRTUAL NETWORK KOPPINTÁS

Az Azure-beli virtuális hálózati TAP (terminálelérési pont) lehetővé teszi, hogy folyamatosan streamelje a virtuális gép hálózati forgalmát egy hálózati csomaggyűjtő vagy -elemző eszköz felé. A gyűjtőt vagy az elemzési eszközt egy hálózati virtuális berendezés-partner biztosítja. Ugyanazt a virtuális hálózati TAP-erőforrást használhatja az azonos vagy eltérő előfizetésekben lévő több hálózati adapter forgalmának összesítéséhez.

További információ:

Naplózás

A hálózati szintű naplózás minden hálózati biztonsági forgatókönyv kulcsfontosságú funkciója. Az Azure-ban naplózhatja az NSG-khez beszerzett információkat a hálózati szintű naplózási információk lekéréséhez. Az NSG-naplózással a következő információkhoz juthat:

  • Tevékenységnaplók. Ezekkel a naplókkal megtekintheti az Azure-előfizetéseinek küldött összes műveletet. Ezek a naplók alapértelmezés szerint engedélyezve vannak, és használhatók a Azure Portal. Ezeket korábban audit- vagy működési naplóknak nevezték.
  • Eseménynaplók. Ezek a naplók információt nyújtanak arról, hogy milyen NSG-szabályokat alkalmaztak.
  • Számlálónaplók. Ezek a naplók jelzik, hogy hányszor alkalmazták az egyes NSG-szabályokat a forgalom megtagadására vagy engedélyezésére.

A Naplók megtekintéséhez és elemzéséhez a Microsoft Power BI, egy hatékony adatvizualizációs eszköz is használható. További információ: