Az Azure hálózati biztonságának áttekintése

A hálózati biztonság úgy definiálható, mint az erőforrások jogosulatlan hozzáféréssel vagy támadással szembeni védelmének folyamata, amely vezérlőket alkalmaz a hálózati forgalomra. A cél annak biztosítása, hogy csak a jogszerű forgalom engedélyezett legyen. Az Azure egy robusztus hálózati infrastruktúrát tartalmaz, amely támogatja az alkalmazás- és szolgáltatáskapcsolati követelményeket. Hálózati kapcsolat lehetséges az Azure-ban található erőforrások, a helyszíni és az Azure által üzemeltetett erőforrások, valamint az internet és az Azure között.

Ez a cikk az Azure által a hálózati biztonság területén kínált néhány lehetőséget ismerteti. Az alábbiakról tudhat meg többet:

  • Azure-hálózatkezelés
  • Hálózati hozzáférés-vezérlés
  • Azure Firewall
  • Biztonságos távelérés és létesítmények közötti kapcsolat
  • Rendelkezésre állás
  • Névfeloldás
  • Szegélyhálózati (DMZ) architektúra
  • Azure DDoS Protection
  • Azure Front Door
  • Traffic Manager
  • Monitorozás és fenyegetésészlelés

Azure-hálózatkezelés

Az Azure-nak virtuális gépeket kell csatlakoztatnia egy Azure-Virtual Network. A virtuális hálózat egy logikai szerkezet, amely a fizikai Azure hálózati hálóra épül. Minden virtuális hálózat el van különítve az összes többi virtuális hálózattól. Ez segít biztosítani, hogy az üzemelő példányok hálózati forgalma ne legyen elérhető más Azure-ügyfelek számára.

További információ:

Hálózati hozzáférés-vezérlés

A hálózati hozzáférés-vezérlés a virtuális hálózaton belüli adott eszközökhöz vagy alhálózatokhoz való csatlakozás korlátozására szolgál. A hálózati hozzáférés-vezérlés célja, hogy a virtuális gépekhez és szolgáltatásokhoz való hozzáférést a jóváhagyott felhasználókra és eszközökre korlátozza. A hozzáférés-vezérlés olyan döntéseken alapul, amelyek engedélyezik vagy letiltják a virtuális géphez vagy szolgáltatáshoz való csatlakozást.

Az Azure számos hálózati hozzáférés-vezérlési típust támogat, például:

  • Hálózati réteg vezérlése
  • Útvonal-vezérlés és kényszerített bújtatás
  • Virtuális hálózati biztonsági berendezések

Hálózati réteg vezérlése

Minden biztonságos üzembe helyezéshez szükség van a hálózati hozzáférés-vezérlés bizonyos mértékére. A hálózati hozzáférés-vezérlés célja a virtuális gépek kommunikációjának korlátozása a szükséges rendszerekre. Az egyéb kommunikációs kísérletek le vannak tiltva.

Megjegyzés

A Storage-tűzfalakról az Azure Storage biztonsági áttekintését ismertető cikk nyújt tájékoztatást

Hálózati biztonsági szabályok (NSG-k)

Ha alapszintű hálózati szintű hozzáférés-vezérlésre van szüksége (az IP-cím és a TCP- vagy UDP-protokollok alapján), használhatja a hálózati biztonsági csoportokat (NSG-ket). Az NSG egy alapszintű, állapotalapú csomagszűrési tűzfal, amely lehetővé teszi a hozzáférés vezérlését 5 rekord alapján. Az NSG-k olyan funkciókat tartalmaznak, amelyek leegyszerűsítik a felügyeletet, és csökkentik a konfigurációs hibák esélyét:

  • A kibővített biztonsági szabályok leegyszerűsítik az NSG-szabálydefiníciót, és lehetővé teszik összetett szabályok létrehozását ahelyett, hogy több egyszerű szabályt kellene létrehozniuk ugyanannak az eredménynek a eléréséhez.
  • A szolgáltatáscímkék olyan Microsoft által létrehozott címkék, amelyek IP-címek egy csoportját jelölik. Dinamikusan frissülnek, hogy tartalmazzák azokat az IP-címtartományokat, amelyek megfelelnek a címkébe való felvételt meghatározó feltételeknek. Ha például olyan szabályt szeretne létrehozni, amely a keleti régióban található összes Azure Storage-ra vonatkozik, használhatja a Storage.EastUS parancsot.
  • Az alkalmazásbiztonsági csoportok lehetővé teszik az erőforrások alkalmazáscsoportokban való üzembe helyezését és az erőforrásokhoz való hozzáférés szabályozását az adott alkalmazáscsoportokat használó szabályok létrehozásával. Ha például webkiszolgálók vannak üzembe helyezve a "Webservers" alkalmazáscsoportban, létrehozhat egy szabályt, amely egy NSG-t alkalmaz, amely 443 forgalmat engedélyez az internetről a "Webservers" alkalmazáscsoport összes rendszerére.

Az NSG-k nem biztosítanak alkalmazásréteg-ellenőrzést vagy hitelesített hozzáférés-vezérlést.

További információ:

A Felhőhöz készült Defender igény szerint hozzáfér a virtuális gépekhez

Microsoft Defender a felhőben kezelheti a virtuális gépek NSG-it, és zárolhatja a virtuális géphez való hozzáférést, amíg a megfelelő Azure szerepköralapú hozzáférés-vezérléssel rendelkező felhasználó nem kér hozzáférést az Azure RBAC-engedélyekhez. Ha a felhasználó sikeresen engedélyezte a Defender for Cloudot, módosításokat tesz az NSG-ken, hogy a megadott ideig engedélyezhesse a kiválasztott portokhoz való hozzáférést. Az idő lejártakor a rendszer visszaállítja az NSG-ket a korábbi biztonságos állapotukba.

További információ:

Szolgáltatásvégpontok

A szolgáltatásvégpontok egy másik módja a forgalom vezérlésének. A támogatott szolgáltatásokkal folytatott kommunikációt csak a virtuális hálózatokra korlátozhatja közvetlen kapcsolaton keresztül. A virtuális hálózatról a megadott Azure-szolgáltatásra érkező forgalom a Microsoft Azure gerinchálózatán marad.

További információ:

Útvonal-vezérlés és kényszerített bújtatás

A virtuális hálózatok útválasztási viselkedésének szabályozása kritikus fontosságú. Ha az útválasztás helytelenül van konfigurálva, a virtuális gépen üzemeltetett alkalmazások és szolgáltatások jogosulatlan eszközökhöz kapcsolódhatnak, beleértve a potenciális támadók tulajdonában lévő és üzemeltetett rendszereket is.

Az Azure hálózatkezelése támogatja a virtuális hálózatok hálózati forgalmának útválasztási viselkedésének testreszabását. Ez lehetővé teszi a virtuális hálózat alapértelmezett útválasztási táblabejegyzéseinek módosítását. Az útválasztási viselkedés szabályozásával gondoskodhat arról, hogy egy adott eszközről vagy eszközcsoportról érkező összes forgalom egy adott helyen keresztül lépjen be vagy hagyja el a virtuális hálózatot.

Előfordulhat például, hogy egy virtuális hálózati biztonsági berendezés található a virtuális hálózaton. Győződjön meg arról, hogy a virtuális hálózatra érkező és onnan érkező összes forgalom áthalad a virtuális biztonsági berendezésen. Ehhez konfigurálja a felhasználó által megadott útvonalakat (UDR-eket) az Azure-ban.

A kényszerített bújtatás olyan mechanizmus, amellyel biztosítható, hogy a szolgáltatások ne kezdeményezhessenek internetkapcsolatot az eszközökkel. Vegye figyelembe, hogy ez nem azonos a bejövő kapcsolatok elfogadásával, majd azok megválaszolásával. Az előtér-webkiszolgálóknak válaszolniuk kell az internetes gazdagépek kéréseire, így az internetről érkező forgalom engedélyezve van ezekre a webkiszolgálókra, és a webkiszolgálók válaszolhatnak.

Amit nem szeretne engedélyezni, az egy előtér-webkiszolgáló, amely kimenő kérést kezdeményez. Az ilyen kérések biztonsági kockázatot jelenthetnek, mivel ezek a kapcsolatok kártevők letöltésére használhatók. Még ha azt is szeretné, hogy ezek az előtérbeli kiszolgálók kimenő kéréseket kezdeményezhessenek az internetre, kényszerítheti őket a helyszíni webes proxykon való áthaladásukra. Ez lehetővé teszi az URL-szűrés és -naplózás előnyeit.

Ehelyett a kényszerített bújtatást kellene használnia ennek megakadályozására. Ha engedélyezi a kényszerített bújtatást, az összes internetkapcsolat a helyszíni átjárón keresztül lesz kényszerítve. A kényszerített bújtatást az UDR-ek használatával konfigurálhatja.

További információ:

Virtuális hálózati biztonsági berendezések

Bár az NSG-k, UDR-ek és kényszerített bújtatások biztosítják az OSI-modell hálózati és átviteli rétegeinek biztonságát, érdemes lehet a hálózatnál magasabb szinten is engedélyezni a biztonságot.

A biztonsági követelmények közé tartozhatnak például a következők:

  • Hitelesítés és engedélyezés az alkalmazáshoz való hozzáférés engedélyezése előtt
  • Behatolásészlelés és behatolási válasz
  • Alkalmazásréteg-vizsgálat magas szintű protokollokhoz
  • URL-szűrés
  • Hálózati szintű víruskereső és kártevőirtó
  • Robotvédelem
  • Alkalmazáshozzáférés-vezérlés
  • További DDoS-védelem (az Azure Fabric által biztosított DDoS-védelem felett)

Ezeket a továbbfejlesztett hálózati biztonsági funkciókat egy Azure-partnermegoldás használatával érheti el. A legfrissebb Azure-partnerhálózati biztonsági megoldásokat a Azure Marketplace felkeresve, a "biztonság" és a "hálózati biztonság" kifejezésre keresve találhatja meg.

Azure Firewall

Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít az Azure-ban futó felhőalapú számítási feladatok számára. Egy teljes mértékben állapotalapú tűzfalszolgáltatás, beépített magas rendelkezésre állással és korlátlan felhőméretezhetőséggel. Kelet-nyugati és észak-déli forgalomvizsgálatot is biztosít.

Azure Firewall két termékváltozatban érhető el: Standard és Premium. Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. Azure Firewall Premium speciális képességeket biztosít, például aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését adott minták keresésével.

További információ:

Biztonságos távelérés és létesítmények közötti kapcsolat

Az Azure-erőforrások beállítását, konfigurálását és kezelését távolról kell elvégezni. Emellett érdemes lehet olyan hibrid informatikai megoldásokat üzembe helyezni, amelyek összetevői a helyszínen és az Azure nyilvános felhőben vannak. Ezek a forgatókönyvek biztonságos távelérést igényelnek.

Az Azure-hálózatkezelés a következő biztonságos távelérési forgatókönyveket támogatja:

  • Különálló munkaállomások csatlakoztatása virtuális hálózathoz
  • A helyszíni hálózat csatlakoztatása virtuális hálózathoz VPN-lel
  • A helyszíni hálózat csatlakoztatása egy dedikált WAN-kapcsolattal rendelkező virtuális hálózathoz
  • Virtuális hálózatok összekapcsolása egymással

Különálló munkaállomások csatlakoztatása virtuális hálózathoz

Érdemes lehet engedélyezni, hogy az egyes fejlesztők vagy üzemeltetési munkatársak felügyelhessék az Azure-beli virtuális gépeket és szolgáltatásokat. Tegyük fel például, hogy egy virtuális hálózaton lévő virtuális géphez kell hozzáférnie. A biztonsági szabályzat azonban nem engedélyezi az RDP- vagy SSH-távelérést az egyes virtuális gépekhez. Ebben az esetben pont –hely VPN-kapcsolatot használhat.

A pont–hely VPN-kapcsolat lehetővé teszi privát és biztonságos kapcsolat beállítását a felhasználó és a virtuális hálózat között. A VPN-kapcsolat létrehozásakor a felhasználó RDP-t vagy SSH-t használhat a VPN-kapcsolaton keresztül a virtuális hálózat bármely virtuális gépére. (Ez feltételezi, hogy a felhasználó hitelesíthet, és jogosult rá.) A pont–hely VPN a következőket támogatja:

  • Secure Socket Tunneling Protocol (SSTP), egy védett SSL-alapú VPN-protokoll. Az SSL VPN-megoldások behatolhatnak a tűzfalakba, mivel a legtöbb tűzfal a 443-at nyitja meg, amelyet a TLS/SSL használ. Az SSTP csak Windows-eszközökön támogatott. Az Azure támogatja a Windows összes olyan verzióját, amely rendelkezik SSTP-vel (Windows 7 és újabb).

  • IKEv2 VPN, egy szabványalapú IPsec VPN-megoldás. Az IKEv2 VPN segítségével Macről is lehetségessé válik a csatlakozás (OSX 10.11-es vagy újabb verziók használata esetén).

  • OpenVPN

További információ:

A helyszíni hálózat csatlakoztatása virtuális hálózathoz VPN-lel

Előfordulhat, hogy a teljes vállalati hálózatot vagy annak egy részét egy virtuális hálózathoz szeretné csatlakoztatni. Ez gyakori a hibrid informatikai forgatókönyvekben, ahol a szervezetek kiterjesztik helyszíni adatközpontjukat az Azure-ba. Sok esetben a szervezetek üzemeltetik egy szolgáltatás egyes részeit az Azure-ban, és a helyszíni részeket. Ezt például akkor tehetik meg, ha egy megoldás előtér-webkiszolgálókat tartalmaz az Azure-ban és a helyszíni háttéradatbázisokban. Az ilyen típusú "létesítmények közötti" kapcsolatok az Azure-beli erőforrások felügyeletét is biztonságosabbá teszik, és olyan forgatókönyveket is lehetővé tesznek, mint például az Active Directory-tartományvezérlők kiterjesztése az Azure-ba.

Ennek egyik módja egy helyek közötti VPN használata. A helyek közötti VPN és a pont–hely VPN közötti különbség az, hogy az utóbbi egyetlen eszközt csatlakoztat egy virtuális hálózathoz. A helyek közötti VPN egy teljes hálózatot (például a helyszíni hálózatot) csatlakoztat egy virtuális hálózathoz. A virtuális hálózatok helyek közötti VPN-jei a rendkívül biztonságos IPsec alagútmódú VPN-protokollt használják.

További információ:

A pont–hely kapcsolatok és a helyek közötti VPN-kapcsolatok hatékonyak a létesítmények közötti kapcsolatok engedélyezéséhez. Egyes szervezetek azonban úgy vélik, hogy a következő hátrányaik vannak:

  • A VPN-kapcsolatok az interneten keresztül helyezik át az adatokat. Ez elérhetővé teszi ezeket a kapcsolatokat az adatok nyilvános hálózaton keresztüli áthelyezésével kapcsolatos lehetséges biztonsági problémáknak. Emellett az internetkapcsolatok megbízhatósága és rendelkezésre állása nem garantálható.
  • Előfordulhat, hogy a virtuális hálózatokkal létesített VPN-kapcsolatok bizonyos alkalmazások és célok esetében nem rendelkeznek a sávszélességtel, mivel ezek maximális kihasználtságuk körülbelül 200 Mbps.

A létesítmények közötti kapcsolatokhoz a legmagasabb szintű biztonságot és rendelkezésre állást igénylő szervezetek általában dedikált WAN-hivatkozásokat használnak a távoli helyekhez való csatlakozáshoz. Az Azure lehetővé teszi egy dedikált WAN-kapcsolat használatát, amellyel csatlakoztathatja a helyszíni hálózatot egy virtuális hálózathoz. Ezt az Azure ExpressRoute, a Közvetlen expressz útvonal és az Express route global reach teszi lehetővé.

További információ:

Virtuális hálózatok összekapcsolása egymással

Számos virtuális hálózat használható az üzemelő példányokhoz. Ennek számos oka lehet. Egyszerűsíteni szeretné a felügyeletet, vagy nagyobb biztonságot szeretne. Függetlenül attól, hogy milyen motivációt ad az erőforrások különböző virtuális hálózatokon való elhelyezésének, előfordulhatnak olyan esetek, amikor az egyes hálózatok erőforrásait egymással szeretné összekapcsolni.

Az egyik lehetőség az, hogy az egyik virtuális hálózaton lévő szolgáltatások egy másik virtuális hálózaton lévő szolgáltatásokhoz csatlakoznak az interneten keresztüli "visszacsatolással". A kapcsolat egy virtuális hálózaton kezdődik, az interneten keresztül halad át, majd visszatér a cél virtuális hálózathoz. Ez a beállítás elérhetővé teszi a kapcsolatot az internetes kommunikációval járó biztonsági problémákhoz.

Jobb megoldás lehet egy helyek közötti VPN létrehozása, amely két virtuális hálózat között csatlakozik. Ez a módszer ugyanazt az IPSec-alagútmódú protokollt használja, mint a fent említett helyek közötti VPN-kapcsolat.

Ennek a megközelítésnek az az előnye, hogy a VPN-kapcsolat az Azure hálózati hálón keresztül jön létre, nem pedig az interneten keresztül. Ez további biztonsági réteget biztosít, szemben az interneten keresztül csatlakozó helyek közötti VPN-ekkel.

További információ:

A virtuális hálózatok összekapcsolásának másik módja a virtuális hálózatok közötti társviszony-létesítés. Ez a funkció lehetővé teszi két Azure-hálózat összekapcsolását, hogy a kommunikáció a Microsoft gerincinfrastruktúráján keresztül történjen anélkül, hogy az interneten keresztül történne. A virtuális hálózatok közötti társviszony-létesítés két VNET-t csatlakoztathat ugyanazon a régión belül, vagy két VNET-t az Azure-régiók között. Az NSG-k a különböző alhálózatok vagy rendszerek közötti kapcsolatok korlátozására használhatók.

Rendelkezésre állás

A rendelkezésre állás minden biztonsági program kulcsfontosságú összetevője. Ha a felhasználók és a rendszerek nem tudnak hozzáférni a hálózaton keresztüli hozzáféréshez szükségeshöz, a szolgáltatás sérültnek tekinthető. Az Azure a következő magas rendelkezésre állású mechanizmusokat támogató hálózatkezelési technológiákból áll:

  • HTTP-alapú terheléselosztás
  • Hálózati szintű terheléselosztás
  • Globális terheléselosztás

A terheléselosztás egy olyan mechanizmus, amelynek célja a kapcsolatok egyenlő elosztása több eszköz között. A terheléselosztás céljai a következők:

  • A rendelkezésre állás növelése. Ha több eszköz közötti kapcsolat terheléselosztását használja, egy vagy több eszköz elérhetetlenné válhat anélkül, hogy veszélyeztetné a szolgáltatást. A többi online eszközön futó szolgáltatások továbbra is kiszolgálhatják a szolgáltatás tartalmát.
  • A teljesítmény növelése. Ha több eszköz közötti kapcsolat terheléselosztását végzi el, egyetlen eszköznek nem kell minden feldolgozást kezelnie. Ehelyett a tartalom kiszolgálásához szükséges feldolgozási és memóriaigények több eszközön is elosztva lesznek.

HTTP-alapú terheléselosztás

A webalapú szolgáltatásokat futtató szervezetek gyakran szeretnének HTTP-alapú terheléselosztót létrehozni ezek előtt a webszolgáltatások előtt. Ez segít biztosítani a megfelelő teljesítményszintet és a magas rendelkezésre állást. A hagyományos, hálózatalapú terheléselosztók hálózati és átviteli rétegbeli protokollokra támaszkodnak. A HTTP-alapú terheléselosztók viszont a HTTP-protokoll jellemzői alapján hoznak döntéseket.

Azure Application Gateway HTTP-alapú terheléselosztást biztosít a webalapú szolgáltatásokhoz. Application Gateway a következőket támogatja:

  • Cookie-alapú munkamenet-affinitás. Ez a képesség biztosítja, hogy a terheléselosztó mögötti kiszolgálók egyikével létesített kapcsolatok érintetlenek maradnak az ügyfél és a kiszolgáló között. Ez biztosítja a tranzakciók stabilitását.
  • TLS-kiszervezés. Amikor egy ügyfél csatlakozik a terheléselosztóhoz, a munkamenet a HTTPS (TLS) protokoll használatával lesz titkosítva. A teljesítmény növelése érdekében azonban a HTTP (titkosítatlan) protokollal csatlakozhat a terheléselosztó és a terheléselosztó mögötti webkiszolgáló között. Ezt "TLS-kiszervezésnek" nevezzük, mivel a terheléselosztó mögötti webkiszolgálók nem tapasztalják a titkosítással járó processzorterhelést. A webkiszolgálók így gyorsabban tudják kiszolgálni a kéréseket.
  • URL-alapú tartalom-útválasztás. Ez a funkció lehetővé teszi, hogy a terheléselosztó döntse el, hol továbbíthatja a kapcsolatokat a cél URL-cím alapján. Ez sokkal nagyobb rugalmasságot biztosít, mint azok a megoldások, amelyek IP-címek alapján hoznak terheléselosztási döntéseket.

További információ:

Hálózati szintű terheléselosztás

A HTTP-alapú terheléselosztással ellentétben a hálózati szintű terheléselosztás AZ IP-cím és a port (TCP vagy UDP) száma alapján hoz döntéseket. A hálózati szintű terheléselosztás előnyeit az Azure-ban a Azure Load Balancer használatával érheti el. A Load Balancer néhány fő jellemzője:

  • Hálózati szintű terheléselosztás IP-cím és portszámok alapján.
  • Bármely alkalmazásrétegprotokoll támogatása.
  • Terheléselosztás azure-beli virtuális gépekre és felhőszolgáltatások szerepkörpéldányokra.
  • Internetkapcsolattal rendelkező (külső terheléselosztás) és nem internetkapcsolattal rendelkező (belső terheléselosztási) alkalmazásokhoz és virtuális gépekhez egyaránt használható.
  • Végpontmonitorozás, amely annak megállapítására szolgál, hogy a terheléselosztó mögötti szolgáltatások valamelyike elérhetetlenné vált-e.

További információ:

Globális terheléselosztás

Egyes szervezetek a lehető legmagasabb szintű rendelkezésre állást szeretnék elérni. Ennek a célnak az egyik módja, ha globálisan elosztott adatközpontokban üzemeltet alkalmazásokat. Ha egy alkalmazást világszerte található adatközpontokban üzemeltetnek, lehetséges, hogy egy teljes geopolitikai régió elérhetetlenné válik, és az alkalmazás továbbra is működőképes marad.

Ez a terheléselosztási stratégia teljesítménybeli előnyöket is eredményezhet. A szolgáltatásra vonatkozó kéréseket a kérést küldő eszközhöz legközelebbi adatközpontba irányíthatja.

Az Azure-ban az Azure Traffic Manager használatával élvezheti a globális terheléselosztás előnyeit.

További információ:

Névfeloldás

A névfeloldás kritikus fontosságú függvény az Azure-ban üzemeltetett összes szolgáltatáshoz. Biztonsági szempontból a névfeloldási funkció sérülése azt eredményezheti, hogy a támadó átirányítja a kéréseket a webhelyekről a támadó webhelyére. A biztonságos névfeloldás minden felhőben üzemeltetett szolgáltatás esetében követelmény.

A névfeloldásnak két típusát kell kezelnie:

  • Belső névfeloldás. Ezt a virtuális hálózatokon, a helyszíni hálózatokon vagy mindkettőn lévő szolgáltatások használják. A belső névfeloldáshoz használt nevek nem érhetők el az interneten keresztül. Az optimális biztonság érdekében fontos, hogy a belső névfeloldási séma ne legyen elérhető a külső felhasználók számára.
  • Külső névfeloldás. Ezt a helyszíni hálózatokon és virtuális hálózatokon kívüli személyek és eszközök használják. Ezek azok a nevek, amelyek láthatók az interneten, és a felhőalapú szolgáltatásokhoz való közvetlen kapcsolódásra szolgálnak.

A belső névfeloldáshoz két lehetőség közül választhat:

  • Virtuális hálózati DNS-kiszolgáló. Új virtuális hálózat létrehozásakor létrejön egy DNS-kiszolgáló. Ez a DNS-kiszolgáló fel tudja oldani a virtuális hálózaton található gépek nevét. Ez a DNS-kiszolgáló nem konfigurálható, az Azure Fabric Manager felügyeli, ezért segíthet a névfeloldási megoldás védelmében.
  • Saját DNS-kiszolgáló használata. Lehetősége van saját maga által választott DNS-kiszolgálót elhelyezni a virtuális hálózaton. Ez a DNS-kiszolgáló lehet egy Active Directory integrált DNS-kiszolgáló vagy egy Azure-partner által biztosított dedikált DNS-kiszolgálói megoldás, amelyet a Azure Marketplace szerezhet be.

További információ:

A külső névfeloldáshoz két lehetősége van:

  • Saját külső DNS-kiszolgáló üzemeltetése a helyszínen.
  • Saját külső DNS-kiszolgálót üzemeltethet egy szolgáltatónál.

Számos nagy szervezet üzemelteti a saját DNS-kiszolgálóit a helyszínen. Ezt azért tehetik meg, mert rendelkeznek a hálózatkezelési szakértelemmel és a globális jelenléttel ehhez.

A legtöbb esetben jobb, ha a DNS-névfeloldási szolgáltatásokat egy szolgáltatónál üzemelteti. Ezek a szolgáltatók rendelkeznek a hálózati szakértelemmel és a globális jelenléttel a névfeloldási szolgáltatások magas rendelkezésre állásának biztosítása érdekében. A rendelkezésre állás elengedhetetlen a DNS-szolgáltatásokhoz, mert ha a névfeloldási szolgáltatások meghibásodnak, senki sem fogja tudni elérni az internetkapcsolattal rendelkező szolgáltatásokat.

Az Azure magas rendelkezésre állású és nagy teljesítményű külső DNS-megoldást biztosít Azure DNS formájában. Ez a külső névfeloldási megoldás kihasználja a világszerte elérhető Azure DNS-infrastruktúrát. Lehetővé teszi a tartomány azure-beli üzemeltetését ugyanazokkal a hitelesítő adatokkal, API-kkal, eszközökkel és számlázással, mint a többi Azure-szolgáltatás. Az Azure részeként a platformba beépített erős biztonsági vezérlőket is örökli.

További információ:

Szegélyhálózat architektúrája

Számos nagy szervezet használ szegélyhálózatokat a hálózataik szegmentálására, és pufferzónát hoz létre az internet és a szolgáltatásaik között. A hálózat szegélyhálózati részét alacsony biztonsági zónának tekintik, és nem helyeznek nagy értékű eszközöket az adott hálózati szegmensbe. Általában olyan hálózati biztonsági eszközöket láthat, amelyek hálózati adapterrel rendelkeznek a szegélyhálózati szegmensben. Egy másik hálózati adapter csatlakozik egy olyan hálózathoz, amely olyan virtuális gépekkel és szolgáltatásokkal rendelkezik, amelyek fogadják az internetről bejövő kapcsolatokat.

A szegélyhálózatokat többféleképpen is megtervezheti. A szegélyhálózat üzembe helyezésének, majd a szegélyhálózat típusának a használata a hálózati biztonsági követelményektől függ.

További információ:

Azure DDoS Protection

Az elosztott szolgáltatásmegtagadásos (DDoS-) támadások az egyik legnagyobb rendelkezésreállási és biztonsági kockázatot jelentik az olyan felhasználók számára, akik alkalmazásaikat a felhőbe helyezik át. Egy DDoS-támadás megpróbálja kimeríteni az alkalmazás erőforrásait, így az alkalmazás nem érhető el a jogszerű felhasználók számára. A DDoS-támadások bármilyen, az interneten keresztül nyilvánosan elérhető végpontot megcélozhatnak.

A DDoS Protection funkciói a következők:

  • Natív platformintegráció: Natívan integrálva az Azure-ba. A Azure Portal keresztüli konfigurációt is tartalmazza. A DDoS Protection megérti az erőforrásokat és az erőforrások konfigurációját.
  • Kulcsrakész védelem: Az egyszerűsített konfiguráció azonnal védi a virtuális hálózaton lévő összes erőforrást, amint a DDoS Protection engedélyezve van. Nincs szükség beavatkozásra vagy felhasználódefinícióra. A DDoS Protection azonnal és automatikusan csökkenti a támadást, amint észleli.
  • Folyamatos forgalomfigyelés: Az alkalmazás forgalmi mintáit a rendszer a hét minden napján, a nap 24 órájában figyeli, és a DDoS-támadásokra utaló jeleket keres. A kockázatcsökkentés a védelmi szabályzatok túllépésekor történik.
  • Támadáscsökkentési jelentések A támadáscsökkentési jelentések összesített hálózati folyamatadatokat használnak az erőforrásokat célzó támadások részletes információinak biztosításához.
  • Támadáscsökkentési folyamat naplói A támadáscsökkentési folyamat naplói lehetővé teszik az elvetett forgalom, a továbbított forgalom és más támadási adatok közel valós idejű áttekintését egy aktív DDoS-támadás során.
  • Adaptív hangolás: Az intelligens adatforgalmi profilkészítés idővel megtanulja az alkalmazás forgalmát, és kiválasztja és frissíti a szolgáltatásához legmegfelelőbb profilt. A profil az idő múlásával változik. 3. rétegtől a 7. rétegig történő védelem: Teljes körű DDoS-védelmet biztosít, ha webalkalmazási tűzfallal használják.
  • Kiterjedt kockázatcsökkentési skálázás: Több mint 60 különböző támadástípust lehet elhárítani globális kapacitással a legnagyobb ismert DDoS-támadások elleni védelem érdekében.
  • Támadási metrikák: Az egyes támadások összesített metrikái az Azure Monitoron keresztül érhetők el.
  • Támadásriasztás: A riasztások a támadás kezdetekor és végén, valamint a támadás időtartama alatt konfigurálhatók beépített támadási metrikák használatával. A riasztások integrálhatók az operatív szoftverbe, például a Microsoft Azure Monitor-naplókba, a Splunkba, az Azure Storage-ba, a Email és a Azure Portal.
  • Költséggarancia: A dokumentált DDoS-támadásokhoz tartozó adatátviteli és alkalmazásbőség-kiskálázási szolgáltatási kreditek.
  • A DDoS Gyors válaszideje A DDoS Protection-ügyfelek mostantól aktív támadás során hozzáférhetnek a gyorsreagálási csapathoz. A DRR segítséget nyújthat a támadás kivizsgálásában, az egyéni kockázatcsökkentésekben a támadás során és a támadás utáni elemzésekben.

További információ:

Azure Front Door

Az Azure Front Door Service lehetővé teszi a webes forgalom globális útválasztásának meghatározását, kezelését és monitorozását. Optimalizálja a forgalom útválasztását a legjobb teljesítmény és magas rendelkezésre állás érdekében. Az Azure Front Doorral egyéni webalkalmazási tűzfalszabályok (WAF-szabályok) készítésével hozzáférés-vezérlést valósíthat meg, amellyel megvédheti a HTTP/HTTPS-számítási feladatait attól, hogy feltörjék őket az ügyféloldali IP-cím, országkód és HTTP-paraméterek alapján. Emellett a Front Door lehetővé teszi sebességkorlátozási szabályok létrehozását a rosszindulatú robotforgalom elleni küzdelemhez, beleértve a TLS-kiszervezést és a HTTP/HTTPS-kérésenkénti, alkalmazásréteg-feldolgozást.

A Front Door platformot maga az Azure infrastruktúraszintű DDoS-védelem védi. A további védelem érdekében az Azure DDoS Network Protection engedélyezhető a virtuális hálózatokon, és automatikus hangolással és kockázatcsökkentéssel megvédheti az erőforrásokat a hálózati réteg (TCP/UDP) támadásaitól. A Front Door egy 7. rétegbeli fordított proxy, amely csak a webes forgalmat engedélyezi a háttérkiszolgálóknak, és alapértelmezés szerint blokkolja az egyéb típusú forgalmat.

További információ:

Azure Traffic Manager

Az Azure Traffic Manager egy DNS-alapú forgalom-terheléselosztó, amely lehetővé teszi a szolgáltatásokhoz érkező forgalom optimális elosztását a globális Azure-régiókban, miközben magas rendelkezésre állást és válaszkészséget biztosít. A Traffic Manager DNS használatával a leginkább megfelelő szolgáltatási végpontra irányítja az ügyfélkéréseket a forgalom-útválasztási módszer és a végpont állapota alapján. A végpont egy, az Azure-on kívül vagy belül üzemeltetett, internetkapcsolattal rendelkező szolgáltatás. A Traffic Manager figyeli a végpontokat, és nem irányítja a forgalmat elérhetetlen végpontokra.

További információ:

Monitorozás és fenyegetésészlelés

Az Azure olyan képességeket biztosít, amelyekkel ezen a kulcsfontosságú területen korai észlelést, monitorozást, valamint a hálózati forgalom gyűjtését és áttekintését is lehetővé teszi.

Azure Network Watcher

Az Azure Network Watcher segíthet a hibaelhárításban, és egy teljesen új eszközkészletet biztosít a biztonsági problémák azonosításához.

A Biztonsági csoport nézet segít a Virtual Machines naplózásában és biztonsági megfelelőségében. Ezzel a funkcióval programozott naplózásokat hajthat végre, összehasonlítva a szervezet által meghatározott alapkonfigurációs szabályzatokat az egyes virtuális gépek érvényes szabályaival. Ez segíthet azonosítani a konfigurációs eltéréseket.

A csomagrögzítés lehetővé teszi a virtuális gép felé és onnan érkező hálózati forgalom rögzítését. Hálózati statisztikákat gyűjthet, és elháríthatja az alkalmazásokkal kapcsolatos problémákat, amelyek felbecsülhetetlen értékűek lehetnek a hálózati behatolások vizsgálata során. Ezt a funkciót a Azure Functions együtt is használhatja a hálózatrögzítések elindításához adott Azure-riasztásokra válaszul.

A Network Watcher és a tesztkörnyezet egyes funkcióinak tesztelésének megkezdéséről az Azure Network Watcher monitorozásának áttekintése című témakörben talál további információt.

Megjegyzés

A szolgáltatás rendelkezésre állásával és állapotával kapcsolatos legfrissebb értesítésekért tekintse meg az Azure-frissítések oldalát.

Microsoft Defender for Cloud

Microsoft Defender a Felhőhöz segít megelőzni, észlelni és reagálni a fenyegetésekre, és nagyobb betekintést és ellenőrzést biztosít az Azure-erőforrások biztonságába. Integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben, segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek, és számos biztonsági megoldással működik együtt.

A Felhőhöz készült Defender az alábbiakkal segíti a hálózati biztonság optimalizálását és monitorozását:

  • Hálózati biztonsági javaslatok megadása.
  • A hálózati biztonsági konfiguráció állapotának figyelése.
  • Hálózatalapú fenyegetésekre figyelmezteti mind a végpont, mind a hálózati szinten.

További információ:

VIRTUAL NETWORK TAP

Az Azure-beli virtuális hálózati TAP (terminálhozzáférési pont) lehetővé teszi, hogy folyamatosan streamelje a virtuális gép hálózati forgalmát egy hálózati csomaggyűjtő vagy elemző eszköz felé. A gyűjtőt vagy az elemzési eszközt egy hálózati virtuális berendezési partner biztosítja. Ugyanazt a virtuális hálózati TAP-erőforrást használhatja az azonos vagy különböző előfizetésekben található több hálózati adapter forgalmának összesítéséhez.

További információ:

Naplózás

A hálózati szintű naplózás minden hálózati biztonsági forgatókönyv kulcsfontosságú funkciója. Az Azure-ban naplózhatja az NSG-khez beszerzett adatokat a hálózati szintű naplózási információk lekéréséhez. Az NSG-naplózással a következő információkhoz juthat:

  • Tevékenységnaplók. Ezekkel a naplókkal megtekintheti az Azure-előfizetéseinek küldött összes műveletet. Ezek a naplók alapértelmezés szerint engedélyezve vannak, és az Azure Portal belül használhatók. Ezeket korábban naplózási vagy működési naplóknak nevezték.
  • Eseménynaplók. Ezek a naplók információt nyújtanak arról, hogy milyen NSG-szabályokat alkalmaztak.
  • Számlálónaplók. Ezek a naplók azt jelzik, hogy hányszor alkalmazták az egyes NSG-szabályokat a forgalom megtagadására vagy engedélyezésére.

A Naplók megtekintéséhez és elemzéséhez a Microsoft Power BI hatékony adatvizualizációs eszközét is használhatja. További információ: