Best practices van Azure voor netwerkbeveiliging
In dit artikel wordt een verzameling aanbevolen procedures voor Azure besproken om uw netwerkbeveiliging te verbeteren. Deze best practices zijn afgeleid van onze ervaring met Azure-netwerken en de ervaringen van klanten zoals uzelf.
In dit artikel wordt voor elke best practice het volgende uitgelegd:
- Wat de best practice is?
- Waarom u deze best practice wilt inschakelen
- Wat kan het resultaat zijn als u de best practice niet inschakelt
- Mogelijke alternatieven voor de best practice
- Hoe u de best practice kunt inschakelen
Deze best practices zijn gebaseerd op een consensusadvies en de mogelijkheden en functiesets van Het Azure-platform, zoals deze bestaan op het moment dat dit artikel is geschreven. Meningen en technologieën veranderen in de loop van de tijd en dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.
Krachtige netwerkbesturingselementen gebruiken
U kunt virtuele Azure-machines (VM's) en apparaten verbinden met andere netwerkapparaten door ze in virtuele Azure-netwerken te plaatsen. Dat wil gezegd, u kunt virtuele netwerkinterfacekaarten verbinden met een virtueel netwerk om TCP/IP-gebaseerde communicatie tussen apparaten met netwerkfuncties toe te staan. Virtuele machines die zijn verbonden met een virtueel Azure-netwerk, kunnen verbinding maken met apparaten in hetzelfde virtuele netwerk, verschillende virtuele netwerken, internet of uw eigen on-premises netwerken.
Wanneer u uw netwerk en de beveiliging van uw netwerk plant, wordt u aangeraden het volgende te centraliseren:
- Beheer van kernnetwerkfuncties zoals ExpressRoute, virtueel netwerk en subnetinrichting en IP-adressering.
- Beheer van netwerkbeveiligingselementen, zoals functies van virtueel netwerkapparaat, zoals ExpressRoute, virtueel netwerk en subnetinrichting en IP-adressering.
Als u een algemene set beheerhulpprogramma's gebruikt om uw netwerk en de beveiliging van uw netwerk te bewaken, krijgt u duidelijk inzicht in beide. Een eenvoudige, geïntegreerde beveiligingsstrategie vermindert fouten omdat het menselijk begrip en de betrouwbaarheid van automatisering vergroot.
Subnetten logisch segmenteren
Virtuele Azure-netwerken zijn vergelijkbaar met LAN's in uw on-premises netwerk. Het idee achter een virtueel Azure-netwerk is dat u een netwerk maakt, op basis van één privé-IP-adresruimte, waarop u al uw virtuele Azure-machines kunt plaatsen. De privé-IP-adresruimten zijn beschikbaar in klasse A (10.0.0.0/8), klasse B (172.16.0.0/12) en klasse C (192.168.0.0/16) bereiken.
Best practices voor het logisch segmenteren van subnetten zijn onder andere:
Best practice: Wijs geen regels toe met een breed bereik (bijvoorbeeld toestaan 0.0.0.0 tot en met 255.255.255.255).
Details: Zorg ervoor dat probleemoplossingsprocedures het instellen van deze typen regels ontmoedigen of verbieden. Deze regels zorgen voor een foutieve beveiliging en worden vaak gevonden en misbruikt door rode teams.
Best practice: Segmenteer de grotere adresruimte in subnetten.
Detail: Gebruik op CIDR gebaseerde subnettingprincipes om uw subnetten te maken.
Best practice: Netwerktoegangsbeheer tussen subnetten maken. Routering tussen subnetten gebeurt automatisch en u hoeft routeringstabellen niet handmatig te configureren. Standaard zijn er geen netwerktoegangsbeheer tussen de subnetten die u in een virtueel Azure-netwerk maakt.
Detail: Gebruik een netwerkbeveiligingsgroep om te beschermen tegen ongevraagd verkeer in Azure-subnetten. Netwerkbeveiligingsgroepen (NSG's) zijn eenvoudige, stateful pakketinspectieapparaten. NSG's gebruiken de 5-tuple-benadering (bron-IP, bronpoort, doel-IP, doelpoort en protocol) om regels voor toestaan/weigeren voor netwerkverkeer te maken. U kunt verkeer naar en van één IP-adres, van en naar meerdere IP-adressen of van en naar hele subnetten toestaan of weigeren.
Wanneer u netwerkbeveiligingsgroepen gebruikt voor netwerktoegangsbeheer tussen subnetten, kunt u resources plaatsen die deel uitmaken van dezelfde beveiligingszone of rol in hun eigen subnetten.
Best practice: Vermijd kleine virtuele netwerken en subnetten om eenvoud en flexibiliteit te garanderen. Detail: De meeste organisaties voegen meer resources toe dan oorspronkelijk gepland en de toewijzing van adressen is arbeidsintensief. Met behulp van kleine subnetten wordt een beperkte beveiligingswaarde toegevoegd en wordt een netwerkbeveiligingsgroep aan elk subnet gekoppeld, wat overhead toevoegt. Definieer subnetten breed om ervoor te zorgen dat u flexibiliteit hebt voor groei.
Best practice: Vereenvoudig het beheer van regels voor netwerkbeveiligingsgroepen door toepassingsbeveiligingsgroepen te definiëren.
Detail: Definieer een toepassingsbeveiligingsgroep voor lijsten met IP-adressen waarvan u denkt dat deze in de toekomst kunnen veranderen of worden gebruikt in veel netwerkbeveiligingsgroepen. Zorg ervoor dat u toepassingsbeveiligingsgroepen duidelijk noemt, zodat anderen hun inhoud en doel kunnen begrijpen.
Een Zero Trust-benadering aannemen
Perimeternetwerken werken volgens de veronderstelling dat alle systemen binnen een netwerk kunnen worden vertrouwd. Maar de huidige werknemers hebben toegang tot de resources van hun organisatie vanaf elke locatie op verschillende apparaten en apps, waardoor perimeterbeveiligingscontroles niet relevant zijn. Beleidsregels voor toegangsbeheer die zich alleen richten op wie toegang heeft tot een resource, zijn niet voldoende. Om de balans tussen beveiliging en productiviteit te beheersen, moeten beveiligingsbeheerders ook rekening houden met de wijze waarop een resource wordt geopend.
Netwerken moeten zich ontwikkelen van traditionele verdediging, omdat netwerken mogelijk kwetsbaar zijn voor schendingen: een aanvaller kan een enkel eindpunt binnen de vertrouwde grens in gevaar brengen en vervolgens snel een voet aan de grond over het hele netwerk uitbreiden. Zero Trust-netwerken elimineren het concept van vertrouwen op basis van netwerklocatie binnen een perimeter. In plaats daarvan gebruiken Zero Trust-architecturen apparaat- en gebruikersvertrouwensclaims om de toegang tot organisatorische gegevens en resources te beperken. Voor nieuwe initiatieven gebruikt u Zero Trust-benaderingen die vertrouwen valideren op het moment van toegang.
Best practices zijn:
Best practice: Voorwaardelijke toegang verlenen aan resources op basis van apparaat, identiteit, controle, netwerklocatie en meer.
Detail: Met voorwaardelijke toegang van Microsoft Entra kunt u de juiste toegangsbeheer toepassen door geautomatiseerde beslissingen voor toegangsbeheer te implementeren op basis van de vereiste voorwaarden. Zie Toegang tot Azure-beheer beheren met voorwaardelijke toegang voor meer informatie.
Best practice: schakel poorttoegang alleen in nadat de werkstroom is goedgekeurd.
Detail: U kunt Just-In-Time-VM-toegang in Microsoft Defender voor Cloud gebruiken om binnenkomend verkeer naar uw Azure-VM's te vergrendelen, waardoor de blootstelling aan aanvallen wordt verminderd terwijl u zo nodig eenvoudig verbinding kunt maken met VM's.
Best practice: verwijs tijdelijke machtigingen om bevoegde taken uit te voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang kunnen krijgen nadat de machtigingen zijn verlopen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben.
Detail: Gebruik Just-In-Time-toegang in Microsoft Entra Privileged Identity Management of in een oplossing van derden om machtigingen te verlenen voor het uitvoeren van bevoorrechte taken.
Zero Trust is de volgende evolutie in netwerkbeveiliging. De status van cyberaanvallen zorgt ervoor dat organisaties de mindset 'aannemen van schending' hanteren, maar deze benadering mag niet worden beperkt. Zero Trust-netwerken beschermen bedrijfsgegevens en -resources en zorgen ervoor dat organisaties een moderne werkplek kunnen bouwen met behulp van technologieën waarmee werknemers altijd en overal productief kunnen zijn.
Routeringsgedrag beheren
Wanneer u een virtuele machine in een virtueel Azure-netwerk plaatst, kan de VIRTUELE machine verbinding maken met een andere virtuele machine in hetzelfde virtuele netwerk, zelfs als de andere VM's zich op verschillende subnetten bevinden. Dit is mogelijk omdat een verzameling systeemroutes die standaard zijn ingeschakeld, dit type communicatie toestaat. Met deze standaardroutes kunnen VM's in hetzelfde virtuele netwerk verbindingen met elkaar initiëren en met internet (alleen voor uitgaande communicatie met internet).
Hoewel de standaardsysteemroutes handig zijn voor veel implementatiescenario's, zijn er momenten waarop u de routeringsconfiguratie voor uw implementaties wilt aanpassen. U kunt het adres van de volgende hop configureren om specifieke bestemmingen te bereiken.
U wordt aangeraden door de gebruiker gedefinieerde routes te configureren wanneer u een beveiligingsapparaat voor een virtueel netwerk implementeert. We hebben het over deze aanbeveling in een latere sectie met de titel Uw kritieke Azure-serviceresources beveiligen voor alleen uw virtuele netwerken.
Notitie
Door de gebruiker gedefinieerde routes zijn niet vereist en de standaardsysteemroutes werken meestal.
Virtuele netwerkapparaten gebruiken
Netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routering kunnen een bepaalde meting van netwerkbeveiliging bieden op de netwerk- en transportlagen van het OSI-model. Maar in sommige situaties wilt u beveiliging op hoog niveau van de stack inschakelen of inschakelen. In dergelijke situaties raden we u aan virtuele netwerkbeveiligingsapparaten te implementeren die worden geleverd door Azure-partners.
Azure-netwerkbeveiligingsapparaten kunnen betere beveiliging bieden dan wat besturingselementen op netwerkniveau bieden. Netwerkbeveiligingsmogelijkheden van virtuele netwerkbeveiligingsapparaten zijn onder andere:
- Firewalling
- Inbraakdetectie/inbraakpreventie
- Beheer van beveiligingsproblemen
- Toepassingsbeheer
- Anomaliedetectie op basis van het netwerk
- Webfiltering
- Antivirus
- Botnet-beveiliging
Als u beschikbare virtuele Azure-netwerkbeveiligingsapparaten wilt vinden, gaat u naar Azure Marketplace en zoekt u naar 'beveiliging' en 'netwerkbeveiliging'.
Perimeternetwerken implementeren voor beveiligingszones
Een perimeternetwerk (ook wel dmz genoemd) is een fysiek of logisch netwerksegment dat een extra beveiligingslaag biedt tussen uw assets en internet. Gespecialiseerde apparaten voor netwerktoegangsbeheer aan de rand van een perimeternetwerk staan alleen gewenst verkeer toe in uw virtuele netwerk.
Perimeternetwerken zijn handig omdat u zich kunt richten op het beheer van netwerktoegangsbeheer, bewaking, logboekregistratie en rapportage op de apparaten aan de rand van uw virtuele Azure-netwerk. Een perimeternetwerk is waar u doorgaans DDoS-beveiliging (Distributed Denial of Service) inschakelt, inbraakdetectie-/inbraakpreventiesystemen (IDS/IPS), firewallregels en beleid, webfiltering, netwerk antimalware en meer. De netwerkbeveiligingsapparaten bevinden zich tussen internet en uw virtuele Azure-netwerk en hebben een interface op beide netwerken.
Hoewel dit het basisontwerp van een perimeternetwerk is, zijn er veel verschillende ontwerpen, zoals back-to-back, tri-homed en multi-homed.
Op basis van het eerder genoemde Zero Trust-concept raden we u aan om een perimeternetwerk te gebruiken voor alle implementaties met hoge beveiliging om het niveau van netwerkbeveiliging en toegangsbeheer voor uw Azure-resources te verbeteren. U kunt Azure of een externe oplossing gebruiken om een extra beveiligingslaag te bieden tussen uw assets en internet:
- Systeemeigen Besturingselementen van Azure. Azure Firewall en Azure Web Application Firewall bieden basisbeveiligingsvoordelen. Voordelen zijn een volledig stateful firewall als een service, ingebouwde hoge beschikbaarheid, onbeperkte schaalbaarheid van de cloud, FQDN-filtering, ondersteuning voor OWASP-kernregelsets en eenvoudige installatie en configuratie.
- Aanbiedingen van derden. Zoek in Azure Marketplace naar firewalls van de volgende generatie (NGFW) en andere aanbiedingen van derden die vertrouwde beveiligingshulpprogramma's en verbeterde netwerkbeveiligingsniveaus bieden. Configuratie kan complexer zijn, maar met een aanbieding van derden kunt u mogelijk bestaande mogelijkheden en vaardighedensets gebruiken.
Blootstelling aan internet vermijden met toegewezen WAN-koppelingen
Veel organisaties hebben gekozen voor de hybride IT-route. Met hybride IT zijn sommige informatieassets van het bedrijf in Azure en blijven andere on-premises. In veel gevallen worden sommige onderdelen van een service uitgevoerd in Azure terwijl andere onderdelen on-premises blijven.
In een hybride IT-scenario is er meestal een type cross-premises connectiviteit. Met cross-premises connectiviteit kan het bedrijf de on-premises netwerken verbinden met virtuele Azure-netwerken. Er zijn twee cross-premises connectiviteitsoplossingen beschikbaar:
- Site-naar-site-VPN. Het is een vertrouwde, betrouwbare en gevestigde technologie, maar de verbinding vindt plaats via internet. Bandbreedte is beperkt tot maximaal 1,25 Gbps. Site-naar-site-VPN is een wenselijke optie in sommige scenario's.
- Azure ExpressRoute. U wordt aangeraden ExpressRoute te gebruiken voor uw cross-premises connectiviteit. Met ExpressRoute kunt u uw on-premises netwerken uitbreiden naar de Microsoft Cloud via een privéverbinding van een connectiviteitsprovider. Met ExpressRoute kunt u verbindingen tot stand brengen met Microsoft-cloudservices zoals Azure, Microsoft 365 en Dynamics 365. ExpressRoute is een toegewezen WAN-koppeling tussen uw on-premises locatie of een Microsoft Exchange-hostingprovider. Omdat dit een telco-verbinding is, worden uw gegevens niet via internet verzonden, zodat deze niet worden blootgesteld aan de potentiële risico's van internetcommunicatie.
De locatie van uw ExpressRoute-verbinding kan van invloed zijn op de firewallcapaciteit, schaalbaarheid, betrouwbaarheid en zichtbaarheid van netwerkverkeer. U moet bepalen waar ExpressRoute moet worden beëindigd in bestaande (on-premises) netwerken. U kunt:
- Beëindigen buiten de firewall (het perimeternetwerkparadigma). Gebruik deze aanbeveling als u inzicht in het verkeer nodig hebt, als u een bestaande procedure voor het isoleren van datacenters wilt voortzetten of als u alleen extranetresources in Azure plaatst.
- Beëindigen binnen de firewall (het paradigma van de netwerkextensie). Dit is de standaardaanaanveling. In alle andere gevallen raden we u aan Azure als een ander datacenter te behandelen.
Uptime en prestaties optimaliseren
Als een service niet beschikbaar is, kan er geen toegang worden tot informatie. Als de prestaties zo slecht zijn dat de gegevens onbruikbaar zijn, kunt u overwegen dat de gegevens ontoegankelijk zijn. Vanuit beveiligingsperspectief moet u alles doen wat u kunt doen om ervoor te zorgen dat uw services optimale uptime en prestaties hebben.
Een populaire en effectieve methode voor het verbeteren van beschikbaarheid en prestaties is taakverdeling. Taakverdeling is een methode voor het distribueren van netwerkverkeer tussen servers die deel uitmaken van een service. Als u bijvoorbeeld front-endwebservers hebt als onderdeel van uw service, kunt u taakverdeling gebruiken om het verkeer over uw meerdere front-endwebservers te verdelen.
Deze distributie van verkeer verhoogt de beschikbaarheid omdat als een van de webservers niet beschikbaar is, de load balancer stopt met het verzenden van verkeer naar die server en deze omleidt naar de servers die nog steeds online zijn. Taakverdeling helpt ook prestaties, omdat de processor, het netwerk en de geheugenoverhead voor het verwerken van aanvragen worden verdeeld over alle servers met gelijke taakverdeling.
We raden u aan om taakverdeling te gebruiken wanneer u dat kunt en waar nodig voor uw services. Hieronder volgen scenario's op zowel het niveau van het virtuele Azure-netwerk als op globaal niveau, samen met opties voor taakverdeling voor elk netwerk.
Scenario: U hebt een toepassing die:
- Vereist aanvragen van dezelfde gebruiker/clientsessie om dezelfde back-end virtuele machine te bereiken. Voorbeelden hiervan zijn winkelwagen-apps en webservers.
- Accepteert alleen een beveiligde verbinding, dus niet-versleutelde communicatie met de server is geen acceptabele optie.
- Vereist meerdere HTTP-aanvragen op dezelfde langlopende TCP-verbinding om te worden gerouteerd of taakverdeling naar verschillende back-endservers.
Taakverdelingsoptie: Gebruik Azure-toepassing Gateway, een load balancer voor HTTP-webverkeer. Application Gateway ondersteunt end-to-end TLS-versleuteling en TLS-beëindiging op de gateway. Webservers kunnen vervolgens worden ontzorgd door versleutelings- en ontsleutelingsoverhead en verkeer dat niet wordt versleuteld naar de back-endservers.
Scenario: U moet binnenkomende verbindingen van internet verdelen over uw servers die zich in een virtueel Azure-netwerk bevinden. Scenario's zijn wanneer u:
- Stateless toepassingen hebben die binnenkomende aanvragen van internet accepteren.
- U hebt geen plaksessies of TLS-offload nodig. Plaksessies is een methode die wordt gebruikt met Application Load Balancing om serveraffiniteit te bereiken.
Optie voor taakverdeling: Gebruik Azure Portal om een externe load balancer te maken die binnenkomende aanvragen over meerdere VM's verspreidt om een hoger beschikbaarheidsniveau te bieden.
Scenario: U moet taken verdelen over verbindingen van VM's die zich niet op internet bevinden. In de meeste gevallen worden de verbindingen die worden geaccepteerd voor taakverdeling, gestart door apparaten in een virtueel Azure-netwerk, zoals SQL Server-exemplaren of interne webservers.
Optie voor taakverdeling: Gebruik Azure Portal om een interne load balancer te maken die binnenkomende aanvragen over meerdere VM's verspreidt om een hoger beschikbaarheidsniveau te bieden.
Scenario: U hebt globale taakverdeling nodig omdat u:
- Een cloudoplossing hebben die breed is verdeeld over meerdere regio's en waarvoor het hoogste beschikbaarheidsniveau (beschikbaarheid) is vereist.
- U hebt het hoogste uptimeniveau nodig om ervoor te zorgen dat uw service beschikbaar is, zelfs als een volledig datacenter niet beschikbaar is.
Taakverdelingsoptie: Azure Traffic Manager gebruiken. Traffic Manager maakt het mogelijk om verbindingen met uw services te verdelen op basis van de locatie van de gebruiker.
Als de gebruiker bijvoorbeeld een aanvraag indient bij uw service vanuit de EU, wordt de verbinding omgeleid naar uw services die zich in een DATACENTER van de EU bevinden. Dit onderdeel van de wereldwijde taakverdeling van Traffic Manager helpt de prestaties te verbeteren, omdat het maken van verbinding met het dichtstbijzijnde datacenter sneller is dan het maken van verbinding met datacenters die ver weg zijn.
RDP-/SSH-toegang tot virtuele machines uitschakelen
Het is mogelijk om virtuele Azure-machines te bereiken met behulp van RDP (Remote Desktop Protocol) en het protocol SSH (Secure Shell). Deze protocollen maken het beheer van VM's vanaf externe locaties mogelijk en worden standaard gebruikt in datacenters.
Het mogelijke beveiligingsprobleem met het gebruik van deze protocollen via internet is dat aanvallers beveiligingstechnieken kunnen gebruiken om toegang te krijgen tot virtuele Azure-machines. Nadat de aanvallers toegang hebben verkregen, kunnen ze uw VM gebruiken als een startpunt voor aanvallen op andere computers in uw virtuele netwerk of zelfs voor aanvallen op netwerkapparaten buiten Azure.
U wordt aangeraden directe RDP- en SSH-toegang tot uw virtuele Azure-machines vanaf internet uit te schakelen. Nadat directe RDP- en SSH-toegang vanaf internet is uitgeschakeld, hebt u andere opties die u kunt gebruiken om toegang te krijgen tot deze VM's voor extern beheer.
Scenario: Schakel één gebruiker in om via internet verbinding te maken met een virtueel Azure-netwerk.
Optie: Punt-naar-site-VPN is een andere term voor een VPN-client-/serververbinding voor externe toegang. Nadat de punt-naar-site-verbinding tot stand is gebracht, kan de gebruiker RDP of SSH gebruiken om verbinding te maken met virtuele machines in het virtuele Azure-netwerk waarmee de gebruiker verbinding heeft gemaakt via punt-naar-site-VPN. Hierbij wordt ervan uitgegaan dat de gebruiker gemachtigd is om deze VM's te bereiken.
Punt-naar-site-VPN is veiliger dan directe RDP- of SSH-verbindingen, omdat de gebruiker twee keer moet verifiëren voordat deze verbinding maakt met een VIRTUELE machine. Eerst moet de gebruiker worden geverifieerd (en geautoriseerd) om de punt-naar-site-VPN-verbinding tot stand te brengen. Ten tweede moet de gebruiker worden geverifieerd (en geautoriseerd) om de RDP- of SSH-sessie tot stand te brengen.
Scenario: Ervoor zorgen dat gebruikers in uw on-premises netwerk verbinding kunnen maken met VM's in uw virtuele Azure-netwerk.
Optie: Een site-naar-site-VPN verbindt een volledig netwerk met een ander netwerk via internet. U kunt een site-naar-site-VPN gebruiken om uw on-premises netwerk te verbinden met een virtueel Azure-netwerk. Gebruikers op uw on-premises netwerk maken verbinding met behulp van het RDP- of SSH-protocol via de site-naar-site-VPN-verbinding. U hoeft geen directe RDP- of SSH-toegang via internet toe te staan.
Scenario: Gebruik een toegewezen WAN-koppeling om functionaliteit te bieden die vergelijkbaar is met de site-naar-site-VPN.
Optie: ExpressRoute gebruiken. Het biedt functionaliteit die vergelijkbaar is met de site-naar-site-VPN. De belangrijkste verschillen zijn:
- De toegewezen WAN-koppeling gaat niet via internet.
- Toegewezen WAN-koppelingen zijn doorgaans stabieler en presteren beter.
Uw kritieke Azure-serviceresources beveiligen voor alleen uw virtuele netwerken
Gebruik Azure Private Link om toegang te krijgen tot Azure PaaS-services (bijvoorbeeld Azure Storage en SQL Database) via een privé-eindpunt in uw virtuele netwerk. Met privé-eindpunten kunt u uw kritieke Azure-serviceresources alleen naar uw virtuele netwerken beveiligen. Verkeer van uw virtuele netwerk naar de Azure-service blijft altijd op het Microsoft Azure backbone-netwerk. Het beschikbaar maken van uw virtuele netwerk naar het openbare internet is niet meer nodig om Azure PaaS-services te gebruiken.
Azure Private Link biedt de volgende voordelen:
- Verbeterde beveiliging voor uw Azure-servicebronnen: Met Azure Private Link kunnen Azure-servicebronnen worden beveiligd naar uw virtuele netwerk met behulp van een privé-eindpunt. Het beveiligen van servicebronnen naar een privé-eindpunt in een virtueel netwerk biedt verbeterde beveiliging doordat openbare internettoegang tot resources volledig wordt verwijderd en alleen verkeer vanaf een privé-eindpunt in uw virtuele netwerk wordt toegestaan.
- Privétoegang tot Azure-servicebronnen op het Azure-platform: verbind uw virtuele netwerk met services in Azure met behulp van privé-eindpunten. Er is geen openbaar IP-adres nodig. Het Private Link-platform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk.
- Toegang vanuit on-premises en gekoppelde netwerken: toegang tot services die worden uitgevoerd in Azure vanaf on-premises via persoonlijke ExpressRoute-peering, VPN-tunnels en gekoppelde virtuele netwerken met behulp van privé-eindpunten. U hoeft geen ExpressRoute Microsoft-peering in te stellen of door het internet te gaan om de service te bereiken. Private Link biedt een veilige manier om workloads naar Azure te migreren.
- Beveiliging tegen gegevenslekken: een privé-eindpunt wordt toegewezen aan een exemplaar van een PaaS-resource in plaats van de hele service. Consumenten kunnen alleen verbinding maken met de specifieke resource. Toegang tot andere resources in de service is geblokkeerd. Dit mechanisme biedt beveiliging tegen risico's van gegevenslekken.
- Globaal bereik: Privé verbinding maken met services die in andere regio's worden uitgevoerd. Het virtuele netwerk van de consument kan zich in regio A bevinden en kan verbinding maken met services in regio B.
- Eenvoudig in te stellen en te beheren: u hebt geen gereserveerde openbare IP-adressen meer nodig in uw virtuele netwerken om Azure-resources te beveiligen via een IP-firewall. Er zijn geen NAT- of gatewayapparaten vereist om de privé-eindpunten in te stellen. Privé-eindpunten worden geconfigureerd via een eenvoudige werkstroom. Aan de servicezijde kunt u de verbindingsaanvragen op uw Azure-serviceresource ook eenvoudig beheren. Azure Private Link werkt ook voor consumenten en services die behoren tot verschillende Microsoft Entra-tenants.
Zie Azure Private Link voor meer informatie over privé-eindpunten en de Azure-services en -regio's waarvoor privé-eindpunten beschikbaar zijn.
Volgende stappen
Bekijk best practices en patronen voor Azure-beveiliging voor meer aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u uw cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure.