Wat is Azure-netwerkbeveiliging?

Netwerkbeveiliging is een essentieel aspect van cloud-computing, omdat hiermee de gegevens en toepassingen die in de cloud worden uitgevoerd, worden beschermd tegen verschillende bedreigingen en aanvallen. Azure biedt een uitgebreide set netwerkbeveiligingsoplossingen waarmee u veilige en flexibele netwerken in de cloud kunt ontwerpen, implementeren en beheren.

Een van de leidende principes van Azure-netwerkbeveiliging is het Zero Trust-model, dat ervan uitgaat dat er geen netwerk of apparaat inherent veilig of betrouwbaar is. In plaats daarvan moet elke aanvraag en verbinding worden geverifieerd en gevalideerd op basis van gegevens, identiteit en context. Het Zero Trust-model helpt u onbevoegde toegang te voorkomen, zijwaartse verplaatsing te beperken en het kwetsbaarheid voor aanvallen van uw netwerken te verminderen.

Een oplossing kiezen

Het kiezen van de juiste netwerkbeveiligingsoplossing voor uw Azure-workloads is afhankelijk van uw specifieke behoeften en vereisten. Azure biedt diverse netwerkbeveiligingsservices die afzonderlijk of in combinatie kunnen worden gebruikt om uw workloads te beveiligen. Hier volgen enkele belangrijke factoren die u moet overwegen bij het kiezen van een netwerkbeveiligingsoplossing:

• Workloadtype: verschillende workloads hebben verschillende beveiligingsvereisten. Webtoepassingen kunnen bijvoorbeeld beveiliging vereisen tegen webaanvallen, terwijl virtuele machines mogelijk beveiliging vereisen tegen aanvallen op het netwerk.
• Implementatiemodel: Azure biedt verschillende implementatiemodellen voor netwerkbeveiligingsservices, zoals virtuele apparaten, beheerde services en geïntegreerde oplossingen. Kies het model dat het beste past bij uw behoeften en vereisten.
• Integratie met andere Azure-services: Veel Azure-netwerkbeveiligingsservices kunnen worden geïntegreerd met andere Azure-services, zoals Azure Monitor, Azure Security Center en Microsoft Sentinel. Kies een oplossing die eenvoudig kan worden geïntegreerd met uw bestaande Azure-services voor verbeterde beveiliging en bewaking.
• Kosten: verschillende netwerkbeveiligingsservices hebben verschillende prijsmodellen. Kies een oplossing die past bij uw budget en biedt het gewenste beschermingsniveau.
• Nalevingsvereisten: afhankelijk van uw branche en locatie hebt u mogelijk specifieke nalevingsvereisten waaraan uw netwerkbeveiligingsoplossing moet voldoen. Kies een oplossing waarmee u aan deze vereisten kunt voldoen.
• Schaalbaarheid: naarmate uw workloads toenemen, moet uw netwerkbeveiligingsoplossing schalen. Kies een oplossing die meer verkeer en workloads kan verwerken zonder de beveiliging in gevaar te brengen.
• Beheer en bewaking: kies een oplossing die eenvoudige beheer- en bewakingsmogelijkheden biedt, zoals dashboards, waarschuwingen en rapportage. Zo kunt u snel beveiligingsincidenten identificeren en erop reageren.

Azure Firewall

Azure Firewall is een cloudeigen, intelligente netwerkfirewallservice die volledige stateful beveiliging biedt met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. Het biedt zowel netwerk- als toepassingsniveaubeveiliging voor uw Azure-workloads. Als beheerde service kan Azure Firewall worden geïmplementeerd in een virtueel netwerk en naadloos worden geïntegreerd met andere Azure-services, zoals Azure Monitor, Azure Security Center en Microsoft Sentinel voor verbeterde beveiliging en bewaking.

Afhankelijk van uw behoeften kunt u kiezen uit drie Azure Firewall-SKU's:

• Basic: Basic SKU is een rendabele optie voor eenvoudige firewalloplossingen in Azure-workloads. Het biedt essentiële functies zoals netwerk- en toepassingsfiltering, netwerkadresomzetting en logboekregistratie.
• Standaard: Standard-SKU is een geavanceerdere optie met extra functies zoals DNS-proxy en webcategorieën. Het is ontworpen voor uitgebreidere firewalloplossingen in Azure-workloads.
• Premium: Premium SKU is de meest geavanceerde optie die alle functies van de Standard-SKU bevat, plus extra functies zoals TLS-inspectie, inbraakdetectie en -preventie en URL-filtering. Het is ontworpen voor het hoogste beveiligings- en beheerniveau in Azure-workloads.

Gebruikssituaties

• Netwerkbeveiliging: beveilig uw Azure-workloads tegen aanvallen op het netwerk en onbevoegde toegang.
• Toepassingsbeveiliging: bescherm uw Azure-workloads tegen aanvallen en beveiligingsproblemen op basis van toepassingen.
• Inbraakdetectie en -preventie: bewaak uw netwerk op schadelijke activiteiten, registreer informatie over deze activiteit, meld deze en probeer het optioneel te blokkeren.
• TLS-inspectie: TLS-verkeer inspecteren en ontsleutelen om bedreigingen te detecteren en te blokkeren die zijn verborgen in versleuteld verkeer.
• URL-filtering: beheer de toegang tot specifieke URL's of URL-categorieën op basis van het beleid van uw organisatie.

Zie het overzicht van Azure Firewall voor meer informatie.

Azure DDoS-beveiliging

Azure DDoS Protection is een service die verbeterde DDoS-risicobeperkingsfuncties biedt ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Beveiliging is eenvoudig in te schakelen voor nieuwe of bestaande virtuele netwerken of openbare IP-adresresources, en hiervoor zijn geen wijzigingen in toepassingen of resources vereist.

• IP-beveiliging: Azure DDoS IP Protection biedt beveiliging voor uw Azure-resources waaraan een openbaar IP-adres is toegewezen. Het beschermt tegen volumetrische, protocol- en toepassingslaagaanvallen.

  

• Netwerkbeveiliging: Azure DDoS Network Protection biedt beveiliging voor uw Azure-resources in een virtueel netwerk waaraan een openbaar IP-adres is toegewezen. Het heeft extra functies zoals DDoS Rapid Response-ondersteuning, kostenbeveiliging en WAF-kortingen.

  

Gebruikssituaties

• Bescherming tegen DDoS-aanvallen: Bescherm uw Azure-resources tegen DDoS-aanvallen, waaronder volumetrische, protocol- en toepassingslaagaanvallen.
• Kostenbeveiliging: bescherm uw Azure-resources tegen onverwachte kosten vanwege DDoS-aanvallen.
• Snelle reactie: krijg ondersteuning voor snelle reacties van Azure DDoS-experts in het geval van een DDoS-aanval.

Zie het Overzicht van Azure DDoS Protection voor meer informatie.

Azure Web Application Firewall

Azure Web Application Firewall (WAF) is een webtoepassingsfirewall die gecentraliseerde beveiliging biedt voor uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. WAF maakt gebruik van regels voor het bewaken van HTTP-aanvragen en -antwoorden en kan verkeer blokkeren of toestaan op basis van de regels die u definieert.

WAF is beschikbaar in twee implementatieopties:

• Azure Application Gateway WAF: Azure Application Gateway is een load balancer voor webverkeer (OSI-laag 7) waarmee u verkeer naar uw webtoepassingen kunt beheren.
• Azure Front Door WAF: Azure Front Door is een schaalbaar en veilig toegangspunt voor snelle levering van uw wereldwijde toepassingen. Het biedt SSL-offload, toepassingsversnelling en wereldwijde taakverdeling met directe failover.

Gebruikssituaties

• Beveiliging tegen webaanvallen: bescherm uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen, zoals SQL-injectie en XSS (Cross-Site Scripting).
• Gecentraliseerd beheer: beheer uw firewallregels en -beleidsregels voor webtoepassingen vanaf één locatie.
• Integratie met Azure-services: INTEGREER WAF met andere Azure-services, zoals Azure Application Gateway en Azure Front Door, voor verbeterde beveiliging en prestaties.
• Aangepaste regels: maak aangepaste regels om te voldoen aan uw specifieke beveiligingsvereisten en -beleid.
• Botbeveiliging: bescherm uw webtoepassingen tegen schadelijke bots en geautomatiseerde aanvallen.

Zie het overzicht van Azure Web Application Firewall voor meer informatie.

Ervaring met Azure Portal

Azure Portal biedt een uniforme ervaring voor het beheren van uw netwerkbeveiligingsservices. U kunt eenvoudig uw netwerkbeveiligingsservices maken en beheren vanaf één locatie en u kunt ook de status en status van uw services bekijken.

Algemene netwerkbeveiligingsscenario's

De Network Security Hub ondersteunt momenteel de volgende implementatieopties:

• Beveiligd virtueel hub-and-spoke-netwerk: Implementeer een Azure Firewall in een virtueel netwerk dat is aangewezen als een hub. Dit virtuele hubnetwerk kan verbinding maken met meerdere virtuele spoke-netwerken met behulp van virtuele netwerkpeering. De Azure Firewall is gekoppeld aan een Azure Firewall-beleid waarmee de regels en configuraties voor de firewall worden gedefinieerd. Dit implementatiemodel is ideaal voor organisaties die netwerkbeveiliging en -beheer op één locatie willen centraliseren.

• Virtuele WAN's op schaal beveiligen: Implementeer een Azure Firewall in een met Azure Virtual WAN beveiligde hub. De Azure Firewall is gekoppeld aan een Azure Firewall-beleid en de beveiligde hub is verbonden met meerdere filialen en externe gebruikers. Dit implementatiemodel is ideaal voor organisaties die Azure Virtual WAN gebruiken om meerdere filialen en externe gebruikers te verbinden met Azure-resources.

• Zero Trust voor webtoepassingen: Azure Application Gateway gebruiken met een WAF-beleid (Azure Web Application Firewall) om regionale webtoepassingen te beschermen tegen veelvoorkomende aanvallen en beveiligingsproblemen. Pas het WAF-beleid aan om de specifieke beveiligingsbehoeften van uw webtoepassingen effectief aan te pakken.

• Cloudinhoud veilig leveren: Gebruik Azure Front Door met een WaF-beleid (Azure Web Application Firewall) om de levering van uw wereldwijde webtoepassingen te beveiligen en te optimaliseren. Dit implementatiemodel zorgt voor veilige en efficiënte toepassingsprestaties, terwijl u het WAF-beleid kunt aanpassen om te voldoen aan specifieke beveiligingsbehoeften.

Volgende stappen

Meer informatie over de verschillende functies en mogelijkheden van elke Azure-netwerkbeveiligingsservice:

Documentatie voor Azure-netwerkbeveiliging