Best practices van Azure voor netwerkbeveiliging

In dit artikel wordt een verzameling aanbevolen procedures van Azure besproken om uw netwerkbeveiliging te verbeteren. Deze best practices zijn afgeleid van onze ervaring met Azure-netwerken en de ervaringen van klanten zoals uzelf.

In dit artikel wordt voor elke aanbevolen procedure het volgende uitgelegd:

  • Wat is de best practice?
  • Waarom u die best practice wilt inschakelen
  • Wat kan het resultaat zijn als u de aanbevolen procedure niet inschakelt
  • Mogelijke alternatieven voor de best practice
  • Hoe u de aanbevolen procedure kunt inschakelen

Deze best practices zijn gebaseerd op een consensus-mening en de mogelijkheden en functiesets van Het Azure-platform, zoals deze bestaan op het moment dat dit artikel is geschreven. Meningen en technologieën veranderen na verloop van tijd en dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.

Krachtige netwerkbesturingselementen gebruiken

U kunt virtuele Azure-machines (VM's) en apparaten verbinden met andere netwerkapparaten door ze in virtuele Azure-netwerken te plaatsen. Dat wil gezegd, u kunt virtuele netwerkinterfacekaarten verbinden met een virtueel netwerk om TCP/IP-gebaseerde communicatie tussen apparaten met netwerkfuncties toe te staan. Virtuele machines die zijn verbonden met een virtueel Azure-netwerk, kunnen verbinding maken met apparaten in hetzelfde virtuele netwerk, verschillende virtuele netwerken, internet of uw eigen on-premises netwerken.

Wanneer u uw netwerk en de beveiliging van uw netwerk plant, raden we u aan het volgende te centraliseren:

  • Beheer van kernnetwerkfuncties zoals ExpressRoute, virtueel netwerk en subnetinrichting en IP-adressering.
  • Beheer van netwerkbeveiligingselementen, zoals virtuele netwerkapparaten, zoals ExpressRoute, virtuele netwerken en subnetinrichting en IP-adressering.

Als u een algemene set beheerhulpprogramma's gebruikt om uw netwerk en de beveiliging van uw netwerk te bewaken, krijgt u duidelijk inzicht in beide. Een eenvoudige, geïntegreerde beveiligingsstrategie vermindert fouten omdat het menselijk begrip en de betrouwbaarheid van automatisering vergroot.

Subnetten logisch segmenteren

Virtuele Azure-netwerken zijn vergelijkbaar met LAN's in uw on-premises netwerk. Het idee achter een virtueel Azure-netwerk is dat u een netwerk maakt, op basis van één privé-IP-adresruimte, waarop u al uw virtuele Azure-machines kunt plaatsen. De privé-IP-adresruimten zijn beschikbaar in klasse A (10.0.0.0/8), klasse B (172.16.0.0/12) en klasse C (192.168.0.0/16) bereiken.

Best practices voor het logisch segmenteren van subnetten zijn onder andere:

Aanbevolen procedure: Geen regels met een breed bereik toewijzen (bijvoorbeeld 0.0.0.0.0 tot en met 255.255.255.255.255 toestaan).
Detail: Zorg ervoor dat probleemoplossingsprocedures het instellen van deze typen regels ontmoedigen of verbieden. Deze regels leiden tot een valse beveiligingszin en worden vaak gevonden en misbruikt door rode teams.

Best practice: Segmenteer de grotere adresruimte in subnetten.
Detail: Gebruik op CIDR gebaseerde subnetten om uw subnetten te maken.

Aanbevolen procedure: Netwerktoegangsbeheer maken tussen subnetten. Routering tussen subnetten gebeurt automatisch en u hoeft routeringstabellen niet handmatig te configureren. Standaard zijn er geen netwerktoegangsbeheer tussen de subnetten die u in een virtueel Azure-netwerk maakt.
Detail: Gebruik een netwerkbeveiligingsgroep om te beschermen tegen ongevraagd verkeer in Azure-subnetten. Netwerkbeveiligingsgroepen zijn eenvoudige, stateful pakketinspectieapparaten die gebruikmaken van de 5 tuple-benadering (bron-IP, bronpoort, doel-IP, doelpoort en laag 4-protocol) om regels voor toestaan/weigeren voor netwerkverkeer te maken. U staat of weigert verkeer van en naar één IP-adres, van en naar meerdere IP-adressen, of van en naar hele subnetten.

Wanneer u netwerkbeveiligingsgroepen gebruikt voor netwerktoegangsbeheer tussen subnetten, kunt u resources plaatsen die deel uitmaken van dezelfde beveiligingszone of rol in hun eigen subnetten.

Best practice: Vermijd kleine virtuele netwerken en subnetten om eenvoud en flexibiliteit te garanderen.
Detail: De meeste organisaties voegen meer resources toe dan oorspronkelijk gepland en het opnieuw toewijzen van adressen is arbeidsintensief. Door kleine subnetten te gebruiken, wordt een beperkte beveiligingswaarde toegevoegd en wordt een netwerkbeveiligingsgroep aan elk subnet toegevoegd. Definieer subnetten breed om ervoor te zorgen dat u flexibiliteit hebt voor groei.

Best practice: Vereenvoudig regelbeheer voor netwerkbeveiligingsgroepen door toepassingsbeveiligingsgroepen te definiëren.
Detail: Definieer een toepassingsbeveiligingsgroep voor lijsten met IP-adressen waarvan u denkt dat deze in de toekomst kunnen veranderen of worden gebruikt in veel netwerkbeveiligingsgroepen. Zorg ervoor dat u toepassingsbeveiligingsgroepen duidelijk noemt, zodat anderen hun inhoud en doel kunnen begrijpen.

Een Zero Trust benadering aannemen

Perimeternetwerken werken op basis van de veronderstelling dat alle systemen binnen een netwerk kunnen worden vertrouwd. Maar de huidige werknemers hebben overal toegang tot de resources van hun organisatie op verschillende apparaten en apps, waardoor perimeterbeveiliging niet relevant is. Beleidsregels voor toegangsbeheer die zich alleen richten op wie toegang heeft tot een resource, zijn niet voldoende. Om de balans tussen beveiliging en productiviteit te beheersen, moeten beveiligingsbeheerders ook rekening houden met hoe een resource wordt geopend.

Netwerken moeten zich ontwikkelen van traditionele verdediging, omdat netwerken mogelijk kwetsbaar zijn voor schendingen: een aanvaller kan een enkel eindpunt binnen de vertrouwde grens in gevaar brengen en vervolgens snel een voet in het hele netwerk uitbreiden. Zero Trust netwerken elimineren het vertrouwensconcept op basis van netwerklocatie binnen een perimeter. In plaats daarvan gebruiken Zero Trust architecturen apparaat- en gebruikersvertrouwensclaims om de toegang tot bedrijfsgegevens en -resources te beperken. Voor nieuwe initiatieven neemt u Zero Trust benaderingen aan die vertrouwen valideren op het moment van toegang.

Aanbevolen procedures zijn:

Aanbevolen procedure: Voorwaardelijke toegang verlenen tot resources op basis van apparaat, identiteit, controle, netwerklocatie en meer.
Detail: met Azure AD voorwaardelijke toegang kunt u de juiste toegangsbeheer toepassen door geautomatiseerde beslissingen voor toegangsbeheer te implementeren op basis van de vereiste voorwaarden. Zie Toegang tot Azure-beheer beheren met voorwaardelijke toegang voor meer informatie.

Aanbevolen procedure: poorttoegang alleen inschakelen na goedkeuring van de werkstroom.
Details: U kunt Just-In-Time-VM-toegang gebruiken in Microsoft Defender voor Cloud om binnenkomend verkeer naar uw Azure-VM's te vergrendelen, waardoor de blootstelling aan aanvallen wordt verminderd, terwijl u zo nodig eenvoudig toegang hebt om verbinding te maken met VM's.

Aanbevolen procedure: verwijs tijdelijke machtigingen om bevoegde taken uit te voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang krijgen nadat de machtigingen zijn verlopen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben.
Detail: Just-In-Time-toegang gebruiken in Azure AD Privileged Identity Management of in een oplossing van derden om machtigingen te verlenen voor het uitvoeren van bevoegde taken.

Zero Trust is de volgende evolutie in netwerkbeveiliging. De status van cyberaanvallen zorgt ervoor dat organisaties de 'overhaak'-houding aannemen, maar deze aanpak mag niet worden beperkt. Zero Trust netwerken bedrijfsgegevens en -resources beschermen en ervoor zorgen dat organisaties een moderne werkplek kunnen bouwen met behulp van technologieën waarmee werknemers altijd en overal productief kunnen zijn.

Gedrag van routering beheren

Wanneer u een virtuele machine in een virtueel Azure-netwerk plaatst, kan de VIRTUELE machine verbinding maken met elke andere virtuele machine in hetzelfde virtuele netwerk, zelfs als de andere VM's zich in verschillende subnetten bevinden. Dit is mogelijk omdat een verzameling systeemroutes die standaard zijn ingeschakeld, dit type communicatie toestaat. Met deze standaardroutes kunnen VM's in hetzelfde virtuele netwerk verbindingen met elkaar initiëren en met internet (alleen voor uitgaande communicatie met internet).

Hoewel de standaardsysteemroutes nuttig zijn voor veel implementatiescenario's, zijn er momenten waarop u de routeringsconfiguratie voor uw implementaties wilt aanpassen. U kunt het adres van de volgende hop configureren om specifieke bestemmingen te bereiken.

U wordt aangeraden door de gebruiker gedefinieerde routes te configureren wanneer u een beveiligingsapparaat voor een virtueel netwerk implementeert. We hebben het hierover in een latere sectie met de titel Uw kritieke Azure-serviceresources beveiligen met alleen uw virtuele netwerken.

Notitie

Door de gebruiker gedefinieerde routes zijn niet vereist en de standaardsysteemroutes werken meestal.

Virtuele netwerkapparaten gebruiken

Netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routering kunnen een bepaalde mate van netwerkbeveiliging bieden op het netwerk en transportlagen van het OSI-model. In sommige gevallen wilt u echter beveiliging op hoge niveaus van de stack inschakelen of inschakelen. In dergelijke situaties raden we u aan om virtuele netwerkbeveiligingsapparaten van Azure-partners te implementeren.

Azure-netwerkbeveiligingsapparaten kunnen betere beveiliging bieden dan wat besturingselementen op netwerkniveau bieden. Netwerkbeveiligingsmogelijkheden van virtuele netwerkbeveiligingsapparaten zijn onder andere:

  • Firewalling
  • Inbraakdetectie/inbraakpreventie
  • Beheer van beveiligingsproblemen
  • Toepassingsbeheer
  • Anomaliedetectie op basis van netwerk
  • Webfiltering
  • Antivirus
  • Botnet-beveiliging

Als u beschikbare virtuele Azure-netwerkbeveiligingsapparaten wilt zoeken, gaat u naar de Azure Marketplace en zoekt u naar 'beveiliging' en 'netwerkbeveiliging'.

Perimeternetwerken implementeren voor beveiligingszones

Een perimeternetwerk (ook wel dmz genoemd) is een fysiek of logisch netwerksegment dat een extra beveiligingslaag biedt tussen uw assets en internet. Gespecialiseerde apparaten voor netwerktoegangsbeheer aan de rand van een perimeternetwerk staan alleen het gewenste verkeer in uw virtuele netwerk toe.

Perimeternetwerken zijn handig omdat u zich kunt richten op het beheer van netwerktoegangsbeheer, bewaking, logboekregistratie en rapportage op de apparaten aan de rand van uw virtuele Azure-netwerk. Een perimeternetwerk is waar u doorgaans DDoS-preventie (Distributed Denial of Service) inschakelt, inbraakdetectie-/inbraakpreventiesystemen (IDS/IPS), firewallregels en beleid, webfiltering, netwerk antimalware en meer. De netwerkbeveiligingsapparaten bevinden zich tussen internet en uw virtuele Azure-netwerk en hebben een interface op beide netwerken.

Hoewel dit het basisontwerp van een perimeternetwerk is, zijn er veel verschillende ontwerpen, zoals back-to-back, tri-homed en multi-homed.

Op basis van het Zero Trust concept dat eerder is genoemd, raden we u aan een perimeternetwerk te gebruiken voor alle implementaties met hoge beveiliging om het niveau van netwerkbeveiliging en toegangsbeheer voor uw Azure-resources te verbeteren. U kunt Azure of een externe oplossing gebruiken om een extra beveiligingslaag te bieden tussen uw assets en internet:

  • Systeemeigen Besturingselementen van Azure. Azure Firewall en de webtoepassingsfirewall in Application Gateway basisbeveiliging bieden met een volledig stateful firewall als een service, ingebouwde hoge beschikbaarheid, onbeperkte cloudschaalbaarheid, FQDN-filtering, ondersteuning voor OWASP-kernregelsets en eenvoudige installatie en configuratie.
  • Aanbiedingen van derden. Zoek in de Azure Marketplace naar firewalls van de volgende generatie (NGFW) en andere aanbiedingen van derden die vertrouwde beveiligingshulpprogramma's bieden en aanzienlijk verbeterde netwerkbeveiligingsniveaus bieden. Configuratie kan complexer zijn, maar met een aanbieding van derden kunt u mogelijk bestaande mogelijkheden en vaardighedensets gebruiken.

Veel organisaties hebben gekozen voor de hybride IT-route. Met hybride IT bevinden sommige informatieactiva van het bedrijf zich in Azure en blijven andere on-premises. In veel gevallen worden sommige onderdelen van een service uitgevoerd in Azure, terwijl andere onderdelen on-premises blijven.

In een hybride IT-scenario is er meestal een soort cross-premises connectiviteit. Met cross-premises connectiviteit kan het bedrijf de on-premises netwerken verbinden met virtuele Azure-netwerken. Er zijn twee cross-premises connectiviteitsoplossingen beschikbaar:

  • Site-naar-site-VPN. Het is een vertrouwde, betrouwbare en gevestigde technologie, maar de verbinding vindt plaats via internet. Bandbreedte is beperkt tot maximaal ongeveer 1,25 Gbps. Site-naar-site-VPN is een wenselijke optie in sommige scenario's.
  • Azure ExpressRoute. U wordt aangeraden ExpressRoute te gebruiken voor uw cross-premises connectiviteit. Met ExpressRoute kunt u uw on-premises netwerken uitbreiden naar de Microsoft Cloud via een privéverbinding van een connectiviteitsprovider. Met ExpressRoute kunt u verbindingen tot stand brengen met Microsoft-cloudservices zoals Azure, Microsoft 365 en Dynamics 365. ExpressRoute is een toegewezen WAN-koppeling tussen uw on-premises locatie of een Microsoft Exchange-hostingprovider. Omdat dit een telco-verbinding is, worden uw gegevens niet via internet verzonden, zodat deze niet worden blootgesteld aan de potentiële risico's van internetcommunicatie.

De locatie van uw ExpressRoute-verbinding kan van invloed zijn op de firewallcapaciteit, schaalbaarheid, betrouwbaarheid en zichtbaarheid van netwerkverkeer. U moet bepalen waar ExpressRoute moet worden beëindigd in bestaande (on-premises) netwerken. U kunt:

  • Beëindig buiten de firewall (het perimeternetwerkparadigma) als u inzicht in het verkeer nodig hebt, als u een bestaande procedure voor het isoleren van datacenters wilt voortzetten of als u alleen extranetresources in Azure plaatst.
  • Beëindig binnen de firewall (het paradigma voor netwerkuitbreidingen). Dit is de standaardaan aanbeveling. In alle andere gevallen raden we u aan Om Azure te behandelen als een nde datacenter.

Uptime en prestaties optimaliseren

Als een service niet beschikbaar is, kunnen er geen gegevens worden geopend. Als de prestaties zo slecht zijn dat de gegevens onbruikbaar zijn, kunt u overwegen dat de gegevens ontoegankelijk zijn. Vanuit beveiligingsperspectief moet u alles doen wat u kunt doen om ervoor te zorgen dat uw services optimale uptime en prestaties hebben.

Een populaire en effectieve methode voor het verbeteren van de beschikbaarheid en prestaties is taakverdeling. Taakverdeling is een methode voor het distribueren van netwerkverkeer over servers die deel uitmaken van een service. Als u bijvoorbeeld front-endwebservers hebt als onderdeel van uw service, kunt u taakverdeling gebruiken om het verkeer over meerdere front-endwebservers te verdelen.

Deze distributie van verkeer verhoogt de beschikbaarheid omdat als een van de webservers niet beschikbaar is, de load balancer stopt met het verzenden van verkeer naar die server en deze omleidt naar de servers die nog steeds online zijn. Taakverdeling helpt ook prestaties, omdat de processor, het netwerk en de geheugenoverhead voor het verwerken van aanvragen wordt verdeeld over alle servers met gelijke taakverdeling.

We raden u aan om taakverdeling te gebruiken wanneer u dat kunt en waar nodig voor uw services. Hieronder volgen scenario's op zowel het niveau van het virtuele Azure-netwerk als op globaal niveau, samen met opties voor taakverdeling voor elk netwerk.

Scenario: U hebt een toepassing die:

  • Vereist aanvragen van dezelfde gebruiker/clientsessie om dezelfde back-end virtuele machine te bereiken. Voorbeelden hiervan zijn winkelwagen-apps en webservers.
  • Accepteert alleen een beveiligde verbinding, dus niet-versleutelde communicatie met de server is geen acceptabele optie.
  • Vereist dat meerdere HTTP-aanvragen op dezelfde langlopende TCP-verbinding worden gerouteerd of verdeeld over verschillende back-endservers.

Taakverdelingsoptie: gebruik Azure Application Gateway, een load balancer voor HTTP-webverkeer. Application Gateway ondersteunt end-to-end TLS-versleuteling en TLS-beëindiging op de gateway. Webservers kunnen vervolgens worden ontlast van versleuteling en ontsleutelingsoverhead en verkeer dat niet-versleuteld naar de back-endservers stroomt.

Scenario: U moet binnenkomende verbindingen van internet verdelen over uw servers die zich in een virtueel Azure-netwerk bevinden. Scenario's zijn wanneer u:

  • Stateless toepassingen hebben die binnenkomende aanvragen van internet accepteren.
  • Geen plaksessies of TLS-offload vereisen. Plaksessies is een methode die wordt gebruikt met Application Load Balancing om serveraffiniteit te bereiken.

Taakverdelingsoptie: gebruik de Azure Portal om een externe load balancer te maken die binnenkomende aanvragen over meerdere VM's verspreidt om een hoger beschikbaarheidsniveau te bieden.

Scenario: U moet taken verdelen over verbindingen van VM's die zich niet op internet bevinden. In de meeste gevallen worden de verbindingen die worden geaccepteerd voor taakverdeling, gestart door apparaten in een virtueel Azure-netwerk, zoals SQL Server exemplaren of interne webservers.
Taakverdelingsoptie: gebruik de Azure Portal om een interne load balancer te maken die binnenkomende aanvragen over meerdere VM's verspreidt om een hoger beschikbaarheidsniveau te bieden.

Scenario: U hebt globale taakverdeling nodig omdat u:

  • Een cloudoplossing hebben die breed is verdeeld over meerdere regio's en waarvoor het hoogste beschikbaarheidsniveau (beschikbaarheid) is vereist.
  • U hebt het hoogste uptimeniveau nodig om ervoor te zorgen dat uw service beschikbaar is, zelfs als een volledig datacenter niet meer beschikbaar is.

Optie voor taakverdeling: Azure Traffic Manager gebruiken. Traffic Manager maakt het mogelijk om verbindingen met uw services te verdelen op basis van de locatie van de gebruiker.

Als de gebruiker bijvoorbeeld een aanvraag indient bij uw service vanuit de EU, wordt de verbinding omgeleid naar uw services die zich in een DATACENTER van de EU bevinden. Dit deel van Traffic Manager global load balancing helpt de prestaties te verbeteren, omdat het maken van verbinding met het dichtstbijzijnde datacenter sneller is dan het maken van verbinding met datacenters die ver weg zijn.

RDP-/SSH-toegang tot virtuele machines uitschakelen

Het is mogelijk om virtuele Azure-machines te bereiken met behulp van Remote Desktop Protocol (RDP) en het SSH-protocol ( Secure Shell ). Deze protocollen maken het beheer van VM's vanaf externe locaties mogelijk en worden standaard gebruikt in datacenters.

Het mogelijke beveiligingsprobleem met het gebruik van deze protocollen via internet is dat aanvallers brute force-technieken kunnen gebruiken om toegang te krijgen tot virtuele Azure-machines. Nadat de aanvallers toegang hebben verkregen, kunnen ze uw VM gebruiken als een startpunt voor aanvallen op andere computers in uw virtuele netwerk of zelfs voor aanvallen op netwerkapparaten buiten Azure.

U wordt aangeraden directe RDP- en SSH-toegang tot uw virtuele Azure-machines vanaf internet uit te schakelen. Nadat directe RDP- en SSH-toegang vanaf internet is uitgeschakeld, hebt u andere opties die u kunt gebruiken om toegang te krijgen tot deze VM's voor extern beheer.

Scenario: schakel één gebruiker in om via internet verbinding te maken met een virtueel Azure-netwerk.
Optie: Punt-naar-site-VPN is een andere term voor een VPN-client/serververbinding voor externe toegang. Nadat de punt-naar-site-verbinding tot stand is gebracht, kan de gebruiker RDP of SSH gebruiken om verbinding te maken met virtuele machines in het virtuele Azure-netwerk waarmee de gebruiker verbinding heeft gemaakt via punt-naar-site-VPN. Hierbij wordt ervan uitgegaan dat de gebruiker gemachtigd is om deze VM's te bereiken.

Punt-naar-site-VPN is veiliger dan directe RDP- of SSH-verbindingen, omdat de gebruiker twee keer moet verifiëren voordat verbinding wordt gemaakt met een VM. Eerst moet de gebruiker zich verifiëren (en zijn geautoriseerd) om de punt-naar-site-VPN-verbinding tot stand te brengen. Ten tweede moet de gebruiker zich verifiëren (en zijn geautoriseerd) om de RDP- of SSH-sessie tot stand te brengen.

Scenario: schakel gebruikers in uw on-premises netwerk in om verbinding te maken met VM's in uw virtuele Azure-netwerk.
Optie: Een site-naar-site-VPN verbindt een heel netwerk met een ander netwerk via internet. U kunt een site-naar-site-VPN gebruiken om uw on-premises netwerk te verbinden met een virtueel Azure-netwerk. Gebruikers in uw on-premises netwerk maken verbinding met behulp van het RDP- of SSH-protocol via de site-naar-site-VPN-verbinding. U hoeft geen directe RDP- of SSH-toegang via internet toe te staan.

Scenario: Gebruik een toegewezen WAN-koppeling om functionaliteit te bieden die vergelijkbaar is met de site-naar-site-VPN.
Optie: Gebruik ExpressRoute. Het biedt functionaliteit die vergelijkbaar is met de site-naar-site-VPN. Dit zijn de belangrijkste verschillen:

  • De toegewezen WAN-koppeling gaat niet via internet.
  • Dedicated WAN-koppelingen zijn doorgaans stabieler en presteren beter.

Uw kritieke Azure-serviceresources beveiligen naar alleen uw virtuele netwerken

Gebruik Azure Private Link om toegang te krijgen tot Azure PaaS-services (bijvoorbeeld Azure Storage en SQL Database) via een privé-eindpunt in uw virtuele netwerk. Met privé-eindpunten kunt u uw kritieke Azure-serviceresources alleen in uw virtuele netwerken beveiligen. Verkeer van uw virtuele netwerk naar de Azure-service blijft altijd aanwezig in het Backbone-netwerk van Microsoft Azure. Het beschikbaar maken van uw virtuele netwerk op het openbare internet is niet meer nodig om Azure PaaS-services te gebruiken.

Azure Private Link de volgende voordelen bieden:

  • Verbeterde beveiliging voor uw Azure-servicebronnen: Met Azure Private Link kunnen Azure-servicebronnen worden beveiligd naar uw virtuele netwerk met behulp van een privé-eindpunt. Het beveiligen van servicebronnen naar een privé-eindpunt in een virtueel netwerk biedt verbeterde beveiliging doordat openbare internettoegang tot resources volledig wordt verwijderd en alleen verkeer vanaf een privé-eindpunt in uw virtuele netwerk wordt toegestaan.
  • Privétoegang tot Azure-servicebronnen op het Azure-platform: verbind uw virtuele netwerk met services in Azure met behulp van privé-eindpunten. Er is geen openbaar IP-adres nodig. Het Private Link-platform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk.
  • Toegang vanaf on-premises en gekoppelde netwerken: toegang tot services die worden uitgevoerd in Azure vanaf on-premises via ExpressRoute-privépeering, VPN-tunnels en gekoppelde virtuele netwerken met behulp van privé-eindpunten. U hoeft geen ExpressRoute Microsoft-peering in te stellen of door het internet te gaan om de service te bereiken. Private Link biedt een veilige manier om workloads naar Azure te migreren.
  • Bescherming tegen gegevenslekken: Een privé-eindpunt wordt toegewezen aan een instantie van een PaaS-resource in plaats van de gehele service. Consumenten kunnen alleen verbinding maken met de specifieke resource. Toegang tot andere resources in de service is geblokkeerd. Dit mechanisme biedt beveiliging tegen risico's van gegevenslekken.
  • Globaal bereik: Maak privé verbinding met services die in andere regio's worden uitgevoerd. Het virtuele netwerk van de consument kan zich in regio A bevinden en kan verbinding maken met services in regio B.
  • Eenvoudig in te stellen en te beheren: u hebt geen gereserveerde openbare IP-adressen meer nodig in uw virtuele netwerken om Azure-resources te beveiligen via een IP-firewall. Er zijn geen NAT- of gatewayapparaten vereist om de privé-eindpunten in te stellen. Privé-eindpunten worden geconfigureerd via een eenvoudige werkstroom. Aan de servicezijde kunt u de verbindingsaanvragen op uw Azure-serviceresource ook eenvoudig beheren. Azure Private Link werkt ook voor consumenten en services die behoren tot verschillende Azure Active Directory-tenants.

Zie Azure Private Link voor meer informatie over privé-eindpunten en de Azure-services en -regio's waarvoor privé-eindpunten beschikbaar zijn.

Volgende stappen

Bekijk best practices en patronen voor Azure-beveiliging voor meer aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u uw cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure.