Azure network security overview

Netwerkbeveiliging kan worden gedefinieerd als het proces voor het beveiligen van resources tegen onbevoegde toegang of aanval door besturingselementen toe te passen op netwerkverkeer. Het doel is ervoor te zorgen dat alleen legitiem verkeer is toegestaan. Azure bevat een robuuste netwerkinfrastructuur ter ondersteuning van uw toepassings- en serviceconnectiviteitsvereisten. Netwerkconnectiviteit is mogelijk tussen resources die zich in Azure bevinden, tussen on-premises en door Azure gehoste resources, en van en naar internet en Azure.

In dit artikel worden enkele van de opties beschreven die Azure biedt op het gebied van netwerkbeveiliging. Meer informatie over:

• Azure-netwerken
• Netwerktoegangsbeheer
• Azure Firewall
• Externe toegang en cross-premises connectiviteit beveiligen
• Beschikbaarheid
• Naamomzetting
• DMZ-architectuur (Perimeternetwerk)
• Azure DDoS-beveiliging
• Azure Front Door
• Traffic Manager
• Bewaking en detectie van bedreigingen

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een firewall voor webtoepassingen te implementeren. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau.

Azure-netwerken

Voor Azure moeten virtuele machines zijn verbonden met een virtueel Azure-netwerk. Een virtueel netwerk is een logische constructie die is gebouwd op de fysieke Azure-netwerkinfrastructuur. Elk virtueel netwerk is geïsoleerd van alle andere virtuele netwerken. Dit helpt ervoor te zorgen dat netwerkverkeer in uw implementaties niet toegankelijk is voor andere Azure-klanten.

Meer informatie:

• Overzicht van virtueel netwerk

Netwerktoegangsbeheer

Netwerktoegangsbeheer is het beperken van de connectiviteit van en naar specifieke apparaten of subnetten binnen een virtueel netwerk. Het doel van netwerktoegangsbeheer is om de toegang tot uw virtuele machines en services te beperken tot goedgekeurde gebruikers en apparaten. Besturingselementen voor toegang zijn gebaseerd op beslissingen om verbindingen met en naar uw virtuele machine of service toe te staan of te weigeren.

ondersteuning voor Azure verschillende typen netwerktoegangsbeheer, zoals:

• Netwerklaagbeheer
• Routebeheer en geforceerde tunneling
• Virtuele netwerkbeveiligingsapparaten

Netwerklaagbeheer

Voor een veilige implementatie is een zekere mate van netwerktoegangsbeheer vereist. Het doel van netwerktoegangsbeheer is het beperken van de communicatie van virtuele machines naar de benodigde systemen. Andere communicatiepogingen worden geblokkeerd.

Notitie

Storage Firewalls worden behandeld in het overzichtsartikel over Azure Storage-beveiliging

Netwerkbeveiligingsregels (NSG's)

Als u basistoegangsbeheer op netwerkniveau nodig hebt (op basis van IP-adres en de TCP- of UDP-protocollen), kunt u netwerkbeveiligingsgroepen (NSG's) gebruiken. Een NSG is een eenvoudige, stateful firewall voor pakketfilters en stelt u in staat om de toegang te beheren op basis van een 5-tuple. NSG's bevatten functionaliteit om het beheer te vereenvoudigen en de kans op configuratiefouten te verminderen:

• Uitgebreide beveiligingsregels vereenvoudigen de definitie van NSG-regels en stellen u in staat complexe regels te maken in plaats van meerdere eenvoudige regels te maken om hetzelfde resultaat te bereiken.
• Servicetags zijn door Microsoft gemaakte labels die een groep IP-adressen vertegenwoordigen. Ze worden dynamisch bijgewerkt om IP-bereiken op te nemen die voldoen aan de voorwaarden die de opname in het label definiëren. Als u bijvoorbeeld een regel wilt maken die van toepassing is op alle Azure-opslag in de regio Oost, kunt u Storage.EastUS gebruiken
• Met toepassingsbeveiligingsgroepen kunt u resources implementeren in toepassingsgroepen en de toegang tot deze resources beheren door regels te maken die gebruikmaken van deze toepassingsgroepen. Als u bijvoorbeeld webservers hebt geïmplementeerd in de toepassingsgroep Webservers, kunt u een regel maken waarmee een NSG wordt toegepast waarmee 443 verkeer van internet naar alle systemen in de toepassingsgroep Webservers wordt toegestaan.

NSG's bieden geen controle van toepassingslagen of geverifieerde toegangsbeheer.

Meer informatie:

• Netwerkbeveiligingsgroepen

Just-In-Time-VM-toegang Defender voor Cloud

Microsoft Defender voor Cloud de NSG's op VM's kan beheren en toegang tot de VIRTUELE machine kan vergrendelen totdat een gebruiker met het juiste op rollen gebaseerd toegangsbeheer van Azure RBAC-machtigingen toegang aanvraagt. Wanneer de gebruiker is geautoriseerd Defender voor Cloud wijzigingen aanbrengt in de NSG's om toegang tot geselecteerde poorten toe te staan voor de opgegeven tijd. Wanneer de tijd verloopt, worden de NSG's hersteld naar de vorige beveiligde status.

Meer informatie:

• Microsoft Defender voor Cloud Just-In-Time-toegang

Service-eindpunten

Service-eindpunten zijn een andere manier om controle over uw verkeer toe te passen. U kunt de communicatie met ondersteunde services beperken tot alleen uw VNets via een directe verbinding. Verkeer van uw VNet naar de opgegeven Azure-service blijft in het Microsoft Azure backbone-netwerk.

Meer informatie:

• Service-eindpunten

Routebeheer en geforceerde tunneling

De mogelijkheid om routeringsgedrag op uw virtuele netwerken te beheren, is essentieel. Als routering onjuist is geconfigureerd, kunnen toepassingen en services die op uw virtuele machine worden gehost, verbinding maken met niet-geautoriseerde apparaten, waaronder systemen die eigendom zijn van en worden beheerd door potentiële aanvallers.

Azure-netwerken ondersteunen de mogelijkheid om het routeringsgedrag voor netwerkverkeer op uw virtuele netwerken aan te passen. Hiermee kunt u de standaardvermeldingen in de routeringstabel in uw virtuele netwerk wijzigen. Controle over routeringsgedrag helpt u ervoor te zorgen dat al het verkeer van een bepaald apparaat of een bepaalde groep apparaten uw virtuele netwerk binnenkomt of verlaat via een specifieke locatie.

U hebt bijvoorbeeld een virtueel netwerkbeveiligingsapparaat in uw virtuele netwerk. U wilt ervoor zorgen dat al het verkeer naar en van uw virtuele netwerk via dat virtuele beveiligingsapparaat gaat. U kunt dit doen door UDR's (User Defined Routes) te configureren in Azure.

Geforceerde tunneling is een mechanisme dat u kunt gebruiken om ervoor te zorgen dat uw services geen verbinding met apparaten op internet mogen initiëren. Houd er rekening mee dat dit verschilt van het accepteren van binnenkomende verbindingen en vervolgens erop reageren. Front-endwebservers moeten reageren op aanvragen van internethosts, zodat binnenkomend verkeer via internet naar deze webservers is toegestaan en de webservers kunnen reageren.

Wat u niet wilt toestaan, is een front-endwebserver om een uitgaande aanvraag te initiëren. Dergelijke aanvragen kunnen een beveiligingsrisico vormen omdat deze verbindingen kunnen worden gebruikt om malware te downloaden. Zelfs als u wilt dat deze front-endservers uitgaande aanvragen naar internet initiëren, wilt u mogelijk afdwingen dat ze uw on-premises webproxy's doorlopen. Hierdoor kunt u profiteren van URL-filtering en logboekregistratie.

In plaats daarvan wilt u geforceerde tunneling gebruiken om dit te voorkomen. Wanneer u geforceerde tunneling inschakelt, worden alle verbindingen met internet gedwongen via uw on-premises gateway. U kunt geforceerde tunneling configureren door gebruik te maken van UDR's.

Meer informatie:

• Wat zijn door de gebruiker gedefinieerde routes en doorsturen via IP

Virtuele netwerkbeveiligingsapparaten

Hoewel NSG's, UDR's en geforceerde tunneling u een beveiligingsniveau bieden op het netwerk- en transportniveau van het OSI-model, wilt u mogelijk ook beveiliging inschakelen op niveaus die hoger zijn dan het netwerk.

Uw beveiligingsvereisten kunnen bijvoorbeeld het volgende omvatten:

• Verificatie en autorisatie voordat toegang tot uw toepassing wordt toegestaan
• Inbraakdetectie en inbraakreactie
• Inspectie van toepassingslagen voor protocollen op hoog niveau
• URL-filtering
• Antivirus- en antimalware op netwerkniveau
• Beveiliging tegen bots
• Toegangsbeheer voor toepassingen
• Aanvullende DDoS-beveiliging (boven de DDoS-beveiliging die wordt geleverd door de Azure-infrastructuur zelf)

U hebt toegang tot deze verbeterde netwerkbeveiligingsfuncties met behulp van een Azure-partneroplossing. U vindt de meest recente netwerkbeveiligingsoplossingen van Azure-partners door naar De Azure Marketplace te gaan en te zoeken naar 'beveiliging' en 'netwerkbeveiliging'.

Azure Firewall

Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die beveiliging tegen bedreigingen biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Het biedt zowel oost-west- als noord-zuid verkeersinspectie.

Azure Firewall wordt aangeboden in drie SKU's: Standard, Premium en Basic. Azure Firewall Standard biedt L3-L7-filtering en bedreigingsinformatiefeeds rechtstreeks vanuit Microsoft Cyber Security. Azure Firewall Premium biedt geavanceerde mogelijkheden, zoals op handtekeningen gebaseerde IDPS, om snelle detectie van aanvallen mogelijk te maken door te zoeken naar specifieke patronen. Azure Firewall Basic is een vereenvoudigde SKU die hetzelfde beveiligingsniveau biedt als de Standard-SKU, maar zonder de geavanceerde mogelijkheden.

Meer informatie:

• Wat is Azure Firewall?

Externe toegang en cross-premises connectiviteit beveiligen

Het instellen, configureren en beheren van uw Azure-resources moet extern worden uitgevoerd. Daarnaast kunt u hybride IT-oplossingen met on-premises onderdelen en in de openbare Azure-cloud implementeren. Voor deze scenario's is beveiligde externe toegang vereist.

Azure-netwerken ondersteunen de volgende scenario's voor veilige externe toegang:

• Afzonderlijke werkstations verbinden met een virtueel netwerk
• Uw on-premises netwerk verbinden met een virtueel netwerk met een VPN
• Uw on-premises netwerk verbinden met een virtueel netwerk met een toegewezen WAN-koppeling
• Virtuele netwerken met elkaar verbinden

Afzonderlijke werkstations verbinden met een virtueel netwerk

Mogelijk wilt u afzonderlijke ontwikkelaars of operationele medewerkers inschakelen voor het beheren van virtuele machines en services in Azure. Stel dat u toegang nodig hebt tot een virtuele machine in een virtueel netwerk. Uw beveiligingsbeleid staat echter geen externe TOEGANG van RDP of SSH toe tot afzonderlijke virtuele machines. In dit geval kunt u een punt-naar-site-VPN-verbinding gebruiken.

Met de punt-naar-site-VPN-verbinding kunt u een privé- en beveiligde verbinding instellen tussen de gebruiker en het virtuele netwerk. Wanneer de VPN-verbinding tot stand is gebracht, kan de gebruiker VIA RDP of SSH via de VPN-koppeling naar elke virtuele machine in het virtuele netwerk. (Hierbij wordt ervan uitgegaan dat de gebruiker zich kan verifiëren en geautoriseerd is.) Punt-naar-site-VPN ondersteunt:

• Secure Socket Tunneling Protocol (SSTP), een eigen VPN-protocol op basis van SSL. Een SSL VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls TCP-poort 443 openen, die door TLS/SSL worden gebruikt. SSTP wordt alleen ondersteund op Windows-apparaten. ondersteuning voor Azure alle versies van Windows met SSTP (Windows 7 en hoger).

• IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (OSX-versie 10.11 en hoger).

• OpenVPN

Meer informatie:

• Een punt-naar-site-verbinding met een virtueel netwerk configureren met behulp van PowerShell

Uw on-premises netwerk verbinden met een virtueel netwerk met een VPN

Mogelijk wilt u uw hele bedrijfsnetwerk of delen van het netwerk verbinden met een virtueel netwerk. Dit is gebruikelijk in hybride IT-scenario's, waarbij organisaties hun on-premises datacenter uitbreiden naar Azure. In veel gevallen hosten organisaties onderdelen van een service in Azure en on-premises onderdelen. Ze kunnen dit bijvoorbeeld doen wanneer een oplossing front-endwebservers bevat in Azure en on-premises back-enddatabases. Deze typen cross-premises verbindingen maken ook het beheer van azure-resources veiliger en maken scenario's mogelijk, zoals het uitbreiden van Active Directory-domeincontrollers naar Azure.

Een manier om dit te bereiken is door een site-naar-site-VPN te gebruiken. Het verschil tussen een site-naar-site-VPN en een punt-naar-site-VPN is dat de laatste één apparaat verbindt met een virtueel netwerk. Een site-naar-site-VPN verbindt een volledig netwerk (zoals uw on-premises netwerk) met een virtueel netwerk. Site-naar-site-VPN's voor een virtueel netwerk maken gebruik van het VPN-protocol voor de zeer veilige IPsec-tunnelmodus.

Meer informatie:

• Een Resource Manager-VNet maken met een site-naar-site-VPN-verbinding met behulp van Azure Portal
• Over VPN Gateway

Uw on-premises netwerk verbinden met een virtueel netwerk met een toegewezen WAN-koppeling

Punt-naar-site- en site-naar-site-VPN-verbindingen zijn effectief voor het inschakelen van cross-premises connectiviteit. Sommige organisaties beschouwen ze echter als de volgende nadelen:

• VPN-verbindingen verplaatsen gegevens via internet. Hierdoor worden deze verbindingen blootgesteld aan mogelijke beveiligingsproblemen met betrekking tot het verplaatsen van gegevens via een openbaar netwerk. Bovendien kunnen betrouwbaarheid en beschikbaarheid voor internetverbinding niet worden gegarandeerd.
• VPN-verbindingen met virtuele netwerken hebben mogelijk niet de bandbreedte voor sommige toepassingen en doeleinden, omdat ze maximaal 200 Mbps hebben.

Organisaties die het hoogste niveau van beveiliging en beschikbaarheid voor hun cross-premises verbindingen nodig hebben, gebruiken doorgaans toegewezen WAN-koppelingen om verbinding te maken met externe sites. Azure biedt u de mogelijkheid om een toegewezen WAN-koppeling te gebruiken die u kunt gebruiken om uw on-premises netwerk te verbinden met een virtueel netwerk. Azure ExpressRoute, Express Route Direct en Express Route global reach maken dit mogelijk.

Meer informatie:

• Technisch overzicht van ExpressRoute
• ExpressRoute direct
• Wereldwijd bereik van ExpressRoute

Virtuele netwerken met elkaar verbinden

Het is mogelijk om veel virtuele netwerken te gebruiken voor uw implementaties. Er zijn verschillende redenen waarom u dit kunt doen. Misschien wilt u het beheer vereenvoudigen of wilt u meer beveiliging. Ongeacht de motivatie voor het plaatsen van resources in verschillende virtuele netwerken, kan het voorkomen dat u resources in elk van de netwerken met elkaar wilt verbinden.

Een optie is dat services in het ene virtuele netwerk verbinding kunnen maken met services in een ander virtueel netwerk door via internet terug te keren. De verbinding begint op één virtueel netwerk, gaat via internet en komt vervolgens terug naar het virtuele doelnetwerk. Met deze optie wordt de verbinding met de beveiligingsproblemen weergegeven die inherent zijn aan communicatie via internet.

Een betere optie is het maken van een site-naar-site-VPN die verbinding maakt tussen twee virtuele netwerken. Deze methode maakt gebruik van hetzelfde IPSec-tunnelmodusprotocol als de cross-premises site-naar-site-VPN-verbinding die hierboven wordt genoemd.

Het voordeel van deze aanpak is dat de VPN-verbinding via de Azure-netwerkinfrastructuur tot stand is gebracht, in plaats van verbinding te maken via internet. Dit biedt u een extra beveiligingslaag, vergeleken met site-naar-site VPN's die via internet verbinding maken.

Meer informatie:

• Een VNet-naar-VNet-verbinding configureren met behulp van Azure Resource Manager en PowerShell

Een andere manier om uw virtuele netwerken te verbinden, is VNET-peering. Met deze functie kunt u twee Azure-netwerken verbinden, zodat de communicatie tussen deze netwerken plaatsvindt via de Microsoft-backbone-infrastructuur zonder dat deze ooit via internet wordt uitgevoerd. VNET-peering kan twee VNET-VNET's verbinden binnen dezelfde regio of twee VNET's tussen Azure-regio's. NSG's kunnen worden gebruikt om de connectiviteit tussen verschillende subnetten of systemen te beperken.

Beschikbaarheid

Beschikbaarheid is een belangrijk onderdeel van elk beveiligingsprogramma. Als uw gebruikers en systemen geen toegang hebben tot wat ze nodig hebben voor toegang via het netwerk, kan de service worden beschouwd als gecompromitteerd. Azure heeft netwerktechnologieën die ondersteuning bieden voor de volgende mechanismen voor hoge beschikbaarheid:

• Taakverdeling op basis van HTTP
• Taakverdeling op netwerkniveau
• Wereldwijde taakverdeling

Taakverdeling is een mechanisme dat is ontworpen om verbindingen tussen meerdere apparaten gelijkmatig te verdelen. De doelen van taakverdeling zijn:

• Om de beschikbaarheid te vergroten. Wanneer u taken over meerdere apparaten verdeelt, kunnen een of meer van de apparaten niet meer beschikbaar zijn zonder de service in gevaar te brengen. De services die op de resterende onlineapparaten worden uitgevoerd, kunnen de inhoud van de service blijven leveren.
• Om de prestaties te verbeteren. Wanneer u taken over meerdere apparaten verdeelt, hoeft één apparaat niet alle verwerkingen te verwerken. In plaats daarvan wordt de verwerkings- en geheugenvraag voor het leveren van de inhoud verspreid over meerdere apparaten.

Taakverdeling op basis van HTTP

Organisaties die webservices uitvoeren, willen vaak een load balancer op basis van HTTP voor die webservices hebben. Dit zorgt voor voldoende prestatieniveaus en hoge beschikbaarheid. Traditionele load balancers op basis van netwerken zijn afhankelijk van netwerk- en transportlaagprotocollen. Op HTTP gebaseerde load balancers nemen daarentegen beslissingen op basis van kenmerken van het HTTP-protocol.

Azure-toepassing Gateway biedt taakverdeling op basis van HTTP voor uw webservices. Application Gateway ondersteunt:

• Sessieaffiniteit op basis van cookies. Deze mogelijkheid zorgt ervoor dat verbindingen die tot stand zijn gebracht met een van de servers achter die load balancer intact blijven tussen de client en de server. Dit zorgt voor stabiliteit van transacties.
• TLS-offload. Wanneer een client verbinding maakt met de load balancer, wordt die sessie versleuteld met behulp van het HTTPS-protocol (TLS). Om de prestaties te verbeteren, kunt u echter het HTTP-protocol (niet-versleuteld) gebruiken om verbinding te maken tussen de load balancer en de webserver achter de load balancer. Dit wordt 'TLS-offload' genoemd, omdat de webservers achter de load balancer niet te maken hebben met de processoroverhead die betrokken is bij versleuteling. De webservers kunnen daarom sneller serviceaanvragen aanvragen.
• Routering van inhoud op basis van URL's. Met deze functie kan de load balancer beslissingen nemen over waar verbindingen moeten worden doorgestuurd op basis van de doel-URL. Dit biedt veel meer flexibiliteit dan oplossingen die taakverdelingsbeslissingen nemen op basis van IP-adressen.

Meer informatie:

• Overzicht van Application Gateway

Taakverdeling op netwerkniveau

In tegenstelling tot taakverdeling op basis van HTTP maakt taakverdeling op netwerkniveau beslissingen op basis van IP-adres- en poortnummers (TCP of UDP). U kunt de voordelen van taakverdeling op netwerkniveau in Azure verkrijgen met behulp van Azure Load Balancer. Enkele belangrijke kenmerken van Load Balancer zijn:

• Taakverdeling op netwerkniveau op basis van IP-adres en poortnummers.
• Ondersteuning voor elk protocol voor toepassingslagen.
• Taken worden verdeeld over virtuele Azure-machines en rolinstanties van cloudservices.
• Kan worden gebruikt voor zowel internetgerichte (externe taakverdeling) als niet-internetgerichte (interne taakverdeling) toepassingen en virtuele machines.
• Eindpuntbewaking, die wordt gebruikt om te bepalen of een van de services achter de load balancer niet meer beschikbaar is.

Meer informatie:

• Overzicht van interne load balancer

Wereldwijde taakverdeling

Sommige organisaties willen het hoogste beschikbaarheidsniveau. Een manier om dit doel te bereiken is het hosten van toepassingen in wereldwijd gedistribueerde datacenters. Wanneer een toepassing wordt gehost in datacenters over de hele wereld, is het mogelijk dat een hele geopolitieke regio niet meer beschikbaar is en de toepassing nog steeds actief is.

Deze taakverdelingsstrategie kan ook prestatievoordelen opleveren. U kunt aanvragen voor de service doorsturen naar het datacenter dat zich het dichtst bij het apparaat bevindt dat de aanvraag indient.

In Azure profiteert u van de voordelen van wereldwijde taakverdeling met behulp van Azure Traffic Manager.

Meer informatie:

• Wat is Traffic Manager?

Naamomzetting

Naamomzetting is een kritieke functie voor alle services die u in Azure host. Vanuit beveiligingsperspectief kan inbreuk op de naamomzettingsfunctie leiden tot een aanvaller die aanvragen van uw sites omleidt naar de site van een aanvaller. Veilige naamomzetting is een vereiste voor al uw gehoste cloudservices.

Er zijn twee typen naamomzetting die u moet aanpakken:

• Interne naamomzetting. Dit wordt gebruikt door services op uw virtuele netwerken, uw on-premises netwerken of beide. Namen die worden gebruikt voor interne naamomzetting, zijn niet toegankelijk via internet. Voor optimale beveiliging is het belangrijk dat uw interne naamomzettingsschema niet toegankelijk is voor externe gebruikers.
• Externe naamomzetting. Dit wordt gebruikt door personen en apparaten buiten uw on-premises netwerken en virtuele netwerken. Dit zijn de namen die zichtbaar zijn voor internet en worden gebruikt om verbinding te maken met uw cloudservices.

Voor interne naamomzetting hebt u twee opties:

• Een DNS-server voor een virtueel netwerk. Wanneer u een nieuw virtueel netwerk maakt, wordt er een DNS-server voor u gemaakt. Deze DNS-server kan de namen van de computers die zich in dat virtuele netwerk bevinden, omzetten. Deze DNS-server kan niet worden geconfigureerd, wordt beheerd door Azure Fabric Manager en kan u daarom helpen uw oplossing voor naamomzetting te beveiligen.
• Bring your own DNS server. U hebt de mogelijkheid om een DNS-server van uw eigen keuze in uw virtuele netwerk te plaatsen. Deze DNS-server kan een geïntegreerde Active Directory DNS-server of een toegewezen DNS-serveroplossing zijn die wordt geleverd door een Azure-partner, die u kunt verkrijgen via Azure Marketplace.

Meer informatie:

• Overzicht van virtueel netwerk
• DNS-servers beheren die worden gebruikt door een virtueel netwerk

Voor externe naamomzetting hebt u twee opties:

• Host uw eigen externe DNS-server on-premises.
• Host uw eigen externe DNS-server met een serviceprovider.

Veel grote organisaties hosten hun eigen DNS-servers on-premises. Ze kunnen dit doen omdat ze de netwerkexpertise en wereldwijde aanwezigheid hebben om dit te doen.

In de meeste gevallen is het beter om uw DNS-naamomzettingsservices te hosten bij een serviceprovider. Deze serviceproviders hebben de netwerkexpertise en wereldwijde aanwezigheid om een zeer hoge beschikbaarheid voor uw naamomzettingsservices te garanderen. Beschikbaarheid is essentieel voor DNS-services, omdat als uw naamomzettingsservices mislukken, niemand uw internetgerichte services kan bereiken.

Azure biedt u een maximaal beschikbare en krachtige externe DNS-oplossing in de vorm van Azure DNS. Deze oplossing voor externe naamomzetting maakt gebruik van de wereldwijde Azure DNS-infrastructuur. Hiermee kunt u uw domein in Azure hosten met dezelfde referenties, API's, hulpprogramma's en facturering als uw andere Azure-services. Als onderdeel van Azure neemt het ook de sterke beveiligingsmaatregelen over die zijn ingebouwd in het platform.

Meer informatie:

• Overzicht van Azure DNS
• Met azure DNS-privézones kunt u privé-DNS-namen configureren voor Azure-resources in plaats van de automatisch toegewezen namen zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen.

Perimeternetwerkarchitectuur

Veel grote organisaties gebruiken perimeternetwerken om hun netwerken te segmenteren en maken een bufferzone tussen internet en hun services. Het perimetergedeelte van het netwerk wordt beschouwd als een zone met een lage beveiliging en er worden geen hoogwaardige assets in dat netwerksegment geplaatst. Doorgaans ziet u netwerkbeveiligingsapparaten met een netwerkinterface in het perimeternetwerksegment. Een andere netwerkinterface is verbonden met een netwerk met virtuele machines en services die binnenkomende verbindingen van internet accepteren.

U kunt perimeternetwerken op verschillende manieren ontwerpen. De beslissing om een perimeternetwerk te implementeren en vervolgens welk type perimeternetwerk u wilt gebruiken als u besluit er een te gebruiken, is afhankelijk van uw netwerkbeveiligingsvereisten.

Meer informatie:

• Perimeternetwerken voor beveiligingszones

Azure DDoS-beveiliging

DDoS-aanvallen (Distributed Denial of Service-aanvallen) vormen een van de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die hun toepassingen verplaatsen naar de cloud. Met een DDoS-aanval wordt geprobeerd de resources van een toepassing uit te putten, waardoor de toepassing niet meer beschikbaar is voor legitieme gebruikers. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

DDoS Protection-functies zijn onder andere:

• Systeemeigen platformintegratie: systeemeigen geïntegreerd in Azure. Bevat configuratie via Azure Portal. Bij DDoS Protection wordt rekening gehouden met uw resources en resourceconfiguratie.
• Kant-en-klare beveiliging: Met vereenvoudigde configuratie worden alle resources in een virtueel netwerk onmiddellijk beschermd zodra DDoS Protection is ingeschakeld. Er is geen tussenkomst of gebruikersdefinitie vereist. DDoS Protection beperkt de aanval onmiddellijk en automatisch, zodra deze is gedetecteerd.
• Always-on-verkeersbewaking: uw toepassingsverkeerspatronen worden 24 uur per dag, 7 dagen per week bewaakt, op zoek naar indicatoren van DDoS-aanvallen. Risicobeperking wordt uitgevoerd wanneer het beveiligingsbeleid wordt overschreden.
• Aanvalsbeperkingsrapporten : rapporten over aanvalsbeperking maken gebruik van geaggregeerde netwerkstroomgegevens om gedetailleerde informatie te bieden over aanvallen die zijn gericht op uw resources.
• Met logboeken voor aanvalsbeperkingsstroomlogboeken voor aanvallen kunt u het verwijderde verkeer, doorgestuurde verkeer en andere aanvalsgegevens in bijna realtime controleren tijdens een actieve DDoS-aanval.
• Adaptieve afstemming: Intelligente verkeersprofilering leert het verkeer van uw toepassing in de loop van de tijd en selecteert en werkt het profiel bij dat het meest geschikt is voor uw service. Het profiel wordt aangepast naarmate het verkeer na verloop van tijd verandert. Laag 3 tot laag 7-beveiliging: biedt volledige DDoS-beveiliging voor stacks wanneer deze wordt gebruikt met een webtoepassingsfirewall.
• Uitgebreide beperkingsschaal: Meer dan 60 verschillende aanvalstypen kunnen worden beperkt, met wereldwijde capaciteit, om te beschermen tegen de grootste bekende DDoS-aanvallen.
• Metrische gegevens over aanvallen: samengevatte metrische gegevens van elke aanval zijn toegankelijk via Azure Monitor.
• Waarschuwing voor aanvallen: waarschuwingen kunnen worden geconfigureerd aan het begin en einde van een aanval, en over de duur van de aanval, met behulp van ingebouwde metrische gegevens voor aanvallen. Waarschuwingen worden geïntegreerd in uw operationele software, zoals Microsoft Azure Monitor-logboeken, Splunk, Azure Storage, Email en Azure Portal.
• Kostengarantie: servicetegoeden voor gegevensoverdracht en uitschalen van toepassingen voor gedocumenteerde DDoS-aanvallen.
• DDoS Rapid responsieve DDoS Protection-klanten hebben nu toegang tot het Rapid Response-team tijdens een actieve aanval. DRR kan helpen bij het onderzoeken van aanvallen, aangepaste oplossingen tijdens een aanval en analyse na een aanval.

Meer informatie:

• Overzicht van DDOS-beveiliging

Azure Front Door

Met Azure Front Door Service kunt u de globale routering van uw webverkeer definiëren, beheren en bewaken. Het optimaliseert de routering van uw verkeer voor de beste prestaties en hoge beschikbaarheid. Met Azure Front Door kunt u regels voor toegangsbeheer maken voor aangepaste webtoepassingsfirewalls (WAF) om uw HTTP/HTTPS-workload te beschermen tegen exploitatie op basis van klant-IP-adressen, landcode en http-parameters. Bovendien kunt u met Front Door ook frequentiebeperkingsregels maken om schadelijk botverkeer te bestrijden, het omvat TLS-offloading en verwerking per HTTP/HTTPS-aanvraag, verwerking van toepassingslagen.

Front Door-platform zelf wordt beveiligd door DDoS-beveiliging op azure-infrastructuurniveau. Voor verdere beveiliging kan Azure DDoS-netwerkbeveiliging worden ingeschakeld op uw VNET's en resources beschermen tegen TCP/UDP-aanvallen (netwerklaag) via automatisch afstemmen en beperken. Front Door is een omgekeerde proxy van laag 7. Hiermee kan webverkeer alleen worden doorgegeven aan back-endservers en andere soorten verkeer standaard blokkeren.

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een firewall voor webtoepassingen te implementeren. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau.

Meer informatie:

• Raadpleeg het overzicht van Azure Front Door voor meer informatie over de volledige set mogelijkheden van Azure Front Door

Azure Traffic Manager

Azure Traffic Manager is een op DNS gebaseerde load balancer waarmee u verkeer optimaal over services kunt verdelen in Azure-regio's wereldwijd, terwijl u over hoge beschikbaarheid en een hoge reactiesnelheid beschikt. Traffic Manager maakt gebruik van DNS om aanvragen van clients door te sturen naar de meest geschikte eindpunten op basis van een methode om verkeer te routeren en van de status van de eindpunten. Een eindpunt is een internetgerichte service die binnen of buiten Azure wordt gehost. Traffic Manager bewaakt de eindpunten en leidt geen verkeer naar eindpunten die niet beschikbaar zijn.

Meer informatie:

• Overzicht van Azure Traffic Manager

Bewaking en detectie van bedreigingen

Azure biedt mogelijkheden om u te helpen in dit belangrijke gebied met vroege detectie, bewaking en het verzamelen en controleren van netwerkverkeer.

Azure Network Watcher

Azure Network Watcher kan u helpen bij het oplossen van problemen en biedt een hele nieuwe set hulpprogramma's om u te helpen bij het identificeren van beveiligingsproblemen.

De weergave Beveiligingsgroepen helpt bij het controleren en controleren van de beveiligingsnaleving van virtuele machines. Gebruik deze functie om programmatische controles uit te voeren en het basislijnbeleid dat door uw organisatie is gedefinieerd, te vergelijken met effectieve regels voor elk van uw VM's. Dit kan u helpen bij het identificeren van elke configuratiedrift.

Met pakketopname kunt u netwerkverkeer van en naar de virtuele machine vastleggen. U kunt netwerkstatistieken verzamelen en toepassingsproblemen oplossen, wat waardevol kan zijn bij het onderzoeken van netwerkinbraak. U kunt deze functie ook samen met Azure Functions gebruiken om netwerkopnamen te starten als reactie op specifieke Azure-waarschuwingen.

Zie het overzicht van bewaking van Azure Network Watcher voor meer informatie over Network Watcher en hoe u een deel van de functionaliteit in uw labs kunt testen.

Notitie

Raadpleeg de pagina met Azure-updates voor de meest recente meldingen over beschikbaarheid en status van deze service.

Microsoft Defender for Cloud

Microsoft Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren, en biedt u meer inzicht in en controle over de beveiliging van uw Azure-resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met een grote set beveiligingsoplossingen.

Defender voor Cloud helpt u bij het optimaliseren en bewaken van netwerkbeveiliging door:

• Aanbevelingen voor netwerkbeveiliging bieden.
• De status van uw netwerkbeveiligingsconfiguratie bewaken.
• Waarschuwt u voor netwerkbedreigingen, zowel op eindpunt- als netwerkniveau.

Meer informatie:

• Inleiding tot Microsoft Defender voor Cloud

Virtual Network TAP

Met TAP (Terminal Access Point) van Azure Virtual Network kunt u uw netwerkverkeer van uw virtuele machine continu streamen naar een hulpprogramma voor netwerkpakketverzamelaar of analyse. Het collector- of analysehulpprogramma wordt geleverd door een partner van een virtueel netwerkapparaat. U kunt dezelfde TAP-resource van het virtuele netwerk gebruiken om verkeer van meerdere netwerkinterfaces in dezelfde of verschillende abonnementen samen te voegen.

Meer informatie:

• TIK op virtueel netwerk

Logboekregistratie

Logboekregistratie op netwerkniveau is een belangrijke functie voor elk netwerkbeveiligingsscenario. In Azure kunt u logboekgegevens vastleggen die zijn verkregen voor NSG's om logboekregistratiegegevens op netwerkniveau op te halen. Met NSG-logboekregistratie krijgt u informatie van:

• Activiteitenlogboeken. Gebruik deze logboeken om alle bewerkingen weer te geven die zijn verzonden naar uw Azure-abonnementen. Deze logboeken zijn standaard ingeschakeld en kunnen worden gebruikt in Azure Portal. Ze werden voorheen audit- of operationele logboeken genoemd.
• Gebeurtenislogboeken. Deze logboeken bevatten informatie over welke NSG-regels zijn toegepast.
• Tellerlogboeken. Deze logboeken laten u weten hoe vaak elke NSG-regel is toegepast om verkeer te weigeren of toe te staan.

U kunt ook Microsoft Power BI, een krachtig hulpprogramma voor gegevensvisualisatie, gebruiken om deze logboeken te bekijken en te analyseren. Meer informatie:

• Azure Monitor-logboeken voor netwerkbeveiligingsgroepen (NSG's)