Najlepsze rozwiązania z zakresu zabezpieczeń sieci na platformie Azure

  • Artykuł

W tym artykule omówiono kolekcję najlepszych rozwiązań dotyczących platformy Azure w celu zwiększenia bezpieczeństwa sieci. Te najlepsze rozwiązania pochodzą z naszego doświadczenia z siecią platformy Azure i doświadczeniami klientów, takich jak ty.

W przypadku każdego najlepszego rozwiązania w tym artykule wyjaśniono:

  • Jakie jest najlepsze rozwiązanie
  • Dlaczego chcesz włączyć to najlepsze rozwiązanie
  • Jaki może być wynik, jeśli nie można włączyć najlepszych rozwiązań
  • Możliwe alternatywy dla najlepszych rozwiązań
  • Jak dowiedzieć się, jak włączyć najlepsze rozwiązanie

Te najlepsze rozwiązania są oparte na opinii konsensusu oraz możliwościach i zestawach funkcji platformy Azure, ponieważ istnieją w momencie pisania tego artykułu. Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł będzie regularnie aktualizowany w celu odzwierciedlenia tych zmian.

Używanie silnych kontrolek sieci

Maszyny wirtualne platformy Azure i urządzenia można połączyć z innymi urządzeniami sieciowymi, umieszczając je w sieciach wirtualnych platformy Azure. Oznacza to, że można połączyć wirtualne karty sieciowe z siecią wirtualną, aby umożliwić komunikację opartą na protokole TCP/IP między urządzeniami obsługującymi sieć. Maszyny wirtualne połączone z siecią wirtualną platformy Azure mogą łączyć się z urządzeniami w tej samej sieci wirtualnej, różnych sieciach wirtualnych, Internecie lub własnych sieciach lokalnych.

Podczas planowania sieci i zabezpieczeń sieci zalecamy scentralizowanie:

  • Zarządzanie podstawowymi funkcjami sieciowymi, takimi jak ExpressRoute, aprowizowanie sieci wirtualnej i podsieci oraz adresowanie IP.
  • Zarządzanie elementami zabezpieczeń sieci, takimi jak funkcje wirtualne urządzenia sieciowego, takie jak ExpressRoute, sieć wirtualna i aprowizowanie podsieci oraz adresowanie IP.

Jeśli używasz wspólnego zestawu narzędzi do zarządzania do monitorowania sieci i zabezpieczeń sieci, uzyskasz jasny wgląd w oba te narzędzia. Prosta, ujednolicona strategia zabezpieczeń zmniejsza błędy, ponieważ zwiększa zrozumienie człowieka i niezawodność automatyzacji.

Podsieci segmentu logicznego

Sieci wirtualne platformy Azure są podobne do sieci LAN w sieci lokalnej. Ideą sieci wirtualnej platformy Azure jest utworzenie sieci opartej na jednej prywatnej przestrzeni adresowej IP, na której można umieścić wszystkie maszyny wirtualne platformy Azure. Dostępne prywatne przestrzenie adresów IP znajdują się w zakresach klasy A (10.0.0.0/8), klasy B (172.16.0.0/12) i klasy C (192.168.0.0/16).

Najlepsze rozwiązania dotyczące logicznego segmentowania podsieci obejmują:

Najlepsze rozwiązanie: nie przypisuj reguł zezwalania z szerokimi zakresami (na przykład zezwalaj na 0.0.0.0 do 255.255.255.255).
Szczegóły: Upewnij się, że procedury rozwiązywania problemów zniechęcają lub zakazują konfigurowania tych typów reguł. Te reguły zezwalają na fałszywe poczucie bezpieczeństwa i są często spotykane i wykorzystywane przez czerwone zespoły.

Najlepsze rozwiązanie: podziel większą przestrzeń adresową na podsieci.
Szczegóły: Użyj zasad podsieci opartych na protokole CIDR, aby utworzyć podsieci.

Najlepsze rozwiązanie: tworzenie mechanizmów kontroli dostępu do sieci między podsieciami. Routing między podsieciami odbywa się automatycznie i nie trzeba ręcznie konfigurować tabel routingu. Domyślnie nie ma kontroli dostępu do sieci między podsieciami tworzonymi w sieci wirtualnej platformy Azure.
Szczegóły: Użyj sieciowej grupy zabezpieczeń, aby chronić przed niechcianym ruchem do podsieci platformy Azure. Sieciowe grupy zabezpieczeń to proste urządzenia inspekcji pakietów stanowych. Sieciowe grupy zabezpieczeń używają podejścia 5 krotki (źródłowego adresu IP, portu źródłowego, docelowego adresu IP, portu docelowego i protokołu warstwy 4), aby utworzyć reguły zezwalania/odmowy dla ruchu sieciowego. Zezwalasz na ruch do i z jednego adresu IP do i z wielu adresów IP lub do i z całych podsieci.

W przypadku używania sieciowych grup zabezpieczeń do kontroli dostępu do sieci między podsieciami można umieścić zasoby należące do tej samej strefy zabezpieczeń lub roli we własnych podsieciach.

Najlepsze rozwiązanie: Unikaj małych sieci wirtualnych i podsieci, aby zapewnić prostotę i elastyczność. Szczegóły: Większość organizacji dodaje więcej zasobów niż początkowo planowano, a przydział adresów jest pracochłonny. Użycie małych podsieci dodaje ograniczoną wartość zabezpieczeń i mapowanie sieciowej grupy zabezpieczeń na każdą podsieć dodaje obciążenie. Zdefiniuj podsieci w szerokim zakresie, aby mieć pewność, że masz elastyczność wzrostu.

Najlepsze rozwiązanie: uproszczenie zarządzania regułami sieciowej grupy zabezpieczeń przez zdefiniowanie grup zabezpieczeń aplikacji.
Szczegóły: Zdefiniuj grupę zabezpieczeń aplikacji dla list adresów IP, które według Ciebie mogą ulec zmianie w przyszłości lub mogą być używane w wielu sieciowych grupach zabezpieczeń. Pamiętaj, aby wyraźnie nazwać grupy zabezpieczeń aplikacji, aby inni mogli zrozumieć ich zawartość i przeznaczenie.

Wdrażanie podejścia zero trust

Sieci oparte na obwodzie działają na założeniu, że wszystkie systemy w sieci mogą być zaufane. Jednak dzisiejszych pracowników uzyskuje dostęp do zasobów organizacji z dowolnego miejsca na różnych urządzeniach i aplikacjach, co sprawia, że mechanizmy kontroli zabezpieczeń obwodowych są nieistotne. Zasady kontroli dostępu, które koncentrują się tylko na tym, kto może uzyskać dostęp do zasobu, nie są wystarczające. Aby opanować równowagę między zabezpieczeniami i produktywnością, administratorzy zabezpieczeń muszą również uwzględnić sposób uzyskiwania dostępu do zasobu.

Sieci muszą ewoluować od tradycyjnych mechanizmów obronnych, ponieważ sieci mogą być narażone na naruszenia: osoba atakująca może naruszyć pojedynczy punkt końcowy w ramach zaufanej granicy, a następnie szybko rozwinąć przyczółek w całej sieci. Sieci Zero Trust eliminują koncepcję zaufania na podstawie lokalizacji sieciowej w obrębie obwodu. Zamiast tego architektury Zero Trust używają oświadczeń zaufania urządzeń i użytkowników w celu uzyskania dostępu do danych i zasobów organizacji. W przypadku nowych inicjatyw należy przyjąć podejścia Zero Trust, które weryfikują zaufanie w momencie uzyskania dostępu.

Najlepsze rozwiązania to:

Najlepsze rozwiązanie: zapewnianie dostępu warunkowego do zasobów na podstawie urządzenia, tożsamości, zapewnienia, lokalizacji sieciowej i nie tylko.
Szczegóły: Dostęp warunkowy firmy Microsoft Entra umożliwia stosowanie odpowiednich mechanizmów kontroli dostępu przez zaimplementowanie automatycznych decyzji dotyczących kontroli dostępu na podstawie wymaganych warunków. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do zarządzania platformą Azure przy użyciu dostępu warunkowego.

Najlepsze rozwiązanie: Włącz dostęp do portów tylko po zatwierdzeniu przepływu pracy.
Szczegóły: dostęp just in time do maszyn wirtualnych można użyć w Microsoft Defender dla Chmury, aby zablokować ruch przychodzący do maszyn wirtualnych platformy Azure, zmniejszając narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby.

Najlepsze rozwiązanie: udzielanie tymczasowych uprawnień do wykonywania zadań uprzywilejowanych, co uniemożliwia złośliwym lub nieautoryzowanym użytkownikom uzyskanie dostępu po wygaśnięciu uprawnień. Dostęp jest udzielany tylko wtedy, gdy użytkownicy go potrzebują.
Szczegóły: Użyj dostępu just in time w usłudze Microsoft Entra Privileged Identity Management lub w rozwiązaniu innej firmy, aby udzielić uprawnień do wykonywania zadań uprzywilejowanych.

Zero Trust to kolejna ewolucja zabezpieczeń sieci. Stan cyberataków napędza organizacje do podjęcia "zakładania naruszenia" podejścia, ale takie podejście nie powinno ograniczać. Sieci Zero Trust chronią dane i zasoby firmowe, zapewniając jednocześnie, że organizacje mogą tworzyć nowoczesne miejsce pracy przy użyciu technologii, które umożliwiają pracownikom wydajną pracę w dowolnym miejscu i czasie.

Kontrolowanie zachowania routingu

Po umieściniu maszyny wirtualnej w sieci wirtualnej platformy Azure maszyna wirtualna może połączyć się z dowolną inną maszyną wirtualną w tej samej sieci wirtualnej, nawet jeśli inne maszyny wirtualne znajdują się w różnych podsieciach. Jest to możliwe, ponieważ kolekcja tras systemowych włączona domyślnie zezwala na komunikację tego typu. Te trasy domyślne umożliwiają maszynom wirtualnym w tej samej sieci wirtualnej inicjowanie połączeń ze sobą i z Internetem (tylko dla komunikacji wychodzącej z Internetem).

Chociaż domyślne trasy systemowe są przydatne w wielu scenariuszach wdrażania, czasami chcesz dostosować konfigurację routingu dla wdrożeń. Możesz skonfigurować adres następnego przeskoku, aby uzyskać dostęp do określonych miejsc docelowych.

Zalecamy skonfigurowanie tras zdefiniowanych przez użytkownika podczas wdrażania urządzenia zabezpieczeń dla sieci wirtualnej. O tej rekomendacji mówimy w późniejszej sekcji zatytułowanej Zabezpieczanie krytycznych zasobów usługi platformy Azure tylko w sieciach wirtualnych.

Uwaga

Trasy zdefiniowane przez użytkownika nie są wymagane, a domyślne trasy systemowe zwykle działają.

Korzystanie z wirtualnych urządzeń sieciowych

Sieciowe grupy zabezpieczeń i routing zdefiniowany przez użytkownika mogą zapewnić pewien środek zabezpieczeń sieci w warstwach sieci i transportu modelu OSI. Jednak w niektórych sytuacjach chcesz lub musisz włączyć zabezpieczenia na wysokim poziomie stosu. W takich sytuacjach zalecamy wdrożenie wirtualnych urządzeń zabezpieczeń sieciowych udostępnianych przez partnerów platformy Azure.

Urządzenia zabezpieczeń sieci platformy Azure mogą zapewnić lepsze zabezpieczenia niż zapewniane mechanizmy kontroli na poziomie sieci. Możliwości zabezpieczeń sieci wirtualnych urządzeń zabezpieczeń sieci obejmują:

  • Zapora
  • Wykrywanie włamań/zapobieganie włamaniom
  • Zarządzanie lukami w zabezpieczeniach
  • Sterowanie aplikacjami
  • Wykrywanie anomalii opartej na sieci
  • Filtrowanie sieci web
  • Antywirus
  • Ochrona botnetu

Aby znaleźć dostępne urządzenia zabezpieczeń sieci wirtualnej platformy Azure, przejdź do witryny Azure Marketplace i wyszukaj "zabezpieczenia" i "zabezpieczenia sieciowe".

Wdrażanie sieci obwodowych dla stref zabezpieczeń

Sieć obwodowa (znana również jako STREFA DMZ) to segment sieci fizycznej lub logicznej, który zapewnia dodatkową warstwę zabezpieczeń między elementami zawartości a Internetem. Wyspecjalizowane urządzenia kontroli dostępu do sieci na brzegu sieci obwodowej zezwalają tylko na żądany ruch do sieci wirtualnej.

Sieci obwodowe są przydatne, ponieważ można skoncentrować się na zarządzaniu kontrolą dostępu do sieci, monitorowaniu, rejestrowaniu i raportowaniu na urządzeniach na brzegu sieci wirtualnej platformy Azure. Sieć obwodowa to miejsce, w którym zwykle włącza się ochronę przed rozproszoną odmową usługi (DDoS), wykrywanie włamań/systemy zapobiegania włamaniom (IDS/IPS), reguły zapory i zasady, filtrowanie sieci, oprogramowanie chroniące przed złośliwym kodem sieci i nie tylko. Urządzenia zabezpieczeń sieci znajdują się między Internetem a siecią wirtualną platformy Azure i mają interfejs w obu sieciach.

Chociaż jest to podstawowy projekt sieci obwodowej, istnieje wiele różnych projektów, takich jak back-to-back, tri-homed i multi-homed.

Na podstawie wspomnianej wcześniej koncepcji zerowej zaufania zalecamy rozważenie użycia sieci obwodowej dla wszystkich wdrożeń o wysokim poziomie zabezpieczeń w celu zwiększenia poziomu zabezpieczeń sieci i kontroli dostępu dla zasobów platformy Azure. Możesz użyć platformy Azure lub rozwiązania innej firmy, aby zapewnić dodatkową warstwę zabezpieczeń między twoimi elementami zawartości a Internetem:

  • Kontrolki natywne platformy Azure. Usługi Azure Firewall i Azure Web Application Firewall oferują podstawowe korzyści zabezpieczeń. Zalety to w pełni stanowa zapora jako usługa, wbudowana wysoka dostępność, nieograniczona skalowalność chmury, filtrowanie nazw FQDN, obsługa podstawowych zestawów reguł OWASP oraz prosta konfiguracja i konfiguracja.
  • Oferty innych firm. Wyszukaj w witrynie Azure Marketplace zaporę nowej generacji (NGFW) i inne oferty innych firm, które zapewniają znane narzędzia zabezpieczeń i ulepszone poziomy zabezpieczeń sieci. Konfiguracja może być bardziej złożona, ale oferta innej firmy może umożliwić korzystanie z istniejących możliwości i zestawów umiejętności.

Wiele organizacji wybrało hybrydową trasę IT. W przypadku hybrydowego infrastruktury IT niektóre zasoby informacyjne firmy znajdują się na platformie Azure, a inne pozostają w środowisku lokalnym. W wielu przypadkach niektóre składniki usługi działają na platformie Azure, podczas gdy inne składniki pozostają w środowisku lokalnym.

W scenariuszu hybrydowym IT zwykle występuje jakiś typ łączności między lokalizacjami. Łączność między lokalizacjami umożliwia firmie łączenie sieci lokalnych z sieciami wirtualnymi platformy Azure. Dostępne są dwa rozwiązania łączności obejmujące wiele lokalizacji:

  • Sieć VPN typu lokacja-lokacja. Jest to zaufana, niezawodna i ustanowiona technologia, ale połączenie odbywa się za pośrednictwem Internetu. Przepustowość jest ograniczona do maksymalnej wartości około 1,25 Gb/s. Sieć VPN typu lokacja-lokacja jest pożądaną opcją w niektórych scenariuszach.
  • Azure ExpressRoute. Zalecamy korzystanie z usługi ExpressRoute na potrzeby łączności między lokalizacjami. Usługa ExpressRoute umożliwia rozszerzenie sieci lokalnych na chmurę firmy Microsoft za pośrednictwem połączenia prywatnego obsługiwanego przez dostawcę połączenia. Usługa ExpressRoute umożliwia nawiązywanie połączeń z usługami w chmurze firmy Microsoft, takimi jak Azure, Microsoft 365 i Dynamics 365. Usługa ExpressRoute to dedykowany link sieci WAN między lokalizacją lokalną lub dostawcą hostingu programu Microsoft Exchange. Ponieważ jest to połączenie telco, dane nie są przesyłane przez Internet, więc nie są narażone na potencjalne zagrożenia związane z komunikacją internetową.

Lokalizacja połączenia usługi ExpressRoute może mieć wpływ na wydajność zapory, skalowalność, niezawodność i widoczność ruchu sieciowego. Należy określić, gdzie zakończyć usługę ExpressRoute w istniejących (lokalnych) sieciach. Masz następujące możliwości:

  • Zakończ działanie poza zaporą (model sieci obwodowej). Użyj tej rekomendacji, jeśli potrzebujesz wglądu w ruch, jeśli chcesz kontynuować istniejącą praktykę izolowania centrów danych lub jeśli umieszczasz wyłącznie zasoby ekstranetu na platformie Azure.
  • Zakończ działanie wewnątrz zapory (paradygmat rozszerzenia sieci). Jest to zalecenie domyślne. We wszystkich innych przypadkach zalecamy traktowanie platformy Azure jako innego centrum danych.

Optymalizowanie czasu pracy i wydajności

Jeśli usługa nie działa, nie można uzyskać dostępu do informacji. Jeśli wydajność jest tak niska, że dane są bezużyteczne, możesz rozważyć, że dane będą niedostępne. Z punktu widzenia zabezpieczeń musisz zrobić wszystko, co możesz, aby upewnić się, że usługi mają optymalny czas pracy i wydajność.

Popularną i skuteczną metodą zwiększania dostępności i wydajności jest równoważenie obciążenia. Równoważenie obciążenia to metoda dystrybucji ruchu sieciowego między serwerami, które są częścią usługi. Jeśli na przykład masz serwery internetowe frontonu jako część usługi, możesz użyć równoważenia obciążenia, aby dystrybuować ruch między wieloma serwerami internetowymi frontonu.

Ta dystrybucja ruchu zwiększa dostępność, ponieważ jeśli jeden z serwerów sieci Web stanie się niedostępny, moduł równoważenia obciążenia przestanie wysyłać ruch do tego serwera i przekierowuje go do serwerów, które są nadal w trybie online. Równoważenie obciążenia pomaga również w wydajności, ponieważ obciążenie procesora, sieci i pamięci na potrzeby obsługi żądań jest dystrybuowane na wszystkich serwerach ze zrównoważonym obciążeniem.

Zalecamy stosowanie równoważenia obciążenia zawsze wtedy, gdy jest to możliwe i odpowiednie dla Twoich usług. Poniżej przedstawiono scenariusze zarówno na poziomie sieci wirtualnej platformy Azure, jak i na poziomie globalnym, wraz z opcjami równoważenia obciążenia dla każdego z nich.

Scenariusz: masz aplikację, która:

  • Wymaga żądań z tej samej sesji użytkownika/klienta, aby uzyskać dostęp do tej samej maszyny wirtualnej zaplecza. Przykładami są aplikacje koszyka na zakupy i serwery poczty internetowej.
  • Akceptuje tylko bezpieczne połączenie, więc niezaszyfrowana komunikacja z serwerem nie jest akceptowalną opcją.
  • Wymaga, aby wiele żądań HTTP na tym samym długotrwałym połączeniu TCP było kierowanych lub równoważonych obciążenia na różnych serwerach zaplecza.

Opcja równoważenia obciążenia: użyj usługi aplikacja systemu Azure Gateway, modułu równoważenia obciążenia ruchu internetowego HTTP. Usługa Application Gateway obsługuje kompleksowe szyfrowanie TLS i kończenie żądań TLS w bramie. Serwery internetowe można następnie odciążyć przed obciążeniem szyfrowania i odszyfrowywania, a ruch przepływa niezaszyfrowany do serwerów zaplecza.

Scenariusz: Musisz równoważyć obciążenie połączeń przychodzących z Internetu między serwerami znajdującymi się w sieci wirtualnej platformy Azure. Scenariusze są następujące:

  • Mają aplikacje bezstanowe, które akceptują żądania przychodzące z Internetu.
  • Nie wymagaj lepkich sesji ani odciążania protokołu TLS. Sesje sticky to metoda używana z równoważeniem obciążenia aplikacji w celu osiągnięcia koligacji serwera.

Opcja równoważenia obciążenia: użyj witryny Azure Portal, aby utworzyć zewnętrzny moduł równoważenia obciążenia, który rozdziela żądania przychodzące między wiele maszyn wirtualnych w celu zapewnienia wyższego poziomu dostępności.

Scenariusz: Musisz równoważyć obciążenie połączeń z maszyn wirtualnych, które nie znajdują się w Internecie. W większości przypadków połączenia akceptowane na potrzeby równoważenia obciążenia są inicjowane przez urządzenia w sieci wirtualnej platformy Azure, takie jak wystąpienia programu SQL Server lub wewnętrzne serwery internetowe.
Opcja równoważenia obciążenia: użyj witryny Azure Portal, aby utworzyć wewnętrzny moduł równoważenia obciążenia, który rozkłada żądania przychodzące na wiele maszyn wirtualnych, aby zapewnić wyższy poziom dostępności.

Scenariusz: Potrzebujesz globalnego równoważenia obciążenia, ponieważ:

  • Mieć rozwiązanie w chmurze, które jest szeroko rozproszone w wielu regionach i wymaga najwyższego poziomu czasu pracy (dostępności) możliwe.
  • Potrzebujesz najwyższego poziomu czasu pracy, aby upewnić się, że usługa jest dostępna nawet wtedy, gdy całe centrum danych stanie się niedostępne.

Opcja równoważenia obciążenia: użyj usługi Azure Traffic Manager. Usługa Traffic Manager umożliwia równoważenie obciążenia połączeń z usługami na podstawie lokalizacji użytkownika.

Jeśli na przykład użytkownik wysyła żądanie do twojej usługi z UE, połączenie jest kierowane do usług znajdujących się w centrum danych UE. Ta część globalnego równoważenia obciążenia usługi Traffic Manager pomaga zwiększyć wydajność, ponieważ nawiązywanie połączenia z najbliższym centrum danych jest szybsze niż łączenie się z centrami danych, które są daleko.

Wyłączanie dostępu RDP/SSH do maszyn wirtualnych

Aby nawiązać połączenie z maszynami wirtualnymi platformy Azure, można użyć protokołów Remote Desktop Protocol (RDP) i Secure Shell (SSH). Protokoły te umożliwiają zarządzanie maszynami wirtualnymi z lokalizacji zdalnych i są używane jako standard w centrach danych.

Potencjalny problem z zabezpieczeniami podczas korzystania z tych protokołów przez Internet polega na tym, że osoby atakujące mogą używać technik siłowych w celu uzyskania dostępu do maszyn wirtualnych platformy Azure. Po uzyskaniu dostępu atakujący mogą korzystać z maszyny wirtualnej jako punktu uruchamiania w celu naruszenia zabezpieczeń innych maszyn w sieci wirtualnej, a nawet zaatakowania urządzeń sieciowych poza platformą Azure.

Zalecamy wyłączenie bezpośredniego dostępu RDP i SSH do maszyn wirtualnych platformy Azure z Internetu. Po wyłączeniu bezpośredniego dostępu RDP i SSH z Internetu dostępne są inne opcje, których można użyć do uzyskiwania dostępu do tych maszyn wirtualnych na potrzeby zdalnego zarządzania.

Scenariusz: umożliwia pojedynczemu użytkownikowi łączenie się z siecią wirtualną platformy Azure za pośrednictwem Internetu.
Opcja: Sieć VPN typu punkt-lokacja to kolejny termin dla połączenia klienta/serwera sieci VPN dostępu zdalnego. Po nawiązaniu połączenia punkt-lokacja użytkownik może użyć protokołu RDP lub SSH do nawiązania połączenia z dowolnymi maszynami wirtualnymi znajdującymi się w sieci wirtualnej platformy Azure, z którą użytkownik nawiązał połączenie za pośrednictwem sieci VPN typu punkt-lokacja. Przyjęto założenie, że użytkownik ma uprawnienia dostępu do tych maszyn wirtualnych.

Sieć VPN typu punkt-lokacja jest bezpieczniejsza niż bezpośrednie połączenia RDP lub SSH, ponieważ użytkownik musi uwierzytelnić się dwa razy przed nawiązaniem połączenia z maszyną wirtualną. Najpierw użytkownik musi się uwierzytelnić (i autoryzować), aby nawiązać połączenie sieci VPN typu punkt-lokacja. Po drugie, użytkownik musi uwierzytelnić (i mieć autoryzację), aby ustanowić sesję protokołu RDP lub SSH.

Scenariusz: umożliwia użytkownikom w sieci lokalnej łączenie się z maszynami wirtualnymi w sieci wirtualnej platformy Azure.
Opcja: sieć VPN typu lokacja-lokacja łączy całą sieć z inną siecią przez Internet. Sieć VPN typu lokacja-lokacja umożliwia połączenie sieci lokalnej z siecią wirtualną platformy Azure. Użytkownicy w sieci lokalnej łączą się przy użyciu protokołu RDP lub SSH za pośrednictwem połączenia sieci VPN typu lokacja-lokacja. Nie musisz zezwalać na bezpośredni dostęp RDP ani SSH przez Internet.

Scenariusz: użyj dedykowanego linku sieci WAN, aby zapewnić funkcjonalność podobną do sieci VPN typu lokacja-lokacja.
Opcja: Użyj usługi ExpressRoute. Zapewnia ona funkcjonalność podobną do sieci VPN typu lokacja-lokacja. Główne różnice są następujące:

  • Dedykowany link sieci WAN nie przechodzi przez Internet.
  • Dedykowane łącza sieci WAN są zwykle bardziej stabilne i działają lepiej.

Zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych

Użyj usługi Azure Private Link, aby uzyskać dostęp do usług Azure PaaS (na przykład Azure Storage i SQL Database) za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Prywatne punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych. Ruch z sieci wirtualnej do usługi platformy Azure zawsze pozostaje w sieci szkieletowej platformy Microsoft Azure. Uwidacznianie sieci wirtualnej publicznej w Internecie nie jest już konieczne do korzystania z usług PaaS platformy Azure.

Usługa Azure Private Link zapewnia następujące korzyści:

  • Ulepszone zabezpieczenia zasobów usługi platformy Azure: dzięki usłudze Azure Private Link zasoby usługi platformy Azure można zabezpieczyć w sieci wirtualnej przy użyciu prywatnego punktu końcowego. Zabezpieczanie zasobów usługi do prywatnego punktu końcowego w sieci wirtualnej zapewnia lepsze zabezpieczenia dzięki całkowitemu usunięciu publicznego dostępu do Internetu do zasobów i umożliwieniu ruchu tylko z prywatnego punktu końcowego w sieci wirtualnej.
  • Prywatny dostęp do zasobów usługi platformy Azure na platformie Azure: Połączenie sieci wirtualnej do usług na platformie Azure przy użyciu prywatnych punktów końcowych. Nie ma potrzeby publicznego adresu IP. Platforma Private Link będzie obsługiwać łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure.
  • Dostęp z sieci lokalnych i równorzędnych: dostęp do usług działających na platformie Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute, tuneli VPN i równorzędnych sieci wirtualnych przy użyciu prywatnych punktów końcowych. Nie ma potrzeby konfigurowania komunikacji równorzędnej firmy Microsoft usługi ExpressRoute ani przechodzenia przez Internet w celu uzyskania dostępu do usługi. Usługa Private Link zapewnia bezpieczny sposób migrowania obciążeń na platformę Azure.
  • Ochrona przed wyciekiem danych: prywatny punkt końcowy jest mapowany na wystąpienie zasobu PaaS zamiast całej usługi. Konsumenci mogą łączyć się tylko z określonym zasobem. Dostęp do dowolnego innego zasobu w usłudze jest blokowany. Ten mechanizm zapewnia ochronę przed zagrożeniami wyciekami danych.
  • Globalny zasięg: Połączenie prywatnie do usług działających w innych regionach. Sieć wirtualna konsumenta może znajdować się w regionie A i może łączyć się z usługami w regionie B.
  • Proste konfigurowanie i zarządzanie: nie potrzebujesz już zarezerwowanych publicznych adresów IP w sieciach wirtualnych, aby zabezpieczyć zasoby platformy Azure za pośrednictwem zapory adresów IP. Do skonfigurowania prywatnych punktów końcowych nie są wymagane żadne urządzenia translatora adresów sieciowych ani bramy. Prywatne punkty końcowe są konfigurowane za pośrednictwem prostego przepływu pracy. Po stronie usługi można również łatwo zarządzać żądaniami połączeń w zasobie usługi platformy Azure. Usługa Azure Private Link działa również dla użytkowników i usług należących do różnych dzierżaw firmy Microsoft Entra.

Aby dowiedzieć się więcej na temat prywatnych punktów końcowych oraz usług i regionów platformy Azure, dla których są dostępne prywatne punkty końcowe, zobacz Azure Private Link.

Następne kroki

Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure, aby uzyskać więcej najlepszych rozwiązań dotyczących zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.