Najlepsze rozwiązania dotyczące zabezpieczeń sieci na platformie Azure

  • Artykuł
  • Czas czytania: 16 min

W tym artykule omówiono kolekcję najlepszych rozwiązań dotyczących platformy Azure w celu zwiększenia bezpieczeństwa sieci. Te najlepsze rozwiązania są oparte na naszym doświadczeniu z siecią platformy Azure i doświadczeniami klientów, takimi jak ty.

W przypadku każdego najlepszego rozwiązania w tym artykule wyjaśniono:

  • Jakie jest najlepsze rozwiązanie
  • Dlaczego chcesz włączyć to najlepsze rozwiązanie
  • Jaki może być wynik w przypadku niepowodzenia włączenia najlepszych rozwiązań
  • Możliwe alternatywy dla najlepszych rozwiązań
  • Jak dowiedzieć się, jak włączyć najlepsze rozwiązanie

Te najlepsze rozwiązania są oparte na opinii konsensusu oraz możliwościach i zestawach funkcji platformy Azure, ponieważ istnieją w momencie pisania tego artykułu. Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł będzie regularnie aktualizowany w celu odzwierciedlenia tych zmian.

Używanie silnych kontrolek sieci

Maszyny wirtualne platformy Azure i urządzenia można połączyć z innymi urządzeniami sieciowymi, umieszczając je w sieciach wirtualnych platformy Azure. Oznacza to, że można połączyć wirtualne karty sieciowe z siecią wirtualną, aby umożliwić komunikację opartą na protokole TCP/IP między urządzeniami obsługującymi sieć. Maszyny wirtualne połączone z siecią wirtualną platformy Azure mogą łączyć się z urządzeniami w tej samej sieci wirtualnej, różnych sieciach wirtualnych, Internecie lub własnych sieciach lokalnych.

Podczas planowania sieci i zabezpieczeń sieci zalecamy scentralizowanie:

  • Zarządzanie podstawowymi funkcjami sieciowymi, takimi jak ExpressRoute, aprowizacja sieci wirtualnej i podsieci oraz adresowanie IP.
  • Zarządzanie elementami zabezpieczeń sieci, takimi jak funkcje wirtualnego urządzenia sieciowego, takie jak ExpressRoute, sieć wirtualna i aprowizacja podsieci oraz adresowanie IP.

Jeśli używasz wspólnego zestawu narzędzi do zarządzania do monitorowania sieci i zabezpieczeń sieci, uzyskasz jasny wgląd w obie te elementy. Prosta, ujednolicona strategia zabezpieczeń zmniejsza błędy, ponieważ zwiększa zrozumienie człowieka i niezawodność automatyzacji.

Podsieci segmentu logicznego

Sieci wirtualne platformy Azure są podobne do sieci LAN w sieci lokalnej. Ideą sieci wirtualnej platformy Azure jest utworzenie sieci na podstawie jednej prywatnej przestrzeni adresowej IP, w której można umieścić wszystkie maszyny wirtualne platformy Azure. Dostępne prywatne przestrzenie adresowe IP znajdują się w zakresach klasy A (10.0.0.0/8), klasie B (172.16.0.0/12) i klasie C (192.168.0.0/16).

Najlepsze rozwiązania dotyczące logicznego segmentowania podsieci obejmują:

Najlepsze rozwiązanie: nie przypisz reguł zezwalania z szerokim zakresem (na przykład zezwalaj na 0.0.0.0 do 255.255.255.255.255).
Szczegóły: Upewnij się, że procedury rozwiązywania problemów zniechęcają do konfigurowania tych typów reguł lub ich zakazu. Te reguły zezwalają na fałszywe poczucie bezpieczeństwa i są często spotykane i wykorzystywane przez czerwone zespoły.

Najlepsze rozwiązanie: podziel większą przestrzeń adresową na podsieci.
Szczegóły: Użyj zasad podsieci opartych na protokole CIDR, aby utworzyć podsieci.

Najlepsze rozwiązanie: tworzenie kontroli dostępu do sieci między podsieciami. Routing między podsieciami odbywa się automatycznie i nie trzeba ręcznie konfigurować tabel routingu. Domyślnie nie ma kontroli dostępu do sieci między podsieciami tworzonymi w sieci wirtualnej platformy Azure.
Szczegóły: Użyj sieciowej grupy zabezpieczeń , aby chronić przed niechcianym ruchem do podsieci platformy Azure. Sieciowe grupy zabezpieczeń to proste, stanowe urządzenia do inspekcji pakietów. Sieciowe grupy zabezpieczeń używają podejścia 5 krotki (źródłowego adresu IP, portu źródłowego, docelowego adresu IP, portu docelowego i protokołu warstwy 4), aby utworzyć reguły zezwalania/odmowy dla ruchu sieciowego. Zezwalasz na ruch do i z jednego adresu IP do i z wielu adresów IP lub do i z całych podsieci.

W przypadku używania sieciowych grup zabezpieczeń do kontroli dostępu do sieci między podsieciami można umieścić zasoby należące do tej samej strefy zabezpieczeń lub roli we własnych podsieciach.

Najlepsze rozwiązanie: unikaj małych sieci wirtualnych i podsieci, aby zapewnić prostotę i elastyczność. Szczegóły: Większość organizacji dodaje więcej zasobów niż początkowo planowano, a przydziały adresów są pracochłonne. Użycie małych podsieci dodaje ograniczoną wartość zabezpieczeń i mapowanie sieciowej grupy zabezpieczeń do każdej podsieci zwiększa obciążenie. Zdefiniuj podsieci w szerokim zakresie, aby mieć pewność, że masz elastyczność rozwoju.

Najlepsze rozwiązanie: Uproszczenie zarządzania regułami sieciowej grupy zabezpieczeń przez zdefiniowanie grup zabezpieczeń aplikacji.
Szczegóły: Zdefiniuj grupę zabezpieczeń aplikacji dla list adresów IP, które mogą ulec zmianie w przyszłości lub będą używane w wielu sieciowych grupach zabezpieczeń. Pamiętaj, aby wyraźnie nazwać grupy zabezpieczeń aplikacji, aby inni mogli zrozumieć ich zawartość i przeznaczenie.

Wdrażanie podejścia Zero Trust

Sieci oparte na obwodzie działają zgodnie z założeniem, że wszystkie systemy w sieci mogą być zaufane. Jednak dzisiejszi pracownicy uzyskują dostęp do zasobów organizacji z dowolnego miejsca na różnych urządzeniach i aplikacjach, co sprawia, że mechanizmy kontroli zabezpieczeń obwodowych są nieistotne. Zasady kontroli dostępu, które koncentrują się tylko na tym, kto może uzyskać dostęp do zasobu, nie są wystarczające. Aby opanować równowagę między zabezpieczeniami i produktywnością, administratorzy zabezpieczeń muszą również uwzględnić sposób uzyskiwania dostępu do zasobu.

Sieci muszą ewoluować od tradycyjnych zabezpieczeń, ponieważ sieci mogą być narażone na naruszenia: osoba atakująca może naruszyć pojedynczy punkt końcowy w ramach zaufanej granicy, a następnie szybko rozwinąć przyczółek w całej sieci. Zero Trust sieci eliminują koncepcję zaufania opartą na lokalizacji sieciowej w obrębie obwodu. Zamiast tego Zero Trust architektury używają oświadczeń zaufania użytkowników i urządzeń w celu uzyskania dostępu do danych i zasobów organizacji. W przypadku nowych inicjatyw należy przyjąć Zero Trust podejścia, które weryfikują zaufanie w czasie dostępu.

Najlepsze rozwiązania to:

Najlepsze rozwiązanie: zapewnianie dostępu warunkowego do zasobów na podstawie urządzenia, tożsamości, zapewnienia, lokalizacji sieciowej i nie tylko.
Szczegóły: Azure AD dostęp warunkowy umożliwia stosowanie odpowiednich kontroli dostępu przez zaimplementowanie automatycznych decyzji dotyczących kontroli dostępu na podstawie wymaganych warunków. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do zarządzania platformą Azure przy użyciu dostępu warunkowego.

Najlepsze rozwiązanie: Włącz dostęp do portów tylko po zatwierdzeniu przepływu pracy.
Szczegóły: dostęp just in time do maszyny wirtualnej w Microsoft Defender dla chmury umożliwia blokowanie ruchu przychodzącego do maszyn wirtualnych platformy Azure, co zmniejsza narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby.

Najlepsze rozwiązanie: udzielanie tymczasowych uprawnień do wykonywania zadań uprzywilejowanych, co uniemożliwia złośliwym lub nieautoryzowanym użytkownikom uzyskanie dostępu po wygaśnięciu uprawnień. Dostęp jest udzielany tylko wtedy, gdy użytkownicy go potrzebują.
Szczegóły: Użyj dostępu just in time w Azure AD Privileged Identity Management lub w rozwiązaniu innej firmy, aby udzielić uprawnień do wykonywania zadań uprzywilejowanych.

Zero Trust to kolejna ewolucja zabezpieczeń sieci. Stan cyberataków napędza organizacje do podjęcia "zakładania naruszenia" podejścia, ale takie podejście nie powinno ograniczać. Zero Trust sieci chronią dane i zasoby firmowe przy jednoczesnym zapewnieniu, że organizacje mogą tworzyć nowoczesne miejsce pracy przy użyciu technologii, które umożliwiają pracownikom wydajną pracę w dowolnym miejscu i czasie.

Sterowanie zachowaniem routingu

Po skonfigurowaniu maszyny wirtualnej w sieci wirtualnej platformy Azure maszyna wirtualna może połączyć się z dowolną inną maszyną wirtualną w tej samej sieci wirtualnej, nawet jeśli inne maszyny wirtualne znajdują się w różnych podsieciach. Jest to możliwe, ponieważ kolekcja tras systemowych włączona domyślnie zezwala na komunikację tego typu. Te trasy domyślne umożliwiają maszynom wirtualnym w tej samej sieci wirtualnej inicjowanie połączeń ze sobą i z Internetem (tylko dla komunikacji wychodzącej z Internetem).

Chociaż domyślne trasy systemowe są przydatne w wielu scenariuszach wdrażania, czasami chcesz dostosować konfigurację routingu dla wdrożeń. Adres następnego przeskoku można skonfigurować tak, aby dotarł do określonych miejsc docelowych.

Zalecamy skonfigurowanie tras zdefiniowanych przez użytkownika podczas wdrażania urządzenia zabezpieczeń dla sieci wirtualnej. O tej rekomendacji mówimy w późniejszej sekcji zatytułowanej Zabezpieczanie krytycznych zasobów usługi platformy Azure tylko w sieciach wirtualnych.

Uwaga

Trasy zdefiniowane przez użytkownika nie są wymagane, a domyślne trasy systemowe zwykle działają.

Korzystanie z wirtualnych urządzeń sieciowych

Sieciowe grupy zabezpieczeń i routing zdefiniowany przez użytkownika mogą zapewnić pewną miarę zabezpieczeń sieci w warstwach sieci i transportu modelu OSI. Jednak w niektórych sytuacjach chcesz lub musisz włączyć zabezpieczenia na wysokich poziomach stosu. W takich sytuacjach zalecamy wdrożenie wirtualnych urządzeń zabezpieczeń sieci udostępnionych przez partnerów platformy Azure.

Sieciowe urządzenia zabezpieczeń platformy Azure mogą zapewnić lepsze zabezpieczenia niż zapewniane mechanizmy kontroli na poziomie sieci. Możliwości zabezpieczeń sieci wirtualnych urządzeń zabezpieczeń sieci obejmują:

  • Zapora
  • Wykrywanie nieautoryzowanego dostępu/zapobieganie włamaniom
  • Zarządzanie lukami w zabezpieczeniach
  • Sterowanie aplikacjami
  • Wykrywanie anomalii opartej na sieci
  • Filtrowanie sieci web
  • Oprogramowanie antywirusowe
  • Ochrona botnetu

Aby znaleźć dostępne urządzenia zabezpieczeń sieci wirtualnej platformy Azure, przejdź do Azure Marketplace i wyszukaj "zabezpieczenia" i "zabezpieczenia sieciowe".

Wdrażanie sieci obwodowych dla stref zabezpieczeń

Sieć obwodowa (nazywana również strefą DMZ) to segment sieci fizycznej lub logicznej, który zapewnia dodatkową warstwę zabezpieczeń między zasobami a Internetem. Wyspecjalizowane urządzenia kontroli dostępu do sieci na brzegu sieci obwodowej zezwalają tylko na żądany ruch do sieci wirtualnej.

Sieci obwodowe są przydatne, ponieważ możesz skoncentrować się na zarządzaniu kontrolą dostępu do sieci, monitorowaniu, rejestrowaniu i raportowaniu na urządzeniach na brzegu sieci wirtualnej platformy Azure. Sieć obwodowa to miejsce, w którym zwykle włącza się ochronę przed rozproszoną odmową usługi (DDoS), systemy wykrywania nieautoryzowanego dostępu/zapobiegania włamaniom (IDS/IPS), reguły zapory i zasady, filtrowanie sieci, ochrona przed złośliwym kodem sieci i inne. Urządzenia zabezpieczeń sieci znajdują się między Internetem a siecią wirtualną platformy Azure i mają interfejs w obu sieciach.

Chociaż jest to podstawowy projekt sieci obwodowej, istnieje wiele różnych projektów, takich jak back-to-back, tri-homed i multi-homed.

Na podstawie wspomnianej wcześniej koncepcji Zero Trust zalecamy użycie sieci obwodowej dla wszystkich wdrożeń o wysokim poziomie zabezpieczeń w celu zwiększenia poziomu zabezpieczeń sieci i kontroli dostępu dla zasobów platformy Azure. Możesz użyć platformy Azure lub rozwiązania innej firmy, aby zapewnić dodatkową warstwę zabezpieczeń między twoimi aktywami a Internetem:

  • Kontrolki natywne platformy Azure. Azure Firewall i azure Web Application Firewall oferują podstawowe zalety zabezpieczeń. Zalety to w pełni stanowa zapora jako usługa, wbudowana wysoka dostępność, nieograniczona skalowalność chmury, filtrowanie nazw FQDN, obsługa podstawowych zestawów reguł OWASP oraz prosta konfiguracja i konfiguracja.
  • Oferty innych firm. Wyszukaj Azure Marketplace zapory nowej generacji (NGFW) i innych ofert innych firm, które zapewniają znane narzędzia zabezpieczeń i ulepszone poziomy zabezpieczeń sieci. Konfiguracja może być bardziej złożona, ale oferta innej firmy może umożliwić korzystanie z istniejących możliwości i zestawów umiejętności.

Wiele organizacji wybrało hybrydową trasę IT. W przypadku hybrydowego infrastruktury IT niektóre zasoby informacyjne firmy znajdują się na platformie Azure, a inne pozostają w środowisku lokalnym. W wielu przypadkach niektóre składniki usługi działają na platformie Azure, podczas gdy inne składniki pozostają w środowisku lokalnym.

W hybrydowym scenariuszu IT zwykle występuje jakiś typ łączności między lokalizacjami. Łączność między lokalizacjami umożliwia firmie łączenie sieci lokalnych z sieciami wirtualnymi platformy Azure. Dostępne są dwa rozwiązania łączności obejmujące wiele lokalizacji:

  • Sieć VPN typu lokacja-lokacja. Jest to zaufana, niezawodna i ustanowiona technologia, ale połączenie odbywa się przez Internet. Przepustowość jest ograniczona do maksymalnej liczby około 1,25 Gb/s. Sieć VPN typu lokacja-lokacja jest pożądaną opcją w niektórych scenariuszach.
  • Azure ExpressRoute. Zalecamy korzystanie z usługi ExpressRoute na potrzeby łączności obejmującej wiele lokalizacji. Usługa ExpressRoute umożliwia rozszerzenie sieci lokalnych na chmurę firmy Microsoft za pośrednictwem połączenia prywatnego obsługiwanego przez dostawcę połączenia. Usługa ExpressRoute umożliwia nawiązywanie połączeń z usługami w chmurze firmy Microsoft, takimi jak Azure, Microsoft 365 i Dynamics 365. Usługa ExpressRoute to dedykowany link sieci WAN między lokalizacją lokalną lub dostawcą hostingu programu Microsoft Exchange. Ponieważ jest to połączenie telekomunikacyjne, dane nie są przesyłane przez Internet, więc nie są narażone na potencjalne ryzyko komunikacji internetowej.

Lokalizacja połączenia usługi ExpressRoute może mieć wpływ na wydajność zapory, skalowalność, niezawodność i widoczność ruchu sieciowego. Musisz określić miejsce zakończenia usługi ExpressRoute w istniejących (lokalnych) sieciach. Możesz:

  • Zakończ poza zaporą (paradygmat sieci obwodowej). Użyj tego zalecenia, jeśli potrzebujesz wglądu w ruch, jeśli musisz kontynuować istniejącą praktykę izolacji centrów danych lub jeśli umieszczasz wyłącznie zasoby ekstranetu na platformie Azure.
  • Zakończ działanie wewnątrz zapory (paradygmat rozszerzenia sieciowego). Jest to zalecenie domyślne. We wszystkich innych przypadkach zalecamy traktowanie platformy Azure jako innego centrum danych.

Optymalizowanie czasu pracy i wydajności

Jeśli usługa nie działa, nie można uzyskać dostępu do informacji. Jeśli wydajność jest tak słaba, że dane są bezużyteczne, możesz rozważyć, że dane będą niedostępne. Z punktu widzenia zabezpieczeń należy wykonać wszystkie czynności, aby upewnić się, że usługi mają optymalny czas pracy i wydajność.

Popularną i skuteczną metodą zwiększania dostępności i wydajności jest równoważenie obciążenia. Równoważenie obciążenia to metoda dystrybucji ruchu sieciowego między serwerami, które są częścią usługi. Jeśli na przykład masz serwery internetowe frontonu w ramach usługi, możesz użyć równoważenia obciążenia, aby dystrybuować ruch między wieloma serwerami internetowymi frontonu.

Ta dystrybucja ruchu zwiększa dostępność, ponieważ jeśli jeden z serwerów sieci Web stanie się niedostępny, moduł równoważenia obciążenia przestanie wysyłać ruch do tego serwera i przekierowuje go do serwerów, które są nadal w trybie online. Równoważenie obciążenia pomaga również w wydajności, ponieważ obciążenie procesora, sieci i pamięci na potrzeby obsługi żądań jest dystrybuowane na wszystkich serwerach ze zrównoważonym obciążeniem.

Zalecamy zastosowanie równoważenia obciążenia zawsze wtedy, gdy jest to możliwe i odpowiednie dla Twoich usług. Poniżej przedstawiono scenariusze zarówno na poziomie sieci wirtualnej platformy Azure, jak i na poziomie globalnym, wraz z opcjami równoważenia obciążenia dla każdego z nich.

Scenariusz: Masz aplikację, która:

  • Wymaga żądań z tej samej sesji użytkownika/klienta, aby uzyskać dostęp do tej samej maszyny wirtualnej zaplecza. Przykładami są aplikacje koszyka zakupów i serwery poczty internetowej.
  • Akceptuje tylko bezpieczne połączenie, więc niezaszyfrowana komunikacja z serwerem nie jest akceptowalną opcją.
  • Wymaga wielu żądań HTTP na tym samym długotrwałym połączeniu TCP do kierowania lub równoważenia obciążenia do różnych serwerów zaplecza.

Opcja równoważenia obciążenia: użyj Azure Application Gateway, modułu równoważenia obciążenia ruchu internetowego HTTP. Application Gateway obsługuje kompleksowe szyfrowanie TLS i kończenie żądań TLS w bramie. Serwery sieci Web można następnie odciążyć przed obciążeniem szyfrowania i odszyfrowywania, a ruch przepływa niezaszyfrowany do serwerów zaplecza.

Scenariusz: musisz równoważyć obciążenie połączeń przychodzących z Internetu między serwerami znajdującymi się w sieci wirtualnej platformy Azure. Scenariusze są następujące:

  • Aplikacje bezstanowe, które akceptują żądania przychodzące z Internetu.
  • Nie wymagaj lepkich sesji ani odciążania protokołu TLS. Sesje sticky to metoda używana z równoważeniem obciążenia aplikacji w celu osiągnięcia koligacji serwera.

Opcja równoważenia obciążenia: użyj Azure Portal, aby utworzyć zewnętrzny moduł równoważenia obciążenia, który rozkłada żądania przychodzące na wiele maszyn wirtualnych, aby zapewnić wyższy poziom dostępności.

Scenariusz: musisz równoważyć obciążenie połączeń z maszyn wirtualnych, które nie znajdują się w Internecie. W większości przypadków połączenia akceptowane do równoważenia obciążenia są inicjowane przez urządzenia w sieci wirtualnej platformy Azure, takie jak wystąpienia SQL Server lub wewnętrzne serwery internetowe.
Opcja równoważenia obciążenia: użyj Azure Portal, aby utworzyć wewnętrzny moduł równoważenia obciążenia, który rozkłada żądania przychodzące na wiele maszyn wirtualnych, aby zapewnić wyższy poziom dostępności.

Scenariusz: Potrzebujesz globalnego równoważenia obciążenia, ponieważ:

  • Dostępne jest rozwiązanie w chmurze, które jest szeroko rozproszone w wielu regionach i wymaga najwyższego poziomu czasu pracy (dostępności).
  • Potrzebujesz najwyższego poziomu czasu pracy, aby upewnić się, że usługa jest dostępna, nawet jeśli całe centrum danych stanie się niedostępne.

Opcja równoważenia obciążenia: użyj usługi Azure Traffic Manager. Usługa Traffic Manager umożliwia równoważenie obciążenia połączeń z usługami na podstawie lokalizacji użytkownika.

Jeśli na przykład użytkownik wysyła żądanie do twojej usługi z UE, połączenie jest kierowane do usług znajdujących się w centrum danych UE. Ta część globalnego równoważenia obciążenia usługi Traffic Manager pomaga zwiększyć wydajność, ponieważ nawiązywanie połączenia z najbliższym centrum danych jest szybsze niż nawiązywanie połączenia z centrami danych, które są daleko.

Wyłączanie dostępu RDP/SSH do maszyn wirtualnych

Istnieje możliwość nawiązania połączenia z maszynami wirtualnymi platformy Azure przy użyciu protokołu RDP ( Remote Desktop Protocol ) i protokołu Secure Shell (SSH). Protokoły te umożliwiają zarządzanie maszynami wirtualnymi z lokalizacji zdalnych i są używane jako standard w centrach danych.

Potencjalny problem z zabezpieczeniami podczas korzystania z tych protokołów przez Internet polega na tym, że osoby atakujące mogą używać technik siłowych w celu uzyskania dostępu do maszyn wirtualnych platformy Azure. Po uzyskaniu dostępu atakujący mogą korzystać z maszyny wirtualnej jako punktu uruchamiania w celu naruszenia zabezpieczeń innych maszyn w sieci wirtualnej, a nawet zaatakowania urządzeń sieciowych poza platformą Azure.

Zalecamy wyłączenie bezpośredniego dostępu RDP i SSH do maszyn wirtualnych platformy Azure z Internetu. Po wyłączeniu bezpośredniego dostępu RDP i SSH z Internetu dostępne są inne opcje, których można użyć do uzyskiwania dostępu do tych maszyn wirtualnych na potrzeby zdalnego zarządzania.

Scenariusz: umożliwia pojedynczemu użytkownikowi łączenie się z siecią wirtualną platformy Azure za pośrednictwem Internetu.
Opcja: Sieć VPN typu punkt-lokacja to inny termin dla połączenia klienta/serwera sieci VPN zdalnego dostępu zdalnego. Po nawiązaniu połączenia punkt-lokacja użytkownik może użyć protokołu RDP lub SSH do nawiązania połączenia z dowolnymi maszynami wirtualnymi znajdującymi się w sieci wirtualnej platformy Azure, z którą użytkownik nawiązał połączenie za pośrednictwem sieci VPN typu punkt-lokacja. Przyjęto założenie, że użytkownik ma uprawnienia do dotarcia do tych maszyn wirtualnych.

Sieć VPN typu punkt-lokacja jest bezpieczniejsza niż bezpośrednie połączenia RDP lub SSH, ponieważ użytkownik musi uwierzytelnić się dwa razy przed nawiązaniem połączenia z maszyną wirtualną. Najpierw użytkownik musi się uwierzytelnić (i autoryzować), aby nawiązać połączenie sieci VPN typu punkt-lokacja. Po drugie, użytkownik musi uwierzytelnić (i mieć autoryzację) w celu ustanowienia sesji protokołu RDP lub SSH.

Scenariusz: umożliwia użytkownikom w sieci lokalnej łączenie się z maszynami wirtualnymi w sieci wirtualnej platformy Azure.
Opcja: sieć VPN typu lokacja-lokacja łączy całą sieć z inną siecią przez Internet. Sieć VPN typu lokacja-lokacja umożliwia połączenie sieci lokalnej z siecią wirtualną platformy Azure. Użytkownicy w sieci lokalnej łączą się przy użyciu protokołu RDP lub SSH za pośrednictwem połączenia sieci VPN typu lokacja-lokacja. Nie musisz zezwalać na bezpośredni dostęp RDP ani SSH przez Internet.

Scenariusz: użyj dedykowanego linku sieci WAN, aby zapewnić funkcjonalność podobną do sieci VPN typu lokacja-lokacja.
Opcja: użyj usługi ExpressRoute. Zapewnia ona funkcje podobne do sieci VPN typu lokacja-lokacja. Główne różnice to:

  • Dedykowany link sieci WAN nie przechodzi przez Internet.
  • Dedykowane łącza sieci WAN są zwykle bardziej stabilne i działają lepiej.

Zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych

Użyj Azure Private Link, aby uzyskać dostęp do usług Azure PaaS (na przykład Azure Storage i SQL Database) za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Prywatne punkty końcowe umożliwiają zabezpieczenie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych. Ruch z sieci wirtualnej do usługi platformy Azure zawsze pozostaje w sieci szkieletowej platformy Microsoft Azure. Uwidacznianie sieci wirtualnej do publicznego Internetu nie jest już konieczne do korzystania z usług Azure PaaS.

Azure Private Link zapewnia następujące korzyści:

  • Ulepszone zabezpieczenia zasobów usługi platformy Azure: dzięki Azure Private Link zasoby usługi platformy Azure można zabezpieczyć w sieci wirtualnej przy użyciu prywatnego punktu końcowego. Zabezpieczanie zasobów usługi do prywatnego punktu końcowego w sieci wirtualnej zapewnia lepsze zabezpieczenia dzięki całkowitemu usunięciu publicznego dostępu do Internetu do zasobów i umożliwieniu ruchu tylko z prywatnego punktu końcowego w sieci wirtualnej.
  • Prywatny dostęp do zasobów usługi platformy Azure na platformie Azure: łączenie sieci wirtualnej z usługami na platformie Azure przy użyciu prywatnych punktów końcowych. Nie ma potrzeby publicznego adresu IP. Platforma Private Link będzie obsługiwać łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure.
  • Dostęp z sieci lokalnych i równorzędnych: dostęp do usług działających na platformie Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute, tuneli VPN i równorzędnych sieci wirtualnych przy użyciu prywatnych punktów końcowych. Nie ma potrzeby konfigurowania komunikacji równorzędnej usługi ExpressRoute firmy Microsoft ani przechodzenia przez Internet w celu uzyskania dostępu do usługi. Private Link zapewnia bezpieczny sposób migracji obciążeń na platformę Azure.
  • Ochrona przed wyciekiem danych: prywatny punkt końcowy jest mapowany na wystąpienie zasobu PaaS zamiast całej usługi. Konsumenci mogą łączyć się tylko z określonym zasobem. Dostęp do dowolnego innego zasobu w usłudze jest zablokowany. Ten mechanizm zapewnia ochronę przed ryzykiem wycieku danych.
  • Zasięg globalny: połącz się prywatnie z usługami działającymi w innych regionach. Sieć wirtualna konsumenta może znajdować się w regionie A i może łączyć się z usługami w regionie B.
  • Proste konfigurowanie i zarządzanie: nie potrzebujesz już zarezerwowanych publicznych adresów IP w sieciach wirtualnych w celu zabezpieczenia zasobów platformy Azure za pośrednictwem zapory ip. Do skonfigurowania prywatnych punktów końcowych nie są wymagane żadne urządzenia translatora adresów sieciowych ani bramy. Prywatne punkty końcowe są konfigurowane za pośrednictwem prostego przepływu pracy. Po stronie usługi możesz również łatwo zarządzać żądaniami połączeń w zasobie usługi platformy Azure. Azure Private Link działa również dla użytkowników i usług należących do różnych dzierżaw usługi Azure Active Directory.

Aby dowiedzieć się więcej na temat prywatnych punktów końcowych oraz usług i regionów platformy Azure dostępnych dla prywatnych punktów końcowych, zobacz Azure Private Link.

Następne kroki

Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure , aby uzyskać więcej najlepszych rozwiązań w zakresie zabezpieczeń używanych podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.