Omówienie zabezpieczeń sieci na platformie Azure
Zabezpieczenia sieci można zdefiniować jako proces ochrony zasobów przed nieautoryzowanym dostępem lub atakiem przez zastosowanie kontroli do ruchu sieciowego. Celem jest zapewnienie, że dozwolony jest tylko legalny ruch. Platforma Azure oferuje niezawodną infrastrukturę sieciową do obsługi wymagań dotyczących łączności aplikacji i usług. Łączność sieciowa jest możliwa między zasobami znajdującymi się na platformie Azure, między zasobami lokalnymi i hostowanymi na platformie Azure oraz z Internetu i platformy Azure.
W tym artykule opisano niektóre opcje, które platforma Azure oferuje w obszarze zabezpieczeń sieci. Możesz dowiedzieć się więcej o:
- Sieć platformy Azure
- Kontrola dostępu do sieci
- Azure Firewall
- Zabezpieczanie dostępu zdalnego i łączności obejmującej wiele lokalizacji
- Dostępność
- Rozpoznawanie nazw
- Architektura sieci obwodowej (DMZ)
- Azure DDoS Protection
- Azure Front Door
- Usługa Traffic Manager
- Monitorowanie i wykrywanie zagrożeń
Uwaga
W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest wdrożenie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci.
Sieć platformy Azure
Platforma Azure wymaga połączenia maszyn wirtualnych z siecią wirtualną platformy Azure. Sieć wirtualna to konstrukcja logiczna oparta na fizycznej sieci szkieletowej sieci platformy Azure. Każda sieć wirtualna jest odizolowana od wszystkich innych sieci wirtualnych. Dzięki temu ruch sieciowy we wdrożeniach nie jest dostępny dla innych klientów platformy Azure.
Więcej informacji:
Kontrola dostępu do sieci
Kontrola dostępu do sieci to czynność ograniczania łączności z określonymi urządzeniami lub podsieciami w sieci wirtualnej. Celem kontroli dostępu do sieci jest ograniczenie dostępu do maszyn wirtualnych i usług zatwierdzonych użytkowników i urządzeń. Mechanizmy kontroli dostępu są oparte na decyzjach dotyczących zezwalania lub odmowy połączeń z maszyną wirtualną lub usługą.
pomoc techniczna platformy Azure kilka typów kontroli dostępu do sieci, takich jak:
- Kontrola warstwy sieciowej
- Sterowanie trasami i wymuszone tunelowanie
- Wirtualne urządzenia zabezpieczeń sieci
Kontrola warstwy sieciowej
Każde bezpieczne wdrożenie wymaga pewnej miary kontroli dostępu do sieci. Celem kontroli dostępu do sieci jest ograniczenie komunikacji maszyn wirtualnych do niezbędnych systemów. Inne próby komunikacji są blokowane.
Uwaga
Zapory magazynu zostały omówione w artykule Omówienie zabezpieczeń usługi Azure Storage
Reguły zabezpieczeń sieci (NSG)
Jeśli potrzebujesz podstawowej kontroli dostępu na poziomie sieci (na podstawie adresu IP i protokołów TCP lub UDP), możesz użyć sieciowych grup zabezpieczeń. Sieciowa grupa zabezpieczeń to podstawowa, stanowa, filtrowanie pakietów zapora i umożliwia kontrolowanie dostępu na podstawie krotki 5-krotki. Sieciowe grupy zabezpieczeń obejmują funkcje upraszczające zarządzanie i zmniejszające szanse na błędy konfiguracji:
- Rozszerzone reguły zabezpieczeń upraszczają definicję reguł sieciowej grupy zabezpieczeń i umożliwiają tworzenie złożonych reguł zamiast tworzenia wielu prostych reguł w celu uzyskania tego samego wyniku.
- Tagi usług to etykiety tworzone przez firmę Microsoft reprezentujące grupę adresów IP. Są one aktualizowane dynamicznie w celu uwzględnienia zakresów adresów IP spełniających warunki definiujące dołączenie do etykiety. Jeśli na przykład chcesz utworzyć regułę, która ma zastosowanie do całej usługi Azure Storage w regionie wschodnim, możesz użyć polecenia Storage.EastUS
- Grupy zabezpieczeń aplikacji umożliwiają wdrażanie zasobów w grupach aplikacji i kontrolowanie dostępu do tych zasobów przez tworzenie reguł korzystających z tych grup aplikacji. Jeśli na przykład masz serwery internetowe wdrożone w grupie aplikacji "Serwery sieci Web", możesz utworzyć regułę, która stosuje sieciową grupę zabezpieczeń zezwalającą na ruch 443 z Internetu do wszystkich systemów w grupie aplikacji "Serwery internetowe".
Sieciowe grupy zabezpieczeń nie zapewniają inspekcji warstw aplikacji ani uwierzytelnionych mechanizmów kontroli dostępu.
Więcej informacji:
Defender dla Chmury dostęp just in time do maszyny wirtualnej
Microsoft Defender dla Chmury może zarządzać sieciowymi grupami zabezpieczeń na maszynach wirtualnych i blokować dostęp do maszyny wirtualnej, dopóki użytkownik z odpowiednią kontrolą dostępu opartą na rolach platformy Azure nie zażąda dostępu. Gdy użytkownik jest pomyślnie autoryzowany Defender dla Chmury wprowadza modyfikacje sieciowych grup zabezpieczeń, aby zezwolić na dostęp do wybranych portów przez określony czas. Po wygaśnięciu czasu sieciowe grupy zabezpieczeń zostaną przywrócone do poprzedniego stanu zabezpieczonego.
Więcej informacji:
Punkty końcowe usługi
Punkty końcowe usługi to inny sposób stosowania kontroli nad ruchem. Komunikację z obsługiwanymi usługami można ograniczyć tylko do sieci wirtualnych za pośrednictwem połączenia bezpośredniego. Ruch z sieci wirtualnej do określonej usługi platformy Azure pozostaje w sieci szkieletowej platformy Microsoft Azure.
Więcej informacji:
Sterowanie trasami i wymuszone tunelowanie
Możliwość kontrolowania zachowania routingu w sieciach wirtualnych ma kluczowe znaczenie. Jeśli routing jest niepoprawnie skonfigurowany, aplikacje i usługi hostowane na maszynie wirtualnej mogą łączyć się z nieautoryzowanymi urządzeniami, w tym systemami należącymi do potencjalnych osób atakujących i obsługiwanymi przez nich.
Sieć platformy Azure obsługuje możliwość dostosowywania zachowania routingu dla ruchu sieciowego w sieciach wirtualnych. Umożliwia to zmianę domyślnych wpisów tabeli routingu w sieci wirtualnej. Kontrola zachowania routingu pomaga upewnić się, że cały ruch z określonego urządzenia lub grupy urządzeń wchodzi lub opuszcza sieć wirtualną za pośrednictwem określonej lokalizacji.
Na przykład w sieci wirtualnej może istnieć wirtualne urządzenie zabezpieczeń sieci. Chcesz upewnić się, że cały ruch do i z sieci wirtualnej przechodzi przez to wirtualne urządzenie zabezpieczeń. Można to zrobić, konfigurując trasy zdefiniowane przez użytkownika (UDR) na platformie Azure.
Wymuszone tunelowanie to mechanizm, którego można użyć, aby upewnić się, że usługi nie mogą inicjować połączenia z urządzeniami w Internecie. Należy pamiętać, że różni się to od akceptowania połączeń przychodzących, a następnie odpowiadania na nie. Serwery internetowe frontonu muszą odpowiadać na żądania z hostów internetowych, dlatego ruch pochodzący z Internetu jest dozwolony dla ruchu przychodzącego do tych serwerów sieci Web, a serwery internetowe mogą odpowiadać.
Nie chcesz zezwalać na korzystanie z serwera internetowego frontonu w celu zainicjowania żądania wychodzącego. Takie żądania mogą stanowić zagrożenie bezpieczeństwa, ponieważ te połączenia mogą służyć do pobierania złośliwego oprogramowania. Nawet jeśli chcesz, aby te serwery frontonu inicjowały żądania wychodzące do Internetu, warto wymusić przejście przez lokalne serwery proxy sieci Web. Dzięki temu można korzystać z filtrowania i rejestrowania adresów URL.
Zamiast tego należy użyć wymuszonego tunelowania, aby temu zapobiec. Po włączeniu wymuszonego tunelowania wszystkie połączenia z Internetem są wymuszane za pośrednictwem bramy lokalnej. Możesz skonfigurować wymuszone tunelowanie, korzystając z tras zdefiniowanych przez użytkownika.
Więcej informacji:
Wirtualne urządzenia zabezpieczeń sieci
Sieciowe grupy zabezpieczeń, trasy zdefiniowane przez użytkownika i wymuszone tunelowanie zapewniają poziom zabezpieczeń w warstwach sieci i transportu modelu OSI, ale warto również włączyć zabezpieczenia na poziomach wyższych niż sieć.
Na przykład wymagania dotyczące zabezpieczeń mogą obejmować:
- Uwierzytelnianie i autoryzacja przed zezwoleniem na dostęp do aplikacji
- Wykrywanie nieautoryzowanego dostępu i reagowanie na nieautoryzowane
- Inspekcja warstwy aplikacji dla protokołów wysokiego poziomu
- Filtrowanie adresów URL
- Oprogramowanie antywirusowe na poziomie sieci i oprogramowanie chroniące przed złośliwym kodem
- Ochrona przed botami
- Kontrola dostępu do aplikacji
- Dodatkowa ochrona przed atakami DDoS (powyżej ochrony przed atakami DDoS zapewnianą przez samą sieć szkieletową platformy Azure)
Dostęp do tych rozszerzonych funkcji zabezpieczeń sieci można uzyskać przy użyciu rozwiązania partnerskiego platformy Azure. Najbardziej aktualne rozwiązania zabezpieczeń sieci partnerów platformy Azure można znaleźć, odwiedzając witrynę Azure Marketplace i wyszukując "zabezpieczenia" i "zabezpieczenia sieciowe".
Azure Firewall
Usługa Azure Firewall to natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze działających na platformie Azure. Jest to w pełni stanowa zapora oferowana jako usługa, z wbudowaną wysoką dostępnością i możliwością nieograniczonego skalowania w chmurze. Zapewnia zarówno inspekcję ruchu na wschód-zachód, jak i północ-południe.
Usługa Azure Firewall jest oferowana w trzech jednostkach SKU: Standardowa, Premium i Podstawowa. Usługa Azure Firewall w warstwie Standardowa zapewnia filtrowanie L3-L7 i źródła danych analizy zagrożeń bezpośrednio z usługi Microsoft Cyber Security. Usługa Azure Firewall Premium oferuje zaawansowane funkcje, takie jak idPS oparte na podpisach, aby umożliwić szybkie wykrywanie ataków, wyszukując określone wzorce. Podstawowa jednostka SKU usługi Azure Firewall to uproszczona jednostka SKU, która zapewnia taki sam poziom zabezpieczeń jak jednostka SKU w warstwie Standardowa, ale bez zaawansowanych możliwości.
Więcej informacji:
Zabezpieczanie dostępu zdalnego i łączności obejmującej wiele lokalizacji
Należy zdalnie skonfigurować, skonfigurować i zarządzać zasobami platformy Azure. Ponadto możesz wdrożyć hybrydowe rozwiązania IT , które mają składniki lokalne i w chmurze publicznej platformy Azure. Te scenariusze wymagają bezpiecznego dostępu zdalnego.
Sieć platformy Azure obsługuje następujące scenariusze bezpiecznego dostępu zdalnego:
- Łączenie poszczególnych stacji roboczych z siecią wirtualną
- Łączenie sieci lokalnej z siecią wirtualną za pomocą sieci VPN
- Łączenie sieci lokalnej z siecią wirtualną za pomocą dedykowanego łącza sieci WAN
- Łączenie sieci wirtualnych ze sobą
Łączenie poszczególnych stacji roboczych z siecią wirtualną
Możesz umożliwić poszczególnym deweloperom lub personelowi operacyjnemu zarządzanie maszynami wirtualnymi i usługami na platformie Azure. Załóżmy na przykład, że potrzebujesz dostępu do maszyny wirtualnej w sieci wirtualnej. Jednak zasady zabezpieczeń nie zezwalają na zdalny dostęp RDP ani SSH do poszczególnych maszyn wirtualnych. W takim przypadku można użyć połączenia sieci VPN typu punkt-lokacja.
Połączenie sieci VPN typu punkt-lokacja umożliwia skonfigurowanie prywatnego i bezpiecznego połączenia między użytkownikiem a siecią wirtualną. Po nawiązaniu połączenia sieci VPN użytkownik może nawiązać połączenie RDP lub SSH za pośrednictwem łącza sieci VPN do dowolnej maszyny wirtualnej w sieci wirtualnej. (Zakłada się, że użytkownik może się uwierzytelniać i autoryzować). Sieć VPN typu punkt-lokacja obsługuje:
Secure Socket Tunneling Protocol (SSTP), zastrzeżony protokół VPN oparty na protokole SSL. Rozwiązanie sieci VPN SSL może przeniknąć przez zapory, ponieważ większość zapór otwiera port TCP 443, którego używa protokół TLS/SSL. Protokół SSTP jest obsługiwany tylko na urządzeniach z systemem Windows. pomoc techniczna platformy Azure wszystkie wersje systemu Windows z SSTP (Windows 7 lub nowszym).
Sieć VPN z protokołem IKEv2 to oparte na standardach rozwiązanie sieci VPN korzystające z protokołu IPsec. Sieci VPN z protokołem IKEv2 można używać do łączenia z urządzeniami Mac (z systemem OSX 10.11 lub nowszym).
Więcej informacji:
Łączenie sieci lokalnej z siecią wirtualną za pomocą sieci VPN
Możesz chcieć połączyć całą sieć firmową lub część z nią z siecią wirtualną. Jest to typowe w hybrydowych scenariuszach IT, w których organizacje rozszerzają lokalne centrum danych na platformę Azure. W wielu przypadkach organizacje hostuje części usługi na platformie Azure i części lokalne. Mogą to zrobić na przykład wtedy, gdy rozwiązanie obejmuje serwery internetowe frontonu na platformie Azure i lokalne bazy danych zaplecza. Te typy połączeń "między lokalizacjami" zapewniają również większe bezpieczeństwo zarządzania zasobami znajdującymi się na platformie Azure i umożliwiają scenariusze, takie jak rozszerzanie kontrolerów domeny usługi Active Directory na platformę Azure.
Jednym ze sposobów osiągnięcia tego celu jest użycie sieci VPN typu lokacja-lokacja. Różnica między siecią VPN typu lokacja-lokacja a siecią VPN typu punkt-lokacja polega na tym, że to drugie łączy jedno urządzenie z siecią wirtualną. Sieć VPN typu lokacja-lokacja łączy całą sieć (np. sieć lokalną) z siecią wirtualną. Sieci VPN typu lokacja-lokacja w sieci wirtualnej używają protokołu VPN trybu tunelu IPsec o wysokim poziomie bezpieczeństwa.
Więcej informacji:
- Tworzenie sieci wirtualnej usługi Resource Manager z połączeniem sieci VPN typu lokacja-lokacja przy użyciu witryny Azure Portal
- VPN Gateway — informacje
Łączenie sieci lokalnej z siecią wirtualną za pomocą dedykowanego łącza sieci WAN
Połączenia sieci VPN typu punkt-lokacja i lokacja-lokacja są skuteczne w celu umożliwienia łączności między lokalizacjami. Jednak niektóre organizacje uważają je za następujące wady:
- Połączenia sieci VPN przenoszą dane przez Internet. Spowoduje to uwidocznienie tych połączeń z potencjalnymi problemami z zabezpieczeniami związanymi z przenoszeniem danych za pośrednictwem sieci publicznej. Ponadto niezawodność i dostępność połączeń internetowych nie mogą być gwarantowane.
- Połączenia sieci VPN z sieciami wirtualnymi mogą nie mieć przepustowości dla niektórych aplikacji i celów, ponieważ maksymalna przepustowość to około 200 Mb/s.
Organizacje, które potrzebują najwyższego poziomu zabezpieczeń i dostępności dla połączeń obejmujących wiele lokalizacji, zwykle używają dedykowanych linków sieci WAN do łączenia się z lokacjami zdalnymi. Platforma Azure umożliwia korzystanie z dedykowanego linku sieci WAN, którego można użyć do połączenia sieci lokalnej z siecią wirtualną. Usługa Azure ExpressRoute, usługa Express Route direct i globalny zasięg usługi Express Route umożliwiają to.
Więcej informacji:
Łączenie sieci wirtualnych ze sobą
W przypadku wdrożeń można używać wielu sieci wirtualnych. Istnieją różne powody, dla których można to zrobić. Możesz uprościć zarządzanie lub zwiększyć bezpieczeństwo. Niezależnie od motywacji do umieszczania zasobów w różnych sieciach wirtualnych może wystąpić czas, kiedy zasoby w każdej sieci mają się ze sobą łączyć.
Jedną z opcji jest użycie usług w jednej sieci wirtualnej do łączenia się z usługami w innej sieci wirtualnej przez "zapętywanie z powrotem" za pośrednictwem Internetu. Połączenie rozpoczyna się w jednej sieci wirtualnej, przechodzi przez Internet, a następnie wraca do docelowej sieci wirtualnej. Ta opcja uwidacznia połączenie z problemami z zabezpieczeniami związanymi z komunikacją internetową.
Lepszym rozwiązaniem może być utworzenie sieci VPN typu lokacja-lokacja, która łączy się między dwiema sieciami wirtualnymi. Ta metoda używa tego samego protokołu trybu tunelu IPSec co połączenie sieci VPN typu lokacja-lokacja wymienione powyżej.
Zaletą tego podejścia jest to, że połączenie sieci VPN jest ustanawiane za pośrednictwem sieci szkieletowej platformy Azure, zamiast łączyć się za pośrednictwem Internetu. Zapewnia to dodatkową warstwę zabezpieczeń w porównaniu z sieciami VPN typu lokacja-lokacja, które łączą się za pośrednictwem Internetu.
Więcej informacji:
Innym sposobem łączenia sieci wirtualnych jest komunikacja równorzędna sieci wirtualnych. Ta funkcja umożliwia łączenie dwóch sieci platformy Azure, dzięki czemu komunikacja między nimi odbywa się za pośrednictwem infrastruktury szkieletowej firmy Microsoft bez przechodzenia przez Internet. Komunikacja równorzędna sieci wirtualnych może łączyć dwie sieci wirtualne w tym samym regionie lub dwóch sieciach wirtualnych w regionach świadczenia usługi Azure. Sieciowe grupy zabezpieczeń mogą służyć do ograniczania łączności między różnymi podsieciami lub systemami.
Dostępność
Dostępność jest kluczowym składnikiem dowolnego programu zabezpieczeń. Jeśli użytkownicy i systemy nie mogą uzyskać dostępu do tego, co muszą uzyskać dostęp za pośrednictwem sieci, usługa może zostać uznana za naruszoną. Platforma Azure ma technologie sieciowe, które obsługują następujące mechanizmy wysokiej dostępności:
- Równoważenie obciążenia oparte na protokole HTTP
- Równoważenie obciążenia na poziomie sieci
- Globalne równoważenie obciążenia
Równoważenie obciążenia to mechanizm przeznaczony do równomiernego dystrybuowania połączeń między wieloma urządzeniami. Cele równoważenia obciążenia to:
- Aby zwiększyć dostępność. W przypadku równoważenia obciążenia połączeń na wielu urządzeniach co najmniej jedno urządzenie może stać się niedostępne bez naruszania usługi. Usługi uruchomione na pozostałych urządzeniach online mogą nadal obsługiwać zawartość z usługi.
- Aby zwiększyć wydajność. W przypadku równoważenia obciążenia połączeń na wielu urządzeniach pojedyncze urządzenie nie musi obsługiwać całego przetwarzania. Zamiast tego zapotrzebowanie na przetwarzanie i pamięć na potrzeby obsługi zawartości jest rozłożone na wiele urządzeń.
Równoważenie obciążenia oparte na protokole HTTP
Organizacje, które uruchamiają usługi internetowe, często chcą mieć moduł równoważenia obciążenia oparty na protokole HTTP przed tymi usługami internetowymi. Pomaga to zapewnić odpowiedni poziom wydajności i wysokiej dostępności. Tradycyjne moduły równoważenia obciążenia oparte na sieci korzystają z protokołów warstwy sieci i transportu. Z drugiej strony moduły równoważenia obciążenia oparte na protokole HTTP podejmują decyzje na podstawie cech protokołu HTTP.
usługa aplikacja systemu Azure Gateway zapewnia równoważenie obciążenia oparte na protokole HTTP dla usług internetowych. Usługa Application Gateway obsługuje:
- Koligacja sesji oparta na plikach cookie. Ta funkcja zapewnia, że połączenia nawiązane z jednym z serwerów za tym modułem równoważenia obciążenia pozostają nienaruszone między klientem a serwerem. Zapewnia to stabilność transakcji.
- Odciążanie protokołu TLS. Gdy klient łączy się z modułem równoważenia obciążenia, ta sesja jest szyfrowana przy użyciu protokołu HTTPS (TLS). Jednak w celu zwiększenia wydajności można użyć protokołu HTTP (niezaszyfrowanego) do nawiązania połączenia między modułem równoważenia obciążenia a serwerem internetowym za modułem równoważenia obciążenia. Jest to nazywane "odciążanie protokołu TLS", ponieważ serwery internetowe za modułem równoważenia obciążenia nie mają obciążenia procesora związanego z szyfrowaniem. W związku z tym serwery internetowe mogą szybciej obsługiwać żądania.
- Routing zawartości oparty na adresach URL. Ta funkcja umożliwia modułowi równoważenia obciążenia podejmowanie decyzji dotyczących lokalizacji przekazywania połączeń na podstawie docelowego adresu URL. Zapewnia to o wiele większą elastyczność niż rozwiązania, które podejmują decyzje dotyczące równoważenia obciążenia na podstawie adresów IP.
Więcej informacji:
Równoważenie obciążenia na poziomie sieci
W przeciwieństwie do równoważenia obciążenia opartego na protokole HTTP równoważenie obciążenia na poziomie sieci podejmuje decyzje na podstawie numerów adresów IP i portów (TCP lub UDP). Korzyści wynikające z równoważenia obciążenia na poziomie sieci można uzyskać na platformie Azure przy użyciu usługi Azure Load Balancer. Oto niektóre kluczowe cechy modułu równoważenia obciążenia:
- Równoważenie obciążenia na poziomie sieci na podstawie adresu IP i numerów portów.
- Obsługa dowolnego protokołu warstwy aplikacji.
- Równoważenie obciążenia do maszyn wirtualnych platformy Azure i wystąpień ról usług w chmurze.
- Może być używany zarówno dla aplikacji połączonych z Internetem (równoważenia obciążenia zewnętrznego) i aplikacji innych niż Internet (wewnętrzne równoważenie obciążenia) i maszyn wirtualnych.
- Monitorowanie punktów końcowych, które służy do określania, czy którakolwiek z usług za modułem równoważenia obciążenia stała się niedostępna.
Więcej informacji:
Globalne równoważenie obciążenia
Niektóre organizacje chcą mieć możliwy najwyższy poziom dostępności. Jednym ze sposobów osiągnięcia tego celu jest hostowanie aplikacji w globalnie rozproszonych centrach danych. Gdy aplikacja jest hostowana w centrach danych znajdujących się na całym świecie, możliwe jest, że cały region geopolityczny stanie się niedostępny i nadal ma uruchomioną aplikację.
Ta strategia równoważenia obciążenia może również przynieść korzyści z wydajności. Możesz kierować żądania dotyczące usługi do centrum danych, które znajduje się najbliżej urządzenia wysyłającego żądanie.
Na platformie Azure możesz uzyskać korzyści wynikające z globalnego równoważenia obciążenia przy użyciu usługi Azure Traffic Manager.
Więcej informacji:
Rozpoznawanie nazw
Rozpoznawanie nazw jest funkcją krytyczną dla wszystkich usług hostowych na platformie Azure. Z punktu widzenia zabezpieczeń naruszenie funkcji rozpoznawania nazw może prowadzić do przekierowania żądań z witryn przez osobę atakującą do witryny osoby atakującej. Bezpieczne rozpoznawanie nazw jest wymagane dla wszystkich usług hostowanych w chmurze.
Istnieją dwa typy rozpoznawania nazw, które należy rozwiązać:
- Wewnętrzne rozpoznawanie nazw. Jest to używane przez usługi w sieciach wirtualnych, sieciach lokalnych lub obu tych sieciach. Nazwy używane do rozpoznawania nazw wewnętrznych nie są dostępne przez Internet. Aby zapewnić optymalne bezpieczeństwo, ważne jest, aby wewnętrzny schemat rozpoznawania nazw nie był dostępny dla użytkowników zewnętrznych.
- Rozpoznawanie nazw zewnętrznych. Jest to używane przez osoby i urządzenia spoza sieci lokalnych i sieci wirtualnych. Są to nazwy, które są widoczne dla Internetu i są używane do bezpośredniego połączenia z usługami opartymi na chmurze.
W przypadku wewnętrznego rozpoznawania nazw dostępne są dwie opcje:
- Serwer DNS sieci wirtualnej. Podczas tworzenia nowej sieci wirtualnej zostanie utworzony serwer DNS. Ten serwer DNS może rozpoznawać nazwy maszyn znajdujących się w tej sieci wirtualnej. Ten serwer DNS nie jest konfigurowalny, jest zarządzany przez menedżera sieci szkieletowej platformy Azure i może w związku z tym pomóc w zabezpieczeniu rozwiązania do rozpoznawania nazw.
- Korzystanie z własnego serwera DNS. Istnieje możliwość umieszczenia własnego serwera DNS w sieci wirtualnej. Ten serwer DNS może być zintegrowanym serwerem DNS usługi Active Directory lub dedykowanym rozwiązaniem serwera DNS dostarczonym przez partnera platformy Azure, które można uzyskać z witryny Azure Marketplace.
Więcej informacji:
W przypadku rozpoznawania nazw zewnętrznych dostępne są dwie opcje:
- Hostowanie własnego zewnętrznego serwera DNS lokalnie.
- Hostowanie własnego zewnętrznego serwera DNS przy użyciu dostawcy usług.
Wiele dużych organizacji hostuje własne serwery DNS lokalnie. Mogą to zrobić, ponieważ mają wiedzę na temat sieci i globalną obecność w tym celu.
W większości przypadków lepiej hostować usługi rozpoznawania nazw DNS za pomocą dostawcy usług. Ci dostawcy usług mają wiedzę i globalną obecność w sieci, aby zapewnić bardzo wysoką dostępność usług rozpoznawania nazw. Dostępność jest niezbędna w przypadku usług DNS, ponieważ jeśli usługi rozpoznawania nazw nie powiedzą się, nikt nie będzie mógł uzyskać dostępu do usług dostępnych w Internecie.
Platforma Azure oferuje wysoce dostępne i wydajne zewnętrzne rozwiązanie DNS w postaci usługi Azure DNS. To zewnętrzne rozwiązanie do rozpoznawania nazw korzysta z infrastruktury usługi Azure DNS na całym świecie. Umożliwia ona hostowanie domeny na platformie Azure przy użyciu tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co inne usługi platformy Azure. W ramach platformy Azure dziedziczy ona również silne mechanizmy kontroli zabezpieczeń wbudowane w platformę.
Więcej informacji:
- Omówienie usługi Azure DNS
- Strefy prywatne usługi Azure DNS umożliwiają konfigurowanie prywatnych nazw DNS dla zasobów platformy Azure, a nie automatycznie przypisanych nazw bez konieczności dodawania niestandardowego rozwiązania DNS.
Architektura sieci obwodowej
Wiele dużych organizacji używa sieci obwodowych do segmentowania sieci i tworzy strefę buforu między Internetem a ich usługami. Część obwodowa sieci jest uważana za strefę o niskim poziomie zabezpieczeń, a żadne zasoby o wysokiej wartości nie są umieszczane w tym segmencie sieci. Zazwyczaj zobaczysz urządzenia zabezpieczeń sieci, które mają interfejs sieciowy w segmencie sieci obwodowej. Inny interfejs sieciowy jest połączony z siecią, która ma maszyny wirtualne i usługi, które akceptują połączenia przychodzące z Internetu.
Sieci obwodowe można projektować na wiele różnych sposobów. Decyzja o wdrożeniu sieci obwodowej, a następnie typ sieci obwodowej do użycia, jeśli zdecydujesz się go użyć, zależy od wymagań dotyczących zabezpieczeń sieci.
Więcej informacji:
Azure DDoS Protection
Ataki typu „rozproszona odmowa usługi” (Distributed Denial of Service, DDoS) należą do największych obaw związanych z dostępnością i zabezpieczeniami wśród klientów, którzy planują przeniesienie swoich aplikacji do chmury. Atak DDoS próbuje wyczerpać zasoby aplikacji, dzięki czemu aplikacja jest niedostępna dla uprawnionych użytkowników. Celem ataku DDoS może być dowolny punkt końcowy publicznie dostępny za pośrednictwem Internetu.
Funkcje ochrony przed atakami DDoS obejmują:
- Natywna integracja platformy: natywnie zintegrowana z platformą Azure. Obejmuje konfigurację za pośrednictwem witryny Azure Portal. Usługa DDoS Protection uwzględnia zasoby i ich konfigurację.
- Ochrona za pomocą klucza: uproszczona konfiguracja natychmiast chroni wszystkie zasoby w sieci wirtualnej natychmiast po włączeniu ochrony przed atakami DDoS. Nie jest wymagana żadna interwencja ani definicja użytkownika. Ochrona przed atakami DDoS natychmiast i automatycznie ogranicza atak po jego wykryciu.
- Monitorowanie ruchu zawsze włączone: wzorce ruchu aplikacji są monitorowane przez 24 godziny dziennie, 7 dni w tygodniu, szukając wskaźników ataków DDoS. Środki zaradcze są wykonywane po przekroczeniu zasad ochrony.
- Raporty ograniczania ryzyka ataków raporty ograniczania ataków używają zagregowanych danych przepływu sieci w celu udostępnienia szczegółowych informacji na temat ataków ukierunkowanych na zasoby.
- Dzienniki przepływu ograniczania ryzyka ataków dzienniki przepływu ograniczania ataków umożliwiają przeglądanie porzuconego ruchu, przekazywanego ruchu i innych danych ataku niemal w czasie rzeczywistym podczas aktywnego ataku DDoS.
- Dostrajanie adaptacyjne: profilowanie ruchu inteligentnego uczy się ruchu aplikacji w czasie i wybiera i aktualizuje profil, który jest najbardziej odpowiedni dla Twojej usługi. Profil zmienia się wraz ze zmianami ruchu w miarę upływu czasu. Ochrona przed atakami DDoS w warstwie 3–7: zapewnia ochronę przed atakami DDoS w pełnym stosie, gdy jest używana z zaporą aplikacji internetowej.
- Obszerna skala ograniczania ryzyka: ponad 60 różnych typów ataków można ograniczyć, korzystając z globalnej pojemności, aby chronić przed największymi znanymi atakami DDoS.
- Metryki ataku: podsumowane metryki z każdego ataku są dostępne za pośrednictwem usługi Azure Monitor.
- Alerty ataku: alerty można skonfigurować na początku i zatrzymaniu ataku oraz w czasie trwania ataku przy użyciu wbudowanych metryk ataku. Alerty integrują się z oprogramowaniem operacyjnym, takimi jak dzienniki usługi Microsoft Azure Monitor, splunk, Azure Storage, poczta e-mail i witryna Azure Portal.
- Gwarancja kosztów: środki na przenoszenie danych i skalowanie w poziomie aplikacji na potrzeby udokumentowanych ataków DDoS.
- Klienci usługi DDoS Protection szybko reagujący DDoS Protection mają teraz dostęp do zespołu szybkiego reagowania podczas aktywnego ataku. Odzyskiwanie po awarii może pomóc w badaniu ataków, niestandardowych ograniczeniach ryzyka podczas analizy ataków i po ataku.
Więcej informacji:
Azure Front Door
Usługa Azure Front Door Service umożliwia definiowanie i monitorowanie globalnego routingu ruchu internetowego oraz zarządzanie nim. Optymalizuje routing ruchu pod kątem najlepszej wydajności i wysokiej dostępności. Usługa Azure Front Door umożliwia tworzenie reguł zapory aplikacji internetowej w celu kontrolowania dostępu, aby chronić obciążenia protokołów HTTP/HTTPS przed wykorzystywaniem w oparciu o adresy IP, kod kraju i parametry protokołu HTTP klientów. Ponadto usługa Front Door umożliwia również tworzenie reguł ograniczania szybkości w celu walki ze złośliwym ruchem bota, obejmuje odciążanie protokołu TLS i żądanie http/HTTPS, przetwarzanie warstwy aplikacji.
Sama platforma Front Door jest chroniona przez ochronę przed atakami DDoS na poziomie infrastruktury platformy Azure. W celu zapewnienia dalszej ochrony usługa Azure DDoS Network Protection może być włączona w sieciach wirtualnych i chronić zasoby przed atakami warstwy sieciowej (TCP/UDP) za pośrednictwem automatycznego dostrajania i ograniczania ryzyka. Usługa Front Door to zwrotny serwer proxy warstwy 7, który domyślnie zezwala na przekazywanie ruchu internetowego do serwerów zaplecza i blokowanie innych typów ruchu.
Uwaga
W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest wdrożenie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci.
Więcej informacji:
- Aby uzyskać więcej informacji na temat całego zestawu funkcji usługi Azure Front Door, możesz zapoznać się z omówieniem usługi Azure Front Door
Azure Traffic Manager
Usługa Azure Traffic Manager to oparty na systemie DNS moduł równoważenia obciążenia ruchu, który umożliwia optymalną dystrybucję ruchu do usług w wielu regionach platformy Azure na świecie, przy jednoczesnym zapewnieniu wysokiej dostępności i krótkiego czasu odpowiedzi. Usługa Traffic Manager używa systemu DNS do kierowania żądań klientów do najodpowiedniejszego punktu końcowego usługi w oparciu o metodę routingu ruchu i kondycję punktów końcowych. Punkt końcowy to dowolna internetowa usługa hostowana wewnątrz platformy Azure lub poza nią. Usługa Traffic Manager monitoruje punkty końcowe i nie kieruje ruchu do żadnych punktów końcowych, które są niedostępne.
Więcej informacji:
Monitorowanie i wykrywanie zagrożeń
Platforma Azure oferuje możliwości ułatwiające wczesne wykrywanie, monitorowanie i zbieranie i przeglądanie ruchu sieciowego.
Azure Network Watcher
Usługa Azure Network Watcher może pomóc w rozwiązywaniu problemów i udostępnia zupełnie nowy zestaw narzędzi ułatwiający identyfikację problemów z zabezpieczeniami.
Widok grupy zabezpieczeń pomaga w inspekcji i zgodności zabezpieczeń maszyn wirtualnych. Ta funkcja służy do przeprowadzania inspekcji programowych, porównywania zasad punktu odniesienia zdefiniowanych przez organizację z skutecznymi regułami dla każdej maszyny wirtualnej. Może to pomóc w zidentyfikowaniu dowolnego dryfu konfiguracji.
Przechwytywanie pakietów umożliwia przechwytywanie ruchu sieciowego do i z maszyny wirtualnej. Możesz zbierać statystyki sieci i rozwiązywać problemy z aplikacjami, które mogą być nieocenione podczas badania nieautoryzowanego dostępu do sieci. Możesz również użyć tej funkcji razem z usługą Azure Functions, aby uruchomić przechwytywanie sieci w odpowiedzi na określone alerty platformy Azure.
Aby uzyskać więcej informacji na temat usługi Network Watcher i sposobu rozpoczęcia testowania niektórych funkcji w laboratoriach, zobacz Omówienie monitorowania usługi Azure Network Watcher.
Uwaga
Aby uzyskać najbardziej aktualne powiadomienia dotyczące dostępności i stanu tej usługi, sprawdź stronę aktualizacji platformy Azure.
Microsoft Defender for Cloud
Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie oraz zapewnia lepszy wgląd w zasoby platformy Azure oraz kontrolę nad nimi. Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure, pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziałają z dużym zestawem rozwiązań zabezpieczeń.
Defender dla Chmury ułatwia optymalizowanie i monitorowanie zabezpieczeń sieci przez:
- Dostarczanie zaleceń dotyczących zabezpieczeń sieci.
- Monitorowanie stanu konfiguracji zabezpieczeń sieci.
- Zgłaszanie alertów o zagrożeniach sieciowych zarówno na poziomie punktu końcowego, jak i sieci.
Więcej informacji:
Virtual Network TAP
Funkcja TAP (punkt dostępu terminalu) sieci wirtualnej platformy Azure umożliwia ciągłe przesyłanie strumieniowe ruchu sieciowego maszyny wirtualnej do modułu zbierającego lub analitycznego pakietów sieciowych. Narzędzie modułu zbierającego lub analitycznego jest dostarczane przez partnera wirtualnego urządzenia sieciowego. Za pomocą tego samego zasobu TAP sieci wirtualnej można agregować ruch z wielu interfejsów sieciowych w ramach tej samej lub innej subskrypcji.
Więcej informacji:
Rejestrowanie
Rejestrowanie na poziomie sieci jest kluczową funkcją dla każdego scenariusza zabezpieczeń sieci. Na platformie Azure możesz rejestrować informacje uzyskane dla sieciowych grup zabezpieczeń, aby uzyskać informacje dotyczące rejestrowania na poziomie sieci. Dzięki rejestrowaniu sieciowej grupy zabezpieczeń uzyskujesz informacje z:
- Dzienniki aktywności. Użyj tych dzienników, aby wyświetlić wszystkie operacje przesłane do subskrypcji platformy Azure. Te dzienniki są domyślnie włączone i mogą być używane w witrynie Azure Portal. Wcześniej były znane jako dzienniki inspekcji lub operacyjne.
- Dzienniki zdarzeń. Te dzienniki zawierają informacje o tym, jakie reguły sieciowej grupy zabezpieczeń zostały zastosowane.
- Dzienniki liczników. Te dzienniki poinformują, ile razy każda reguła sieciowej grupy zabezpieczeń została zastosowana do odmowy lub zezwolenia na ruch.
Możesz również użyć usługi Microsoft Power BI, zaawansowanego narzędzia do wizualizacji danych, aby wyświetlić i przeanalizować te dzienniki. Więcej informacji: