Udostępnij za pośrednictwem

Omówienie zabezpieczeń sieci platformy Azure

Zabezpieczenia sieci można zdefiniować jako proces ochrony zasobów przed nieautoryzowanym dostępem lub atakiem przez zastosowanie kontroli do ruchu sieciowego. Celem jest zapewnienie, że dozwolony jest tylko legalny ruch. Platforma Azure oferuje niezawodną infrastrukturę sieciową do obsługi wymagań dotyczących łączności aplikacji i usług. Łączność sieciowa jest możliwa między zasobami znajdującymi się na platformie Azure, między zasobami lokalnymi i hostowanymi na platformie Azure oraz z Internetu i platformy Azure.

W tym artykule opisano niektóre opcje, które platforma Azure oferuje w obszarze zabezpieczeń sieci. Możesz dowiedzieć się więcej o:

  • Sieć platformy Azure
  • Kontrola dostępu do sieci
  • Azure Firewall
  • Zabezpieczanie dostępu zdalnego i łączności obejmującej wiele lokalizacji
  • Dostępność
  • Rozpoznawanie nazw
  • Architektura sieci obwodowej (DMZ)
  • Azure DDoS Protection
  • Usługa Azure Front Door
  • Usługa Traffic Manager
  • Monitorowanie i wykrywanie zagrożeń

Uwaga

W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest wdrożenie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci.

Sieć platformy Azure

Platforma Azure wymaga połączenia maszyn wirtualnych z siecią wirtualną platformy Azure. Sieć wirtualna to konstrukcja logiczna oparta na fizycznej sieci szkieletowej sieci platformy Azure. Każda sieć wirtualna jest odizolowana od wszystkich innych sieci wirtualnych. Dzięki temu ruch sieciowy we wdrożeniach nie jest dostępny dla innych klientów platformy Azure.

Więcej informacji:

Kontrola dostępu do sieci

Kontrola dostępu do sieci to czynność ograniczania łączności z określonymi urządzeniami lub podsieciami w sieci wirtualnej. Celem kontroli dostępu do sieci jest ograniczenie dostępu do maszyn wirtualnych i usług dla zatwierdzonych użytkowników i urządzeń. Mechanizmy kontroli dostępu są oparte na decyzjach dotyczących zezwalania lub odmowy połączeń z maszyną wirtualną lub usługą.

Platforma Azure obsługuje kilka typów kontroli dostępu do sieci, takich jak:

  • Kontrola warstwy sieciowej
  • Sterowanie trasami i wymuszone tunelowanie
  • Wirtualne urządzenia zabezpieczeń sieci

Kontrola warstwy sieciowej

Każde bezpieczne wdrożenie wymaga pewnej miary kontroli dostępu do sieci. Celem kontroli dostępu do sieci jest ograniczenie komunikacji maszyn wirtualnych do niezbędnych systemów. Inne próby komunikacji są blokowane.

Uwaga

Zapory magazynu zostały omówione w artykule Omówienie zabezpieczeń usługi Azure Storage

Reguły zabezpieczeń sieci (NSG)

Jeśli potrzebujesz podstawowej kontroli dostępu na poziomie sieci (na podstawie adresu IP i protokołów TCP lub UDP), możesz użyć sieciowych grup zabezpieczeń. Sieciowa grupa zabezpieczeń to podstawowa, stanowa zapora filtrująca pakiety i umożliwia kontrolowanie dostępu na podstawie 5-tuple. Grupy zabezpieczeń sieciowych (NSGs) zawierają funkcje, które upraszczają zarządzanie i zmniejszają prawdopodobieństwo popełnienia błędów konfiguracyjnych.

  • Ulepszone reguły zabezpieczeń upraszczają definiowanie reguł NSG i umożliwiają tworzenie złożonych reguł zamiast konieczności tworzenia wielu prostych reguł w celu uzyskania tego samego wyniku.
  • Tagi usług to etykiety tworzone przez firmę Microsoft reprezentujące grupę adresów IP. Są one aktualizowane dynamicznie w celu uwzględnienia zakresów adresów IP spełniających warunki definiujące dołączenie do etykiety. Jeśli na przykład chcesz utworzyć regułę, która ma zastosowanie do całej usługi Azure Storage w regionie wschodnim, możesz użyć polecenia Storage.EastUS
  • Grupy zabezpieczeń aplikacji umożliwiają wdrażanie zasobów w grupach aplikacji i kontrolowanie dostępu do tych zasobów przez tworzenie reguł korzystających z tych grup aplikacji. Jeśli na przykład masz serwery sieci Web wdrożone w grupie aplikacji "Serwery sieci Web", możesz utworzyć regułę, która stosuje NSG umożliwiającą ruch na porcie 443 z Internetu do wszystkich systemów w grupie aplikacji "Serwery sieci Web".

Sieciowe grupy zabezpieczeń nie zapewniają inspekcji warstw aplikacji ani uwierzytelnionych mechanizmów kontroli dostępu.

Więcej informacji:

Defender dla chmury na czas dostęp do maszyny wirtualnej

Microsoft Defender dla Chmury może zarządzać grupami zabezpieczeń sieci na maszynach wirtualnych i blokować dostęp do maszyny wirtualnej, dopóki użytkownik z odpowiednimi uprawnieniami Azure RBAC nie zażąda dostępu. Gdy użytkownik jest pomyślnie autoryzowany, Defender for Cloud wprowadza modyfikacje grup zabezpieczeń sieciowych, aby zezwolić na dostęp do wybranych portów przez określony czas. Po wygaśnięciu czasu NSG zostaną przywrócone do poprzedniego stanu zabezpieczeń.

Więcej informacji:

Punkty końcowe usługi

Punkty końcowe usługi to inny sposób stosowania kontroli nad ruchem. Komunikację z obsługiwanymi usługami można ograniczyć wyłącznie do sieci wirtualnych (VNets) za pośrednictwem połączenia bezpośredniego. Ruch z sieci wirtualnej do określonej usługi platformy Azure pozostaje w sieci szkieletowej platformy Microsoft Azure.

Więcej informacji:

Sterowanie trasami i wymuszone tunelowanie

Możliwość kontrolowania zachowania routingu w sieciach wirtualnych ma kluczowe znaczenie. Jeśli routing jest niepoprawnie skonfigurowany, aplikacje i usługi hostowane na maszynie wirtualnej mogą łączyć się z nieautoryzowanymi urządzeniami, w tym systemami należącymi do potencjalnych osób atakujących i obsługiwanymi przez nich.

Sieć platformy Azure obsługuje możliwość dostosowywania zachowania routingu dla ruchu sieciowego w sieciach wirtualnych. Umożliwia to zmianę domyślnych wpisów tabeli routingu w sieci wirtualnej. Kontrola zachowania routingu pomaga upewnić się, że cały ruch z określonego urządzenia lub grupy urządzeń wchodzi lub opuszcza sieć wirtualną za pośrednictwem określonej lokalizacji.

Na przykład w sieci wirtualnej może istnieć wirtualne urządzenie zabezpieczeń sieci. Chcesz upewnić się, że cały ruch do i z sieci wirtualnej przechodzi przez to wirtualne urządzenie zabezpieczeń. Można to zrobić, konfigurując trasy zdefiniowane przez użytkownika (UDR) na platformie Azure.

Wymuszone tunelowanie to mechanizm, którego można użyć, aby upewnić się, że usługi nie mogą inicjować połączenia z urządzeniami w Internecie. Należy pamiętać, że różni się to od akceptowania połączeń przychodzących, a następnie odpowiadania na nie. Serwery front-endowe muszą odpowiadać na żądania z hostów internetowych, dlatego ruch pochodzący z Internetu jest dozwolony, aby docierać do tych serwerów, a serwery internetowe mogą odpowiadać.

Nie chcesz zezwalać, aby serwer WWW front-end inicjował żądania wychodzące. Takie żądania mogą stanowić zagrożenie bezpieczeństwa, ponieważ te połączenia mogą służyć do pobierania złośliwego oprogramowania. Nawet jeśli chcesz, aby te serwery front-end inicjowały żądania wychodzące do Internetu, warto wymusić, aby przechodziły przez serwery proxy lokalnej sieci. Dzięki temu można korzystać z filtrowania i rejestrowania adresów URL.

Zamiast tego należy użyć wymuszonego tunelowania, aby temu zapobiec. Po włączeniu wymuszonego tunelowania wszystkie połączenia z Internetem są wymuszane za pośrednictwem bramy lokalnej. Możesz skonfigurować wymuszone tunelowanie, korzystając z tras zdefiniowanych przez użytkownika.

Więcej informacji:

Wirtualne urządzenia zabezpieczeń sieci

Grupy zabezpieczeń sieciowych (NSG), trasy zdefiniowane przez użytkownika (UDR) i wymuszone tunelowanie zapewniają poziom zabezpieczeń w warstwach sieciowej i transportowej modelu OSI, ale warto również włączyć zabezpieczenia w warstwie aplikacji.

Na przykład wymagania dotyczące zabezpieczeń mogą obejmować:

  • Uwierzytelnianie i autoryzacja przed zezwoleniem na dostęp do aplikacji
  • Wykrywanie włamań i reagowanie na nie
  • Inspekcja warstwy aplikacji dla protokołów wysokiego poziomu
  • Filtrowanie adresów URL
  • Oprogramowanie antywirusowe na poziomie sieci i oprogramowanie chroniące przed złośliwym kodem
  • Ochrona przed botami
  • Kontrola dostępu do aplikacji
  • Dodatkowa ochrona przed atakami DDoS (powyżej ochrony przed atakami DDoS zapewnianą przez samą sieć szkieletową platformy Azure)

Dostęp do tych rozszerzonych funkcji zabezpieczeń sieci można uzyskać przy użyciu rozwiązania partnerskiego platformy Azure. Najbardziej aktualne rozwiązania zabezpieczeń sieci partnerów platformy Azure można znaleźć, odwiedzając witrynę Azure Marketplace i wyszukując "zabezpieczenia" i "zabezpieczenia sieciowe".

Azure Firewall

Usługa Azure Firewall to natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze działających na platformie Azure. Jest to w pełni stanowa zapora sieciowa świadczona jako usługa z wbudowaną wysoką dostępnością i nieograniczoną skalowalnością w chmurze. Usługa Azure Firewall sprawdza zarówno ruch wschodnio-zachodni, jak i północno-południowy.

Usługa Azure Firewall jest dostępna w trzech jednostkach SKU: Podstawowa, Standardowa i Premium.

  • Azure Firewall Podstawowa oferuje uproszczone zabezpieczenia podobne do standardowej jednostki SKU, ale bez zaawansowanych funkcji.
  • Azure Firewall Standard zapewnia filtrowanie L3-L7 i kanały wywiadu zagrożeń bezpośrednio z usługi Microsoft Cyber Security.
  • usługa Azure Firewall — wersja Premium obejmuje zaawansowane funkcje, takie jak systemy ochrony przed włamaniami oparte na podpisach na potrzeby szybkiego wykrywania ataków, poprzez identyfikację określonych wzorców.

Więcej informacji:

Zabezpieczanie dostępu zdalnego i łączności obejmującej wiele lokalizacji

Należy zdalnie wykonać konfigurację, ustawienia oraz zarządzanie zasobami platformy Azure. Ponadto możesz wdrożyć hybrydowe rozwiązania IT , które mają składniki lokalne i w chmurze publicznej platformy Azure. Te scenariusze wymagają bezpiecznego dostępu zdalnego.

Sieć platformy Azure obsługuje następujące scenariusze bezpiecznego dostępu zdalnego:

  • Łączenie poszczególnych stacji roboczych z siecią wirtualną
  • Łączenie sieci lokalnej z siecią wirtualną za pomocą sieci VPN
  • Łączenie sieci lokalnej z siecią wirtualną za pomocą dedykowanego łącza sieci WAN
  • Łączenie sieci wirtualnych ze sobą

Łączenie poszczególnych stacji roboczych z siecią wirtualną

Możesz umożliwić poszczególnym deweloperom lub personelowi operacyjnemu zarządzanie maszynami wirtualnymi i usługami na platformie Azure. Jeśli na przykład potrzebujesz dostępu do maszyny wirtualnej w sieci wirtualnej, ale zasady zabezpieczeń uniemożliwiają dostęp zdalny RDP lub SSH do poszczególnych maszyn wirtualnych, możesz użyć połączenia sieci VPN typu punkt-lokacja.

Połączenie sieci VPN typu punkt-lokacja umożliwia nawiązanie prywatnego i bezpiecznego połączenia między użytkownikiem a siecią wirtualną. Po nawiązaniu połączenia sieci VPN użytkownik może nawiązać połączenie RDP lub SSH za pośrednictwem linku sieci VPN do dowolnej maszyny wirtualnej w sieci wirtualnej, pod warunkiem, że są uwierzytelnieni i autoryzowani. Sieć VPN typu punkt-lokacja obsługuje:

  • Protokół SSTP (Secure Socket Tunneling Protocol): zastrzeżony protokół VPN oparty na protokole SSL, który może przeniknąć przez zapory, ponieważ większość zapór otwiera port TCP 443 wykorzystywany przez TLS/SSL. Protokół SSTP jest obsługiwany na urządzeniach z systemem Windows (system Windows 7 lub nowszy).
  • Sieci VPN IKEv2: oparte na standardach rozwiązanie sieci VPN IPsec, które może służyć do nawiązywania połączenia z urządzeniami Mac (system operacyjny OS X w wersji 10.11 lub nowszej).
  • Protokołu OpenVPN: protokół VPN oparty na protokole SSL/TLS, który może przeniknąć przez zapory, ponieważ większość zapór otwiera port TCP 443 wychodzący, którego używa protokół TLS. Protokół OpenVPN może służyć do nawiązywania połączeń z systemów Android, iOS (w wersjach 11.0 lub nowszych), windows, Linux i Mac (macOS w wersji 10.13 lub nowszej). Obsługiwane wersje to protokoły TLS 1.2 i TLS 1.3 oparte na uzgadnianiu protokołu TLS.

Więcej informacji:

Łączenie sieci lokalnej z siecią wirtualną za pomocą usługi VPN Gateway

Aby połączyć całą sieć firmową lub określone segmenty z siecią wirtualną, rozważ użycie sieci VPN typu lokacja-lokacja. Takie podejście jest typowe w hybrydowych scenariuszach IT, w których części usługi są hostowane zarówno na platformie Azure, jak i w środowisku lokalnym. Na przykład serwery front-end mogą znajdować się na platformie Azure, a bazy danych back-end w siedzibie firmy. Sieci VPN typu lokacja-lokacja zwiększają bezpieczeństwo zarządzania zasobami platformy Azure i umożliwiają scenariusze, takie jak rozszerzanie kontrolerów domeny usługi Active Directory na platformę Azure.

Sieć VPN typu lokacja-lokacja różni się od sieci VPN typu punkt-lokacja, ponieważ łączy całą sieć (taką jak sieć lokalna) z siecią wirtualną, a nie tylko jednym urządzeniem. Sieci VPN typu lokacja-lokacja używają protokołu VPN w trybie tunelu IPsec o wysokim poziomie bezpieczeństwa w celu nawiązania tych połączeń.

Więcej informacji:

Połączenia sieci VPN typu punkt-lokacja i lokacja-lokacja są przydatne do włączania łączności między lokalizacjami. Jednak mają pewne ograniczenia:

  • Połączenia sieci VPN przesyłają dane przez Internet, ujawniając je potencjalnym zagrożeniom bezpieczeństwa związanym z sieciami publicznymi. Ponadto niezawodność i dostępność połączeń internetowych nie mogą być gwarantowane.
  • Połączenia sieci VPN z sieciami wirtualnymi mogą nie zapewniać wystarczającej przepustowości dla niektórych aplikacji, zwykle maksymalnie na poziomie około 200 Mb/s.

W przypadku organizacji wymagających najwyższych poziomów zabezpieczeń i dostępności dla połączeń obejmujących wiele lokalizacji preferowane są dedykowane łącza sieci WAN. Platforma Azure oferuje rozwiązania, takie jak ExpressRoute, ExpressRoute Direct i ExpressRoute Global Reach, aby ułatwić te dedykowane połączenia między siecią lokalną a sieciami wirtualnymi platformy Azure.

Więcej informacji:

Łączenie sieci wirtualnych ze sobą

Istnieje możliwość użycia wielu sieci wirtualnych dla wdrożeń z różnych powodów, takich jak uproszczenie zarządzania lub zwiększenie bezpieczeństwa. Niezależnie od motywacji może istnieć czas, kiedy zasoby w różnych sieciach wirtualnych mają się ze sobą łączyć.

Jedną z opcji jest połączenie usług w jednej sieci wirtualnej z usługami w innej sieci wirtualnej za pośrednictwem Internetu. Oznacza to, że połączenie rozpoczyna się w jednej sieci wirtualnej, przechodzi przez Internet, a następnie dociera do docelowej sieci wirtualnej. Pokazuje to jednak podatność na zagrożenia bezpieczeństwa inherentne w komunikacji internetowej.

Lepszym rozwiązaniem jest utworzenie sieci VPN typu lokacja-lokacja, która łączy dwie sieci wirtualne. Ta metoda używa tego samego protokołu trybu tunelu IPsec co wymienione wcześniej połączenie sieci VPN typu lokacja-lokacja między lokacjami.

Zaletą tego podejścia jest to, że połączenie sieci VPN jest ustanawiane za pośrednictwem sieci szkieletowej platformy Azure, zapewniając dodatkową warstwę zabezpieczeń w porównaniu z sieciami VPN typu lokacja-lokacja, które łączą się przez Internet.

Więcej informacji:

Inną metodą łączenia sieci wirtualnych jest równorzędne łączenie sieci VNet. Peering sieci wirtualnej umożliwia bezpośrednią komunikację między dwiema sieciami wirtualnymi platformy Azure poprzez infrastrukturę szkieletową firmy Microsoft, omijając publiczny Internet. Ta funkcja obsługuje peering w tym samym regionie lub w różnych regionach Azure. Można również użyć sieciowych grup zabezpieczeń do kontrolowania i ograniczania łączności między podsieciami lub systemami w sieciach równorzędnych.

Dostępność

Dostępność ma kluczowe znaczenie dla każdego programu zabezpieczeń. Jeśli użytkownicy i systemy nie mogą uzyskać dostępu do niezbędnych zasobów, usługa zostanie skutecznie naruszona. Platforma Azure oferuje technologie sieciowe, które obsługują mechanizmy wysokiej dostępności, w tym:

  • Równoważenie obciążenia oparte na protokole HTTP
  • Równoważenie obciążenia na poziomie sieci
  • Globalne równoważenie obciążenia

Równoważenie obciążenia dystrybuuje połączenia równomiernie między wieloma urządzeniami, co ma na celu:

  • Zwiększyć dostępność: Poprzez dystrybucję połączeń usługa pozostaje operacyjna, nawet jeśli co najmniej jedno urządzenie stanie się niedostępne. Pozostałe urządzenia nadal obsługują zawartość.
  • zwiększyć wydajność: Dystrybucja połączeń zmniejsza obciążenie każdego pojedynczego urządzenia, rozkładając wymagania dotyczące przetwarzania i pamięci na wielu urządzeniach.
  • Ułatwianie skalowania: Wraz ze wzrostem zapotrzebowania można dodać więcej urządzeń do modułu równoważenia obciążenia, co umożliwia obsługę większej liczby połączeń.

Równoważenie obciążenia oparte na protokole HTTP

Organizacje, które uruchamiają usługi internetowe, często korzystają z używania modułu równoważenia obciążenia opartego na protokole HTTP w celu zapewnienia wysokiej wydajności i dostępności. W przeciwieństwie do tradycyjnych modułów równoważenia obciążenia opartych na sieci, które korzystają z protokołów warstwy sieci i transportu, moduły równoważenia obciążenia oparte na protokole HTTP podejmują decyzje na podstawie cech protokołu HTTP.

Usługi Azure Application Gateway i Azure Front Door oferują równoważenie obciążenia oparte na protokole HTTP dla usług internetowych. Obie usługi oferują:

  • koligacja sesji oparta na plikach cookie: Zapewnia, że połączenia nawiązane z jednym serwerem pozostają spójne między klientem a serwerem, zachowując stabilność transakcji.
  • odciążanie protokołu TLS: Szyfruje sesje między klientem a modułem równoważenia obciążenia przy użyciu protokołu HTTPS (TLS). Aby zwiększyć wydajność, połączenie między modułem równoważenia obciążenia a serwerem internetowym może używać protokołu HTTP (niezaszyfrowanego), zmniejszając obciążenie szyfrowania na serwerach internetowych i umożliwiając im wydajniejsze obsługę żądań.
  • Routowanie zawartości na podstawie adresów URL: Umożliwia równoważnikowi obciążenia przekazywanie połączeń na podstawie docelowego adresu URL, zapewniając większą elastyczność niż decyzje oparte na adresach IP.
  • Zapora aplikacji internetowej: Oferuje scentralizowaną ochronę aplikacji internetowych przed typowymi zagrożeniami i lukami w zabezpieczeniach.

Więcej informacji:

Równoważenie obciążenia na poziomie sieci

W przeciwieństwie do równoważenia obciążenia opartego na protokole HTTP równoważenie obciążenia na poziomie sieci podejmuje decyzje na podstawie numerów adresów IP i portów (TCP lub UDP). Usługa Azure Load Balancer zapewnia równoważenie obciążenia na poziomie sieci z następującymi kluczowymi cechami:

  • Równoważy ruch na podstawie adresu IP i numerów portów.
  • Obsługuje dowolny protokół warstwy aplikacji.
  • Dystrybuuje ruch do maszyn wirtualnych platformy Azure i instancji ról usługi w chmurze.
  • Może być używany zarówno dla aplikacji połączonych z Internetem (równoważenia obciążenia zewnętrznego) i aplikacji innych niż Internet (wewnętrzne równoważenie obciążenia) i maszyn wirtualnych.
  • Obejmuje monitorowanie punktu końcowego w celu wykrywania niedostępności usługi i reagowania na nie.

Więcej informacji:

Globalne równoważenie obciążenia

Niektóre organizacje chcą mieć możliwy najwyższy poziom dostępności. Jednym ze sposobów osiągnięcia tego celu jest hostowanie aplikacji w globalnie rozproszonych centrach danych. Gdy aplikacja jest hostowana w centrach danych znajdujących się na całym świecie, możliwe jest, że cały region geopolityczny stanie się niedostępny i nadal ma uruchomioną aplikację.

Ta strategia równoważenia obciążenia może również przynieść korzyści z wydajności. Możesz kierować żądania dotyczące usługi do centrum danych, które znajduje się najbliżej urządzenia wysyłającego żądanie.

Na platformie Azure możesz uzyskać korzyści wynikające z globalnego równoważenia obciążenia przy użyciu usługi Azure Traffic Manager na potrzeby równoważenia obciążenia opartego na systemie DNS, globalnego modułu równoważenia obciążenia warstwy transportu lub usługi Azure Front Door na potrzeby równoważenia obciążenia opartego na protokole HTTP.

Więcej informacji:

Rozpoznawanie nazw

Rozpoznawanie nazw jest niezbędne dla wszystkich usług hostowanych na platformie Azure. Z punktu widzenia zabezpieczeń naruszenie funkcji rozpoznawania nazw może umożliwić osobom atakującym przekierowywanie żądań z witryn do złośliwych witryn. W związku z tym bezpieczne rozpoznawanie nazw ma kluczowe znaczenie dla wszystkich usług hostowanych w chmurze.

Istnieją dwa typy rozpoznawania nazw, które należy wziąć pod uwagę:

  • Wewnętrzne rozpoznawanie nazw: używane przez usługi w sieciach wirtualnych, sieciach lokalnych lub obu tych sieciach. Te nazwy nie są dostępne za pośrednictwem Internetu. W celu zapewnienia optymalnego bezpieczeństwa upewnij się, że wewnętrzny schemat rozpoznawania nazw nie jest narażony dla użytkowników zewnętrznych.
  • Zewnętrzne rozpoznawanie nazw: Stosowane przez osoby i urządzenia spoza lokalnych i wirtualnych sieci. Te nazwy są widoczne w Internecie i umożliwiają bezpośrednie połączenia z Twoimi usługami działającymi w chmurze.

W przypadku wewnętrznego rozpoznawania nazw dostępne są dwie opcje:

  • Serwer DNS sieci wirtualnej: Podczas tworzenia nowej sieci wirtualnej platforma Azure udostępnia serwer DNS, który może rozpoznawać nazwy maszyn w tej sieci wirtualnej. Ten serwer DNS jest zarządzany przez platformę Azure i nie jest konfigurowalny, co pomaga zabezpieczyć rozpoznawanie nazw.
  • Przynieś własny serwer DNS: Możesz wdrożyć wybrany serwer DNS w sieci wirtualnej. Może to być zintegrowany serwer DNS usługi Active Directory lub dedykowane rozwiązanie serwera DNS od partnera platformy Azure dostępne w witrynie Azure Marketplace.

Więcej informacji:

W przypadku rozpoznawania nazw zewnętrznych dostępne są dwie opcje:

  • Hostowanie własnego zewnętrznego serwera DNS lokalnie.
  • Użyj zewnętrznego dostawcy usług DNS.

Duże organizacje często hostują własne serwery DNS lokalnie ze względu na wiedzę w zakresie sieci i globalną obecność.

Jednak w przypadku większości organizacji preferowane jest użycie zewnętrznego dostawcy usług DNS. Dostawcy ci oferują wysoką dostępność i niezawodność usług DNS, co jest kluczowe, ponieważ błędy DNS mogą sprawić, że usługi dostępne z Internetu będą niedostępne.

Usługa Azure DNS oferuje zewnętrzne rozwiązanie DNS o wysokiej dostępności i wysokiej wydajności. Wykorzystuje ona globalną infrastrukturę platformy Azure, umożliwiając hostowanie domeny na platformie Azure przy użyciu tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co inne usługi platformy Azure. Ponadto korzysta ona z niezawodnych mechanizmów kontroli zabezpieczeń platformy Azure.

Więcej informacji:

  • Omówienie usługi Azure DNS
  • Strefy prywatne usługi Azure DNS umożliwiają konfigurowanie prywatnych nazw DNS dla zasobów platformy Azure, a nie automatycznie przypisanych nazw bez konieczności dodawania niestandardowego rozwiązania DNS.

Architektura sieci obwodowej

Wiele dużych organizacji używa sieci obwodowych do segmentowania sieci i tworzy strefę buforu między Internetem a ich usługami. Część obwodowa sieci jest uważana za strefę o niskim poziomie zabezpieczeń, a żadne zasoby o wysokiej wartości nie są umieszczane w tym segmencie sieci. Zazwyczaj zobaczysz urządzenia zabezpieczeń sieci, które mają interfejs sieciowy w segmencie sieci obwodowej. Inny interfejs sieciowy jest połączony z siecią, która ma maszyny wirtualne i usługi, które akceptują połączenia przychodzące z Internetu.

Sieci obwodowe można projektować na wiele różnych sposobów. Decyzja o wdrożeniu sieci obwodowej, a następnie typ sieci obwodowej do użycia, jeśli zdecydujesz się go użyć, zależy od wymagań dotyczących zabezpieczeń sieci.

Więcej informacji:

Azure DDoS Protection

Ataki typu "rozproszona odmowa usługi" (DDoS) są istotnymi zagrożeniami dostępności i bezpieczeństwa dla aplikacji w chmurze. Te ataki mają na celu wyczerpywanie zasobów aplikacji, co sprawia, że jest ona niedostępna dla uprawnionych użytkowników. Dowolny publicznie dostępny punkt końcowy może być obiektem docelowym.

Funkcje ochrony przed atakami DDoS obejmują:

  • Natywna integracja platformy: w pełni zintegrowana z platformą Azure z konfiguracją dostępną za pośrednictwem witryny Azure Portal. Rozumie ona zasoby i ich konfiguracje.
  • Ochrona za pomocą klucza: Automatycznie chroni wszystkie zasoby w sieci wirtualnej zaraz po włączeniu ochrony przed atakami DDoS bez konieczności interwencji użytkownika. Działania zapobiegawcze rozpoczynają się natychmiast po wykryciu ataku.
  • monitorowanie ruchu zawsze aktywnego: Monitoruje ruch aplikacji 24/7 pod kątem oznak ataków DDoS i inicjuje działania naprawcze w przypadku naruszenia zasad ochrony.
  • Raporty ograniczania ryzyka ataków: Zawiera szczegółowe informacje na temat ataków przy użyciu zagregowanych danych przepływu sieci.
  • dzienniki przepływu ograniczania ryzyka ataków: Oferuje niemal w czasie rzeczywistym dzienniki porzuconego i przekazywanego ruchu podczas aktywnego ataku DDoS.
  • dostrajanie adaptacyjne: Uczy się wzorców ruchu aplikacji w czasie i odpowiednio dostosowuje profil ochrony. Zapewnia ochronę od warstwy 3 do warstwy 7 w przypadku użycia z zaporą dla aplikacji internetowych.
  • Rozległa skala łagodzenia: Może złagodzić ponad 60 różnych typów ataków z globalną zdolnością do obsługi największych znanych ataków DDoS.
  • metryki ataku: podsumowane metryki z każdego ataku są dostępne za pośrednictwem usługi Azure Monitor.
  • alerty dotyczące ataku: Konfigurowalne alerty dotyczące rozpoczęcia, zatrzymania i czasu trwania ataku, zintegrowane z narzędziami, takimi jak dzienniki usługi Azure Monitor, Splunk, Azure Storage, e-mail i portal Azure.
  • Gwarancja kosztów: Oferuje kredyty usługowe na transfer danych i skalowanie w poziomie aplikacji w przypadku udokumentowanych ataków DDoS.
  • Szybkie reagowanie na ataki DDoS: Zapewnia dostęp do zespołu szybkiego reagowania do badania podczas aktywnego ataku, opracowania niestandardowych środków zaradczych i analizy po ataku.

Więcej informacji:

Usługa Azure Front Door

Usługa Azure Front Door umożliwia definiowanie i monitorowanie globalnego routingu ruchu internetowego oraz zarządzanie nim, optymalizowanie go pod kątem wydajności i wysokiej dostępności. Umożliwia tworzenie niestandardowych reguł zapory aplikacji internetowej (WAF) w celu ochrony obciążeń HTTP/HTTPS przed wykorzystaniem na podstawie adresów IP klienta, kodów kraju i parametrów HTTP. Ponadto usługa Front Door obsługuje reguły ograniczania szybkości w celu zwalczania złośliwego ruchu bota, obejmuje odciążanie protokołu TLS i zapewnia przetwarzanie w warstwie aplikacji żądań HTTP/HTTPS.

Platforma Front Door jest chroniona przez ochronę przed atakami DDoS na poziomie infrastruktury platformy Azure. W celu zapewnienia rozszerzonej ochrony można włączyć usługę Azure DDoS Network Protection w sieciach wirtualnych, aby chronić zasoby przed atakami warstwy sieciowej (TCP/UDP) za pomocą automatycznego dostrajania i ograniczania ryzyka. Jako zwrotny serwer proxy warstwy 7 usługa Front Door zezwala na przekazywanie ruchu internetowego tylko do serwerów zaplecza, blokując domyślnie inne typy ruchu.

Uwaga

W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest wdrożenie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci.

Więcej informacji:

  • Aby uzyskać więcej informacji na temat całego zestawu funkcji usługi Azure Front Door, możesz zapoznać się z omówieniem usługi Azure Front Door

Azure Traffic Manager

Usługa Azure Traffic Manager to oparty na systemie DNS moduł równoważenia obciążenia ruchu, który dystrybuuje ruch do usług w globalnych regionach platformy Azure, zapewniając wysoką dostępność i czas odpowiedzi. Używa systemu DNS do kierowania żądań klientów do najbardziej odpowiedniego punktu końcowego usługi na podstawie metody routingu ruchu i kondycji punktów końcowych. Punkt końcowy może być dowolną usługą dostępną z Internetu hostowaną wewnątrz platformy Azure lub poza platformą Azure. Usługa Traffic Manager stale monitoruje punkty końcowe i unika kierowania ruchu do tych, które są niedostępne.

Więcej informacji:

Monitorowanie i wykrywanie zagrożeń

Platforma Azure oferuje możliwości ułatwiające wczesne wykrywanie, monitorowanie i zbieranie i przeglądanie ruchu sieciowego.

Azure Network Watcher

Usługa Azure Network Watcher udostępnia narzędzia ułatwiające rozwiązywanie i identyfikowanie problemów z zabezpieczeniami.

  • widok grupy zabezpieczeń: przeprowadza inspekcję i zapewnia zgodność z zabezpieczeniami maszyn wirtualnych, porównując zasady odniesienia z skutecznymi regułami, pomagając zidentyfikować dryf konfiguracji.
  • Przechwytywanie pakietów: Przechwytuje ruch sieciowy do i z maszyn wirtualnych, wspomagając zbieranie statystyk sieciowych i rozwiązywanie problemów z aplikacjami. Może również zostać wyzwolony przez usługę Azure Functions w odpowiedzi na określone alerty.

Aby uzyskać więcej informacji, zobacz Omówienie monitorowania usługi Azure Network Watcher.

Uwaga

Aby uzyskać najnowsze aktualizacje dotyczące dostępności i stanu usługi, odwiedź stronę aktualizacji platformy Azure .

Microsoft Defender for Cloud

Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie oraz zapewnia lepszy wgląd w zasoby platformy Azure oraz kontrolę nad nimi. Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure, pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziałają z dużym zestawem rozwiązań zabezpieczeń.

Defender dla Chmury ułatwia optymalizowanie i monitorowanie zabezpieczeń sieci przez:

  • Dostarczanie zaleceń dotyczących zabezpieczeń sieci.
  • Monitorowanie stanu konfiguracji zabezpieczeń sieci.
  • Zgłaszanie alertów o zagrożeniach sieciowych zarówno na poziomie punktu końcowego, jak i sieci.

Więcej informacji:

Wirtualna Sieć TAP

Funkcja TAP (punkt dostępu terminalu) sieci wirtualnej platformy Azure umożliwia ciągłe przesyłanie strumieniowe ruchu sieciowego maszyny wirtualnej do modułu zbierającego lub analitycznego pakietów sieciowych. Narzędzie modułu zbierającego lub analitycznego jest dostarczane przez partnera dostarczającego wirtualne urządzenia sieciowe. Za pomocą tego samego zasobu TAP sieci wirtualnej można agregować ruch z wielu interfejsów sieciowych w ramach tej samej lub innej subskrypcji.

Więcej informacji:

Rejestrowanie

Rejestrowanie na poziomie sieci jest kluczową funkcją dla każdego scenariusza zabezpieczeń sieci. Na platformie Azure możesz rejestrować informacje uzyskane dla grup zabezpieczeń sieci, aby otrzymać informacje dotyczące logów na poziomie sieci. Dzięki logowaniu sieciowej grupy zabezpieczeń uzyskujesz informacje z:

  • Dzienniki aktywności. Użyj tych dzienników, aby wyświetlić wszystkie operacje przesłane do subskrypcji platformy Azure. Te dzienniki są domyślnie włączone i mogą być używane w witrynie Azure Portal. Wcześniej były znane jako dzienniki inspekcji lub operacyjne.
  • Dzienniki zdarzeń. Te dzienniki zawierają informacje o tym, jakie reguły NSG zostały zastosowane.
  • Dzienniki liczników. Te logi poinformują, ile razy każda reguła NSG została zastosowana, by blokować lub zezwalać na ruch.

Możesz również użyć usługi Microsoft Power BI, zaawansowanego narzędzia do wizualizacji danych, aby wyświetlić i przeanalizować te dzienniki. Więcej informacji: