Bezpieczeństwo sieci

Chroń zasoby, umieszczając kontrolki ruchu sieciowego pochodzącego z platformy Azure między zasobami lokalnymi i zasobami hostowanymi na platformie Azure oraz ruchem do i z platformy Azure. Jeśli środki zabezpieczeń nie są w miejscu, osoby atakujące mogą uzyskać dostęp, na przykład, skanując w różnych zakresach publicznych adresów IP. Odpowiednie mechanizmy kontroli zabezpieczeń sieci mogą zapewnić szczegółowe elementy ochrony, które pomagają wykrywać, zawierać i zatrzymywać osoby atakujące, które uzyskują dostęp do wdrożeń w chmurze.

Uwaga

Zabezpieczenia sieci, segmentacja i łączność można zdefiniować w ramach architektury obciążenia. Częściej sieć jest często rozwiązywana na poziomie organizacji przez centralny zespół IT, centrum doskonałości chmury lub zespół ds. platformy w chmurze. W przypadku dowolnej konfiguracji sieci zdefiniowanej poza zakresem architektury obciążenia zapoznaj się z tematem strefy docelowe platformy Azure Cloud Adoption Framework. Topologia sieci i łączność przedstawiają zalecenia i zagadnienia dotyczące scentralizowanych sieci i zabezpieczeń sieci.

Lista kontrolna

Jak zabezpieczyć sieć obciążenia?

---

• Segmentowanie śladu sieci i tworzenie bezpiecznych ścieżek komunikacyjnych między segmentami. Dopasuj segmentację sieci do ogólnej strategii segmentacji przedsiębiorstwa.
• Zaprojektuj mechanizmy kontroli zabezpieczeń, które identyfikują i zezwalają na ruch, żądania dostępu i komunikację aplikacji między segmentami.
• Chroń wszystkie publiczne punkty końcowe za pomocą usługi Azure Front Door, Application Gateway, Azure Firewall i usługi Azure DDoS Protection.
• Eliminowanie ataków DDoS za pomocą usługi Azure DDoS Protection pod kątem obciążeń o krytycznym znaczeniu.
• Zachowaj prywatne i bezpieczne maszyny wirtualne podczas nawiązywania połączenia z Internetem za pomocą usługi Azure NAT Gateway.
• Kontrolowanie ruchu sieciowego między podsieciami (wschód-zachód) i warstwami aplikacji (północ-południe).
• Ochrona przed atakami eksfiltracji danych za pomocą szczegółowego podejścia do ochrony przy użyciu kontrolek w każdej warstwie.

Test porównawczy zabezpieczeń platformy Azure

Test porównawczy zabezpieczeń platformy Azure obejmuje kolekcję zaleceń dotyczących zabezpieczeń o wysokim wpływie, których można użyć do zabezpieczenia usług używanych na platformie Azure:

Pytania w tej sekcji są dostosowane do zabezpieczeń sieci testów porównawczych zabezpieczeń platformy Azure.

Usługi platformy Azure

• Azure Virtual Network
• Azure Firewall
• Brama translatora adresów sieciowych platformy Azure
• Azure ExpressRoute
• Link prywatny platformy Azure
• Azure DDoS Protection

Architektura referencyjna

Poniżej przedstawiono niektóre architektury referencyjne związane z zabezpieczeniami sieci:

• Topologia sieci piasty i szprych na platformie Azure
• Wdrażanie urządzeń WUS o wysokiej dostępności
• Architektura bazowa dla klastra usługi Azure Kubernetes Service (AKS)

Następne kroki

Zalecamy jak najszybsze stosowanie jak największej liczby najlepszych rozwiązań, a następnie pracę nad modernizacją wszelkich luk w czasie w miarę dojrzewania programu zabezpieczeń.

Ochrona danych

Linki pokrewne

Łączenie kontrolek sieci z aplikacjami, tożsamościami i innymi typami kontroli technicznej. Takie podejście jest skuteczne w zapobieganiu, wykrywaniu i reagowaniu na zagrożenia poza kontrolowaną siecią. Więcej informacji można znaleźć w następujących artykułach:

• Aplikacje i usługi
• Zagadnienia dotyczące zarządzania tożsamościami i dostępem na platformie Azure
• Zagadnienia dotyczące ochrony danych

Upewnij się, że grupowanie zasobów i uprawnienia administracyjne są zgodne z modelem segmentacji. Aby uzyskać więcej informacji, zobacz Zabezpieczenia konta administracyjnego.

Wstecz do głównego artykułu: Omówienie filaru zabezpieczeń