Stosowanie zasad zero trust do szyfrowania komunikacji sieciowej opartej na platformie Azure

Ten artykuł zawiera wskazówki dotyczące stosowania zasad zerowej relacji zaufania do szyfrowania komunikacji sieciowej z środowiskami platformy Azure i między środowiskami platformy Azure w następujący sposób.

Zasada zerowego zaufania	Definicja	Spotkane przez
Zweryfikować jawnie	Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych.	Używanie zasad dostępu warunkowego dla połączeń usługi Azure VPN Gateway i protokołu Secure Shell (SSH) i protokołu RDP (Remote Desktop Protocol) dla połączeń między użytkownikami i maszynami wirtualnymi.
Używanie dostępu z jak najmniejszą liczbą uprawnień	Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.	Konfigurowanie urządzeń Microsoft Enterprise Edge (MSEE) do używania statycznego klucza asocjacji łączności (CAK) dla usługi Azure ExpressRoute przy użyciu portów bezpośrednich i korzystania z tożsamości zarządzanej do uwierzytelniania zasobów obwodu ExpressRoute.
Zakładanie naruszeń zabezpieczeń	Zminimalizuj promień wybuchu i segmentuj dostęp. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.	Ochrona ruchu sieciowego za pomocą metod szyfrowania i protokołów zapewniających poufność, integralność i autentyczność przesyłanych danych. Używanie usługi Azure Monitor do udostępniania metryk wydajności i alertów sieci usługi ExpressRoute. Za pomocą usługi Azure Bastion można zarządzać poszczególnymi sesjami z usługi Bastion i usuwać lub wymuszać rozłączenie.

Ten artykuł jest częścią serii artykułów , które pokazują, jak zastosować zasady zerowego zaufania dla sieci platformy Azure.

Poziomy szyfrowania ruchu sieciowego to:

• Szyfrowanie warstwy sieciowej

  • Zabezpieczanie i weryfikowanie komunikacji z Internetu lub sieci lokalnej do sieci wirtualnych i maszyn wirtualnych platformy Azure

  • Zabezpieczanie i weryfikowanie komunikacji w sieciach wirtualnych platformy Azure oraz między nimi

• Szyfrowanie warstwy aplikacji

  • Ochrona aplikacji internetowych platformy Azure

• Ochrona obciążeń uruchomionych na maszynach wirtualnych platformy Azure

Architektura odwołań

Na poniższym diagramie przedstawiono architekturę referencyjną dla zaleceń Zero Trust dotyczących szyfrowania komunikacji między użytkownikami i administratorami, wewnętrznie lub przez Internet, oraz składnikami w środowisku platformy Azure zgodnie z krokami opisanymi w tym artykule.

Na diagramie liczby odpowiadają krokom w poniższych sekcjach.

Co znajduje się w tym artykule?

Zasady zero trust są stosowane w całej architekturze referencyjnej, od użytkowników i administratorów w Internecie lub sieci lokalnej do i w chmurze platformy Azure. W poniższej tabeli opisano zalecenia dotyczące zapewniania szyfrowania ruchu sieciowego w tej architekturze.

Krok	Zadanie	Stosowane zasady zerowego zaufania
1	Implementowanie szyfrowania warstwy sieciowej.	Zweryfikuj jawnie Użyj najmniej uprzywilejowanego dostępu Zakładanie naruszeń zabezpieczeń
2	Zabezpieczanie i weryfikowanie komunikacji z sieci lokalnej do sieci wirtualnych platformy Azure.	Zweryfikuj jawnie Zakładanie naruszeń zabezpieczeń
3	Zabezpieczaj i weryfikuj komunikację wewnątrz i pomiędzy sieciami wirtualnymi platformy Azure.	Zakładanie naruszeń zabezpieczeń
4	Zaimplementuj szyfrowanie warstwy aplikacji.	Zweryfikuj jawnie Zakładanie naruszeń zabezpieczeń
5	Ochrona maszyn wirtualnych platformy Azure przy użyciu usługi Azure Bastion.	Zakładanie naruszeń zabezpieczeń

Krok 1. Implementowanie szyfrowania warstwy sieciowej

Szyfrowanie warstwy sieciowej ma kluczowe znaczenie podczas stosowania zasad zero trust do środowiska lokalnego i środowiska platformy Azure. Gdy ruch sieciowy przechodzi przez Internet, zawsze należy założyć, że istnieje możliwość przechwycenia ruchu przez osoby atakujące, a dane mogą zostać ujawnione lub zmienione przed dotarciem do miejsca docelowego. Ponieważ dostawcy usług kontrolują sposób kierowania danych przez Internet, chcesz mieć pewność, że prywatność i integralność danych są utrzymywane od momentu opuszczenia sieci lokalnej przez całą drogę do chmury firmy Microsoft.

Na poniższym diagramie przedstawiono architekturę referencyjną implementowania szyfrowania warstwy sieciowej.

W dwóch następnych sekcjach omówiono zabezpieczenia protokołu internetowego (IPsec) i zabezpieczenia kontroli dostępu do multimediów (MACsec), które usługi sieciowe platformy Azure obsługują te protokoły i jak można zapewnić ich wykorzystanie.

Protokół IPsec

IPsec to grupa protokołów zapewniających zabezpieczenia komunikacji protokołu internetowego (IP). Uwierzytelnia i szyfruje pakiety sieciowe przy użyciu zestawu algorytmów szyfrowania. IPSec to protokół hermetyzacji zabezpieczeń używany do ustanawiania wirtualnych sieci prywatnych (VPN). Tunel VPN IPsec składa się z dwóch faz, fazy 1 nazywanej trybem głównym i fazą 2 znaną jako tryb szybki.

Faza 1 protokołu IPsec to utworzenie tunelu, podczas którego strony negocjują parametry skojarzenia zabezpieczeń dla Internet Key Exchange (IKE), takie jak szyfrowanie, uwierzytelnianie, funkcje skrótu i algorytmy Diffie-Hellman. Aby zweryfikować swoje tożsamości, rówieśnicy wymieniają wcześniej uzgodniony klucz. Faza 1 protokołu IPsec może działać w dwóch trybach: tryb główny lub tryb agresywny. Usługa Azure VPN Gateway obsługuje dwie wersje protokołów IKE, IKEv1 i IKEv2 i działają tylko w trybie głównym. Tryb główny zapewnia szyfrowanie tożsamości połączenia między usługą Azure VPN Gateway i urządzeniem lokalnym.

W fazie 2 protokołu IPsec strony negocjują parametry zabezpieczeń na potrzeby transmisji danych. W tej fazie obie strony zgadzają się na algorytmy szyfrowania i uwierzytelniania, czas życia skojarzenia zabezpieczeń (SA) i selektory ruchu (TS), które definiują ruch szyfrowany przez tunel IPsec. Tunel utworzony w fazie 1 służy jako bezpieczny kanał dla tych negocjacji. Protokół IPsec może zabezpieczać pakiety IP przy użyciu protokołu nagłówka uwierzytelniającego (AH) lub protokołu Ładunku Zabezpieczającego (ESP). Usługa AH zapewnia integralność i uwierzytelnianie, a esp zapewnia również poufność (szyfrowanie). Faza 2 protokołu IPsec może działać w trybie transportu lub w trybie tunelu. W trybie transportu tylko ładunek pakietu IP jest szyfrowany, podczas gdy w trybie tunelu cały pakiet IP jest szyfrowany i dodawany jest nowy nagłówek IP. Fazę 2 protokołu IPsec można ustanowić na podstawie protokołu IKEv1 lub IKEv2. Bieżąca implementacja protokołu IPsec usługi Azure VPN Gateway obsługuje tylko protokół ESP w trybie tunelu.

Niektóre usługi platformy Azure, które obsługują protokół IPsec, to:

• Azure VPN Gateway

  • Połączenia sieci VPN typu lokacja-lokacja

  • Połączenia VNet do VNet

  • Połączenia typu punkt-lokacja

• Wirtualna sieć WAN platformy Azure

  • Lokacje sieci VPN

  • Konfiguracje sieci VPN użytkownika

Nie ma żadnych ustawień, które należy zmodyfikować, aby włączyć protokół IPsec dla tych usług. Są one domyślnie włączone.

Usługa MACsec i usługa Azure Key Vault

MACsec (IEEE 802.1AE) to standard zabezpieczeń sieciowych, który stosuje zasadę Zero Trust 'Zakładaj naruszenie' w warstwie łącza danych, zapewniając uwierzytelnianie i szyfrowanie na łączu Ethernet. MaCsec zakłada, że każdy ruch sieciowy, nawet w tej samej sieci lokalnej, może zostać naruszony lub przechwycony przez złośliwych podmiotów. Program MACsec weryfikuje i chroni każdą ramkę przy użyciu klucza zabezpieczeń współużytkowanego między dwoma interfejsami sieciowymi. Tę konfigurację można wykonać tylko między dwoma urządzeniami obsługującymi protokół MACsec.

Protokół MACsec jest skonfigurowany ze skojarzeniami łączności, które są zestawem atrybutów używanych przez interfejsy sieciowe do tworzenia przychodzących i wychodzących kanałów zabezpieczeń. Po utworzeniu ruch w tych kanałach jest przekazywany przez dwa zabezpieczone łącza MACsec. Usługa MACsec ma dwa tryby skojarzenia łączności:

• Tryb klucza skojarzenia łączności statycznej (CAK): Zabezpieczone łącza MACsec są ustanawiane przy użyciu uprzednio udostępnionego klucza, który zawiera nazwę klucza skojarzenia łączności (CKN) oraz przydzielony klucz CAK. Te klucze są konfigurowane na obu końcach łącza.
• Tryb dynamicznego uwierzytelniania CAK: klucze zabezpieczeń są generowane dynamicznie przy użyciu procesu uwierzytelniania 802.1x, które może używać scentralizowanego urządzenia uwierzytelniania, takiego jak serwer usługi radius (Remote Authentication Dial-In User Service).

Urządzenia Microsoft Enterprise Edge (MSEE) obsługują statyczny CAK przez przechowywanie CAK i CKN w usłudze Azure Key Vault podczas konfigurowania usługi Azure ExpressRoute z wykorzystaniem portów bezpośrednich. Aby uzyskać dostęp do wartości w usłudze Azure Key Vault, skonfiguruj tożsamość zarządzaną w celu uwierzytelniania zasobu obwodu usługi ExpressRoute. Takie podejście jest zgodne z zasadą "Zero Trust" "Dostępu z najmniejszym uprzywilejowaniem", ponieważ tylko autoryzowane urządzenia mogą uzyskiwać dostęp do kluczy z usługi Azure Key Vault. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu MACsec na portach usługi ExpressRoute Direct.

Krok 2. Zabezpieczanie i weryfikowanie komunikacji z sieci lokalnej do sieci wirtualnych platformy Azure

W miarę jak migracja do chmury staje się coraz bardziej powszechna wśród firm na różną skalę, kluczową rolę odgrywa łączność hybrydowa. Ważne jest, aby nie tylko zabezpieczyć i chronić, ale także weryfikować i monitorować komunikację sieciową między siecią lokalną a platformą Azure.

Na poniższym diagramie przedstawiono architekturę referencyjną zabezpieczania i weryfikowania komunikacji z sieci lokalnej do sieci wirtualnych platformy Azure.

Platforma Azure oferuje dwie opcje łączenia sieci lokalnej z zasobami w sieci wirtualnej platformy Azure:

• Usługa Azure VPN Gateway umożliwia utworzenie tunelu sieci VPN typu lokacja-lokacja przy użyciu protokołu IPsec w celu szyfrowania i uwierzytelniania komunikacji sieciowej między siecią w biurach centralnych lub zdalnych a siecią wirtualną platformy Azure. Umożliwia również poszczególnym klientom nawiązanie połączenia punkt-lokacja w celu uzyskania dostępu do zasobów w sieci wirtualnej platformy Azure bez urządzenia sieci VPN. Dla zgodności z modelem Zero Trust, skonfiguruj zasady uwierzytelniania i dostępu warunkowego Microsoft Entra ID dla połączeń usługi Azure VPN Gateway, aby zweryfikować tożsamość i zgodność urządzeń łączących się. Aby uzyskać więcej informacji, zobacz Użyj bramy sieci VPN Microsoft Tunnel z zasadami dostępu warunkowego.

• Usługa Azure ExpressRoute zapewnia połączenie prywatne o wysokiej przepustowości, które umożliwia rozszerzenie sieci lokalnej na platformę Azure przy użyciu pomocy dostawcy łączności. Ponieważ ruch sieciowy nie jest przesyłany przez publiczny Internet, dane nie są domyślnie szyfrowane. Aby zaszyfrować ruch za pośrednictwem usługi ExpressRoute, skonfiguruj tunel IPsec. Należy jednak pamiętać, że w przypadku uruchamiania tuneli IPsec za pośrednictwem usługi ExpressRoute przepustowość jest ograniczona do przepustowości tunelu i może być konieczne uruchomienie wielu tuneli w celu dopasowania do przepustowości obwodu usługi ExpressRoute. Aby uzyskać więcej informacji, zobacz Połączenia VPN typu Site-to-Site przez prywatne peering ExpressRoute — Azure VPN Gateway.

  Jeśli używasz portów usługi ExpressRoute Direct, możesz zwiększyć bezpieczeństwo sieci, włączając uwierzytelnianie podczas ustanawiania elementów równorzędnych BGP lub konfigurowanie protokołu MACsec w celu zabezpieczenia komunikacji w warstwie 2. Usługa MACsec zapewnia szyfrowanie ramek Ethernet, zapewniając poufność danych, integralność i autentyczność między routerem brzegowym a routerem brzegowym firmy Microsoft.

  Usługa Azure ExpressRoute obsługuje również usługę Azure Monitor dla metryk wydajności sieci i alertów.

Szyfrowanie może chronić dane przed nieautoryzowanym przechwyceniem, ale wprowadza również dodatkową warstwę przetwarzania na potrzeby szyfrowania i odszyfrowywania ruchu sieciowego, który może mieć wpływ na wydajność. Ruch sieciowy przechodzący przez Internet może być również nieprzewidywalny, ponieważ musi podróżować przez wiele urządzeń sieciowych, które mogą powodować opóźnienie sieci. Aby uniknąć problemów z wydajnością, firma Microsoft zaleca korzystanie z usługi ExpressRoute, ponieważ oferuje niezawodną wydajność sieci i alokację przepustowości, którą można dostosować dla obciążenia.

Podczas podejmowania decyzji między usługą Azure VPN Gateway lub usługą ExpressRoute należy wziąć pod uwagę następujące pytania:

1. Jakie rodzaje plików i aplikacji są dostępne w Twojej sieci lokalnej oraz na platformie Azure? Czy wymagana jest spójna przepustowość do przesyłania dużych ilości danych?
2. Czy potrzebujesz spójnego i małego opóźnienia, aby aplikacje działały optymalnie?
3. Czy musisz monitorować wydajność sieci i kondycję łączności hybrydowej?

Jeśli udzielono odpowiedzi na dowolne z tych pytań, usługa Azure ExpressRoute powinna być podstawową metodą łączenia sieci lokalnej z platformą Azure.

Istnieją dwa typowe scenariusze, w których usługa ExpressRoute i usługa Azure VPN Gateway mogą współistnieć:

• Azure VPN Gateway może być używany do łączenia oddziałów z platformą Azure, podczas gdy główne biuro jest połączone za pomocą usługi ExpressRoute.
• Możesz również użyć usługi Azure VPN Gateway jako połączenia kopii zapasowej z platformą Azure dla biura centralnego, jeśli usługa ExpressRoute ma awarię.

Krok 3. Zabezpieczanie i weryfikowanie komunikacji w obrębie i pomiędzy sieciami wirtualnymi platformy Azure.

Ruch na platformie Azure ma podstawowy poziom szyfrowania. W przypadku ruchu między sieciami wirtualnymi w różnych regionach Microsoft korzysta z protokołu MACsec do szyfrowania i uwierzytelniania ruchu peeringowego w warstwie łącza danych.

Na poniższym diagramie przedstawiono architekturę referencyjną zabezpieczania i weryfikowania komunikacji w sieciach wirtualnych platformy Azure i w tych sieciach.

Jednak samo szyfrowanie nie wystarczy, aby zapewnić zero trust. Należy również zweryfikować i monitorować komunikację sieci w sieciach wirtualnych platformy Azure oraz pomiędzy nimi. Dalsze szyfrowanie i weryfikacja między sieciami wirtualnymi są możliwe za pomocą usługi Azure VPN Gateway lub wirtualnych urządzeń sieciowych (WUS), ale nie jest to powszechna praktyka. Firma Microsoft zaleca projektowanie topologii sieci w celu korzystania ze scentralizowanego modelu inspekcji ruchu, który może wymuszać szczegółowe zasady i wykrywać anomalie.

Aby zmniejszyć nakład pracy związany z konfigurowaniem bramy sieci VPN lub urządzenia wirtualnego, włącz funkcję szyfrowania VNet dla niektórych rozmiarów maszyn wirtualnych, aby szyfrować i weryfikować ruch między maszynami wirtualnymi na poziomie hosta, w obrębie sieci VNet i między równorzędnymi połączeniami VNet.

Krok 4. Implementowanie szyfrowania w warstwie aplikacji

Szyfrowanie warstwy aplikacji odgrywa kluczowy czynnik dla usługi Zero Trust, który nakazuje szyfrowanie wszystkich danych i komunikacji podczas interakcji użytkowników z aplikacjami internetowymi lub urządzeniami. Szyfrowanie warstwy aplikacji zapewnia, że tylko zweryfikowane i zaufane jednostki mogą uzyskiwać dostęp do aplikacji internetowych lub urządzeń.

Na poniższym diagramie przedstawiono architekturę referencyjną do implementowania szyfrowania w warstwie aplikacji.

Jednym z najpopularniejszych przykładów szyfrowania na warstwie aplikacji jest Hypertext Transfer Protocol Secure (HTTPS), który szyfruje dane między przeglądarką internetową a serwerem internetowym. Protokół HTTPS używa protokołu Transport Layer Security (TLS) do szyfrowania komunikacji klient-serwer i używa certyfikatu cyfrowego TLS do weryfikowania tożsamości i wiarygodności witryny internetowej lub domeny.

Innym przykładem zabezpieczeń warstwy aplikacji jest protokół Secure Shell (SSH) i protokół RDP (Remote Desktop Protocol), który szyfruje dane między klientem a serwerem. Te protokoły obsługują również zasady uwierzytelniania wieloskładnikowego i dostępu warunkowego w celu zapewnienia, że tylko autoryzowane i zgodne urządzenia lub użytkownicy mogą uzyskiwać dostęp do zasobów zdalnych. Zobacz Krok 5, aby uzyskać informacje na temat zabezpieczania połączeń SSH i RDP z maszynami wirtualnymi platformy Azure.

Ochrona aplikacji internetowych platformy Azure

Aby chronić aplikacje internetowe Azure, możesz użyć usługi Azure Front Door lub Azure Application Gateway.

Azure Front Door

Azure Front Door to globalna usługa dystrybucji, która optymalizuje dostarczanie zawartości użytkownikom końcowym za pośrednictwem lokalizacji brzegowych firmy Microsoft. Dzięki funkcjom takim jak zapora aplikacji internetowej (WAF) i usługa Private Link można wykrywać i blokować złośliwe ataki na aplikacje internetowe na brzegu sieci Microsoft, a jednocześnie prywatnie uzyskiwać dostęp do źródeł przy użyciu sieci wewnętrznej firmy Microsoft.

pl-PL: Aby chronić dane, ruch do punktów końcowych Azure Front Door jest chroniony przy użyciu protokołu HTTPS z pełną obsługą TLS dla całego ruchu przechodzącego do i z jego punktów końcowych. Ruch jest szyfrowany z klienta do źródła i od źródła do klienta.

Usługa Azure Front Door obsługuje żądania HTTPS i określa, który punkt końcowy w swoim profilu ma skojarzoną nazwę domeny. Następnie sprawdza ścieżkę i określa, która reguła routingu pasuje do ścieżki żądania. Jeśli buforowanie jest włączone, usługa Azure Front Door sprawdza jego pamięć podręczną, aby sprawdzić, czy istnieje prawidłowa odpowiedź. Jeśli nie ma prawidłowej odpowiedzi, usługa Azure Front Door wybiera najlepsze źródło, które może obsłużyć żądaną zawartość. Przed wysłaniem żądania do jego źródła do żądania można zastosować zestaw reguł, aby zmienić nagłówek, ciąg zapytania lub punkt docelowy.

Usługa Azure Front Door obsługuje zarówno protokół TLS frontonu, jak i zaplecza. Frontend TLS szyfruje ruch między klientem a usługą Azure Front Door. Protokół TLS zaplecza szyfruje ruch między usługą Azure Front Door a źródłem. Usługa Azure Front Door obsługuje protokoły TLS 1.2 i TLS 1.3. Usługę Azure Front Door można skonfigurować tak, aby używała niestandardowego certyfikatu TLS lub użyć certyfikatu zarządzanego przez usługę Azure Front Door.

Uwaga

Możesz również użyć funkcji Private Link do łączności z NVAs w celu dalszej inspekcji pakietów.

Azure Application Gateway

Azure Application Gateway to regionalny moduł równoważenia obciążenia, który działa w warstwie 7. Kieruje i dystrybuuje ruch internetowy na podstawie atrybutów adresu URL PROTOKOŁU HTTP. Może kierować i dystrybuować ruch przy użyciu trzech różnych metod:

• Tylko protokół HTTP: usługa Application Gateway odbiera i kieruje przychodzące żądania HTTP do odpowiedniego miejsca docelowego w postaci niezaszyfrowanej.
• Kończenie żądań SSL: usługa Application Gateway odszyfrowuje przychodzące żądania HTTPS na poziomie wystąpienia, sprawdza je i kieruje je niezaszyfrowane do miejsca docelowego.
• Kompleksowe szyfrowanie TLS: usługa Application Gateway odszyfrowuje przychodzące żądania HTTPS na poziomie wystąpienia, sprawdza je i szyfruje je ponownie przed routingiem do miejsca docelowego.

Najbezpieczniejszą opcją jest kompleksowe protokół TLS, który umożliwia szyfrowanie i przesyłanie poufnych danych przez wymaganie użycia certyfikatów uwierzytelniania lub zaufanych certyfikatów głównych. Wymaga również przekazania tych certyfikatów na serwery zaplecza i upewnienia się, że te serwery zaplecza są znane usłudze Application Gateway. Aby uzyskać więcej informacji, zobacz Konfigurowanie kompleksowego protokołu TLS przy użyciu usługi Application Gateway.

Ponadto użytkownicy lokalni lub użytkownicy na maszynach wirtualnych w innej sieci wirtualnej mogą używać wewnętrznego frontonu usługi Application Gateway z tymi samymi możliwościami protokołu TLS. Oprócz szyfrowania firma Microsoft zaleca, aby zawsze włączać WAF w celu zapewnienia dodatkowej ochrony front-endu dla punktów końcowych.

Krok 5. Ochrona maszyn wirtualnych platformy Azure przy użyciu usługi Azure Bastion

Azure Bastion to zarządzana usługa PaaS, która umożliwia bezpieczne łączenie się z maszynami wirtualnymi za pośrednictwem połączenia TLS. Tę łączność można ustanowić w witrynie Azure Portal lub za pośrednictwem natywnego klienta do prywatnego adresu IP na maszynie wirtualnej. Zalety korzystania z usługi Bastion obejmują:

• Maszyny wirtualne platformy Azure nie potrzebują publicznego adresu IP. Połączenia są za pośrednictwem portu TCP 443 dla protokołu HTTPS i mogą przechodzić przez większość zapór.
• Maszyny wirtualne są chronione przed skanowaniem portów.
• Platforma Azure Bastion jest stale aktualizowana i chroniona przed programami wykorzystującymi luki zero-dniowe.

Za pomocą usługi Bastion można kontrolować łączność RDP i SSH z maszyną wirtualną z jednego punktu wejścia. Poszczególne sesje można zarządzać z poziomu usługi Bastion w witrynie Azure Portal. Możesz również usunąć lub wymusić rozłączenie trwającej sesji zdalnej, jeśli podejrzewasz, że użytkownik nie ma łączyć się z tym komputerem.

Na poniższym diagramie przedstawiono architekturę referencyjną używania usługi Azure Bastion do ochrony maszyn wirtualnych platformy Azure.

Aby chronić maszynę wirtualną platformy Azure, wdróż usługę Azure Bastion i rozpocznij korzystanie z protokołów RDP i SSH w celu nawiązania połączenia z maszynami wirtualnymi przy użyciu prywatnych adresów IP.

Zalecane szkolenie

• Łączenie sieci lokalnej z platformą Azure za pomocą usługi VPN Gateway
• Łączenie sieci lokalnej z siecią globalną firmy Microsoft przy użyciu usługi ExpressRoute
• Wprowadzenie do usługi Azure Front Door
• Konfigurowanie bramy aplikacyjnej systemu Azure
• Wprowadzenie do usługi Azure Bastion

Następne kroki

Aby uzyskać dodatkowe informacje na temat stosowania usługi Zero Trust do sieci platformy Azure, zobacz:

• Komunikacja sieciowa oparta na Azure
• Uzyskiwanie wglądu w ruch sieciowy
• Zaprzestanie starszej technologii zabezpieczeń sieci
• Zabezpieczanie sieci za pomocą zera trustu
• Sieci wirtualne typu spoke na platformie Azure
• Sieci wirtualne centrum w Azure
• Sieci wirtualne jako szprychy z usługami PaaS w Azure
• Wirtualna sieć WAN platformy Azure

Bibliografia

Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.

• Azure VPN Gateway
• Wirtualna sieć WAN platformy Azure
• Konfigurowanie zabezpieczeń MACsec na portach usługi ExpressRoute Direct
• Używanie bramy sieci VPN Microsoft Tunnel z zasadami dostępu warunkowego
• Azure ExpressRoute
• Szyfrowanie sieci wirtualnej
• Azure Front Door
• Brama Aplikacyjna
• Azure Bastion