Что такое безопасность сети Azure?

Сетевая безопасность является критически важным аспектом облачных вычислений, так как она защищает данные и приложения, которые работают в облаке от различных угроз и атак. Azure предоставляет полный набор решений для обеспечения безопасности сети, позволяющих разрабатывать, развертывать и управлять безопасными и устойчивыми сетями в облаке.

Одним из руководящих принципов сетевой безопасности Azure является модель нулевого доверия, которая предполагает, что ни одна сеть или устройство, по сути, не является безопасным или надежным. Вместо этого каждый запрос и подключение должны быть проверены и валидация на основе данных, идентичности и контекста. Модель нулевого доверия помогает предотвратить несанкционированный доступ, ограничить боковое перемещение и уменьшить область атаки в сетях.

Выбор решения

Выбор подходящего решения для безопасности сети для рабочих нагрузок Azure зависит от ваших потребностей и требований. Azure предоставляет различные службы безопасности сети, которые можно использовать по отдельности или в сочетании для защиты рабочих нагрузок. Ниже приведены некоторые ключевые факторы, которые следует учитывать при выборе решения для безопасности сети:

• Тип рабочей нагрузки: разные рабочие нагрузки имеют разные требования к безопасности. Например, для веб-приложений может потребоваться защита от веб-атак, в то время как виртуальные машины могут требовать защиту от сетевых атак.
• Модель развертывания: Azure предоставляет различные модели развертывания для служб безопасности сети, таких как виртуальные устройства, управляемые службы и интегрированные решения. Выберите модель, которая лучше всего соответствует вашим потребностям и требованиям.
• Интеграция с другими службами Azure: многие службы безопасности сети Azure интегрируются с другими службами Azure, такими как Azure Monitor, Центр безопасности Azure и Microsoft Sentinel. Выберите решение, которое можно легко интегрировать с существующими службами Azure для повышения безопасности и мониторинга.
• Стоимость: разные службы безопасности сети имеют разные модели ценообразования. Выберите решение, которое соответствует вашему бюджету и обеспечивает необходимый уровень защиты.
• Требования к соответствию: В зависимости от вашей отрасли и местоположения, могут существовать конкретные требования соответствия, которым должна соответствовать ваша система сетевой безопасности. Выберите решение, которое поможет вам удовлетворить эти требования.
• Масштабируемость. По мере роста рабочих нагрузок решение для безопасности сети должно масштабироваться вместе с ними. Выберите решение, которое может обрабатывать повышенный трафик и рабочие нагрузки без ущерба для безопасности.
• Управление и мониторинг. Выберите решение, которое обеспечивает простое управление и мониторинг возможностей, таких как панели мониторинга, оповещения и отчеты. Это поможет вам быстро выявлять и реагировать на инциденты безопасности.

Брандмауэр Azure

Брандмауэр Azure — это облачная и интеллектуальная служба сетевого брандмауэра, которая обеспечивает полную защиту с отслеживанием состояния со встроенным высоким уровнем доступности и неограниченной масштабируемостью облака. Она обеспечивает безопасность на уровне сети и приложений для рабочих нагрузок Azure. Как управляемая служба, брандмауэр Azure может быть развернут в виртуальной сети и легко интегрируется с другими службами Azure, такими как Azure Monitor, Центр безопасности Azure и Microsoft Sentinel для повышения безопасности и мониторинга.

В зависимости от потребностей можно выбрать три номера SKU брандмауэра Azure:

• Базовый: Базовый SKU — это экономичное предложение для простых решений брандмауэра в рабочих нагрузках Azure. Он предоставляет основные функции, такие как фильтрация сети и приложений, преобразование сетевых адресов и ведение журнала.
• Стандартный номер SKU — это более расширенный вариант, который включает дополнительные функции, такие как DNS-прокси и веб-категории. Он предназначен для более комплексных решений брандмауэра в рабочих нагрузках Azure.
• Премиум: SKU уровня "Премиум" — это самый сложный вариант, который включает все функции SKU уровня "Стандартный", а также дополнительные функции, такие как проверка TLS, обнаружение и предотвращение вторжений, а также фильтрация URL-адресов. Он предназначен для обеспечения высокого уровня безопасности и контроля в рабочих нагрузках Azure.

Случаи использования

• Безопасность сети. Защита рабочих нагрузок Azure от сетевых атак и несанкционированного доступа.
• Безопасность приложений. Защита рабочих нагрузок Azure от атак на основе приложений и уязвимостей.
• Обнаружение и предотвращение вторжений: отслеживайте сеть для вредоносных действий, регистрируйте сведения об этом действии, сообщите об этом и при необходимости попытайтесь заблокировать его.
• Проверка TLS: проверка и расшифровка трафика TLS для обнаружения и блокировки угроз, скрытых в зашифрованном трафике.
• Фильтрация URL-адресов: управление доступом к определенным URL-адресам или категориям URL-адресов на основе политик вашей организации.

Дополнительные сведения см. в обзоре брандмауэра Azure.

Защита от атак DDoS Azure

Защита от атак DDoS Azure — это служба, которая предоставляет расширенные функции защиты от атак DDoS. Он автоматически настраивается для защиты определенных ресурсов Azure в виртуальной сети. Защита проста в использовании для включения на любых новых или существующих ресурсах виртуальной сети или общедоступного IP-адреса и не требует изменений в приложениях или ресурсах.

• Защита IP-адресов от DDoS Azure: Защита Azure DDoS IP Protection обеспечивает защиту ваших ресурсов Azure, которым назначен общедоступный IP-адрес. Он защищает от объемных атак, атак на уровне протоколов и приложений.

  

• Защита сети: Защита сети от атак DDoS Azure обеспечивает защиту ресурсов Azure в виртуальной сети, назначаемой общедоступным IP-адресом. Она имеет дополнительные функции, такие как поддержка быстрого реагирования DDoS, защита затрат и скидки WAF.

  

Случаи использования

• Защита от атак DDoS: защита ресурсов Azure от атак DDoS, включая объемные, протоколы и атаки уровня приложений.
• Защита затрат. Защита ресурсов Azure от непредвиденных затрат из-за атак DDoS.
• Быстрый ответ. Получите поддержку быстрого реагирования от экспертов По DDoS Azure в случае атаки DDoS.

Дополнительные сведения см. в обзоре Защиты от атак DDoS Azure.

Брандмауэр веб-приложений Azure

Брандмауэр веб-приложений Azure (WAF) — это брандмауэр веб-приложения, обеспечивающий централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. WAF использует правила для мониторинга HTTP-запросов и ответов, а также может блокировать или разрешать трафик на основе заданных правил.

WAF доступен в двух вариантах развертывания:

• WAF для приложения шлюза Azure: Azure Application Gateway — это балансировщик нагрузки веб-трафика (OSI уровень 7), который позволяет управлять трафиком в ваши веб-приложения.
• Azure Front Door WAF: Azure Front Door — это масштабируемая и безопасная точка входа для быстрой доставки глобальных приложений. Он предлагает разгрузку SSL-трафика, ускорение приложений и глобальную балансировку нагрузки с мгновенным переключением при отказе.

Случаи использования

• Защита от веб-атак: защита веб-приложений от распространенных эксплойтов и уязвимостей, таких как внедрение SQL и межсайтовые скрипты (XSS).
• Централизованное управление. Управление правилами и политиками брандмауэра веб-приложения из одного расположения.
• Интеграция со службами Azure. Интеграция WAF с другими службами Azure, такими как Шлюз приложений Azure и Azure Front Door, для повышения безопасности и производительности.
• Настраиваемые правила: создайте настраиваемые правила для удовлетворения конкретных требований и политик безопасности.
• Защита от ботов: защита веб-приложений от вредоносных ботов и автоматических атак.

Дополнительные сведения см. в разделе "Брандмауэр веб-приложений Azure".

Взаимодействие с порталом Azure

Портал Azure предоставляет унифицированный интерфейс для управления службами безопасности сети. Вы можете легко создавать службы безопасности сети и управлять ими из одного расположения, а также просматривать состояние и работоспособность служб.

Распространенные сценарии безопасности сети

Центр безопасности сети в настоящее время поддерживает следующие варианты развертывания:

• Защищенная виртуальная сеть концентратора и периферийной сети: развертывание брандмауэра Azure в виртуальной сети, назначенной в качестве концентратора. Эта виртуальная сеть концентратора может подключаться к нескольким периферийным виртуальным сетям с помощью пиринга виртуальной сети. Брандмауэр Azure связан с политикой брандмауэра Azure, которая определяет правила и конфигурации брандмауэра. Эта модель развертывания идеально подходит для организаций, стремящихся централизованно обеспечить безопасность сети и управление ими в одном расположении.

• Защита виртуальных WAN в масштабе: развертывание брандмауэра Azure в защищенном концентраторе Виртуальной глобальной сети Azure. Брандмауэр Azure связан с политикой брандмауэра Azure, а защищенный концентратор подключен к нескольким филиалам и удаленным пользователям. Эта модель развертывания идеально подходит для организаций, использующих виртуальную глобальную сеть Azure для подключения нескольких филиалов и удаленных пользователей к ресурсам Azure.

• Нулевое доверие для веб-приложений. Использование шлюза приложений Azure с политикой брандмауэра веб-приложений Azure (WAF) для защиты региональных веб-приложений от распространенных эксплойтов и уязвимостей. Настройте политику WAF для эффективного решения конкретных потребностей в безопасности веб-приложений.

• Безопасное предоставление облачного содержимого: используйте Azure Front Door с политикой брандмауэра веб-приложений Azure (WAF) для защиты и оптимизации доставки глобальных веб-приложений. Эта модель развертывания обеспечивает безопасную и эффективную производительность приложений, позволяя настраивать политику WAF в соответствии с конкретными потребностями безопасности.

Дальнейшие шаги

Дополнительные сведения о различных функциях и возможностях каждой службы безопасности сети Azure:

Документация по безопасности сети Azure