Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся рекомендации по применению принципов нулевого доверия для сегментирования сетей в средах Azure. Ниже приведены принципы нулевого доверия.
| Принцип нулевого доверия | Определение |
|---|---|
| Явная проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. |
| Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью технологий Just-In-Time и Just-Enough-Access (JIT/JEA), адаптивных политик на основе риска и защиты данных. |
| Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и ограничьте доступ к сегментам. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. Вы можете свести к минимуму радиус взрыва кибератаки и доступ к сегменту, выполнив сегментацию сети на различных уровнях в инфраструктуре Azure. |
Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия к сетям Azure.
Поскольку организации растут от малого бизнеса до крупных предприятий, они часто нуждаются в переходе из одной подписки Azure в несколько подписок для разделения ресурсов для каждого отдела. Важно тщательно спланировать сегментацию сети, чтобы создать логические границы и изоляцию между средами.
Каждая среда, как правило, отражающая отдельный отдел организации, должна иметь собственные разрешения доступа и политики для определенных рабочих нагрузок. Например, пользователи из внутренней подписки разработчика программного обеспечения не должны иметь доступа к управлению и развертыванию сетевых ресурсов в подписке на подключение. Однако эти среды по-прежнему нуждаются в сетевом подключении, чтобы обеспечить необходимые функциональные возможности для базовых служб, таких как DNS, гибридное подключение и возможность доступа к другим ресурсам в разных виртуальных сетях Azure (виртуальных сетях).
Сегментация инфраструктуры Azure обеспечивает не только изоляцию, но и может создавать границы безопасности, которые препятствуют злоумышленнику перемещаться по средам и нанести дополнительный ущерб (принцип "Предположим, нарушение нулевого доверия").
Эталонная архитектура
Вы можете использовать различные уровни сегментации в Azure, чтобы защитить ресурсы от несанкционированного доступа или вредоносной атаки. Эти уровни сегментации начинаются на уровне подписки и переходят до приложений, работающих на виртуальных машинах. Сегментация создает границу, которая отделяет одну среду от другой, каждая из которых содержит собственные правила и политики. Предполагая, что нарушения могут произойти, необходимо сегментировать сети, чтобы предотвратить их распространение.
Сеть Azure использует следующие уровни сегментации:
Подписки
Подписка Azure — это логический контейнер, используемый для развертывания ресурсов в Azure. Она связана с учетной записью Azure в клиенте Microsoft Entra ID и служит единым объектом выставления счетов для ресурсов Azure, привязанных к подписке. Подписка Azure также является логической границей для доступа к ресурсам, содержащимся в подписке. Для доступа между ресурсами в разных подписках требуются явные разрешения.
Виртуальные сети
Виртуальная сеть Azure — это изолированная частная сеть, которая по умолчанию позволяет всем виртуальным машинам в ней взаимодействовать друг с другом. По умолчанию виртуальные сети не могут взаимодействовать с другими виртуальными сетями, если между ними не создаются подключения через пиринг, VPN-подключения или ExpressRoute. Отдельные виртуальные сети можно использовать как границу доверия, которая разделяет различные приложения, рабочие нагрузки, отделы или организации.
Диспетчер виртуальной сети Azure (AVNM) — это служба управления сетями, которая позволяет одной группе администрирования управлять виртуальными сетями и применять правила безопасности для нескольких подписок по всему миру. С помощью AVNM можно определить сетевые группы, чтобы определить, какие виртуальные сети могут взаимодействовать друг с другом. Вы также можете использовать AVNM для мониторинга изменений конфигурации сети.
Рабочие нагрузки в виртуальной сети
Для рабочих нагрузок в виртуальной сети, таких как виртуальные машины или любые службы PaaS, поддерживающие интеграцию виртуальных сетей, такие как Azure Databricks и Служба приложений, обмен данными разрешен по умолчанию, так как они содержатся в одной виртуальной сети и должны быть защищены с помощью групп безопасности сети. Средства и службы для сегментации в виртуальной сети включают следующее:
Брандмауэр Azure
Брандмауэр Azure — это служба, развернутая в виртуальной сети для фильтрации трафика между облачными ресурсами, локальной средой и Интернетом. С помощью Брандмауэр Azure можно определить правила и политики, чтобы разрешить или запретить трафик на уровнях сети и приложений. Вы также можете воспользоваться расширенными функциями защиты от угроз, предоставляемыми Брандмауэр Azure, такими как система обнаружения вторжений и предотвращения вторжений (IDPS), проверка протокола TLS и фильтрация на основе аналитики угроз.
группу безопасности сети;
Группа безопасности сети — это механизм управления доступом, который фильтрует сетевой трафик между ресурсами Azure, такими как виртуальные машины в виртуальной сети. Группа безопасности сети содержит правила безопасности, которые разрешают или запрещают трафик на уровнях подсети или виртуальных машин в виртуальной сети. Общее использование групп безопасности сети — сегментировать наборы виртуальных машин в разных подсетях.
Группа безопасности приложений
Группа безопасности приложений — это расширение группы безопасности сети, которая позволяет группировать сетевые интерфейсы виртуальных машин на основе их ролей и функций. Затем можно использовать группы безопасности приложений в группе безопасности сети в масштабе без необходимости определять IP-адреса виртуальных машин.
Azure Front Door: служба для оптимизации доставки содержимого и повышения безопасности.
Azure Front Door — это современная облачная сеть доставки содержимого (CDN), которая обеспечивает быстрый, надежный и безопасный доступ между пользователями и статическим и динамическим веб-контентом приложений по всему миру.
На следующей схеме показана эталонная архитектура для уровней сегментации.
На схеме сплошные красные линии указывают уровни сегментации между:
- Подписки Azure
- Виртуальные сети (VNets) в подписке
- Подсети в виртуальной сети
- Интернет и виртуальная сеть
На схеме также показан набор виртуальных сетей, управляемых AVNM, которые могут охватывать подписки Azure.
Что такое в этой статье?
Принципы нулевого доверия применяются к эталонной архитектуре в облаке Azure. В следующей таблице описываются рекомендации по сегментированию сетей в этой архитектуре в соответствии с принципом нулевого доверия "Предполагать нарушение".
| Шаг | Задача |
|---|---|
| 1 | Сегментируйте отдельные виртуальные сети (VNets). |
| 2 | Подключите несколько виртуальных сетей с пирингом. |
| 3 | Подключите несколько виртуальных сетей в центральной и периферийной конфигурации. |
Шаг 1. Сегментируйте в отдельных виртуальных сетях
В одной виртуальной сети в подписке Azure используются подсети для разделения и сегментации ресурсов. Например, в виртуальной сети может быть подсеть для серверов баз данных, другая для веб-приложений и выделенная подсеть для Брандмауэр Azure или Шлюз приложений Azure с Брандмауэр веб-приложений. По умолчанию обмен данными между всеми подсетями разрешён в виртуальной сети.
Чтобы создать изоляцию между подсетями, можно применить группы безопасности сети или группы безопасности приложений, чтобы разрешить или запретить определенный сетевой трафик на основе IP-адресов, портов или протоколов. Однако проектирование и обслуживание групп безопасности сети и групп безопасности приложений также могут создавать затраты на управление.
На этом рисунке показана общая и рекомендуемая конфигурация трехуровневого приложения с отдельными подсетями для каждого уровня и использование групп безопасности сети и групп безопасности приложений для создания сегментированных границ между каждой подсетью.
Кроме того, можно добиться сегментации ресурсов путем маршрутизации трафика между подсетями с помощью определяемых пользователем маршрутов (UDR), указывающих на Брандмауэр Azure или стороннее сетевое виртуальное устройство (NVA). Брандмауэр Azure и NVAs могут разрешать или запрещать трафик с помощью уровней управления от 3 до 7. Большинство этих служб предоставляют расширенные возможности фильтрации.
Дополнительные сведения см. в руководстве по шаблону 1: отдельная виртуальная сеть.
Шаг 2. Подключение нескольких виртуальных сетей с пирингом
По умолчанию в одной подписке Azure или между подписками не разрешена связь между виртуальными сетями. Несколько виртуальных сетей, принадлежащих разным сущностям, имеют собственные элементы управления доступом. Они могут подключаться друг к другу или к централизованному узлу VNet с помощью пиринга VNet, где Брандмауэр Azure или сторонней NVA проверяет весь этот трафик.
На этом рисунке показано пиринговое подключение между двумя виртуальными сетями и использование брандмауэра Azure на каждом конце подключения.
Виртуальная сеть концентратора обычно содержит общие компоненты, такие как брандмауэры, поставщики удостоверений и компоненты гибридного подключения, среди прочего. Управление UDR становится проще, так как добавление определенных префиксов UDR для микросегментации будет необходимо только в том случае, если требуется трафик внутри VNet. Однако, так как виртуальная сеть имеет свои собственные границы, средства управления безопасностью уже установлены.
Дополнительные сведения см. в следующих руководствах:
- Брандмауэр и Шлюз приложений для виртуальных сетей
- Шаблон 2. Несколько виртуальных сетей с пирингом между ними
- Применение принципов нулевого доверия к периферийной виртуальной сети в Azure
- Применение принципов нулевого доверия к виртуальной сети концентратора в Azure
Шаг 3. Подключение нескольких виртуальных сетей в конфигурации концентратора и периферийной сети
Для нескольких виртуальных сетей в конфигурации концентратора и периферийной сети необходимо учитывать, как сегментировать сетевой трафик для этих границ:
- Граница Интернета
- Локальная граница сети
- Границы глобальных служб Azure
Граница Интернета
Защита интернет-трафика является основным приоритетом в сетевой безопасности, которая включает управление трафиком входящего трафика из Интернета (ненадежным) и исходящим трафиком, направленным на Интернет (доверенный) из рабочих нагрузок Azure.
Корпорация Майкрософт рекомендует использовать входящий трафик из Интернета с одной точкой входа. Корпорация Майкрософт настоятельно призывает к тому, что трафик входящего трафика проходит через ресурс Azure PaaS, например Брандмауэр Azure, Azure Front Door или Шлюз приложений Azure. Эти ресурсы PaaS предоставляют больше возможностей, чем виртуальная машина с общедоступным IP-адресом.
Брандмауэр Azure
На этом рисунке показано, как Брандмауэр Azure в собственной подсети выступает в качестве центральной точки входа и границы сегментации для трафика между Интернетом и трехуровневой рабочей нагрузкой в виртуальной сети Azure.
Дополнительные сведения см. в Брандмауэр Azure в Microsoft Azure Well-Architected Framework.
Azure Front Door: служба для оптимизации доставки содержимого и повышения безопасности.
Azure Front Door может выступать в качестве границы между Интернетом и службами, размещенными в Azure. Azure Front Door поддерживает Приватный канал подключение к таким ресурсам, как внутренняя балансировка нагрузки (ILB) для доступа к виртуальной сети, учетные записи хранения для статических веб-сайтов и хранилище BLOB-объектов, а также службы приложений Azure. Azure Front Door обычно предназначен для развертываний в большом масштабе.
Azure Front Door — это больше, чем служба балансировки нагрузки. Инфраструктура Azure Front Door имеет встроенную защиту от атак DDoS. Если кэширование включено, содержимое можно получить из узлов присутствия (POP), а не постоянно обращаться к основным серверам. По истечении срока действия кэша Azure Front Door извлекает запрошенный ресурс и обновляет кэш. Вместо того чтобы конечные пользователи подключались к своим серверам, Azure Front Door использует Split TCP для создания двух отдельных подключений. Это не только улучшает взаимодействие с конечными пользователями, но и запрещает злоумышленникам напрямую получать доступ к ресурсам.
На этом рисунке показано, как Azure Front Door обеспечивает сегментацию между пользователями Интернета и ресурсами Azure, которые могут находиться в учетных записях хранения.
Дополнительные сведения см. в статье Azure Front Door в Azure Well-Architected Framework.
Шлюз приложений Azure
Точка входа в Интернет также может быть сочетанием точек подключения. Например, HTTP/HTTPS трафик может проходить через Шлюз приложений, защищенный Брандмауэром веб-приложений, или Azure Front Door. Трафик, отличный от HTTP/HTTPS, например RDP/SSH, может поступать через брандмауэр Azure или NVA. Эти два элемента можно использовать в тандеме для более глубокой проверки и контроля потока трафика с помощью пользовательских правил.
На этом рисунке показан входящий трафик в Интернет и использование шлюза приложений с веб-брандмауэром для трафика HTTP/HTTPS и Azure Брандмауэр для всего другого трафика.
Ниже приведены два распространенных рекомендуемых сценария:
- Поместите Брандмауэр Azure или NVA параллельно с Application Gateway.
- Поместите Брандмауэр Azure или NVA после Шлюза приложений для дальнейшей проверки трафика, прежде чем он достигнет конечного пункта.
Дополнительные сведения см. в Azure Application Gateway в Microsoft Azure Well-Architected Framework.
Ниже приведены дополнительные распространенные шаблоны потоков трафика Интернета.
Входящий трафик через несколько интерфейсов
Один из подходов включает использование нескольких сетевых интерфейсов на виртуальных машинах при использовании NVAs: один интерфейс для ненадежного трафика (внешний трафик) и другой для доверенного трафика (внутреннего подключения). С точки зрения потока трафика необходимо направлять входящий трафик из локальной среды в NVA с помощью определяемых пользователем маршрутов (UDRs). Входящий трафик из Интернета, полученный устройством NVA, должен направляться в целевую рабочую нагрузку на соответствующей виртуальной сети или подсети с помощью комбинации статических маршрутов на устройстве операционной системы (ОС) и определяемых пользователем маршрутов (UDR).
Исходящий трафик и UDR
Для трафика, покидающего вашу виртуальную сеть для выхода в Интернет, вы можете применить UDR с помощью таблицы маршрутов, указав выбранный NVA в качестве следующего узла. Чтобы снизить сложность, можно развернуть Брандмауэр Azure или NVA в центре Виртуальная глобальная сеть Azure и включить безопасность Интернета с намерением маршрутизации. Это гарантирует, что осуществляется проверка трафика север-юг (входящего и выходящего из области сети) и восточно-западного трафика (между устройствами в пределах области сети), направленного на виртуальные IP-адреса, которые не относятся к Azure.
Исходящий трафик и маршрут по умолчанию
Некоторые методы включают управление маршрутом по умолчанию (0.0.0.0/0) с различными методами. В качестве общего правила рекомендуется, чтобы для исходящего трафика из Azure использовались точки выхода и проверка с помощью Azure Firewall или NVAs, из-за объема пропускной способности, которую может обрабатывать инфраструктура Azure, что в большинстве случаев может быть гораздо выше и более устойчивой. В этом случае настройка маршрута по умолчанию в подсетях рабочих нагрузок может направить трафик к этим точкам выхода. Вы также можете перенаправить исходящий трафик из локальной среды в Azure в качестве точки выхода. В этом случае используйте сервер маршрутизации Azure в сочетании с NVA для объявления маршрута по умолчанию в локальную среду с использованием протокола BGP.
Существуют особые случаи, когда требуется перенаправить весь исходящий трафик обратно в локальную среду, рекламируя маршрут по умолчанию по протоколу BGP. Это требует, чтобы трафик, покидающий виртуальную сеть, направлялся по туннелю через вашу локальную сеть к брандмауэру для проверки. Этот последний подход является наименее необходимым из-за повышенной задержки и отсутствия элементов управления безопасностью, предоставляемых Azure. Эта практика широко применяется правительством и банковскими секторами, имеющими конкретные требования к проверке трафика в локальной среде.
С точки зрения масштаба:
- Для одной виртуальной сети можно использовать группы безопасности сети, которые строго соответствуют семантике уровня 4 или использовать Брандмауэр Azure, которая соответствует семантике уровня 4 и уровня 7.
- Для нескольких виртуальных сетей можно по-прежнему использовать один Брандмауэр Azure, если он доступен, или развернуть Брандмауэр Azure в каждой виртуальной сети и направить трафик с помощью пользовательских маршрутов (UDR).
Для крупных распределенных сетей предприятия можно по-прежнему использовать модель концентратора и периферийной сети, а также прямой трафик с определяемыми клиентами. Однако это может привести к затратам на управление и ограничениям пиринга виртуальной сети. Для простоты использования Azure Virtual WAN можно достичь этого, если развернуть Azure Firewall в виртуальном концентраторе и активировать Routing Intent для интернет-безопасности. Это приведет к внедрению маршрутов по умолчанию во всех спицах и филиальных сетях и отправке трафика, направленного в Интернет, в Azure Firewall для проверки. Частный трафик, предназначенный для блоков адресов RFC 1918, отправляется в Брандмауэр Azure или NVA как указанный следующий узел внутри концентратора Azure Виртуальная корпоративная сеть.
Локальная граница сети
В Azure основные методы для установления подключения к локальным сетям включают туннели протокола Интернета (IPsec), туннели ExpressRoute или туннели, определяемые программным обеспечением (SD-WAN). Как правило, для небольших рабочих нагрузок, требующих меньшей пропускной способности, используется VPN-подключение Azure типа "сеть — сеть" (S2S). Для рабочих нагрузок, которым требуется выделенный путь к службе и требуется более высокая пропускная способность, корпорация Майкрософт рекомендует ExpressRoute.
На этом рисунке показаны различные типы методов подключения между средой Azure и локальной сетью.
Хотя VPN-подключения Azure могут поддерживать несколько туннелей, ExpressRoute часто настраивается для крупных корпоративных сетей, требующих более высокой пропускной способности и частных подключений через партнера по подключению. Для ExpressRoute можно подключить одну и ту же виртуальную сеть к нескольким каналам, но для сегментации это часто не является идеальным, поскольку это позволяет виртуальным сетям, которые не планировалось соединять, взаимодействовать друг с другом.
Один из способов сегментации включает в себя решение не использовать удалённый шлюз в периферийных виртуальных сетях либо отключение распространения маршрутов BGP, если вы используете таблицы маршрутов. Вы по-прежнему можете сегментировать концентраторы, подключенные к ExpressRoute, с помощью NVAs и брандмауэров. Для периферий, подключенных к концентраторам, вы можете не использовать удаленный шлюз в свойствах пиринга виртуальной сети. Таким образом, спицы знают только о своих напрямую подключенных узлах и не знают о маршрутах на локальном уровне.
Другим новым подходом к сегментированию трафика, поступающего в локальную среду и исходящего из нее, является использование технологий SD-WAN. Вы можете интегрировать ваши филиалы в Azure SD-WAN, используя сторонние NVAs в Azure для создания сегментации, основываясь на туннелях SD-WAN, поступающих из различных филиалов в устройства NVA. Сервер маршрутизации Azure можно использовать для внедрения префиксов адресов для туннелей SD-WAN в платформу Azure для центральной узловой и периферийной топологии.
Для топологии виртуальной WAN можно напрямую интегрировать сторонний SD-WAN NVA внутри виртуального концентратора. Конечные точки BGP также можно использовать для использования решений SD-WAN, создавая туннели из виртуального концентратора, интегрированного с NVA.
Для обеих моделей можно использовать ExpressRoute для сегментирования базового частного или общедоступного подключения с помощью частного пиринга или пиринга Майкрософт. Для безопасности распространенная практика — объявление маршрута по умолчанию через ExpressRoute. Это заставляет весь трафик, покидающий виртуальную сеть, туннелироваться в локальную сеть для проверки. Аналогичным образом трафик, поступающий через VPN и ExpressRoute, можно отправить в NVA для дальнейшего проверки. Это также относится к трафику, выходя из Azure. Эти методы очевидны, когда среда меньше, например, если это одна или две области.
Для больших распределенных сетей можно также использовать Azure Virtual WAN, активировав инспекцию частного трафика с использованием Routing Intent. Это направляет весь трафик к частному IP-адресу NVA для инспекции. Как и в приведенных выше методах, это гораздо проще управлять, когда среда охватывает несколько регионов.
Другой подход с использованием Azure Virtual WAN — использовать пользовательские таблицы маршрутов для создания изолированных границ. Вы можете создавать настраиваемые маршруты и связывать виртуальные сети, которые хотите, с этими таблицами маршрутов и распространять их. Однако эта возможность не может сочетаться с намерением маршрутизации сегодня. Чтобы изолировать ветви, можно назначить метки для связывания ветвей с этой меткой. Вы также можете отключить распространение по умолчанию для каждого концентратора отдельно. В настоящее время вы не можете изолировать отдельные ветви в Azure отдельно в одном концентраторе. Например, нельзя изолировать SD-WAN от ExpressRoute. Но для целого узла можно отключить распространение на метку по умолчанию.
Границы глобальных служб Azure
В Azure большинство служб по умолчанию доступны через глобальную сеть Azure. Это также относится к общедоступному доступу к службам Azure PaaS. Например, служба хранилища Azure имеет встроенный брандмауэр, который может ограничить доступ к виртуальным сетям и заблокировать общедоступный доступ. Однако часто требуется более детализированный контроль. Типичным вариантом является подключение к VIP-адресам Azure частным образом, а не использование общедоступных IP-адресов по умолчанию.
Наиболее распространенный метод ограничения доступа к ресурсам PaaS — Приватный канал Azure. При создании частной конечной точки он внедряется в виртуальную сеть. Azure использует этот частный IP-адрес для туннелирования ресурса PaaS. Azure сопоставляет запись DNS A с частной конечной точкой с помощью частных зон DNS Azure и сопоставляет запись CNAME с ресурсом PaaS частной ссылки.
Конечные точки службы предлагают альтернативный метод подключения к IP-адресам PaaS. Вы можете выбрать теги служб, чтобы разрешить подключения ко всем ресурсам PaaS в этом теге и предоставить частное подключение к ресурсу PaaS.
Другой распространенный метод заключается в использовании Microsoft Peering для ExpressRoute. Если вы хотите подключиться к VIP-адресам PaaS из локальной инфраструктуры, можно настроить Microsoft Peering. Вы можете выбрать сообщество BGP, которое будет использоваться для виртуальных IP-адресов (VIP), и оно будет объявляться по пути пиринга Майкрософт.
Дополнительные сведения см. в следующих руководствах:
- Брандмауэр и Шлюз приложений для виртуальных сетей
- Шаблон 3. Несколько виртуальных сетей в модели с центральным узлом и спицами
Сводка сегментации
В этой таблице приведены различные уровни сегментации и методов безопасности.
| Между | Поведение по умолчанию | Связь обеспечена... | Методы безопасности сегментации |
|---|---|---|---|
| Подписки | Нет связи | — пиринг виртуальной сети — VPN-шлюзы |
Брандмауэр Azure |
| Виртуальные сети | Нет связи | — пиринг виртуальной сети — VPN-шлюзы |
Брандмауэр Azure |
| Рабочие нагрузки в подсетях в виртуальной сети | Открытое взаимодействие | Н/П | — группы безопасности сети — группы безопасности приложений |
| Интернет и виртуальная сеть | Нет связи | — Балансировщик нагрузки — общедоступный IP-адрес - Шлюз приложений — Azure Front Door |
- Шлюз приложений Azure с Брандмауэр веб-приложений - Брандмауэр Azure — Azure Front Door с межсетевым экраном для веб-приложений |
| Интернет и локальные сети | Нет связи | — VPN-подключение Azure S2S — туннель IPSec — туннель ExpressRoute — туннель SD-WAN |
Брандмауэр Azure |
| Интернет и виртуальные машины в виртуальной сети | Нет связи, если виртуальные машины имеют только частные IP-адреса | Назначение виртуальной машины общедоступного IP-адреса | Брандмауэр локальной виртуальной машины |
Рекомендуемое обучение
- Настройка виртуальных сетей для администраторов Azure и управление ими
- Общие сведения о Azure Брандмауэр веб-приложений
- Защита и изоляция доступа к ресурсам Azure с помощью групп безопасности сети и конечных точек служб
- Общие сведения о Azure Front Door
- Общие сведения о Шлюз приложений Azure
- Общие сведения о Azure Private Link
- Введение в Azure Virtual WAN
- Подключение локальной сети к Azure с помощью VPN-шлюз
Дальнейшие шаги
Дополнительные сведения о применении нулевого доверия к сети Azure см. в следующем разделе:
- Шифрование сетевого взаимодействия на основе Azure
- Обеспечьте видимость сетевого трафика
- Прекращение устаревшей технологии безопасности сети
- Защита сетей с помощью модели "Никому не доверяй"
- Спицевые виртуальные сети в Azure
- Виртуальные сети концентратора в Azure
- Периферийные виртуальные сети со службами Azure PaaS
- Виртуальная глобальная сеть Azure
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.
- Диспетчер виртуальных сетей Azure
- Брандмауэр Azure
- Группы безопасности сети
- Группы безопасности приложений
- Azure Front Door
- Шлюз приложений Azure
- брандмауэр веб-приложения;
- Приватный канал Azure
- Виртуальная глобальная сеть Azure
- Интернет-безопасность с целевой маршрутизацией
- Site-to-Site VPN-подключение Azure (S2S)
- Сервер маршрутизации Azure