Dela via

Vad är Azure-nätverkssäkerhet?

Nätverkssäkerhet är en viktig aspekt av molnbaserad databehandling eftersom den skyddar data och program som körs i molnet från olika hot och attacker. Azure tillhandahåller en omfattande uppsättning nätverkssäkerhetslösningar som gör att du kan utforma, distribuera och hantera säkra och motståndskraftiga nätverk i molnet.

Skärmbild som visar ikonerna för Azure Firewall, Azure DDoS Protection och Azure Web Application Firewall.

En av de vägledande principerna för Azure-nätverkssäkerhet är Zero Trust-modellen, som förutsätter att inget nätverk eller någon enhet är säker eller tillförlitlig. Istället ska varje begäran och anslutning verifieras och valideras baserat på data, identitet och kontext. Zero Trust-modellen hjälper dig att förhindra obehörig åtkomst, begränsa lateral förflyttning och minska angreppsytan i dina nätverk.

Välja en lösning

Att välja rätt nätverkssäkerhetslösning för dina Azure-arbetsbelastningar beror på dina specifika behov och krav. Azure tillhandahåller en mängd olika nätverkssäkerhetstjänster som kan användas individuellt eller i kombination för att skydda dina arbetsbelastningar. Här följer några viktiga faktorer att tänka på när du väljer en nätverkssäkerhetslösning:

  • Arbetsbelastningstyp: Olika arbetsbelastningar har olika säkerhetskrav. Webbprogram kan till exempel kräva skydd mot webbattacker, medan virtuella datorer kan kräva skydd mot nätverksbaserade attacker.
  • Distributionsmodell: Azure tillhandahåller olika distributionsmodeller för nätverkssäkerhetstjänster, till exempel virtuella enheter, hanterade tjänster och integrerade lösningar. Välj den modell som bäst passar dina behov och krav.
  • Integrering med andra Azure-tjänster: Många Azure-nätverkssäkerhetstjänster integreras med andra Azure-tjänster, till exempel Azure Monitor, Azure Security Center och Microsoft Sentinel. Välj en lösning som enkelt kan integreras med dina befintliga Azure-tjänster för förbättrad säkerhet och övervakning.
  • Kostnad: Olika nätverkssäkerhetstjänster har olika prismodeller. Välj en lösning som passar din budget och ger den skyddsnivå du behöver.
  • Efterlevnadskrav: Beroende på din bransch och plats kan du ha specifika efterlevnadskrav som nätverkssäkerhetslösningen måste uppfylla. Välj en lösning som kan hjälpa dig att uppfylla dessa krav.
  • Skalbarhet: När dina arbetsbelastningar växer bör nätverkssäkerhetslösningen kunna skalas med dem. Välj en lösning som kan hantera ökad trafik och arbetsbelastningar utan att äventyra säkerheten.
  • Hantering och övervakning: Välj en lösning som ger enkla hanterings- och övervakningsfunktioner, till exempel instrumentpaneler, aviseringar och rapportering. Detta hjälper dig att snabbt identifiera och svara på säkerhetsincidenter.

Azure Firewall

Azure Firewall är en molnbaserad, intelligent nätverksbrandväggstjänst som erbjuder fullständigt tillståndsskydd med inbyggd hög tillgänglighet och obegränsad skalbarhet i molnet. Det ger både säkerhet på nätverksnivå och programnivå för dina Azure-arbetsbelastningar. Som en hanterad tjänst kan Azure Firewall distribueras i ett virtuellt nätverk och integreras sömlöst med andra Azure-tjänster som Azure Monitor, Azure Security Center och Microsoft Sentinel för förbättrad säkerhet och övervakning.

Diagram som visar hur Azure Firewall inspekterar trafik till och från Internet innan den dirigeras till målet.

Beroende på dina behov kan du välja mellan tre SKU:er för Azure Firewall:

  • Grundläggande: Grundläggande SKU är ett kostnadseffektivt alternativ för enkla brandväggslösningar i Azure-arbetsbelastningar. Den innehåller viktiga funktioner som nätverks- och programfiltrering, översättning av nätverksadresser och loggning.
  • Standard: Standard SKU är ett mer avancerat alternativ som innehåller extra funktioner som DNS-proxy och webbkategorier. Den är utformad för mer omfattande brandväggslösningar i Azure-arbetsbelastningar.
  • Premium: Premium SKU är det mest avancerade alternativet som innehåller alla funktioner i Standard SKU, plus extra funktioner som TLS-inspektion, intrångsidentifiering och skydd samt URL-filtrering. Den är utformad för den högsta nivån av säkerhet och kontroll i Azure-arbetsbelastningar.

Användningsfall

  • Nätverkssäkerhet: Skydda dina Azure-arbetsbelastningar mot nätverksbaserade attacker och obehörig åtkomst.
  • Programsäkerhet: Skydda dina Azure-arbetsbelastningar mot programbaserade attacker och sårbarheter.
  • Intrångsidentifiering och skydd: Övervaka nätverket efter skadlig aktivitet, logga information om den här aktiviteten, rapportera den och försök att blockera den.
  • TLS-inspektion: Inspektera och dekryptera TLS-trafik för att identifiera och blockera hot som är dolda i krypterad trafik.
  • URL-filtrering: Kontrollera åtkomsten till specifika URL:er eller URL-kategorier baserat på organisationens principer.

Mer information finns i Översikt över Azure Firewall.

Azure DDoS-skydd

Azure DDoS Protection är en tjänst som tillhandahåller förbättrade DDoS-åtgärdsfunktioner för skydd mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. Skydd är enkelt att aktivera på alla nya eller befintliga virtuella nätverk eller offentliga IP-adressresurser, och det kräver inga program- eller resursändringar.

  • IP-skydd: Azure DDoS IP Protection ger skydd för dina Azure-resurser som har tilldelats en offentlig IP-adress. Den skyddar mot volym- och protokollattacker och programnivåattacker.

    Diagram som illustrerar Azure DDoS Protection som tillämpas på en resurs med en offentlig IP-adress.

  • Nätverksskydd: Azure DDoS Network Protection ger skydd för dina Azure-resurser i ett virtuellt nätverk som har tilldelats en offentlig IP-adress. Den har extra funktioner som stöd för DDoS Rapid Response, kostnadsskydd och WAF-rabatter.

    Diagram som illustrerar Azure DDoS Protection aktiverat på virtuell nätverksnivå för en topologi med nav och eker.

Användningsfall

  • Skydd mot DDoS-attacker: Skydda dina Azure-resurser från DDoS-attacker, inklusive volymer, protokoll- och programnivåattacker.
  • Kostnadsskydd: Skydda dina Azure-resurser från oväntade kostnader på grund av DDoS-attacker.
  • Snabb respons: Få stöd för snabba svar från Azure DDoS-experter i händelse av en DDoS-attack.

Mer information finns i Översikt över Azure DDoS Protection.

Brandvägg för Azure-webbaserade program

Azure Web Application Firewall (WAF) är en brandvägg för webbapplikationer som tillhandahåller ett centraliserat skydd för dina webbapplikationer mot vanliga exploateringar och sårbarheter. WAF använder regler för att övervaka HTTP-begäranden och svar, och det kan blockera eller tillåta trafik baserat på de regler som du definierar.

Diagram som illustrerar Azure Web Application Firewall som tillämpas på både Azure Application Gateway och Azure Front Door, vilket tillåter giltiga begäranden och blockerar webbattacker.

WAF finns i två distributionsalternativ:

  • Azure Application Gateway WAF: Azure Application Gateway är en lastbalanserare för webbtrafik (OSI layer 7) som gör att du kan hantera trafik till dina webbprogram.
  • Azure Front Door WAF: Azure Front Door är en skalbar och säker startpunkt för snabb leverans av dina globala program. Den erbjuder SSL-avlastning, programacceleration och global belastningsutjämning med omedelbar redundans.

Användningsfall

  • Skydd mot webbattacker: Skydda dina webbprogram från vanliga sårbarheter, till exempel SQL-inmatning och skript för flera webbplatser (XSS).
  • Centraliserad hantering: Hantera brandväggsregler och principer för webbprogram från en enda plats.
  • Integrering med Azure-tjänster: Integrera WAF med andra Azure-tjänster, till exempel Azure Application Gateway och Azure Front Door, för förbättrad säkerhet och prestanda.
  • Anpassade regler: Skapa anpassade regler för att uppfylla dina specifika säkerhetskrav och principer.
  • Robotskydd: Skydda dina webbprogram mot skadliga robotar och automatiserade attacker.

Mer information finns i Översikt över Azure Web Application Firewall.

Azure Portal upplevelse

Azure-portalen ger en enhetlig upplevelse för att hantera dina nätverkssäkerhetstjänster. Du kan enkelt skapa och hantera dina nätverkssäkerhetstjänster från en enda plats, och du kan även visa status och hälsa för dina tjänster.

Skärmbild av upplevelsen för val av nätverkssäkerhet i Azure-portalen.

Vanliga nätverkssäkerhetsscenarier

Nätverkssäkerhetshubben stöder för närvarande följande distributionsalternativ:

  • Skyddat virtuellt nav-och-eker-nätverk: Distribuera en Azure-brandvägg i ett virtuellt nätverk som har angetts som en hubb. Det här virtuella hubbnätverket kan ansluta till flera virtuella ekernätverk med nätverkssammankoppling. Azure Firewall är associerad med en Azure Firewall-princip som definierar regler och konfigurationer för brandväggen. Den här distributionsmodellen är perfekt för organisationer som vill centralisera nätverkssäkerhet och hantering på en plats.

  • Skydda virtuella WAN i stor skala: Distribuera en Azure Firewall i en Azure Virtual WAN-skyddad hubb. Azure Firewall är associerad med en Azure Firewall-princip och den skyddade hubben är ansluten till flera avdelningskontor och fjärranvändare. Den här distributionsmodellen är perfekt för organisationer som använder Azure Virtual WAN för att ansluta flera avdelningskontor och fjärranslutna användare till Azure-resurser.

  • Zero Trust för webbapplikationer: Använd Azure Application Gateway med en Azure Web Application Firewall (WAF)-princip för att skydda regionala webbapplikationer mot vanliga exploits och sårbarheter. Anpassa WAF-principen för att effektivt uppfylla de specifika säkerhetsbehoven för dina webbprogram.

  • Leverera molninnehåll på ett säkert sätt: Använd Azure Front Door med en princip för Azure Web Application Firewall (WAF) för att skydda och optimera leveransen av dina globala webbprogram. Den här distributionsmodellen säkerställer säker och effektiv programprestanda samtidigt som du kan anpassa WAF-principen för att hantera specifika säkerhetsbehov.

Nästa steg

Läs mer om de olika funktionerna i varje Azure-nätverkssäkerhetstjänst:

Dokumentation om Nätverkssäkerhet i Azure

  • Last updated on