Översikt över Nätverkssäkerhet i Azure

Nätverkssäkerhet skyddar resurser från obehörig åtkomst eller angrepp genom att styra nätverkstrafiken. Azure tillhandahåller en robust nätverksinfrastruktur som stöder dina krav på program- och tjänstanslutning, med säkerhetskontroller på varje nivå.

Den här artikeln beskriver viktiga nätverkssäkerhetsfunktioner i Azure:

• Åtkomstkontroll för nätverk
• Azure Firewall
• Säker fjärråtkomst och anslutning mellan platser
• Tillgänglighet och belastningsutjämning
• Namnupplösning
• DDoS protection
• Azure Front Door-tjänsten
• Övervakning och hotidentifiering

Kommentar

För webbarbetsbelastningar rekommenderar vi att du använder Azure DDoS Protection och en brandvägg för webbprogram för att skydda mot DDoS-attacker. Azure Front Door med en brandvägg för webbprogram ger skydd på plattformsnivå mot DDoS-attacker på nätverksnivå.

Virtuellt Azure-nätverk

Azure Virtual Network är den grundläggande byggstenen för ditt privata nätverk i Azure. Varje virtuellt nätverk är isolerat från andra virtuella nätverk, vilket säkerställer att nätverkstrafiken i dina distributioner inte är tillgänglig för andra Azure-kunder. Med virtuella nätverk kan Azure-resurser kommunicera säkert med varandra, internet och lokala nätverk.

Läs mer:

• Översikt över Azure Virtual Network
• Planera virtuella nätverk

Åtkomstkontroll för nätverk

Nätverksåtkomstkontroll begränsar anslutningen till och från specifika enheter eller undernät i ett virtuellt nätverk. Målet är att begränsa åtkomsten till dina virtuella datorer och tjänster till godkända användare och enheter.

Nätverkssäkerhetsgrupper

Nätverkssäkerhetsgrupper (NSG:er) tillhandahåller grundläggande, tillståndskänslig paketfiltrering baserat på IP-adress och TCP/UDP-protokoll. NSG:er styr åtkomsten med hjälp av en 5-tupplar (käll-IP, källport, mål-IP, målport, protokoll).

NSG:er innehåller funktioner för att förenkla hanteringen:

• Utökade säkerhetsregler: Skapa komplexa regler i stället för flera enkla regler för att uppnå samma resultat
• Tjänsttaggar: Microsoft-hanterade etiketter som representerar grupper av IP-adresser som uppdateras dynamiskt
• Programsäkerhetsgrupper: Organisera resurser i programgrupper och kontrollera åtkomst baserat på dessa grupper

Läs mer:

• Nätverkssäkerhetsgrupper
• Metodtips för nätverkssäkerhet

Tjänstslutpunkter

Tjänstslutpunkter för virtuellt nätverk utökar ditt privata adressutrymme för det virtuella nätverket till Azure-tjänster via en direktanslutning. Tjänstslutpunkter behåller trafik i Azure-stamnätverket och begränsar endast kommunikationen med tjänster som stöds till dina virtuella nätverk.

Läs mer:

• Tjänstslutpunkter för virtuellt nätverk

Azure Private Link

Azure Private Link tillhandahåller privata anslutningar från ett virtuellt nätverk till Azure PaaS-tjänster, kundägda tjänster eller Microsoft-partnertjänster. Private Link-trafik finns kvar i Microsoft Azure-stamnätverket, vilket eliminerar exponeringen för det offentliga Internet.

Läs mer:

• Vad är Azure Privat Link?
• Privata slutpunkter

Azure Firewall

Azure Firewall är en molnbaserad, intelligent nätverksbrandväggssäkerhetstjänst som ger skydd mot hot för molnarbetsbelastningar. Det är en helt tillståndskänslig brandvägg som tillhandahålls som en tjänst, med inbyggd hög tillgänglighet och obegränsad skalbarhet i molnet.

Azure Firewall finns i tre SKU:er:

• Azure Firewall Basic: Förenklad säkerhet för små och medelstora företag
• Azure Firewall Standard: L3-L7 filtrering och hotinformation från Microsoft Cyber Security
• Azure Firewall Premium: Avancerade funktioner, inklusive signaturbaserad IDPS för snabb attackidentifiering

Läs mer:

• Vad är Azure Firewall?
• Välj rätt Azure Firewall SKU
• Översikt över hotidentifiering och skydd

Säker fjärråtkomst och anslutning mellan platser

Azure har stöd för flera säkra fjärråtkomstscenarier för att hantera Azure-resurser och distribuera hybrid-IT-lösningar.

Punkt-till-plats-VPN

Med punkt-till-plats-VPN-anslutningar kan enskilda användare upprätta privata och säkra anslutningar till ett virtuellt nätverk. Användare kan komma åt virtuella datorer och tjänster i Azure när de har autentiserats. Punkt-till-plats-VPN stöder:

• Secure Socket Tunneling Protocol (SSTP): Patentskyddat SSL-baserat VPN-protokoll (Windows-enheter)
• IKEv2 VPN: Standardbaserad IPsec VPN-lösning (Mac-enheter)
• OpenVPN Protocol: SSL/TLS-baserat VPN-protokoll (Android-, iOS-, Windows-, Linux- och Mac-enheter)

Läs mer:

• Om punkt-till-plats-VPN
• Konfigurera en punkt-till-plats-VPN-anslutning

Plats-till-plats-VPN

Site-to-Site VPN-gateway-anslutningar upprättar säker tväranslutning mellan ditt lokala nätverk och Azure-virtuella nätverk. Plats-till-plats-VPN använder VPN-protokollet med hög säkerhet i IPsec-tunnelläge.

VPN Gateway är viktigt för hybrid-IT-scenarier där delar av en tjänst finns både i Azure och lokalt.

Läs mer:

• Om VPN Gateway
• Skapa en plats-till-plats-anslutning

ExpressRoute

ExpressRoute tillhandahåller dedikerade WAN-länkar mellan ditt lokala nätverk och Microsofts molntjänster. ExpressRoute-anslutningar passerar inte det offentliga Internet, vilket ger förbättrad säkerhet, tillförlitlighet, hastighet och lägre svarstid jämfört med Internetanslutningar.

ExpressRoute stöder:

• ExpressRoute Direct: Direktanslutning till Microsofts globala nätverk
• ExpressRoute Global Reach: Anslutning mellan dina lokala platser via ExpressRoute-kretsar

Läs mer:

• Översikt över ExpressRoute
• Anslutningsmodeller för ExpressRoute

Nätverkskoppling (VNet-peering)

Peering för virtuella nätverk ansluter två virtuella Azure-nätverk, vilket gör att resurser i båda nätverken kan kommunicera med varandra. VNet-peering använder Microsofts staminfrastruktur och kringgår det offentliga Internet. Peering stöder anslutningar i samma Azure-region eller i olika regioner (global VNet-peering).

Läs mer:

• Peering för virtuella nätverk
• Skapa en VNet-peering

Tillgänglighet och belastningsutjämning

Belastningsutjämning distribuerar anslutningar mellan flera enheter för att öka tillgängligheten och prestandan. Azure har flera alternativ för belastningsutjämning.

Azure Load Balancer (belastningsutjämnare)

Azure Load Balancer ger hög prestanda och låg latens Layer 4-belastningsutjämning för alla UDP- och TCP-protokoll. Load Balancer distribuerar inkommande trafik enligt konfigurerade regler och hälsokontroller till backend-instanser.

Bland funktionerna i Load Balancer finns:

• Stöd för interna och externa belastningsutjämningsscenarier
• Zonredundans och zonindelat distributioner
• Stöd för TCP- och UDP-program
• Hälsokontroller för att kontrollera tillgängligheten för backendinstanser

Läs mer:

• Vad är Azure Load Balancer?
• Standard load balancer och tillgänglighetszoner

Azure Application Gateway

Azure Application Gateway är en lastbalanserare för webbtrafik (Layer 7) som hanterar trafik till dina webbprogram. Application Gateway fattar routningsbeslut baserat på HTTP-begärandeattribut, till exempel URI-sökväg eller värdhuvuden.

Funktionerna i Application Gateway omfattar:

• Web Application Firewall (WAF) för centralt skydd
• TLS-avslutning för att minska krypteringskostnaderna på webbservrar
• Cookiebaserad sessionstillhörighet
• URL-baserad innehållsroutning
• Autoskalning och zonredundans

Läs mer:

• Vad är Azure Application Gateway?
• Application Gateway-komponenter

Azure Traffic Manager

Azure Traffic Manager är en DNS-baserad lastbalanserare som distribuerar trafik optimalt till tjänster i globala Azure-regioner. Traffic Manager ger hög tillgänglighet och svarstider genom att dirigera klientbegäranden till den lämpligaste tjänstslutpunkten baserat på trafikroutningsmetod och slutpunktshälsa.

Traffic Manager stöder flera routningsmetoder, inklusive prioritet, viktad, prestanda, geografisk, flervärdes- och undernätsroutning.

Läs mer:

• Vad är Traffic Manager?
• Traffic Manager-dirigeringsmetoder

Namnupplösning

Säker namnmatchning är avgörande för alla molnbaserade tjänster. Komprometterade namnmatchningsfunktioner kan omdirigera begäranden till skadliga webbplatser.

Azure DNS

Azure DNS ger hög tillgänglighet och högpresterande namnmatchning med hjälp av Microsoft Azure-infrastrukturen. Azure DNS stöder:

• Offentliga DNS-domäner som finns i azures globala infrastruktur
• Privata DNS-zoner för namnmatchning i och mellan virtuella nätverk
• Dns-scenarier med delad horisont där samma domännamn matchar olika för privata och offentliga frågor

Läs mer:

• Översikt över Azure DNS
• Privata DNS-zoner i Azure

DDoS protection

DDoS-attacker (Distributed Denial of Service) är bland de största tillgänglighets- och säkerhetsproblemen för kunder som flyttar program till molnet. Azure DDoS Protection skyddar Azure-resurser från DDoS-attacker.

SKU:er för Azure DDoS Protection:

• DDoS Infrastructure Protection: Grundläggande skydd aktiverat som standard på alla Azure-egenskaper utan extra kostnad
• DDoS-nätverksskydd: Avancerat skydd för resurser i virtuella nätverk med anpassningsbar justering, åtgärdsprinciper och övervakning

DDoS-nätverksskyddsfunktioner inkluderar:

• Intern plattformsintegrering med konfiguration via Azure-portalen
• Alltid på-trafikövervakning och realtidsreducering
• Attackanalys, inklusive åtgärdsrapporter och flödesloggar
• Anpassningsbar justering baserat på programtrafikmönster
• Kostnadsgaranti, inklusive tjänstkrediter för dataöverföring och utskalning av program

Läs mer:

• Översikt över Azure DDoS Protection
• Hantera DDoS-skydd

Azure Front Door-tjänsten

Azure Front Door är en global, skalbar startpunkt som använder Microsofts globala gränsnätverk för att skapa snabba, säkra och mycket skalbara webbprogram. Front Door tillhandahåller layer 7-belastningsutjämning, TLS-avslutning, URL-baserad routning och integrerad säkerhet.

Front Door-funktionerna omfattar:

• Global HTTP-belastningsutjämning med omedelbar redundans
• TLS-avslutning vid nätverkskanten
• URL-sökvägsbaserad routning
• Cookiebaserad sessionstillhörighet
• Brandväggsskydd för webbaserade program
• DDoS-skydd på plattformsnivå
• Integrering av Private Link för att skydda backend-ursprung

Läs mer:

• Vad är Azure Front Door?
• Front Door-routningsarkitektur

Övervakning och hotidentifiering

Azure tillhandahåller verktyg för att övervaka nätverkssäkerhet och identifiera hot.

Azure Network Watcher

Azure Network Watcher innehåller verktyg för att övervaka, diagnostisera och få insikter om ditt nätverk i Azure.

Bland funktionerna i Network Watcher finns:

• Anslutningsövervakare: Övervakar anslutningen mellan Azure-resurser och slutpunkter
• NSG-flödesloggar: Loggar information om IP-trafik som flödar via nätverkssäkerhetsgrupper
• Paketinsamling: Samlar in nätverkstrafik till och från virtuella datorer
• VPN-felsökning: Diagnostiserar problem med VPN-gatewayer och anslutningar
• Nätverksdiagnostik: Validerar nätverkskonfigurationen och identifierar säkerhetsproblem

Läs mer:

• Vad är Azure Network Watcher?
• Översikt över Network Watcher-övervakning

Microsoft Defender för molnet

Microsoft Defender för molnet hjälper dig att förhindra, identifiera och svara på hot med ökad synlighet och kontroll över säkerheten för dina Azure-resurser. Defender for Cloud tillhandahåller rekommendationer för nätverkssäkerhet, övervakar nätverkssäkerhetskonfigurationen och varnar dig för nätverksbaserade hot.

Läs mer:

• Introduktion till Microsoft Defender för molnet
• Skydda dina nätverksresurser
• Översikt över hotdetektering

Nästa steg

• metodtips och mönster för Säkerhet i Azure
• Metodtips för nätverkssäkerhet
• Säkerhetsöversikt för identitetshantering
• Hotdetektering och skydd