Dela via

Översikt över Nätverkssäkerhet i Azure

Nätverkssäkerhet kan definieras som processen för att skydda resurser från obehörig åtkomst eller angrepp genom att tillämpa kontroller på nätverkstrafik. Målet är att säkerställa att endast legitim trafik tillåts. Azure innehåller en robust nätverksinfrastruktur som stöder kraven på program- och tjänstanslutning. Nätverksanslutning är möjlig mellan resurser som finns i Azure, mellan lokala resurser och Azure-värdbaserade resurser och till och från Internet och Azure.

Den här artikeln beskriver några av de alternativ som Azure erbjuder när det gäller nätverkssäkerhet. Du kan lära dig mer om:

  • Azure-nätverk
  • Åtkomstkontroll för nätverk
  • Azure Firewall
  • Säker fjärråtkomst och anslutning mellan platser
  • Tillgänglighet
  • Namnupplösning
  • Arkitektur för perimeternätverk (DMZ)
  • Azure DDoS-skydd
  • Azure Front Door-tjänsten
  • Trafikchef
  • Övervakning och hotidentifiering

Kommentar

För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbprogram för att skydda mot nya DDoS-attacker. Ett annat alternativ är att distribuera Azure Front Door tillsammans med en brandvägg för webbprogram. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå.

Azure-nätverk

Azure kräver att virtuella datorer är anslutna till ett virtuellt Azure-nätverk. Ett virtuellt nätverk är en logisk konstruktion som bygger på den fysiska Azure-nätverksinfrastrukturen. Varje virtuellt nätverk är isolerat från alla andra virtuella nätverk. Detta säkerställer att nätverkstrafiken i dina distributioner inte är tillgänglig för andra Azure-kunder.

Läs mer:

Åtkomstkontroll för nätverk

Nätverksåtkomstkontroll handlar om att begränsa anslutningen till och från specifika enheter eller undernät i ett virtuellt nätverk. Målet med nätverksåtkomstkontroll är att begränsa åtkomsten till dina virtuella datorer och tjänster till godkända användare och enheter. Åtkomstkontroller baseras på beslut om att tillåta eller neka anslutningar till och från din virtuella dator eller tjänst.

Azure stödjer flera typer av nätverksåtkomstkontroll, till exempel:

  • Kontroll av nätverksnivå
  • Vägkontroll och tvingad tunneltrafik
  • Säkerhetsinstallationer för virtuella nätverk

Kontroll av nätverksnivå

En säker distribution kräver ett visst mått av nätverksåtkomstkontroll. Målet med nätverksåtkomstkontroll är att begränsa kommunikationen mellan virtuella datorer och nödvändiga system. Andra kommunikationsförsök blockeras.

Kommentar

Lagringsbrandväggar beskrivs i artikeln Översikt över Azure Storage-säkerhet

Nätverkssäkerhetsregler (NSG:er)

Om du behöver grundläggande åtkomstkontroll på nätverksnivå (baserat på IP-adress och TCP- eller UDP-protokoll) kan du använda nätverkssäkerhetsgrupper (NSG:er). Ett NSG är en grundläggande, tillståndsbaserad paketfiltreringsbrandvägg och möjliggör för dig att styra åtkomsten baserat på en 5-tuple. NSG:er innehåller funktioner för att förenkla hanteringen och minska risken för konfigurationsfel:

  • Utökade säkerhetsregler förenklar NSG-regeldefinitionen och gör att du kan skapa komplexa regler i stället för att behöva skapa flera enkla regler för att uppnå samma resultat.
  • Tjänsttaggar är Microsoft-skapade etiketter som representerar en grupp MED IP-adresser. De uppdateras dynamiskt för att inkludera IP-intervall som uppfyller de villkor som definierar inkludering i etiketten. Om du till exempel vill skapa en regel som gäller för all Azure-lagring i den östra regionen kan du använda Storage.EastUS
  • Med programsäkerhetsgrupper kan du distribuera resurser till programgrupper och styra åtkomsten till dessa resurser genom att skapa regler som använder dessa programgrupper. Om du till exempel har webbservrar distribuerade till programgruppen "Webbservrar" kan du skapa en regel som tillämpar en NSG som tillåter 443 trafik från Internet till alla system i programgruppen "Webbservrar".

NSG:er tillhandahåller inte kontroll av programskikt eller autentiserade åtkomstkontroller.

Läs mer:

Defender för molnet just-in-time-åtkomst till virtuell dator

Microsoft Defender för molnet kan hantera NSG:erna på virtuella datorer och låsa åtkomsten till den virtuella datorn tills en användare med lämplig Rollbaserad Åtkomstkontroll för Azure RBAC begär åtkomst. När användaren har auktoriserats Defender för molnet gör ändringar i NSG:erna för att tillåta åtkomst till valda portar under den angivna tiden. När tiden går ut återställs NSG:erna till sitt tidigare skyddade tillstånd.

Läs mer:

Tjänstslutpunkter

Tjänstslutpunkter är ett annat sätt att tillämpa kontroll över din trafik. Du kan begränsa kommunikationen med tjänster som stöds till bara dina virtuella nätverk via en direktanslutning. Trafik från ditt virtuella nätverk till den angivna Azure-tjänsten finns kvar i Microsoft Azure-stamnätverket.

Läs mer:

Vägkontroll och tvingad tunneltrafik

Det är viktigt att du kan styra routningsbeteendet i dina virtuella nätverk. Om routningen är felaktigt konfigurerad kan program och tjänster som finns på den virtuella datorn ansluta till obehöriga enheter, inklusive system som ägs och drivs av potentiella angripare.

Azure-nätverk stöder möjligheten att anpassa routningsbeteendet för nätverkstrafik i dina virtuella nätverk. På så sätt kan du ändra standardposterna för routningstabeller i det virtuella nätverket. Kontroll av routningsbeteende hjälper dig att se till att all trafik från en viss enhet eller grupp av enheter kommer in i eller lämnar ditt virtuella nätverk via en viss plats.

Du kan till exempel ha en säkerhetsinstallation för virtuella nätverk i det virtuella nätverket. Du vill se till att all trafik till och från ditt virtuella nätverk går igenom den virtuella säkerhetsinstallationen. Du kan göra detta genom att konfigurera användardefinierade vägar (UDR) i Azure.

Tvingad tunneltrafik är en mekanism som du kan använda för att säkerställa att dina tjänster inte tillåts initiera en anslutning till enheter på Internet. Observera att detta skiljer sig från att acceptera inkommande anslutningar och sedan svara på dem. Klientwebbservrar måste svara på begäranden från Internetvärdar, så internetbaserad trafik tillåts inkommande till dessa webbservrar och webbservrarna får svara.

Det du inte vill tillåta är att en klientwebbserver initierar en utgående begäran. Sådana begäranden kan utgöra en säkerhetsrisk eftersom dessa anslutningar kan användas för att ladda ned skadlig kod. Även om du vill att dessa klientdelsservrar ska initiera utgående begäranden till Internet kanske du vill tvinga dem att gå igenom dina lokala webbproxyservrar. På så sätt kan du dra nytta av URL-filtrering och loggning.

I stället vill du använda tvingad tunneltrafik för att förhindra detta. När du aktiverar tvingad tunneltrafik tvingas alla anslutningar till Internet via din lokala gateway. Du kan konfigurera tvingad tunneltrafik genom att dra nytta av UDR.

Läs mer:

Säkerhetsinstallationer för virtuella nätverk

NSG:er, UDR:er och tvingad tunneltrafik ger dig en säkerhetsnivå i nätverks- och transportskikten i OSI-modellen, men du kanske också vill aktivera säkerhet på programnivån.

Dina säkerhetskrav kan till exempel omfatta:

  • Autentisering och auktorisering innan du tillåter åtkomst till ditt program
  • Intrångsidentifiering och intrångssvar
  • Kontroll av programskikt för protokoll på hög nivå
  • URL-filtrering
  • Antivirusprogram på nätverksnivå och program mot skadlig kod
  • Skydd mot robot
  • Åtkomstkontroll för program
  • Ytterligare DDoS-skydd (ovanför DDoS-skyddet som tillhandahålls av själva Azure-infrastrukturresurserna)

Du kan komma åt dessa förbättrade nätverkssäkerhetsfunktioner med hjälp av en Azure-partnerlösning. Du hittar de senaste säkerhetslösningarna för Azure-partnernätverk genom att besöka Azure Marketplace och söka efter "säkerhet" och "nätverkssäkerhet".

Azure Firewall

Azure Firewall är en molnbaserad och intelligent säkerhetstjänst för nätverksbrandvägg som ger skydd mot hot för dina molnarbetsbelastningar som körs i Azure. Det är en tillståndsbevarande brandvägg som tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Azure Firewall inspekterar trafik både öst-väst och nord-syd.

Azure Firewall finns i tre SKU:er: Basic, Standard och Premium.

  • Azure Firewall Basic erbjuder förenklad säkerhet som liknar Standard SKU men utan avancerade funktioner.
  • Azure Firewall Standard tillhandahåller L3-L7-filtrering och hotinformationsflöden direkt från Microsoft Cyber Security.
  • Azure Firewall Premium innehåller avancerade funktioner som signaturbaserad IDPS för snabb attackidentifiering genom att identifiera specifika mönster.

Läs mer:

Säker fjärråtkomst och anslutning mellan platser

Installation, konfiguration och hantering av dina Azure-resurser måste göras via fjärranslutning. Dessutom kanske du vill distribuera hybrid-IT-lösningar som har komponenter lokalt och i det offentliga Azure-molnet. Dessa scenarier kräver säker fjärråtkomst.

Azure-nätverk stöder följande scenarier för säker fjärråtkomst:

  • Ansluta enskilda arbetsstationer till ett virtuellt nätverk
  • Ansluta ditt lokala nätverk till ett virtuellt nätverk med ett VPN
  • Ansluta ditt lokala nätverk till ett virtuellt nätverk med en dedikerad WAN-länk
  • Ansluta virtuella nätverk till varandra

Ansluta enskilda arbetsstationer till ett virtuellt nätverk

Du kanske vill göra det möjligt för enskilda utvecklare eller driftpersonal att hantera virtuella datorer och tjänster i Azure. Om du till exempel behöver åtkomst till en virtuell dator i ett virtuellt nätverk, men din säkerhetsprincip förbjuder RDP- eller SSH-fjärråtkomst till enskilda virtuella datorer, kan du använda en punkt-till-plats-VPN-anslutning .

Med en punkt-till-plats-VPN-anslutning kan du upprätta en privat och säker anslutning mellan användaren och det virtuella nätverket. När VPN-anslutningen har upprättats kan användaren RDP eller SSH via VPN-länken till valfri virtuell dator i det virtuella nätverket, förutsatt att de är autentiserade och auktoriserade. Punkt-till-plats-VPN stöder:

  • Secure Socket Tunneling Protocol (SSTP): Ett patentskyddat SSL-baserat VPN-protokoll som kan penetrera brandväggar eftersom de flesta brandväggar öppnar TCP-port 443, som TLS/SSL använder. SSTP stöds på Windows-enheter (Windows 7 och senare).
  • IKEv2 VPN: En standardbaserad IPsec VPN-lösning som kan användas för att ansluta från Mac-enheter (OSX-version 10.11 och senare).
  • OpenVPN-protokoll: Ett SSL/TLS-baserat VPN-protokoll som kan penetrera brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443, som TLS använder. OpenVPN kan användas för att ansluta från Android-, iOS- (version 11.0 och senare), Windows-, Linux- och Mac-enheter (macOS-version 10.13 och senare). Versioner som stöds är TLS 1.2 och TLS 1.3 baserat på TLS-handskakningen.

Läs mer:

Ansluta ditt lokala nätverk till ett virtuellt nätverk med en VPN Gateway

Om du vill ansluta hela företagets nätverk eller specifika segment till ett virtuellt nätverk bör du överväga att använda ett plats-till-plats-VPN. Den här metoden är vanlig i hybrid-IT-scenarier där delar av en tjänst finns både i Azure och lokalt. Du kan till exempel ha front-end webbservrar i Azure och back-end databaser lokalt. Plats-till-plats-VPN förbättrar säkerheten för att hantera Azure-resurser och aktivera scenarier som att utöka Active Directory-domänkontrollanter till Azure.

Ett plats-till-plats-VPN skiljer sig från ett punkt-till-plats-VPN eftersom det ansluter ett helt nätverk (till exempel ditt lokala nätverk) till ett virtuellt nätverk i stället för bara en enda enhet. Plats-till-plats-VPN:er använder det mycket säkra IPsec-tunnelläge för att etablera dessa anslutningar.

Läs mer:

Punkt-till-plats- och plats-till-plats-VPN-anslutningar är användbara för att aktivera anslutningar mellan platser. De har dock vissa begränsningar:

  • VPN-anslutningar överför data via Internet och exponerar dem för potentiella säkerhetsrisker som är kopplade till offentliga nätverk. Dessutom kan tillförlitligheten och tillgängligheten för Internetanslutningar inte garanteras.
  • VPN-anslutningar till virtuella nätverk kanske inte ger tillräckligt med bandbredd för vissa program, vanligtvis max på cirka 200 Mbit/s.

För organisationer som kräver den högsta nivån av säkerhet och tillgänglighet för sina anslutningar mellan platser är dedikerade WAN-länkar ofta att föredra. Azure erbjuder lösningar som ExpressRoute, ExpressRoute Direct och ExpressRoute Global Reach för att underlätta dessa dedikerade anslutningar mellan ditt lokala nätverk och virtuella Azure-nätverk.

Läs mer:

Ansluta virtuella nätverk till varandra

Det är möjligt att använda flera virtuella nätverk för dina distributioner av olika skäl, till exempel att förenkla hanteringen eller öka säkerheten. Oavsett motivation kan det finnas tillfällen då du vill att resurser i olika virtuella nätverk ska ansluta till varandra.

Ett alternativ är att låta tjänster i ett virtuellt nätverk ansluta till tjänster i ett annat virtuellt nätverk genom att "loopa tillbaka" via Internet. Det innebär att anslutningen startar i ett virtuellt nätverk, går via Internet och sedan når det virtuella målnätverket. Detta exponerar dock anslutningen till de säkerhetsrisker som är förknippade med internetbaserad kommunikation.

Ett bättre alternativ är att skapa ett plats-till-plats-VPN som ansluter de två virtuella nätverken. Den här metoden använder samma protokoll för IPsec-tunnelläge som vpn-anslutningen mellan platser som nämndes tidigare.

Fördelen med den här metoden är att VPN-anslutningen upprättas via Azure-nätverksinfrastrukturen, vilket ger ett extra säkerhetslager jämfört med plats-till-plats-VPN som ansluter via Internet.

Läs mer:

En annan metod för att ansluta dina virtuella nätverk är via VNet-peering. VNet-peering möjliggör direkt kommunikation mellan två virtuella Azure-nätverk via Microsofts staminfrastruktur och kringgår det offentliga Internet. Den här funktionen stöder peering i samma region eller i olika Azure-regioner. Du kan också använda nätverkssäkerhetsgrupper (NSG:er) för att styra och begränsa anslutningen mellan undernät eller system i peer-kopplade nätverk.

Tillgänglighet

Tillgänglighet är avgörande för alla säkerhetsprogram. Om användare och system inte kan komma åt nödvändiga resurser komprometteras tjänsten effektivt. Azure erbjuder nätverkstekniker som stöder mekanismer för hög tillgänglighet, inklusive:

  • HTTP-baserad belastningsutjämning
  • Belastningsutjämning på nätverksnivå
  • Global belastningsutjämning

Belastningsutjämning fördelar anslutningar jämnt över flera enheter, med målet att:

  • Öka tillgängligheten: Genom att distribuera anslutningar förblir tjänsten i drift även om en eller flera enheter blir otillgängliga. De återstående enheterna fortsätter att hantera innehållet.
  • Förbättra prestanda: Distribution av anslutningar minskar belastningen på en enskild enhet, vilket sprider bearbetnings- och minnesbehov över flera enheter.
  • Underlätta skalning: När efterfrågan ökar kan du lägga till fler enheter i lastbalanseraren så att den kan hantera fler anslutningar.

HTTP-baserad belastningsutjämning

Organisationer som kör webbaserade tjänster drar ofta nytta av att använda en HTTP-baserad lastbalanserare för att säkerställa hög prestanda och tillgänglighet. Till skillnad från traditionella nätverksbaserade lastbalanserare som förlitar sig på nätverks- och transportlagerprotokoll fattar HTTP-baserade lastbalanserare beslut baserat på HTTP-protokollegenskaper.

Azure Application Gateway och Azure Front Door erbjuder HTTP-baserad belastningsutjämning för webbtjänster. Båda tjänsterna stöder:

  • Cookiebaserad sessionstillhörighet: Säkerställer att anslutningar som upprättats till en server förblir konsekventa mellan klienten och servern, vilket upprätthåller transaktionsstabiliteten.
  • TLS-avlastning: Krypterar sessioner mellan klienten och lastbalanseraren med hjälp av HTTPS (TLS). För att förbättra prestandan kan anslutningen mellan lastbalanseraren och webbservern använda HTTP (okrypterad), vilket minskar krypteringskostnaderna på webbservrar och gör det möjligt för dem att hantera begäranden effektivare.
  • URL-baserad innehållsroutning: Tillåter att lastbalanseraren vidarebefordrar anslutningar baserat på mål-URL:en, vilket ger större flexibilitet än IP-adressbaserade beslut.
  • Brandvägg för webbprogram: Erbjuder centraliserat skydd för webbprogram mot vanliga hot och sårbarheter.

Läs mer:

Belastningsutjämning på nätverksnivå

Till skillnad från HTTP-baserad belastningsutjämning fattar belastningsutjämning på nätverksnivå beslut baserat på IP-adress- och portnummer (TCP eller UDP). Azure Load Balancer tillhandahåller belastningsutjämning på nätverksnivå med följande viktiga egenskaper:

  • Balanserar trafik baserat på IP-adress och portnummer.
  • Stöder alla protokoll på programnivå.
  • Distribuerar trafik till virtuella Azure-datorer och rollinstanser för molntjänster.
  • Kan användas för både internetuppkopplade (extern belastningsutjämning) och program som inte är Internetuppkopplade (intern belastningsutjämning) och virtuella datorer.
  • Innehåller slutpunktsövervakning för att identifiera och svara på tjänstens otillgänglighet.

Läs mer:

Global belastningsutjämning

Vissa organisationer vill ha högsta möjliga tillgänglighetsnivå. Ett sätt att nå det här målet är att vara värd för program i globalt distribuerade datacenter. När ett program finns i datacenter över hela världen är det möjligt att en hel geopolitisk region blir otillgänglig och fortfarande har programmet igång.

Den här belastningsutjämningsstrategin kan också ge prestandafördelar. Du kan dirigera begäranden för tjänsten till det datacenter som ligger närmast den enhet som skickar begäran.

I Azure kan du få fördelarna med global belastningsutjämning med hjälp av Azure Traffic Manager för DNS-baserad belastningsutjämning, Global lastbalanserare för lastbalansering på transportnivå eller Azure Front Door för HTTP-baserad belastningsutjämning.

Läs mer:

Namnupplösning

Namnupplösning är viktigt för alla tjänster som finns i Azure. Ur ett säkerhetsperspektiv kan kompromettering av namnupplösningsfunktionen göra det möjligt för angripare att omdirigera förfrågningar från dina webbplatser till skadliga webbplatser. Därför är säker namnmatchning avgörande för alla dina molnbaserade tjänster.

Det finns två typer av namnupplösning att tänka på:

  • Intern namnupplösning: Används av tjänster i dina virtuella nätverk, lokala nätverk eller både och. Dessa namn är inte tillgängliga via Internet. Se till att ditt interna namnmatchningsschema inte exponeras för externa användare för optimal säkerhet.
  • Extern namnupplösning: Används av personer och enheter utanför dina lokala och virtuella nätverk. Dessa namn visas på Internet och direktanslutningar till dina molnbaserade tjänster.

För intern namnupplösning har du två alternativ:

  • DNS-server för virtuellt nätverk: När du skapar ett nytt virtuellt nätverk tillhandahåller Azure en DNS-server som kan matcha namnen på datorerna i det virtuella nätverket. Den här DNS-servern hanteras av Azure och kan inte konfigureras, vilket hjälper till att skydda namnmatchningen.
  • Ta med din egen DNS-server: Du kan distribuera valfri DNS-server i det virtuella nätverket. Detta kan vara en Active Directory-integrerad DNS-server eller en dedikerad DNS-serverlösning från en Azure-partner som är tillgänglig på Azure Marketplace.

Läs mer:

För extern namnmatchning har du två alternativ:

  • Driv din egen externa DNS-server på plats.
  • Använd en extern DNS-tjänstprovider.

Stora organisationer är ofta värdar för sina egna DNS-servrar lokalt på grund av deras nätverksexpertis och globala närvaro.

För de flesta organisationer är det dock bättre att använda en extern DNS-tjänstleverantör. Dessa leverantörer erbjuder hög tillgänglighet och tillförlitlighet för DNS-tjänster, vilket är avgörande eftersom DNS-fel kan göra dina Internetuppkopplade tjänster oåtkomliga.

Azure DNS erbjuder en högtillgänglig och högpresterande extern DNS-lösning. Den utnyttjar Azures globala infrastruktur så att du kan vara värd för din domän i Azure med samma autentiseringsuppgifter, API:er, verktyg och fakturering som dina andra Azure-tjänster. Dessutom drar den nytta av Azures robusta säkerhetskontroller.

Läs mer:

Perimeternätverksarkitektur

Många stora organisationer använder perimeternätverk för att segmentera sina nätverk och skapa en buffertzon mellan Internet och deras tjänster. Perimeterdelen av nätverket anses vara en zon med låg säkerhet och inga tillgångar med högt värde placeras i det nätverkssegmentet. Du ser vanligtvis nätverkssäkerhetsenheter som har ett nätverksgränssnitt i perimeternätverkssegmentet. Ett annat nätverksgränssnitt är anslutet till ett nätverk som har virtuella datorer och tjänster som accepterar inkommande anslutningar från Internet.

Du kan utforma perimeternätverk på flera olika sätt. Beslutet att distribuera ett perimeternätverk och vilken typ av perimeternätverk som ska användas om du bestämmer dig för att använda ett, beror på nätverkssäkerhetskraven.

Läs mer:

Azure DDoS-skydd

DDoS-attacker (Distributed Denial of Service) är betydande tillgänglighets- och säkerhetshot för molnprogram. Dessa attacker syftar till att tömma ett programs resurser, vilket gör det otillgängligt för legitima användare. Alla slutpunkter som kan nås offentligt kan vara ett mål.

DDoS Protection-funktioner omfattar:

  • Inbyggd plattformsintegrering: Helt integrerad i Azure med konfiguration tillgänglig via Azure-portalen. Den förstår dina resurser och deras konfigurationer.
  • Nyckelnyckelskydd: Skyddar automatiskt alla resurser i ett virtuellt nätverk så snart DDoS Protection har aktiverats, utan att användaren behöver ingripa. Riskreduceringen börjar omedelbart vid attackidentifiering.
  • Alltid på trafikövervakning: Övervakar programtrafiken dygnet runt efter tecken på DDoS-attacker och initierar åtgärder när skyddsprinciper överträds.
  • Rapporter om attackreducering: Innehåller detaljerad information om attacker med aggregerade nätverksflödesdata.
  • Flödesloggar för attackreducering: Erbjuder nästan realtidsloggar för borttagen och vidarebefordrad trafik under en aktiv DDoS-attack.
  • Anpassningsbar justering: Lär dig programmets trafikmönster över tid och justerar skyddsprofilen i enlighet med detta. Ger Layer 3 till Layer 7-skydd när det används med en brandvägg för webbprogram.
  • Omfattande minskningsskala: Kan minimera över 60 olika attacktyper med global kapacitet för att hantera de största kända DDoS-attackerna.
  • Attackmått: Sammanfattade mått från varje attack är tillgängliga via Azure Monitor.
  • Attackaviseringar: Konfigurerbara aviseringar för start, stopp och varaktighet för en attack, integrering med verktyg som Azure Monitor-loggar, Splunk, Azure Storage, e-post och Azure-portalen.
  • Kostnadsgaranti: Erbjuder tjänstkrediter för dataöverföring och utskalning av program för dokumenterade DDoS-attacker.
  • DDoS Snabb respons: Ger åtkomst till ett snabbsvarsteam under en aktiv attack för undersökning, anpassade åtgärder och analys efter attack.

Läs mer:

Azure Front Door-tjänsten

Med Azure Front Door kan du definiera, hantera och övervaka den globala routningen av webbtrafiken, optimera den för prestanda och hög tillgänglighet. Det gör att du kan skapa anpassade brandväggsregler för webbprogram (WAF) för att skydda dina HTTP/HTTPS-arbetsbelastningar från exploatering baserat på klientens IP-adresser, landskoder och HTTP-parametrar. Dessutom har Front Door stöd för hastighetsbegränsningsregler för att bekämpa skadlig robottrafik, inkluderar TLS-avlastning och ger bearbetning på applikationsnivå per HTTP/HTTPS-förfrågan.

Front Door-plattformen skyddas av DDoS-skydd på infrastrukturnivå i Azure. För förbättrat skydd kan du aktivera Azure DDoS Network Protection på dina virtuella nätverk för att skydda resurser från TCP-/UDP-attacker (network layer) via automatisk justering och minskning. Som en omvänd lager 7-proxy tillåter Front Door endast webbtrafik att passera till backendservrar och blockerar andra typer av trafik som standard.

Kommentar

För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbprogram för att skydda mot nya DDoS-attacker. Ett annat alternativ är att distribuera Azure Front Door tillsammans med en brandvägg för webbprogram. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå.

Läs mer:

  • Mer information om hela uppsättningen azure front door-funktioner finns i Översikt över Azure Front Door

Azure Traffic Manager

Azure Traffic Manager är en DNS-baserad lastbalanserare som distribuerar trafik till tjänster i globala Azure-regioner, vilket säkerställer hög tillgänglighet och svarstider. Den använder DNS för att dirigera klientbegäranden till den lämpligaste tjänstslutpunkten baserat på en trafikroutningsmetod och hälsotillståndet för slutpunkterna. En slutpunkt kan vara vilken Internetuppkopplad tjänst som helst i eller utanför Azure. Traffic Manager övervakar kontinuerligt slutpunkterna och undviker att dirigera trafik till alla som inte är tillgängliga.

Läs mer:

Övervakning och hotidentifiering

Azure tillhandahåller funktioner som hjälper dig i det här nyckelområdet med tidig identifiering, övervakning och insamling och granskning av nätverkstrafik.

Azure Network Watcher

Azure Network Watcher innehåller verktyg som hjälper dig att felsöka och identifiera säkerhetsproblem.

  • Säkerhetsgruppvy: Granskar och säkerställer säkerhetsefterlevnad för virtuella datorer genom att jämföra baslinjeprinciper med effektiva regler, vilket hjälper dig att identifiera konfigurationsavvikelser.
  • Paketinsamling: Samlar in nätverkstrafik till och från virtuella datorer, vilket underlättar felsökning av insamling av nätverksstatistik och programproblem. Det kan också utlösas av Azure Functions som svar på specifika aviseringar.

Mer information finns i Översikt över Azure Network Watcher-övervakning.

Kommentar

De senaste uppdateringarna om tjänstens tillgänglighet och status finns på sidan Med Azure-uppdateringar.

Microsoft Defender för molnet

Microsoft Defender för molnet hjälper dig att förhindra, identifiera och reagera på hot och ger dig bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer, hjälper till att identifiera hot som annars skulle gå obemärkt förbi och fungerar med en stor uppsättning säkerhetslösningar.

Defender för molnet hjälper dig att optimera och övervaka nätverkssäkerhet genom att:

  • Tillhandahålla rekommendationer för nätverkssäkerhet.
  • Övervaka tillståndet för nätverkssäkerhetskonfigurationen.
  • Varnar dig för nätverksbaserade hot, både på slutpunkts- och nätverksnivå.

Läs mer:

Virtuellt nätverk TAP

Med Azures virtuella nätverk TAP (Terminal Access Point) kan du kontinuerligt strömma nätverkstrafiken för den virtuella datorn till ett insamlings- eller analysverktyg för nätverkspaket. Insamlings- eller analysverktyget tillhandahålls av en partner för nätverksvirtuella apparater. Du kan använda samma TAP-resurs för virtuella nätverk för att aggregera trafik från flera nätverksgränssnitt i samma eller olika prenumerationer.

Läs mer:

Loggning

Loggning på nätverksnivå är en nyckelfunktion för alla nätverkssäkerhetsscenarion. I Azure kan du logga information som hämtats för NSG:er för att hämta loggningsinformation på nätverksnivå. Med NSG-loggning får du information från:

  • Aktivitetsloggar. Använd dessa loggar för att visa alla åtgärder som skickas till dina Azure-prenumerationer. Dessa loggar är aktiverade som standard och kan användas i Azure-portalen. De kallades tidigare gransknings- eller driftloggar.
  • Händelselogg. Dessa loggar innehåller information om vilka NSG-regler som tillämpades.
  • Räknarloggar. Dessa loggar låter dig veta hur många gånger varje NSG-regel tillämpades för att neka eller tillåta trafik.

Du kan också använda Microsoft Power BI, ett kraftfullt datavisualiseringsverktyg, för att visa och analysera dessa loggar. Läs mer: