Tillämpa Nulta pouzdanost principer för segmentering av Azure-baserad nätverkskommunikation
Den här artikeln innehåller vägledning för att tillämpa principerna för Nulta pouzdanost för segmentering av nätverk i Azure-miljöer. Här är de Nulta pouzdanost principerna.
| Nulta pouzdanost princip | Definition |
|---|---|
| Verifiera explicit | Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. |
| Använd minst privilegierad åtkomst | Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd. |
| Anta intrång | Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet. Du kan minimera cyberattacker och segmentåtkomst genom att utföra nätverkssegmentering på olika nivåer i Din Azure-infrastruktur. |
Den här artikeln är en del av en serie artiklar som visar hur du tillämpar principerna för Nulta pouzdanost på Azure-nätverk.
När organisationer växer från små företag till stora företag måste de ofta gå från en enda Azure-prenumeration till flera prenumerationer för att separera resurser för varje avdelning. Det är viktigt att noggrant planera segmenteringen av nätverket för att skapa logiska gränser och isolering mellan miljöer.
Varje miljö, som vanligtvis återspeglar en separat avdelning i din organisation, bör ha sina egna åtkomstbehörigheter och principer för specifika arbetsbelastningar. Användare från din interna prenumeration för programutvecklare bör till exempel inte ha åtkomst till att hantera och distribuera nätverksresurser i anslutningsprenumerationen. Dessa miljöer behöver dock fortfarande nätverksanslutning för att uppnå de funktioner som krävs för grundläggande tjänster, till exempel DNS, hybridanslutning och att kunna nå andra resurser i olika virtuella Azure-nätverk (VNets).
Segmenteringen av din Azure-infrastruktur ger inte bara isolering utan kan också skapa säkerhetsgränser som hindrar en angripare från att flytta över miljöer och orsaka ytterligare skador (principen Anta intrång Nulta pouzdanost).
Referensarkitektur
Du kan använda olika segmenteringsnivåer i Azure för att skydda dina resurser från obehörig åtkomst eller skadliga attacker. Dessa segmenteringsnivåer börjar på prenumerationsnivå och går hela vägen ner till program som körs på virtuella datorer. Segmentering skapar en gräns som skiljer en miljö från en annan, var och en med sina egna regler och principer. Med antagandet att överträdelser kan inträffa måste du segmentera dina nätverk för att förhindra spridning av dem.
Azure-nätverk använder följande segmenteringsnivåer:
Prenumerationer
En Azure-prenumeration är en logisk container som används för att etablera resurser i Azure. Det är länkat till ett Azure-konto i en Microsoft Entra ID-klientorganisation och fungerar som en enda faktureringsenhet för Azure-resurser som tilldelats prenumerationen. En Azure-prenumeration är också en logisk gräns för åtkomst till de resurser som ingår i prenumerationen. Åtkomst mellan resurser i olika prenumerationer kräver explicita behörigheter.
Virtuella nätverk
Ett virtuellt Azure-nätverk är ett isolerat privat nätverk som som standard tillåter att alla virtuella datorer i det kommunicerar med varandra. Som standard kan virtuella nätverk inte kommunicera med andra virtuella nätverk om du inte skapar anslutningar mellan dem via peering, VPN-anslutningar eller ExpressRoute. Enskilda virtuella nätverk kan användas som en förtroendegräns som delar upp olika program, arbetsbelastningar, avdelningar eller organisationer.
Azure Virtual Network Manager (AVNM) är en nätverkshanteringstjänst som gör att ett enda administrationsteam kan hantera virtuella nätverk och framtvinga säkerhetsregler i flera prenumerationer globalt. Du kan använda AVNM för att definiera nätverksgrupper för att avgöra vilka virtuella nätverk som kan kommunicera med varandra. Du kan också använda AVNM för att övervaka ändringar i nätverkskonfigurationen.
Arbetsbelastningar i ett virtuellt nätverk
För arbetsbelastningar i ett virtuellt nätverk, till exempel virtuella datorer eller paaS-tjänster som stöder VNet-integrering som Azure Databricks och App Service, tillåts kommunikation som standard eftersom de finns i samma virtuella nätverk och måste skyddas ytterligare med hjälp av nätverkssäkerhetsgrupper. Verktyg och tjänster för segmentering inom ett virtuellt nätverk omfattar följande:
Azure Firewall
Azure Firewall är en tjänst som distribueras i ett virtuellt nätverk för att filtrera trafik mellan molnresurser, lokalt och Internet. Med Azure Firewall kan du definiera regler och principer för att tillåta eller neka trafik i nätverks- och programlagren. Du kan också dra nytta av funktionerna för avancerat skydd mot hot som tillhandahålls av Azure Firewall, till exempel intrångsidentifierings- och skyddssystem (IDPS), TLS-inspektion (Transport Layer Security) och hotinformationsbaserad filtrering.
Nätverkssäkerhetsgrupp
En nätverkssäkerhetsgrupp är en mekanism för åtkomstkontroll som filtrerar nätverkstrafik mellan Azure-resurser, till exempel virtuella datorer i ett virtuellt nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar trafik på undernätets eller den virtuella datorns nivåer i ett virtuellt nätverk. En vanlig användning av nätverkssäkerhetsgrupper är att segmentera uppsättningarna med virtuella datorer i olika undernät.
Programsäkerhetsgrupp
En programsäkerhetsgrupp är ett tillägg till en nätverkssäkerhetsgrupp som gör att du kan gruppera nätverksgränssnitten för virtuella datorer baserat på deras roller och funktioner. Du kan sedan använda programsäkerhetsgrupperna i en nätverkssäkerhetsgrupp i stor skala utan att behöva definiera IP-adresserna för virtuella datorer.
Azure Front Door
Azure Front Door är Microsofts moderna nätverk för innehållsleverans i molnet (CDN) som ger snabb, tillförlitlig och säker åtkomst mellan dina användare och dina programs statiska och dynamiska webbinnehåll över hela världen.
Följande diagram visar referensarkitekturen för segmenteringsnivåer.
I diagrammet visar de fasta röda linjerna segmenteringsnivåer mellan:
- Azure-prenumerationer
- Virtuella nätverk i en prenumeration
- Undernät i ett virtuellt nätverk
- Internet och ett virtuellt nätverk
Diagrammet visar också en uppsättning virtuella nätverk som hanteras av AVNM som kan sträcka sig över Azure-prenumerationer.
Vad finns i den här artikeln?
Nulta pouzdanost principer tillämpas i referensarkitekturen i Azure-molnet. I följande tabell beskrivs rekommendationerna för segmentering av nätverk i den här arkitekturen för att följa principen Anta intrång Nulta pouzdanost.
| Steg | Aktivitet |
|---|---|
| 1 | Segmentera inom dina enskilda virtuella nätverk. |
| 2 | Anslut flera virtuella nätverk med peering. |
| 3 | Ansluta flera virtuella nätverk i en hubb- och ekerkonfiguration. |
Steg 1: Segmentera inom dina enskilda virtuella nätverk
I ett enda virtuellt nätverk i en Azure-prenumeration använder du undernät för att uppnå separation och segmentering av resurser. I ett virtuellt nätverk kan det till exempel finnas ett undernät för databasservrar, ett annat för webbprogram och ett dedikerat undernät för en Azure Firewall eller Azure Application Gateway med en brandvägg för webbprogram. Som standard är all kommunikation mellan undernät aktiverad i ett virtuellt nätverk.
Om du vill skapa isolering mellan undernät kan du använda nätverkssäkerhetsgrupper eller programsäkerhetsgrupper för att tillåta eller neka specifik nätverkstrafik baserat på IP-adresser, portar eller protokoll. Men att utforma och underhålla nätverkssäkerhetsgrupper och programsäkerhetsgrupper kan också skapa hanteringskostnader.
Den här bilden visar en vanlig och rekommenderad konfiguration av ett program med tre nivåer med separata undernät för varje nivå och användning av nätverkssäkerhetsgrupper och programsäkerhetsgrupper för att skapa segmenterade gränser mellan varje undernät.
Du kan också uppnå segmentering av resurser genom att dirigera trafik mellan undernät med hjälp av användardefinierade vägar (UDR) som pekar på en Azure Firewall eller en virtuell nätverksinstallation (NVA) från tredje part. Azure Firewall och NVA:er har också möjlighet att tillåta eller neka trafik med hjälp av layer 3 till layer 7-kontroller. De flesta av dessa tjänster tillhandahåller avancerade filtreringsfunktioner.
Mer information finns i vägledningen i Mönster 1: Enskilt virtuellt nätverk.
Steg 2: Ansluta flera virtuella nätverk med peering
Som standard finns det ingen tillåten kommunikation mellan virtuella nätverk med en enda Azure-prenumeration eller flera prenumerationer. Flera virtuella nätverk, som var och en tillhör olika entiteter, har egna åtkomstkontroller. De kan ansluta till varandra eller till ett centraliserat virtuellt hubbnätverk med VNet-peering, där en Azure Firewall eller en nva från tredje part inspekterar all trafik.
Den här bilden visar en VNet-peeringanslutning mellan två virtuella nätverk och användningen av Azure Firewall i varje ände av anslutningen.
Ett virtuellt hubbnätverk innehåller vanligtvis delade komponenter, till exempel brandväggar, identitetsprovidrar och hybridanslutningskomponenter. UDR-hantering blir enklare eftersom det bara är nödvändigt att lägga till specifika prefix-UDR för mikrosegmentering om intra-VNet-trafik är ett krav. Men eftersom det virtuella nätverket har sina egna gränser finns säkerhetskontroller redan på plats.
Mer information finns i följande vägledning:
- Brandvägg och Application Gateway för virtuella nätverk
- Mönster 2: Flera virtuella nätverk med peering mellan dem
- Tillämpa Nulta pouzdanost principer på ett virtuellt ekernätverk i Azure
- Tillämpa Nulta pouzdanost principer på ett virtuellt hubbnätverk i Azure
Steg 3: Ansluta flera virtuella nätverk i en hubb- och ekerkonfiguration
För flera virtuella nätverk i en hubb- och ekerkonfiguration måste du överväga hur du segmenterar nätverkstrafiken för dessa gränser:
- Internetgräns
- Lokal nätverksgräns
- Gränser för globala Azure-tjänster
Internetgräns
Att skydda Internettrafik är en grundläggande prioritet i nätverkssäkerheten, vilket innebär att hantera inkommande trafik från Internet (ej betrodd) och utgående trafik riktad mot Internet (betrodd) från dina Azure-arbetsbelastningar.
Microsoft rekommenderar att inkommande trafik från Internet har en enda startpunkt. Microsoft rekommenderar starkt att inkommande trafik passerar genom en Azure PaaS-resurs, till exempel Azure Firewall, Azure Front Door eller Azure Application Gateway. Dessa PaaS-resurser erbjuder fler funktioner än en virtuell dator med en offentlig IP-adress.
Azure Firewall
Den här bilden visar hur Azure Firewall i ett eget undernät fungerar som en central startpunkt och segmenteringsgräns för trafik mellan Internet och en arbetsbelastning på tre nivåer i ett virtuellt Azure-nätverk.
Mer information finns i Azure Firewall i Microsoft Azure Well-Architected Framework.
Azure Front Door
Azure Front Door kan fungera som en gräns mellan Internet och tjänster som finns i Azure. Azure Front Door stöder Private Link-anslutning till resurser som intern belastningsutjämning (ILB) för VNet-åtkomst, lagringskonton för statiska webbplatser och bloblagring samt Azure App-tjänster. Azure Front Door görs vanligtvis för distributioner i stor skala.
Azure Front Door är mer än en belastningsutjämningstjänst. Azure Front Door-infrastrukturen har inbyggt DDoS-skydd. När cachelagring är aktiverat kan innehåll hämtas från POP-platser (point of presence) i stället för att ständigt komma åt serverdelsservrar. När cachen upphör att gälla hämtar Azure Front Door den begärda resursen och uppdaterar cacheminnet. I stället för att slutanvändarna kommer åt sina servrar använder Azure Front Door Split TCP för två separata anslutningar. Detta förbättrar inte bara slutanvändarupplevelsen utan förhindrar att skadliga aktörer kommer åt resurser direkt.
Den här bilden visar hur Azure Front Door tillhandahåller segmentering mellan Internetanvändare och Azure-resurser, som kan finnas i lagringskonton.
Mer information finns i Azure Front Door i Azure Well-Architected Framework.
Azure Application Gateway
Inmatningspunkten på Internet kan också vara en kombination av ingångspunkter. Till exempel kan HTTP/HTTPS-trafik ta sig in via en Application Gateway som skyddas av en brandvägg för webbprogram eller Azure Front Door. Icke-HTTP/HTTPS-trafik som RDP/SSH kan gå in via Azure Firewall eller en NVA. Du kan använda dessa två element tillsammans för djupare kontroll och för att kontrollera trafikflödet med hjälp av UDR: er.
Den här bilden visar ingresstrafik på Internet och användning av en Application Gateway med en brandvägg för webbprogram för HTTP/HTTPS-trafik och en Azure Firewall för all annan trafik.
Två vanliga scenarier är att:
- Placera en Azure Firewall eller en NVA parallellt med en Application Gateway.
- Placera en Azure Firewall eller en NVA efter en Application Gateway för ytterligare trafikkontroll innan den når målet.
Mer information finns i Azure Application Gateway i Microsoft Azure Well-Architected Framework.
Här följer ytterligare vanliga mönster för Internettrafikflöden.
Inkommande trafik med flera gränssnitt
En metod innebär att använda flera nätverksgränssnitt på virtuella datorer när du använder NVA:er: ett gränssnitt för ej betrodd trafik (externt mot) och ett annat för betrodd trafik (intern mot). När det gäller trafikflödet måste du dirigera inkommande trafik från en lokal plats till NVA med hjälp av UDR: er. Inkommande trafik från Internet som tas emot av NVA måste dirigeras till målarbetsbelastningen på lämpligt virtuellt nätverk eller undernät genom en kombination av statiska vägar i gästoperativsystemets installation och UDR.
Utgående trafik och UDR
För trafik som avgår från ditt virtuella nätverk för Internet kan du använda en UDR med hjälp av en routningstabell med den valda NVA:n som nästa hopp. För att minska komplexiteten kan du distribuera en Azure Firewall eller NVA i din Azure Virtual WAN-hubb och aktivera Internetsäkerhet med routnings avsikt. Detta säkerställer att både nord-syd-trafik (som kommer in och ut ur ett nätverksomfång) och trafik mellan öst-väst (mellan enheter inom ett nätverksomfång) som är avsedd för virtuella IP-adresser som inte är Azure-adresser (VIP) inspekteras.
Utgående trafik och en standardväg
Vissa metoder omfattar hantering av en standardväg (0.0.0.0/0) med olika metoder. Som en allmän regel rekommenderar vi att utgående trafik från Azure använder slutpunkter och inspektion med Azure Firewall eller NVA på grund av mängden dataflöde som Azure-infrastrukturen kan hantera, vilket i de flesta fall kan vara mycket större och mer motståndskraftigt. I det här fallet kan konfiguration av en standardväg i UDR för arbetsbelastningsundernät tvinga trafik till dessa slutpunkter. Du kanske också föredrar att dirigera utgående trafik från en lokal plats till Azure som en slutpunkt. I det här fallet använder du Azure Route Server i kombination med en NVA för att annonsera en standardväg till lokal användning av Border Gateway Protocol (BGP).
Det finns särskilda fall då du behöver all utgående trafik för att dirigeras tillbaka till den lokala miljön genom att annonsera en standardväg via BGP. Detta tvingar trafik som lämnar det virtuella nätverket att tunneleras via ditt lokala nätverk till en brandvägg för inspektion. Den här sista metoden är den minst önskade på grund av ökad svarstid och brist på säkerhetskontroller som tillhandahålls av Azure. Denna praxis antas i stor utsträckning av myndigheter och banksektorer som har särskilda krav för trafikinspektion i sin lokala miljö.
När det gäller skala:
- För ett enda virtuellt nätverk kan du använda nätverkssäkerhetsgrupper som strikt följer layer 4-semantik, eller så kan du använda en Azure Firewall som följer både Layer 4- och Layer 7-semantik.
- För flera virtuella nätverk kan en enda Azure Firewall fortfarande användas om den kan nås, eller så kan du distribuera en Azure Firewall i varje virtuellt nätverk och direkttrafik med UDR.
För stora företagsdistributionsnätverk kan du fortfarande använda hubb- och ekermodellen och direkttrafik med UDR. Detta kan dock leda till hanteringskostnader och VNet-peeringgränser. För enkel användning kan Azure Virtual WAN uppnå detta om du distribuerar en Azure-brandvägg i den virtuella hubben och aktiverar Routningssyfte för Internetsäkerhet. Detta matar in standardvägar över alla ekrar och grennätverk och skickar Internetbunden trafik till Azure Firewall för inspektion. Privat trafik som är avsedd för RFC 1918-adressblock skickas till Azure Firewall eller NVA som det avsedda nästa hoppet i Azure Virtual WAN-hubben.
Lokal nätverksgräns
I Azure är de viktigaste metoderna för att upprätta anslutningar till lokala nätverk internetprotokolltunnlar (IPsec), ExpressRoute-tunnlar eller programvarudefinierade WAN-tunnlar (SD-WAN). Vanligtvis använder du en VPN-anslutning från Azure plats till plats (S2S) för mindre arbetsbelastningar som kräver mindre bandbredd. För arbetsbelastningar som kräver en dedikerad tjänstsökväg och högre dataflödesbehov rekommenderar Microsoft ExpressRoute.
Den här bilden visar de olika typerna av anslutningsmetoder mellan en Azure-miljö och ett lokalt nätverk.
Azure VPN-anslutningar kan ha stöd för flera tunnlar, men ExpressRoute är ofta konfigurerat för större företagsnätverk som kräver högre bandbredd och privata anslutningar via en anslutningspartner. För ExpressRoute är det möjligt att ansluta samma virtuella nätverk till flera kretsar, men i segmenteringssyfte är detta ofta inte idealiskt eftersom det gör att virtuella nätverk inte är anslutna till varandra för att kommunicera.
En segmenteringsmetod innebär att du väljer att inte använda en fjärrgateway på virtuella ekernätverk eller inaktivera BGP-routningsspridning om du använder routningstabeller. Du kan fortfarande segmentera hubbar som är anslutna till ExpressRoute med NVA:er och brandväggar. För ekrar som är peer-kopplade till hubbar kan du välja att inte använda fjärrgateway i egenskaperna för VNet-peering. På så sätt lär sig ekrar bara om sina direkt anslutna hubbar och inte några lokala vägar.
En annan ny metod för segmentering av trafik som går till och från en lokal plats är användningen av SD-WAN-tekniker. Du kan utöka dina grenplatser till Azure SD-WAN genom att använda nva:er från tredje part i Azure för att skapa segmentering baserat på SD-WAN-tunnlar som kommer från olika grenar i NVA-enheterna. Du kan använda Azure Route Server för att mata in adressprefixen för SD-WAN-tunnlarna i Azure-plattformen för en nav- och ekertopologi.
För en virtuell WAN-topologi kan du ha direkt integrering av SD-WAN NVA från tredje part i den virtuella hubben. Du kan också använda BGP-slutpunkter för att tillåta användning av SD-WAN-lösningar och skapa tunnlar från den virtuella hubbintegrerade NVA:n.
För båda modellerna kan du använda ExpressRoute för att segmentera underliggande privata eller offentliga anslutningar med privat peering eller Microsoft-peering. För säkerhet är det vanligt att annonsera en standardväg via ExpressRoute. Detta tvingar all trafik som lämnar det virtuella nätverket att tunneltrafik till ditt lokala nätverk för inspektion. På samma sätt kan trafik som kommer via både VPN och ExpressRoute skickas till en NVA för ytterligare inspektion. Detta gäller även för trafik som lämnar Azure. Dessa metoder är enkla när miljön är mindre, till exempel en eller två regioner.
För stora, distribuerade nätverk kan du också använda Azure Virtual WAN genom att aktivera privat trafikkontroll med routningssyfte. Detta dirigerar all trafik som är avsedd för en privat IP-adress för NVA för inspektion. Precis som med ovanstående metoder är detta mycket enklare att hantera när din miljö sträcker sig över flera regioner.
Den andra metoden med Azure Virtual WAN är att använda anpassade routningstabeller för isoleringsgränser. Du kan skapa anpassade vägar och endast associera och sprida de virtuella nätverk som du vill använda till dessa routningstabeller. Den här funktionen kan dock inte kombineras med routnings avsikt idag. Om du vill isolera grenar kan du tilldela etiketter för att associera grenar till den etiketten. Du kan också inaktivera spridning till standardetiketten per hubb. För närvarande kan du inte isolera enskilda grenar i Azure separat på en enda hubb. Du kan till exempel inte isolera SD-WAN från ExpressRoute. Men på en hel hubb kan du inaktivera spridning till standardetiketten.
Gränser för globala Azure-tjänster
I Azure är de flesta tjänster som standard tillgängliga via Azure global WAN. Detta gäller även för offentlig åtkomst till Azure PaaS-tjänster. Azure Storage har till exempel en inbyggd brandvägg som kan begränsa åtkomsten till virtuella nätverk och blockera offentlig åtkomst. Det finns dock ofta ett behov av mer detaljerad kontroll. Den vanliga inställningen är att ansluta till Azure VIP privat i stället för att använda de offentliga IP-standardadresserna.
Den vanligaste metoden för att begränsa åtkomsten till PaaS-resurser är via Azure Private Link. När du skapar en privat slutpunkt matas den in i ditt virtuella nätverk. Azure använder den här privata IP-adressen för att köra tunnel till PaaS-resursen i fråga. Azure mappar en DNS A-post till den privata slutpunkten med hjälp av Privata DNS-zoner i Azure och mappar en CNAME-post till PaaS-resursen för privat länk.
Tjänstslutpunkter erbjuder en alternativ metod för att ansluta till PaaS-VIP:er. Du kan välja tjänsttaggar för att tillåta anslutningar till alla PaaS-resurser i taggen och tillhandahålla privat anslutning till PaaS-resursen.
En annan vanlig metod är att använda Microsoft Peering för ExpressRoute. Om du vill ansluta till PaaS-VIP:er lokalt kan du konfigurera Microsoft Peering. Du kan välja BGP-communityn för de VIP:er som ska användas och detta annonseras via Microsoft Peering-sökvägen.
Mer information finns i följande vägledning:
- Brandvägg och Application Gateway för virtuella nätverk
- Mönster 3: Flera virtuella nätverk i en hubb- och ekermodell
Sammanfattning av segmentering
Den här tabellen sammanfattar de olika nivåerna för segmentering och säkerhetsmetoder.
| Mellan | Standardbeteende | Kommunikation aktiverad av... | Segmenteringssäkerhetsmetoder |
|---|---|---|---|
| Prenumerationer | Ingen kommunikation | – VNet-peering – VPN-gatewayer |
Azure Firewall |
| Virtuella nätverk | Ingen kommunikation | – VNet-peering – VPN-gatewayer |
Azure Firewall |
| Arbetsbelastningar i undernät i ett virtuellt nätverk | Öppen kommunikation | Ej tillämpligt | – Nätverkssäkerhetsgrupper – Programsäkerhetsgrupper |
| Internet och ett virtuellt nätverk | Ingen kommunikation | – Lastbalanserare – Offentlig IP-adress – Application Gateway – Azure Front Door |
– Azure Application Gateway med en brandvägg för webbprogram – Azure Firewall – Azure Front Door med en brandvägg för webbprogram |
| Internet och dina lokala nätverk | Ingen kommunikation | – Azure S2S VPN – IPSec-tunnel – ExpressRoute-tunnel - SD-WAN-tunnel |
Azure Firewall |
| Internet och virtuella datorer i ett virtuellt nätverk | Ingen kommunikation om de virtuella datorerna bara har privata IP-adresser | Tilldela den virtuella datorn en offentlig IP-adress | Brandvägg för lokala virtuella datorer |
Rekommenderad träning
- Konfigurera och hantera virtuella nätverk för Azure-administratörer
- Introduktion till Azure Web Application Firewall
- Skydda och isolera åtkomst till Azure-resurser med hjälp av nätverkssäkerhetsgrupper och tjänstslutpunkter
- Introduktion till Azure Front Door
- Introduktion till Azure Application Gateway
- Introduktion till Azure Private Link
- Introduktion till Azure Virtual WAN
- Ansluta ditt lokala nätverk till Azure med VPN Gateway
Nästa steg
Mer information om hur du tillämpar Nulta pouzdanost på Azure-nätverk finns i:
- Kryptera Azure-baserad nätverkskommunikation
- Få insyn i nätverkstrafiken
- Avbryta äldre nätverkssäkerhetsteknik
- Skydda nätverk med Nulta pouzdanost
- Virtuella ekernätverk i Azure
- Virtuella hubbnätverk i Azure
- Virtuella ekernätverk med Azure PaaS-tjänster
- Azure Virtual WAN
Referenser
Se de här länkarna om du vill veta mer om de olika tjänster och tekniker som nämns i den här artikeln.
- Azure Virtual Network Manager
- Azure Firewall
- Nätverkssäkerhetsgrupper
- Säkerhetsgrupper för program
- Azure Front Door
- Azure Application Gateway
- Brandvägg för webbprogram
- Azure Private Link
- Azure Virtual WAN
- Internetsäkerhet med routnings avsikt
- Vpn-anslutning för Azure plats-till-plats (S2S)
- Azure Route Server
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för