網路安全透過控制網路流量來保護資源免受未經授權的存取或攻擊。 Azure 提供健全的網路基礎結構來支援您的應用程式和服務連線需求,並在每一層提供安全性控制。
本文涵蓋 Azure 中的主要網路安全性功能:
- 網路存取控制
- Azure 防火牆
- 安全遠端存取和跨單位連線
- 可用性和負載平衡
- 名稱解析
- DDoS 保護
- Azure Front Door
- 監視與威脅偵測
附註
針對 Web 工作負載,建議您使用 Azure DDoS 防護 和 Web 應用程式防火牆 來防範 DDoS 攻擊。 具有 Web 應用程式防火牆的 Azure Front Door 可提供平台層級保護,以防止網路層級 DDoS 攻擊。
Azure 虛擬網路
Azure 虛擬網路是 Azure 中私人網路的基本建置組塊。 每個虛擬網路都會與其他虛擬網路隔離,以協助確保其他 Azure 客戶無法存取部署中的網路流量。 虛擬網路可讓 Azure 資源安全地彼此通訊、因特網和內部部署網路。
深入了解:
網路存取控制
網路存取控制會限制虛擬網路內特定裝置或子網路之間的連線能力。 目標是將虛擬機器和服務的存取權限制為核准的使用者和裝置。
網路安全性群組
網路安全群組 (NSG) 根據 IP 位址和 TCP/UDP 通訊協定提供基本的可設定狀態封包篩選。 NSG 使用 5 元組 (來源 IP、來源埠、目的地 IP、目的地埠、通訊協定) 來控制存取。
NSG 包含簡化管理的功能:
- 增強安全規則:建立複雜的規則,而不是多個簡單的規則,以達到相同的結果
- 服務標籤:Microsoft 管理的標籤,代表動態更新的 IP 位址群組
- 應用程式安全群組:將資源組織到應用程式群組中,並根據這些群組控制存取
深入了解:
服務端點
虛擬網路服務端點會透過直接連線將虛擬網路私人位址空間延伸至 Azure 服務。 服務端點會將流量保留在 Azure 骨幹網路上,並將與支援服務的通訊限制為僅限於您的虛擬網路。
深入了解:
Azure Private Link
Azure Private Link 提供從虛擬網路到 Azure PaaS 服務、客戶擁有的服務或 Microsoft 合作夥伴服務的私人連線。 Private Link 流量會保留在 Microsoft Azure 骨幹網路上,避免公開公用因特網。
深入了解:
Azure 防火牆
Azure 防火牆是雲端原生智慧型網路防火牆安全性服務,可為雲端工作負載提供威脅防護。 這是一個完整的具狀態防火牆即服務系統,具有內建的高可用性和無限制的雲端擴展能力。
Azure 防火牆提供三個 SKU:
- Azure 防火牆基本版:簡化中小型企業的安全性
- Azure 防火牆標準:來自 Microsoft Cyber Security 的 L3-L7 篩選和威脅情報
- Azure 防火牆進階版:進階功能,包括以簽章為基礎的 IDPS,可快速偵測攻擊
深入了解:
安全遠端存取和跨單位連線
Azure 支援數個安全的遠端存取案例,以管理 Azure 資源和部署混合式 IT 解決方案。
點對站 VPN
點對站 VPN 連線可讓個別使用者建立私人、安全的虛擬網路連線。 使用者可以在驗證後存取 Azure 中的虛擬機器和服務。 點對站 VPN 支援:
- 安全通訊端通道通訊協定 (SSTP):專有的 SSL 型 VPN 通訊協定 (Windows 裝置)
- IKEv2 VPN:基於標準的 IPsec VPN 解決方案(Mac 裝置)
- OpenVPN 協議:基於 SSL/TLS 的 VPN 協議(Android、iOS、Windows、Linux 和 Mac 設備)
深入了解:
站對站 VPN
站對站 VPN 閘道連線會在內部部署網路與 Azure 虛擬網路之間建立安全的跨內部部署連線。 站對站 VPN 使用高度安全的 IPsec 通道模式 VPN 協定。
VPN 閘道對於混合式 IT 案例至關重要,其中服務的一部分同時裝載在 Azure 和內部部署中。
深入了解:
ExpressRoute
ExpressRoute 提供內部部署網路與 Microsoft 雲端服務之間的專用 WAN 連結。 ExpressRoute 連線不會周遊公用因特網,相較於因特網連線,提供增強的安全性、可靠性、速度和更低的延遲。
ExpressRoute 支援:
- ExpressRoute Direct:直接連線到 Microsoft 全球網路
- ExpressRoute Global Reach:透過 ExpressRoute 線路在內部部署站點之間連接
深入了解:
VNet 對等互連
虛擬網路對等互連會連線兩個 Azure 虛擬網路,讓任一網路中的資源彼此通訊。 VNet 對等互連會使用 Microsoft 骨幹基礎結構,略過公用因特網。 對等互連支援相同 Azure 區域內或跨不同區域的連線 (全域 VNet 對等互連)。
深入了解:
可用性和負載平衡
負載平衡將連線分散到多個裝置以提高可用性和效能。 Azure 提供數個負載平衡選項。
Azure Load Balancer
Azure 負載平衡器為所有 UDP 和 TCP 通訊協定提供高效能、低延遲的第 4 層負載平衡。 Load Balancer 會根據設定的規則和健康情況探查,將傳入流量分配至後端執行個體。
負載平衡器功能包括:
- 支援內部和外部負載平衡情境
- 區域備援和區域部署
- TCP 和 UDP 應用程式支援
- 健康探測以判斷後端執行個體的可用狀態
深入了解:
Azure 應用程式閘道
Azure 應用程式閘道是 Web 流量負載平衡器 (第 7 層),可管理 Web 應用程式的流量。 應用程式閘道會根據 HTTP 要求屬性 (例如 URI 路徑或主機標頭) 做出路由決策。
應用程式閘道功能包括:
- 用於集中保護的 Web 應用程式防火牆 (WAF)
- TLS 終止可減少 Web 伺服器上的加密額外負荷
- Cookie 型工作階段同質
- 以 URL 為基礎的內容路由
- 自動調整和區域備援
深入了解:
Azure 流量管理員
Azure 流量管理員是以 DNS 為基礎的流量負載平衡器,可將流量以最佳方式分散至全球 Azure 區域的服務。 流量管理員會根據流量路由方法和端點健康情況,將用戶端要求路由傳送至最適當的服務端點,以提供高可用性和回應能力。
流量管理員支援多種路由方法,包括優先順序、加權、效能、地理、多值和子網路路由。
深入了解:
名稱解析
安全的名稱解析對於所有雲端託管服務都至關重要。 受損的名稱解析功能可能會將請求重新導向到惡意網站。
Azure DNS
Azure DNS 使用 Microsoft Azure 基礎結構提供高可用性且高效能的名稱解析。 Azure DNS 支援:
- 裝載於 Azure 全域基礎結構上的公用 DNS 網域
- 用於虛擬網路內和跨虛擬網路名稱解析的私人 DNS 區域
- 地平線分割 DNS 案例,其中相同網域名稱對私人和公用查詢的解析方式不同
深入了解:
DDoS 保護
分散式阻斷服務 (DDoS) 攻擊是客戶將應用程式遷移到雲端時最大的可用性和安全問題之一。 Azure DDoS 防護可保護 Azure 資源免於 DDoS 攻擊。
Azure DDoS 保護 SKU:
- DDoS 基礎結構保護:預設會在所有 Azure 屬性上啟用基本保護,無需額外費用
- DDoS 網路保護:透過調適性調整、風險降低原則和監視,對虛擬網路中的資源進行進階保護
DDoS 網路防護功能包括:
- 原生平台整合,可透過 Azure 入口網站進行設定
- 永遠可用流量監視和即時風險降低
- 攻擊分析,包括風險降低報告和流程日誌
- 根據應用程式流量模式進行調適性調整
- 成本保證,包括資料傳輸和應用程式橫向擴展服務積分
深入了解:
Azure Front Door
Azure Front Door 是全球可用且可調整的進入點,使用 Microsoft 全球周邊網路來建立快速、安全且可大規模調整的 Web 應用程式。 Front Door 提供第 7 層負載平衡、TLS 終止、URL 型路由和整合安全性。
Front Door 功能包括:
- 具有即時容錯移轉的全域 HTTP 負載平衡
- 邊緣的 TLS 終止
- 基於 URL 路徑的路由
- Cookie 型工作階段同質
- Web 應用程式防火牆保護
- 平台級 DDoS 防護
- Private Link 整合以保護後端來源
深入了解:
監視與威脅偵測
Azure 提供工具來監視網路安全性並偵測威脅。
Azure 網路監看員
Azure 網路監看員提供工具來監視、診斷和深入瞭解 Azure 中的網路。
網路監看員功能包括:
- 連線監視器:監視 Azure 資源與端點之間的連線
- NSG 流程記錄:記錄流經網路安全性群組的 IP 流量相關資訊
- 封包擷取:擷取進出虛擬機器的網路流量
- VPN 疑難排解:診斷 VPN 閘道和連線的問題
- 網絡診斷: 驗證網絡配置並識別安全問題
深入了解:
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 可協助您預防、偵測及回應威脅,並提高 Azure 資源安全性的可見度和控制。 適用於雲端的 Defender 提供網路安全性建議、監視網路安全性設定,並警示您網路型威脅。
深入了解: