مشاركة عبر

أفضل ممارسات Azure لأمان الشبكة

  • مقالة

تتناول هذه المقالة مجموعة من أفضل ممارسات Azure لتحسين أمان الشبكة. تُستمد أفضل الممارسات هذه من تجربتنا مع شبكات Azure وخبرات العملاء مثلك.

لكل ممارسة من أفضل الممارسات، توضح هذه المقالة ما يلي:

  • ما هي أفضل الممارسات
  • لماذا تريد تمكين أفضل الممارسات
  • ماذا قد تكون النتيجة إذا فشلت في تمكين أفضل الممارسات
  • البدائل محتملة لأفضل الممارسات
  • كيف يمكنك تعلم تمكين أفضل الممارسات

تستند أفضل الممارسات هذه إلى الرأي الإجماعي وإمكانيات النظام الأساسي Azure ومجموعات الميزات، كما كانت موجودة وقت كتابة هذه المقالة. تتغير الآراء والتقنيات بمرور الوقت وسيتم تحديث هذه المقالة بانتظام لتعكس تلك التغييرات.

استخدم ضوابط شبكة قوية

يمكنك توصيل أجهزة Azure الظاهرية (VMs) والأجهزة بالأجهزة الأخرى المتصلة بالشبكة عن طريق وضعها على شبكات Azure الظاهرية. بمعنى، يمكنك توصيل بطاقات واجهة الشبكة الظاهرية بشبكة ظاهرية للسماح بالاتصالات المستندة إلى TCP/IP بين الأجهزة التي تدعم الشبكة. يمكن للأجهزة الظاهرية المتصلة بـ Azure Virtual Network الاتصال بالأجهزة الموجودة على نفس الشبكة الظاهرية أو الشبكات الظاهرية المختلفة أو الإنترنت أو الشبكات المحلية الخاصة بك.

أثناء تخطيط شبكتك وأمان شبكتك، نوصيك بمركزية:

  • إدارة وظائف الشبكة الأساسية مثل ExpressRoute، وتوفير الشبكة الظاهرية والشبكة الفرعية، وعنوان IP.
  • إدارة عناصر أمان الشبكة، مثل وظائف الأجهزة الظاهرية للشبكة مثل ExpressRoute والشبكة الظاهرية وتوفير الشبكة الفرعية وعنوان IP.

إذا كنت تستخدم مجموعة مشتركة من أدوات الإدارة لمراقبة شبكتك وأمان شبكتك، فستحصل على رؤية واضحة لكليهما. تقلل إستراتيجية الأمان المباشرة والموحدة من الأخطاء لأنها تزيد من فهم الإنسان وموثوقية التنفيذ التلقائي.

تقسيم الشبكات الفرعية منطقياً

تشبه شبكات Azure الظاهرية شبكات LAN على شبكتك المحلية. تكمن الفكرة وراء Azure Virtual Network في إنشاء شبكة، استناداً إلى مساحة عنوان IP خاص واحد، حيث يمكنك وضع جميع أجهزة Azure الظاهرية الخاصة بك. توجد مساحات عناوين IP الخاصة المتوفرة في نطاقات الفئة أ (10.0.0.0/8) والفئة ب (172.16.0.0/12) والفئة ج (192.168.0.0/16).

تتضمن أفضل الممارسات لتجزئة الشبكات الفرعية بشكل منطقي ما يلي:

أفضل ممارسة: لا تقم بتعيين قواعد السماح بنطاقات واسعة (على سبيل المثال، السماح من 0.0.0.0 إلى 255.255.255.255).
التفاصيل: تأكد من أن إجراءات تحري الخلل وإصلاحه تثبط أو تحظر إعداد هذه الأنواع من القواعد. تؤدي هذه القواعد المسموح بها إلى شعور زائف بالأمان وكثيراً ما يتم العثور عليها واستغلالها من قِبَل الفرق الحمراء.

أفضل ممارسة: قسِّم مساحة العنوان الأكبر إلى شبكات فرعية.
التفاصيل: استخدم كيانات الشبكات الفرعية المستندة إلى CIDRلإنشاء الشبكات الفرعية الخاصة بك.

أفضل الممارسات: إنشاء عناصر تحكم في الوصول إلى الشبكة بين الشبكات الفرعية. يحدث التوجيه بين الشبكات الفرعية تلقائياً، ولا تحتاج إلى تكوين جداول التوجيه يدوياً. بشكل ظاهري، لا توجد عناصر تحكم في الوصول إلى الشبكة بين الشبكات الفرعية التي تقوم بإنشائها على Azure Virtual Network.
التفاصيل: استخدم مجموعة أمان الشبكة للحماية من نسبة استخدام الشبكة غير المرغوب فيها إلى شبكات Azure الفرعية. مجموعات أمان الشبكة (NSGs) هي أجهزة فحص حزمة بسيطة ذات حالة. تستخدم مجموعات أمان الشبكة نهج 5 مجموعات (IP المصدر، ومنفذ المصدر، وعنوان IP الوجهة، ومنفذ الوجهة، وبروتوكول الطبقة 4) لإنشاء قواعد السماح/الرفض لنسبة استخدام الشبكة. أنت تسمح أو ترفض نسبة استخدام الشبكة من وإلى عنوان IP واحد، من وإلى عناوين IP متعددة، أو من وإلى الشبكات الفرعية بأكملها.

عند استخدام مجموعات أمان الشبكة للتحكم في الوصول إلى الشبكة بين الشبكات الفرعية، يمكنك وضع الموارد التي تنتمي إلى نفس منطقة الأمان أو الدور في الشبكات الفرعية الخاصة بها.

أفضل الممارسات: تجنب الشبكات الظاهرية الصغيرة والشبكات الفرعية لضمان البساطة والمرونة. التفاصيل: تضيف معظم المؤسسات موارد أكثر مما كان مخططا له في البداية، وإعادة تخصيص العناوين كثيفة العمالة. يضيف استخدام الشبكات الفرعية الصغيرة قيمة أمان محدودة، ويؤدي تعيين مجموعة أمان شبكة لكل شبكة فرعية إلى إضافة عبء. حدد الشبكات الفرعية على نطاق واسع لضمان تمتعك بالمرونة للنمو.

أفضل الممارسات: تبسيط إدارة قواعد مجموعة أمان الشبكة من خلال تحديد Application Security Groups.
التفاصيل: حدد مجموعة أمان التطبيق لقوائم عناوين IP التي تعتقد أنها قد تتغير في المستقبل أو يتم استخدامها عبر العديد من مجموعات أمان الشبكات. تأكد من تسمية مجموعات أمان التطبيقات بوضوح حتى يتمكن الآخرون من فهم محتواها والغرض منها.

اعتماد نهج الثقة الصفرية

تعمل الشبكات المستندة إلى المحيط على افتراض أنه يمكن الوثوق في جميع الأنظمة داخل الشبكة. ولكن موظفي اليوم يصلون إلى موارد مؤسستهم من أي مكان على مختلف الأجهزة والتطبيقات، ما يجعل ضوابط الأمان المحيطة غير ذات صلة. نهج التحكم في الوصول التي تركز فقط على من يمكنه الوصول إلى مورد ليست كافية. لإتقان التوازن بين الأمان والإنتاجية، يحتاج مسؤولو الأمان أيضاً إلى مراعاة كيفية الوصول إلى المورد.

تحتاج الشبكات إلى التطور من الدفاعات التقليدية لأن الشبكات قد تكون عرضة للاختراقات: يمكن للمهاجم اختراق نقطة نهاية واحدة داخل الحدود الموثوق بها ثم توسيع موطئ قدم بسرعة عبر الشبكة بأكملها. شبكات الثقة المعدومة تستبعد مفهوم الثقة على أساس موقع الشبكة داخل المحيط. بدلاً من ذلك، تستخدم بنى الثقة المعدومة مطالبات ثقة الجهاز والمستخدم للوصول إلى البيانات والموارد التنظيمية. بالنسبة للمبادرات الجديدة، قم بتبني نهج الثقة المعدومة الذي يؤكد الثقة في وقت الوصول.

أفضل الممارسات هي:

أفضل ممارسة: امنح حق الوصول المشروط إلى الموارد بناءً على الجهاز والهوية والضمان وموقع الشبكة والمزيد.
التفاصيل: يتيح لك الوصول المشروط من Microsoft Entra تطبيق عناصر التحكم في الوصول الصحيحة من خلال تنفيذ قرارات التحكم التلقائي في الوصول استنادا إلى الشروط المطلوبة. لمزيد من المعلومات، راجع إدارة الوصول إلى إدارة Azure باستخدام الوصول المشروط.

أفضل الممارسات: قم بتمكين الوصول إلى المنفذ فقط بعد الموافقة على سير العمل.
التفاصيل: يمكنك استخدام وصول VM في الوقت المناسب في Microsoft Defender for Cloud لتأمين نسبة استخدام الشبكة الواردة إلى أجهزة Azure الافتراضية الخاصة بك، ما يقلل التعرض للهجمات مع توفير وصول سهل للاتصال بـ الأجهزة الافتراضية عند الحاجة.

أفضل ممارسة: امنح أذونات مؤقتة لأداء المهام المميزة، والتي تمنع المستخدمين الضارين أو غير المصرح لهم من الوصول بعد انتهاء صلاحية الأذونات. يُمنح الوصول فقط عندما يحتاج إليه المستخدمون.
التفاصيل: استخدم الوصول في الوقت المناسب في Microsoft Entra إدارة الهويات المتميزة أو في حل جهة خارجية لمنح أذونات لتنفيذ المهام المتميزة.

الثقة المعدومة هي التطور التالي في أمان الشبكة. تدفع حالة الهجمات الإلكترونية المؤسسات إلى اتخاذ عقلية "افتراض الانتهاك"، ولكن هذا النهج لا ينبغي أن يكون مقيداً. تحمي شبكات Zero Trust بيانات الشركة ومواردها مع ضمان قدرة المؤسسات على بناء مكان عمل حديث باستخدام التقنيات التي تمكّن الموظفين من أن يكونوا منتجين في أي وقت وفي أي مكان وبأي طريقة.

التحكم في سلوك التوجيه

عند وضع جهاز ظاهري على شبكة ظاهرية Azure، يمكن للجهاز الظاهري الاتصال بأي جهاز ظاهري آخر على نفس الشبكة الظاهرية، حتى إذا كانت الأجهزة الظاهرية الأخرى موجودة على شبكات فرعية مختلفة. هذا ممكن لأن مجموعة من مسارات النظام الممكّنة افتراضياً تسمح بهذا النوع من الاتصال. تسمح هذه المسارات الظاهرية لأجهزة VM الموجودة على نفس الشبكة الظاهرية ببدء اتصالات مع بعضها ومع الإنترنت (للاتصالات الصادرة إلى الإنترنت فقط).

رغم أن مسارات النظام الافتراضية مفيدة للعديد من سيناريوهات التوزيع، فهناك أوقات تريد فيها تخصيص تكوين التوجيه لعمليات التوزيع الخاصة بك. يمكنك تكوين عنوان الوثب التالية للوصول إلى وجهات محددة.

نوصي بتكوين المسارات التي يحددها المستخدم عند توزيع جهاز أمان لشبكة ظاهرية. نتحدث عن هذه التوصية في قسم لاحق بعنوان تأمين موارد خدمة Azure الهامة لشبكاتك الظاهرية فقط.

إشعار

المسارات المعرفة من قبل المستخدم غير مطلوبة، وعادة ما تعمل مسارات النظام الافتراضية.

استخدام أجهزة الشبكة الظاهرية

يمكن أن توفر مجموعات أمان الشبكة والتوجيه المعرّف من قِبَل المستخدم مقياساً معيناً لأمان الشبكة في الشبكة وطبقات النقل الخاصة بنموذج OSI. ولكن في بعض المواقف، قد ترغب أو تحتاج إلى تمكين الأمان عند مستويات عالية من المكدس. في مثل هذه الحالات، نوصي بتوزيع أجهزة أمان الشبكة الظاهرية التي يوفرها شركاء Azure.

قد توفر أجهزة أمان شبكة Azure أماناً أفضل مما توفره عناصر التحكم على مستوى الشبكة. تتضمن إمكانات أمان الشبكة لأجهزة أمان الشبكة الظاهرية ما يلي:

  • Firewalling
  • كشف التسلل/منع التطفل
  • إدارة الثغرات الأمنية
  • التحكم في التطبيق
  • كشف الاختلاف غير المألوف المستند إلى الشبكة
  • تصفية الويب
  • برنامج حماية من الفيروسات
  • حماية Botnet

للعثور على أجهزة أمان الشبكة الظاهرية المتوفرة من Azure، انتقل إلى Azure Marketplace وابحث عن "security" و"network security".

نشر الشبكات المحيطة لمناطق الأمان

الشبكة المحيطة (المعروفة أيضا باسم DMZ) هي جزء شبكة فعلي أو منطقي يوفر طبقة إضافية من الأمان بين أصولك والإنترنت. تسمح أجهزة التحكم في الوصول إلى الشبكة المتخصصة على حافة شبكة محيطية بنسبة استخدام الشبكة المطلوبة فقط إلى شبكتك الظاهرية.

تعد الشبكات المحيطة مفيدة لأنه يمكنك التركيز على إدارة التحكم في الوصول إلى الشبكة والمراقبة والتسجيل وإعداد التقارير على الأجهزة الموجودة على حافة Azure Virtual Network. الشبكة المحيطة هي المكان الذي تقوم فيه عادة بتمكين الحماية الموزعة لحجب الخدمة (DDoS)، وأنظمة الكشف عن التسلل/ منع التسلل (IDS/IPS)، وقواعد وسياسات جدار الحماية، وتصفية الويب، ومكافحة البرامج الضارة للشبكة، والمزيد. توجد أجهزة أمان الشبكة بين الإنترنت وAzure Virtual Network ولها واجهة على كلتا الشبكتين.

رغم أن هذا هو التصميم الأساسي لشبكة محيطية، إلا إنه يوجد العديد من التصميمات المختلفة، مثل back-to-back وtri-homed وmulti-homed.

استناداً إلى مفهوم Zero Trust المذكور سابقاً، نوصي بأن تفكر في استخدام شبكة محيطية لجميع عمليات توزيع الأمان العالي لتحسين مستوى أمان الشبكة والتحكم في الوصول لموارد Azure الخاصة بك. يمكنك استخدام Azure أو حل جهة خارجية لتوفير طبقة إضافية من الأمان بين أصولك والإنترنت:

  • عناصر تحكم Azure الأصلية. يوفر جدار حماية Azure وجدارحماية تطبيق ويب Azure مزايا أمان أساسية. المزايا هي جدار حماية ذو حالة كاملة كخدمة، وقابلية وصول عالية مدمجة، وقابلية توسع سحابية غير مقيدة، وتصفية FQDN، ودعم مجموعات القواعد الأساسية OWASP، والإعداد والتكوين البسيطين.
  • عروض الطرف الثالث. ابحث في Azure Marketplace عن الجيل التالي من جدار الحماية (NGFW) وعروض الجهات الخارجية الأخرى التي توفر أدوات أمان مألوفة ومستويات محسنة من أمان الشبكة. قد يكون التكوين أكثر تعقيداً، ولكن قد يسمح لك عرض من جهة خارجية باستخدام القدرات والمهارات الحالية.

اختيار العديد من المؤسسات مسار تكنولوجيا المعلومات المختلط. باستخدام تكنولوجيا المعلومات المختلطة، توجد بعض أصول معلومات الشركة في Azure، ويظل البعض الآخر محلياً. في كثيرٍ من الحالات، يتم تشغيل بعض مكونات الخدمة في Azure بينما تظل المكونات الأخرى محلية.

في سيناريو تكنولوجيا المعلومات المختلط، عادةً ما يكون هناك نوع من الاتصال عبر أماكن العمل. يسمح الاتصال عبر أماكن العمل للشركة بتوصيل شبكاتها المحلية بشبكات Azure الظاهرية. يتوفر حلان للاتصال عبر أماكن العمل:

  • شبكة VPN من موقع إلى موقع. إنها تقنية موثوقة وموثوقة وراسخة، ولكن يتم الاتصال عبر الإنترنت. عرض النطاق الترددي مقيد بحد أقصى يبلغ حوالي 1.25 غيعابت في الثانية. تعد VPN من موقع إلى موقع خياراً مرغوباً في بعض السيناريوهات.
  • Azure ExpressRoute. نوصي باستخدام ExpressRoute للاتصال عبر أماكن العمل. ExpressRoute يتيح لك توسيع شبكاتك الداخلية إلى سحابة Microsoft عبر اتصال خاص يتم توفيره من خلال موفر اتصال. باستخدام ExpressRoute، يمكنك إنشاء اتصالات بخدمات السحابة من Microsoft مثل Azure وmicrosoft 365 وDynamics 365. ExpressRoute هو ارتباط WAN مخصص بين موقعك المحلي أو موفر استضافة Microsoft Exchange. نظراً لأن هذا اتصال telco، فإن بياناتك لا تنتقل عبر الإنترنت، لذلك فهي غير معرضة للمخاطر المحتملة لاتصالات الإنترنت.

يمكن أن يؤثر موقع اتصال ExpressRoute على سعة جدار الحماية وقابلية التوسع والموثوقية ورؤية حركة مرور الشبكة. ستحتاج إلى تحديد مكان إنهاء ExpressRoute في الشبكات الموجودة (المحلية). يمكنك:

  • إنهاء خارج جدار الحماية (نموذج الشبكة المحيطة). استخدم هذه التوصية إذا كنت تحتاج إلى رؤية لنسبة استخدام الشبكة، أو إذا كنت بحاجة إلى متابعة ممارسة موجودة لعزل مراكز البيانات، أو إذا كنت تضع موارد إكسترانت فقط على Azure.
  • الإنهاء داخل جدار الحماية (نموذج ملحق الشبكة). هذه هي التوصية الافتراضية. في جميع الحالات الأخرى، نوصي بمعاملة Azure كمركز بيانات آخر.

تحسين الاستعداد والأداء

إذا كانت الخدمة معطلة، فلا يمكن الوصول إلى المعلومات. إذا كان الأداء ضعيفاً لدرجة أن البيانات غير قابلة للاستخدام، فيمكنك اعتبار البيانات غير قابلة للوصول. من منظور الأمان، عليك أن تفعل كل ما في وسعك للتأكد من أن خدماتك تتمتع بوقت تشغيل وأداء مثاليين.

من الطرق الشائعة والفعالة لتحسين التوافر والأداء موازنة الأحمال. موازنة التحميل هي طريقة لتوزيع حركة مرور الشبكة عبر الخوادم التي تعد جزءاً من خدمة. على سبيل المثال، إذا كان لديك خوادم ويب أمامية كجزء من خدمتك، فيمكنك استخدام موازنة التحميل لتوزيع نسبة استخدام الشبكة عبر خوادم الويب الأمامية المتعددة.

يؤدي توزيع نسبة استخدام الشبكة هذا إلى زيادة التوفر لأنه في حالة عدم توفر أحد خوادم الويب، يتوقف موازن التحميل عن إرسال نسبة استخدام الشبكة إلى ذلك الخادم ويعيد توجيهها إلى الخوادم التي لا تزال متصلة بالإنترنت. تساعد موازنة التحميل أيضاً في الأداء، لأن المعالج والشبكة والذاكرة الخاصة بخدمة الطلبات موزعة على جميع الخوادم المتوازنة التحميل.

نوصي باستخدام موازنة الأحمال كلما أمكن ذلك، وبما يتناسب مع خدماتك. فيما يلي السيناريوهات على مستوى Azure Virtual Network والمستوى العالمي، إلى جانب خيارات موازنة التحميل لكل منها.

السيناريو: لديك تطبيق:

  • يتطلب طلبات من نفس جلسة المستخدم/العميل للوصول إلى نفس الجهاز الظاهري للجهة الخلفية. ومن الأمثلة على ذلك تطبيقات سلة التسوق وخوادم بريد الويب.
  • يقبل اتصالا آمنا فقط، لذا فإن الاتصال غير المشفرة بالخادم ليس خيارا مقبولا.
  • يتطلب عدة طلبات HTTP على نفس اتصال TCP طويل التشغيل ليتم توجيهه أو تحميله بشكل متوازن إلى خوادم خلفية مختلفة.

خيار موازنة التحميل: استخدم Azure Application بوابة، وهو موازن تحميل حركة مرور بيانات HTTP على الويب. تدعم بوابة التطبيق تشفير TLS من طرف إلى طرف وإنهاء TLS في البوابة. يمكن بعد ذلك تحرير خوادم الويب من العبء الزائد للتشفير وفك التشفير وتدفق نسبة استخدام الشبكة غير المشفرة إلى الخوادم الخلفية.

السيناريو: تحتاج إلى تحميل موازنة الاتصالات الواردة من الإنترنت بين الخوادم الموجودة في Azure Virtual Network. السيناريوهات هي:

  • لديك تطبيقات عديمة الجنسية تقبل الطلبات الواردة من الإنترنت.
  • لا تتطلب جلسات ثابتة أو تفريغ TLS. الجلسات اللاصقة هي طريقة مستخدمة مع Application Load Balancing، لتحقيق تقارب الخادم.

خيار موازنة التحميل: استخدم مدخل Microsoft Azure لإنشاء موازن تحميل خارجي ينشر الطلبات الواردة عبر أجهزة ظاهرية متعددة لتوفير مستوى أعلى من التوفر.

السيناريو: تحتاج إلى تحميل اتصالات موازنة التحميل من أجهزة ظاهرية غير موجودة على الإنترنت. في معظم الحالات، يتم بدء الاتصالات المقبولة لموازنة التحميل بواسطة الأجهزة الموجودة على Azure Virtual Network، مثل مثيلات SQL Server أو خوادم الويب الداخلية.
خيار موازنة التحميل: استخدم مدخل Microsoft Azure لإنشاء موازن تحميل داخلي ينشر الطلبات الواردة عبر أجهزة ظاهرية متعددة لتوفير مستوى أعلى من التوفر.

السيناريو: أنت بحاجة إلى موازنة تحميل عالمية لأنك:

  • احصل على حل سحابي يتم توزيعه على نطاق واسع عبر مناطق متعددة ويتطلب أعلى مستوى ممكن من وقت التشغيل (التوافر).
  • تحتاج إلى أعلى مستوى ممكن من وقت التشغيل للتأكد من أن خدمتك متاحة حتى إذا أصبح مركز البيانات بأكمله غير متاح.

خيار موازنة التحميل: استخدم Azure Traffic Manager. يتيح Traffic Manager إمكانية تحميل اتصالات موازنة التحميل بخدماتك بناءً على موقع المستخدم.

على سبيل المثال، إذا قدم المستخدم طلباً لخدمتك من الاتحاد الأوروبي، فسيتم توجيه الاتصال إلى خدماتك الموجودة في مركز بيانات في الاتحاد الأوروبي. يساعد هذا الجزء من موازنة الحمل العام لـ Traffic Manager على تحسين الأداء لأن الاتصال بأقرب مركز بيانات أسرع من الاتصال بمراكز البيانات البعيدة.

قم بتعطيل وصول RDP/SSH إلى الأجهزة الظاهرية

من الممكن الوصول إلى أجهزة Azure الظاهرية باستخدام بروتوكول سطح المكتب البعيد (RDP) وبروتوكول Secure Shell (SSH). هذه البروتوكولات تمكن إدارة الأجهزة الظاهرية من المواقع البعيدة وهي قياسية في حوسبة مركز البيانات.

تتمثل مشكلة الأمان المحتملة في استخدام هذه البروتوكولات عبر الإنترنت في أن المهاجمين يمكنهم استخدام تقنيات القوة الغاشمة للوصول إلى أجهزة Azure الظاهرية. بعد تمكن المهاجمين من الوصول، يمكنهم استخدام الجهاز الظاهري كنقطة إطلاق لتعريض الأجهزة الأخرى للخطر على الشبكة الظاهرية أو حتى مهاجمة الأجهزة الشبكية خارج Azure.

نوصي بتعطيل وصول RDP وSSH المباشر إلى أجهزة Azure الظاهرية من الإنترنت. بعد تعطيل الوصول المباشر لـ RDP وSSH من الإنترنت، لديك خيارات أخرى يمكنك استخدامها للوصول إلى أجهزة VM هذه للإدارة عن بُعد.

السيناريو: تمكين مستخدم واحد من الاتصال بـ Azure Virtual Network عبر الإنترنت.
الخيار: Point-to-site VPN هو مصطلح آخر لاتصال خادم/عميل VPN للوصول عن بعد. بعد إنشاء الاتصال من نقطة إلى موقع، يمكن للمستخدم استخدام RDP أو SSH للاتصال بأي أجهزة ظاهرية موجودة على Azure Virtual Network التي اتصل بها المستخدم عبر VPN من نقطة إلى موقع. يفترض هذا أن المستخدم مصرح له بالوصول إلى تلك الأجهزة الافتراضية.

تعد VPN من نقطة إلى موقع أكثر أماناً من اتصالات RDP أو SSH المباشرة لأنه يتعين على المستخدم المصادقة مرتين قبل الاتصال بجهاز ظاهري. أولاً، يحتاج المستخدم إلى المصادقة (والترخيص له) لإنشاء اتصال VPN من نقطة إلى موقع. ثانياً، يحتاج المستخدم إلى المصادقة (والترخيص له) لإنشاء جلسة RDP أو SSH.

السيناريو: تمكين المستخدمين على شبكتك المحلية من الاتصال بأجهزة ظاهرية على Azure Virtual Network.
الخيار: تعمل شبكة ظاهرية خاصة (VPN) من موقع إلى موقع على توصيل شبكة كاملة بشبكة أخرى عبر الإنترنت. يمكنك استخدام VPN من موقع إلى موقع لتوصيل شبكتك المحلية بـ Azure Virtual Network. يتصل المستخدمون على شبكتك المحلية باستخدام بروتوكول RDP أو SSH عبر اتصال VPN من موقع إلى موقع. لا يتعين عليك السماح بالوصول المباشر لـ RDP أو SSH عبر الإنترنت.

السيناريو: استخدم ارتباط WAN مخصصاً لتوفير وظائف مشابهة لشبكة VPN من موقع إلى موقع.
الخيار: استخدم ExpressRoute. يوفر وظائف مشابهة لشبكة VPN من موقع إلى موقع. تكمن الاختلافات الرئيسية فيما يلي:

  • لا يجتاز ارتباط WAN المخصص الإنترنت.
  • عادةً ما تكون روابط WAN المخصصة أكثر استقراراً وتعمل بشكل أفضل.

قم بتأمين موارد خدمة Azure المهمة لشبكاتك الظاهرية فقط

استخدم ارتباط Azure الخاص للوصول إلى خدمات Azure PaaS (على سبيل المثال، Azure Storage ولغة الاستعلامات المركبة Database) عبر نقطة نهاية خاصة في شبكتك الظاهرية. تسمح لك نقاط النهاية الخاصة بتأمين موارد خدمة Azure الهامة إلى الشبكات الظاهرية فحسب. تظل نسبة استخدام الشبكة من الشبكة الظاهرية إلى خدمة Azure دومًا على البنية التحتية لشبكة Microsoft Azure. لم يعد تعريض شبكتك الظاهرية للإنترنت العام ضرورياً لاستهلاك خدمات Azure PaaS.

يوفر Azure Private Link المزايا التالية:

  • تحسين الأمان لموارد خدمة Azure: باستخدام Azure Private Link، يمكن تأمين موارد خدمة Azure لشبكتك الظاهرية باستخدام نقطة نهاية خاصة. يوفر تأمين موارد الخدمة إلى نقطة نهاية خاصة في شبكة ظاهرية أماناً محسناً عن طريق إزالة وصول الإنترنت العام بالكامل إلى الموارد، والسماح بنسبة استخدام الشبكة فقط من نقطة النهاية الخاصة في شبكتك الظاهرية.
  • الوصول الخاص إلى موارد خدمة Azure على النظام الأساسي Azure: قم بتوصيل شبكتك الظاهرية بالخدمات في Azure باستخدام نقاط النهاية الخاصة. ليست هناك حاجة لعنوان IP عام. سيتعامل النظام الأساسي لـ Private Link مع الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية.
  • الوصول من الشبكات المحلية والنظرة: الوصول إلى الخدمات التي تعمل في Azure من أماكن العمل عبر التناظر الخاص لـ ExpressRoute وأنفاق VPN والشبكات الظاهرية باستخدام نقاط النهاية الخاصة. ليس هناك حاجة لتكوين برنامج ExpressRoute Microsoft أو اجتياز الإنترنت للوصول إلى الخدمة. يوفر الارتباط الخاص طريقة آمنة لترحيل أحمال العمل إلى Azure.
  • الحماية من تسرب البيانات:يتم تعيين نقطة نهاية خاصة إلى مثيل لمورد PaaS بدلًا من الخدمة بأكملها. يمكن للعملاء الاتصال فقط بالمورد المحدد. يجري حظر الوصول إلى أي مورد آخر في الخدمة. توفر هذه الآلية الحماية ضد مخاطر تسرب البيانات.
  • النطاق العالمي:اتصل بشكل خاص بالخدمات التي تعمل في مناطق أخرى. يمكن أن تكون الشبكة الظاهرية للمستهلك في المنطقة A ويمكنها الاتصال بالخدمات في المنطقة B.
  • سهولة الإعداد والإدارة: لم تعد بحاجة إلى عناوين IP العامة المحجوزة في شبكاتك الظاهرية لتأمين موارد Azure من خلال جدار حماية IP. لا توجد أجهزة NAT أو بوابة مطلوبة لإعداد نقاط النهاية الخاصة. يتم تكوين نقاط النهاية الخاصة من خلال سير عمل بسيط. على جانب الخدمة، يمكنك أيضاً إدارة طلبات الاتصال على مورد خدمة Azure بسهولة. يعمل Azure Private Link للمستهلكين والخدمات التي تنتمي إلى مستأجري Microsoft Entra مختلفين أيضا.

لمعرفة المزيد حول نقاط النهاية الخاصة وخدمات Azure والمناطق التي تتوفر لها نقاط النهاية الخاصة، راجع Azure Private Link.

الخطوات التالية

راجع أفضل ممارسات وأنماط أمان Azure لمزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة وتوزيعها وإدارتها باستخدام Azure.