أفضل ممارسات Azure لأمان الشبكة

  • مقالة
  • قراءة خلال 15 دقائق

تتناول هذه المقالة مجموعة من أفضل ممارسات Azure لتحسين أمان الشبكة. تستمد أفضل الممارسات هذه من تجربتنا مع شبكات Azure وتجارب العملاء مثلك.

لكل ممارسة من أفضل الممارسات، توضح هذه المقالة:

  • ما هي أفضل الممارسات
  • لماذا تريد تمكين أفضل الممارسات هذه
  • ماذا قد تكون النتيجة إذا فشلت في تمكين أفضل الممارسات
  • البدائل الممكنة لأفضل الممارسات
  • كيف يمكنك تعلم كيفية تمكين أفضل الممارسات

تستند أفضل الممارسات هذه إلى رأي توافقي وإمكانات النظام الأساسي ل Azure ومجموعات الميزات، كما كانت موجودة في وقت كتابة هذه المقالة. تتغير الآراء والتقنيات بمرور الوقت وسيتم تحديث هذه المقالة على أساس منتظم لتعكس هذه التغييرات.

استخدام عناصر تحكم قوية في الشبكة

يمكنك توصيل أجهزة Azure الظاهرية (VMs) والأجهزة بالأجهزة الأخرى المتصلة بالشبكة عن طريق وضعها على شبكات Azure الظاهرية. أي أنه يمكنك توصيل بطاقات واجهة الشبكة الظاهرية بشبكة ظاهرية للسماح بالاتصالات المستندة إلى TCP/IP بين الأجهزة التي تدعم الشبكة. يمكن للأجهزة الظاهرية المتصلة بشبكة Azure الظاهرية الاتصال بالأجهزة الموجودة على نفس الشبكة الظاهرية أو الشبكات الظاهرية المختلفة أو الإنترنت أو الشبكات المحلية الخاصة بك.

أثناء تخطيطك لشبكتك وأمان شبكتك، نوصيك بإضفاء الطابع المركزي على:

  • إدارة وظائف الشبكة الأساسية مثل ExpressRoute والشبكة الافتراضية وتوفير الشبكة الفرعية وعنونة IP.
  • حوكمة عناصر أمان الشبكة، مثل وظائف الأجهزة الافتراضية للشبكة مثل ExpressRoute، وتوفير الشبكة الافتراضية والشبكة الفرعية، وعنونة IP.

إذا كنت تستخدم مجموعة شائعة من أدوات الإدارة لمراقبة شبكتك وأمان شبكتك، فستحصل على رؤية واضحة لكليهما. تقلل استراتيجية الأمان المباشرة والموحدة من الأخطاء لأنها تزيد من فهم الإنسان وموثوقية الأتمتة.

الشبكات الفرعية الجزئية منطقيا

تشبه شبكات Azure الظاهرية شبكات LAN الموجودة على شبكتك المحلية. الفكرة وراء شبكة Azure الظاهرية هي إنشاء شبكة، استنادا إلى مساحة عنوان IP خاصة واحدة، يمكنك وضع جميع أجهزة Azure الظاهرية عليها. توجد مساحات عناوين IP الخاصة المتوفرة في نطاقات الفئة A (10.0.0.0/8) والفئة B (172.16.0.0/12) والفئة C (192.168.0.0/16).

تتضمن أفضل الممارسات لتقسيم الشبكات الفرعية منطقيا ما يلي:

أفضل الممارسات: لا تعين قواعد السماح ذات النطاقات الواسعة (على سبيل المثال، السماح من 0.0.0.0 إلى 255.255.255.255).
التفاصيل: تأكد من أن إجراءات استكشاف الأخطاء وإصلاحها تثبط أو تحظر إعداد هذه الأنواع من القواعد. تؤدي قواعد السماح هذه إلى شعور زائف بالأمان وغالبا ما يتم العثور عليها واستغلالها من قبل الفرق الحمراء.

أفضل الممارسات: قسم مساحة العنوان الأكبر إلى شبكات فرعية.
التفاصيل: استخدم مبادئ الشبكة الفرعية المستندة إلى CIDR لإنشاء الشبكات الفرعية الخاصة بك.

أفضل الممارسات: إنشاء عناصر تحكم في الوصول إلى الشبكة بين الشبكات الفرعية. يحدث التوجيه بين الشبكات الفرعية تلقائيا، ولا تحتاج إلى تكوين جداول التوجيه يدويا. بشكل افتراضي، لا توجد عناصر تحكم في الوصول إلى الشبكة بين الشبكات الفرعية التي تقوم بإنشائها على شبكة Azure الظاهرية.
التفاصيل: استخدم مجموعة أمان شبكة للحماية من حركة المرور غير المرغوب فيها إلى شبكات Azure الفرعية. مجموعات أمان الشبكة هي أجهزة بسيطة ومتطورة لفحص الحزم تستخدم نهج 5-tuple (IP المصدر ومنفذ المصدر وعنوان IP الوجهة ومنفذ الوجهة وبروتوكول الطبقة 4) لإنشاء قواعد السماح / الرفض لحركة مرور الشبكة. يمكنك السماح بحركة المرور أو رفضها من وإلى عنوان IP واحد، أو من وإلى عناوين IP متعددة، أو من وإلى الشبكات الفرعية بأكملها.

عند استخدام مجموعات أمان الشبكة للتحكم في الوصول إلى الشبكة بين الشبكات الفرعية، يمكنك وضع الموارد التي تنتمي إلى نفس منطقة الأمان أو الدور في الشبكات الفرعية الخاصة بها.

أفضل الممارسات: تجنب الشبكات الافتراضية الصغيرة والشبكات الفرعية لضمان البساطة والمرونة.
التفاصيل: تضيف معظم المؤسسات موارد أكثر مما كان مخططا له في البداية ، وإعادة تخصيص العناوين كثيفة العمالة. يضيف استخدام الشبكات الفرعية الصغيرة قيمة أمان محدودة، ويؤدي تعيين مجموعة أمان شبكة إلى كل شبكة فرعية إلى إضافة النفقات العامة. حدد الشبكات الفرعية على نطاق واسع لضمان تمتعك بالمرونة اللازمة للنمو.

أفضل الممارسات: تبسيط إدارة قاعدة مجموعة أمان الشبكة من خلال تعريف مجموعات أمان التطبيقات.
التفاصيل: حدد مجموعة أمان التطبيقات لقوائم عناوين IP التي تعتقد أنها قد تتغير في المستقبل أو يمكن استخدامها عبر العديد من مجموعات أمان الشبكة. تأكد من تسمية مجموعات أمان التطبيقات بوضوح حتى يتمكن الآخرون من فهم محتواها والغرض منها.

اعتماد نهج انعدام الثقة

تعمل الشبكات القائمة على المحيط على افتراض أنه يمكن الوثوق بجميع الأنظمة داخل الشبكة. لكن موظفي اليوم يصلون إلى موارد مؤسستهم من أي مكان على مجموعة متنوعة من الأجهزة والتطبيقات ، مما يجعل عناصر التحكم في أمان المحيط غير ذات صلة. سياسات التحكم في الوصول التي تركز فقط على من يمكنه الوصول إلى مورد ليست كافية. لإتقان التوازن بين الأمان والإنتاجية، يحتاج مسؤولو الأمان أيضا إلى مراعاة كيفية الوصول إلى مورد.

يجب أن تتطور الشبكات من الدفاعات التقليدية لأن الشبكات قد تكون عرضة للاختراقات: يمكن للمهاجم اختراق نقطة نهاية واحدة داخل الحدود الموثوق بها ثم توسيع موطئ قدم بسرعة عبر الشبكة بأكملها. تقضي شبكات الثقة الصفرية على مفهوم الثقة القائم على موقع الشبكة داخل محيط. بدلا من ذلك، تستخدم معماريات الثقة الصفرية مطالبات ثقة الجهاز والمستخدم لبوابة الوصول إلى البيانات والموارد التنظيمية. بالنسبة للمبادرات الجديدة، اعتمد نهج الثقة الصفرية التي تثبت صحة الثقة في وقت الوصول.

أفضل الممارسات هي:

أفضل الممارسات: امنح الوصول المشروط إلى الموارد استنادا إلى الجهاز والهوية والضمان وموقع الشبكة والمزيد.
التفاصيل: يتيح لك Azure AD Conditional Access تطبيق عناصر التحكم في الوصول الصحيحة من خلال تنفيذ قرارات التحكم التلقائي في الوصول استنادا إلى الشروط المطلوبة. لمزيد من المعلومات، راجع إدارة الوصول إلى إدارة Azure باستخدام الوصول المشروط.

أفضل الممارسات: تمكين الوصول إلى المنفذ فقط بعد الموافقة على سير العمل.
التفاصيل: يمكنك استخدام الوصول إلى الأجهزة الظاهرية في الوقت المناسب في Microsoft Defender for Cloud لتأمين حركة المرور الواردة إلى أجهزة Azure الظاهرية، مما يقلل من التعرض للهجمات مع توفير وصول سهل للاتصال بالأجهزة الظاهرية عند الحاجة.

أفضل الممارسات: امنح أذونات مؤقتة لتنفيذ المهام المميزة، مما يمنع المستخدمين الضارين أو غير المصرح لهم من الوصول بعد انتهاء صلاحية الأذونات. يُمنح الوصول فقط عندما يحتاج إليه المستخدمون.
التفاصيل: استخدم الوصول في الوقت المناسب فقط في Azure AD إدارة الهويات المتميزة أو في حل تابع لجهة خارجية لمنح أذونات لتنفيذ مهام مميزة.

الثقة الصفرية هي التطور التالي في أمن الشبكات. تدفع حالة الهجمات الإلكترونية المؤسسات إلى اتخاذ عقلية "افتراض الاختراق" ، لكن هذا النهج لا ينبغي أن يكون محدودا. تحمي شبكات الثقة الصفرية بيانات الشركة ومواردها مع ضمان قدرة المؤسسات على بناء مكان عمل حديث باستخدام التقنيات التي تمكن الموظفين من أن يكونوا منتجين في أي وقت وفي أي مكان وبأي طريقة.

التحكم في سلوك التوجيه

عند وضع جهاز ظاهري على شبكة Azure الظاهرية، يمكن للجهاز الظاهري الاتصال بأي جهاز ظاهري آخر على نفس الشبكة الظاهرية، حتى إذا كانت الأجهزة الظاهرية الأخرى موجودة على شبكات فرعية مختلفة. هذا ممكن لأن مجموعة من مسارات النظام الممكنة افتراضيا تسمح بهذا النوع من الاتصال. تسمح هذه المسارات الافتراضية للأجهزة الظاهرية على نفس الشبكة الظاهرية ببدء الاتصالات مع بعضها البعض، ومع الإنترنت (للاتصالات الصادرة إلى الإنترنت فقط).

على الرغم من أن مسارات النظام الافتراضية مفيدة للعديد من سيناريوهات النشر، إلا أن هناك أوقاتا تريد فيها تخصيص تكوين التوجيه لعمليات النشر الخاصة بك. يمكنك تكوين عنوان القفزة التالية للوصول إلى وجهات محددة.

نوصي بتكوين المسارات المعرفة من قبل المستخدم عند نشر جهاز أمان لشبكة ظاهرية. نتحدث عن ذلك في قسم لاحق بعنوان تأمين موارد خدمة Azure الهامة الخاصة بك إلى شبكاتك الافتراضية فقط.

ملاحظة

المسارات المعرفة من قبل المستخدم غير مطلوبة، وعادة ما تعمل مسارات النظام الافتراضية.

استخدام أجهزة الشبكة الافتراضية

يمكن أن توفر مجموعات أمان الشبكة والتوجيه المعرف من قبل المستخدم مقياسا معينا لأمن الشبكة في طبقات الشبكة والنقل في نموذج OSI. ولكن في بعض الحالات، تريد أو تحتاج إلى تمكين الأمان على مستويات عالية من المكدس. في مثل هذه الحالات، نوصي بنشر أجهزة أمان الشبكة الظاهرية التي يوفرها شركاء Azure.

يمكن لأجهزة أمان الشبكة Azure توفير أمان أفضل مما توفره عناصر التحكم على مستوى الشبكة. تشمل قدرات أمان الشبكة لأجهزة أمان الشبكات الافتراضية ما يلي:

  • جدار الحماية
  • كشف التسلل / منع التسلل
  • إدارة الثغرات الأمنية
  • التحكم في التطبيق
  • الكشف عن الحالات الشاذة المستندة إلى الشبكة
  • تصفية الويب
  • مكافحه الفيروسات
  • حماية البوت نت

للعثور على أجهزة أمان الشبكة الظاهرية المتوفرة في Azure، انتقل إلى Azure Marketplace وابحث عن "الأمان" و"أمان الشبكة".

نشر الشبكات المحيطة للمناطق الأمنية

الشبكة المحيطة (المعروفة أيضا باسم DMZ) هي جزء شبكة مادي أو منطقي يوفر طبقة إضافية من الأمان بين أصولك والإنترنت. تسمح أجهزة التحكم المتخصصة في الوصول إلى الشبكة الموجودة على حافة الشبكة المحيطة بحركة المرور المطلوبة فقط إلى شبكتك الافتراضية.

تعد الشبكات المحيطة مفيدة لأنه يمكنك تركيز إدارة التحكم في الوصول إلى الشبكة والمراقبة والتسجيل وإعداد التقارير على الأجهزة الموجودة على حافة شبكة Azure الظاهرية. الشبكة المحيطة هي المكان الذي تقوم فيه عادة بتمكين منع رفض الخدمة الموزع (DDoS) وأنظمة اكتشاف التسلل / منع التسلل (IDS / IPS) وقواعد وسياسات جدار الحماية وتصفية الويب ومكافحة البرامج الضارة للشبكة والمزيد. تقع أجهزة أمان الشبكة بين الإنترنت وشبكة Azure الظاهرية ولها واجهة على كلتا الشبكتين.

على الرغم من أن هذا هو التصميم الأساسي للشبكة المحيطة ، إلا أن هناك العديد من التصميمات المختلفة ، مثل التصميمات المتتالية والثلاثية المنزلية ومتعددة المنازل.

استنادا إلى مفهوم الثقة الصفرية المذكور سابقا، نوصيك بالتفكير في استخدام شبكة محيطة لجميع عمليات النشر عالية الأمان لتحسين مستوى أمان الشبكة والتحكم في الوصول لموارد Azure الخاصة بك. يمكنك استخدام Azure أو حل تابع لجهة خارجية لتوفير طبقة إضافية من الأمان بين أصولك والإنترنت:

  • Azure native controls. يوفر جدار حماية Azureوجدار حماية تطبيقات الويب في بوابة التطبيقات أمانا أساسيا مع جدار حماية كامل الحالة كخدمة، وتوافر عال مدمج، وقابلية توسيع سحابية غير مقيدة، وتصفية FQDN، ودعم مجموعات قواعد OWASP الأساسية، والإعداد والتكوين البسيطين.
  • عروض الجهات الخارجية. ابحث في Azure Marketplace عن جدار الحماية من الجيل التالي (NGFW) وعروض الجهات الخارجية الأخرى التي توفر أدوات أمان مألوفة ومستويات محسنة بشكل كبير من أمان الشبكة. قد يكون التكوين أكثر تعقيدا، ولكن قد يسمح لك عرض جهة خارجية باستخدام الإمكانات والمهارات الحالية.

اختارت العديد من المؤسسات طريق تكنولوجيا المعلومات الهجين. باستخدام تكنولوجيا المعلومات المختلطة، توجد بعض أصول المعلومات الخاصة بالشركة في Azure، ويبقى البعض الآخر محليا. في كثير من الحالات، يتم تشغيل بعض مكونات الخدمة في Azure بينما تظل المكونات الأخرى محلية.

في سيناريو تكنولوجيا المعلومات الهجين ، عادة ما يكون هناك نوع من الاتصال عبر المباني. يسمح الاتصال عبر المباني للشركة بتوصيل شبكاتها المحلية بشبكات Azure الافتراضية. يتوفر حلان للاتصال عبر المباني:

  • VPN من موقع إلى موقع. إنها تقنية موثوقة وموثوقة وراسخة ، لكن الاتصال يحدث عبر الإنترنت. يتم تقييد النطاق الترددي بحد أقصى حوالي 1.25 جيجابت في الثانية. VPN من موقع إلى موقع هو خيار مرغوب فيه في بعض السيناريوهات.
  • Azure ExpressRoute. نوصي باستخدام ExpressRoute للاتصال عبر المباني. يتيح لك ExpressRoute توسيع شبكاتك الداخلية إلى Microsoft cloud عبر اتصال خاص يتم توفيره من خلال موفر اتصال. باستخدام ExpressRoute، يمكنك إنشاء اتصالات بخدمات Microsoft السحابية مثل Azure و Microsoft 365 و Dynamics 365. ExpressRoute هو رابط شبكة WAN مخصص بين موقعك المحلي أو موفر استضافة Microsoft Exchange. نظرا لأن هذا اتصال بشركة اتصالات ، فإن بياناتك لا تنتقل عبر الإنترنت ، لذلك لا تتعرض للمخاطر المحتملة للاتصالات عبر الإنترنت.

يمكن أن يؤثر موقع اتصال ExpressRoute على سعة جدار الحماية وقابلية التوسع والموثوقية ورؤية حركة مرور الشبكة. ستحتاج إلى تحديد مكان إنهاء ExpressRoute في الشبكات الحالية (المحلية). يمكنك:

  • قم بالإنهاء خارج جدار الحماية (نموذج الشبكة المحيطة) إذا كنت بحاجة إلى رؤية حركة المرور، أو إذا كنت بحاجة إلى متابعة ممارسة حالية لعزل مراكز البيانات، أو إذا كنت تضع موارد الإكسترانت فقط على Azure.
  • إنهاء داخل جدار الحماية (نموذج امتداد الشبكة). هذه هي التوصية الافتراضية. في جميع الحالات الأخرى، نوصي بمعاملة Azure كمركز بيانات nth.

تحسين وقت التشغيل والأداء

إذا كانت الخدمة معطلة، فلا يمكن الوصول إلى المعلومات. إذا كان الأداء ضعيفاً لدرجة أن البيانات غير قابلة للاستخدام، فيمكنك اعتبار البيانات غير قابلة للوصول. من منظور الأمان، عليك أن تفعل كل ما في وسعك للتأكد من أن خدماتك تتمتع بوقت تشغيل وأداء مثاليين.

من الطرق الشائعة والفعالة لتحسين التوافر والأداء موازنة الأحمال. موازنة التحميل هي طريقة لتوزيع حركة مرور الشبكة عبر الخوادم التي تعد جزءاً من خدمة. على سبيل المثال، إذا كان لديك خوادم ويب أمامية كجزء من خدمتك، فيمكنك استخدام موازنة التحميل لتوزيع حركة المرور عبر خوادم الويب الأمامية المتعددة.

يزيد توزيع حركة المرور هذا من التوافر لأنه إذا أصبح أحد خوادم الويب غير متوفر، يتوقف موازن التحميل عن إرسال حركة المرور إلى هذا الخادم ويعيد توجيهها إلى الخوادم التي لا تزال متصلة بالإنترنت. تساعد موازنة الأحمال أيضا على الأداء، لأن النفقات العامة للمعالج والشبكة والذاكرة لخدمة الطلبات موزعة عبر جميع الخوادم المتوازنة التحميل.

نوصي باستخدام موازنة الأحمال كلما أمكن ذلك، وبما يتناسب مع خدماتك. فيما يلي سيناريوهات على مستوى شبكة Azure الظاهرية والمستوى العام، إلى جانب خيارات موازنة الأحمال لكل منهما.

السيناريو: لديك تطبيق التي:

  • يتطلب طلبات من نفس جلسة المستخدم/العميل للوصول إلى نفس الجهاز الظاهري الخلفي. ومن الأمثلة على ذلك تطبيقات عربة التسوق وخوادم بريد الويب.
  • يقبل اتصالا آمنا فقط ، لذا فإن الاتصال غير المشفر بالخادم ليس خيارا مقبولا.
  • يتطلب طلبات HTTP متعددة على نفس اتصال TCP طويل الأمد ليتم توجيهها أو تحميلها بشكل متوازن إلى خوادم خلفية مختلفة.

خيار موازنة التحميل: استخدم Azure Application Gateway، وهو موازن تحميل حركة مرور ويب HTTP. تدعم بوابة التطبيق تشفير TLS من طرف إلى طرف وإنهاء TLS عند البوابة. يمكن بعد ذلك تحرير خوادم الويب من النفقات العامة للتشفير وفك التشفير وحركة المرور المتدفقة غير المشفرة إلى الخوادم الخلفية.

السيناريو: تحتاج إلى تحميل توازن الاتصالات الواردة من الإنترنت بين خوادمك الموجودة في شبكة Azure الظاهرية. تكون السيناريوهات عندما:

  • لديك تطبيقات عديمة الجنسية تقبل الطلبات الواردة من الإنترنت.
  • لا تتطلب جلسات لاصقة أو إلغاء تحميل طبقة النقل الآمنة. الجلسات اللاصقة هي طريقة تستخدم مع موازنة تحميل التطبيق ، لتحقيق تقارب الخادم.

خيار موازنة التحميل: استخدم مدخل Azure لإنشاء موازن تحميل خارجي ينشر الطلبات الواردة عبر أجهزة ظاهرية متعددة لتوفير مستوى أعلى من التوفر.

السيناريو: تحتاج إلى تحميل اتصالات التوازن من الأجهزة الظاهرية غير الموجودة على الإنترنت. في معظم الحالات، يتم بدء الاتصالات المقبولة لموازنة التحميل بواسطة الأجهزة الموجودة على شبكة Azure الظاهرية، مثل مثيلات SQL Server أو خوادم الويب الداخلية.
خيار موازنة التحميل: استخدم مدخل Azure لإنشاء موازن تحميل داخلي ينشر الطلبات الواردة عبر أجهزة ظاهرية متعددة لتوفير مستوى أعلى من التوفر.

السيناريو: تحتاج إلى موازنة الأحمال العامة لأنك:

  • احصل على حل سحابي موزع على نطاق واسع عبر مناطق متعددة ويتطلب أعلى مستوى ممكن من وقت التشغيل (التوفر).
  • تحتاج إلى أعلى مستوى ممكن من وقت التشغيل للتأكد من توفر خدمتك حتى إذا أصبح مركز البيانات بأكمله غير متوفر.

خيار موازنة التحميل: استخدم Azure Traffic Manager. يتيح مدير حركة المرور تحميل اتصالات التوازن إلى خدماتك استنادا إلى موقع المستخدم.

على سبيل المثال، إذا قدم المستخدم طلبا إلى خدمتك من الاتحاد الأوروبي، توجيه الاتصال إلى خدماتك الموجودة في مركز بيانات تابع للاتحاد الأوروبي. يساعد هذا الجزء من موازنة الأحمال العالمية في Traffic Manager على تحسين الأداء لأن الاتصال بأقرب مركز بيانات أسرع من الاتصال بمراكز البيانات البعيدة.

تعطيل وصول RDP/SSH إلى الأجهزة الظاهرية

من الممكن الوصول إلى أجهزة Azure الظاهرية باستخدام بروتوكول سطح المكتب البعيد (RDP) وبروتوكول Secure Shell (SSH). هذه البروتوكولات تمكن إدارة الأجهزة الظاهرية من المواقع البعيدة وهي قياسية في حوسبة مركز البيانات.

تكمن مشكلة الأمان المحتملة في استخدام هذه البروتوكولات عبر الإنترنت في أنه يمكن للمهاجمين استخدام تقنيات القوة الغاشمة للوصول إلى أجهزة Azure الظاهرية. بعد تمكن المهاجمين من الوصول، يمكنهم استخدام الجهاز الظاهري كنقطة إطلاق لتعريض الأجهزة الأخرى للخطر على الشبكة الظاهرية أو حتى مهاجمة الأجهزة الشبكية خارج Azure.

نوصي بتعطيل الوصول المباشر RDP وSSH إلى أجهزة Azure الظاهرية من الإنترنت. بعد تعطيل الوصول المباشر إلى RDP وSSH من الإنترنت، تتوفر لديك خيارات أخرى يمكنك استخدامها للوصول إلى هذه الأجهزة الظاهرية للإدارة عن بعد.

السيناريو: تمكين مستخدم واحد من الاتصال بشبكة Azure الظاهرية عبر الإنترنت.
الخيار: VPN من نقطة إلى موقع هو مصطلح آخر لاتصال عميل / خادم VPN للوصول عن بعد. بعد إنشاء الاتصال من نقطة إلى موقع، يمكن للمستخدم استخدام RDP أو SSH للاتصال بأي أجهزة ظاهرية موجودة على شبكة Azure الظاهرية التي يتصل بها المستخدم عبر VPN من نقطة إلى موقع. يفترض هذا أن المستخدم مخول للوصول إلى تلك الأجهزة الظاهرية.

تعد الشبكة الافتراضية الخاصة من نقطة إلى موقع أكثر أمانا من اتصالات RDP أو SSH المباشرة لأنه يتعين على المستخدم المصادقة مرتين قبل الاتصال بجهاز ظاهري. أولا ، يحتاج المستخدم إلى المصادقة (والتفويض) لإنشاء اتصال VPN من نقطة إلى موقع. ثانيا ، يحتاج المستخدم إلى المصادقة (والتفويض) لإنشاء جلسة عمل RDP أو SSH.

السيناريو: تمكين المستخدمين على الشبكة المحلية من الاتصال بالأجهزة الظاهرية على شبكة Azure الظاهرية.
الخيار: تقوم الشبكة الافتراضية الخاصة من موقع إلى موقع بتوصيل شبكة كاملة بشبكة أخرى عبر الإنترنت. يمكنك استخدام VPN من موقع إلى موقع لتوصيل شبكتك المحلية بشبكة Azure الظاهرية. يتصل المستخدمون على شبكتك المحلية باستخدام بروتوكول RDP أو SSH عبر اتصال VPN من موقع إلى موقع. ليس عليك السماح بالوصول المباشر إلى RDP أو SSH عبر الإنترنت.

السيناريو: استخدم ارتباط شبكة WAN مخصص لتوفير وظائف مشابهة لشبكة VPN من موقع إلى موقع.
الخيار: استخدم ExpressRoute. يوفر وظائف مشابهة ل VPN من موقع إلى موقع. الاختلافات الرئيسية هي:

  • لا يعبر رابط WAN المخصص الإنترنت.
  • عادة ما تكون روابط WAN المخصصة أكثر استقرارا وأداء أفضل.

تأمين موارد خدمة Azure الهامة الخاصة بك إلى شبكاتك الافتراضية فقط

استخدم Azure Private Link للوصول إلى خدمات Azure PaaS (على سبيل المثال، تخزين Azure وقاعدة بيانات SQL) عبر نقطة نهاية خاصة في شبكتك الظاهرية. تسمح لك نقاط النهاية الخاصة بتأمين موارد خدمة Azure الهامة الخاصة بك إلى شبكاتك الافتراضية فقط. تظل حركة المرور من شبكتك الافتراضية إلى خدمة Azure دائما على شبكة العمود الفقري ل Microsoft Azure. لم يعد تعريض شبكتك الافتراضية للإنترنت العام ضروريا لاستهلاك خدمات Azure PaaS.

يوفر Azure Private Link المزايا التالية:

  • أمان محسن لموارد خدمة Azure الخاصة بك: باستخدام Azure Private Link، يمكن تأمين موارد خدمة Azure إلى شبكتك الافتراضية باستخدام نقطة النهاية الخاصة. يوفر تأمين موارد الخدمة إلى نقطة نهاية خاصة في الشبكة الافتراضية أمانا محسنا عن طريق إزالة الوصول العام إلى الموارد بالكامل ، والسماح بحركة المرور فقط من نقطة النهاية الخاصة في شبكتك الافتراضية.
  • الوصول بشكل خاص إلى موارد خدمة Azure على النظام الأساسي ل Azure: الاتصال شبكتك الظاهرية إلى الخدمات في Azure باستخدام نقاط النهاية الخاصة. ليست هناك حاجة لعنوان IP عام. سيتعامل النظام الأساسي لـ Private Link مع الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية.
  • الوصول من الشبكات المحلية والنظيرة: يمكنك الوصول إلى الخدمات التي تعمل في Azure من أماكن العمل عبر نظير ExpressRoute الخاص وأنفاق VPN والشبكات الافتراضية النظيرة باستخدام نقاط النهاية الخاصة. ليس هناك حاجة لتكوين برنامج ExpressRoute Microsoft أو اجتياز الإنترنت للوصول إلى الخدمة. يوفر الارتباط الخاص طريقة آمنة لترحيل أحمال العمل إلى Azure.
  • الحماية من تسرب البيانات: يتم تعيين نقطة نهاية خاصة إلى مثيل لمورد PaaS بدلًا من الخدمة بأكملها. يمكن للعملاء الاتصال فقط بالمورد المحدد. يجري حظر الوصول إلى أي مورد آخر في الخدمة. توفر هذه الآلية الحماية ضد مخاطر تسرب البيانات.
  • النطاق العالمي: اتصل بشكل خاص بالخدمات التي تعمل في مناطق أخرى. يمكن أن تكون الشبكة الافتراضية للمستهلك في المنطقة A ويمكنها الاتصال بالخدمات في المنطقة B.
  • سهولة الإعداد والإدارة: لم تعد بحاجة إلى عناوين IP عامة محجوزة في شبكاتك الافتراضية لتأمين موارد Azure من خلال جدار حماية IP. لا توجد NAT أو أجهزة بوابة مطلوبة لإعداد نقاط النهاية الخاصة. يتم تكوين نقاط النهاية الخاصة من خلال سير عمل بسيط. على جانب الخدمة، يمكنك أيضا إدارة طلبات الاتصال على مورد خدمة Azure الخاص بك بسهولة. يعمل Azure Private Link للمستهلكين والخدمات التي تنتمي إلى مستأجري Azure Active Directory مختلفين أيضا.

لمعرفة المزيد حول نقاط النهاية الخاصة وخدمات Azure والمناطق التي تتوفر لها نقاط النهاية الخاصة، راجع Azure Private Link.

الخطوات التالية

راجع أفضل ممارسات وأنماط أمان Azure للحصول على المزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة ونشرها وإدارتها باستخدام Azure .