نظرة عامة على أمان شبكة Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يمكن تعريف أمن الشبكة بأنه عملية حماية الموارد من الوصول أو الهجوم غير المصرح به من خلال تطبيق عناصر التحكم على حركة مرور الشبكة. والهدف من ذلك هو ضمان السماح فقط بحركة المرور المشروعة. يتضمن Azure بنية أساسية قوية لشبكة الاتصال لدعم متطلبات الاتصال للتطبيق والخدمة. يمكن الاتصال بالشبكة بين الموارد الموجودة في Azure، وبين الموارد المحلية والموارد المستضافة في Azure، ومن وإلى الإنترنت وAzure.

تتناول هذه المقالة بعض الخيارات التي يقدمها Azure في مجال أمان الشبكة. يمكنك التعرف على:

• Azure networking
• التحكم في الوصول إلى الشبكة
• جدار حماية Azure
• الوصول الآمن عن بعد والاتصال عبر المباني
• التوفر
• دقة الاسم
• بنية الشبكة المحيطة (DMZ)
• Azure DDoS protection
• Azure Front Door
• مدير المرور
• المراقبة والكشف عن التهديدات

Azure networking

يتطلب Azure توصيل الأجهزة الظاهرية بشبكة Azure الظاهرية. الشبكة الافتراضية هي بنية منطقية مبنية فوق بنية شبكة Azure الفعلية. يتم عزل كل شبكة افتراضية عن جميع الشبكات الافتراضية الأخرى. يساعد ذلك على ضمان عدم وصول عملاء Azure الآخرين إلى حركة مرور الشبكة في عمليات النشر الخاصة بك.

تعرّف على المزيد:

• نظرة عامة على الشبكة الافتراضية

التحكم في الوصول إلى الشبكة

التحكم في الوصول إلى الشبكة هو فعل الحد من الاتصال من وإلى أجهزة أو شبكات فرعية محددة داخل شبكة افتراضية. الهدف من التحكم في الوصول إلى الشبكة هو الحد من الوصول إلى أجهزتك الظاهرية وخدماتك للمستخدمين والأجهزة المعتمدة. تستند عناصر التحكم في الوصول إلى قرارات السماح بالاتصالات من وإلى جهازك الظاهري أو الخدمة الظاهرية أو رفضها.

يدعم Azure عدة أنواع من التحكم في الوصول إلى الشبكة، مثل:

• التحكم في طبقة الشبكة
• التحكم في المسار والأنفاق القسرية
• أجهزة أمن الشبكات الافتراضية

التحكم في طبقة الشبكة

يتطلب أي نشر آمن قدرا من التحكم في الوصول إلى الشبكة. الهدف من التحكم في الوصول إلى الشبكة هو تقييد اتصال الجهاز الظاهري بالأنظمة الضرورية. يتم حظر محاولات الاتصال الأخرى.

ملاحظة

تتم تغطية جدران حماية التخزين في مقالة نظرة عامة على أمان تخزين Azure

قواعد أمان الشبكة (NSGs)

إذا كنت بحاجة إلى التحكم الأساسي في الوصول على مستوى الشبكة (استنادا إلى عنوان IP وبروتوكولات TCP أو UDP)، فيمكنك استخدام مجموعات أمان الشبكة (NSGs). NSG هو جدار حماية أساسي ، حالي ، لتصفية الحزم ، ويمكنك من التحكم في الوصول استنادا إلى 5-tuple. تتضمن NSGs وظائف لتبسيط الإدارة وتقليل فرص أخطاء التكوين:

• تعمل قواعد الأمان المعززة على تبسيط تعريف قاعدة NSG وتسمح لك بإنشاء قواعد معقدة بدلا من الاضطرار إلى إنشاء قواعد بسيطة متعددة لتحقيق نفس النتيجة.
• علامات الخدمة هي تسميات تم إنشاؤها بواسطة Microsoft تمثل مجموعة من عناوين IP. يتم تحديثها ديناميكيا لتضمين نطاقات IP التي تفي بالشروط التي تحدد التضمين في التسمية. على سبيل المثال، إذا كنت ترغب في إنشاء قاعدة تنطبق على كل مساحة تخزين Azure في المنطقة الشرقية، فيمكنك استخدام Storage.EastUS
• تسمح لك مجموعات أمان التطبيقات بنشر الموارد إلى مجموعات التطبيقات والتحكم في الوصول إلى هذه الموارد عن طريق إنشاء قواعد تستخدم مجموعات التطبيقات هذه. على سبيل المثال، إذا كان لديك خوادم ويب تم نشرها في مجموعة تطبيقات "خوادم الويب"، فيمكنك إنشاء قاعدة تطبق NSG تسمح بحركة مرور 443 من الإنترنت إلى جميع الأنظمة في مجموعة تطبيقات "Webservers".

لا توفر NSGs فحص طبقة التطبيق أو عناصر التحكم في الوصول المصادق عليها.

تعرّف على المزيد:

• مجموعات أمان الشبكة

المدافع عن السحابة في الوقت المناسب الوصول إلى VM

يمكن ل Microsoft Defender for Cloud إدارة NSGs على الأجهزة الظاهرية وتأمين الوصول إلى الجهاز الظاهري حتى يطلب مستخدم لديه أذونات Azure RBAC المناسبة للتحكم في الوصول المستند إلى دور Azure الوصول. عندما يتم تفويض المستخدم بنجاح ، يقوم Defender for Cloud بإجراء تعديلات على NSGs للسماح بالوصول إلى المنافذ المحددة للوقت المحدد. وعندما ينتهي الوقت، تستعاد مجموعات موردي المواد النووية إلى حالتهم المضمونة السابقة.

تعرّف على المزيد:

• مايكروسوفت ديفندر للسحابة فقط في الوقت المناسب الوصول

نقاط نهاية الخدمة

نقاط نهاية الخدمة هي طريقة أخرى لتطبيق التحكم في حركة المرور الخاصة بك. يمكنك قصر الاتصال بالخدمات المدعومة على VNets الخاصة بك فقط عبر اتصال مباشر. تظل حركة المرور من VNet إلى خدمة Azure المحددة على شبكة العمود الفقري ل Microsoft Azure.

تعرّف على المزيد:

• ⁧⁩نقاط نهاية الخدمة⁧⁩

التحكم في المسار والأنفاق القسرية

تعد القدرة على التحكم في سلوك التوجيه على شبكاتك الافتراضية أمرا بالغ الأهمية. إذا تم تكوين التوجيه بشكل غير صحيح، فقد تتصل التطبيقات والخدمات المستضافة على جهازك الظاهري بأجهزة غير مصرح بها، بما في ذلك الأنظمة التي يملكها ويشغلها مهاجمون محتملون.

تدعم شبكة Azure القدرة على تخصيص سلوك التوجيه لحركة مرور الشبكة على شبكاتك الظاهرية. يمكنك هذا من تغيير إدخالات جدول التوجيه الافتراضية في شبكتك الظاهرية. يساعدك التحكم في سلوك التوجيه على التأكد من أن كل حركة المرور من جهاز معين أو مجموعة من الأجهزة تدخل شبكتك الافتراضية أو تغادرها عبر موقع معين.

على سبيل المثال، قد يكون لديك جهاز أمان شبكة ظاهري على شبكتك الظاهرية. تريد التأكد من أن كل حركة المرور من وإلى شبكتك الافتراضية تمر عبر جهاز الأمان الظاهري هذا. يمكنك القيام بذلك عن طريق تكوين المسارات المعرفة من قبل المستخدم (UDRs) في Azure.

الأنفاق القسرية هي آلية يمكنك استخدامها لضمان عدم السماح لخدماتك ببدء الاتصال بالأجهزة على الإنترنت. لاحظ أن هذا يختلف عن قبول الاتصالات الواردة ثم الاستجابة لها. تحتاج خوادم الويب الأمامية إلى الاستجابة للطلبات الواردة من مضيفي الإنترنت ، وبالتالي يسمح بحركة المرور من مصادر الإنترنت الواردة إلى خوادم الويب هذه ويسمح لخوادم الويب بالاستجابة.

ما لا تريد السماح به هو خادم ويب أمامي لبدء طلب صادر. قد تمثل هذه الطلبات خطرا أمنيا لأنه يمكن استخدام هذه الاتصالات لتنزيل البرامج الضارة. حتى إذا كنت تريد أن تبدأ هذه الخوادم الأمامية الطلبات الصادرة إلى الإنترنت ، فقد ترغب في إجبارها على المرور عبر بروكسيات الويب المحلية. يتيح لك ذلك الاستفادة من تصفية عناوين URL وتسجيلها.

بدلا من ذلك ، قد ترغب في استخدام الأنفاق القسرية لمنع ذلك. عند تمكين الأنفاق القسرية، يتم فرض جميع الاتصالات بالإنترنت من خلال البوابة المحلية. يمكنك تكوين الأنفاق القسرية من خلال الاستفادة من UDRs.

تعرّف على المزيد:

• ما هي المسارات المعرفة من قبل المستخدم وإعادة توجيه IP

أجهزة أمن الشبكات الافتراضية

على الرغم من أن NSGs و UDRs و الأنفاق القسرية توفر لك مستوى من الأمان على الشبكة وطبقات النقل في نموذج OSI ، فقد ترغب أيضا في تمكين الأمان بمستويات أعلى من الشبكة.

على سبيل المثال، قد تتضمن متطلبات الأمان ما يلي:

• المصادقة والتفويض قبل السماح بالوصول إلى طلبك
• كشف التسلل والاستجابة للتسلل
• فحص طبقة التطبيق للبروتوكولات عالية المستوى
• تصفية URL
• مكافحة الفيروسات والبرامج الضارة على مستوى الشبكة
• حماية مضادة للبوت
• التحكم في الوصول إلى التطبيق
• حماية DDoS إضافية (أعلى من حماية DDoS التي يوفرها نسيج Azure نفسه)

يمكنك الوصول إلى ميزات أمان الشبكة المحسنة هذه باستخدام حل شريك Azure. يمكنك العثور على أحدث حلول أمان شبكة شركاء Azure من خلال زيارة Azure Marketplace، والبحث عن "الأمان" و"أمان الشبكة".

جدار حماية Azure

Azure Firewall هي خدمة أمان جدار حماية شبكة ذكية وذكية من السحابة توفر الحماية من التهديدات لأحمال العمل السحابية التي تعمل في Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة. ويوفر التفتيش على كل من الشرق والغرب والشمال والجنوب.

يتم تقديم جدار حماية Azure في اثنين من وحدات SKU: قياسي و Premium. يوفر Azure Firewall Standard خلاصات تصفية L3-L7 ومعلومات استخبارات التهديدات مباشرة من Microsoft Cyber Security. يوفر Azure Firewall Premium إمكانات متقدمة تتضمن IDPS المستندة إلى التوقيع للسماح بالكشف السريع عن الهجمات من خلال البحث عن أنماط محددة.

تعرّف على المزيد:

• ما هو جدار حماية Azure

الوصول الآمن عن بعد والاتصال عبر المباني

يجب إعداد موارد Azure وتكوينها وإدارتها عن بعد. بالإضافة إلى ذلك، قد ترغب في نشر حلول تكنولوجيا المعلومات المختلطة التي تحتوي على مكونات محلية وفي سحابة Azure العامة. تتطلب هذه السيناريوهات الوصول الآمن عن بعد.

تدعم شبكة Azure سيناريوهات الوصول الآمن عن بعد التالية:

• الاتصال محطات عمل فردية إلى شبكة افتراضية
• الاتصال شبكتك المحلية إلى شبكة افتراضية باستخدام VPN
• الاتصال شبكتك المحلية إلى شبكة افتراضية باستخدام رابط WAN مخصص
• الاتصال الشبكات الافتراضية لبعضها البعض

الاتصال محطات عمل فردية إلى شبكة افتراضية

قد ترغب في تمكين المطورين الفرديين أو موظفي العمليات من إدارة الأجهزة والخدمات الظاهرية في Azure. على سبيل المثال، لنفترض أنك بحاجة إلى الوصول إلى جهاز ظاهري على شبكة افتراضية. لكن سياسة الأمان الخاصة بك لا تسمح ل RDP أو SSH بالوصول عن بعد إلى الأجهزة الظاهرية الفردية. في هذه الحالة، يمكنك استخدام اتصال VPN من نقطة إلى موقع .

يتيح لك اتصال VPN من نقطة إلى موقع إعداد اتصال خاص وآمن بين المستخدم والشبكة الافتراضية. عند إنشاء اتصال VPN ، يمكن للمستخدم RDP أو SSH عبر رابط VPN إلى أي جهاز ظاهري على الشبكة الظاهرية. (يفترض هذا أن المستخدم يمكنه المصادقة وهو مصرح له.) تدعم VPN من نقطة إلى موقع:

• بروتوكول نفق المقابس الآمن (SSTP) ، وهو بروتوكول VPN قائم على SSL. يمكن أن يخترق حل SSL VPN جدران الحماية ، نظرا لأن معظم جدران الحماية تفتح منفذ TCP 443 ، والذي تستخدمه TLS / SSL. يتم اعتماد SSTP فقط على أجهزة Windows. يدعم Azure كافة إصدارات Windows التي تحتوي على SSTP (Windows 7 والإصدارات الأحدث).

• يعتبر مفتاح الإنترنت التبادلي الإصذار 2 لشبكة ظاهرية خاصة، حل أمان برتوكول الإنترنت للشبكة الظاهرية الخاصة standards-based. يمكن استخدام IKEv2 VPN للاتصال من أجهزة Mac (إصدارات OSX 10.11 والإصدارات الأحدث).

• ⁧⁩OpenVPN⁧⁩

تعرّف على المزيد:

• تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية باستخدام PowerShell

الاتصال شبكتك المحلية إلى شبكة افتراضية باستخدام VPN

قد ترغب في توصيل شبكة شركتك بالكامل، أو أجزاء منها، بشبكة افتراضية. وهذا أمر شائع في سيناريوهات تكنولوجيا المعلومات المختلطة، حيث تقوم المؤسسات بتوسيع مركز البيانات المحلي الخاص بها إلى Azure. في كثير من الحالات، تستضيف المؤسسات أجزاء من خدمة في Azure، وأجزاء محلية. على سبيل المثال، قد يفعلون ذلك عندما يتضمن الحل خوادم ويب أمامية في Azure وقواعد بيانات خلفية محلية. تعمل هذه الأنواع من الاتصالات "عبر المباني" أيضا على جعل إدارة الموارد الموجودة في Azure أكثر أمانا، وتمكين سيناريوهات مثل توسيع وحدات تحكم مجال Active Directory إلى Azure.

إحدى الطرق لتحقيق ذلك هي استخدام VPN من موقع إلى موقع. الفرق بين VPN من موقع إلى موقع و VPN من نقطة إلى موقع هو أن هذا الأخير يربط جهازا واحدا بشبكة افتراضية. تقوم الشبكة الافتراضية الخاصة من موقع إلى موقع بتوصيل شبكة كاملة (مثل شبكتك المحلية) بشبكة افتراضية. تستخدم الشبكات الافتراضية الخاصة من موقع إلى موقع إلى شبكة افتراضية بروتوكول VPN في وضع نفق IPsec الآمن للغاية.

تعرّف على المزيد:

• إنشاء Resource Manager VNet باستخدام اتصال VPN من موقع إلى موقع باستخدام مدخل Azure
• نبذة عن بوابة VPN

الاتصال شبكتك المحلية إلى شبكة افتراضية باستخدام رابط WAN مخصص

تعد اتصالات VPN من نقطة إلى موقع ومن موقع إلى موقع فعالة لتمكين الاتصال عبر المباني. ومع ذلك ، فإن بعض المنظمات تعتبرها ذات عيوب التالية:

• تعمل اتصالات VPN على نقل البيانات عبر الإنترنت. هذا يعرض هذه الاتصالات لمشكلات الأمان المحتملة التي ينطوي عليها نقل البيانات عبر شبكة عامة. بالإضافة إلى ذلك ، لا يمكن ضمان الموثوقية والتوافر لاتصالات الإنترنت.
• قد لا تحتوي اتصالات VPN بالشبكات الافتراضية على النطاق الترددي لبعض التطبيقات والأغراض ، حيث يبلغ الحد الأقصى حوالي 200 ميجابت في الثانية.

عادة ما تستخدم المؤسسات التي تحتاج إلى أعلى مستوى من الأمان والتوفر للاتصالات عبر المباني الخاصة بها روابط شبكة WAN مخصصة للاتصال بالمواقع البعيدة. يوفر لك Azure القدرة على استخدام ارتباط WAN مخصص يمكنك استخدامه لتوصيل شبكتك المحلية بشبكة افتراضية. يتيح Azure ExpressRoute و Express route مباشرة والوصول العالمي للطريق السريع ذلك.

تعرّف على المزيد:

• نظرة عامة تقنية على ExpressRoute
• الطريق السريع المباشر
• الوصول العالمي إلى الطريق السريع

الاتصال الشبكات الافتراضية لبعضها البعض

من الممكن استخدام العديد من الشبكات الافتراضية لعمليات النشر الخاصة بك. هناك العديد من الأسباب التي تجعلك تفعل ذلك. قد ترغب في تبسيط الإدارة، أو قد ترغب في زيادة الأمان. بغض النظر عن الدافع لوضع الموارد على شبكات افتراضية مختلفة ، قد تكون هناك أوقات تريد فيها أن تتصل الموارد الموجودة على كل شبكة ببعضها البعض.

أحد الخيارات هو أن تتصل الخدمات الموجودة على شبكة افتراضية واحدة بالخدمات الموجودة على شبكة افتراضية أخرى ، عن طريق "التكرار" عبر الإنترنت. يبدأ الاتصال على شبكة افتراضية واحدة ، ويمر عبر الإنترنت ، ثم يعود إلى الشبكة الافتراضية الوجهة. يعرض هذا الخيار الاتصال بمشكلات الأمان المتأصلة في أي اتصال قائم على الإنترنت.

قد يكون الخيار الأفضل هو إنشاء VPN من موقع إلى موقع يتصل بين شبكتين افتراضيتين. تستخدم هذه الطريقة نفس بروتوكول وضع نفق IPSec مثل اتصال VPN عبر الموقع إلى الموقع المذكور أعلاه.

ميزة هذا النهج هي أن اتصال VPN يتم إنشاؤه عبر نسيج شبكة Azure ، بدلا من الاتصال عبر الإنترنت. يوفر لك هذا طبقة إضافية من الأمان ، مقارنة بالشبكات الافتراضية الخاصة من موقع إلى موقع والتي تتصل عبر الإنترنت.

تعرّف على المزيد:

• تكوين اتصال VNet-to-VNet باستخدام Azure Resource Manager وPowerShell

هناك طريقة أخرى لتوصيل شبكاتك الافتراضية وهي نظير VNET. تتيح لك هذه الميزة توصيل شبكتي Azure بحيث يتم الاتصال بينهما عبر البنية الأساسية الأساسية ل Microsoft دون المرور عبر الإنترنت. يمكن ل VNET peering توصيل اثنين من VNETs داخل نفس المنطقة أو اثنين من VNETs عبر مناطق Azure. يمكن استخدام NSGs للحد من الاتصال بين الشبكات الفرعية أو الأنظمة المختلفة.

التوفر

التوفر هو عنصر أساسي في أي برنامج أمان. إذا لم يتمكن المستخدمون والأنظمة من الوصول إلى ما يحتاجون إليه للوصول عبر الشبكة، فيمكن اعتبار الخدمة مخترقة. يحتوي Azure على تقنيات الشبكات التي تدعم آليات التوفر العالي التالية:

• موازنة الأحمال المستندة إلى HTTP
• موازنة الأحمال على مستوى الشبكة
• موازنة التحميل العالمية

موازنة الأحمال هي آلية مصممة لتوزيع الاتصالات بالتساوي بين أجهزة متعددة. أهداف موازنة الأحمال هي:

• لزيادة التوافر. عند تحميل اتصالات الرصيد عبر أجهزة متعددة، قد يصبح جهاز واحد أو أكثر من الأجهزة غير متوفر دون المساس بالخدمة. يمكن أن تستمر الخدمات التي تعمل على الأجهزة المتبقية عبر الإنترنت في تقديم المحتوى من الخدمة.
• لزيادة الأداء. عند تحميل اتصالات التوازن عبر أجهزة متعددة، لا يتعين على جهاز واحد التعامل مع جميع المعالجة. بدلا من ذلك ، تنتشر متطلبات المعالجة والذاكرة لخدمة المحتوى عبر أجهزة متعددة.

موازنة الأحمال المستندة إلى HTTP

غالبا ما ترغب المؤسسات التي تقوم بتشغيل خدمات مستندة إلى الويب في الحصول على موازن تحميل يستند إلى HTTP أمام خدمات الويب هذه. وهذا يساعد على ضمان مستويات كافية من الأداء والتوافر العالي. تعتمد موازنات الأحمال التقليدية القائمة على الشبكة على بروتوكولات طبقة الشبكة والنقل. من ناحية أخرى ، تتخذ موازنات التحميل المستندة إلى HTTP قرارات بناء على خصائص بروتوكول HTTP.

توفر Azure Application Gateway موازنة تحميل تستند إلى HTTP للخدمات المستندة إلى الويب. بوابة التطبيق تدعم:

• مستند علي-Cookie صلة الجلسة . تتأكد هذه الإمكانية من أن الاتصالات التي تم إنشاؤها بأحد الخوادم خلف موازن التحميل هذا تظل سليمة بين العميل والخادم. وهذا يضمن استقرار المعاملات.
• إلغاء تحميل TLS. عندما يتصل عميل بموازن التحميل، يتم تشفير جلسة العمل هذه باستخدام بروتوكول HTTPS (TLS). ومع ذلك ، من أجل زيادة الأداء ، يمكنك استخدام بروتوكول HTTP (غير المشفر) للاتصال بين موازن التحميل وخادم الويب خلف موازن التحميل. يشار إلى ذلك باسم "إلغاء تحميل TLS" ، لأن خوادم الويب خلف موازن التحميل لا تواجه النفقات العامة للمعالج المتضمن في التشفير. وبالتالي يمكن لخوادم الويب تقديم طلبات الخدمة بسرعة أكبر.
• توجيه المحتوى المستند إلى عنوان URL. تتيح هذه الميزة لموازن التحميل اتخاذ قرارات حول مكان إعادة توجيه الاتصالات استنادا إلى عنوان URL المستهدف. وهذا يوفر مرونة أكبر بكثير من الحلول التي تتخذ قرارات موازنة الأحمال بناء على عناوين IP.

تعرّف على المزيد:

• Application Gateway overview

موازنة الأحمال على مستوى الشبكة

على النقيض من موازنة الأحمال المستندة إلى HTTP ، فإن موازنة تحميل مستوى الشبكة تتخذ قرارات تستند إلى عنوان IP وأرقام المنفذ (TCP أو UDP). يمكنك الحصول على فوائد موازنة تحميل مستوى الشبكة في Azure باستخدام Azure Load Balancer. تتضمن بعض الخصائص الرئيسية لموازن الأحمال ما يلي:

• موازنة تحميل مستوى الشبكة استنادا إلى عنوان IP وأرقام المنافذ.
• دعم أي بروتوكول طبقة التطبيق.
• قم بتحميل الأرصدة إلى أجهزة Azure الظاهرية ومثيلات دور الخدمات السحابية.
• يمكن استخدامها لكل من التطبيقات التي تواجه الإنترنت (موازنة الحمل الخارجي) وغير المواجهة للإنترنت (موازنة الحمل الداخلي) والأجهزة الافتراضية.
• مراقبة نقطة النهاية، والتي تستخدم لتحديد ما إذا كانت أي من الخدمات الموجودة خلف موازن التحميل قد أصبحت غير متوفرة.

تعرّف على المزيد:

• موازن تحميل مواجه للإنترنت بين أجهزة أو خدمات افتراضية متعددة
• نظرة عامة على موازن الأحمال الداخلي

موازنة التحميل العالمية

تريد بعض المؤسسات أعلى مستوى ممكن من التوافر. تتمثل إحدى طرق الوصول إلى هذا الهدف في استضافة التطبيقات في مراكز البيانات الموزعة عالميا. عندما تتم استضافة تطبيق في مراكز بيانات موجودة في جميع أنحاء العالم، فمن الممكن أن تصبح منطقة جيوسياسية بأكملها غير متوفرة، ولا يزال التطبيق قيد التشغيل.

يمكن أن تحقق استراتيجية موازنة الأحمال هذه أيضا فوائد في الأداء. يمكنك توجيه طلبات الخدمة إلى مركز البيانات الأقرب إلى الجهاز الذي يقوم بتقديم الطلب.

في Azure، يمكنك الحصول على فوائد موازنة الأحمال العمومية باستخدام Azure Traffic Manager.

تعرّف على المزيد:

• ما هو Traffic Manager؟

دقة الاسم

تعد دقة الاسم وظيفة مهمة لجميع الخدمات التي تستضيفها في Azure. من منظور أمني، يمكن أن يؤدي اختراق وظيفة حل الاسم إلى قيام مهاجم بإعادة توجيه الطلبات من مواقعك إلى موقع المهاجم. تعد دقة الاسم الآمنة مطلبا لجميع الخدمات المستضافة على السحابة.

هناك نوعان من دقة الاسم تحتاج إلى معالجتهما:

• دقة الاسم الداخلية. يتم استخدام هذا من قبل الخدمات الموجودة على شبكاتك الافتراضية أو شبكاتك المحلية أو كليهما. لا يمكن الوصول إلى الأسماء المستخدمة لدقة الأسماء الداخلية عبر الإنترنت. للحصول على الأمان الأمثل، من المهم ألا يتمكن المستخدمون الخارجيون من الوصول إلى نظام دقة الاسم الداخلي الخاص بك.
• دقة الاسم الخارجي. يتم استخدام هذا من قبل الأشخاص والأجهزة خارج الشبكات المحلية والشبكات الافتراضية. هذه هي الأسماء المرئية للإنترنت، وتستخدم للاتصال المباشر بالخدمات المستندة إلى السحابة.

لدقة الاسم الداخلية، لديك خياران:

• خادم DNS للشبكة الظاهرية. عند إنشاء شبكة ظاهرية جديدة، يتم إنشاء خادم DNS لك. يمكن لخادم DNS هذا حل أسماء الأجهزة الموجودة على تلك الشبكة الظاهرية. خادم DNS هذا غير قابل للتكوين، ويتم إدارته بواسطة مدير النسيج Azure، وبالتالي يمكنه مساعدتك في تأمين حل دقة الاسم.
• أحضر خادم DNS الخاص بك. لديك خيار وضع خادم DNS من اختيارك على شبكتك الافتراضية. يمكن أن يكون خادم DNS هذا خادم DNS متكامل في Active Directory، أو حل خادم DNS مخصص يوفره شريك Azure، والذي يمكنك الحصول عليه من Azure Marketplace.

تعرّف على المزيد:

• نظرة عامة على الشبكة الافتراضية
• إدارة خوادم DNS المستخدمة من قبل شبكة افتراضية

لدقة الاسم الخارجي، لديك خياران:

• استضافة خادم DNS الخارجي الخاص بك محليا.
• استضافة خادم DNS الخارجي الخاص بك مع مزود خدمة.

تستضيف العديد من المؤسسات الكبيرة خوادم DNS الخاصة بها محليا. يمكنهم القيام بذلك لأن لديهم خبرة في مجال الشبكات ووجود عالمي للقيام بذلك.

في معظم الحالات، من الأفضل استضافة خدمات حل اسم DNS مع موفر خدمة. يتمتع مقدمو الخدمات هؤلاء بخبرة الشبكة والتواجد العالمي لضمان التوافر العالي جدا لخدمات دقة الاسم الخاصة بك. يعد التوافر ضروريا لخدمات DNS ، لأنه إذا فشلت خدمات حل اسمك ، فلن يتمكن أحد من الوصول إلى خدمات مواجهة الإنترنت.

يوفر لك Azure حل DNS خارجي متوفر للغاية وعالي الأداء في شكل Azure DNS. يستفيد حل حل حل الأسماء الخارجي هذا من البنية الأساسية لنظام أسماء النطاقات Azure في جميع أنحاء العالم. يسمح لك باستضافة نطاقك في Azure، باستخدام نفس بيانات الاعتماد وواجهات برمجة التطبيقات والأدوات والفوترة مثل خدمات Azure الأخرى. كجزء من Azure ، فإنه يرث أيضا عناصر التحكم الأمنية القوية المضمنة في النظام الأساسي.

تعرّف على المزيد:

• نظرة عامة على Azure DNS
• تسمح لك مناطق Azure DNS الخاصة بتكوين أسماء DNS الخاصة لموارد Azure بدلا من الأسماء المعينة تلقائيا دون الحاجة إلى إضافة حل DNS مخصص.

بنية الشبكة المحيطة

تستخدم العديد من المؤسسات الكبيرة الشبكات المحيطة لتقسيم شبكاتها ، وإنشاء منطقة عازلة بين الإنترنت وخدماتها. يعتبر الجزء المحيط بالشبكة منطقة منخفضة الأمان ، ولا يتم وضع أصول عالية القيمة في قطاع الشبكة هذا. سترى عادة أجهزة أمان الشبكة التي تحتوي على واجهة شبكة على شريحة الشبكة المحيطة. يتم توصيل واجهة شبكة أخرى بشبكة تحتوي على أجهزة وخدمات ظاهرية تقبل الاتصالات الواردة من الإنترنت.

يمكنك تصميم الشبكات المحيطة بعدد من الطرق المختلفة. يعتمد قرار نشر شبكة محيطة، ثم نوع الشبكة المحيطة التي يجب استخدامها إذا قررت استخدامها، على متطلبات أمان الشبكة.

تعرّف على المزيد:

• خدمات Microsoft السحابية وأمان الشبكة

Azure DDoS protection

تعد هجمات الحرمان من الخدمة الموزعة (DDoS) من أكبر المخاوف الأمنية والتوفر التي تواجه العملاء الذين ينقلون تطبيقاتهم إلى السحابة. يحاول هجوم رفض الخدمة الموزع (DDoS) استنفاد موارد التطبيق، ما يجعل التطبيق غير متاح للمستخدمين الشرعيين. يمكن استهداف هجمات DDoS في أي نقطة نهاية يمكن الوصول إليها بشكل عام عبر الإنترنت.

تتضمن الميزات القياسية لحماية DDoS ما يلي:

• تكامل النظام الأساسي الأصلي: مدمج أصلا في Azure. يتضمن التكوين من خلال مدخل Azure. يفهم معيار حماية DDoS مواردك وتكوين مواردك.
• حماية تسليم المفتاح: يحمي التكوين المبسط على الفور جميع الموارد الموجودة على شبكة افتراضية بمجرد تمكين معيار حماية DDoS. لا يلزم أي تدخل أو تعريف للمستخدم. يعمل معيار حماية DDoS على الفور وتلقائيا على تخفيف الهجوم بمجرد اكتشافه.
• مراقبة حركة المرور دائما: تتم مراقبة أنماط حركة مرور التطبيق الخاص بك على مدار 24 ساعة في اليوم ، 7 أيام في الأسبوع ، بحثا عن مؤشرات لهجمات DDoS. يتم تنفيذ التخفيف عند تجاوز سياسات الحماية.
• تقارير التخفيف من حدة الهجمات تستخدم تقارير التخفيف من حدة الهجمات بيانات تدفق الشبكة المجمعة لتوفير معلومات مفصلة حول الهجمات التي تستهدف مواردك.
• تخفيف الهجمات Flow السجلات تتيح لك سجلات Flow مراجعة حركة المرور المتساقطة وحركة المرور المعاد توجيهها وبيانات الهجوم الأخرى في الوقت الفعلي تقريبا أثناء هجوم DDoS نشط.
• الضبط التكيفي: يتعرف التنميط الذكي لحركة المرور على حركة مرور تطبيقك بمرور الوقت ، ويحدد ويحدث ملف التعريف الأنسب لخدمتك. يتم ضبط ملف التعريف مع تغير حركة المرور بمرور الوقت. حماية من الطبقة 3 إلى الطبقة 7: توفر حماية DDoS كاملة للمكدس، عند استخدامها مع جدار حماية تطبيق ويب.
• نطاق واسع للتخفيف: يمكن تخفيف أكثر من 60 نوعا مختلفا من الهجمات ، مع القدرة العالمية ، للحماية من أكبر هجمات DDoS المعروفة.
• مقاييس الهجوم: يمكن الوصول إلى المقاييس الموجزة من كل هجوم من خلال Azure Monitor.
• تنبيه الهجوم: يمكن تكوين التنبيهات في بداية الهجوم وإيقافه، وعلى مدار مدة الهجوم، باستخدام مقاييس الهجوم المضمنة. تتكامل التنبيهات مع برامجك التشغيلية مثل سجلات Microsoft Azure Monitor و Splunk و Azure Storage والبريد الإلكتروني وبوابة Azure.
• ضمان التكلفة: نقل البيانات وتوسيع نطاق اعتمادات الخدمة للتطبيق لهجمات DDoS الموثقة.
• DDoS سريع الاستجابة يمكن لعملاء DDoS Protection Standard الآن الوصول إلى فريق الاستجابة السريعة أثناء الهجوم النشط. يمكن أن تساعد DRR في التحقيق في الهجوم والتخفيف المخصص أثناء الهجوم وتحليل ما بعد الهجوم.

تعرّف على المزيد:

• نظرة عامة على حماية DDOS

Azure Front Door

تمكنك خدمة الباب الأمامي من Azure من تحديد التوجيه العام لحركة مرور الويب وإدارته ومراقبته. يعمل على تحسين توجيه حركة المرور الخاصة بك للحصول على أفضل أداء وتوافر عالي. يسمح لك Azure Front Door بتأليف قواعد جدار حماية تطبيقات الويب المخصصة (WAF) للتحكم في الوصول لحماية عبء عمل HTTP/HTTPS من الاستغلال استنادا إلى عناوين IP الخاصة بالعميل ورمز البلد ومعلمات http. بالإضافة إلى ذلك ، يتيح لك Front Door أيضا إنشاء قواعد تحديد المعدل لمحاربة حركة مرور الروبوت الضارة ، ويشمل تفريغ TLS وطلب لكل HTTP / HTTPS ، ومعالجة طبقة التطبيق.

النظام الأساسي للباب الأمامي نفسه محمي بحماية DDoS على مستوى البنية التحتية ل Azure. لمزيد من الحماية، قد يتم تمكين معيار حماية Azure DDoS في شبكات VNET الخاصة بك وحماية الموارد من هجمات طبقة الشبكة (TCP/UDP) عبر الضبط التلقائي والتخفيف. الباب الأمامي هو وكيل عكسي من الطبقة 7 ، فهو يسمح فقط لحركة مرور الويب بالمرور إلى خوادم النهاية الخلفية ومنع أنواع أخرى من حركة المرور افتراضيا.

تعرّف على المزيد:

• لمزيد من المعلومات حول المجموعة الكاملة من إمكانات الباب الأمامي من Azure، يمكنك مراجعة نظرة عامة على الباب الأمامي من Azure

Azure Traffic manager

Azure Traffic Manager هو موازن تحميل نسبة استخدام الشبكة ويستند إلى DNS والذي يمكنك من توزيع نسبة استخدام الشبكة على النحو الأمثل على الخدمات عبر مناطق Azure العمومية، مع توفير توفر واستجابة عالية. تستخدم Traffic Manager نظام DNS لتوجيه طلبات العملاء إلى نقطة نهاية الخدمة الأكثر ملاءمة استناداً إلى طريقة توجيه حركة نقل البيانات وسلامة نقطة النهاية. إن نقطة النهاية عبارة عن أي خدمة تعمل عبر الإنترنت وتتم استضافتها داخل Azure أو خارجها. يراقب مدير حركة المرور نقاط النهاية ولا يوجه حركة المرور إلى أي نقاط نهاية غير متوفرة.

تعرّف على المزيد:

• نظرة عامة على مدير حركة المرور في Azure

المراقبة والكشف عن التهديدات

يوفر Azure إمكانات لمساعدتك في هذا المجال الرئيسي من خلال الكشف المبكر عن حركة مرور الشبكة ومراقبتها وجمعها ومراجعتها.

Azure Network Watcher

يمكن أن يساعدك Azure Network Watcher في استكشاف الأخطاء وإصلاحها، ويوفر مجموعة جديدة تماما من الأدوات للمساعدة في تحديد مشكلات الأمان.

تساعد طريقة عرض مجموعة الأمان في التدقيق والامتثال الأمني للأجهزة الظاهرية. استخدم هذه الميزة لإجراء عمليات تدقيق برمجية، ومقارنة السياسات الأساسية التي تحددها مؤسستك بالقواعد الفعالة لكل جهاز من أجهزة VMs. يمكن أن يساعدك ذلك في تحديد أي انحراف في التكوين.

يتيح لك التقاط الحزم التقاط حركة مرور الشبكة من وإلى الجهاز الظاهري. يمكنك جمع إحصائيات الشبكة واستكشاف مشكلات التطبيق وإصلاحها ، والتي يمكن أن تكون لا تقدر بثمن في التحقيق في اختراقات الشبكة. يمكنك أيضا استخدام هذه الميزة مع وظائف Azure لبدء عمليات التقاط الشبكة استجابة لتنبيهات Azure محددة.

لمزيد من المعلومات حول مراقب الشبكة وكيفية بدء اختبار بعض الوظائف في مختبراتك، راجع نظرة عامة على مراقبة مراقب شبكة Azure.

ملاحظة

للحصول على أحدث الإعلامات حول توفر هذه الخدمة وحالتها، راجع صفحة تحديثات Azure.

Microsoft Defender للسحابة

يساعدك Microsoft Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها، ويوفر لك رؤية متزايدة لأمان موارد Azure والتحكم فيها. فهو يوفر مراقبة أمنية متكاملة وإدارة للنهج عبر اشتراكات Azure الخاصة بك، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع مجموعة كبيرة من حلول الأمان.

يساعدك Defender for Cloud على تحسين أمان الشبكة ومراقبته من خلال:

• تقديم توصيات أمن الشبكات.
• مراقبة حالة تكوين أمان الشبكة.
• تنبيهك إلى التهديدات المستندة إلى الشبكة، سواء على مستوى نقطة النهاية أو الشبكة.

تعرّف على المزيد:

• مقدمة إلى Microsoft Defender for Cloud

الشبكة الافتراضية TAP

تتيح لك شبكة Azure الظاهرية TAP (نقطة الوصول الطرفية) دفق حركة مرور شبكة الجهاز الظاهري باستمرار إلى أداة تجميع حزم الشبكة أو أداة التحليلات. يتم توفير أداة التجميع أو التحليلات من قبل شريك جهاز افتراضي للشبكة. يمكنك استخدام نفس مورد TAP للشبكة الظاهرية لتجميع حركة المرور من واجهات شبكة متعددة في نفس الاشتراكات أو اشتراكات مختلفة.

تعرّف على المزيد:

• TAP للشبكة الظاهرية

تسجيل الدخول

يعد التسجيل على مستوى الشبكة وظيفة رئيسية لأي سيناريو أمان شبكة. في Azure، يمكنك تسجيل المعلومات التي تم الحصول عليها ل NSGs للحصول على معلومات التسجيل على مستوى الشبكة. مع تسجيل NSG ، يمكنك الحصول على معلومات من:

• سجلات النشاط. استخدم هذه السجلات لعرض جميع العمليات المرسلة إلى اشتراكات Azure الخاصة بك. يتم تمكين هذه السجلات افتراضيا، ويمكن استخدامها داخل مدخل Azure. كانت تعرف سابقا باسم سجلات التدقيق أو التشغيل.
• سجلات الأحداث. وتوفر هذه السجلات معلومات عن قواعد مجموعة موردي المواد النووية التي تم تطبيقها.
• سجلات العداد. تتيح لك هذه السجلات معرفة عدد المرات التي تم فيها تطبيق كل قاعدة NSG لرفض حركة المرور أو السماح بها.

يمكنك أيضا استخدام Microsoft Power BI، وهي أداة قوية لتصور البيانات، لعرض هذه السجلات وتحليلها. تعرّف على المزيد:

• سجلات مراقبة Azure لمجموعات أمان الشبكة (NSGs)