Share via

نظرة عامة على أمان شبكة Azure

  • مقالة

يمكن أن يكون تعريف أمان الشبكة على أنه عملية حماية الموارد من الوصول غير المصرّح به أو الهجوم من خلال تطبيق عناصر التحكم على نسبة استخدام الشبكة. الهدف هة الحرص على السماح لنسبة استخدام شبكة شرعية واحدة. يتضمن Azure بنية أساسية قوية لشبكة الاتصال لدعم متطلبات الاتصال للتطبيق والخدمة. اتصال الشبكة ممكن بين الموارد الموجودة في Azure، وبين الموارد المحلية وAzure المستضافة، وإلى ومن الإنترنت وAzure.

تتناول هذه المقالة بعض الخيارات التي يقدمها Azure في مجال أمان الشبكة. يمكنك معرفة المزيد عن:

  • شبكة Azure
  • التحكم في الوصول إلى الشبكة
  • جدار حماية Azure
  • تأمين الوصول عن بعد والاتصال عبر أماكن العمل
  • التوفر
  • تحليل الاسم
  • بنية الشبكة المحيطة (DMZ)
  • حماية Azure DDo
  • Azure Front Door
  • مدير نسبة استخدام الشبكة
  • المراقبة والكشف عن التهديدات

ملاحظة

بالنسبة لأحمال عمل الويب، نوصي بشدة باستخدام حماية Azure DDoSوجدار حماية تطبيق الويب للحماية من هجمات DDoS الناشئة. خيار آخر هو نشر Azure Front Door جنبا إلى جنب مع جدار حماية تطبيق الويب. يوفر Azure Front Door حماية على مستوى النظام الأساسي ضد هجمات DDoS على مستوى الشبكة.

شبكة Azure

يتطلب Azure توصيل الأجهزة الظاهرية بشبكة Azure الظاهرية. الشبكة الظاهرية هي بنية منطقية مبنية فوق نسيج شبكة Azure الفعلي. يتم عزل كل شبكة ظاهرية من كل الشبكات الظاهرية الأخرى. يساعد هذا في ضمان عدم إمكانية وصول عملاء Azure الآخرين إلى نسبة استخدام الشبكة في عمليات التوزيع الخاصة بك.

تعرّف على المزيد:

التحكم في الوصول إلى الشبكة

التحكم في الوصول إلى الشبكة هو إجراء تقييد الاتصال من وإلى أجهزة أو شبكات فرعية معينة داخل شبكة ظاهرية. الهدف من التحكم في الوصول إلى الشبكة هو الحد من الوصول إلى الأجهزة والخدمات الظاهرية للمستخدمين والأجهزة المعتمدة. تستند عناصر التحكم في الوصول إلى قرارات السماح بالاتصالات من وإلى الجهاز الظاهري أو الخدمة أو رفضها.

يدعم Azure عدة أنواع من التحكم في الوصول إلى الشبكة، مثل:

  • التحكم في طبقة الشبكة
  • تحكم في المسار والنفق القسري
  • خيارات الأمـان للشبكة الظاهرية

التحكم في طبقة الشبكة

يتطلب أي توزيع آمن قدرًا من التحكم في الوصول إلى الشبكة. الهدف من التحكم في الوصول إلى الشبكة هو تقييد اتصال الجهاز الظاهري بالأنظمة الضرورية. يتم حظر محاولات الاتصال الأخرى.

ملاحظة

تتم تغطية جدران حماية التخزين في مقالة نظرة عامة على أمان تخزين Azure

قواعد أمان الشبكة (NSGs)

إذا كنت بحاجة إلى التحكم الأساسي في الوصول على مستوى الشبكة (استنادًا إلى عنوان IP وبروتوكولات TCP أو UDP)، يمكنك استخدام مجموعات أمان الشبكة (NSGs). NSG هو جدار حماية أساسي ذو حالة وتصفية حزمة بيانات، ويمكنك من التحكم في الوصول استنادا إلى 5 مجموعات. تتضمن مجموعات أمان الشبكة وظائف لتبسيط الإدارة وتقليل فرص أخطاء التكوين:

  • تبسط قواعد الأمان المعززة تعريف قاعدة NSG وتسمح لك بإنشاء قواعد معقدة بدلًا من الاضطرار إلى إنشاء قواعد بسيطة متعددة لتحقيق نفس النتيجة.
  • علامات الخدمة هي تسميات أنشأتها Microsoft تمثل مجموعة من عناوين IP. يتم تحديثها ديناميكيا لتضمين نطاقات IP التي تفي بالشروط التي تحدد التضمين في التسمية. على سبيل المثال، إذا كنت تريد إنشاء قاعدة تنطبق على جميع تخزين Azure في المنطقة الشرقية، يمكنك استخدام Storage.EastUS
  • تسمح لك مجموعات أمان التطبيقات بنشر الموارد إلى مجموعات التطبيقات والتحكم في الوصول إلى هذه الموارد عن طريق إنشاء قواعد تستخدم مجموعات التطبيقات هذه. على سبيل المثال، إذا كان لديك خوادم ويب منشورة في مجموعة تطبيقات "خوادم الويب"، يمكنك إنشاء قاعدة تطبق NSG تسمح بنسبة استخدام الشبكة 443 من الإنترنت إلى جميع الأنظمة في مجموعة تطبيقات "خوادم الويب".

لا تتوفر NSGs فحص طبقة التطبيق أو عناصر تحكم الوصول المصادق عليها.

تعرّف على المزيد:

Defender للسحابة - الوصول إلى الجهاز الظاهري في الوقت المناسب

يمكن ل Microsoft Defender for Cloud إدارة مجموعات أمان الشبكة على الأجهزة الظاهرية وتأمين الوصول إلى الجهاز الظاهري حتى يطلب المستخدم الذي لديه التحكم المناسب في الوصول المستند إلى دور Azure أذونات Azure RBAC الوصول. عندما يكون المستخدم معتمدا بنجاح يقوم Defender for Cloud بإجراء تعديلات على NSGs للسماح بالوصول إلى المنافذ المحددة للوقت المحدد. عندما تنتهي صلاحية الوقت، تتم استعادة مجموعات أمان الشبكة إلى حالتها الآمنة السابقة.

تعرّف على المزيد:

نقاط نهاية الخدمة

نقاط نهاية الخدمة هي طريقة أخرى لتطبيق التحكم في نسبة استخدام الشبكة. يمكنك تقييد الاتصال بالخدمات المدعومة بالشبكات الظاهرية الخاصة بك فقط عبر اتصال مباشر. دائمًا ما تبقى نسبة الاستخدام من VNet المحددة إلى خدمة Azure على الشبكة الأساسية لـ Microsoft Azure.

تعرّف على المزيد:

تحكم في المسار والنفق القسري

تعد القدرة على التحكم في سلوك التوجيه على الشبكات الظاهرية أمرا بالغ الأهمية. إذا تم تكوين التوجيه بشكل غير صحيح، فقد تتصل التطبيقات والخدمات المستضافة على جهازك الظاهري بالأجهزة غير المصرح بها، بما في ذلك الأنظمة المملوكة والمشغلة من قبل المهاجمين المحتملين.

تدعم شبكة Azure القدرة على تخصيص سلوك التوجيه لنسبة استخدام الشبكة على الشبكات الظاهرية. يمكنك هذا من تغيير إدخالات جدول التوجيه الافتراضية في شبكتك الظاهرية. يساعدك التحكم في سلوك التوجيه على التأكد من أن كل نسبة استخدام الشبكة من جهاز معين أو مجموعة من الأجهزة تدخل شبكتك الظاهرية أو تغادرها من خلال موقع معين.

على سبيل المثال، قد يكون لديك جهاز أمان شبكة ظاهرية على شبكتك الظاهرية. تريد التأكد من أن جميع نسبة استخدام الشبكة من وإلى شبكتك الظاهرية تمر عبر جهاز الأمان الظاهري هذا. يمكنك القيام بذلك عن طريق تكوين المسارات المعرفة من قبل المستخدم (UDRs) في Azure.

التوجيه النفقي القسريهو آلية يمكنك استخدامها لضمان عدم السماح لخدماتك ببدء الاتصال بالأجهزة عبر الإنترنت. لاحظ أن هذا يختلف عن قبول الاتصالات الواردة ثم الاستجابة لها. تحتاج خوادم الويب الأمامية إلى الاستجابة للطلبات الواردة من مضيفي الإنترنت، لذلك يسمح بنسبة استخدام الشبكة المصدر عبر الإنترنت الواردة إلى خوادم الويب هذه ويسمح لخوادم الويب بالاستجابة.

ما لا تريد السماح به هو خادم ويب أمامي لبدء طلب صادر. قد تمثل هذه الطلبات خطرًا أمنيًا لأنه يمكن استخدام هذه الاتصالات لتنزيل البرامج الضارة. حتى إذا كنت تريد أن تبدأ هذه الخوادم الأمامية الطلبات الصادرة إلى الإنترنت، فقد ترغب في إجبارها على الانتقال عبر وكلاء الويب المحليين. يمكنك هذا من الاستفادة من تصفية عنوان URL وتسجيله.

بدلًا من ذلك، قد ترغب في استخدام الاتصال النفقي القسري لمنع ذلك. عند تمكين الاتصال النفقي القسري، يتم فرض جميع الاتصالات بالإنترنت من خلال البوابة المحلية. يمكنك تكوين الاتصال النفقي القسري من خلال الاستفادة من UDRs.

تعرّف على المزيد:

خيارات الأمـان للشبكة الظاهرية

بينما توفر لك NSGs وUDRs والنفق القسري مستوى من الأمان في طبقات الشبكة والنقل من نموذج OSI، قد تحتاج أيضًا إلى تمكين الأمان على مستويات أعلى من الشبكة.

على سبيل المثال، قد تتضمن متطلبات الأمان ما يلي:

  • المصادقة والتخويل قبل السماح بالوصول إلى تطبيقك
  • الكشف عن الاختراق والقضاء على التدخل
  • فحص طبقة التطبيق للبروتوكولات عالية المستوى
  • تصفية URL
  • مكافحة الفيروسات على مستوى الشبكة ومكافحة البرامج الضارة
  • الحماية من الروبوت
  • التحكم في الوصول إلى التطبيق
  • حماية DDoS إضافية (أعلى حماية DDoS التي يوفرها نسيج Azure نفسه)

يمكنك الوصول إلى ميزات أمان الشبكة المحسنة هذه باستخدام حل شريك Azure. يمكنك العثور على أحدث حلول أمان لشبكة شريك Azure من خلال زيارة Azure Marketplace والبحث عن "الأمان" و"أمان الشبكة."

جدار حماية Azure

Azure Firewall: تصبح خدمة أمان جدار الحماية للشبكة الأصلية والذكية على السحابة توفر حماية من التهديدات لأحمال العمل السحابية التي تعمل في Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة. يوفر كل من التفتيش المروري بين الشرق والغرب والشمال والجنوب.

يتم تقديم Azure Firewall في ثلاث وحدات SKU: Standard وPremium و Basic. يوفرAzure Firewall Standard تصفية L3-L7 وموجزات التحليل الذكي للمخاطر مباشرة من تطبيق Microsoft Cyber Security. يوفرAzure Firewall Premium القدرات المتقدمة IDPS المستندة إلى التوقيع للسماح بالكشف السريع عن الهجمات من خلال البحث عن أنماط محددة. Azure Firewall Basic هو SKU مبسط يوفر نفس مستوى الأمان مثل SKU القياسي ولكن دون الإمكانات المتقدمة.

تعرّف على المزيد:

تأمين الوصول عن بعد والاتصال عبر أماكن العمل

يجب إعداد موارد Azure وتكوينها وإدارتها عن بعد. بالإضافة إلى ذلك، قد ترغب في نشر حلول تكنولوجيا المعلومات المختلطة التي تحتوي على مكونات محلية وفي سحابة Azure العامة. تتطلب هذه السيناريوهات وصولا آمنا عن بعد.

تدعم شبكة Azure سيناريوهات الوصول الآمنة التالية عن بعد:

  • توصيل محطات العمل الفردية بشبكة ظاهرية
  • اتصال الشبكة المحلية بشبكة ظاهرية باستخدام VPN
  • توصيل شبكتك المحلية بشبكة ظاهرية باستخدام ارتباط WAN مخصص
  • توصيل الشبكات الظاهرية ببعضها

توصيل محطات العمل الفردية بشبكة ظاهرية

قد ترغب في تمكين المطورين الفرديين أو موظفي العمليات من إدارة الأجهزة والخدمات الظاهرية في Azure. على سبيل المثال، لنفترض أنك بحاجة إلى الوصول إلى جهاز ظاهري على شبكة ظاهرية. ولكن نهج الأمان الخاص بك لا يسمح بوصول RDP أو SSH عن بعد إلى الأجهزة الظاهرية الفردية. في هذه الحالة، يمكنك استخدام اتصال VPN من نقطة إلى موقع.

يمكنك اتصال VPN من نقطة إلى موقع من إعداد اتصال خاص وآمن بين المستخدم والشبكة الظاهرية. عند تأسيس اتصال VPN، يمكن للمستخدم RDP أو SSH عبر رابط VPN في أي جهاز ظاهري على الشبكة الظاهرية. (يفترض هذا أن المستخدم يمكنه المصادقة وهو مصرح به.) تدعم VPN من نقطة إلى موقع ما يلي:

  • ⁧⁩بروتوكول نفق مقبس التوصيل الآمن (SSTP)⁧⁩، بروتوكول VPN يستند إلى TLS. يمكن لحل SSL VPN اختراق جدران الحماية، نظرًا لأن معظم جدران الحماية تفتح منفذ TCP 443، والذي يستخدمه TLS/SSL. يتم اعتماد SSTP فقط على أجهزة Windows. يدعم Azure كافة إصدارات Windows التي تحتوي على SSTP (Windows 7 والإصدارات الأحدث).

  • يعتبر مفتاح الإنترنت التبادلي الإصذار 2 لشبكة ظاهرية خاصة، حل أمان برتوكول الإنترنت للشبكة الظاهرية الخاصة standards-based. يمكن استخدام IKEv2 VPN للاتصال من أجهزة Mac (إصدارات OSX 10.11 وما فوق).

  • ⁩OpenVPN⁧

تعرّف على المزيد:

اتصال الشبكة المحلية بشبكة ظاهرية باستخدام VPN

قد ترغب في توصيل شبكة شركتك بأكملها، أو أجزاء منها، بشبكة ظاهرية. هذا شائع في سيناريوهات تكنولوجيا المعلومات المختلطة، حيث توسع المؤسسات مركز البيانات المحلي الخاص بها إلى Azure. في كثير من الحالات، تستضيف المؤسسات أجزاء من خدمة في Azure، وأجزاء محلية. على سبيل المثال، قد يفعلون ذلك عندما يتضمن الحل خوادم الويب الأمامية في قواعد بيانات Azure والخلفية المحلية. تجعل هذه الأنواع من الاتصالات "الداخلية" أيضا إدارة الموارد الموجودة في Azure أكثر أمانا، وتمكن سيناريوهات مثل توسيع وحدات تحكم مجال Active Directory إلى Azure.

إحدى الطرق لتحقيق ذلك هي استخدام VPN من موقع إلى موقع. الفرق بين VPN من موقع إلى موقع وVPN من نقطة إلى موقع هو أن الأخير يربط جهازًا واحدًا بشبكة ظاهرية. تقوم VPN من موقع إلى موقع بتوصيل شبكة كاملة (مثل شبكتك المحلية) بشبكة ظاهرية. تستخدم الشبكات الظاهرية الخاصة من موقع إلى موقع إلى شبكة ظاهرية بروتوكول VPN لوضع نفق IPsec الآمن للغاية.

تعرّف على المزيد:

تعتبر اتصالات VPN من نقطة إلى موقع ومن موقع إلى موقع فعالة لتمكين الاتصال عبر أماكن العمل. ومع ذلك، تعتبر بعض المؤسسات أن لها العيوب التالية:

  • تنقل اتصالات VPN البيانات عبر الإنترنت. يعرض هذا هذه الاتصالات لمشكلات الأمان المحتملة التي ينطوي عليها نقل البيانات عبر شبكة عامة. بالإضافة إلى ذلك، لا يمكن ضمان الموثوقية والتوافر لاتصالات الإنترنت.
  • قد لا يكون لاتصالات VPN بالشبكات الظاهرية النطاق الترددي لبعض التطبيقات والأغراض، حيث تبلغ أقصى حد لها في حوالي 200 ميجابت في الثانية.

عادة ما تستخدم المؤسسات التي تحتاج إلى أعلى مستوى من الأمان والتوفر لاتصالاتها عبر أماكن العمل ارتباطات WAN مخصصة للاتصال بالمواقع البعيدة. يوفر لك Azure القدرة على استخدام ارتباط WAN مخصص يمكنك استخدامه لتوصيل شبكتك المحلية بشبكة ظاهرية. يتيح الوصول العمومي لمسار Azure ExpressRoute والمسار السريع المباشر وExpress هذا.

تعرّف على المزيد:

توصيل الشبكات الظاهرية ببعضها

من الممكن استخدام العديد من الشبكات الظاهرية في عمليات التوزيع الخاصة بك. هناك أسباب مختلفة وراء قيامك بذلك. قد ترغب في تبسيط الإدارة، أو قد ترغب في زيادة الأمان. بغض النظر عن الدافع لوضع الموارد على شبكات ظاهرية مختلفة، قد تكون هناك أوقات تريد فيها أن تتصل الموارد على كل شبكة من الشبكات ببعضها البعض.

أحد الخيارات هو أن تتصل الخدمات الموجودة على شبكة ظاهرية واحدة بالخدمات على شبكة ظاهرية أخرى، عن طريق "إعادة التكرار" عبر الإنترنت. يبدأ الاتصال على شبكة ظاهرية واحدة، ويمر عبر الإنترنت، ثم يعود إلى الشبكة الظاهرية الوجهة. يعرض هذا الخيار الاتصال بمشكلات الأمان الكامنة في أي اتصال مستند إلى الإنترنت.

قد يكون الخيار الأفضل هو إنشاء VPN من موقع إلى موقع يتصل بين شبكتين ظاهريتين. يستخدم هذا الأسلوب نفس بروتوكول وضع نفق IPSec مثل اتصال VPN من موقع إلى موقع الوارد أعلاه.

تتمثل ميزة هذا النهج في إنشاء اتصال VPN عبر نسيج شبكة Azure، بدلًا من الاتصال عبر الإنترنت. يوفر لك هذا طبقة إضافية من الأمان، مقارنة بالشبكات الظاهرية الخاصة من موقع إلى موقع التي تتصل عبر الإنترنت.

تعرّف على المزيد:

طريقة أخرى لتوصيل الشبكات الظاهرية الخاصة بك هي تناظر VNET. تسمح لك هذه الميزة بتوصيل شبكتين من شبكات Azure بحيث يحدث الاتصال بينهما عبر البنية الأساسية لـMicrosoft دون أن تنتقل عبر الإنترنت. يمكن أن يربط نظير VNET اثنين من VNETs داخل نفس المنطقة أو اثنين من VNETs عبر مناطق Azure. يمكن استخدام مجموعات أمان الشبكة للحد من الاتصال بين الشبكات الفرعية أو الأنظمة المختلفة.

التوفر

التوفر هو مكون رئيسي لأي برنامج أمان. إذا لم يتمكن المستخدمون والأنظمة من الوصول إلى ما يحتاجون إليه للوصول عبر الشبكة، يمكن اعتبار الخدمة مخترقة. لدى Azure تقنيات الشبكات التي تدعم آليات التوفر العالي التالية:

  • موازنة التحميل المستندة إلى HTTP
  • موازنة التحميل على مستوى الشبكة
  • موازنة التحميل العالمية

موازنة التحميل هي آلية مصممة لتوزيع الاتصالات على قدم المساواة بين أجهزة متعددة. أهداف موازنة التحميل هي:

  • لزيادة التوفر. عند تحميل اتصالات الرصيد عبر أجهزة متعددة، يمكن أن يصبح جهاز واحد أو أكثر غير متوفر دون المساس بالخدمة. يمكن للخدمات التي تعمل على الأجهزة المتبقية عبر الإنترنت الاستمرار في خدمة المحتوى من الخدمة.
  • لزيادة الأداء. عند تحميل اتصالات التوازن عبر أجهزة متعددة، لا يتعين على جهاز واحد التعامل مع جميع المعالجات. بدلًا من ذلك، تنتشر متطلبات المعالجة والذاكرة لخدمة المحتوى عبر أجهزة متعددة.

موازنة التحميل المستندة إلى HTTP

غالبًا ما ترغب المؤسسات التي تقوم بتشغيل الخدمات المستندة إلى الويب في الحصول على موازن تحميل يستند إلى HTTP أمام خدمات الويب هذه. وهذا يساعد على ضمان مستويات كافية من الأداء وقابلية وصول عالية. تعتمد موازنات التحميل التقليدية المستندة إلى الشبكة على بروتوكولات طبقة الشبكة والنقل. من ناحية أخرى، تتخذ موازنات التحميل المستندة إلى HTTP قرارات بناء على خصائص بروتوكول HTTP.

توفر بوابة تطبيق Azure موازنة التحميل المستندة إلى HTTP للخدمات المستندة إلى الويب. تدعم بوابة التطبيق:

  • مستند علي-Cookie صلة الجلسة . تتأكد هذه الإمكانية من أن الاتصالات التي تم إنشاؤها إلى أحد الخوادم خلف موازن التحميل هذا تبقى سليمة بين العميل والخادم. وهذا يضمن استقرار المعاملات.
  • إلغاء تحميل TLS. عندما يتصل عميل بموازن التحميل، يتم تشفير جلسة العمل هذه باستخدام بروتوكول HTTPS (TLS). ومع ذلك، من أجل زيادة الأداء، يمكنك استخدام بروتوكول HTTP (غير مشفر) للاتصال بين موازن التحميل وخادم الويب خلف موازن التحميل. يشار إلى هذا باسم "تفريغ TLS"، لأن خوادم الويب خلف موازن التحميل لا تواجه حمل المعالج المضمن في التشفير. لذلك يمكن لخوادم الويب تقديم طلبات الخدمة بسرعة أكبر.
  • توجيه المحتوى المستند إلى عنوان URL. تتيح هذه الميزة لموازن التحميل اتخاذ قرارات حول مكان إعادة توجيه الاتصالات استنادا إلى عنوان URL الهدف. يوفر هذا مرونة أكثر بكثير من الحلول التي تتخذ قرارات موازنة التحميل استنادا إلى عناوين IP.

تعرّف على المزيد:

موازنة التحميل على مستوى الشبكة

على النقيض من موازنة التحميل المستندة إلى HTTP، تتخذ موازنة التحميل على مستوى الشبكة قرارات بناء على عنوان IP وأرقام المنفذ (TCP أو UDP). يمكنك الحصول على فوائد موازنة التحميل على مستوى الشبكة في Azure باستخدام Azure Load Balancer. تتضمن بعض الخصائص الرئيسية لموازن التحميل ما يلي:

  • موازنة التحميل على مستوى الشبكة استنادا إلى عنوان IP وأرقام المنافذ.
  • دعم أي بروتوكول طبقة تطبيق.
  • تحميل الأرصدة إلى أجهزة Azure الظاهرية ومثيلات دور الخدمات السحابية.
  • يمكن استخدامها لكل من التطبيقات التي تواجه الإنترنت (موازنة التحميل الخارجية) والتطبيقات غير المتصلة بالإنترنت (موازنة التحميل الداخلية) والأجهزة الظاهرية.
  • مراقبة نقطة النهاية، والتي تستخدم لتحديد ما إذا كانت أي من الخدمات خلف موازن التحميل أصبحت غير متوفرة.

تعرّف على المزيد:

موازنة التحميل العالمية

ترغب بعض المؤسسات في الحصول على أعلى مستوى ممكن من التوفر. إحدى الطرق للوصول إلى هذا الهدف هي استضافة التطبيقات في مراكز البيانات الموزعة عالميًا. عند استضافة تطبيق في مراكز البيانات الموجودة في جميع أنحاء العالم، من الممكن أن تصبح منطقة جيوسياسية بأكملها غير متوفرة، ولا يزال التطبيق قيد التشغيل.

يمكن أن تؤدي استراتيجية موازنة التحميل هذه أيضًا إلى فوائد الأداء. يمكنك توجيه طلبات الخدمة إلى مركز البيانات الأقرب إلى الجهاز الذي يقوم بالطلب.

في Azure، يمكنك الحصول على فوائد موازنة التحميل العمومية باستخدام Azure Traffic Manager.

تعرّف على المزيد:

تحليل الاسم

تحليل الاسم هو دالة هامة لجميع الخدمات التي تستضيفها في Azure. من منظور الأمان، يمكن أن يؤدي اختراق وظيفة تحليل الاسم إلى إعادة توجيه المهاجم للطلبات من مواقعك إلى موقع المهاجم. يعد تحليل الاسم الآمن شرطًا لجميع الخدمات المستضافة على السحابة.

هناك نوعان من تحليل الاسم الذي تحتاج إلى معالجته:

  • تحليل الاسم الداخلي. يتم استخدام هذا بواسطة الخدمات الموجودة على الشبكات الظاهرية أو الشبكات المحلية أو كليهما. لا يمكن الوصول إلى الأسماء المستخدمة لتحليل الاسم الداخلي عبر الإنترنت. للحصول على الأمان الأمثل، من المهم ألا يكون نظام تحليل الاسم الداخلي الخاص بك متاحا للمستخدمين الخارجيين.
  • تحليل الاسم الخارجي. يتم استخدام هذا من قبل الأشخاص والأجهزة خارج الشبكات المحلية والشبكات الظاهرية. هذه هي الأسماء المرئية للإنترنت، وتستخدم للاتصال المباشر بخدماتك المستندة إلى السحابة.

لتحليل الاسم الداخلي، لديك خياران:

  • خادم DNS للشبكة الظاهرية. عند إنشاء شبكة ظاهرية جديدة، يتم إنشاء خادم DNS لك. يمكن لخادم DNS هذا حل أسماء الأجهزة الموجودة على تلك الشبكة الظاهرية. خادم DNS هذا غير قابل للتكوين، ويديره مدير نسيج Azure، وبالتالي يمكن أن يساعدك في تأمين حل تحليل الاسم الخاص بك.
  • أحضر خادم DNS الخاص بك. لديك خيار وضع خادم DNS من اختيارك على شبكتك الظاهرية. يمكن أن يكون خادم DNS هذا خادم DNS متكامل لـ Active Directory، أو حل خادم DNS مخصص يوفره شريك Azure، والذي يمكنك الحصول عليه من Azure Marketplace.

تعرّف على المزيد:

لتحليل الاسم الخارجي، لديك خياران:

  • استضافة خادم DNS الخارجي الخاص بك محليًا.
  • استضافة خادم DNS الخارجي الخاص بك مع موفر خدمة.

تستضيف العديد من المؤسسات الكبيرة خوادم DNS الخاصة بها محليًا. يمكنهم القيام بذلك لأن لديهم خبرة في الشبكات ووجود عالمي للقيام بذلك.

في معظم الحالات، من الأفضل استضافة خدمات تحليل اسم DNS مع موفر خدمة. يتمتع موفرو الخدمات هؤلاء بخبرة في الشبكة ووجود عالمي لضمان توفر عال جدا لخدمات تحليل اسمك. التوفر ضروري لخدمات DNS، لأنه إذا فشلت خدمات تحليل الاسم، فلن يتمكن أي شخص من الوصول إلى الخدمات التي تواجه الإنترنت.

يوفر لك Azure حل DNS خارجي عالي التوفر وعالي الأداء في شكل Azure DNS. يستفيد حل تحليل الاسم الخارجي هذا من البنية الأساسية لـAzure DNS في جميع أنحاء العالم. يسمح لك باستضافة مجالك في Azure، باستخدام نفس بيانات الاعتماد وواجهات برمجة التطبيقات والأدوات والفوترة مثل خدمات Azure الأخرى. كجزء من Azure، فإنه يرث أيضًا عناصر التحكم الأمنية القوية المضمنة في النظام الأساسي.

تعرّف على المزيد:

بنية الشبكة المحيطة

تستخدم العديد من المؤسسات الكبيرة شبكات محيطية لتقسيم شبكاتها، وإنشاء منطقة عازلة بين الإنترنت وخدماتها. يعتبر الجزء المحيط من الشبكة منطقة منخفضة الأمان، ولا يتم وضع أي أصول عالية القيمة في مقطع الشبكة هذا. سترى عادة أجهزة أمان الشبكة التي تحتوي على واجهة شبكة اتصال على مقطع الشبكة المحيط. يتم توصيل واجهة شبكة أخرى بشبكة تحتوي على أجهزة وخدمات ظاهرية تقبل الاتصالات الواردة من الإنترنت.

يمكنك تصميم الشبكات المحيطة بعدة طرق مختلفة. يعتمد قرار نشر شبكة محيطة، ثم نوع الشبكة المحيطة التي يجب استخدامها إذا قررت استخدام واحدة، على متطلبات أمان الشبكة.

تعرّف على المزيد:

حماية Azure DDo

الهجوم المُوزع لحجب الخدمة (DDoS) هو من أكبر مخاوف التوفّر والأمان التي تواجه العملاء الذين ينقلون تطبيقاتهم إلى السحابة. يحاول هجوم رفض الخدمة الموزع (DDoS) استنفاد موارد التطبيق، ما يجعل التطبيق غير متاح للمستخدمين الشرعيين. يمكن استهداف هجمات DDoS في أي نقطة نهاية يمكن الوصول إليها بشكل عام عبر الإنترنت.

تتضمن ميزات حماية DDoS ما يلي:

  • تكامل النظام الأساسي المحلي: مُدمج محلياً مع Azure. يتضمن التكوين من خلال مدخل Azure. تفهم حماية DDoS مواردك وتكوين الموارد.
  • حماية المفتاح الرئيسي: يحمي التكوين المبسط على الفور جميع الموارد على شبكة ظاهرية بمجرد تمكين حماية DDoS. لا يلزم التدخل أو تعريف المستخدم. تخفف حماية DDoS من الهجوم فورا وتلقائية، بمجرد اكتشافه.
  • مراقبة دائمة لنسبة استخدام الشبكة: تُراقب أنماط نسبة استخدام الشبكة لتطبيقك على مدار الساعة طوال أيام الأسبوع بحثًا عن مؤشرات هجوم مُوزع لحجب الخدمة. يتم تنفيذ التخفيف عند تجاوز نهج الحماية.
  • تقارير التخفيف من حدة الهجوم تستخدم تقارير التخفيف من الهجمات بيانات تدفق الشبكة المجمعة لتوفير معلومات مفصلة حول الهجمات التي تستهدف مواردك.
  • سجلات تدفق التخفيف من حدة الهجوم تسمح لك سجلات تدفق تخفيف الهجوم بمراجعة نسبة استخدام الشبكة التي تم إسقاطها وحركة المرور التي تمت إعادة توجيهها وبيانات الهجوم الأخرى في الوقت الفعلي تقريبا أثناء هجوم DDoS نشط.
  • الضبط التكيفي: يتعلم جمع معلومات نسبة استخدام الشبكة الذكي نسبة استخدام شبكة التطبيق بمرور الوقت، ويحدد ملف التعريف الأنسب لخدمتك ويحدثه. يتم ضبط ملف التعريف مع تغير نسبة استخدام الشبكة بمرور الوقت. حماية الطبقة 3 إلى الطبقة 7: توفر حماية DDoS الكاملة للمكدس، عند استخدامها مع جدار حماية تطبيق الويب.
  • مقياس التخفيف الشامل: يمكن التخفيف من أكثر من 60 نوعا مختلفا من الهجمات، مع القدرة العالمية، للحماية من أكبر هجمات DDoS المعروفة.
  • مقاييس الهجوم: يمكن الوصول إلى المقاييس المُلخصة من كل هجوم من خلال Azure Monitor.
  • تنبيهات الهجوم: يمكن تكوين التنبيهات عند بداية الهجوم ونهايته وخلال مدة الهجوم باستخدام مقاييس الهجوم المُضمنة. تتكامل التنبيهات في برنامجك التشغيلي مثل سجلات Microsoft Azure Monitor وSplunk وAzure Storage والبريد الإلكتروني ومدخل Azure.
  • ضمان التكلفة: أرصدة خدمة نقل البيانات وتوسيع نطاق التطبيق لهجمات DDoS الموثقة.
  • استجابة DDoS Rapid يمكن لعملاء حماية DDoS الآن الوصول إلى فريق الاستجابة السريعة أثناء هجوم نشط. يمكن أن يساعد DRR في التحقيق في الهجوم، والتخفيف المخصص في أثناء الهجوم وتحليل ما بعد الهجوم.

تعرّف على المزيد:

Azure Front Door

يتيح لك Azure Front Door خدمة تحديد التوجيه العام تطبيق الويب وإدارته ومراقبته. فهو يحسن توجيه نسبة استخدام الشبكة للحصول على أفضل أداء وقابلية وصول عالية. يسمح لك Azure Front Door بكتابة قواعد جدار حماية تطبيق الويب المخصص للتحكم في الوصول لحماية حمل عمل HTTP/HTTPS من الاستغلال استناداً إلى عناوين IP للعميل وتعليمات البلد البرمجية ومعلمات http. بالإضافة إلى ذلك، يمكنك Front Door أيضًا من إنشاء قواعد تحديد المعدل لمعركة نسبة استخدام شبكة الروبوت الضارة، فإنه يتضمن إلغاء تحميل TLS وطلب لكل HTTP/HTTPS، ومعالجة طبقة التطبيق.

النظام الأساسي لـFront Door نفسه محمي بحماية DDoS على مستوى البنية الأساسية لـ Azure. لمزيد من الحماية، قد يتم تمكين Azure DDoS Network Protection في VNETs وحماية الموارد من هجمات طبقة الشبكة (TCP/UDP) عبر الضبط التلقائي والتخفيف. Front Door هو وكيل عكسي للطبقة 7، فإنه يسمح فقط لحركة مرور الويب بالمرور إلى الخوادم الخلفية ومنع أنواع أخرى من نسبة استخدام الشبكة بشكل افتراضي.

ملاحظة

بالنسبة لأحمال عمل الويب، نوصي بشدة باستخدام حماية Azure DDoSوجدار حماية تطبيق الويب للحماية من هجمات DDoS الناشئة. خيار آخر هو نشر Azure Front Door جنبا إلى جنب مع جدار حماية تطبيق الويب. يوفر Azure Front Door حماية على مستوى النظام الأساسي ضد هجمات DDoS على مستوى الشبكة.

تعرّف على المزيد:

Azure Traffic Manager

Azure Traffic Manager هو موازن تحميل نسبة استخدام الشبكة ويستند إلى DNS والذي يمكنك من توزيع نسبة استخدام الشبكة على النحو الأمثل على الخدمات عبر مناطق Azure العمومية، مع توفير توفر واستجابة عالية. تستخدم Traffic Manager نظام DNS لتوجيه طلبات العملاء إلى نقطة نهاية الخدمة الأكثر ملاءمة استناداً إلى طريقة توجيه حركة نقل البيانات وسلامة نقطة النهاية. إن نقطة النهاية عبارة عن أي خدمة تعمل عبر الإنترنت وتتم استضافتها داخل Azure أو خارجها. يراقب مدير نسبة استخدام الشبكة نقاط النهاية ولا يوجه حركة المرور إلى أي نقاط نهاية غير متوفرة.

تعرّف على المزيد:

المراقبة والكشف عن التهديدات

يوفر Azure قدرات لمساعدتك في هذا المجال الرئيسي من خلال الكشف المبكر عن نسبة استخدام الشبكة ومراقبتها وجمعها ومراجعتها.

Azure Network Watcher

يمكن أن يساعدك Azure Network Watcher في استكشاف الأخطاء وإصلاحها، ويوفر مجموعة جديدة كاملة من الأدوات للمساعدة في تحديد مشكلات الأمان.

تساعد طريقة عرض مجموعة الأمان في تدقيق الأجهزة الظاهرية وتوافقها مع الأمان. استخدم هذه الميزة لإجراء عمليات تدقيق برمجية، ومقارنة نهج الأساس التي حددتها مؤسستك بقواعد فعالة لكل جهاز من الأجهزة الظاهرية. يمكن أن يساعدك هذا في تحديد أي انحراف في التكوين.

يسمح لك التقاط الحزمة بالتقاط نسبة استخدام الشبكة من وإلى الجهاز الظاهري. يمكنك جمع إحصائيات الشبكة واستكشاف مشكلات التطبيق وإصلاحها، والتي يمكن أن تكون لا تقدر بثمن في التحقيق في عمليات اختراق الشبكة. يمكنك أيضًا استخدام هذه الميزة مع Azure Functions لبدء التقاطات الشبكة استجابة لتنبيهات Azure محددة.

لمزيد من المعلومات حول Network Watcher وكيفية بدء اختبار بعض الوظائف في مختبراتك، راجع نظرة عامة على مراقبة مراقب شبكة Azure.

ملاحظة

للحصول على أحدث الإعلامات حول توفر هذه الخدمة وحالتها، تحقق من صفحة تحديثات Azure.

Microsoft Defender للسحابة

يساعدك Microsoft Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها من خلال زيادة الرؤية والتحكم في أمان موارد Azure. يوفر مراقبة أمان متكاملة وإدارة سياسة عبر اشتراكات Azure، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع مجموعة كبيرة من الحلول الأمنية.

يساعدك Defender for Cloud على تحسين أمان الشبكة ومراقبته من خلال:

  • تقديم توصيات أمان الشبكة.
  • مراقبة حالة تكوين أمان الشبكة.
  • تنبيهك إلى التهديدات المستندة إلى الشبكة، على كل من مستوى نقطة النهاية والشبكة.

تعرّف على المزيد:

TAP للشبكة الظاهرية

تتيح لك شبكة Azure الظاهرية TAP (نقطة وصول Terminal) دفق بيانات نسبة استخدام شبكة الجهاز الظاهري باستمرار إلى أداة تجميع حزم بيانات الشبكة أو أداة التحليلات. يتم توفير أداة التجميع أو التحليلات من قِبَل شريك جهاز ظاهري للشبكة. يمكنك استخدام مورد TAP نفسه للشبكة الظاهرية لتجميع نسبة استخدام الشبكة من واجهات شبكة متعددة في الاشتراكات نفسها أو اشتراكات مختلفة.

تعرّف على المزيد:

تسجيل الدخول

يعد التسجيل على مستوى الشبكة وظيفة رئيسية لأي سيناريو أمان شبكة. في Azure، يمكنك تسجيل المعلومات التي تم الحصول عليها لـNSGs للحصول على معلومات تسجيل مستوى الشبكة. مع تسجيل NSG، يمكنك الحصول على معلومات من:

  • سجلات النشاط. استخدم هذه السجلات لعرض جميع العمليات المرسلة إلى اشتراكات Azure. يتم تمكين هذه السجلات بشكل افتراضي، ويمكن استخدامها في مدخل Microsoft Azure. كانت تعرف سابقًا باسم سجلات التدقيق أو التشغيل.
  • سجلات الأحداث. توفر هذه السجلات معلومات حول قواعد NSG التي تم تطبيقها.
  • سجلات العداد. تتيح لك هذه السجلات معرفة عدد المرات التي تم فيها تطبيق كل قاعدة NSG لرفض حركة المرور أو السماح بها.

يمكنك أيضًا استخدام Microsoft Power BI، وهي أداة فعالة لتصور البيانات، لعرض هذه السجلات وتحليلها. تعرّف على المزيد: