تأمين شبكة النظام المحوري خاصتك

8 دقائق

يوفر Azure عدداً من الخدمات للمساعدة في تمكين المؤسسات لتأمين البنية الأساسية السحابية لديها وحمايتها. تحتاج مؤسستك إلى فهم كيفية تأمين شبكتها الجديدة، وما هي الخدمات الأخرى المتوفرة من Azure.

في هذه الوحدة، يمكنك استكشاف الشبكات الآمنة في النظام الأساسي ل Azure والاطلاع على نظرة عامة على Azure Firewall. كما تتعلم كيفية تأمين الشبكات الظاهرية باستخدام مجموعات أمان الشبكة.

تأمين تصميم الشبكة على Azure

Diagram of Azure network infrastructure.

يعرض الرسم التخطيطي السابق البنية الأساسية لشبكة Azure، والأساليب التي تتيح لك الاتصال بشكل أكثر أماناً بالبيئة المحلية، والموارد المستضافة في Azure، والإنترنت العام.

هناك العديد من الميزات التي يجب مراعاتها كجزء من تأمين تصميم الشبكة:

شبكة Azure الظاهرية: توفر طبقة أساسية من الأمان عن طريق عزل بيئاتك منطقيا في Azure، لمنع الوصول غير المصرح به أو غير المرغوب فيه.
Azure DNS: خدمة استضافة لأسماء المجالات الخاصة بك. Azure DNS هي خدمة آمنة تدير أسماء المجالات في الشبكة الظاهرية وتحلها.
بوابة تطبيق Azure: جهاز ظاهري مخصص يوفر وحدة تحكم تسليم التطبيق كخدمة، بما في ذلك جدار حماية تطبيق الويب (WAF).
Azure Traffic Manager: خدمة للتحكم في توزيع نسبة استخدام الشبكة للمستخدم في Azure.
Azure Load Balancer: يوفر توفرا عاليا وأداء شبكة لتطبيقات Azure.
الشبكة المحيطة: تقسيم الأصول بين شبكة Azure الظاهرية والإنترنت.

بالإضافة إلى ذلك، ضع في اعتبارك دمج بعض العناصر التالية في بنية الشبكة لديك لتحسين أمان الشبكة:

عناصر التحكم بالوصول إلى الشبكة. تتأكد عناصر التحكم هذه من أن خدمات Azure الخاصة بك يمكن الوصول إليها فقط للمستخدمين والأجهزة التي تريدها.
مجموعات أمان الشبكة كجدار حماية لتصفية الحزمة، للتحكم في نسبة استخدام الشبكة للشبكة الظاهرية.
التحكم في التوجيه، والتوجيه المفروض، لتحديد التوجيهات المخصصة من خلال البنية الأساسية، والتأكد من عدم إمكانية الاتصال بالخدمات بجهاز إنترنت.
تمكين جهاز أمان شبكة افتراضي من خلال Azure Marketplace.
استخدم Azure ExpressRoute للحصول على ارتباط WAN مخصص لتوسيع الشبكات المحلية الخاصة بك بشكل آمن إلى Azure.
Microsoft Defender for Cloud لمنع التهديدات التي تتعرض لها خدمات Azure واكتشافها والاستجابة لها.
Azure Firewall كخدمة أمان شبكة.

توجد مجموعة متنوعة من حلول الأمان لمؤسستك، وكثير منها يكمل بعضها البعض لتوفير المزيد من طبقات الأمان. يجب أن تتوافق مؤسستك مع أفضل الممارسات الموصى بها من Microsoft. ثم تقوم بتنفيذ أي ميزات مطلوبة لتلبية متطلبات الأمان الداخلي لمؤسستك.

المكونات الأساسية لأمن Azure لتخطيطات شبكة النظام المحوري

تريد التأكد من حماية الموارد من الوصول غير المصرح به، أو الهجوم، عن طريق التحكم في نسبة استخدام الشبكة للشبكة. في نموذج النظام المحوري، هناك العديد من المكونات التي تحتاج إلى تنفيذها:

مجموعة أمان الشبكة

كل شبكة فرعية داخل تخطيط الشبكة بها مجموعة أمان شبكة مكونة. تطبق مجموعات أمان الشبكة قواعد الأمان للسماح بنسبة استخدام الشبكة للشبكة أو رفضها من كل مورد في تخطيط الشبكة وإليها.

الشبكة الفرعية المراقبة

تكوين شبكة مراقبة فرعية في الشبكة الفرعية الخاصة بها في شبكة الاتصال الظاهرية لوحة الوصل لتوجيه حركة المرور الخارجية. تم تصميم شبكة المراقبة الفرعية لاستضافة الأجهزة الظاهرية للشبكة لتوفير وظائف الأمان، مثل جدران الحماية وفحص الحزمة. يمكنك توجيه استخدام الشبكة الصادر من الشبكة المحيطة عبر الأجهزة الظاهرية. ثم يتم مراقبة استخدام الشبكة وتأمينه ومراجعته.

الجهاز الظاهري للشبكة

توفر الأجهزة الظاهرية للشبكة (NVAs) حدًا آمنًا للشبكة عن طريق التحقق من كافة نسب استخدام الشبكة للشبكة الواردة والصادرة. ثم تمرر الأجهزة الظاهرية للشبكة فقط نسبة استخدام الشبكة التي تلبي قواعد أمان الشبكة، لتعمل أساسًا كجدار حماية.

يمكن أن يحل Azure Firewall محل بعض المكونات التي تمت مناقشتها في هذه المقالة، للتحكم في الوصول إلى موارد شبكة Azure. لمزيد من المعلومات، اطلع على قسم Azure Firewall.

Azure ExpressRoute

ينشئ ExpressRoute ارتباط WAN خاص مخصص بين الموارد المحلية والشبكة الفرعية لبوابة Azure في الشبكة الظاهرية للمحور. إضافة جهاز أمان للشبكة بين الشبكة المحلية وأجهزة توجيه حافة لموفر ExpressRoute. يقيد هذا الجهاز تدفق نسبة استخدام الشبكة غير المصرح بها من الشبكة الظاهرية.

Azure Firewall

تدير Microsoft خدمة أمان الشبكة هذه. فهي تحمي الشبكات الافتراضية لدى Azure ومواردها من خلال السماح لك بإدارة نُهج الاتصالية بشكل مركزي وتطبيقها. يوفر Azure Firewall عنوان IP عامًا ثابتًا لمواردك بالشبكة الافتراضية ما يسمح لجدران الحماية الخارجية بتحديد نسبة استخدام الشبكة لشبكتك الظاهرية.

Azure Firewall هو جدار حماية مناسب تمامًا يتتبع حالة التشغيل وخصائص اتصالات الشبكة التي تجتازها. Azure Firewall يتيح التحكم المركزي في كافة اتصالات الشبكة من خلال تطبيق النهج. يمكن فرض هذه النُهج عبر الشبكات الظاهرية والمناطق واشتراكات Azure. في تخطيط شبكة النظام المحوري، يُزود Azure Firewall عادةً في المحور للتحكم الكامل في نسبة استخدام الشبكة عبر الشبكة.

Diagram showing Azure Firewall features.

مراقبة Azure Firewall يتكون من مراجعة جدار الحماية وسجلات النشاط. لأن Azure Firewall مدمج مع Azure Monitor Logs، يمكنك عرض السجلات الكاملة هناك. تتوفر أيضًا بعض السجلات للعرض في مدخل Azure.

Screenshot of Azure Monitor Logs.

يمكن تخزين السجلات في حساب تخزين Azure، أو دفقها إلى Azure Event Hubs، أو إرسالها إلى سجلات Azure Monitor.

أمان الشبكة مع مجموعات أمان الشبكة

مجموعات أمان الشبكة (NSG) تفرض قواعد نسبة استخدام الشبكة للشبكة والتحكم فيها. يتم التحكم في الوصول عن طريق السماح الاتصال أو رفضه بين أحمال العمل في شبكة ظاهرية. تستند مجموعات أمان الشبكة إلى قواعد، وتقيم نسبة استخدام الشبكة باستخدام أسلوب من خمس مجموعات. لتحديد ما إذا كانت نسبة استخدام الشبكة مسموحاً بها أو مرفوضة، تقيم مجموعات أمان الشبكة نسبة استخدام الشبكة باستخدام ما يلي:

IP المصدر
منفذ المصدر
IP الوجهة
منفذ الوجهة
البروتوكول

تعريف قواعد الأمان

توفر قواعد الأمان في مجموعات أمان الشبكة الآلية التي تحدد التحكم في تدفق نسبة استخدام الشبكة. تمتلك مجموعة أمان الشبكة مجموعة من القواعد بشكل افتراضي. لا يمكن حذف هذه القواعد، ولكن يمكنك تجاوزها باستخدام القواعد المخصصة الخاصة بك. القواعد الافتراضية هي:

يسمح بالشبكة الظاهرية التي تنشئ بنسبة استخدام الشبكة وتنتهي بها.
يسمح بنسبة استخدام الشبكة الصادرة إلى الإنترنت، ولكن يتم حظر نسبة استخدام الشبكة الواردة.
يسمح لـ Azure Load Balancer بالتحقق من صحة الأجهزة الظاهرية أو مثيلات الأدوار.

اعتبارات أمنية أخرى

إن القدرة على التحكم في كيفية توجيه نسبة استخدام الشبكة من خلال الموارد الخاصة بك هي إجراء أمني مهم يجب اتخاذه. تساعدك Azure في تحسين أمان البنية الأساسية الإجمالية من خلال تقديم خدمات أخرى:

مجموعات أمان التطبيقات: توفر نهج مركزي وإدارة أمان لتطبيقاتك. استخدم مجموعات أمان التطبيقات لتحديد النُهج المفصلة لأمان الشبكة باستخدام مسار ارتباط. يمكنك بعد ذلك استخدام نهج انعدام الثقة حيث يتم السماح فقط بتدفقات محددة.
Azure Network Watcher: يتيح رؤى حول تسجيل الشبكة والتشخيصات. يسمح لك Network Watcher بفهم حالة شبكات Azure وأدائها.
نقاط نهاية خدمة الشبكة الظاهرية: توسيع مساحة العنوان الخاص بالشبكة الظاهرية لجعلها متاحة لخدمات Azure. تسمح لك نقاط النهاية بتقييد الوصول إلى موارد Azure.
Azure DDoS Protection: يسمح لك بتخفيف هجمات طبقة الحجم والبروتوكول وطبقة الموارد.

‏‫اختبر معلوماتك

كيف تساعدك مجموعات أمان الشبكة في التحكم في تدفق نسبة استخدام الشبكة في الشبكات الظاهرية؟

لديهم قواعد صارمة محددة لمنع نسبة استخدام الشبكة الواردة من الإنترنت، ولا يمكن تعديلها.

تتصرف مثل جدار حماية مناسب، من أجل مراقبة نسبة استخدام الشبكة وإنفاذ السياسات التي تحددها.

وهي تسمح لك بإنشاء قواعد نسبة استخدام الشبكة، والتي يمكن أن تسمح بنسبة استخدام الشبكة أو رفضها عبر المنافذ والبروتوكولات المحددة.

كيف يساعد استخدام Azure ExpressRoute في تحسين الأمان؟

يوفر اتصالاً خاصًا مخصصًا بين مواردك المحلية وAzure. الأمان الإضافي ممكن عن طريق إضافة أجهزة أمان الشبكة بين أجهزة التوجيه الحافة.

يوفر طبقة أساسية من الأمان من خلال السماح لك بتجزئة موارد Azure وعزلها.

تقوم بتوجيه نسبة استخدام الشبكة من شبكتك إلى Azure عبر الإنترنت.

عليك الإجابة على كل الأسئلة قبل مراجعة عملك.

متابعة