Osvědčené postupy Azure pro zabezpečení sítě

  • Článek
  • 15 min ke čtení

Tento článek popisuje shromažďování osvědčených postupů Azure pro vylepšení zabezpečení sítě. Tyto osvědčené postupy se odvozují z našich zkušeností s používáním sítí Azure a zkušeností zákazníků, jako je sami.

U každého osvědčeného postupu Tento článek vysvětluje:

  • Co je nejlepší postup
  • Proč je vhodné Tento osvědčený postup povolit
  • To může být způsobeno tím, že nepovolíte osvědčené postupy
  • Možné alternativy k osvědčeným postupům
  • Postup, jak se naučit, jak povolit osvědčený postup

Tyto osvědčené postupy jsou založené na konsensu a funkcemi a sadách funkcí platformy Azure, jak existují v době, kdy byl tento článek napsán. Názory a technologie se v průběhu času mění a tento článek se pravidelně aktualizuje, aby odrážel tyto změny.

Použití silných síťových ovládacích prvků

Virtuální počítače Azure a zařízení můžete propojit s dalšími síťovými zařízeními tím, že je umístíte do služby Azure Virtual Networks. To znamená, že můžete připojit karty virtuální sítě k virtuální síti a povolit tak komunikaci založenou na protokolu TCP/IP mezi zařízeními s podporou sítě. Virtuální počítače připojené k virtuální síti Azure se můžou připojovat k zařízením ve stejné virtuální síti, různých virtuálních sítích, Internetu nebo vašich vlastních místních sítích.

Při plánování sítě a zabezpečení vaší sítě doporučujeme, abyste provedli centralizaci:

  • Správa základních síťových funkcí, jako je ExpressRoute, virtuální síť a zřizování podsítí, a IP adresování.
  • Řízení prvků zabezpečení sítě, jako je síťové virtuální zařízení, které funguje jako ExpressRoute, virtuální síť a zřizování podsítí a IP adresy.

Pokud používáte společnou sadu nástrojů pro správu pro monitorování sítě a zabezpečení sítě, získáte jasné možnosti zobrazení do obou. Jednoduchá a sjednocená strategie zabezpečení snižuje chyby, protože zvyšuje lidský význam a spolehlivost automatizace.

Logicky segmentovat podsítě

Virtuální sítě Azure jsou podobné sítím LAN v místní síti. Nápadem za Azure Virtual Network je vytvoření sítě založené na jednom privátním adresním prostoru IP adres, na kterém můžete umístit všechny virtuální počítače Azure. K dispozici jsou soukromé adresní prostory IP adres ve třídě A (10.0.0.0/8), třídě B (172.16.0.0/12) a v oblastech třídy C (192.168.0.0/16).

Mezi osvědčené postupy pro logické segmentování podsítí patří:

Osvědčený postup: nepřiřazujte pravidla povolení s širšími rozsahy (například povolit 0.0.0.0 až 255.255.255.255).
Podrobnosti: Zajistěte, aby postupy řešení potíží zabránily nebo zakazují nastavení těchto typů pravidel. Tato pravidla povolují nepravdivému způsobu zabezpečení a jsou často zjištěna a zneužita v případě červeného týmu.

Osvědčený postup: segmentování většího adresního prostoru v podsítích.
Podrobnosti: vytvoření podsítí pomocí principů podsítí založených na CIDR

Osvědčený postup: vytvoření řízení přístupu k síti mezi podsítěmi. Směrování mezi podsítěmi proběhne automaticky a nemusíte konfigurovat směrovací tabulky ručně. Ve výchozím nastavení neexistují žádná řízení přístupu k síti mezi podsítěmi, které vytvoříte ve službě Azure Virtual Network.
Podrobnosti: k ochraně před nevyžádaným provozem do podsítí Azure použijte skupinu zabezpečení sítě . Skupiny zabezpečení sítě jsou jednoduchá a stavová zařízení pro kontrolu paketů, která používají přístup 5-Tuple (zdrojová IP adresa, zdrojový port, cílová IP adresa, cílový port a protokol vrstvy 4) k vytvoření pravidel povolení a odepření provozu v síti. Povolíte nebo zakážete provoz do a z jedné IP adresy, do a z několika IP adres nebo do a z celých podsítí.

Pokud používáte skupiny zabezpečení sítě pro řízení přístupu k síti mezi podsítěmi, můžete do jejich vlastních podsítí umístit prostředky, které patří do stejné zóny nebo role zabezpečení.

Osvědčený postup: Vyhněte se malým virtuálním sítím a podsítím, abyste zajistili jednoduchost a flexibilitu.
Podrobnosti: většina organizací přidávají více prostředků, než je původně plánováno, a opakované přidělování adres je náročné na práci. Použití malých podsítí přičítá hodnotu omezeného zabezpečení a mapování skupiny zabezpečení sítě na každou podsíť zvyšuje režii. Definujte v podstatě podsítě, abyste měli jistotu, že budete mít flexibilitu pro růst.

Osvědčený postup: zjednodušení správy pravidel skupiny zabezpečení sítě definováním skupin zabezpečení aplikací.
Podrobnosti: Definujte skupinu zabezpečení aplikace pro seznamy IP adres, které si myslíte, že se v budoucnu mohou změnit nebo použít v mnoha skupinách zabezpečení sítě. Nezapomeňte pojmenovat skupiny zabezpečení aplikace jasně, aby ostatní mohli pochopit jejich obsah a účel.

Přijetí přístupu s nulovým vztahem důvěryhodnosti

Hraniční sítě fungují na předpokladu, že všechny systémy v síti mohou být důvěryhodné. Ale dnešní zaměstnanci mají přístup k prostředkům organizace odkudkoli na nejrůznějších zařízeních a aplikacích, což usnadňuje řízení hraničního zabezpečení. Zásady řízení přístupu, které se zaměřují jenom na to, kdo má přístup k prostředku, nejsou dost. Aby správci zabezpečení mohli vyvážit rovnováhu mezi zabezpečením a produktivitou, musí také zohlednit způsob, jakým se k prostředku přistupoval.

Sítě se musí vyvíjet z tradičních obran, protože sítě mohou být zranitelné vůči narušení: útočník může ohrozit jeden koncový bod v rámci důvěryhodné hranice a pak rychle rozšířit dostane napříč celou sítí. Nulové důvěryhodné sítě eliminují koncept vztahu důvěryhodnosti na základě síťového umístění v hraniční síti. Místo toho nulové architektury vztahu důvěryhodnosti používají deklarace identity zařízení a uživatele k přístupu do brány k datům a prostředkům organizace. V případě nových iniciativ zajistěte nulové přístupy k důvěryhodnosti, které ověřují důvěryhodnost v době přístupu.

Osvědčené postupy:

Osvědčený postup: Poskytněte podmíněný přístup k prostředkům na základě zařízení, identity, záruky, umístění v síti a dalších.
Podrobnosti: podmíněný přístup Azure AD umožňuje použít správný ovládací prvky přístupu implementací automatického rozhodování o řízení přístupu na základě požadovaných podmínek. Další informace najdete v tématu Správa přístupu ke správě Azure pomocí podmíněného přístupu.

Osvědčený postup: Povolte přístup k portu jenom po schválení pracovního postupu.
Podrobnosti: v programu Microsoft Defender pro Cloud můžete použít přístup k virtuálnímu počítači za běhu za účelem uzamčení příchozího provozu do virtuálních počítačů Azure. tím se sníží riziko útoků na útoky a v případě potřeby získáte snadný přístup k virtuálním počítačům.

Osvědčený postup: udělení dočasných oprávnění k provádění privilegovaných úloh, které zabrání škodlivým nebo neoprávněným uživatelům získat přístup po vypršení platnosti oprávnění. Přístup se udělí jenom v případě, že ho uživatelé potřebují.
podrobnosti: použití přístupu za běhu ve službě Azure AD Privileged Identity Management nebo v řešení třetí strany pro udělení oprávnění k provádění privilegovaných úloh.

Nulový vztah důvěryhodnosti je dalším vývojem v zabezpečení sítě. Stav kyberútokůmch jednotek organizacím umožňuje vzít v úvahu místo "předpokládat porušení", ale tento přístup by neměl být omezen. Nulové důvěryhodné sítě chrání podniková data a prostředky při současném zajištění, že organizace můžou vytvářet moderní pracoviště pomocí technologií, které umožní jakýmkoli způsobem produktivní práci zaměstnanců kdykoli a kdekoli.

Řízení chování směrování

Při umístění virtuálního počítače do virtuální sítě Azure se virtuální počítač může připojit k jinému virtuálnímu počítači ve stejné virtuální síti, a to i v případě, že jsou ostatní virtuální počítače v různých podsítích. To je možné, protože kolekce systémových tras povolených ve výchozím nastavení umožňuje tento typ komunikace. Tyto výchozí trasy umožňují virtuálním počítačům ve stejné virtuální síti iniciovat připojení navzájem a s internetem (pouze pro odchozí komunikaci na Internet).

I když jsou výchozí systémové trasy užitečné pro řadu scénářů nasazení, existují situace, kdy chcete přizpůsobit konfiguraci směrování pro vaše nasazení. Adresu dalšího směrování můžete nakonfigurovat tak, aby se dosáhlo konkrétního cíle.

Doporučujeme nakonfigurovat uživatelsky definované trasy při nasazení zařízení zabezpečení pro virtuální síť. O tom se dozvíme v pozdější části s názvem zabezpečení vašich důležitých prostředků služby Azure jenom na vaše virtuální sítě.

Poznámka

Trasy definované uživatelem nejsou požadovány a standardní systémové trasy obvykle fungují.

Použití zařízení virtuální sítě

Skupiny zabezpečení sítě a uživatelem definované směrování můžou poskytovat určitou míru zabezpečení sítě v síťové a transportní vrstvě modelu OSI. V některých situacích ale budete chtít nebo potřebovat povolit zabezpečení na vysoké úrovni zásobníku. V takových situacích doporučujeme nasadit zařízení zabezpečení virtuální sítě poskytovaná partnery Azure.

Zařízení zabezpečení sítě Azure můžou poskytovat lepší zabezpečení, než poskytují ovládací prvky na úrovni sítě. Mezi možnosti zabezpečení sítě u zařízení zabezpečení virtuální sítě patří:

  • Brána firewall
  • Detekce vniknutí/prevence vniknutí
  • Správa ohrožení zabezpečení
  • Řízení aplikace
  • Detekce anomálií na základě sítě
  • Filtrování webů
  • Antivirus
  • Ochrana botnetu

K vyhledání dostupných zařízení zabezpečení virtuální sítě Azure použijte Azure Marketplace a vyhledejte "zabezpečení" a "zabezpečení sítě".

Nasazení hraničních sítí pro zóny zabezpečení

Hraniční síť (označovaná také jako DMZ) je fyzický nebo logický segment sítě, který poskytuje další vrstvu zabezpečení mezi prostředky a internetem. Specializovaná zařízení pro řízení přístupu k síti na hraniční síti hraniční sítě umožňují pouze požadovaný provoz do vaší virtuální sítě.

Hraniční sítě jsou užitečné, protože můžete zaměřit správu řízení přístupu k síti, monitorování, protokolování a vytváření sestav na zařízeních na hranici vaší virtuální sítě Azure. Hraniční síť je místo, kde obvykle povolíte možnost prevence distribuovaného odepření služeb (DDoS), zjišťování vniknutí/systémy prevence vniknutí (ID/IP adresy), pravidla a zásady brány firewall, filtrování webu, antimalwarový software a další. Zařízení zabezpečení sítě sedí mezi Internetem a vaší virtuální sítí Azure a mají rozhraní v obou sítích.

I když se jedná o základní návrh hraniční sítě, existuje mnoho různých návrhů, jako je back-back, Tri-Home a s více adresami.

Na základě výše zmíněného konceptu s nulovým vztahem důvěryhodnosti doporučujeme zvážit použití hraniční sítě pro všechna nasazení s vysokým zabezpečením a zvýšit úroveň zabezpečení sítě a řízení přístupu pro vaše prostředky Azure. K zajištění další úrovně zabezpečení mezi prostředky a internetem můžete použít Azure nebo řešení třetí strany:

  • Nativní ovládací prvky Azure Azure firewall a Firewall webových aplikací v Application Gateway nabízejí základní zabezpečení s plně stavovou bránou firewall jako službu, integrovanou vysokou dostupnost, neomezenou škálovatelnost cloudu, filtrování plně kvalifikovaného názvu domény, podporu pro základní sady pravidel OWASP a jednoduché nastavení a konfiguraci.
  • Nabídky třetích stran. Vyhledejte Azure Marketplace firewallu nové generace (NGFW) a další nabídky třetích stran, které poskytují známé nástroje zabezpečení a výrazně vylepšené úrovně zabezpečení sítě. Konfigurace může být složitější, ale nabídka třetí strany vám může umožnit používání stávajících možností a dovednosti.

Řada organizací zvolila hybridní trasu IT. V případě hybridního IT jsou některé informační prostředky společnosti v Azure a jiné zůstávají místně. V mnoha případech jsou některé součásti služby spuštěné v Azure, zatímco ostatní komponenty zůstanou místní.

Ve scénáři hybridního IT je obvykle nějaký typ připojení mezi různými místy. Připojení mezi místními sítěmi umožňuje společnosti připojit své místní sítě k virtuálním sítím Azure. K dispozici jsou dvě řešení pro připojení mezi různými místy:

  • Síť VPN typu Site-to-site. Jedná se o důvěryhodnou, spolehlivou a navázanou technologii, ale připojení probíhá přes Internet. Šířka pásma je omezená na maximum přibližně 1,25 GB/s. SÍŤ Site-to-Site VPN je v některých případech žádoucí volbou.
  • ExpressRoute Azure. Pro připojení mezi místními sítěmi doporučujeme použít ExpressRoute . ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes soukromé připojení zajišťované poskytovatelem připojení. pomocí ExpressRoute můžete navázat připojení ke cloudovým službám microsoftu, jako je Azure, Microsoft 365 a Dynamics 365. ExpressRoute je vyhrazené propojení WAN mezi vaším místním umístěním nebo poskytovatelem hostingu microsoftu Exchange. Vzhledem k tomu, že se jedná o připojení výpovědi, vaše data necestují přes Internet, takže se nezveřejňují potenciální rizika internetové komunikace.

Umístění připojení ExpressRoute může ovlivnit viditelnost kapacity, škálovatelnosti, spolehlivosti a síťového provozu v bráně firewall. Budete muset určit, kde ukončit ExpressRoute v existujících sítích (místních). Další možnosti:

  • Ukončete mimo bránu firewall (paradigma hraniční sítě), pokud potřebujete mít přehled o provozu, pokud budete potřebovat, abyste mohli i nadále používat stávající postupy izolování datových center, nebo pokud zadáváte výhradně prostředky pro extranet v Azure.
  • Ukončete v bráně firewall (paradigma rozšíření sítě). Toto je výchozí doporučení. Ve všech ostatních případech doporučujeme, abyste Azure vytvářely jako n-tého datacentra.

Optimalizace provozu a výkonu

Pokud služba nefunguje, k informacím nelze získat informace. Pokud je výkon nekvalitní, že data jsou nepoužitelná, můžete zvážit, že data nebudou přístupná. Z hlediska zabezpečení je potřeba, abyste měli jistotu, že vaše služby mají optimální dobu provozu a výkon.

Oblíbená a efektivní metoda pro zvýšení dostupnosti a výkonu je vyrovnávání zatížení. Vyrovnávání zatížení je metoda distribuce síťového provozu mezi servery, které jsou součástí služby. Pokud máte například webové servery front-end jako součást vaší služby, můžete použít vyrovnávání zatížení k distribuci provozu mezi více front-endové webové servery.

Tato distribuce provozu zvyšuje dostupnost, protože pokud některý z webových serverů přestane být k dispozici, nástroj pro vyrovnávání zatížení zastaví odesílání provozu na tento server a přesměruje jej na servery, které jsou stále online. Vyrovnávání zatížení také pomáhá s výkonem, protože režie procesoru, sítě a paměti pro obsluhu požadavků je distribuována napříč všemi servery s vyrovnáváním zatížení.

Vyrovnávání zatížení doporučujeme využívat, kdykoli budete a podle potřeby pro vaše služby. Níže jsou uvedené scénáře jak na úrovni virtuální sítě Azure, tak i na globální úrovni společně s možnostmi vyrovnávání zatížení.

Scénář: máte aplikaci, která:

  • Vyžaduje, aby žádosti ze stejné relace uživatele nebo klienta dostaly stejný back-end virtuální počítač. Příkladem jsou aplikace nákupních košíků a servery webové pošty.
  • Přijímá jenom zabezpečené připojení, takže nešifrovaná komunikace na server není přijatelnou možností.
  • Vyžaduje směrování nebo vyrovnávání zatížení pro různé back-endové servery několika požadavky HTTP na stejné dlouhotrvající připojení TCP.

Možnost Vyrovnávání zatížení: použijte Azure Application Gateway, nástroj pro vyrovnávání zatížení webového provozu http. Application Gateway podporuje komplexní šifrování TLS a ukončení protokolu TLS v bráně. Webové servery pak můžou být nenáročné ze zátěže šifrování a dešifrování a přenos dat do back-endové servery je nešifrovaný.

Scénář: musíte vyrovnávat zatížení příchozích připojení z Internetu mezi servery nacházející se ve službě Azure Virtual Network. Scénáře jsou případy, kdy:

  • Mít bezstavové aplikace, které přijímají příchozí požadavky z Internetu.
  • Nevyžadují rychlé relace nebo snižování zátěže TLS. Relace typu Sticky jsou metoda používaná s vyrovnáváním zatížení aplikací k zajištění spřažení serveru.

Možnost Vyrovnávání zatížení: pomocí Azure Portal Vytvořte externí nástroj pro vyrovnávání zatížení , který šíří příchozí požadavky napříč více virtuálními počítači, aby se zajistila vyšší úroveň dostupnosti.

Scénář: musíte vyrovnávat zatížení připojení z virtuálních počítačů, které nejsou na internetu. ve většině případů jsou připojení přijatá pro vyrovnávání zatížení iniciována zařízeními ve službě Azure virtual network, například SQL Server instancemi nebo interními webovými servery.
Možnost Vyrovnávání zatížení: pomocí Azure Portal vytvořit interní nástroj pro vyrovnávání zatížení , který šíří příchozí požadavky napříč více virtuálními počítači, aby se zajistila vyšší úroveň dostupnosti.

Scénář: budete potřebovat globální vyrovnávání zatížení, protože:

  • Máte cloudové řešení, které je široce distribuované napříč několika oblastmi a vyžaduje nejvyšší možnou úroveň provozu (dostupnost).
  • Potřebujete nejvyšší možnou úroveň dostupnosti, abyste se ujistili, že je vaše služba dostupná i v případě, že celé datové centrum nebude k dispozici.

Možnost Vyrovnávání zatížení: použijte Azure Traffic Manager. Traffic Manager umožňuje vyrovnávat zatížení připojení k vašim službám na základě umístění uživatele.

Například pokud uživatel odešle požadavek na službu z EU, připojení se přesměruje na vaše služby umístěné v datovém centru EU. tato část Traffic Manager globálního vyrovnávání zatížení pomáhá zlepšit výkon, protože připojení k nejbližšímu datovému centru je rychlejší než připojení k datovým centrům, které jsou daleko pryč.

Zakázat přístup RDP/SSH k virtuálním počítačům

Virtuální počítače Azure je možné kontaktovat pomocí protokol RDP (Remote Desktop Protocol) (RDP) a protokolu Secure Shell (SSH). Tyto protokoly umožňují správu virtuálních počítačů ze vzdálených umístění a jsou standardem v datacentrovém computingu.

Potenciální potíže se zabezpečením pomocí těchto protokolů přes Internet můžou útočníci využít techniky hrubou silou k získání přístupu k virtuálním počítačům Azure. Potom co útočníci získají přístup, můžou použít váš virtuální počítač jako spouštěcí bod pro narušení dalších počítačů ve virtuální síti, nebo dokonce zaútočit na síťová zařízení mimo Azure.

Doporučujeme zakázat přímý přístup protokolu RDP a SSH k virtuálním počítačům Azure z Internetu. Po zakázání přímého přístupu RDP a SSH z internetu máte k dispozici další možnosti, které můžete použít pro přístup k těmto virtuálním počítačům pro vzdálenou správu.

Scénář: umožňuje jednomu uživateli připojit se k virtuální síti Azure přes Internet.
Možnost: síť VPN typu Point-to-site je dalším termínem pro připojení klienta nebo serveru VPN pro vzdálený přístup. Po navázání připojení typu Point-to-site se uživatel může pomocí protokolu RDP nebo SSH připojit k jakýmkoli virtuálním počítačům umístěným ve virtuální síti Azure, ke které se uživatel připojil přes síť VPN typu Point-to-site. Tím se předpokládá, že uživatel má oprávnění k přístupu k těmto virtuálním počítačům.

SÍŤ VPN typu Point-to-site je bezpečnější než přímé připojení RDP nebo SSH, protože před připojením k virtuálnímu počítači musí uživatel ověřit dvakrát. Nejdřív musí uživatel ověřit (a být autorizován), aby navázal připojení VPN typu Point-to-site. Za druhé musí uživatel ověřit (a být autorizován) vytvořit relaci RDP nebo SSH.

Scénář: Umožněte uživatelům ve vaší místní síti připojení k virtuálním počítačům ve službě Azure Virtual Network.
Možnost: síť site-to-Site VPN připojuje celou síť k jiné síti přes Internet. K připojení místní sítě k virtuální síti Azure můžete použít síť VPN typu Site-to-site. Uživatelé na místní síti se připojují pomocí protokolu RDP nebo SSH přes připojení VPN typu Site-to-site. Nemusíte umožňovat přímý přístup přes protokol RDP nebo SSH přes Internet.

Scénář: použijte vyhrazené propojení WAN k poskytnutí podobných funkcí jako síť VPN typu Site-to-site.
Možnost: použijte ExpressRoute. Poskytuje funkce podobné síti VPN typu Site-to-site. Hlavními rozdíly jsou:

  • Vyhrazené propojení WAN neprojde internetem.
  • Vyhrazená propojení WAN jsou obvykle spolehlivější a fungují lépe.

Zabezpečení důležitých prostředků služby Azure jenom na vaše virtuální sítě

použití privátního odkazu azure k přístupu ke službám azure PaaS (například Azure Storage a SQL Database) prostřednictvím privátního koncového bodu ve vaší virtuální síti. Soukromé koncové body umožňují zabezpečit vaše důležité prostředky služeb Azure jenom na vaše virtuální sítě. provoz z vaší virtuální sítě do služby Azure vždycky zůstane v síti Microsoft Azure páteřní sítě. Vystavení virtuální sítě pro veřejný Internet již není nutné pro využívání služeb Azure PaaS.

Privátní propojení Azure přináší následující výhody:

  • Vylepšené zabezpečení pro vaše prostředky služeb Azure: s privátním odkazem na Azure je možné zabezpečit virtuální síť pomocí privátního koncového bodu prostřednictvím služby Azure. Zabezpečení prostředků služby na soukromý koncový bod ve virtuální síti přináší lepší zabezpečení díky úplnému odebrání veřejného internetového přístupu k prostředkům a povolení provozu pouze z privátního koncového bodu ve vaší virtuální síti.
  • soukromý přístup k prostředkům služeb azure na platformě azure: Připojení virtuální síť ke službám v azure pomocí privátních koncových bodů. Není potřeba žádná veřejná IP adresa. Platforma privátního propojení bude zpracovávat připojení mezi příjemcem a službami přes páteřní síť Azure.
  • Přístup z místních a partnerských sítí: Přístup ke službám běžící v Azure z místního prostředí přes privátní partnerský vztah ExpressRoute, tunely VPN a partnerské virtuální sítě pomocí privátních koncových bodů. Pro přístup ke službě není potřeba konfigurovat partnerský vztah Microsoftu s ExpressRoute ani procházet internet. Private Link poskytuje bezpečný způsob migrace úloh do Azure.
  • Ochrana před únikem dat: Privátní koncový bod se mapuje na instanci prostředku PaaS místo na celou službu. Spotřebiteli se mohou připojit pouze ke konkrétnímu prostředku. Přístup k libovolnému jinému prostředku ve službě je blokovaný. Tento mechanismus poskytuje ochranu před riziky úniku dat.
  • Globální dosah: Připojení soukromě ke službám běžící v jiných oblastech. Virtuální síť příjemce může být v oblasti A a může se připojit ke službám v oblasti B.
  • Snadné nastavení a správa: Už nepotřebujete vyhrazené veřejné IP adresy ve virtuálních sítích k zabezpečení prostředků Azure přes bránu firewall protokolu IP. K nastavení privátních koncových bodů se nevyžaduje žádný nat nebo zařízení brány. Privátní koncové body se konfiguruje prostřednictvím jednoduchého pracovního postupu. Na straně služby můžete také snadno spravovat žádosti o připojení k prostředku služby Azure. Azure Private Link funguje i pro uživatele a služby patřící do Azure Active Directory tenantů.

Další informace o privátních koncových bodech a službách a oblastech Azure, pro které jsou privátní koncové body k dispozici, najdete v Azure Private Link.

Další kroky

V tématu Osvědčené postupy a vzory zabezpečení Azure najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.