Přehled zabezpečení sítě Azure

  • Článek

Zabezpečení sítě může být definováno jako proces ochrany prostředků před neoprávněným přístupem nebo útokem použitím ovládacích prvků na síťový provoz. Cílem je zajistit, aby byl povolený pouze legitimní provoz. Azure zahrnuje robustní síťovou infrastrukturu, která podporuje požadavky na připojení aplikací a služeb. Síťové připojení je možné mezi prostředky umístěnými v Azure, mezi místními a hostovanými prostředky Azure a do internetu a Azure a z internetu a Azure.

Tento článek popisuje některé možnosti, které Azure nabízí v oblasti zabezpečení sítě. Můžete se dozvědět o:

  • Sítě Azure
  • Řízení přístupu k síti
  • Brána Azure Firewall
  • Zabezpečení vzdáleného přístupu a připojení mezi různými místy
  • Dostupnost
  • Překlad adres
  • Architektura hraniční sítě (DMZ)
  • Azure DDoS Protection
  • Azure Front Door
  • Traffic Manager
  • Monitorování a detekce hrozeb

Poznámka

V případě webových úloh důrazně doporučujeme využít ochranu Azure DDoS a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je nasadit Službu Azure Front Door společně s bránou firewall webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě.

Sítě Azure

Azure vyžaduje, aby virtuální počítače byly připojené k azure Virtual Network. Virtuální síť je logický konstruktor postavený na fyzických prostředcích infrastruktury sítě Azure. Každá virtuální síť je izolovaná od všech ostatních virtuálních sítí. To pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný pro ostatní zákazníky Azure.

Další informace:

Řízení přístupu k síti

Řízení přístupu k síti je akt omezení připojení ke konkrétním zařízením nebo podsítím v rámci virtuální sítě a z konkrétních zařízení nebo podsítí. Cílem řízení přístupu k síti je omezit přístup k virtuálním počítačům a službám na schválené uživatele a zařízení. Řízení přístupu je založené na rozhodnutích povolit nebo odepřít připojení k virtuálnímu počítači nebo službě a z vašeho virtuálního počítače nebo služby.

Azure podporuje několik typů řízení přístupu k síti, například:

  • Řízení síťové vrstvy
  • Řízení tras a vynucené tunelování
  • Zařízení zabezpečení virtuální sítě

Řízení síťové vrstvy

Každé zabezpečené nasazení vyžaduje určitou míru řízení přístupu k síti. Cílem řízení přístupu k síti je omezit komunikaci virtuálních počítačů na potřebné systémy. Ostatní pokusy o komunikaci jsou blokovány.

Poznámka

Brány firewall úložiště najdete v článku Přehled zabezpečení úložiště Azure .

Pravidla zabezpečení sítě (NSG)

Pokud potřebujete základní řízení přístupu na úrovni sítě (na základě IP adresy a protokolů TCP nebo UDP), můžete použít skupiny zabezpečení sítě (NSG). Skupina zabezpečení sítě je základní stavová brána firewall pro filtrování paketů a umožňuje řídit přístup na základě řazené kolekce členů s 5. Skupiny zabezpečení sítě zahrnují funkce pro zjednodušení správy a snížení pravděpodobnosti chyb konfigurace:

  • Rozšířená pravidla zabezpečení zjednodušují definici pravidla NSG a umožňují vytvářet složitá pravidla, abyste nemuseli vytvářet více jednoduchých pravidel, abyste dosáhli stejného výsledku.
  • Značky služeb jsou popisky vytvořené Microsoftem, které představují skupinu IP adres. Aktualizují se dynamicky, aby zahrnovaly rozsahy IP adres, které splňují podmínky, které definují zahrnutí do popisku. Pokud například chcete vytvořit pravidlo, které bude platit pro všechna úložiště Azure v oblasti východ, můžete použít Storage.EastUS.
  • Skupiny zabezpečení aplikací umožňují nasadit prostředky do skupin aplikací a řídit přístup k těmto prostředkům vytvořením pravidel, která tyto skupiny aplikací používají. Pokud máte například webové servery nasazené do skupiny aplikací Webové servery, můžete vytvořit pravidlo, které použije skupinu zabezpečení sítě umožňující provoz 443 z internetu do všech systémů ve skupině aplikací Webové servery.

Skupiny zabezpečení sítě neposkytují kontrolu aplikační vrstvy ani ověřené řízení přístupu.

Další informace:

Přístup k virtuálním počítačům v Defenderu pro cloud za běhu

Microsoft Defender pro cloud může spravovat skupiny zabezpečení sítě na virtuálních počítačích a zamknout přístup k virtuálnímu počítači, dokud uživatel s příslušnými oprávněními řízení přístupu na základě role Azure RBAC nebude požádat o přístup. Když je uživatel úspěšně autorizovaný, Defender for Cloud provede změny skupin zabezpečení sítě, aby umožnil přístup k vybraným portům po zadanou dobu. Po uplynutí této doby se skupiny zabezpečení sítě obnoví do předchozího zabezpečeného stavu.

Další informace:

Koncové body služby

Koncové body služby představují další způsob, jak použít kontrolu nad provozem. Komunikaci s podporovanými službami můžete omezit jenom na virtuální sítě přes přímé připojení. Provoz z vaší virtuální sítě do zadané služby Azure zůstává v páteřní síti Microsoft Azure.

Další informace:

Řízení tras a vynucené tunelování

Schopnost řídit chování směrování ve virtuálních sítích je velmi důležitá. Pokud je směrování nakonfigurované nesprávně, aplikace a služby hostované na vašem virtuálním počítači se můžou připojit k neoprávněným zařízením, včetně systémů vlastněných a provozovaných potenciálními útočníky.

Sítě Azure podporují možnost přizpůsobit chování směrování pro síťový provoz ve vašich virtuálních sítích. To vám umožní změnit výchozí položky směrovací tabulky ve vaší virtuální síti. Řízení chování směrování pomáhá zajistit, aby veškerý provoz z určitého zařízení nebo skupiny zařízení vstoupil do virtuální sítě přes konkrétní umístění nebo z vaší virtuální sítě odešel.

Ve virtuální síti můžete mít například zařízení zabezpečení virtuální sítě. Chcete zajistit, aby veškerý provoz do a z vaší virtuální sítě procházel přes toto virtuální zařízení zabezpečení. Můžete to provést konfigurací tras definovaných uživatelem v Azure.

Vynucené tunelování je mechanismus, který můžete použít k zajištění, aby vaše služby nemohly iniciovat připojení k zařízením na internetu. Všimněte si, že se tím liší od přijímání příchozích připojení a následných reakcí na ně. Front-endové webové servery musí odpovídat na požadavky od internetových hostitelů, a proto je na tyto webové servery povolený příchozí provoz z internetu a webové servery můžou reagovat.

To, co nechcete povolit, je front-endový webový server, který inicializuje odchozí požadavek. Takové požadavky můžou představovat bezpečnostní riziko, protože tato připojení se dají použít ke stažení malwaru. I když chcete, aby tyto front-endové servery inicializovaly odchozí požadavky na internet, můžete je vynutit, aby procházely přes vaše místní webové proxy servery. To vám umožní využít filtrování a protokolování adres URL.

Místo toho byste k tomu měli použít vynucené tunelování. Když povolíte vynucené tunelování, všechna připojení k internetu se vynutí přes místní bránu. Vynucené tunelování můžete nakonfigurovat tak, že využijete trasy definované uživatelem.

Další informace:

Zařízení zabezpečení virtuální sítě

Zatímco skupiny zabezpečení sítě, trasy definované uživatelem a vynucené tunelování poskytují úroveň zabezpečení v síťových a transportních vrstvách modelu OSI, můžete také chtít povolit zabezpečení na vyšších úrovních než síť.

Mezi vaše požadavky na zabezpečení můžou patřit například:

  • Ověřování a autorizace před povolením přístupu k aplikaci
  • Detekce neoprávněných vniknutí a reakce na vniknutí
  • Kontrola aplikační vrstvy pro protokoly vysoké úrovně
  • Filtrování adres URL
  • Antivirová ochrana na úrovni sítě a antimalware
  • Ochrana proti robotovi
  • Řízení přístupu k aplikacím
  • Další ochrana před útoky DDoS (nad ochranou před útoky DDoS poskytovanou samotnými prostředky infrastruktury Azure)

K těmto rozšířeným funkcím zabezpečení sítě můžete přistupovat pomocí partnerského řešení Azure. Nejaktuálnější řešení zabezpečení partnerských sítí Azure najdete na Azure Marketplace a vyhledejte "zabezpečení" a "zabezpečení sítě".

Brána Azure Firewall

Azure Firewall je služba zabezpečení brány firewall sítě nativní pro cloud, která poskytuje ochranu před hrozbami pro cloudové úlohy spuštěné v Azure. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou škálovatelností v cloudu. Zajišťuje jak dopravní kontrolu východ-západ, tak sever-jih.

Azure Firewall se nabízí ve třech SKU: Standard, Premium a Basic. Azure Firewall Standard poskytuje filtrování L3-L7 a informační kanály analýzy hrozeb přímo z Microsoft Cyber Security. Azure Firewall Premium nabízí pokročilé funkce, včetně idps založeného na signaturách, které umožňují rychlé zjišťování útoků hledáním konkrétních vzorů. Azure Firewall Basic je zjednodušená skladová položka, která poskytuje stejnou úroveň zabezpečení jako skladová položka Standard, ale bez pokročilých funkcí.

Další informace:

Zabezpečení vzdáleného přístupu a připojení mezi různými místy

Nastavení, konfiguraci a správu prostředků Azure je potřeba provádět vzdáleně. Kromě toho můžete chtít nasadit hybridní IT řešení, která mají komponenty místně a ve veřejném cloudu Azure. Tyto scénáře vyžadují zabezpečený vzdálený přístup.

Sítě Azure podporují následující scénáře zabezpečeného vzdáleného přístupu:

  • Připojení jednotlivých pracovních stanic k virtuální síti
  • Připojení místní sítě k virtuální síti pomocí sítě VPN
  • Připojení místní sítě k virtuální síti pomocí vyhrazené linky WAN
  • Vzájemné propojení virtuálních sítí

Připojení jednotlivých pracovních stanic k virtuální síti

Správu virtuálních počítačů a služeb v Azure můžete povolit jednotlivým vývojářům nebo provozním pracovníkům. Řekněme například, že potřebujete přístup k virtuálnímu počítači ve virtuální síti. Vaše zásady zabezpečení ale neumožňují vzdálený přístup RDP nebo SSH k jednotlivým virtuálním počítačům. V takovém případě můžete použít připojení VPN typu point-to-site .

Připojení VPN typu point-to-site umožňuje nastavit privátní a zabezpečené připojení mezi uživatelem a virtuální sítí. Po navázání připojení VPN se uživatel může přes připojení VPN přes protokol RDP nebo SSH připojit k libovolnému virtuálnímu počítači ve virtuální síti. (Předpokládá se, že se uživatel může ověřit a je autorizovaný.) Síť VPN typu point-to-site podporuje:

  • SSTP (Secure Socket Tunneling Protocol), proprietární protokol VPN založený na PROTOKOLU SSL. Řešení SSL VPN může proniknout do bran firewall, protože většina bran firewall otevírá port TCP 443, který používá protokol TLS/SSL. SSTP se podporuje jenom na zařízeních s Windows. Azure podporuje všechny verze Windows, které mají protokol SSTP (Windows 7 a novější).

  • IKEv2 VPN, řešení IPsec VPN založené na standardech. IKEv2 VPN je možné použít k připojení ze zařízení se systémem Mac (OSX verze 10.11 a vyšší).

  • OpenVPN

Další informace:

Připojení místní sítě k virtuální síti pomocí sítě VPN

Možná budete chtít připojit celou podnikovou síť nebo části této sítě k virtuální síti. To je běžné ve scénářích hybridního IT, kdy organizace rozšiřují své místní datacentrum do Azure. V mnoha případech organizace hostují části služby v Azure a části místně. Mohou tak například učinit, když řešení zahrnuje front-end webové servery v Azure a back-endové databáze v místním prostředí. Tyto typy připojení mezi různými místy také zabezpečují správu prostředků umístěných v Azure a umožňují například rozšíření řadičů domény Active Directory do Azure.

Jedním ze způsobů, jak toho dosáhnout, je použít síť VPN typu site-to-site. Rozdíl mezi vpn typu site-to-site a vpn typu point-to-site spočívá v tom, že síť VPN typu point-to-site připojuje jedno zařízení k virtuální síti. Síť VPN typu site-to-site připojí celou síť (například místní síť) k virtuální síti. Sítě VPN typu Site-to-Site k virtuální síti používají protokol VPN s vysoce zabezpečeným tunelovým režimem IPsec.

Další informace:

Připojení VPN typu point-to-site a site-to-site jsou efektivní pro povolení připojení mezi různými místy. Některé organizace se ale domnívají, že mají následující nevýhody:

  • Připojení VPN přesouvají data přes internet. To vystavuje tato připojení potenciálním problémům se zabezpečením souvisejícím s přesunem dat přes veřejnou síť. Navíc není možné zaručit spolehlivost a dostupnost připojení k internetu.
  • Připojení VPN k virtuálním sítím nemusí mít šířku pásma pro některé aplikace a účely, protože jejich maximální rychlost je přibližně 200 Mb/s.

Organizace, které potřebují nejvyšší úroveň zabezpečení a dostupnosti pro připojení mezi různými místy, obvykle používají vyhrazené sítě WAN pro připojení ke vzdáleným lokalitám. Azure poskytuje možnost použít vyhrazenou linku WAN, kterou můžete použít k připojení místní sítě k virtuální síti. Umožňují to Azure ExpressRoute, ExpressRoute Direct a ExpressRoute Global Reach.

Další informace:

Vzájemné propojení virtuálních sítí

Pro vaše nasazení je možné použít mnoho virtuálních sítí. Může to být z různých důvodů. Můžete chtít zjednodušit správu nebo zvýšit zabezpečení. Bez ohledu na motivaci k umístění prostředků do různých virtuálních sítí může nastat chvíle, kdy budete chtít, aby se prostředky v každé z těchto sítí vzájemně propojily.

Jednou z možností je, že se služby v jedné virtuální síti připojí ke službám v jiné virtuální síti prostřednictvím "zpětné smyčky" přes internet. Připojení začíná v jedné virtuální síti, prochází internetem a pak se vrátí do cílové virtuální sítě. Tato možnost zpřístupňuje připojení k problémům se zabezpečením, které jsou součástí jakékoli internetové komunikace.

Lepší možností může být vytvoření sítě VPN typu site-to-site, která se připojuje mezi dvěma virtuálními sítěmi. Tato metoda používá stejný protokol režimu tunelového propojení IPSec jako připojení VPN typu site-to-site mezi různými místy, které bylo zmíněno výše.

Výhodou tohoto přístupu je, že připojení VPN se navazuje přes síťové prostředky infrastruktury Azure místo připojení přes internet. V porovnání s sítěmi VPN typu Site-to-Site, které se připojují přes internet, získáte další vrstvu zabezpečení.

Další informace:

Dalším způsobem, jak propojit virtuální sítě, je VNET Peering. Tato funkce umožňuje propojit dvě sítě Azure, takže komunikace mezi nimi probíhá přes páteřní infrastrukturu Microsoftu, aniž by se vůbec přecháněla přes internet. Partnerský vztah virtuálních sítí může propojit dvě virtuální sítě v rámci stejné oblasti nebo dvě virtuální sítě napříč oblastmi Azure. Skupiny zabezpečení sítě je možné použít k omezení připojení mezi různými podsítěmi nebo systémy.

Dostupnost

Dostupnost je klíčovou součástí každého programu zabezpečení. Pokud uživatelé a systémy nemají přístup k tomu, co potřebují pro přístup přes síť, může být služba považována za ohroženou. Azure má síťové technologie, které podporují následující mechanismy vysoké dostupnosti:

  • Vyrovnávání zatížení na základě protokolu HTTP
  • Vyrovnávání zatížení na úrovni sítě
  • Globální vyrovnávání zatížení

Vyrovnávání zatížení je mechanismus navržený tak, aby rovnoměrně distribuuje připojení mezi více zařízení. Vyrovnávání zatížení má následující cíle:

  • Zvýšení dostupnosti: Při vyrovnávání zatížení připojení mezi více zařízeními může být jedno nebo více zařízení nedostupné, aniž by došlo k ohrožení služby. Služby spuštěné na zbývajících online zařízeních můžou dál obsluhovat obsah ze služby.
  • Zvýšení výkonu. Když vyrovnáváte zatížení připojení mezi více zařízeními, jedno zařízení nemusí zpracovávat všechna data. Místo toho jsou požadavky na zpracování a paměť pro obsluhu obsahu rozloženy do více zařízení.

Vyrovnávání zatížení na základě protokolu HTTP

Organizace, které provozují webové služby, často chtějí mít před těmito webovými službami nástroj pro vyrovnávání zatížení založený na protokolu HTTP. To pomáhá zajistit odpovídající úroveň výkonu a vysokou dostupnost. Tradiční síťové nástroje pro vyrovnávání zatížení spoléhají na protokoly síťové a přenosové vrstvy. Nástroje pro vyrovnávání zatížení založené na protokolu HTTP se na druhé straně rozhodují na základě charakteristik protokolu HTTP.

Azure Application Gateway poskytuje vyrovnávání zatížení na základě protokolu HTTP pro webové služby. Application Gateway podporuje:

  • Spřažení relací na základě souborů cookie. Tato funkce zajišťuje, že připojení navázaná k jednomu ze serverů za tímto nástrojem pro vyrovnávání zatížení zůstanou mezi klientem a serverem nedotčená. Tím se zajistí stabilita transakcí.
  • Přesměrování zpracování PROTOKOLU TLS. Když se klient připojí k nástroji pro vyrovnávání zatížení, zašifruje se tato relace pomocí protokolu HTTPS (TLS). Pokud ale chcete zvýšit výkon, můžete použít protokol HTTP (nešifrovaný) pro připojení mezi nástrojem pro vyrovnávání zatížení a webovým serverem za nástrojem pro vyrovnávání zatížení. Tento postup se označuje jako "přesměrování zpracování TLS", protože na webových serverech za nástrojem pro vyrovnávání zatížení není zatížení procesoru spojené s šifrováním. Webové servery proto můžou žádosti obsluhovat rychleji.
  • Směrování obsahu na základě adresy URL. Tato funkce umožňuje nástroji pro vyrovnávání zatížení rozhodovat o tom, kam se mají přesměrovávat připojení na základě cílové adresy URL. To poskytuje mnohem větší flexibilitu než řešení, která se rozhodují o vyrovnávání zatížení na základě IP adres.

Další informace:

Vyrovnávání zatížení na úrovni sítě

Na rozdíl od vyrovnávání zatížení založeného na protokolu HTTP se vyrovnávání zatížení na úrovni sítě rozhoduje na základě IP adres a čísel portů (TCP nebo UDP). Výhody vyrovnávání zatížení na úrovni sítě v Azure můžete získat pomocí Azure Load Balancer. Mezi klíčové charakteristiky Load Balancer patří:

  • Vyrovnávání zatížení na úrovni sítě na základě IP adresy a čísel portů.
  • Podpora libovolného protokolu aplikační vrstvy
  • Vyrovnávání zatížení instancí rolí virtuálních počítačů Azure a cloudových služeb
  • Dá se použít pro internetové (externí vyrovnávání zatížení) i pro ne-internetové aplikace (interní vyrovnávání zatížení) a virtuální počítače.
  • Monitorování koncových bodů, které slouží k určení, jestli některá ze služeb za nástrojem pro vyrovnávání zatížení není dostupná.

Další informace:

Globální vyrovnávání zatížení

Některé organizace chtějí nejvyšší možnou úroveň dostupnosti. Jedním ze způsobů, jak tohoto cíle dosáhnout, je hostování aplikací v globálně distribuovaných datacentrech. Pokud je aplikace hostovaná v datacentrech umístěných po celém světě, může být celá geopolitické oblasti nedostupná a aplikace bude stále spuštěná.

Tato strategie vyrovnávání zatížení může také přinést výhody z hlediska výkonu. Žádosti o službu můžete směrovat do datacentra, které je nejblíže zařízení, které požadavek vytváří.

V Azure můžete získat výhody globálního vyrovnávání zatížení pomocí Azure Traffic Manageru.

Další informace:

Překlad adres

Překlad názvů je důležitou funkcí pro všechny služby, které hostujete v Azure. Z hlediska zabezpečení může ohrožení zabezpečení funkce překladu názvů vést k tomu, že útočník přesměruje požadavky z vašich webů na web útočníka. Zabezpečený překlad ip adres je požadavek pro všechny služby hostované v cloudu.

Je potřeba řešit dva typy překladu ip adres:

  • Interní překlad ip adres. Používají ho služby ve vašich virtuálních sítích, v místních sítích nebo v obou. Názvy používané pro interní překlad IP adres nejsou přístupné přes internet. Pro optimální zabezpečení je důležité, aby vaše interní schéma překladu IP adres nebylo dostupné externím uživatelům.
  • Překlad externích ip adres. Používají ho lidé a zařízení mimo vaše místní sítě a virtuální sítě. Jedná se o názvy, které jsou viditelné na internetu a slouží k přímému připojení ke cloudovým službám.

Pro interní překlad ip adres máte dvě možnosti:

  • Server DNS virtuální sítě. Když vytvoříte novou virtuální síť, vytvoří se pro vás server DNS. Tento server DNS dokáže přeložit názvy počítačů umístěných v dané virtuální síti. Tento server DNS není konfigurovatelný, spravuje ho Správce prostředků infrastruktury Azure, a proto vám může pomoct zabezpečit řešení překladu ip adres.
  • Přineste si vlastní server DNS. Máte možnost umístit do virtuální sítě server DNS podle vlastního výběru. Tento server DNS může být integrovaný server DNS služby Active Directory nebo vyhrazené řešení serveru DNS poskytované partnerem Azure, které můžete získat od Azure Marketplace.

Další informace:

Pro překlad externích ip adres máte dvě možnosti:

  • Hostování vlastního externího serveru DNS v místním prostředí
  • Hostování vlastního externího serveru DNS pomocí poskytovatele služeb

Mnoho velkých organizací hostuje své vlastní servery DNS místně. Mohou to udělat, protože k tomu mají odborné znalosti v oblasti sítí a globální přítomnost.

Ve většině případů je lepší hostovat služby překladu názvů DNS u poskytovatele služeb. Tito poskytovatelé služeb mají zkušenosti se sítí a globální přítomnost, aby zajistili velmi vysokou dostupnost služeb překladu ip adres. Dostupnost je pro služby DNS nezbytná, protože pokud služby překladu IP adres selžou, nikdo se nebude moct spojit s vašimi internetovými službami.

Azure poskytuje vysoce dostupné a vysoce výkonné externí řešení DNS ve formě Azure DNS. Toto externí řešení překladu ip adres využívá celosvětovou infrastrukturu Azure DNS. Umožňuje hostovat doménu v Azure pomocí stejných přihlašovacích údajů, rozhraní API, nástrojů a fakturace jako ostatní služby Azure. V rámci Azure také dědí silné bezpečnostní prvky integrované do platformy.

Další informace:

Architektura hraniční sítě

Mnoho velkých organizací používá hraniční sítě k segmentace svých sítí a k vytvoření zóny vyrovnávací paměti mezi internetem a jejich službami. Hraniční část sítě se považuje za zónu s nízkým zabezpečením a do tohoto segmentu sítě nejsou umístěné žádné prostředky s vysokou hodnotou. Obvykle se zobrazí zařízení zabezpečení sítě, která mají síťové rozhraní v segmentu hraniční sítě. Jiné síťové rozhraní je připojené k síti, která obsahuje virtuální počítače a služby, které přijímají příchozí připojení z internetu.

Hraniční sítě můžete navrhnout několika různými způsoby. Rozhodnutí o nasazení hraniční sítě a následný typ hraniční sítě, pokud se ji rozhodnete použít, závisí na vašich požadavcích na zabezpečení sítě.

Další informace:

Azure DDoS Protection

Distribuované útoky na dostupnost služeb (DDoS) patří k největším hrozbám pro dostupnost a zabezpečení, se kterými se musejí zákazníci přesouvající aplikace do cloudu vyrovnávat. Útok DDoS se pokouší vyčerpat prostředky aplikace a znepřístupňuje aplikaci legitimním uživatelům. Útoky DDoS můžou cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.

Mezi funkce DDoS Protection patří:

  • Integrace nativní platformy: Nativní integrace do Azure. Zahrnuje konfiguraci prostřednictvím Azure Portal. DDoS Protection rozumí vašim prostředkům a jejich konfiguraci.
  • Ochrana na klíč: Zjednodušená konfigurace okamžitě chrání všechny prostředky ve virtuální síti, jakmile je služba DDoS Protection povolená. Nevyžaduje se žádný zásah ani definice uživatele. DDoS Protection okamžitě a automaticky zmírní útok po jeho zjištění.
  • Nepřetržité monitorování provozu: Vzorce provozu vaší aplikace se monitorují 24 hodin denně, 7 dní v týdnu a hledají indikátory útoků DDoS. Zmírnění rizik se provádí při překročení zásad ochrany.
  • Sestavy zmírnění útoků Sestavy zmírnění útoků používají agregovaná data toku sítě k poskytování podrobných informací o útocích cílených na vaše prostředky.
  • Protokoly toku zmírnění útoků Protokoly toku omezení rizik útoku umožňují během aktivního útoku DDoS téměř v reálném čase kontrolovat ukončený provoz, přesměrovaný provoz a další data útoku.
  • Adaptivní ladění: Inteligentní profilace provozu zjišťuje provoz vaší aplikace v průběhu času a vybírá a aktualizuje profil, který je pro vaši službu nejvhodnější. Profil se upravuje podle toho, jak se v průběhu času mění provoz. Ochrana vrstvy 3 až vrstvy 7: Poskytuje úplnou ochranu před útoky DDoS, pokud se používá s bránou firewall webových aplikací.
  • Rozsah rozsáhlého zmírnění rizik: K ochraně před největšími známými útoky DDoS je možné zmírnit více než 60 různých typů útoků s globální kapacitou.
  • Metriky útoku: Souhrnné metriky z jednotlivých útoků jsou přístupné prostřednictvím služby Azure Monitor.
  • Upozornění na útok: Výstrahy je možné nakonfigurovat při zahájení a zastavení útoku a po dobu trvání útoku pomocí předdefinovaných metrik útoků. Výstrahy se integrují do provozního softwaru, jako jsou protokoly Microsoft Azure Monitoru, Splunk, Azure Storage, Email a Azure Portal.
  • Záruka nákladů: Kredity služby pro přenos dat a horizontální navýšení kapacity aplikací pro zdokumentované útoky DDoS
  • Rychlá odezva DDoS Zákazníci služby DDoS Protection teď mají přístup k týmu rychlé reakce během aktivního útoku. DRR může pomoct s vyšetřováním útoku a vlastními zmírněními rizik během útoku a analýzy po útoku.

Další informace:

Azure Front Door

Služba Azure Front Door Service umožňuje definovat, spravovat a monitorovat globální směrování webového provozu. Optimalizuje směrování provozu pro zajištění nejlepšího výkonu a vysoké dostupnosti. Azure Front Door umožňuje vytvořit vlastní pravidla firewallu webových aplikací pro řízení přístupu za účelem ochrany úloh HTTP/HTTPS před zneužitím na základě klientských IP adres, kódů zemí a parametrů HTTP. Služba Front Door také umožňuje vytvářet pravidla omezování rychlosti pro boj se škodlivými přenosy robotů, včetně přesměrování zátěže TLS a požadavků HTTP/HTTPS a zpracování aplikační vrstvy.

Samotná platforma Front Door je chráněná ochranou před útoky DDoS na úrovni infrastruktury Azure. Za účelem další ochrany může být na virtuálních sítích povolená ochrana azure DDoS Network Protection a ochrana prostředků před útoky na vrstvu sítě (TCP/UDP) prostřednictvím automatického ladění a zmírnění rizik. Front Door je reverzní proxy server vrstvy 7, který ve výchozím nastavení umožňuje pouze průchod webového provozu na back-endové servery a blokování jiných typů provozu.

Poznámka

V případě webových úloh důrazně doporučujeme využít ochranu Azure DDoS a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je nasadit Službu Azure Front Door společně s bránou firewall webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě.

Další informace:

Azure Traffic Manager

Azure Traffic Manager je nástroj pro vyrovnávání zatížení provozu na základě DNS, který umožňuje optimálně distribuovat provoz do služeb napříč globálními oblastmi Azure při zajištění vysoké dostupnosti a rychlosti odezvy. Traffic Manager pomocí DNS směruje požadavky klientů do nejvhodnějšího koncového bodu služby v závislosti na metodě směrování provozu a stavu koncových bodů. Koncový bod je jakákoli internetová služba hostovaná v rámci nebo mimo Azure. Traffic Manager sleduje koncové body a nesměruje provoz do žádných nedostupných koncových bodů.

Další informace:

Monitorování a detekce hrozeb

Azure poskytuje funkce, které vám v této klíčové oblasti pomůžou s včasným zjišťováním, monitorováním a shromažďováním a kontrolou síťového provozu.

Azure Network Watcher

Azure Network Watcher vám může pomoct s řešením potíží a poskytuje zcela novou sadu nástrojů, které vám pomůžou s identifikací problémů se zabezpečením.

Zobrazení skupiny zabezpečení pomáhá s auditováním a dodržováním předpisů zabezpečení Virtual Machines. Tato funkce slouží k provádění programových auditů a porovnává základní zásady definované vaší organizací s efektivními pravidly pro každý z vašich virtuálních počítačů. To vám může pomoct identifikovat případné odchylky konfigurace.

Zachytávání paketů umožňuje zaznamenávat síťový provoz do a z virtuálního počítače. Můžete shromažďovat statistiky sítě a řešit problémy s aplikacemi, což může být při vyšetřování narušení sítě neocenitelné. Tuto funkci můžete také použít společně s Azure Functions ke spouštění síťových zachytávání v reakci na konkrétní upozornění Azure.

Další informace o Network Watcher a o tom, jak začít testovat některé funkce v testovacích prostředích, najdete v tématu Přehled monitorování služby Azure Network Watcher.

Poznámka

Nejaktuálnější oznámení o dostupnosti a stavu této služby najdete na stránce s aktualizacemi Azure.

Microsoft Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně a poskytuje lepší přehled o zabezpečení vašich prostředků Azure a kontrolu nad nimi. Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá detekovat hrozby, které by jinak mohly být bez povšimnutí, a pracuje s velkou sadou řešení zabezpečení.

Defender for Cloud pomáhá optimalizovat a monitorovat zabezpečení sítě pomocí:

  • Poskytování doporučení k zabezpečení sítě.
  • Monitorování stavu konfigurace zabezpečení sítě
  • Upozorňování na síťové hrozby na úrovni koncového bodu i sítě

Další informace:

Virtual Network KLEPNUTÍ

Technologie Azure Virtual Network TAP (terminálový přístupový bod) umožňuje nepřetržitě streamovat síťový provoz virtuálního počítače do kolektoru síťových paketů nebo analytického nástroje. Kolektor nebo analytický nástroj poskytuje partner síťového virtuálního zařízení. Stejný prostředek TAP virtuální sítě můžete použít k agregaci provozu z více síťových rozhraní ve stejném nebo různých předplatných.

Další informace:

protokolování

Protokolování na úrovni sítě je klíčovou funkcí pro každý scénář zabezpečení sítě. V Azure můžete protokolovat informace získané pro skupiny zabezpečení sítě a získat tak informace o protokolování na úrovni sítě. Díky protokolování NSG získáte informace z:

  • Protokoly aktivit. Tyto protokoly slouží k zobrazení všech operací odeslaných do vašich předplatných Azure. Tyto protokoly jsou ve výchozím nastavení povolené a je možné je použít v rámci Azure Portal. Dříve se označovaly jako protokoly auditu nebo provozní protokoly.
  • Protokoly událostí. Tyto protokoly poskytují informace o tom, jaká pravidla NSG se použila.
  • Protokoly čítačů. Tyto protokoly vám umožňují zjistit, kolikrát se každé pravidlo NSG použilo k odepření nebo povolení provozu.

K zobrazení a analýze těchto protokolů můžete také použít Microsoft Power BI, výkonný nástroj pro vizualizaci dat. Další informace: