Az Azure hálózati biztonságának áttekintése

A hálózati biztonság az erőforrások jogosulatlan hozzáféréssel vagy támadással szembeni védelmének folyamataként definiálható úgy, hogy vezérlőket alkalmaz a hálózati forgalomra. A cél annak biztosítása, hogy csak a jogszerű forgalom engedélyezett legyen. Az Azure egy robusztus hálózati infrastruktúrát tartalmaz, amely támogatja az alkalmazás- és szolgáltatáskapcsolati követelményeket. Hálózati kapcsolat lehetséges az Azure-ban található erőforrások, a helyszíni és az Azure által üzemeltetett erőforrások, valamint az internet és az Azure között.

Ez a cikk az Azure által a hálózati biztonság területén kínált néhány lehetőséget ismerteti. Az alábbiakról tudhat meg többet:

• Azure-hálózatkezelés
• Hálózati hozzáférés-vezérlés
• Azure Firewall
• Biztonságos távelérés és létesítmények közötti kapcsolat
• Rendelkezésre állás
• Névfeloldás
• Szegélyhálózati (DMZ) architektúra
• Azure DDoS Protection
• Azure Front Door
• Traffic Manager
• Monitorozás és fenyegetésészlelés

Megjegyzés

Webes számítási feladatok esetén erősen ajánlott az Azure DDoS-védelem és egy webalkalmazási tűzfal használata a felmerülő DDoS-támadások elleni védelem érdekében. Egy másik lehetőség az Azure Front Door üzembe helyezése egy webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen.

Azure-hálózatkezelés

Az Azure-nak virtuális gépeket kell csatlakoztatnia egy Azure-Virtual Network. A virtuális hálózat egy logikai szerkezet, amely a fizikai Azure hálózati hálóra épül. Minden virtuális hálózat el van különítve az összes többi virtuális hálózattól. Ez segít biztosítani, hogy az üzemelő példányok hálózati forgalma ne legyen elérhető más Azure-ügyfelek számára.

További információ:

• A virtuális hálózat áttekintése

Hálózati hozzáférés-vezérlés

A hálózati hozzáférés-vezérlés a virtuális hálózaton belüli adott eszközökhöz vagy alhálózatokhoz való csatlakozás korlátozására szolgál. A hálózati hozzáférés-vezérlés célja, hogy a virtuális gépekhez és szolgáltatásokhoz való hozzáférést a jóváhagyott felhasználókra és eszközökre korlátozza. A hozzáférés-vezérlés olyan döntéseken alapul, amelyek engedélyezik vagy letiltják a virtuális géphez vagy szolgáltatáshoz való csatlakozást.

Az Azure számos hálózati hozzáférés-vezérlési típust támogat, például:

• Hálózati réteg vezérlése
• Útvonal-vezérlés és kényszerített bújtatás
• Virtuális hálózati biztonsági berendezések

Hálózati réteg vezérlése

Minden biztonságos üzembe helyezéshez szükség van a hálózati hozzáférés-vezérlés bizonyos mértékére. A hálózati hozzáférés-vezérlés célja a virtuális gépek kommunikációjának korlátozása a szükséges rendszerekre. Az egyéb kommunikációs kísérletek le vannak tiltva.

Megjegyzés

A Storage-tűzfalakról az Azure Storage biztonsági áttekintését ismertető cikk nyújt tájékoztatást

Hálózati biztonsági szabályok (NSG-k)

Ha alapszintű hálózati szintű hozzáférés-vezérlésre van szüksége (az IP-cím és a TCP- vagy UDP-protokollok alapján), használhatja a hálózati biztonsági csoportokat (NSG-ket). Az NSG egy alapszintű, állapotalapú csomagszűrési tűzfal, amely lehetővé teszi a hozzáférés ötrekordos vezérlését. Az NSG-k olyan funkciókat tartalmaznak, amelyek leegyszerűsítik a felügyeletet, és csökkentik a konfigurációs hibák esélyét:

• A kibővített biztonsági szabályok leegyszerűsítik az NSG-szabálydefiníciót, és lehetővé teszik összetett szabályok létrehozását ahelyett, hogy több egyszerű szabályt kellene létrehozniuk ugyanannak az eredménynek a eléréséhez.
• A szolgáltatáscímkék olyan Microsoft által létrehozott címkék, amelyek IP-címek egy csoportját jelölik. Dinamikusan frissülnek, hogy olyan IP-címtartományokat tartalmazzanak, amelyek megfelelnek a címkébe való felvételt meghatározó feltételeknek. Ha például olyan szabályt szeretne létrehozni, amely a keleti régióban található összes Azure Storage-ra vonatkozik, használhatja a Storage.EastUS parancsot.
• Az alkalmazásbiztonsági csoportok lehetővé teszik az erőforrások alkalmazáscsoportokban való üzembe helyezését és az erőforrásokhoz való hozzáférés szabályozását az adott alkalmazáscsoportokat használó szabályok létrehozásával. Ha például webkiszolgálók vannak üzembe helyezve a "Webservers" alkalmazáscsoportban, létrehozhat egy szabályt, amely egy NSG-t alkalmaz, amely 443 forgalmat engedélyez az internetről a "Webservers" alkalmazáscsoport összes rendszerére.

Az NSG-k nem biztosítanak alkalmazásréteg-ellenőrzést vagy hitelesített hozzáférés-vezérlést.

További információ:

• Network Security Groups (Hálózati biztonsági csoportok)

A Felhőhöz készült Defender igény szerint hozzáfér a virtuális gépekhez

Microsoft Defender a felhőben kezelheti a virtuális gépek NSG-it, és zárolhatja a virtuális géphez való hozzáférést, amíg a megfelelő Azure szerepköralapú hozzáférés-vezérléssel rendelkező felhasználó nem kér hozzáférést az Azure RBAC-engedélyekhez. Ha a felhasználó sikeresen engedélyezte a Defender for Cloudot, módosításokat tesz az NSG-ken, hogy a megadott ideig engedélyezze a kiválasztott portokhoz való hozzáférést. Az idő lejártakor a rendszer visszaállítja az NSG-ket a korábbi biztonságos állapotukba.

További információ:

• Microsoft Defender for Cloud Just in Time Access

Szolgáltatásvégpontok

A szolgáltatásvégpontok egy másik módja a forgalom vezérlésének. A támogatott szolgáltatásokkal folytatott kommunikációt csak a virtuális hálózatokra korlátozhatja közvetlen kapcsolaton keresztül. A virtuális hálózatról a megadott Azure-szolgáltatásra érkező forgalom a Microsoft Azure gerinchálózatán marad.

További információ:

• Szolgáltatásvégpontok

Útvonal-vezérlés és kényszerített bújtatás

A virtuális hálózatok útválasztási viselkedésének szabályozása kritikus fontosságú. Ha az útválasztás helytelenül van konfigurálva, a virtuális gépen üzemeltetett alkalmazások és szolgáltatások jogosulatlan eszközökhöz kapcsolódhatnak, beleértve a potenciális támadók tulajdonában lévő és üzemeltetett rendszereket is.

Az Azure hálózatkezelése támogatja a virtuális hálózatok hálózati forgalmának útválasztási viselkedésének testreszabását. Ez lehetővé teszi a virtuális hálózat alapértelmezett útválasztási táblabejegyzéseinek módosítását. Az útválasztási viselkedés szabályozásával gondoskodhat arról, hogy egy adott eszközről vagy eszközcsoportról érkező összes forgalom egy adott helyen keresztül lépjen be vagy hagyja el a virtuális hálózatot.

Előfordulhat például, hogy egy virtuális hálózati biztonsági berendezés található a virtuális hálózaton. Győződjön meg arról, hogy a virtuális hálózatra érkező és onnan érkező összes forgalom áthalad a virtuális biztonsági berendezésen. Ehhez konfigurálja a felhasználó által megadott útvonalakat (UDR-eket) az Azure-ban.

A kényszerített bújtatás olyan mechanizmus, amellyel gondoskodhat arról, hogy a szolgáltatások ne kezdeményezhessenek internetkapcsolatot az eszközökkel. Vegye figyelembe, hogy ez nem azonos a bejövő kapcsolatok elfogadásával, majd azok megválaszolásával. Az előtér-webkiszolgálóknak válaszolniuk kell az internetes gazdagépek kéréseire, így az internetről érkező forgalom engedélyezve van ezekre a webkiszolgálókra, és a webkiszolgálók válaszolhatnak.

Amit nem szeretne engedélyezni, az egy előtér-webkiszolgáló, amely kimenő kérést kezdeményez. Az ilyen kérések biztonsági kockázatot jelenthetnek, mivel ezek a kapcsolatok kártevők letöltésére használhatók. Még ha azt is szeretné, hogy ezek az előtérbeli kiszolgálók kimenő kéréseket kezdeményezhessenek az internetre, kényszerítheti őket a helyszíni webes proxykon való áthaladásukra. Ez lehetővé teszi az URL-szűrés és -naplózás előnyeit.

Ehelyett a kényszerített bújtatást kellene használnia ennek megakadályozására. Ha engedélyezi a kényszerített bújtatást, az összes internetkapcsolat a helyszíni átjárón keresztül lesz kényszerítve. A kényszerített bújtatást az UDR-ek használatával konfigurálhatja.

További információ:

• Mik azok a felhasználó által megadott útvonalak és IP-továbbítás?

Virtuális hálózati biztonsági berendezések

Bár az NSG-k, az UDR-ek és a kényszerített bújtatás magas szintű biztonságot nyújtanak az OSI-modell hálózati és átviteli rétegei számára, érdemes lehet a hálózatnál magasabb szinten is engedélyezni a biztonságot.

A biztonsági követelmények közé tartozhatnak például a következők:

• Hitelesítés és engedélyezés az alkalmazáshoz való hozzáférés engedélyezése előtt
• Behatolásészlelés és behatolási válasz
• Alkalmazásréteg-vizsgálat magas szintű protokollokhoz
• URL-szűrés
• Hálózati szintű víruskereső és kártevőirtó
• Robotvédelem
• Alkalmazáshozzáférés-vezérlés
• További DDoS-védelem (az Azure-háló által biztosított DDoS-védelem felett)

Ezeket a továbbfejlesztett hálózati biztonsági funkciókat egy Azure-partnermegoldás használatával érheti el. A legfrissebb Azure-partnerhálózati biztonsági megoldásokat a Azure Marketplace felkeresve és a "biztonság" és a "hálózati biztonság" kifejezésre keresve találhatja meg.

Azure Firewall

Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít az Azure-ban futó felhőbeli számítási feladatok számára. Egy teljes mértékben állapotalapú tűzfalszolgáltatás, beépített magas rendelkezésre állással és korlátlan felhőméretezhetőséggel. Kelet-nyugati és észak-déli forgalomvizsgálatot is biztosít.

Azure Firewall három termékváltozatban érhető el: Standard, Premium és Basic. Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. Azure Firewall Premium speciális képességeket biztosít, például az aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését bizonyos minták keresésével. Azure Firewall Basic egy egyszerűsített termékváltozat, amely ugyanolyan szintű biztonságot nyújt, mint a standard termékváltozat, de a speciális képességek nélkül.

További információ:

• Mi az a Azure Firewall

A távoli hozzáférés és a létesítmények közötti kapcsolat biztonságossá tételéhez

Az Azure-erőforrások beállítását, konfigurálását és kezelését távolról kell elvégezni. Emellett érdemes lehet olyan hibrid informatikai megoldásokat üzembe helyezni, amelyek összetevői a helyszínen és az Azure nyilvános felhőben vannak. Ezek a forgatókönyvek biztonságos távelérést igényelnek.

Az Azure-hálózatkezelés a következő biztonságos távelérési forgatókönyveket támogatja:

• Egyes munkaállomások csatlakoztatása virtuális hálózathoz
• A helyszíni hálózat csatlakoztatása virtuális hálózathoz VPN-sel
• A helyszíni hálózat csatlakoztatása egy dedikált WAN-kapcsolattal rendelkező virtuális hálózathoz
• Virtuális hálózatok összekapcsolása egymással

Egyes munkaállomások csatlakoztatása virtuális hálózathoz

Érdemes lehet engedélyezni, hogy az egyes fejlesztők vagy üzemeltetési munkatársak felügyelhessék az Azure-beli virtuális gépeket és szolgáltatásokat. Tegyük fel például, hogy egy virtuális hálózaton lévő virtuális géphez kell hozzáférnie. A biztonsági szabályzat azonban nem engedélyezi az RDP- vagy SSH-távelérést az egyes virtuális gépekhez. Ebben az esetben pont –hely VPN-kapcsolatot használhat.

A pont–hely VPN kapcsolattal privát és biztonságos kapcsolatot állíthat be a felhasználó és a virtuális hálózat között. A VPN-kapcsolat létesítésekor a felhasználó RDP-t vagy SSH-t használhat a VPN-kapcsolaton keresztül a virtuális hálózat bármely virtuális gépére. (Ez feltételezi, hogy a felhasználó hitelesíthet és jogosult.) A pont–hely VPN a következőket támogatja:

• Secure Socket Tunneling Protocol (SSTP), egy szabadalmaztatott SSL-alapú VPN-protokoll. Az SSL VPN-megoldások behatolhatnak a tűzfalakba, mivel a legtöbb tűzfal a TLS/SSL által használt 443-os TCP-portot nyitja meg. Az SSTP csak Windows-eszközökön támogatott. Az Azure támogatja a Windows összes olyan verzióját, amely rendelkezik SSTP-vel (Windows 7 és újabb).

• IKEv2 VPN, egy szabványalapú IPsec VPN-megoldás. Az IKEv2 VPN segítségével Macről is lehetségessé válik a csatlakozás (OSX 10.11-es vagy újabb verziók használata esetén).

• OpenVPN

További információ:

• Pont–hely kapcsolat konfigurálása virtuális hálózathoz a PowerShell használatával

A helyszíni hálózat csatlakoztatása virtuális hálózathoz VPN-sel

Előfordulhat, hogy a teljes vállalati hálózatot vagy annak egy részét egy virtuális hálózathoz szeretné csatlakoztatni. Ez gyakori a hibrid informatikai forgatókönyvekben, ahol a szervezetek kiterjesztik helyszíni adatközpontjukat az Azure-ba. A szervezetek sok esetben egy szolgáltatás részeit üzemeltetik az Azure-ban, a helyszíni részeket pedig. Ezt például akkor tehetik meg, ha egy megoldás előtér-webkiszolgálókat tartalmaz az Azure-ban és a helyszíni háttér-adatbázisokban. Az ilyen típusú "létesítmények közötti" kapcsolatok az Azure-beli erőforrások felügyeletét is biztonságosabbá teszik, és olyan forgatókönyveket is lehetővé tesznek, mint például az Active Directory-tartományvezérlők kiterjesztése az Azure-ba.

Ennek egyik módja egy helyek közötti VPN használata. A helyek közötti VPN és a pont–hely VPN között az a különbség, hogy az utóbbi egyetlen eszközt csatlakoztat egy virtuális hálózathoz. A helyek közötti VPN egy teljes hálózatot (például a helyszíni hálózatot) csatlakoztat egy virtuális hálózathoz. A virtuális hálózatok helyek közötti VPN-jei a rendkívül biztonságos IPsec-alagútmódú VPN-protokollt használják.

További információ:

• Resource Manager virtuális hálózat létrehozása helyek közötti VPN-kapcsolattal a Azure Portal
• Információk a VPN Gateway-ről

A helyszíni hálózat csatlakoztatása egy dedikált WAN-kapcsolattal rendelkező virtuális hálózathoz

A pont–hely és a helyek közötti VPN-kapcsolatok hatékonyak a helyek közötti kapcsolatok engedélyezéséhez. Egyes szervezetek azonban úgy vélik, hogy a következő hátrányaik vannak:

• A VPN-kapcsolatok az interneten keresztül helyezik át az adatokat. Ez elérhetővé teszi ezeket a kapcsolatokat az adatok nyilvános hálózaton keresztüli áthelyezésével kapcsolatos lehetséges biztonsági problémáknak. Emellett az internetkapcsolatok megbízhatósága és rendelkezésre állása nem garantálható.
• Előfordulhat, hogy a virtuális hálózatokkal létesített VPN-kapcsolatok bizonyos alkalmazásokhoz és célokhoz nem rendelkeznek sávszélességtel, mivel a maximális sávszélességük körülbelül 200 Mbps.

Azok a szervezetek, amelyeknek a helyszíni kapcsolataikhoz a legmagasabb szintű biztonságra és rendelkezésre állásra van szükségük, általában dedikált WAN-hivatkozásokat használnak a távoli helyekhez való csatlakozáshoz. Az Azure lehetővé teszi, hogy egy dedikált WAN-hivatkozást használjon, amellyel csatlakoztathatja a helyszíni hálózatot egy virtuális hálózathoz. Ezt az Azure ExpressRoute, a közvetlen expressz útvonal és az Express route globális elérése teszi lehetővé.

További információ:

• Az ExpressRoute technikai áttekintése
• ExpressRoute közvetlen
• Express route global reach

Virtuális hálózatok összekapcsolása egymással

Számos virtuális hálózat használható az üzemelő példányokhoz. Ennek több oka is lehet. Egyszerűsíteni szeretné a felügyeletet, vagy nagyobb biztonságot szeretne. Függetlenül attól, hogy az erőforrásokat különböző virtuális hálózatokra kell-e helyezni, előfordulhatnak olyan esetek, amikor az egyes hálózatok erőforrásait egymással szeretné összekapcsolni.

Az egyik lehetőség az, hogy az egyik virtuális hálózaton lévő szolgáltatások egy másik virtuális hálózaton lévő szolgáltatásokhoz csatlakoznak az interneten keresztüli "visszacsatolással". A kapcsolat egy virtuális hálózaton indul el, az interneten keresztül halad át, majd visszatér a cél virtuális hálózathoz. Ez a beállítás elérhetővé teszi a kapcsolatot az internetalapú kommunikációban rejlő biztonsági problémáknak.

Jobb megoldás lehet egy helyek közötti VPN létrehozása, amely két virtuális hálózat között csatlakozik. Ez a módszer ugyanazt az IPSec-alagútmódú protokollt használja, mint a fent említett helyek közötti VPN-kapcsolat.

Ennek a megközelítésnek az az előnye, hogy a VPN-kapcsolat az Azure hálózati hálón keresztül jön létre, nem pedig az interneten keresztül. Ez további biztonsági réteget biztosít, szemben az interneten keresztül csatlakozó helyek közötti VPN-ekkel.

További információ:

• Virtuális hálózatok közötti kapcsolat konfigurálása az Azure Resource Manager és a PowerShell használatával

A virtuális hálózatok összekapcsolásának másik módja a virtuális hálózatok közötti társviszony-létesítés. Ez a funkció lehetővé teszi két Azure-hálózat összekapcsolását, hogy a kommunikáció a Microsoft gerincinfrastruktúráján keresztül történjen anélkül, hogy az az interneten keresztül történne. A virtuális hálózatok közötti társviszony-létesítés két VNET-t tud csatlakoztatni ugyanazon a régión belül, vagy két VNET-t az Azure-régiók között. Az NSG-k a különböző alhálózatok vagy rendszerek közötti kapcsolat korlátozására használhatók.

Rendelkezésre állás

A rendelkezésre állás minden biztonsági program kulcsfontosságú összetevője. Ha a felhasználók és a rendszerek nem férnek hozzá a hálózaton keresztüli hozzáféréshez szükségeshöz, a szolgáltatás sérültnek tekinthető. Az Azure a következő magas rendelkezésre állású mechanizmusokat támogató hálózatkezelési technológiák használatával rendelkezik:

• HTTP-alapú terheléselosztás
• Hálózati szintű terheléselosztás
• Globális terheléselosztás

A terheléselosztás egy olyan mechanizmus, amelynek célja a kapcsolatok egyenlő elosztása több eszköz között. A terheléselosztás céljai a következők:

• A rendelkezésre állás növelése. Ha több eszköz közötti terheléselosztást használ, egy vagy több eszköz elérhetetlenné válhat anélkül, hogy veszélyeztetné a szolgáltatást. A többi online eszközön futó szolgáltatások továbbra is kiszolgálhatják a szolgáltatás tartalmát.
• A teljesítmény növelése. Ha több eszközön is terheléselosztást alkalmaz, egyetlen eszköznek nem kell minden feldolgozást kezelnie. Ehelyett a tartalom kiszolgálásához szükséges feldolgozási és memóriaigények több eszközön is elterülnek.

HTTP-alapú terheléselosztás

A webalapú szolgáltatásokat futtató szervezetek gyakran szeretnének HTTP-alapú terheléselosztóval rendelkezni ezek előtt a webszolgáltatások előtt. Ez segít biztosítani a megfelelő teljesítményszintet és a magas rendelkezésre állást. A hagyományos, hálózatalapú terheléselosztók hálózati és átviteli rétegbeli protokollokra támaszkodnak. A HTTP-alapú terheléselosztók viszont a HTTP-protokoll jellemzői alapján hoznak döntéseket.

Azure Application Gateway HTTP-alapú terheléselosztást biztosít a webalapú szolgáltatásokhoz. Application Gateway a következőket támogatja:

• Cookie-alapú munkamenet-affinitás. Ez a képesség biztosítja, hogy a terheléselosztó mögött található egyik kiszolgálóval létesített kapcsolatok érintetlenek maradnak az ügyfél és a kiszolgáló között. Ez biztosítja a tranzakciók stabilitását.
• TLS-kiszervezés. Amikor egy ügyfél csatlakozik a terheléselosztóhoz, a munkamenet a HTTPS (TLS) protokoll használatával lesz titkosítva. A teljesítmény növelése érdekében azonban a HTTP (titkosítatlan) protokoll használatával kapcsolódhat a terheléselosztó és a terheléselosztó mögötti webkiszolgáló között. Ezt "TLS-kiszervezésnek" nevezzük, mert a terheléselosztó mögötti webkiszolgálók nem tapasztalják a titkosítással járó processzorterhelést. A webkiszolgálók így gyorsabban tudják kiszolgálni a kéréseket.
• URL-alapú tartalom-útválasztás. Ez a funkció lehetővé teszi, hogy a terheléselosztó döntsön arról, hogy a cél URL-cím alapján hol továbbíthatja a kapcsolatokat. Ez sokkal nagyobb rugalmasságot biztosít, mint azok a megoldások, amelyek az IP-címek alapján hoznak terheléselosztási döntéseket.

További információ:

• Az Application Gateway áttekintése

Hálózati szintű terheléselosztás

A HTTP-alapú terheléselosztással ellentétben a hálózati szintű terheléselosztás AZ IP-cím és a port (TCP vagy UDP) száma alapján hoz döntéseket. A hálózati szintű terheléselosztás előnyeit az Azure-ban a Azure Load Balancer használatával érheti el. A Load Balancer néhány fő jellemzője a következők:

• Hálózati szintű terheléselosztás IP-cím és portszámok alapján.
• Bármely alkalmazásréteg-protokoll támogatása.
• Terheléselosztás az Azure-beli virtuális gépekre és a felhőszolgáltatások szerepkörpéldányaira.
• Internetkapcsolattal rendelkező (külső terheléselosztás) és nem internetes (belső terheléselosztási) alkalmazásokhoz és virtuális gépekhez egyaránt használható.
• Végpontfigyelés, amely annak megállapítására szolgál, hogy a terheléselosztó mögötti szolgáltatások valamelyike elérhetetlenné vált-e.

További információ:

• Belső terheléselosztó áttekintése

Globális terheléselosztás

Egyes szervezetek a lehető legmagasabb szintű rendelkezésre állást szeretnék elérni. Ennek a célnak az egyik módja, ha globálisan elosztott adatközpontokban üzemeltet alkalmazásokat. Ha egy alkalmazást a világ minden részén található adatközpontokban üzemeltetnek, lehetséges, hogy egy teljes geopolitikai régió elérhetetlenné válik, és továbbra is működőképes állapotban van az alkalmazás.

Ez a terheléselosztási stratégia teljesítménybeli előnyökkel is jár. A szolgáltatásra vonatkozó kéréseket a kérést küldő eszközhöz legközelebbi adatközpontba irányíthatja.

Az Azure-ban az Azure Traffic Manager használatával élvezheti a globális terheléselosztás előnyeit.

További információ:

• A Traffic Manager ismertetése

Névfeloldás

A névfeloldás kritikus fontosságú függvény az Azure-ban üzemeltetett összes szolgáltatáshoz. Biztonsági szempontból a névfeloldási függvény biztonsága azt eredményezheti, hogy egy támadó átirányítja a kéréseket a webhelyekről a támadó webhelyére. A biztonságos névfeloldás követelmény az összes felhőben üzemeltetett szolgáltatáshoz.

A névfeloldásnak két típusa van:

• Belső névfeloldás. Ezt a virtuális hálózatokon, a helyszíni hálózatokon vagy mindkettőn lévő szolgáltatások használják. A belső névfeloldáshoz használt nevek nem érhetők el az interneten keresztül. Az optimális biztonság érdekében fontos, hogy a belső névfeloldási séma ne legyen elérhető a külső felhasználók számára.
• Külső névfeloldás. Ezt a helyszíni hálózatokon és virtuális hálózatokon kívüli személyek és eszközök használják. Ezek azok a nevek, amelyek láthatók az interneten, és a felhőalapú szolgáltatásokhoz való közvetlen kapcsolódásra szolgálnak.

A belső névfeloldáshoz két lehetőség közül választhat:

• Virtuális hálózati DNS-kiszolgáló. Új virtuális hálózat létrehozásakor létrejön egy DNS-kiszolgáló. Ez a DNS-kiszolgáló fel tudja oldani a virtuális hálózaton található gépek nevét. Ez a DNS-kiszolgáló nem konfigurálható, az Azure Fabric manager felügyeli, és így segíthet a névfeloldási megoldás biztonságának biztosításában.
• Saját DNS-kiszolgáló használata. Lehetősége van saját maga által választott DNS-kiszolgálót elhelyezni a virtuális hálózaton. Ez a DNS-kiszolgáló lehet egy Active Directory integrált DNS-kiszolgáló, vagy egy Azure-partner által biztosított dedikált DNS-kiszolgálói megoldás, amelyet a Azure Marketplace szerezhet be.

További információ:

• A virtuális hálózat áttekintése
• Virtuális hálózat által használt DNS-kiszolgálók kezelése

A külső névfeloldáshoz két lehetőség közül választhat:

• Saját külső DNS-kiszolgáló üzemeltetése a helyszínen.
• Saját külső DNS-kiszolgálót üzemeltethet egy szolgáltatónál.

Számos nagy szervezet üzemelteti a saját DNS-kiszolgálóit a helyszínen. Ezt azért tehetik meg, mert rendelkeznek a hálózatkezelési szakértelemmel és a globális jelenléttel.

A legtöbb esetben jobb, ha a DNS-névfeloldási szolgáltatásokat egy szolgáltatónál üzemelteti. Ezek a szolgáltatók rendelkeznek a hálózati szakértelemmel és a globális jelenléttel, hogy biztosítsák a névfeloldási szolgáltatások magas rendelkezésre állását. A rendelkezésre állás elengedhetetlen a DNS-szolgáltatásokhoz, mert ha a névfeloldási szolgáltatások meghiúsulnak, senki sem fogja tudni elérni az internetkapcsolattal rendelkező szolgáltatásokat.

Az Azure magas rendelkezésre állású és nagy teljesítményű külső DNS-megoldást biztosít Azure DNS formájában. Ez a külső névfeloldási megoldás kihasználja a globális Azure DNS-infrastruktúrát. Lehetővé teszi a tartomány azure-beli üzemeltetését ugyanazokkal a hitelesítő adatokkal, API-kkal, eszközökkel és számlázással, mint a többi Azure-szolgáltatás. Az Azure részeként a platformba beépített erős biztonsági vezérlőket is örökli.

További információ:

• Az Azure DNS áttekintése
• Az Azure DNS privát zónái lehetővé teszik privát DNS-nevek konfigurálását az Azure-erőforrásokhoz az automatikusan hozzárendelt nevek helyett anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia.

Szegélyhálózat architektúrája

Számos nagy szervezet szegélyhálózatokkal szegmentált hálózatokat használ, és pufferzónát hoz létre az internet és a szolgáltatásaik között. A hálózat szegélyhálózati részét alacsony biztonsági zónának tekintik, és nem helyeznek el nagy értékű eszközöket az adott hálózati szegmensben. Általában olyan hálózati biztonsági eszközöket láthat, amelyek hálózati adapterrel rendelkeznek a szegélyhálózati szegmensen. Egy másik hálózati adapter csatlakozik egy olyan hálózathoz, amely olyan virtuális gépekkel és szolgáltatásokkal rendelkezik, amelyek az internetről bejövő kapcsolatokat fogadnak.

A szegélyhálózatokat többféleképpen is megtervezheti. A szegélyhálózat üzembe helyezésének döntése, majd az, hogy milyen típusú szegélyhálózatot szeretne használni, a hálózati biztonsági követelményektől függ.

További információ:

• Biztonsági zónák szegélyhálózatai

Azure DDoS Protection

Az elosztott szolgáltatásmegtagadásos (DDoS-) támadások az egyik legnagyobb rendelkezésreállási és biztonsági kockázatot jelentik az olyan felhasználók számára, akik alkalmazásaikat a felhőbe helyezik át. A DDoS-támadás megpróbálja kimeríteni az alkalmazás erőforrásait, így az alkalmazás nem érhető el a jogszerű felhasználók számára. A DDoS-támadások bármilyen, az interneten keresztül nyilvánosan elérhető végpontot megcélozhatnak.

A DDoS Protection funkciói a következők:

• Natív platformintegráció: Natív módon integrálva az Azure-ba. A Azure Portal keresztüli konfigurációt is tartalmazza. A DDoS Protection megérti az erőforrásokat és az erőforrások konfigurációját.
• Kulcsrakész védelem: Az egyszerűsített konfiguráció azonnal védi a virtuális hálózaton lévő összes erőforrást, amint a DDoS Protection engedélyezve van. Nincs szükség beavatkozásra vagy felhasználódefinícióra. A DDoS Protection azonnal és automatikusan csökkenti a támadást, miután észlelte.
• Folyamatos forgalomfigyelés: Az alkalmazás forgalmi mintáit a rendszer a nap 24 órájában, a hét 7 napján figyeli, és a DDoS-támadások jelzéseit keresi. A kockázatcsökkentés a védelmi szabályzatok túllépésekor történik.
• Támadáscsökkentési jelentések A támadáscsökkentési jelentések összesített hálózati folyamatadatokat használnak az erőforrásokat célzó támadások részletes információinak biztosításához.
• Támadáscsökkentési folyamat naplói A támadáscsökkentési folyamat naplói lehetővé teszik az elvetett forgalom, a továbbított forgalom és más támadási adatok közel valós idejű áttekintését egy aktív DDoS-támadás során.
• Adaptív hangolás: Az intelligens adatforgalmi profilkészítés idővel megtanulja az alkalmazás forgalmát, és kiválasztja és frissíti a szolgáltatásához legmegfelelőbb profilt. A profil az idő múlásával változik. 3. rétegtől a 7. rétegig történő védelem: Teljes körű DDoS-védelmet biztosít, ha webalkalmazási tűzfallal használják.
• Kiterjedt kockázatcsökkentési skálázás: Több mint 60 különböző támadástípust lehet elhárítani globális kapacitással a legnagyobb ismert DDoS-támadások elleni védelem érdekében.
• Támadási metrikák: Az egyes támadások összesített metrikái az Azure Monitoron keresztül érhetők el.
• Támadásriasztás: A riasztások a támadás kezdetekor és végén, valamint a támadás időtartama alatt konfigurálhatók beépített támadási metrikák használatával. A riasztások integrálhatók az operatív szoftverbe, például a Microsoft Azure Monitor-naplókba, a Splunkba, az Azure Storage-ba, a Email és a Azure Portal.
• Költséggarancia: A dokumentált DDoS-támadásokhoz tartozó adatátviteli és alkalmazásbőség-kiskálázási szolgáltatási kreditek.
• A DDoS Gyors válaszideje A DDoS Protection-ügyfelek mostantól aktív támadás során hozzáférhetnek a gyorsreagálási csapathoz. A DRR segítséget nyújthat a támadás kivizsgálásában, az egyéni kockázatcsökkentésekben a támadás során és a támadás utáni elemzésekben.

További információ:

• A DDOS-védelem áttekintése

Azure Front Door

Az Azure Front Door Service lehetővé teszi a webes forgalom globális útválasztásának meghatározását, kezelését és monitorozását. Optimalizálja a forgalom útválasztását a legjobb teljesítmény és magas rendelkezésre állás érdekében. Az Azure Front Doorral egyéni webalkalmazási tűzfalszabályok (WAF-szabályok) készítésével hozzáférés-vezérlést valósíthat meg, amellyel megvédheti a HTTP/HTTPS-számítási feladatait attól, hogy feltörjék őket az ügyféloldali IP-cím, országkód és HTTP-paraméterek alapján. Emellett a Front Door lehetővé teszi sebességkorlátozási szabályok létrehozását a rosszindulatú robotforgalom elleni küzdelemhez, beleértve a TLS-kiszervezést és a HTTP/HTTPS-kérésenkénti, alkalmazásréteg-feldolgozást.

A Front Door platformot maga az Azure infrastruktúraszintű DDoS-védelem védi. A további védelem érdekében az Azure DDoS Network Protection engedélyezhető a virtuális hálózatokon, és automatikus hangolással és kockázatcsökkentéssel megvédheti az erőforrásokat a hálózati réteg (TCP/UDP) támadásaitól. A Front Door egy 7. rétegbeli fordított proxy, amely csak a webes forgalmat engedélyezi a háttérkiszolgálóknak, és alapértelmezés szerint blokkolja más típusú forgalmat.

Megjegyzés

Webes számítási feladatok esetén erősen ajánlott az Azure DDoS-védelem és egy webalkalmazási tűzfal használata a felmerülő DDoS-támadások elleni védelem érdekében. Egy másik lehetőség az Azure Front Door üzembe helyezése egy webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen.

További információ:

• Az Azure Front Door funkcióinak teljes készletéről további információt az Azure Front Door áttekintésében talál.

Azure Traffic Manager

Az Azure Traffic Manager egy DNS-alapú forgalom-terheléselosztó, amely lehetővé teszi a szolgáltatásokhoz érkező forgalom optimális elosztását a globális Azure-régiókban, miközben magas rendelkezésre állást és válaszkészséget biztosít. A Traffic Manager DNS használatával a leginkább megfelelő szolgáltatási végpontra irányítja az ügyfélkéréseket a forgalom-útválasztási módszer és a végpont állapota alapján. A végpont egy, az Azure-on kívül vagy belül üzemeltetett, internetkapcsolattal rendelkező szolgáltatás. A Traffic Manager figyeli a végpontokat, és nem irányítja a forgalmat elérhetetlen végpontokra.

További információ:

• Az Azure Traffic Manager áttekintése

Monitorozás és fenyegetésészlelés

Az Azure olyan képességeket biztosít, amelyekkel ezen a kulcsfontosságú területen korai észlelést, monitorozást, valamint a hálózati forgalom gyűjtését és áttekintését is lehetővé teszi.

Azure Network Watcher

Az Azure Network Watcher segíthet a hibaelhárításban, és egy teljesen új eszközkészletet biztosít a biztonsági problémák azonosításához.

A Biztonsági csoport nézet segít a Virtual Machines naplózásában és biztonsági megfelelőségében. Ezzel a funkcióval programozott naplózásokat hajthat végre, összehasonlítva a szervezet által meghatározott alapkonfigurációs szabályzatokat az egyes virtuális gépek hatályos szabályaival. Ez segíthet azonosítani a konfigurációs eltéréseket.

A csomagrögzítés lehetővé teszi a virtuális gép felé és onnan érkező hálózati forgalom rögzítését. Hálózati statisztikákat gyűjthet, és elháríthatja az alkalmazásokkal kapcsolatos problémákat, amelyek felbecsülhetetlen értékűek lehetnek a hálózati behatolások vizsgálata során. Ezt a funkciót a Azure Functions együtt is használhatja a hálózatrögzítések elindításához adott Azure-riasztásokra válaszul.

A Network Watcher és a tesztkörnyezet egyes funkcióinak tesztelésének megkezdéséről az Azure Network Watcher monitorozásának áttekintése című témakörben talál további információt.

Megjegyzés

A szolgáltatás rendelkezésre állásával és állapotával kapcsolatos legfrissebb értesítésekért tekintse meg az Azure-frissítések oldalát.

Microsoft Defender for Cloud

Microsoft Defender a Felhőhöz segít megelőzni, észlelni és reagálni a fenyegetésekre, valamint nagyobb betekintést és ellenőrzést biztosít az Azure-erőforrások biztonságába. Integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben, segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek, és számos biztonsági megoldással működik együtt.

A Felhőhöz készült Defender az alábbiakkal segíti a hálózati biztonság optimalizálását és monitorozását:

• Hálózati biztonsági javaslatok megadása.
• A hálózati biztonsági konfiguráció állapotának figyelése.
• Hálózatalapú fenyegetésekre figyelmezteti mind a végpont, mind a hálózati szinten.

További információ:

• A felhőhöz készült Microsoft Defender bemutatása

VIRTUAL NETWORK TAP

Az Azure-beli virtuális hálózati TAP (terminálhozzáférési pont) lehetővé teszi, hogy folyamatosan streamelje a virtuális gép hálózati forgalmát egy hálózati csomaggyűjtő vagy elemző eszköz felé. A gyűjtőt vagy az elemzési eszközt egy hálózati virtuális berendezési partner biztosítja. Ugyanazt a virtuális hálózati TAP-erőforrást használhatja az azonos vagy különböző előfizetésekben található több hálózati adapter forgalmának összesítéséhez.

További információ:

• Virtuális hálózat TAP-jai

Naplózás

A hálózati szintű naplózás minden hálózati biztonsági forgatókönyv kulcsfontosságú funkciója. Az Azure-ban naplózhatja az NSG-khez beszerzett adatokat a hálózati szintű naplózási információk lekéréséhez. Az NSG-naplózással a következő információkhoz juthat:

• Tevékenységnaplók. Ezekkel a naplókkal megtekintheti az Azure-előfizetéseinek küldött összes műveletet. Ezek a naplók alapértelmezés szerint engedélyezve vannak, és az Azure Portal belül használhatók. Ezeket korábban naplózási vagy működési naplóknak nevezték.
• Eseménynaplók. Ezek a naplók információt nyújtanak arról, hogy milyen NSG-szabályokat alkalmaztak.
• Számlálónaplók. Ezek a naplók azt jelzik, hogy hányszor alkalmazták az egyes NSG-szabályokat a forgalom megtagadására vagy engedélyezésére.

A Naplók megtekintéséhez és elemzéséhez a Microsoft Power BI hatékony adatvizualizációs eszközét is használhatja. További információ:

• Azure Monitor-naplók hálózati biztonsági csoportokhoz (NSG-khez)