Overzicht van Azure-netwerkbeveiliging

Netwerkbeveiliging kan worden gedefinieerd als het proces van het beveiligen van resources tegen onbevoegde toegang of aanvallen door besturingselementen toe te passen op netwerkverkeer. Het doel is ervoor te zorgen dat alleen legitiem verkeer is toegestaan. Azure bevat een robuuste netwerkinfrastructuur ter ondersteuning van de vereisten voor uw toepassing en serviceconnectiviteit. Netwerkconnectiviteit is mogelijk tussen resources in Azure, tussen on-premises en door Azure gehoste resources, en van en naar internet en Azure.

In dit artikel worden enkele van de opties besproken die Azure biedt op het gebied van netwerkbeveiliging. Hier vindt u meer informatie over:

• Azure-netwerken
• Netwerktoegangsbeheer
• Azure Firewall
• Beveiligde externe toegang en cross-premises connectiviteit
• Beschikbaarheid
• Naamomzetting
• Architectuur van perimeternetwerk (DMZ)
• Azure DDoS Protection
• Azure Front Door
• Traffic Manager
• Bewaking en detectie van bedreigingen

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is het implementeren van Azure Front Door samen met een webtoepassingsfirewall. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau.

Azure-netwerken

Azure vereist dat virtuele machines zijn verbonden met een Azure-Virtual Network. Een virtueel netwerk is een logische constructie die is gebouwd op de fysieke Azure-netwerkinfrastructuur. Elk virtueel netwerk is geïsoleerd van alle andere virtuele netwerken. Dit zorgt ervoor dat netwerkverkeer in uw implementaties niet toegankelijk is voor andere Azure-klanten.

Meer informatie:

• Overzicht van virtueel netwerk

Netwerktoegangsbeheer

Netwerktoegangsbeheer is het beperken van de connectiviteit van en naar specifieke apparaten of subnetten binnen een virtueel netwerk. Het doel van netwerktoegangsbeheer is om de toegang tot uw virtuele machines en services te beperken tot goedgekeurde gebruikers en apparaten. Toegangsbeheer is gebaseerd op beslissingen om verbindingen van en naar uw virtuele machine of service toe te staan of te weigeren.

Azure ondersteunt verschillende typen netwerktoegangsbeheer, zoals:

• Netwerklaagbeheer
• Routebeheer en geforceerde tunneling
• Virtuele netwerkbeveiligingsapparaten

Netwerklaagbeheer

Elke beveiligde implementatie vereist enige mate van netwerktoegangsbeheer. Het doel van netwerktoegangsbeheer is het beperken van de communicatie van virtuele machines naar de benodigde systemen. Andere communicatiepogingen worden geblokkeerd.

Notitie

Storage Firewalls worden behandeld in het artikel Azure Storage Security Overview (Overzicht van Azure Storage-beveiliging )

Netwerkbeveiligingsregels (NSG's)

Als u basistoegangsbeheer op netwerkniveau nodig hebt (op basis van ip-adres en de TCP- of UDP-protocollen), kunt u netwerkbeveiligingsgroepen (NSG's) gebruiken. Een NSG is een eenvoudige, stateful firewall voor pakketfiltering. Hiermee kunt u de toegang beheren op basis van een 5-tuple. NSG's bevatten functionaliteit om het beheer te vereenvoudigen en de kans op configuratiefouten te verkleinen:

• Uitgebreide beveiligingsregels vereenvoudigen de definitie van NSG-regels en stellen u in staat om complexe regels te maken in plaats van meerdere eenvoudige regels te maken om hetzelfde resultaat te bereiken.
• Servicetags zijn door Microsoft gemaakte labels die een groep IP-adressen vertegenwoordigen. Ze worden dynamisch bijgewerkt om IP-bereiken op te nemen die voldoen aan de voorwaarden voor opname in het label. Als u bijvoorbeeld een regel wilt maken die van toepassing is op alle Azure-opslag in de regio Oost, kunt u Storage.EastUS gebruiken
• Met toepassingsbeveiligingsgroepen kunt u resources implementeren in toepassingsgroepen en de toegang tot deze resources beheren door regels te maken die gebruikmaken van deze toepassingsgroepen. Als u bijvoorbeeld webservers hebt geïmplementeerd in de toepassingsgroep 'Webservers', kunt u een regel maken waarmee een NSG wordt toegepast die 443-verkeer van internet naar alle systemen in de toepassingsgroep 'Webservers' toestaat.

NSG's bieden geen inspectie van de toepassingslaag of geverifieerde toegangsbeheer.

Meer informatie:

• Netwerkbeveiligingsgroepen

Just-In-Time-VM-toegang van Defender voor Cloud

Microsoft Defender for Cloud kunnen de NSG's op VM's beheren en de toegang tot de VM vergrendelen totdat een gebruiker met de juiste Azure RBAC-machtigingen voor op rollen gebaseerd toegangsbeheer van Azure toegang aanvraagt. Wanneer de gebruiker is geautoriseerd, brengt Defender voor Cloud wijzigingen aan in de NSG's om toegang tot geselecteerde poorten toe te staan voor de opgegeven tijd. Wanneer de tijd verloopt, worden de NSG's hersteld naar hun vorige beveiligde status.

Meer informatie:

• Microsoft Defender voor Just-In-Time-toegang tot cloud

Service-eindpunten

Service-eindpunten zijn een andere manier om controle over uw verkeer toe te passen. U kunt de communicatie met ondersteunde services beperken tot alleen uw VNets via een directe verbinding. Verkeer van uw VNet naar de opgegeven Azure-service blijft op het Microsoft Azure-backbonenetwerk.

Meer informatie:

• Service-eindpunten

Routebeheer en geforceerde tunneling

De mogelijkheid om het routeringsgedrag op uw virtuele netwerken te beheren, is essentieel. Als routering onjuist is geconfigureerd, kunnen toepassingen en services die op uw virtuele machine worden gehost verbinding maken met niet-geautoriseerde apparaten, waaronder systemen die eigendom zijn van en worden beheerd door potentiële aanvallers.

Azure-netwerken ondersteunt de mogelijkheid om het routeringsgedrag voor netwerkverkeer in uw virtuele netwerken aan te passen. Hiermee kunt u de standaard routeringstabelvermeldingen in uw virtuele netwerk wijzigen. Controle over routeringsgedrag helpt u ervoor te zorgen dat al het verkeer van een bepaald apparaat of een bepaalde groep apparaten uw virtuele netwerk via een specifieke locatie binnenkomt of verlaat.

U kunt bijvoorbeeld een virtueel netwerkbeveiligingsapparaat in uw virtuele netwerk hebben. U wilt er zeker van zijn dat al het verkeer van en naar uw virtuele netwerk via dat virtuele beveiligingsapparaat verloopt. U kunt dit doen door door de gebruiker gedefinieerde routes (UDR's) te configureren in Azure.

Geforceerde tunneling is een mechanisme dat u kunt gebruiken om ervoor te zorgen dat uw services geen verbinding mogen maken met apparaten op internet. Houd er rekening mee dat dit anders is dan het accepteren van binnenkomende verbindingen en vervolgens reageren op deze verbindingen. Front-endwebservers moeten reageren op aanvragen van internethosts. Daarom is inkomend verkeer naar deze webservers toegestaan en mogen de webservers reageren.

Wat u niet wilt toestaan, is dat een front-endwebserver een uitgaande aanvraag kan initiëren. Dergelijke aanvragen kunnen een beveiligingsrisico vormen omdat deze verbindingen kunnen worden gebruikt om malware te downloaden. Zelfs als u wilt dat deze front-endservers uitgaande aanvragen naar internet initiëren, kunt u ze afdwingen om uw on-premises webproxy's te doorlopen. Hierdoor kunt u profiteren van URL-filtering en logboekregistratie.

In plaats daarvan kunt u geforceerde tunneling gebruiken om dit te voorkomen. Wanneer u geforceerde tunneling inschakelt, worden alle verbindingen met internet geforceerd via uw on-premises gateway. U kunt geforceerde tunneling configureren door gebruik te maken van UDR's.

Meer informatie:

• Wat zijn door de gebruiker gedefinieerde routes en doorsturen via IP

Virtuele netwerkbeveiligingsapparaten

Hoewel NSG's, UDR's en geforceerde tunneling u een beveiligingsniveau bieden op het netwerk en de transportlagen van het OSI-model, wilt u mogelijk ook beveiliging inschakelen op niveaus die hoger zijn dan het netwerk.

Uw beveiligingsvereisten kunnen bijvoorbeeld het volgende omvatten:

• Verificatie en autorisatie voordat toegang tot uw toepassing wordt verleend
• Inbraakdetectie en inbraakrespons
• Inspectie van de toepassingslaag voor protocollen op hoog niveau
• URL-filtering
• Antivirus- en antimalware op netwerkniveau
• Bescherming tegen bots
• Toegangsbeheer voor toepassingen
• Aanvullende DDoS-beveiliging (boven de DDoS-beveiliging die wordt geboden door de Azure-infrastructuur zelf)

U hebt toegang tot deze verbeterde netwerkbeveiligingsfuncties met behulp van een Azure-partneroplossing. U vindt de meest recente netwerkbeveiligingsoplossingen van Azure-partners door naar de Azure Marketplace te gaan en te zoeken naar 'beveiliging' en 'netwerkbeveiliging'.

Azure Firewall

Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die bedreigingsbeveiliging biedt voor uw cloudworkloads die in Azure worden uitgevoerd. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Het biedt zowel oost-west- als noord-zuidverkeersinspectie.

Azure Firewall wordt aangeboden in drie SKU's: Standard, Premium en Basic. Azure Firewall Standard biedt L3-L7-filtering en bedreigingsinformatiefeeds rechtstreeks vanuit Microsoft Cyber Security. Azure Firewall Premium biedt geavanceerde mogelijkheden, zoals idps op basis van handtekeningen, waarmee snelle detectie van aanvallen mogelijk is door te zoeken naar specifieke patronen. Azure Firewall Basic is een vereenvoudigde SKU die hetzelfde beveiligingsniveau biedt als de Standard-SKU, maar zonder de geavanceerde mogelijkheden.

Meer informatie:

• Wat is Azure Firewall

Beveiligde externe toegang en cross-premises connectiviteit

Installatie, configuratie en beheer van uw Azure-resources moet op afstand worden uitgevoerd. Daarnaast wilt u mogelijk hybride IT-oplossingen implementeren die on-premises en in de openbare Azure-cloud onderdelen hebben. Voor deze scenario's is beveiligde externe toegang vereist.

Azure-netwerken ondersteunen de volgende scenario's voor veilige externe toegang:

• Afzonderlijke werkstations verbinden met een virtueel netwerk
• Uw on-premises netwerk verbinden met een virtueel netwerk met een VPN
• Uw on-premises netwerk verbinden met een virtueel netwerk met een toegewezen WAN-koppeling
• Virtuele netwerken met elkaar verbinden

Afzonderlijke werkstations verbinden met een virtueel netwerk

Mogelijk wilt u afzonderlijke ontwikkelaars of operationele medewerkers in staat stellen om virtuele machines en services in Azure te beheren. Stel dat u toegang nodig hebt tot een virtuele machine in een virtueel netwerk. Uw beveiligingsbeleid staat echter geen externe toegang via RDP of SSH toe tot afzonderlijke virtuele machines. In dit geval kunt u een punt-naar-site-VPN-verbinding gebruiken.

Met de punt-naar-site-VPN-verbinding kunt u een persoonlijke en veilige verbinding instellen tussen de gebruiker en het virtuele netwerk. Wanneer de VPN-verbinding tot stand is gebracht, kan de gebruiker RDP of SSH via de VPN-koppeling naar elke virtuele machine in het virtuele netwerk gebruiken. (Hierbij wordt ervan uitgegaan dat de gebruiker zich kan verifiëren en is geautoriseerd.) Punt-naar-site-VPN ondersteunt:

• Secure Socket Tunneling Protocol (SSTP), een eigen VPN-protocol op basis van SSL. Een SSL VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls TCP-poort 443 openen, die door TLS/SSL wordt gebruikt. SSTP wordt alleen ondersteund op Windows-apparaten. Azure ondersteunt alle versies van Windows met SSTP (Windows 7 en hoger).

• IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (OSX-versie 10.11 en hoger).

• OpenVPN

Meer informatie:

• Een punt-naar-site-verbinding met een virtueel netwerk configureren met behulp van PowerShell

Uw on-premises netwerk verbinden met een virtueel netwerk met een VPN

Mogelijk wilt u uw hele bedrijfsnetwerk of delen daarvan verbinden met een virtueel netwerk. Dit is gebruikelijk in hybride IT-scenario's, waarbij organisaties hun on-premises datacenter uitbreiden naar Azure. In veel gevallen hosten organisaties onderdelen van een service in Azure en onderdelen on-premises. Ze kunnen dit bijvoorbeeld doen wanneer een oplossing front-endwebservers in Azure en on-premises back-enddatabases bevat. Dit soort cross-premises verbindingen maken ook het beheer van in Azure gelegen resources veiliger en maken scenario's mogelijk, zoals het uitbreiden van Active Directory-domeincontrollers naar Azure.

Een manier om dit te bereiken, is door een site-naar-site-VPN te gebruiken. Het verschil tussen een site-naar-site-VPN en een punt-naar-site-VPN is dat de laatste één apparaat verbindt met een virtueel netwerk. Een site-naar-site-VPN verbindt een heel netwerk (zoals uw on-premises netwerk) met een virtueel netwerk. Site-naar-site-VPN's naar een virtueel netwerk maken gebruik van het uiterst veilige VPN-protocol voor de IPsec-tunnelmodus.

Meer informatie:

• Maak een Resource Manager VNet met een site-naar-site-VPN-verbinding met behulp van de Azure Portal
• Informatie over VPN-gateway

Uw on-premises netwerk verbinden met een virtueel netwerk met een toegewezen WAN-koppeling

Punt-naar-site- en site-naar-site-VPN-verbindingen zijn effectief voor het inschakelen van cross-premises connectiviteit. Sommige organisaties beschouwen deze echter als de volgende nadelen:

• Vpn-verbindingen verplaatsen gegevens via internet. Hierdoor worden deze verbindingen blootgesteld aan mogelijke beveiligingsproblemen met betrekking tot het verplaatsen van gegevens via een openbaar netwerk. Bovendien kan de betrouwbaarheid en beschikbaarheid van internetverbindingen niet worden gegarandeerd.
• VPN-verbindingen met virtuele netwerken hebben mogelijk niet de bandbreedte voor sommige toepassingen en doeleinden, omdat ze maximaal ongeveer 200 Mbps hebben.

Organisaties die het hoogste niveau van beveiliging en beschikbaarheid nodig hebben voor hun cross-premises verbindingen, gebruiken meestal toegewezen WAN-koppelingen om verbinding te maken met externe sites. Azure biedt u de mogelijkheid om een toegewezen WAN-koppeling te gebruiken die u kunt gebruiken om uw on-premises netwerk te verbinden met een virtueel netwerk. Azure ExpressRoute, Express Route Direct en Express Route Global Reach maken dit mogelijk.

Meer informatie:

• Technisch overzicht van ExpressRoute
• ExpressRoute direct
• Wereldwijd bereik expressroute

Virtuele netwerken met elkaar verbinden

Het is mogelijk om veel virtuele netwerken te gebruiken voor uw implementaties. Er zijn verschillende redenen waarom u dit zou kunnen doen. Misschien wilt u het beheer vereenvoudigen of wilt u meer beveiliging. Ongeacht de motivatie om resources in verschillende virtuele netwerken te plaatsen, kan het zijn dat u resources op elk van de netwerken met elkaar wilt verbinden.

Een optie is om services op het ene virtuele netwerk verbinding te laten maken met services in een ander virtueel netwerk, door terug te 'lusen' via internet. De verbinding wordt gestart op één virtueel netwerk, gaat via internet en gaat vervolgens terug naar het virtuele doelnetwerk. Met deze optie wordt de verbinding blootgesteld aan de beveiligingsproblemen die inherent zijn aan communicatie via internet.

Een betere optie is het maken van een site-naar-site-VPN die verbinding maakt tussen twee virtuele netwerken. Deze methode maakt gebruik van hetzelfde IPSec-tunnelmodusprotocol als de cross-premises site-naar-site-VPN-verbinding die hierboven wordt vermeld.

Het voordeel van deze aanpak is dat de VPN-verbinding tot stand wordt gebracht via de Azure-netwerkinfrastructuur, in plaats van verbinding te maken via internet. Dit biedt u een extra beveiligingslaag, vergeleken met site-naar-site-VPN's die verbinding maken via internet.

Meer informatie:

• Een VNet-naar-VNet-verbinding configureren met behulp van Azure Resource Manager en PowerShell

Een andere manier om uw virtuele netwerken te verbinden, is VNET-peering. Met deze functie kunt u twee Azure-netwerken verbinden, zodat de communicatie tussen beide plaatsvindt via de Microsoft-backbone-infrastructuur zonder dat deze ooit via internet gaat. VNET-peering kan twee VNET's binnen dezelfde regio of twee VNET's in Azure-regio's verbinden. NSG's kunnen worden gebruikt om de connectiviteit tussen verschillende subnetten of systemen te beperken.

Beschikbaarheid

Beschikbaarheid is een belangrijk onderdeel van elk beveiligingsprogramma. Als uw gebruikers en systemen geen toegang hebben tot wat ze nodig hebben via het netwerk, kan de service worden beschouwd als gecompromitteerd. Azure heeft netwerktechnologieën die ondersteuning bieden voor de volgende mechanismen voor hoge beschikbaarheid:

• Taakverdeling op basis van HTTP
• Taakverdeling op netwerkniveau
• Globale taakverdeling

Taakverdeling is een mechanisme dat is ontworpen om verbindingen gelijkmatig over meerdere apparaten te verdelen. De doelen van taakverdeling zijn:

• Om de beschikbaarheid te verhogen. Wanneer u de taakverdeling van verbindingen over meerdere apparaten verdeelt, kunnen een of meer van de apparaten niet meer beschikbaar zijn zonder dat dit ten koste gaat van de service. De services die op de resterende onlineapparaten worden uitgevoerd, kunnen de inhoud van de service blijven leveren.
• Om de prestaties te verbeteren. Wanneer u de taakverdeling van verbindingen over meerdere apparaten verdeelt, hoeft één apparaat niet alle verwerkingen te verwerken. In plaats daarvan worden de verwerkings- en geheugenvereisten voor het leveren van de inhoud verdeeld over meerdere apparaten.

Taakverdeling op basis van HTTP

Organisaties die webservices uitvoeren, willen vaak een op HTTP gebaseerde load balancer vóór deze webservices hebben. Dit zorgt voor voldoende prestatieniveaus en hoge beschikbaarheid. Traditionele load balancers op basis van netwerken zijn afhankelijk van netwerk- en transportlaagprotocollen. Load balancers op basis van HTTP nemen daarentegen beslissingen op basis van kenmerken van het HTTP-protocol.

Azure Application Gateway biedt op HTTP gebaseerde taakverdeling voor uw webservices. Application Gateway ondersteunt:

• Sessieaffiniteit op basis van cookies. Deze mogelijkheid zorgt ervoor dat verbindingen met een van de servers achter die load balancer intact blijven tussen de client en de server. Dit zorgt voor stabiliteit van transacties.
• TLS-offload. Wanneer een client verbinding maakt met de load balancer, wordt die sessie versleuteld met behulp van het TLS-protocol (HTTPS). Als u echter de prestaties wilt verbeteren, kunt u het HTTP-protocol (niet-versleuteld) gebruiken om verbinding te maken tussen de load balancer en de webserver achter de load balancer. Dit wordt 'TLS-offload' genoemd, omdat de webservers achter de load balancer geen processoroverhead ervaren die gepaard gaat met versleuteling. De webservers kunnen aanvragen daarom sneller verwerken.
• Routering van inhoud op basis van URL's. Met deze functie kan de load balancer beslissingen nemen over het doorsturen van verbindingen op basis van de doel-URL. Dit biedt veel meer flexibiliteit dan oplossingen die taakverdelingsbeslissingen nemen op basis van IP-adressen.

Meer informatie:

• Overzicht van Application Gateway

Taakverdeling op netwerkniveau

In tegenstelling tot op HTTP gebaseerde taakverdeling, neemt taakverdeling op netwerkniveau beslissingen op basis van IP-adres- en poortnummers (TCP of UDP). U kunt profiteren van de voordelen van taakverdeling op netwerkniveau in Azure met behulp van Azure Load Balancer. Enkele belangrijke kenmerken van Load Balancer zijn:

• Taakverdeling op netwerkniveau op basis van IP-adres en poortnummers.
• Ondersteuning voor elk toepassingslaagprotocol.
• Taakverdelingen naar virtuele Azure-machines en rolinstanties van cloudservices.
• Kan worden gebruikt voor zowel internetgerichte (externe taakverdeling) als niet-internetgerichte (interne taakverdeling) toepassingen en virtuele machines.
• Eindpuntbewaking, die wordt gebruikt om te bepalen of een van de services achter de load balancer niet meer beschikbaar is.

Meer informatie:

• Overzicht van interne load balancer

Globale taakverdeling

Sommige organisaties willen het hoogst mogelijke niveau van beschikbaarheid. Een manier om dit doel te bereiken, is door toepassingen te hosten in wereldwijd gedistribueerde datacenters. Wanneer een toepassing wordt gehost in datacenters over de hele wereld, is het mogelijk dat een hele geopolitieke regio niet meer beschikbaar is en de toepassing nog steeds actief is.

Deze taakverdelingsstrategie kan ook prestatievoordelen opleveren. U kunt aanvragen voor de service doorsturen naar het datacenter dat zich het dichtst bij het apparaat bevindt dat de aanvraag doet.

In Azure kunt u profiteren van de voordelen van wereldwijde taakverdeling met behulp van Azure Traffic Manager.

Meer informatie:

• Wat is Traffic Manager?

Naamomzetting

Naamomzetting is een kritieke functie voor alle services die u in Azure host. Vanuit het oogpunt van beveiliging kan inbreuk op de naamomzettingsfunctie ertoe leiden dat een aanvaller aanvragen van uw sites omleidt naar de site van een aanvaller. Veilige naamomzetting is een vereiste voor al uw in de cloud gehoste services.

Er zijn twee typen naamomzetting die u moet aanpakken:

• Interne naamomzetting. Dit wordt gebruikt door services in uw virtuele netwerken, uw on-premises netwerken of beide. Namen die worden gebruikt voor interne naamomzetting zijn niet toegankelijk via internet. Voor een optimale beveiliging is het belangrijk dat uw interne naamomzettingsschema niet toegankelijk is voor externe gebruikers.
• Externe naamomzetting. Dit wordt gebruikt door personen en apparaten buiten uw on-premises netwerken en virtuele netwerken. Dit zijn de namen die zichtbaar zijn voor internet en die worden gebruikt om verbinding te maken met uw cloudservices.

Voor interne naamomzetting hebt u twee opties:

• Een DNS-server van een virtueel netwerk. Wanneer u een nieuw virtueel netwerk maakt, wordt er een DNS-server voor u gemaakt. Deze DNS-server kan de namen van de computers in dat virtuele netwerk omzetten. Deze DNS-server kan niet worden geconfigureerd, wordt beheerd door de Azure-infrastructuurbeheerder en kan u daarom helpen uw naamomzettingsoplossing te beveiligen.
• Neem uw eigen DNS-server mee. U hebt de mogelijkheid om een DNS-server van uw keuze in uw virtuele netwerk te plaatsen. Deze DNS-server kan een met Active Directory geïntegreerde DNS-server zijn of een toegewezen DNS-serveroplossing die wordt geleverd door een Azure-partner, die u kunt verkrijgen via de Azure Marketplace.

Meer informatie:

• Overzicht van virtueel netwerk
• DNS-servers beheren die worden gebruikt door een virtueel netwerk

Voor externe naamomzetting hebt u twee opties:

• Host uw eigen externe DNS-server on-premises.
• Host uw eigen externe DNS-server met een serviceprovider.

Veel grote organisaties hosten hun eigen DNS-servers on-premises. Ze kunnen dit doen omdat ze de netwerkexpertise en wereldwijde aanwezigheid hebben om dit te doen.

In de meeste gevallen is het beter om uw DNS-naamomzettingsservices te hosten bij een serviceprovider. Deze serviceproviders hebben de netwerkexpertise en wereldwijde aanwezigheid om een zeer hoge beschikbaarheid voor uw naamomzettingsservices te garanderen. Beschikbaarheid is essentieel voor DNS-services, want als uw naamomzettingsservices mislukken, kan niemand uw internetgerichte services bereiken.

Azure biedt u een maximaal beschikbare en goed presterende externe DNS-oplossing in de vorm van Azure DNS. Deze oplossing voor externe naamomzetting maakt gebruik van de wereldwijde Azure DNS-infrastructuur. Hiermee kunt u uw domein hosten in Azure, met behulp van dezelfde referenties, API's, hulpprogramma's en facturering als uw andere Azure-services. Als onderdeel van Azure neemt het ook de krachtige beveiligingscontroles over die in het platform zijn ingebouwd.

Meer informatie:

• Overzicht van Azure DNS
• Met privézones van Azure DNS kunt u privé-DNS-namen configureren voor Azure-resources in plaats van de automatisch toegewezen namen zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen.

Perimeternetwerkarchitectuur

Veel grote organisaties gebruiken perimeternetwerken om hun netwerken te segmenteren en een bufferzone te maken tussen internet en hun services. Het perimetergedeelte van het netwerk wordt beschouwd als een zone met lage beveiliging en er worden geen waardevolle activa in dat netwerksegment geplaatst. Meestal ziet u netwerkbeveiligingsapparaten met een netwerkinterface in het perimeternetwerksegment. Een andere netwerkinterface is verbonden met een netwerk met virtuele machines en services die binnenkomende verbindingen van internet accepteren.

U kunt perimeternetwerken op verschillende manieren ontwerpen. De beslissing om een perimeternetwerk te implementeren en vervolgens welk type perimeternetwerk u wilt gebruiken als u er een wilt gebruiken, is afhankelijk van de beveiligingsvereisten van uw netwerk.

Meer informatie:

• Perimeternetwerken voor beveiligingszones

Azure DDoS Protection

DDoS-aanvallen (Distributed Denial of Service-aanvallen) vormen een van de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die hun toepassingen verplaatsen naar de cloud. Met een DDoS-aanval wordt geprobeerd de resources van een toepassing uit te putten, waardoor de toepassing niet meer beschikbaar is voor legitieme gebruikers. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

DDoS Protection-functies zijn onder andere:

• Systeemeigen platformintegratie: Systeemeigen geïntegreerd in Azure. Bevat configuratie via de Azure Portal. DDoS Protection begrijpt uw resources en resourceconfiguratie.
• Kant-en-klare beveiliging: Vereenvoudigde configuratie beveiligt onmiddellijk alle resources in een virtueel netwerk zodra DDoS-beveiliging is ingeschakeld. Er is geen tussenkomst of gebruikersdefinitie vereist. DDoS Protection vermindert de aanval direct en automatisch, zodra deze is gedetecteerd.
• Permanente verkeersbewaking: Uw toepassingsverkeerspatronen worden 24 uur per dag, 7 dagen per week bewaakt, op zoek naar indicatoren van DDoS-aanvallen. Risicobeperking wordt uitgevoerd wanneer het beveiligingsbeleid wordt overschreden.
• Rapporten over het beperken van aanvallen Rapporten over aanvalsbeperking gebruiken geaggregeerde netwerkstroomgegevens om gedetailleerde informatie te bieden over aanvallen die zijn gericht op uw resources.
• Stroomlogboeken voor aanvalsbeperking Met stroomlogboeken voor aanvalsbeperking kunt u het verwijderde verkeer, doorgestuurde verkeer en andere aanvalsgegevens bijna in realtime bekijken tijdens een actieve DDoS-aanval.
• Adaptieve afstemming: Intelligente verkeersprofilering leert het verkeer van uw toepassing in de loop van de tijd en selecteert en werkt het profiel bij dat het meest geschikt is voor uw service. Het profiel wordt aangepast als het verkeer in de loop van de tijd verandert. Beveiliging van laag 3 tot laag 7: biedt volledige stack-DDoS-beveiliging wanneer deze wordt gebruikt met een webtoepassingsfirewall.
• Uitgebreide risicobeperkingsschaal: Meer dan 60 verschillende aanvalstypen kunnen worden beperkt, met wereldwijde capaciteit, om bescherming te bieden tegen de grootste bekende DDoS-aanvallen.
• Metrische gegevens over aanvallen: Samengevatte metrische gegevens van elke aanval zijn toegankelijk via Azure Monitor.
• Waarschuwingen voor aanvallen: Waarschuwingen kunnen worden geconfigureerd aan het begin en einde van een aanval en gedurende de duur van de aanval, met behulp van ingebouwde metrische gegevens over aanvallen. Waarschuwingen kunnen worden geïntegreerd in uw operationele software, zoals Microsoft Azure Monitor-logboeken, Splunk, Azure Storage, Email en de Azure Portal.
• Kostengarantie: Servicetegoeden voor gegevensoverdracht en uitschalen van toepassingen voor gedocumenteerde DDoS-aanvallen.
• Snel reagerende DDoS DDoS Protection-klanten hebben nu toegang tot het rapid response-team tijdens een actieve aanval. DRR kan helpen bij aanvalsonderzoek, aangepaste oplossingen tijdens een aanval en post-aanvalsanalyse.

Meer informatie:

• Overzicht van DDOS-beveiliging

Azure Front Door

Met Azure Front Door Service kunt u de globale routering van uw webverkeer definiëren, beheren en bewaken. Het optimaliseert de routering van uw verkeer voor de beste prestaties en hoge beschikbaarheid. Met Azure Front Door kunt u regels voor toegangsbeheer maken voor aangepaste webtoepassingsfirewalls (WAF) om uw HTTP/HTTPS-workload te beschermen tegen exploitatie op basis van klant-IP-adressen, landcode en http-parameters. Daarnaast kunt u met Front Door regels voor snelheidsbeperking maken om schadelijk botverkeer tegen te gaan. Het omvat TLS-offloading en per-HTTP/HTTPS-aanvraag, verwerking op toepassingslaag.

Het Front Door-platform zelf wordt beveiligd door een DDoS-beveiliging op Azure-infrastructuurniveau. Voor verdere beveiliging kan Azure DDoS-netwerkbeveiliging worden ingeschakeld op uw VNET's en resources beschermen tegen netwerklaagaanvallen (TCP/UDP) via automatisch afstemmen en beperken. Front Door is een omgekeerde proxy van laag 7. Webverkeer kan alleen worden doorgegeven aan back-endservers en andere soorten verkeer standaard blokkeren.

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is het implementeren van Azure Front Door samen met een webtoepassingsfirewall. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau.

Meer informatie:

• Voor meer informatie over de volledige set mogelijkheden van Azure Front Door kunt u het overzicht van Azure Front Door bekijken

Azure Traffic Manager

Azure Traffic Manager is een op DNS gebaseerde load balancer waarmee u verkeer optimaal over services kunt verdelen in Azure-regio's wereldwijd, terwijl u over hoge beschikbaarheid en een hoge reactiesnelheid beschikt. Traffic Manager maakt gebruik van DNS om aanvragen van clients door te sturen naar de meest geschikte eindpunten op basis van een methode om verkeer te routeren en van de status van de eindpunten. Een eindpunt is een internetgerichte service die binnen of buiten Azure wordt gehost. Traffic Manager bewaakt de eindpunten en leidt geen verkeer naar eindpunten die niet beschikbaar zijn.

Meer informatie:

• Overzicht van Azure Traffic Manager

Bewaking en detectie van bedreigingen

Azure biedt mogelijkheden om u op dit belangrijke gebied te helpen met vroege detectie, bewaking en het verzamelen en beoordelen van netwerkverkeer.

Azure Network Watcher

Azure Network Watcher kan u helpen bij het oplossen van problemen en biedt een hele nieuwe set hulpprogramma's om te helpen bij het identificeren van beveiligingsproblemen.

De weergave Beveiligingsgroep helpt bij het controleren en naleven van de beveiliging van Virtual Machines. Gebruik deze functie om programmatische controles uit te voeren, waarbij u het basislijnbeleid dat door uw organisatie is gedefinieerd, vergelijkt met effectieve regels voor elk van uw VM's. Dit kan u helpen bij het identificeren van eventuele configuratiedrifts.

Met pakketopname kunt u netwerkverkeer van en naar de virtuele machine vastleggen. U kunt netwerkstatistieken verzamelen en problemen met toepassingen oplossen, die van onschatbare waarde kunnen zijn bij het onderzoeken van netwerkinbreuken. U kunt deze functie ook samen met Azure Functions gebruiken om netwerkopnamen te starten als reactie op specifieke Azure-waarschuwingen.

Zie Overzicht van Azure Network Watcher-bewaking voor meer informatie over Network Watcher en het testen van bepaalde functionaliteiten in uw labs.

Notitie

Ga naar de pagina Azure-updates voor de meest recente meldingen over de beschikbaarheid en status van deze service.

Microsoft Defender for Cloud

Microsoft Defender for Cloud helpt u bedreigingen te voorkomen, detecteren en erop te reageren, en biedt u meer inzicht in en controle over de beveiliging van uw Azure-resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bij het detecteren van bedreigingen die anders onopgemerkt zouden kunnen worden gebleven en werkt met een grote set beveiligingsoplossingen.

Defender for Cloud helpt u bij het optimaliseren en bewaken van netwerkbeveiliging door:

• Aanbevelingen voor netwerkbeveiliging geven.
• De status van uw netwerkbeveiligingsconfiguratie bewaken.
• U waarschuwen voor netwerkbedreigingen, zowel op eindpunt- als netwerkniveau.

Meer informatie:

• Inleiding tot Microsoft Defender voor cloud

Virtual Network TIKKEN

Met AZURE Virtual Network TAP (Terminal Access Point) kunt u het netwerkverkeer van uw virtuele machine continu streamen naar een netwerkpakketverzamelaar of analyseprogramma. Het collector- of analysehulpprogramma wordt geleverd door een partner van een virtueel netwerkapparaat. U kunt dezelfde TAP-resource van het virtuele netwerk gebruiken om verkeer van meerdere netwerkinterfaces in dezelfde of verschillende abonnementen samen te voegen.

Meer informatie:

• Virtual Network TAP

Logboekregistratie

Logboekregistratie op netwerkniveau is een belangrijke functie voor elk netwerkbeveiligingsscenario. In Azure kunt u gegevens vastleggen die zijn verkregen voor NSG's om logboekregistratiegegevens op netwerkniveau op te halen. Met NSG-logboekregistratie krijgt u informatie uit:

• Activiteitenlogboeken. Gebruik deze logboeken om alle bewerkingen weer te geven die zijn verzonden naar uw Azure-abonnementen. Deze logboeken zijn standaard ingeschakeld en kunnen worden gebruikt in de Azure Portal. Ze stonden voorheen bekend als audit- of operationele logboeken.
• Gebeurtenislogboeken. Deze logboeken bieden informatie over welke NSG-regels zijn toegepast.
• Tellerlogboeken. Deze logboeken laten u weten hoe vaak elke NSG-regel is toegepast om verkeer te weigeren of toe te staan.

U kunt ook Microsoft Power BI gebruiken, een krachtig hulpprogramma voor gegevensvisualisatie, om deze logboeken weer te geven en te analyseren. Meer informatie:

• Azure Monitor-logboeken voor netwerkbeveiligingsgroepen (NSG's)