Overzicht van Azure-netwerkbeveiliging

Netwerkbeveiliging kan worden gedefinieerd als het proces van het beveiligen van resources tegen onbevoegde toegang of aanvallen door besturingselementen toe te passen op netwerkverkeer. Het doel is ervoor te zorgen dat alleen legitiem verkeer is toegestaan. Azure bevat een robuuste netwerkinfrastructuur ter ondersteuning van de connectiviteitsvereisten voor uw toepassing en service. Netwerkconnectiviteit is mogelijk tussen resources in Azure, tussen on-premises en in Azure gehoste resources, en van en naar internet en Azure.

In dit artikel worden enkele van de opties beschreven die Azure biedt op het gebied van netwerkbeveiliging. Meer informatie over:

• Azure-netwerken
• Netwerktoegangsbeheer
• Azure Firewall
• Externe toegang en cross-premises connectiviteit beveiligen
• Beschikbaarheid
• Naamomzetting
• Perimeternetwerkarchitectuur (DMZ)
• Azure DDoS Protection
• Azure Front Door
• Traffic Manager
• Bewaking en detectie van bedreigingen

Azure-netwerken

Voor Azure moeten virtuele machines zijn verbonden met een Azure-Virtual Network. Een virtueel netwerk is een logische constructie die is gebouwd op de fysieke Azure-netwerk-fabric. Elk virtueel netwerk is geïsoleerd van alle andere virtuele netwerken. Dit zorgt ervoor dat netwerkverkeer in uw implementaties niet toegankelijk is voor andere Azure-klanten.

Meer informatie:

• Overzicht van virtueel netwerk

Netwerktoegangsbeheer

Netwerktoegangsbeheer is het beperken van de connectiviteit van en naar specifieke apparaten of subnetten binnen een virtueel netwerk. Het doel van netwerktoegangsbeheer is om de toegang tot uw virtuele machines en services te beperken tot goedgekeurde gebruikers en apparaten. Besturingselementen voor toegang zijn gebaseerd op beslissingen voor het toestaan of weigeren van verbindingen naar en van uw virtuele machine of service.

Azure ondersteunt verschillende typen netwerktoegangsbeheer, zoals:

• Netwerklaagbeheer
• Routebeheer en geforceerd tunnelen
• Beveiligingsapparaten voor virtuele netwerken

Netwerklaagbeheer

Voor elke veilige implementatie is enige mate van netwerktoegangsbeheer vereist. Het doel van netwerktoegangsbeheer is om de communicatie van virtuele machines te beperken tot de benodigde systemen. Andere communicatiepogingen worden geblokkeerd.

Netwerkbeveiligingsregels (NSG's)

Als u toegangsbeheer op basisniveau van het netwerk nodig hebt (op basis van HET IP-adres en de TCP- of UDP-protocollen), kunt u netwerkbeveiligingsgroepen (NSG's) gebruiken. Een NSG is een eenvoudige, stateful firewall voor pakketfiltering en stelt u in staat om de toegang te beheren op basis van een 5-tuple. NSG's bevatten functionaliteit om het beheer te vereenvoudigen en de kans op configuratiefouten te verminderen:

• Uitgebreide beveiligingsregels vereenvoudigen de definitie van NSG-regels en bieden u de mogelijkheid om complexe regels te maken in plaats van meerdere eenvoudige regels te maken om hetzelfde resultaat te bereiken.
• Servicetags zijn door Microsoft gemaakte labels die een groep IP-adressen vertegenwoordigen. Ze worden dynamisch bijgewerkt om IP-adresbereiken op te nemen die voldoen aan de voorwaarden die opname in het label definiëren. Als u bijvoorbeeld een regel wilt maken die van toepassing is op alle Azure-opslag in de regio Oost, kunt u deze Storage. EastUS
• Met toepassingsbeveiligingsgroepen kunt u resources implementeren in toepassingsgroepen en de toegang tot deze resources beheren door regels te maken die gebruikmaken van deze toepassingsgroepen. Als u bijvoorbeeld webservers hebt geïmplementeerd in de toepassingsgroep Webservers, kunt u een regel maken waarmee een NSG wordt toegepast die 443 verkeer van internet naar alle systemen in de toepassingsgroep Webservers toestaat.

NSG's bieden geen inspectie van toepassingslagen of geverifieerde toegangsbesturingselementen.

Meer informatie:

• Netwerkbeveiligingsgroepen

Just-In-Time-VM-toegang voor Defender for Cloud

Microsoft Defender for Cloud kan de NSG's op VM's beheren en de toegang tot de VM vergrendelen totdat een gebruiker met de juiste Azure RBAC-machtigingen op basis van rollen toegang aanvraagt. Wanneer de gebruiker gemachtigd is, wordt Defender for Cloud gewijzigd in de NSG's om toegang tot geselecteerde poorten toe te staan voor de opgegeven tijd. Wanneer de tijd is verstreken, worden de NSG's hersteld naar de vorige beveiligde status.

Meer informatie:

• Just-In-Time-toegang voor Microsoft Defender for Cloud

Service-eindpunten

Service-eindpunten zijn een andere manier om controle over uw verkeer toe te passen. U kunt de communicatie met ondersteunde services beperken tot alleen uw VNets via een directe verbinding. Verkeer van uw VNet naar de opgegeven Azure-service blijft op het Microsoft Azure backbone-netwerk.

Meer informatie:

• Service-eindpunten

Routebeheer en geforceerd tunnelen

De mogelijkheid om routeringsgedrag in uw virtuele netwerken te bepalen is essentieel. Als routering onjuist is geconfigureerd, kunnen toepassingen en services die worden gehost op uw virtuele machine verbinding maken met niet-geautoriseerde apparaten, waaronder systemen die eigendom zijn van en worden beheerd door potentiële aanvallers.

Azure-netwerken ondersteunen de mogelijkheid om het routeringsgedrag voor netwerkverkeer in uw virtuele netwerken aan te passen. Hiermee kunt u de standaard vermeldingen in de routeringstabel in uw virtuele netwerk wijzigen. Controle van routeringsgedrag helpt u ervoor te zorgen dat al het verkeer van een bepaald apparaat of groep apparaten uw virtuele netwerk binnenkomt of verlaat via een specifieke locatie.

U kunt bijvoorbeeld een virtueel netwerkbeveiligingsapparaat in uw virtuele netwerk hebben. U wilt ervoor zorgen dat al het verkeer van en naar uw virtuele netwerk via dat virtuele beveiligingsapparaat gaat. U kunt dit doen door door de gebruiker gedefinieerde routes (UDR's) in Azure te configureren.

Geforceerd tunnelen is een mechanisme dat u kunt gebruiken om ervoor te zorgen dat uw services geen verbinding met apparaten op internet mogen initiëren. Houd er rekening mee dat dit verschilt van het accepteren van binnenkomende verbindingen en het reageren hierop. Front-endwebservers moeten reageren op aanvragen van internethosts en dus is internetverkeer naar deze webservers toegestaan en kunnen de webservers reageren.

Wat u niet wilt toestaan, is een front-endwebserver om een uitgaande aanvraag te initiëren. Dergelijke aanvragen kunnen een beveiligingsrisico vormen omdat deze verbindingen kunnen worden gebruikt om malware te downloaden. Zelfs als u wilt dat deze front-endservers uitgaande aanvragen naar internet initiëren, wilt u ze misschien dwingen om uw on-premises web-proxies te gebruiken. Hiermee kunt u profiteren van URL-filtering en logboekregistratie.

In plaats daarvan wilt u geforceerd tunnelen gebruiken om dit te voorkomen. Wanneer u geforceerd tunnelen inschakelen, worden alle verbindingen met internet geforceerd via uw on-premises gateway. U kunt geforceerd tunnelen configureren door gebruik te maken van UDR's.

Meer informatie:

• Wat zijn door de gebruiker gedefinieerde routes en doorsturen via IP?

Beveiligingsapparaten voor virtuele netwerken

Hoewel NSG's, UDR's en geforceerd tunnelen u een beveiligingsniveau bieden op het netwerk en de transportlagen van het OSI-model,wilt u mogelijk ook beveiliging inschakelen op niveaus die hoger zijn dan het netwerk.

Uw beveiligingsvereisten kunnen bijvoorbeeld het volgende omvatten:

• Verificatie en autorisatie voordat u toegang tot uw toepassing toestaat
• Inbraakdetectie en inbraakrespons
• Toepassingslaaginspectie voor protocollen op hoog niveau
• URL-filtering
• Antivirus op netwerkniveau en Antimalware
• Bescherming tegen bots
• Toegangsbeheer voor toepassingen
• Aanvullende DDoS-beveiliging (boven de DDoS-beveiliging die wordt geleverd door de Azure-fabric zelf)

U hebt toegang tot deze verbeterde netwerkbeveiligingsfuncties met behulp van een Azure-partneroplossing. U vindt de meest recente netwerkbeveiligingsoplossingen van Azure-partners door naar de Azure Marketplace te gaan en te zoeken naar 'beveiliging' en 'netwerkbeveiliging'.

Azure Firewall

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Enkele functies zijn:

• Hoge beschikbaarheid
• Schaalbaarheid van de cloud
• Regels voor het filteren van de FQDN van toepassingen
• Regels voor het filteren van netwerkverkeer

Meer informatie:

• Azure Firewall overzicht

Externe toegang en cross-premises connectiviteit beveiligen

Het instellen, configureren en beheren van uw Azure-resources moet op afstand worden uitgevoerd. Daarnaast wilt u mogelijk hybride IT-oplossingen implementeren die onderdelen on-premises en in de openbare Azure-cloud hebben. Voor deze scenario's is veilige externe toegang vereist.

Azure-netwerken ondersteunen de volgende scenario's voor beveiligde externe toegang:

• Verbinding maken afzonderlijke werkstations naar een virtueel netwerk over te zetten
• Verbinding maken on-premises netwerk verbinding maken met een virtueel netwerk met een VPN
• Verbinding maken on-premises netwerk koppelen aan een virtueel netwerk met een toegewezen WAN-koppeling
• Verbinding maken netwerken met elkaar verbinden

Verbinding maken afzonderlijke werkstations naar een virtueel netwerk over te zetten

Mogelijk wilt u afzonderlijke ontwikkelaars of operationele medewerkers in staat stellen om virtuele machines en services in Azure te beheren. Stel dat u toegang nodig hebt tot een virtuele machine in een virtueel netwerk. Maar uw beveiligingsbeleid staat geen externe RDP- of SSH-toegang tot afzonderlijke virtuele machines toe. In dit geval kunt u een punt-naar-site-VPN-verbinding gebruiken.

Met de punt-naar-site-VPN-verbinding kunt u een privé- en beveiligde verbinding instellen tussen de gebruiker en het virtuele netwerk. Wanneer de VPN-verbinding tot stand is gebracht, kan de gebruiker via de VPN-koppeling via RDP of SSH verbinding maken met een virtuele machine in het virtuele netwerk. (Dit gaat ervan uit dat de gebruiker kan verifiëren en geautoriseerd is.) Punt-naar-site-VPN ondersteunt:

• Secure Socket Tunneling Protocol (SSTP), een eigen vpn-protocol op basis van SSL. Een SSL VPN-oplossing kan firewalls passeren, omdat de meeste firewalls TCP-poort 443 openen, die door TLS/SSL wordt gebruikt. SSTP wordt alleen ondersteund op Windows apparaten. Azure ondersteunt alle versies van Windows SSTP (Windows 7 en hoger).

• IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (OSX-versie 10.11 en hoger).

• OpenVPN

Meer informatie:

• Een punt-naar-site-verbinding met een virtueel netwerk configureren met behulp van PowerShell

Verbinding maken on-premises netwerk verbinding maken met een virtueel netwerk met een VPN

Mogelijk wilt u uw hele bedrijfsnetwerk, of delen ervan, verbinden met een virtueel netwerk. Dit is gebruikelijk in hybride IT-scenario's, waarbij organisaties hun on-premises datacenter uitbreiden naar Azure. In veel gevallen hosten organisaties onderdelen van een service in Azure en onderdelen on-premises. Ze kunnen dit bijvoorbeeld doen wanneer een oplossing front-endwebservers in Azure en on-premises back-enddatabases bevat. Deze typen 'cross-premises' verbindingen maken ook het beheer van azure-resources veiliger en maken scenario's mogelijk zoals het uitbreiden van Active Directory-domeincontrollers naar Azure.

Een manier om dit te doen, is met een site-naar-site-VPN. Het verschil tussen een site-naar-site-VPN en een punt-naar-site-VPN is dat de laatste één apparaat verbindt met een virtueel netwerk. Een site-naar-site-VPN verbindt een volledig netwerk (zoals uw on-premises netwerk) met een virtueel netwerk. Site-naar-site-VPN's naar een virtueel netwerk maken gebruik van het vpn-protocol voor de zeer veilige IPsec-tunnelmodus.

Meer informatie:

• Maak een Resource Manager VNet met een site-naar-site-VPN-verbinding met behulp van de Azure Portal
• Informatie over VPN-gateway

Verbinding maken on-premises netwerk koppelen aan een virtueel netwerk met een toegewezen WAN-koppeling

Punt-naar-site- en site-naar-site-VPN-verbindingen zijn effectief voor het inschakelen van cross-premises connectiviteit. Sommige organisaties beschouwen deze echter als nadelen:

• VPN-verbindingen verplaatsen gegevens via internet. Dit maakt deze verbindingen beschikbaar voor mogelijke beveiligingsproblemen die betrekking hebben op het verplaatsen van gegevens via een openbaar netwerk. Bovendien kunnen betrouwbaarheid en beschikbaarheid voor internetverbindingen niet worden gegarandeerd.
• VPN-verbindingen met virtuele netwerken hebben mogelijk niet de bandbreedte voor sommige toepassingen en doeleinden, omdat ze maximaal ongeveer 200 Mbps bereiken.

Organisaties die het hoogste beveiligings- en beschikbaarheidsniveau voor hun cross-premises verbindingen nodig hebben, gebruiken doorgaans toegewezen WAN-koppelingen om verbinding te maken met externe sites. Azure biedt u de mogelijkheid om een toegewezen WAN-verbinding te gebruiken die u kunt gebruiken om uw on-premises netwerk te verbinden met een virtueel netwerk. Azure ExpressRoute, Express Route Direct en Express Route Global Reach maken dit mogelijk.

Meer informatie:

• Technisch overzicht van ExpressRoute
• ExpressRoute Direct
• ExpressRoute global reach

Verbinding maken netwerken met elkaar verbinden

Het is mogelijk om veel virtuele netwerken te gebruiken voor uw implementaties. Er zijn verschillende redenen waarom u dit zou kunnen doen. Misschien wilt u het beheer vereenvoudigen of misschien wilt u meer beveiliging. Ongeacht de motivatie voor het plaatsen van resources in verschillende virtuele netwerken, kan het zijn dat u wilt dat resources in elk van de netwerken met elkaar verbinding maken.

Een optie is dat services in het ene virtuele netwerk verbinding kunnen maken met services in een ander virtueel netwerk, door terug te gaan via internet. De verbinding begint op één virtueel netwerk, gaat via internet en komt vervolgens terug naar het virtuele doelnetwerk. Deze optie maakt de verbinding beschikbaar voor de beveiligingsproblemen die inherent zijn aan communicatie via internet.

Een betere optie is om een site-naar-site-VPN te maken die verbinding maakt tussen twee virtuele netwerken. Deze methode maakt gebruik van hetzelfde IPSec-tunnelmodusprotocol als de cross-premises site-naar-site-VPN-verbinding die hierboven wordt vermeld.

Het voordeel van deze benadering is dat de VPN-verbinding tot stand wordt gebracht via de Azure-netwerk-fabric, in plaats van verbinding te maken via internet. Dit biedt u een extra beveiligingslaag in vergelijking met site-naar-site-VPN's die verbinding maken via internet.

Meer informatie:

• Een VNet-naar-VNet-verbinding configureren met behulp van Azure Resource Manager en PowerShell

Een andere manier om uw virtuele netwerken te verbinden, is met VNET-peering. Met deze functie kunt u twee Azure-netwerken verbinden, zodat de communicatie tussen deze netwerken via de Backbone-infrastructuur van Microsoft wordt uitgevoerd zonder dat deze ooit via internet wordt uitgevoerd. Met VNET-peering kunnen twee VNET's binnen dezelfde regio of twee VNET's tussen Azure-regio's worden verbonden. NSG's kunnen worden gebruikt om de connectiviteit tussen verschillende subnetten of systemen te beperken.

Beschikbaarheid

Beschikbaarheid is een belangrijk onderdeel van elk beveiligingsprogramma. Als uw gebruikers en systemen geen toegang hebben tot wat ze nodig hebben om via het netwerk toegang te krijgen, kan de service als gecompromitteerd worden beschouwd. Azure heeft netwerktechnologieën die ondersteuning bieden voor de volgende mechanismen voor hoge beschikbaarheid:

• Taakverdeling op basis van HTTP
• Taakverdeling op netwerkniveau
• Globale taakverdeling

Taakverdeling is een mechanisme dat is ontworpen om verbindingen gelijkmatig te verdelen over meerdere apparaten. De doelen van taakverdeling zijn:

• Om de beschikbaarheid te vergroten. Wanneer u verbindingen over meerdere apparaten verdeeld, kunnen een of meer van de apparaten niet meer beschikbaar zijn zonder dat dit ten koste gaat van de service. De services die op de resterende onlineapparaten worden uitgevoerd, kunnen de inhoud van de service blijven leveren.
• Om de prestaties te verbeteren. Wanneer u verbindingen over meerdere apparaten verdeeld, hoeft één apparaat niet alle verwerking te verwerken. In plaats daarvan wordt de verwerkings- en geheugenvraag voor het leveren van de inhoud verdeeld over meerdere apparaten.

Taakverdeling op basis van HTTP

Organisaties die webservices uitvoeren, willen vaak een HTTP-gebaseerde load balancer voor deze webservices. Dit zorgt voor voldoende prestatieniveaus en hoge beschikbaarheid. Traditionele, netwerkgebaseerde load balancers zijn afhankelijk van netwerk- en transportlaagprotocollen. Http-load balancers nemen daarentegen beslissingen op basis van kenmerken van het HTTP-protocol.

Azure Application Gateway biedt http-gebaseerde taakverdeling voor uw webservices. Application Gateway ondersteunt:

• Sessieaffiniteit op basis van cookies. Deze mogelijkheid zorgt ervoor dat verbindingen die tot stand zijn gebracht met een van de servers achter load balancer tussen de client en de server intact blijven. Dit zorgt voor stabiliteit van transacties.
• TLS-offload. Wanneer een client verbinding maakt met de load balancer, wordt die sessie versleuteld met behulp van het HTTPS-protocol (TLS). Om de prestaties te verbeteren, kunt u echter het HTTP-protocol (niet-versleuteld) gebruiken om verbinding te maken tussen de load balancer en de webserver achter de load balancer. Dit wordt aangeduid als 'TLS-offload', omdat de webservers achter de load balancer geen processoroverhead ervaren die te maken heeft met versleuteling. De webservers kunnen aanvragen daarom sneller verwerken.
• Routering van op URL gebaseerde inhoud. Met deze functie kunnen de load balancer beslissingen nemen over waar verbindingen moeten worden doorgestuurd op basis van de doel-URL. Dit biedt veel meer flexibiliteit dan oplossingen die taakverdelingsbeslissingen nemen op basis van IP-adressen.

Meer informatie:

• Overzicht van Application Gateway

Taakverdeling op netwerkniveau

In tegenstelling tot op HTTP gebaseerde taakverdeling neemt taakverdeling op netwerkniveau beslissingen op basis van IP-adres- en poortnummers (TCP- of UDP-nummers). U kunt profiteren van de voordelen van taakverdeling op netwerkniveau in Azure met behulp van Azure Load Balancer. Enkele belangrijke kenmerken van Load Balancer zijn:

• Taakverdeling op netwerkniveau op basis van IP-adres en poortnummers.
• Ondersteuning voor elk toepassingslaagprotocol.
• Load balancert naar virtuele Azure-machines en rol-exemplaren van cloudservices.
• Kan worden gebruikt voor internet-gerichte (externe taakverdeling) en niet-internet gerichte toepassingen (interne taakverdeling) en virtuele machines.
• Eindpuntbewaking, die wordt gebruikt om te bepalen of een van de services achter de load balancer niet meer beschikbaar is.

Meer informatie:

• Internet gerichte load balancer tussen meerdere virtuele machines of services
• Overzicht van interne load balancer

Globale taakverdeling

Sommige organisaties willen het hoogst mogelijke beschikbaarheidsniveau. Een manier om dit doel te bereiken, is door toepassingen te hosten in wereldwijd gedistribueerde datacenters. Wanneer een toepassing wordt gehost in datacenters over de hele wereld, is het mogelijk dat een hele geopolitieke regio niet meer beschikbaar is en de toepassing nog steeds actief is.

Deze taakverdelingsstrategie kan ook prestatievoordelen opleveren. U kunt aanvragen voor de service door sturen naar het datacenter dat zich het dichtstbijzijnde bevindt bij het apparaat dat de aanvraag doet.

In Azure kunt u profiteren van de voordelen van wereldwijde taakverdeling door gebruik te Azure Traffic Manager.

Meer informatie:

• Wat is Traffic Manager?

Naamomzetting

Naamoplossing is een essentiële functie voor alle services die u in Azure host. Vanuit het oogpunt van beveiliging kan het compromitteerd van de naamomleidingsfunctie ertoe leiden dat een aanvaller aanvragen van uw sites omleiden naar de site van een aanvaller. Veilige naamoplossing is een vereiste voor al uw in de cloud gehoste services.

Er zijn twee soorten naamresolutie die u moet oplossen:

• Interne naamoplossing. Dit wordt gebruikt door services in uw virtuele netwerken, uw on-premises netwerken of beide. Namen die worden gebruikt voor interne naamresolutie zijn niet toegankelijk via internet. Voor optimale beveiliging is het belangrijk dat uw interne naamoplossingsschema niet toegankelijk is voor externe gebruikers.
• Externe naamoplossing. Dit wordt gebruikt door personen en apparaten buiten uw on-premises netwerken en virtuele netwerken. Dit zijn de namen die zichtbaar zijn voor internet en worden gebruikt om verbinding te maken met uw cloudservices.

Voor interne naamresolutie hebt u twee opties:

• Een VIRTUELE netwerk-DNS-server. Wanneer u een nieuw virtueel netwerk maakt, wordt er een DNS-server voor u gemaakt. Deze DNS-server kan de namen van de machines in dat virtuele netwerk oplossen. Deze DNS-server kan niet worden geconfigureerd, wordt beheerd door de Azure Fabric Manager en kan u daarom helpen uw oplossing voor naamoplossing te beveiligen.
• Gebruik uw eigen DNS-server. U kunt zelf een DNS-server in uw virtuele netwerk plaatsen. Deze DNS-server kan een in Active Directory geïntegreerde DNS-server zijn of een specifieke DNS-serveroplossing die wordt geleverd door een Azure-partner, die u kunt verkrijgen van de Azure Marketplace.

Meer informatie:

• Overzicht van virtueel netwerk
• DNS-servers beheren die worden gebruikt door een virtueel netwerk

Voor externe naamresolutie hebt u twee opties:

• Uw eigen externe DNS-server on-premises hosten.
• Host uw eigen externe DNS-server met een serviceprovider.

Veel grote organisaties hosten hun eigen DNS-servers on-premises. Ze kunnen dit doen omdat ze de netwerkexpertise en wereldwijde aanwezigheid hebben om dit te doen.

In de meeste gevallen is het beter om uw DNS-naamoplossingsservices te hosten bij een serviceprovider. Deze serviceproviders beschikken over de netwerkexpertise en wereldwijde aanwezigheid om een zeer hoge beschikbaarheid voor uw naamoplossingsservices te garanderen. Beschikbaarheid is essentieel voor DNS-services, omdat als uw naamoplossingsservices mislukken, niemand uw internetservices kan bereiken.

Azure biedt u een uiterst beschikbare en krachtige externe DNS-oplossing in de vorm van Azure DNS. Deze oplossing voor externe naamoplossing maakt gebruik van de wereldwijde Azure DNS infrastructuur. Hiermee kunt u uw domein hosten in Azure met dezelfde referenties, API's, hulpprogramma's en facturering als uw andere Azure-services. Als onderdeel van Azure neemt het ook de sterke beveiligingsmaatregelen over die in het platform zijn ingebouwd.

Meer informatie:

• Azure DNS overzicht
• Azure DNS privézones kunt u privé-DNS-namen configureren voor Azure-resources in plaats van de automatisch toegewezen namen zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen.

Perimeternetwerkarchitectuur

Veel grote organisaties gebruiken perimeternetwerken om hun netwerken te segmenteren en maken een bufferzone tussen internet en hun services. Het perimetergedeelte van het netwerk wordt beschouwd als een zone met lage beveiliging en er worden geen hoogwaardige assets in dat netwerksegment geplaatst. Doorgaans ziet u netwerkbeveiligingsapparaten met een netwerkinterface in het perimeternetwerksegment. Een andere netwerkinterface is verbonden met een netwerk met virtuele machines en services die binnenkomende verbindingen van internet accepteren.

U kunt perimeternetwerken op verschillende manieren ontwerpen. De beslissing om een perimeternetwerk te implementeren en vervolgens welk type perimeternetwerk u wilt gebruiken als u besluit er een te gebruiken, is afhankelijk van uw netwerkbeveiligingsvereisten.

Meer informatie:

• Microsoft Cloud Services en netwerkbeveiliging

Azure DDoS Protection

DDoS-aanvallen (Distributed Denial of Service-aanvallen) vormen een van de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die hun toepassingen verplaatsen naar de cloud. Met een DDoS-aanval wordt geprobeerd de resources van een toepassing uit te putten, waardoor de toepassing niet meer beschikbaar is voor legitieme gebruikers. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet. Microsoft biedt DDoS-beveiliging, ook wel Basic genoemd, als onderdeel van het Azure-platform. Dit is gratis en omvat altijd bewaking en realtime beperking van veelvoorkomende aanvallen op netwerkniveau. Naast de beveiligingen die zijn opgenomen in DDoS-beveiliging Basic, kunt u de optie Standard inschakelen. DDoS Protection Standard-functies zijn onder andere:

• Systeemeigen platformintegratie: Systeemeigen geïntegreerd in Azure. Bevat configuratie via de Azure Portal. DDoS Protection Standard begrijpt uw resources en resourceconfiguratie.
• Turn-key-beveiliging: Vereenvoudigde configuratie beschermt onmiddellijk alle resources in een virtueel netwerk zodra DDoS Protection Standard is ingeschakeld. Er is geen tussenkomst of gebruikersdefinitie vereist. DDoS Protection standard onmiddellijk en automatisch de aanval wordt beperkt zodra deze is gedetecteerd.
• Bewaking van altijd aan-verkeer: Uw verkeerspatronen voor toepassingen worden 24 uur per dag, 7 dagen per week bewaakt, op zoek naar indicatoren van DDoS-aanvallen. Beperking wordt uitgevoerd wanneer het beveiligingsbeleid wordt overschreden.
• Rapporten voor het beperken van aanvallen Aanvalsbeperkingsrapporten gebruiken geaggregeerde netwerkstroomgegevens om gedetailleerde informatie te bieden over aanvallen die zijn gericht op uw resources.
• Logboeken voor het beperken Flow aanvallen Met de Flow van aanvallen kunt u het weggevallen verkeer, het doorgestuurde verkeer en andere aanvalsgegevens bijna in realtime controleren tijdens een actieve DDoS-aanval.
• Adaptief afstemmen: Intelligente verkeersprofilering leert het verkeer van uw toepassing gedurende een bepaalde periode en selecteert en werkt het profiel bij dat het meest geschikt is voor uw service. Het profiel wordt aangepast wanneer het verkeer na een periode verandert. Beveiliging van laag 3 tot en met laag 7: biedt DDoS-beveiliging met volledige stack wanneer deze wordt gebruikt met een webtoepassingsfirewall.
• Uitgebreide schaal voor risicobeperking: Meer dan 60 verschillende aanvalstypen kunnen worden beperkt, met wereldwijde capaciteit, om te beschermen tegen de grootste bekende DDoS-aanvallen.
• Metrische gegevens voor aanvallen: Samengevatte metrische gegevens van elke aanval zijn toegankelijk via Azure Monitor.
• Waarschuwingen voor aanvallen: Waarschuwingen kunnen worden geconfigureerd aan het begin en einde van een aanval en gedurende de duur van de aanval, met behulp van ingebouwde metrische gegevens voor aanvallen. Waarschuwingen worden geïntegreerd in uw operationele software, zoals Microsoft Azure Monitor-logboeken, Splunk, Azure Storage, E-mail en de Azure Portal.
• Kostengarantie: Servicetegoeden voor gegevensoverdracht en uitschalen van toepassingen voor gedocumenteerde DDoS-aanvallen.
• DDoS Rapid responsief DDoS Protection Standard-klanten hebben nu toegang tot het Rapid Response-team tijdens een actieve aanval. DRR kan helpen bij het onderzoeken van aanvallen, aangepaste oplossingen tijdens een aanval en analyse na een aanval.

Meer informatie:

• Overzicht van DDOS-beveiliging

Azure Front Door

Azure Front Door Service kunt u de globale routering van uw webverkeer definiëren, beheren en bewaken. Het optimaliseert de routering van uw verkeer voor de beste prestaties en hoge beschikbaarheid. Met Azure Front Door kunt u regels voor toegangsbeheer maken voor aangepaste webtoepassingsfirewalls (WAF) om uw HTTP/HTTPS-workload te beschermen tegen exploitatie op basis van klant-IP-adressen, landcode en http-parameters. Daarnaast kunt Front Door ook regels voor snelheidsbeperking maken om schadelijk botverkeer te besloppen. Dit omvat TLS-offloading en verwerking per HTTP/HTTPS-aanvraag, verwerking op toepassingslaag.

Het Front Door-platform wordt zelf beschermd door Azure DDoS Protection Basic. Voor verdere bescherming kan Azure DDoS Protection Standard worden ingeschakeld op uw VNETs en bronnen beschermen tegen netwerklaagaanvallen (TCP/UDP) via automatische afstemming en risicobeperking. Front Door een omgekeerde proxy in laag 7 is, kan webverkeer alleen worden doorgeslagen op back-endservers en worden andere soorten verkeer standaard geblokkeerd.

Meer informatie:

• Voor meer informatie over de volledige set mogelijkheden van Azure Front Door kunt u het overzicht Azure Front Door lezen

Azure Traffic Manager

Azure Traffic Manager is een op DNS gebaseerde load balancer waarmee u verkeer optimaal over services kunt verdelen in Azure-regio's wereldwijd, terwijl u over hoge beschikbaarheid en een hoge reactiesnelheid beschikt. Traffic Manager maakt gebruik van DNS om aanvragen van clients door te sturen naar de meest geschikte eindpunten op basis van een methode om verkeer te routeren en van de status van de eindpunten. Een eindpunt is een internetgerichte service die binnen of buiten Azure wordt gehost. Traffic Manager bewaakt de eindpunten en stuurt geen verkeer door naar eindpunten die niet beschikbaar zijn.

Meer informatie:

• Overzicht van Azure Traffic Manager

Bewaking en detectie van bedreigingen

Azure biedt mogelijkheden om u op dit belangrijke gebied te helpen bij vroege detectie, bewaking en het verzamelen en controleren van netwerkverkeer.

Azure Network Watcher

Azure Network Watcher u helpen bij het oplossen van problemen en biedt een geheel nieuwe set hulpprogramma's om te helpen bij het identificeren van beveiligingsproblemen.

De weergave Beveiligingsgroep helpt bij het controleren en naleving van Virtual Machines. Gebruik deze functie om programmatische controles uit te voeren, waarbij u de basislijnbeleidsregels die door uw organisatie zijn gedefinieerd, vergelijkt met effectieve regels voor elk van uw VM's. Dit kan u helpen bij het identificeren van eventuele configuratiedrift.

Met pakketopname kunt u netwerkverkeer van en naar de virtuele machine vastleggen. U kunt netwerkstatistieken verzamelen en problemen met toepassingen oplossen, die waardevol kunnen zijn bij het onderzoeken van netwerkindringingen. U kunt deze functie ook gebruiken in Azure Functions netwerkopnamen te starten als reactie op specifieke Azure-waarschuwingen.

Zie Bewakingsoverzicht van Azure Network Watchervoor meer informatie over Network Watcher en hoe u kunt beginnen met het testen van een deel van de functionaliteit in uw labs.

Microsoft Defender for Cloud

Met Microsoft Defender for Cloud kunt u bedreigingen voorkomen, detecteren en hierop reageren, en krijgt u meer inzicht in en controle over de beveiliging van uw Azure-resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders ongemerkt zouden blijven en werkt met een grote set beveiligingsoplossingen.

Defender for Cloud helpt u bij het optimaliseren en bewaken van netwerkbeveiliging door:

• Aanbevelingen voor netwerkbeveiliging bieden.
• De status van uw netwerkbeveiligingsconfiguratie bewaken.
• U waarschuwen voor bedreigingen op basis van het netwerk, zowel op eindpunt- als netwerkniveau.

Meer informatie:

• Inleiding tot Microsoft Defender for Cloud

Virtual Network TAP

Met AZURE VIRTUAL Network TAP (Terminal Access Point) kunt u het netwerkverkeer van uw virtuele machine continu streamen naar een netwerkpakketverzamelaar of analyseprogramma. Het collector- of analysehulpprogramma wordt geleverd door een partner voor virtuele netwerkapparaat. U kunt dezelfde TAP-resource van het virtuele netwerk gebruiken om verkeer van meerdere netwerkinterfaces in hetzelfde of verschillende abonnementen samen te aggregeren.

Meer informatie:

• Virtual Network TAP

Logboekregistratie

Logboekregistratie op netwerkniveau is een belangrijke functie voor elk netwerkbeveiligingsscenario. In Azure kunt u gegevens vastleggen die zijn verkregen voor NSG's om logboekregistratiegegevens op netwerkniveau op te halen. Met NSG-logboekregistratie krijgt u informatie van:

• Activiteitenlogboeken. Gebruik deze logboeken om alle bewerkingen te bekijken die naar uw Azure-abonnementen zijn verzonden. Deze logboeken zijn standaard ingeschakeld en kunnen worden gebruikt in de Azure Portal. Ze werden voorheen auditlogboeken of operationele logboeken genoemd.
• Gebeurtenislogboeken. Deze logboeken bevatten informatie over welke NSG-regels zijn toegepast.
• Tellerlogboeken. Deze logboeken laten u weten hoe vaak elke NSG-regel is toegepast om verkeer te weigeren of toe te staan.

U kunt ook Microsoft Power BI, een krachtig hulpprogramma voor gegevensvisualisatie, om deze logboeken weer te geven en te analyseren. Meer informatie:

• Azure Monitor voor netwerkbeveiligingsgroepen (NSG's)