Overzicht van Azure-netwerkbeveiligingAzure network security overview

Netwerk beveiliging kan worden gedefinieerd als het proces van het beveiligen van bronnen tegen onbevoegde toegang of aanvallen door besturings elementen toe te passen op netwerk verkeer.Network security could be defined as the process of protecting resources from unauthorized access or attack by applying controls to network traffic. Het doel is om ervoor te zorgen dat alleen rechtmatig verkeer wordt toegestaan.The goal is to ensure that only legitimate traffic is allowed. Azure bevat een robuuste netwerk infrastructuur ter ondersteuning van uw toepassings-en service connectiviteits vereisten.Azure includes a robust networking infrastructure to support your application and service connectivity requirements. De netwerk verbinding is mogelijk tussen bronnen in azure, tussen on-premises en Azure gehoste resources, en naar en van Internet en Azure.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the internet and Azure.

In dit artikel worden enkele van de opties beschreven die Azure biedt op het gebied van netwerk beveiliging.This article covers some of the options that Azure offers in the area of network security. U vindt meer informatie over:You can learn about:

  • Azure-netwerkenAzure networking
  • NetwerktoegangsbeheerNetwork access control
  • Azure FirewallAzure Firewall
  • Beveiligde externe toegang en cross-premises connectiviteitSecure remote access and cross-premises connectivity
  • BeschikbaarheidAvailability
  • NaamomzettingName resolution
  • Architectuur van perimeter netwerk (DMZ)Perimeter network (DMZ) architecture
  • Azure DDoS ProtectionAzure DDoS protection
  • Azure Front DoorAzure Front Door
  • Traffic ManagerTraffic manager
  • Bewaking en detectie van bedreigingenMonitoring and threat detection

Azure-netwerkenAzure networking

Azure vereist dat virtuele machines zijn verbonden met een Azure-Virtual Network.Azure requires virtual machines to be connected to an Azure Virtual Network. Een virtueel netwerk is een logische constructie die boven op de fysieke Azure-netwerk infrastructuur is gebouwd.A virtual network is a logical construct built on top of the physical Azure network fabric. Elk virtueel netwerk is geïsoleerd van alle andere virtuele netwerken.Each virtual network is isolated from all other virtual networks. Dit helpt ervoor te zorgen dat het netwerk verkeer in uw implementaties niet toegankelijk is voor andere Azure-klanten.This helps ensure that network traffic in your deployments is not accessible to other Azure customers.

Meer informatie:Learn more:

NetwerktoegangsbeheerNetwork access control

Netwerk toegangs beheer is de handeling van het beperken van de connectiviteit met en van specifieke apparaten of subnetten binnen een virtueel netwerk.Network access control is the act of limiting connectivity to and from specific devices or subnets within a virtual network. Het doel van netwerk toegangs beheer is om de toegang tot uw virtuele machines en services te beperken tot goedgekeurde gebruikers en apparaten.The goal of network access control is to limit access to your virtual machines and services to approved users and devices. Toegangs beheer is gebaseerd op beslissingen over het toestaan of weigeren van verbindingen van uw virtuele machine of service.Access controls are based on decisions to allow or deny connections to and from your virtual machine or service.

Azure ondersteunt verschillende typen netwerk toegangs beheer, zoals:Azure supports several types of network access control, such as:

  • Besturings element Network LayerNetwork layer control
  • Route beheer en geforceerde tunnelingRoute control and forced tunneling
  • Beveiligings apparatuur voor virtuele netwerkenVirtual network security appliances

Besturings element Network LayerNetwork layer control

Voor een veilige implementatie is een zekere mate van toegangs beheer van het netwerk vereist.Any secure deployment requires some measure of network access control. Het doel van netwerk toegangs beheer is het beperken van de communicatie van de virtuele machine met de benodigde systemen.The goal of network access control is to restrict virtual machine communication to the necessary systems. Andere communicatie pogingen worden geblokkeerd.Other communication attempts are blocked.

Notitie

Opslag firewalls worden behandeld in het artikel overzicht van Azure Storage-beveiligingStorage Firewalls are covered in the Azure storage security overview article

Netwerk beveiligings regels (Nsg's)Network security rules (NSGs)

Als u toegangs beheer op basis van een netwerk niveau (op basis van IP-adres en TCP-of UDP-protocollen) nodig hebt, kunt u netwerk beveiligings groepen (Nsg's) gebruiken.If you need basic network level access control (based on IP address and the TCP or UDP protocols), you can use Network Security Groups (NSGs). Een NSG is een elementaire, stateful pakket filtering firewall en biedt u de mogelijkheid om de toegang te beheren op basis van een 5-tuple.An NSG is a basic, stateful, packet filtering firewall, and it enables you to control access based on a 5-tuple. Nsg's bevatten functionaliteit om het beheer te vereenvoudigen en de kans op Configuratie fouten te verminderen:NSGs include functionality to simplify management and reduce the chances of configuration mistakes:

  • Uitgebreide beveiligings regels vereenvoudigen NSG regel definitie en bieden u de mogelijkheid om complexe regels te maken in plaats van meerdere eenvoudige regels te hoeven maken om hetzelfde resultaat te krijgen.Augmented security rules simplify NSG rule definition and allow you to create complex rules rather than having to create multiple simple rules to achieve the same result.
  • Service Tags zijn micro soft heeft labels gemaakt die een groep IP-adressen vertegenwoordigen.Service tags are Microsoft created labels that represent a group of IP addresses. Ze worden dynamisch bijgewerkt om IP-adresbereiken op te nemen die voldoen aan de voor waarden die in het label worden opgenomen.They update dynamically to include IP ranges that meet the conditions that define inclusion in the label. Als u bijvoorbeeld een regel wilt maken die van toepassing is op alle Azure Storage in de regio Oost, kunt u opslag gebruiken.For example, if you want to create a rule that applies to all Azure storage on the east region you can use Storage.EastUS
  • Met toepassings beveiligings groepen kunt u resources implementeren in toepassings groepen en de toegang tot deze resources beheren door regels te maken die gebruikmaken van die toepassings groepen.Application security groups allow you to deploy resources to application groups and control the access to those resources by creating rules that use those application groups. Als u bijvoorbeeld webservers hebt geïmplementeerd voor de toepassings groep webservers, kunt u een regel maken waarmee NSG verkeer van Internet naar alle systemen in de toepassings groep webservers wordt 443 toegestaan.For example, if you have webservers deployed to the 'Webservers' application group you can create a rule that applies a NSG allowing 443 traffic from the Internet to all systems in the 'Webservers' application group.

Nsg's bieden geen inspectie van toepassings lagen of geverifieerde toegangs beheer.NSGs do not provide application layer inspection or authenticated access controls.

Meer informatie:Learn more:

Just-in-time-VM-toegangASC just in time VM access

Azure Security Center kan de Nsg's op vm's beheren en de toegang tot de virtuele machine vergren delen totdat een gebruiker met de juiste toegangs beheer functie van Azure RBAC -machtigingen voor Azure op basis van rollen toegang heeft aangevraagd.Azure security center can manage the NSGs on VMs and lock access to the VM until a user with the appropriate Azure role-based access control Azure RBAC permissions requests access. Wanneer de gebruiker een autorisatie met succes heeft uitgevoerd, worden de Nsg's zodanig gewijzigd dat de toegang tot de geselecteerde poorten voor de opgegeven tijd is toegestaan.When the user is successfully authorized ASC makes modifications to the NSGs to allow access to selected ports for the time specified. Wanneer de tijd verstrijkt, worden de Nsg's hersteld naar de vorige beveiligde status.When the time expires the NSGs are restored to their previous secured state.

Meer informatie:Learn more:

Service-eindpuntenService endpoints

Service-eind punten zijn een andere manier om controle over uw verkeer toe te passen.Service endpoints are another way to apply control over your traffic. U kunt de communicatie met ondersteunde services beperken tot alleen uw VNets via een directe verbinding.You can limit communication with supported services to just your VNets over a direct connection. Verkeer van uw VNet naar de opgegeven Azure-service blijft op het Microsoft Azure backbone-netwerk.Traffic from your VNet to the specified Azure service remains on the Microsoft Azure backbone network.

Meer informatie:Learn more:

Route beheer en geforceerde tunnelingRoute control and forced tunneling

De mogelijkheid om het routerings gedrag voor uw virtuele netwerken te beheren is van cruciaal belang.The ability to control routing behavior on your virtual networks is critical. Als route ring onjuist is geconfigureerd, kunnen toepassingen en services die op uw virtuele machine worden gehost, verbinding maken met niet-geautoriseerde apparaten, inclusief systemen die eigendom zijn van en worden beheerd door potentiële aanvallers.If routing is configured incorrectly, applications and services hosted on your virtual machine might connect to unauthorized devices, including systems owned and operated by potential attackers.

Azure-netwerken bieden ondersteuning voor de mogelijkheid om het routerings gedrag voor netwerk verkeer op uw virtuele netwerken aan te passen.Azure networking supports the ability to customize the routing behavior for network traffic on your virtual networks. Hierdoor kunt u de standaard vermeldingen van de routerings tabel in het virtuele netwerk wijzigen.This enables you to alter the default routing table entries in your virtual network. Met behulp van het gedrag van route ring kunt u ervoor zorgen dat alle verkeer van een bepaald apparaat of een groep apparaten het virtuele netwerk binnenkomt of verlaat via een specifieke locatie.Control of routing behavior helps you make sure that all traffic from a certain device or group of devices enters or leaves your virtual network through a specific location.

U kunt bijvoorbeeld een beveiligings apparaat voor virtuele netwerken op uw virtuele netwerk hebben.For example, you might have a virtual network security appliance on your virtual network. U wilt ervoor zorgen dat al het verkeer van en naar het virtuele netwerk via dat virtuele beveiligings apparaat loopt.You want to make sure that all traffic to and from your virtual network goes through that virtual security appliance. U kunt dit doen door door de gebruiker gedefinieerde routes (udr's) te configureren in Azure.You can do this by configuring User Defined Routes (UDRs) in Azure.

Geforceerde tunneling is een mechanisme dat u kunt gebruiken om ervoor te zorgen dat uw services geen verbinding met apparaten op Internet mogen initiëren.Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the internet. Houd er rekening mee dat dit verschilt van het accepteren van binnenkomende verbindingen en vervolgens reageert.Note that this is different from accepting incoming connections and then responding to them. Front-end-webservers moeten reageren op aanvragen van Internet hosts, waardoor het Internet verkeer naar deze webservers kan worden verzonden en de webservers kunnen reageren.Front-end web servers need to respond to requests from internet hosts, and so internet-sourced traffic is allowed inbound to these web servers and the web servers are allowed to respond.

Wat u niet wilt toestaan is een front-end-webserver voor het initiëren van een uitgaande aanvraag.What you don't want to allow is a front-end web server to initiate an outbound request. Dergelijke aanvragen kunnen een beveiligings risico vormen, omdat deze verbindingen kunnen worden gebruikt voor het downloaden van malware.Such requests might represent a security risk because these connections can be used to download malware. Zelfs als u wilt dat deze front-endservers uitgaande aanvragen naar Internet initiëren, kunt u ervoor zorgen dat deze door uw on-premises Web-proxy's worden door lopen.Even if you do want these front-end servers to initiate outbound requests to the internet, you might want to force them to go through your on-premises web proxies. Zo kunt u gebruikmaken van URL-filtering en logboek registratie.This enables you to take advantage of URL filtering and logging.

In plaats daarvan zou u geforceerde tunneling wilt gebruiken om dit te voor komen.Instead, you would want to use forced tunneling to prevent this. Wanneer u geforceerde tunneling inschakelt, worden alle verbindingen met Internet geforceerd via uw on-premises gateway.When you enable forced tunneling, all connections to the internet are forced through your on-premises gateway. U kunt geforceerde tunneling configureren door gebruik te maken van Udr's.You can configure forced tunneling by taking advantage of UDRs.

Meer informatie:Learn more:

Beveiligings apparatuur voor virtuele netwerkenVirtual network security appliances

Hoewel Nsg's, Udr's en geforceerde tunneling u een beveiligings niveau biedt op het netwerk en de transport lagen van het OSI-model, wilt u mogelijk ook beveiliging inschakelen op hogere niveaus dan het netwerk.While NSGs, UDRs, and forced tunneling provide you a level of security at the network and transport layers of the OSI model, you might also want to enable security at levels higher than the network.

Uw beveiligings vereisten kunnen bijvoorbeeld het volgende omvatten:For example, your security requirements might include:

  • Verificatie en autorisatie voordat u toegang tot uw toepassing toestaatAuthentication and authorization before allowing access to your application
  • Inbraak detectie en reactie op inbraakIntrusion detection and intrusion response
  • Application Layer-inspectie voor protocollen op hoog niveauApplication layer inspection for high-level protocols
  • URL-filteringURL filtering
  • Anti virus-en antimalware op netwerk niveauNetwork level antivirus and Antimalware
  • Anti-bot-beveiligingAnti-bot protection
  • Toegangs beheer voor toepassingenApplication access control
  • Aanvullende DDoS-beveiliging (boven de DDoS-beveiliging die wordt verschaft door de Azure-infra structuur zelf)Additional DDoS protection (above the DDoS protection provided by the Azure fabric itself)

U kunt toegang krijgen tot deze verbeterde beveiligings functies van het netwerk met behulp van een Azure-partner oplossing.You can access these enhanced network security features by using an Azure partner solution. Ga naar de Azure Marketplaceen zoek naar ' Beveiliging ' en ' netwerk beveiliging ' om de meest recente oplossingen voor Azure-partner netwerk beveiliging te vinden.You can find the most current Azure partner network security solutions by visiting the Azure Marketplace, and searching for "security" and "network security."

Azure FirewallAzure Firewall

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid.It is a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability. Enkele functies zijn onder andere:Some features include:

  • Hoge beschikbaarheidHigh availability
  • Schaal baarheid van CloudCloud scalability
  • Regels voor het filteren van de FQDN van toepassingenApplication FQDN filtering rules
  • Regels voor het filteren van netwerkverkeerNetwork traffic filtering rules

Meer informatie:Learn more:

Beveiligde externe toegang en cross-premises connectiviteitSecure remote access and cross-premises connectivity

De installatie, configuratie en het beheer van uw Azure-resources moeten op afstand worden uitgevoerd.Setup, configuration, and management of your Azure resources needs to be done remotely. Daarnaast wilt u mogelijk hybride it -oplossingen implementeren met onderdelen on-premises en in de open bare Azure-Cloud.In addition, you might want to deploy hybrid IT solutions that have components on-premises and in the Azure public cloud. Deze scenario's vereisen beveiligde externe toegang.These scenarios require secure remote access.

Azure Networking ondersteunt de volgende veilige scenario's voor externe toegang:Azure networking supports the following secure remote access scenarios:

  • Afzonderlijke werk stations verbinden met een virtueel netwerkConnect individual workstations to a virtual network
  • Uw on-premises netwerk verbinden met een virtueel netwerk met een VPNConnect your on-premises network to a virtual network with a VPN
  • Uw on-premises netwerk verbinden met een virtueel netwerk met een specifieke WAN-koppelingConnect your on-premises network to a virtual network with a dedicated WAN link
  • Virtuele netwerken met elkaar verbindenConnect virtual networks to each other

Afzonderlijke werk stations verbinden met een virtueel netwerkConnect individual workstations to a virtual network

U wilt mogelijk afzonderlijke ontwikkel aars of operationele mede werkers in staat stellen om virtuele machines en services in azure te beheren.You might want to enable individual developers or operations personnel to manage virtual machines and services in Azure. Stel dat u toegang nodig hebt tot een virtuele machine in een virtueel netwerk.For example, let's say you need access to a virtual machine on a virtual network. Maar uw beveiligings beleid staat geen externe RDP-of SSH-toegang toe voor afzonderlijke virtuele machines.But your security policy does not allow RDP or SSH remote access to individual virtual machines. In dit geval kunt u een punt-naar-site-VPN- verbinding gebruiken.In this case, you can use a point-to-site VPN connection.

Met de punt-naar-site-VPN-verbinding kunt u een persoonlijke en beveiligde verbinding instellen tussen de gebruiker en het virtuele netwerk.The point-to-site VPN connection enables you to set up a private and secure connection between the user and the virtual network. Wanneer de VPN-verbinding tot stand is gebracht, kan de gebruiker RDP of SSH via de VPN-koppeling naar een virtuele machine in het virtuele netwerk.When the VPN connection is established, the user can RDP or SSH over the VPN link into any virtual machine on the virtual network. (Hierbij wordt ervan uitgegaan dat de gebruiker kan worden geverifieerd en geautoriseerd.) Punt-naar-site-VPN ondersteunt:(This assumes that the user can authenticate and is authorized.) Point-to-site VPN supports:

  • SSTP (Secure Socket Tunneling Protocol), een eigen op SSL gebaseerd VPN-protocol.Secure Socket Tunneling Protocol (SSTP), a proprietary SSL-based VPN protocol. Een SSL-VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls de TCP-poort 443 openen, die door TLS/SSL wordt gebruikt.An SSL VPN solution can penetrate firewalls, since most firewalls open TCP port 443, which TLS/SSL uses. SSTP wordt alleen ondersteund op Windows-apparaten.SSTP is only supported on Windows devices. Azure ondersteunt alle versies van Windows die SSTP (Windows 7 en hoger) hebben.Azure supports all versions of Windows that have SSTP (Windows 7 and later).

  • IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing.IKEv2 VPN, a standards-based IPsec VPN solution. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (OSX-versie 10.11 en hoger).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

  • OpenVPNOpenVPN

Meer informatie:Learn more:

Uw on-premises netwerk verbinden met een virtueel netwerk met een VPNConnect your on-premises network to a virtual network with a VPN

Mogelijk wilt u uw hele bedrijfs netwerk of delen ervan koppelen aan een virtueel netwerk.You might want to connect your entire corporate network, or portions of it, to a virtual network. Dit is gebruikelijk in hybride IT-scenario's, waarbij organisaties hun on-premises Data Center uitbreiden naar Azure.This is common in hybrid IT scenarios, where organizations extend their on-premises datacenter into Azure. In veel gevallen hosten organisaties onderdelen van een service in Azure en delen ze on-premises.In many cases, organizations host parts of a service in Azure, and parts on-premises. Dit kan bijvoorbeeld gebeuren wanneer een oplossing front-end webservers bevat in Azure en back-end-data bases.For example,they might do so when a solution includes front-end web servers in Azure and back-end databases on-premises. Met deze typen cross-premises verbindingen wordt het beheer van Azure-bronnen ook veiliger en kunnen scenario's zoals het uitbreiden van Active Directory domein controllers naar Azure worden ingeschakeld.These types of "cross-premises" connections also make management of Azure located resources more secure, and enable scenarios such as extending Active Directory domain controllers into Azure.

Een manier om dit te bereiken is het gebruik van een site-naar-site-VPN.One way to accomplish this is to use a site-to-site VPN. Het verschil tussen een site-naar-site-VPN en een punt-naar-site-VPN is dat de laatste één apparaat verbindt met een virtueel netwerk.The difference between a site-to-site VPN and a point-to-site VPN is that the latter connects a single device to a virtual network. Een site-naar-site-VPN verbindt een volledig netwerk (zoals uw on-premises netwerk) met een virtueel netwerk.A site-to-site VPN connects an entire network (such as your on-premises network) to a virtual network. Site-naar-site-Vpn's naar een virtueel netwerk gebruiken het uiterst veilige IPsec-tunnel modus VPN-protocol.Site-to-site VPNs to a virtual network use the highly secure IPsec tunnel mode VPN protocol.

Meer informatie:Learn more:

Punt-naar-site-en site-naar-site-VPN-verbindingen zijn effectief voor het inschakelen van cross-premises connectiviteit.Point-to-site and site-to-site VPN connections are effective for enabling cross-premises connectivity. Sommige organisaties denken echter dat ze de volgende nadelen hebben:However, some organizations consider them to have the following drawbacks:

  • VPN-verbindingen verplaatsen gegevens via internet.VPN connections move data over the internet. Dit maakt deze verbindingen mogelijk voor mogelijke beveiligings problemen die betrekking hebben op het verplaatsen van gegevens via een openbaar netwerk.This exposes these connections to potential security issues involved with moving data over a public network. Bovendien kan de betrouw baarheid en beschik baarheid voor Internet verbindingen niet worden gegarandeerd.In addition, reliability and availability for internet connections cannot be guaranteed.
  • VPN-verbindingen met virtuele netwerken hebben mogelijk niet de band breedte voor sommige toepassingen en doel einden, omdat deze Maxi maal ongeveer 200 Mbps groot zijn.VPN connections to virtual networks might not have the bandwidth for some applications and purposes, as they max out at around 200 Mbps.

Organisaties waarvoor het hoogste beveiligings niveau en de beschik baarheid voor hun cross-premises verbindingen nodig zijn, gebruiken meestal specifieke WAN-koppelingen om verbinding te maken met externe sites.Organizations that need the highest level of security and availability for their cross-premises connections typically use dedicated WAN links to connect to remote sites. Azure biedt u de mogelijkheid om een specifieke WAN-koppeling te gebruiken die u kunt gebruiken om uw on-premises netwerk te verbinden met een virtueel netwerk.Azure provides you the ability to use a dedicated WAN link that you can use to connect your on-premises network to a virtual network. Azure ExpressRoute, Express route direct en Express route Global Reach maken dit mogelijk.Azure ExpressRoute, Express route direct, and Express route global reach enable this.

Meer informatie:Learn more:

Virtuele netwerken met elkaar verbindenConnect virtual networks to each other

Het is mogelijk om veel virtuele netwerken te gebruiken voor uw implementaties.It is possible to use many virtual networks for your deployments. Er zijn verschillende redenen waarom u dit kunt doen.There are various reasons why you might do this. U kunt het beheer vereenvoudigen of u wilt een betere beveiliging.You might want to simplify management, or you might want increased security. Ongeacht de motivatie voor het plaatsen van resources op verschillende virtuele netwerken, is het mogelijk dat u de resources op elk van de netwerken met elkaar wilt verbinden.Regardless of the motivation for putting resources on different virtual networks, there might be times when you want resources on each of the networks to connect with one another.

Een optie is voor services op één virtueel netwerk om verbinding te maken met Services op een ander virtueel netwerk, door een ' loop back ' via internet.One option is for services on one virtual network to connect to services on another virtual network, by "looping back" through the internet. De verbinding wordt gestart op één virtueel netwerk, gaat via internet en vervolgens weer terug naar het virtuele netwerk van de bestemming.The connection starts on one virtual network, goes through the internet, and then comes back to the destination virtual network. Met deze optie wordt de verbinding met de beveiligings problemen besproken die inherent zijn aan Internet communicatie.This option exposes the connection to the security issues inherent in any internet-based communication.

Een betere optie is het maken van een site-naar-site-VPN dat verbinding maakt tussen twee virtuele netwerken.A better option might be to create a site-to-site VPN that connects between two virtual networks. Deze methode maakt gebruik van hetzelfde IPSec-tunnel modus protocol als de cross-premises site-naar-site VPN-verbinding die hierboven wordt genoemd.This method uses the same IPSec tunnel mode protocol as the cross-premises site-to-site VPN connection mentioned above.

Het voor deel van deze benadering is dat de VPN-verbinding tot stand is gebracht via de Azure-netwerk infrastructuur, in plaats van via Internet verbinding te maken.The advantage of this approach is that the VPN connection is established over the Azure network fabric, instead of connecting over the internet. Dit biedt een extra beveiligingslaag, vergeleken met site-naar-site-Vpn's die via Internet verbinding maken.This provides you an extra layer of security, compared to site-to-site VPNs that connect over the internet.

Meer informatie:Learn more:

Een andere manier om verbinding te maken met uw virtuele netwerken is VNET-peering.Another way to connect your virtual networks is VNET peering. Met deze functie kunt u twee Azure-netwerken met elkaar verbinden zodat communicatie tussen de micro soft-backbone-infra structuur plaatsvindt zonder dat deze ooit via internet gaat.This feature allows you to connect two Azure networks so that communication between them happens over the Microsoft backbone infrastructure without it ever going over the Internet. VNET-peering kan twee VNETs binnen dezelfde regio of twee VNETs tussen Azure-regio's verbinden.VNET peering can connect two VNETs within the same region or two VNETs across Azure regions. Nsg's kan worden gebruikt om de connectiviteit tussen verschillende subnetten of systemen te beperken.NSGs can be used to limit connectivity between different subnets or systems.

BeschikbaarheidAvailability

Beschik baarheid is een belang rijk onderdeel van elk beveiligings programma.Availability is a key component of any security program. Als uw gebruikers en systemen geen toegang hebben tot wat ze nodig hebben om toegang te krijgen tot het netwerk, kan de service als aangetast worden beschouwd.If your users and systems can't access what they need to access over the network, the service can be considered compromised. Azure heeft netwerk technologieën die ondersteuning bieden voor de volgende mechanismen voor hoge Beschik baarheid:Azure has networking technologies that support the following high-availability mechanisms:

  • Taak verdeling op basis van HTTPHTTP-based load balancing
  • Taak verdeling netwerk niveauNetwork level load balancing
  • Globale taak verdelingGlobal load balancing

Taak verdeling is een mechanisme dat is ontworpen om verbindingen gelijkmatig te verdelen over meerdere apparaten.Load balancing is a mechanism designed to equally distribute connections among multiple devices. De doel stellingen van taak verdeling zijn:The goals of load balancing are:

  • Om de beschik baarheid te verg Roten.To increase availability. Wanneer u verbindingen met meerdere apparaten verdeelt, kunnen een of meer van de apparaten niet meer beschikbaar zijn zonder de service in gevaar te brengen.When you load balance connections across multiple devices, one or more of the devices can become unavailable without compromising the service. De services die op de overige online apparaten worden uitgevoerd, kunnen de inhoud van de service blijven gebruiken.The services running on the remaining online devices can continue to serve the content from the service.
  • Om de prestaties te verbeteren.To increase performance. Wanneer u verbindingen met meerdere apparaten verdeelt, hoeft één apparaat niet alle bewerkingen te verwerken.When you load balance connections across multiple devices, a single device doesn't have to handle all processing. In plaats daarvan worden de bewerkings-en geheugen vereisten voor het uitvoeren van de inhoud verdeeld over meerdere apparaten.Instead, the processing and memory demands for serving the content is spread across multiple devices.

Taak verdeling op basis van HTTPHTTP-based load balancing

Organisaties die webgebaseerde services uitvoeren, willen vaak een op HTTP gebaseerde load balancer voor deze webservices.Organizations that run web-based services often desire to have an HTTP-based load balancer in front of those web services. Dit zorgt voor een adequaat prestatie niveau en hoge Beschik baarheid.This helps ensure adequate levels of performance and high availability. Traditionele load balancers op basis van het netwerk zijn afhankelijk van netwerk-en trans port Layer-protocollen.Traditional, network-based load balancers rely on network and transport layer protocols. Op HTTP gebaseerde load balancers kunt u aan de andere kant besluiten nemen op basis van de kenmerken van het HTTP-protocol.HTTP-based load balancers, on the other hand, make decisions based on characteristics of the HTTP protocol.

Azure-toepassing gateway biedt op HTTP gebaseerde taak verdeling voor uw webservices.Azure Application Gateway provides HTTP-based load balancing for your web-based services. Application Gateway ondersteunt:Application Gateway supports:

  • Sessieaffiniteit op basis van cookies.Cookie-based session affinity. Op deze manier zorgt u ervoor dat verbindingen die tot stand zijn gebracht op een van de servers achter die load balancer intact blijven tussen de client en de server.This capability makes sure that connections established to one of the servers behind that load balancer stays intact between the client and server. Dit garandeert de stabiliteit van trans acties.This ensures stability of transactions.
  • TLS-offload.TLS offload. Wanneer een client verbinding maakt met de load balancer, wordt die sessie versleuteld met behulp van het HTTPS-protocol (TLS).When a client connects with the load balancer, that session is encrypted by using the HTTPS (TLS) protocol. Om de prestaties te verbeteren, kunt u echter het HTTP (niet-versleutelde) protocol gebruiken om verbinding te maken tussen de load balancer en de webserver achter de load balancer.However, in order to increase performance, you can use the HTTP (unencrypted) protocol to connect between the load balancer and the web server behind the load balancer. Dit wordt ' TLS-offload ' genoemd, omdat de webservers achter de load balancer geen gebruik kunnen maken van de processor overhead die bij de versleuteling betrokken is.This is referred to as "TLS offload," because the web servers behind the load balancer don't experience the processor overhead involved with encryption. De webservers kunnen daarom sneller aanvragen.The web servers can therefore service requests more quickly.
  • Op URL gebaseerde route ring van inhoud.URL-based content routing. Met deze functie kunnen de load balancer besluiten nemen over het door sturen van verbindingen op basis van de doel-URL.This feature makes it possible for the load balancer to make decisions about where to forward connections based on the target URL. Dit biedt veel meer flexibiliteit dan oplossingen die taak verdelings beslissingen nemen op basis van IP-adressen.This provides a lot more flexibility than solutions that make load balancing decisions based on IP addresses.

Meer informatie:Learn more:

Taak verdeling netwerk niveauNetwork level load balancing

In tegens telling tot HTTP-gebaseerde taak verdeling, nemen taak verdeling op netwerk niveau beslissingen op basis van IP-adres en poort (TCP-of UDP-) getallen.In contrast to HTTP-based load balancing, network level load balancing makes decisions based on IP address and port (TCP or UDP) numbers. U kunt profiteren van de voor delen van taak verdeling op netwerk niveau in azure met behulp van Azure Load Balancer.You can gain the benefits of network level load balancing in Azure by using Azure Load Balancer. Enkele belang rijke kenmerken van Load Balancer zijn:Some key characteristics of Load Balancer include:

  • Taak verdeling op netwerk niveau op basis van IP-adres en poort nummers.Network level load balancing based on IP address and port numbers.
  • Ondersteuning voor een Application Layer-Protocol.Support for any application layer protocol.
  • Taak verdelingen voor virtuele Azure-machines en Cloud Services-rolinstanties.Load balances to Azure virtual machines and cloud services role instances.
  • Kan worden gebruikt voor zowel Internet gerichte (externe taak verdeling) als niet-Internet gerichte (interne taak verdeling) toepassingen en virtuele machines.Can be used for both internet-facing (external load balancing) and non-internet facing (internal load balancing) applications and virtual machines.
  • Eindpunt bewaking, die wordt gebruikt om te bepalen of de services achter de load balancer niet meer beschikbaar zijn.Endpoint monitoring, which is used to determine if any of the services behind the load balancer have become unavailable.

Meer informatie:Learn more:

Globale taak verdelingGlobal load balancing

Sommige organisaties willen het hoogste niveau van Beschik baarheid mogelijk maken.Some organizations want the highest level of availability possible. Een manier om dit doel te bereiken, is door toepassingen te hosten in wereld wijd gedistribueerde data centers.One way to reach this goal is to host applications in globally distributed datacenters. Wanneer een toepassing wordt gehost in data centers overal ter wereld, is het mogelijk dat een hele geopolitieke regio niet meer beschikbaar is en dat de toepassing nog steeds actief is.When an application is hosted in datacenters located throughout the world, it's possible for an entire geopolitical region to become unavailable, and still have the application up and running.

Deze strategie voor taak verdeling kan ook prestatie voordelen opleveren.This load-balancing strategy can also yield performance benefits. U kunt aanvragen voor de service omleiden naar het Data Center dat zich het dichtst bij het apparaat bevindt dat de aanvraag indient.You can direct requests for the service to the datacenter that is nearest to the device that is making the request.

In azure kunt u profiteren van de voor delen van globale taak verdeling met behulp van Azure Traffic Manager.In Azure, you can gain the benefits of global load balancing by using Azure Traffic Manager.

Meer informatie:Learn more:

NaamomzettingName resolution

Naam omzetting is een belang rijke functie voor alle services die u in azure host.Name resolution is a critical function for all services you host in Azure. Vanuit het oogpunt van beveiliging kan de functie voor naam omzetting ertoe leiden dat een aanvaller aanvragen van uw sites omleiden naar de site van een aanvaller.From a security perspective, compromise of the name resolution function can lead to an attacker redirecting requests from your sites to an attacker's site. Veilige naam omzetting is een vereiste voor alle gehoste services in de Cloud.Secure name resolution is a requirement for all your cloud hosted services.

Er zijn twee typen naam omzetting die u moet aanpakken:There are two types of name resolution you need to address:

  • Interne naam omzetting.Internal name resolution. Dit wordt gebruikt door services in uw virtuele netwerken, uw on-premises netwerken of beide.This is used by services on your virtual networks, your on-premises networks, or both. Namen die worden gebruikt voor interne naam omzetting, zijn niet toegankelijk via internet.Names used for internal name resolution are not accessible over the internet. Voor een optimale beveiliging is het belang rijk dat uw interne naam omzettings schema niet toegankelijk is voor externe gebruikers.For optimal security, it's important that your internal name resolution scheme is not accessible to external users.
  • Externe naam omzetting.External name resolution. Dit wordt gebruikt door personen en apparaten buiten uw on-premises netwerken en virtuele netwerken.This is used by people and devices outside of your on-premises networks and virtual networks. Dit zijn de namen die zichtbaar zijn voor Internet en worden gebruikt om verbinding te maken met uw Cloud Services.These are the names that are visible to the internet, and are used to direct connection to your cloud-based services.

Voor een interne naam omzetting hebt u twee opties:For internal name resolution, you have two options:

  • Een DNS-server voor het virtuele netwerk.A virtual network DNS server. Wanneer u een nieuw virtueel netwerk maakt, wordt er een DNS-server voor u gemaakt.When you create a new virtual network, a DNS server is created for you. Deze DNS-server kan de namen van de computers die zich op dat virtuele netwerk bevinden, omzetten.This DNS server can resolve the names of the machines located on that virtual network. Deze DNS-server kan niet worden geconfigureerd, wordt beheerd door Azure Fabric Manager en kan daarom helpen bij het beveiligen van uw oplossing voor naam omzetting.This DNS server is not configurable, is managed by the Azure fabric manager, and can therefore help you secure your name resolution solution.
  • Uw eigen DNS-server meenemen.Bring your own DNS server. U hebt de mogelijkheid om een DNS-server van uw eigen keuze te plaatsen in uw virtuele netwerk.You have the option of putting a DNS server of your own choosing on your virtual network. Deze DNS-server kan een Active Directory geïntegreerde DNS-server zijn, of een speciale DNS-server oplossing die door een Azure-partner wordt verschaft, die u kunt verkrijgen via de Azure Marketplace.This DNS server can be an Active Directory integrated DNS server, or a dedicated DNS server solution provided by an Azure partner, which you can obtain from the Azure Marketplace.

Meer informatie:Learn more:

Voor externe naam omzetting hebt u twee opties:For external name resolution, you have two options:

  • Host uw eigen externe DNS-server on-premises.Host your own external DNS server on-premises.
  • Host uw eigen externe DNS-server met een service provider.Host your own external DNS server with a service provider.

Veel grote organisaties hosten hun eigen DNS-servers on-premises.Many large organizations host their own DNS servers on-premises. Ze kunnen dit doen omdat ze de netwerk expertise en wereld wijde aanwezigheid hebben.They can do this because they have the networking expertise and global presence to do so.

In de meeste gevallen is het beter om uw DNS-naamomzettingsservices te hosten met een service provider.In most cases, it's better to host your DNS name resolution services with a service provider. Deze service providers hebben de netwerk expertise en wereld wijde aanwezigheid om zeer hoge Beschik baarheid te garanderen voor uw services voor naam omzetting.These service providers have the network expertise and global presence to ensure very high availability for your name resolution services. Beschik baarheid is essentieel voor DNS-services, want als uw naam omzettings Services mislukken, kan niemand uw services op internet bereiken.Availability is essential for DNS services, because if your name resolution services fail, no one will be able to reach your internet facing services.

Azure biedt u een Maxi maal beschik bare, externe DNS-oplossing met hoge prestaties in de vorm van Azure DNS.Azure provides you with a highly available and high-performing external DNS solution in the form of Azure DNS. Deze oplossing voor externe naam omzetting maakt gebruik van de wereld wijde Azure DNS-infra structuur.This external name resolution solution takes advantage of the worldwide Azure DNS infrastructure. U kunt uw domein hosten in azure, met dezelfde referenties, Api's, hulpprogram ma's en facturering als uw andere Azure-Services.It allows you to host your domain in Azure, using the same credentials, APIs, tools, and billing as your other Azure services. Als onderdeel van Azure neemt het ook de sterkste beveiligings controles over die zijn ingebouwd in het platform.As part of Azure, it also inherits the strong security controls built into the platform.

Meer informatie:Learn more:

Perimeter netwerk architectuurPerimeter network architecture

Veel grote organisaties gebruiken perimeter netwerken om hun netwerken te segmenteren en maken een buffer zone tussen internet en hun services.Many large organizations use perimeter networks to segment their networks, and create a buffer-zone between the internet and their services. Het perimeter gedeelte van het netwerk wordt beschouwd als een zone met weinig beveiliging, en er worden geen assets met een hoge waarde in dat netwerk segment geplaatst.The perimeter portion of the network is considered a low-security zone, and no high-value assets are placed in that network segment. Normaal gesp roken ziet u netwerk beveiligings apparaten met een netwerk interface op het perimeter netwerk segment.You'll typically see network security devices that have a network interface on the perimeter network segment. Een andere netwerk interface is verbonden met een netwerk met virtuele machines en services die binnenkomende verbindingen van het Internet accepteren.Another network interface is connected to a network that has virtual machines and services that accept inbound connections from the internet.

U kunt perimeter netwerken op verschillende manieren ontwerpen.You can design perimeter networks in a number of different ways. De beslissing om een perimeter netwerk te implementeren en vervolgens welk type perimeter netwerk u moet gebruiken als u er een wilt gebruiken, is afhankelijk van de vereisten van uw netwerk beveiliging.The decision to deploy a perimeter network, and then what type of perimeter network to use if you decide to use one, depends on your network security requirements.

Meer informatie:Learn more:

Azure DDoS ProtectionAzure DDoS protection

DDoS-aanvallen (Distributed Denial of Service-aanvallen) vormen een van de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die hun toepassingen verplaatsen naar de cloud.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Met een DDoS-aanval wordt geprobeerd de resources van een toepassing uit te putten, waardoor de toepassing niet meer beschikbaar is voor legitieme gebruikers.A DDoS attack attempts to exhaust an application's resources, making the application unavailable to legitimate users. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet. Micro soft biedt DDoS-beveiliging , ook wel bekend als onderdeel van het Azure-platform.Microsoft provides DDoS protection known as Basic as part of the Azure Platform. Dit is gratis en omvat altijd bewaking en realtime beperken van veelvoorkomende aanvallen op netwerk niveau.This comes at no charge and includes always on monitoring and real-time mitigation of common network level attacks. Naast de beveiligingen die zijn opgenomen in DDoS Protection Basic kunt u de optie standaard inschakelen.In addition to the protections included with DDoS protection Basic you can enable the Standard option. DDoS Protection standaard functies zijn:DDoS Protection Standard features include:

  • Systeem eigen platform integratie: Systeem eigen geïntegreerd in Azure.Native platform integration: Natively integrated into Azure. Bevat configuratie via de Azure Portal.Includes configuration through the Azure portal. DDoS Protection standaard begrijpt uw resources en resource configuratie.DDoS Protection Standard understands your resources and resource configuration.
  • Beveiliging op basis van een bocht: Vereenvoudigde configuratie beveiligt onmiddellijk alle resources in een virtueel netwerk zodra DDoS Protection standaard is ingeschakeld.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Er is geen interventie-of gebruikers definitie vereist.No intervention or user definition is required. DDoS Protection Standard onmiddellijk en vermindert de aanval automatisch, zodra deze is gedetecteerd.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Bewaking over altijd verkeer: De patronen van uw toepassings verkeer worden 24 uur per dag, 7 dagen per week gecontroleerd en er wordt gezocht naar indica toren van DDoS-aanvallen.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. De beperking wordt toegepast wanneer het beveiligings beleid wordt overschreden.Mitigation is performed when protection policies are exceeded.
  • Rapporten voor risico beperking van aanvallen Rapporten voor het beperken van aanvallen maken gebruik van geaggregeerde netwerk stroom gegevens om gedetailleerde informatie te geven over aanvallen die gericht zijn op uw resources.Attack Mitigation Reports Attack Mitigation Reports use aggregated network flow data to provide detailed information about attacks targeted at your resources.
  • Stroom logboeken voor aanvallen beperken Met de stroom logboeken voor aanvallen beperken kunt u het verloren verkeer, doorgestuurd verkeer en andere aanvals gegevens in bijna realtime bekijken tijdens een actieve DDoS-aanval.Attack Mitigation Flow Logs Attack Mitigation Flow Logs allow you to review the dropped traffic, forwarded traffic and other attack data in near real-time during an active DDoS attack.
  • Adaptieve afstemming: Intelligent verkeer profile ring leert het verkeer van uw toepassing gedurende een bepaalde periode en selecteert en werkt het profiel dat het meest geschikt is voor uw service.Adaptive tuning: Intelligent traffic profiling learns your application's traffic over time, and selects and updates the profile that is the most suitable for your service. Het profiel wordt aangepast naarmate het verkeer na verloop van tijd verandert.The profile adjusts as traffic changes over time. Layer 3 tot Layer 7 Protection: biedt volledige stack DDoS-beveiliging, wanneer deze wordt gebruikt met een Web Application Firewall.Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Uitgebreide beperkings schaal: Meer dan 60 verschillende typen aanvallen kunnen worden gereduceerd, met globale capaciteit om te beschermen tegen de grootste bekende DDoS-aanvallen.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Maat staven voor aanvallen: Een overzicht van de metrische gegevens van elke aanval is toegankelijk via Azure Monitor.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Waarschuwing voor aanvallen: Waarschuwingen kunnen worden geconfigureerd bij het starten en stoppen van een aanval en over de duur van de aanval, met behulp van ingebouwde aanvals waarden.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack's duration, using built-in attack metrics. Waarschuwingen worden geïntegreerd in uw operationele software, zoals Microsoft Azure controle logboeken, Splunk, Azure Storage, E-mail en de Azure Portal.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Kosten garantie: Service-tegoeden voor gegevens overdracht en toepassingen voor gedocumenteerde DDoS-aanvallen.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.
  • DDoS snel reageren DDoS Protection Standard-klanten hebben nu toegang tot het snelle antwoord team tijdens een actieve aanval.DDoS Rapid responsive DDoS Protection Standard customers now have access to Rapid Response team during an active attack. DRR kan u helpen bij het onderzoeken van aanvallen, aangepaste problemen tijdens een aanval en een oplossing na een aanval.DRR can help with attack investigation, custom mitigations during an attack and post-attack analysis.

Meer informatie:Learn more:

Azure Front DoorAzure Front Door

Met de Azure front-deur service kunt u de wereld wijde route ring van uw webverkeer definiëren, beheren en bewaken.Azure Front Door Service enables you to define, manage, and monitor the global routing of your web traffic. Het optimaliseert de route ring van uw verkeer voor de beste prestaties en hoge Beschik baarheid.It optimizes your traffic's routing for best performance and high availability. Met Azure Front Door kunt u regels voor toegangsbeheer maken voor aangepaste webtoepassingsfirewalls (WAF) om uw HTTP/HTTPS-workload te beschermen tegen exploitatie op basis van klant-IP-adressen, landcode en http-parameters.Azure Front Door allows you to author custom web application firewall (WAF) rules for access control to protect your HTTP/HTTPS workload from exploitation based on client IP addresses, country code, and http parameters. Daarnaast kunt u met de voor deur ook regels voor het beperken van de frequentie voor het botsen van schadelijk bot-verkeer maken, inclusief TLS-offloading en per HTTP/HTTPS-aanvraag, verwerking van de toepassingslaag.Additionally, Front Door also enables you to create rate limiting rules to battle malicious bot traffic, it includes TLS offloading and per-HTTP/HTTPS request, application-layer processing.

Het Front Door-platform wordt zelf beschermd door Azure DDoS Protection Basic.Front Door platform itself is protected by Azure DDoS Protection Basic. Voor verdere bescherming kan Azure DDoS Protection Standard worden ingeschakeld op uw VNETs en bronnen beschermen tegen netwerklaagaanvallen (TCP/UDP) via automatische afstemming en risicobeperking.For further protection, Azure DDoS Protection Standard may be enabled at your VNETs and safeguard resources from network layer (TCP/UDP) attacks via auto tuning and mitigation. De voor deur is een omgekeerde proxy van laag 7, het webverkeer kan alleen worden door gegeven aan back-endservers en andere typen verkeer wordt niet standaard geblokkeerd.Front Door is a layer 7 reverse proxy, it only allows web traffic to pass through to back end servers and block other types of traffic by default.

Meer informatie:Learn more:

Azure Traffic ManagerAzure Traffic manager

Azure Traffic Manager is een op DNS gebaseerde load balancer waarmee u verkeer optimaal over services kunt verdelen in Azure-regio's wereldwijd, terwijl u over hoge beschikbaarheid en een hoge reactiesnelheid beschikt.Azure Traffic Manager is a DNS-based traffic load balancer that enables you to distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Traffic Manager maakt gebruik van DNS om aanvragen van clients door te sturen naar de meest geschikte eindpunten op basis van een methode om verkeer te routeren en van de status van de eindpunten.Traffic Manager uses DNS to direct client requests to the most appropriate service endpoint based on a traffic-routing method and the health of the endpoints. Een eindpunt is een internetgerichte service die binnen of buiten Azure wordt gehost.An endpoint is any Internet-facing service hosted inside or outside of Azure. Traffic Manager bewaakt de eind punten en stuurt geen verkeer door naar eind punt dat niet beschikbaar is.Traffic manager monitors the end points and does not direct traffic to any endpoints that are unavailable.

Meer informatie:Learn more:

Bewaking en detectie van bedreigingenMonitoring and threat detection

Azure biedt mogelijkheden om u in dit sleutel gebied te helpen met vroegtijdige detectie, bewaking en het verzamelen en controleren van netwerk verkeer.Azure provides capabilities to help you in this key area with early detection, monitoring, and collecting and reviewing network traffic.

Azure Network WatcherAzure Network Watcher

Azure Network Watcher kan u helpen problemen op te lossen en biedt een hele nieuwe set hulpprogram ma's om u te helpen bij het identificeren van beveiligings problemen.Azure Network Watcher can help you troubleshoot, and provides a whole new set of tools to assist with the identification of security issues.

De weer gave beveiligings groep helpt bij het controleren en de beveiliging van virtual machines.Security Group View helps with auditing and security compliance of Virtual Machines. Gebruik deze functie om programmatische controles uit te voeren, waarbij u het basislijn beleid dat door uw organisatie is gedefinieerd, vergelijkt met de juiste regels voor elk van uw virtuele machines.Use this feature to perform programmatic audits, comparing the baseline policies defined by your organization to effective rules for each of your VMs. Dit kan u helpen bij het identificeren van een configuratie drift.This can help you identify any configuration drift.

Met pakket opname kunt u netwerk verkeer van en naar de virtuele machine vastleggen.Packet capture allows you to capture network traffic to and from the virtual machine. U kunt netwerk statistieken verzamelen en toepassings problemen oplossen. Dit kan nuttig zijn bij het onderzoek van indringers in het netwerk.You can collect network statistics and troubleshoot application issues, which can be invaluable in the investigation of network intrusions. U kunt deze functie ook gebruiken in combi natie met Azure Functions om netwerk opnames te starten als reactie op specifieke Azure-waarschuwingen.You can also use this feature together with Azure Functions to start network captures in response to specific Azure alerts.

Zie overzicht van Azure Network Watcher-bewakingvoor meer informatie over Network Watcher en hoe u een deel van de functionaliteit in uw Labs kunt testen.For more information on Network Watcher and how to start testing some of the functionality in your labs, see Azure network watcher monitoring overview.

Notitie

Controleer de pagina Azure updatesvoor de meest recente meldingen over de beschik baarheid en de status van deze service.For the most up-to-date notifications on availability and status of this service, check the Azure updates page.

Azure Security CenterAzure Security Center

Azure Security Center helpt u bedreigingen te voor komen, te detecteren en erop te reageren, en biedt u meer inzicht in en controle over de beveiliging van uw Azure-resources.Azure Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. Het biedt geïntegreerde beveiligings bewaking en beleids beheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders niet kunnen worden opgemerkt en die werkt met een grote reeks beveiligings oplossingen.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a large set of security solutions.

Security Center helpt u bij het optimaliseren en bewaken van netwerk beveiliging door:Security Center helps you optimize and monitor network security by:

  • Aanbevelingen voor netwerk beveiliging opgeven.Providing network security recommendations.
  • De status van de netwerk beveiligings configuratie bewaken.Monitoring the state of your network security configuration.
  • U wordt gewaarschuwd voor bedreigingen op basis van het netwerk, zowel op het eind punt als op het netwerk.Alerting you to network based threats, both at the endpoint and network levels.

Meer informatie:Learn more:

Virtual Network TikVirtual Network TAP

Met het virtuele netwerk van Azure (Terminal Access Point) kunt u het netwerk verkeer van de virtuele machine continu streamen naar een netwerk pakket verzamelaar of een analyse programma.Azure virtual network TAP (Terminal Access Point) allows you to continuously stream your virtual machine network traffic to a network packet collector or analytics tool. Het hulp programma Collector of Analytics wordt verschaft door een virtuele netwerk apparaat-partner.The collector or analytics tool is provided by a network virtual appliance partner. U kunt hetzelfde virtuele netwerk tikken op resource om verkeer van meerdere netwerk interfaces in dezelfde of verschillende abonnementen samen te voegen.You can use the same virtual network TAP resource to aggregate traffic from multiple network interfaces in the same or different subscriptions.

Meer informatie:Learn more:

LogboekregistratieLogging

Logboek registratie op netwerk niveau is een belang rijke functie voor elk netwerk beveiligings scenario.Logging at a network level is a key function for any network security scenario. In azure kunt u logboek gegevens ophalen die zijn verkregen voor Nsg's om logboek registratie gegevens op netwerk niveau op te halen.In Azure, you can log information obtained for NSGs to get network level logging information. Met NSG-logboek registratie krijgt u informatie over:With NSG logging, you get information from:

  • Activiteiten logboeken.Activity logs. Gebruik deze logboeken om alle bewerkingen weer te geven die zijn verzonden naar uw Azure-abonnementen.Use these logs to view all operations submitted to your Azure subscriptions. Deze logboeken zijn standaard ingeschakeld en kunnen worden gebruikt binnen het Azure Portal.These logs are enabled by default, and can be used within the Azure portal. Voorheen bekend als audit of operationele Logboeken.They were previously known as audit or operational logs.
  • Gebeurtenis Logboeken.Event logs. Deze logboeken bevatten informatie over welke NSG-regels zijn toegepast.These logs provide information about what NSG rules were applied.
  • Item Logboeken.Counter logs. In deze logboeken kunt u zien hoe vaak elke NSG regel is toegepast om verkeer te weigeren of toe te staan.These logs let you know how many times each NSG rule was applied to deny or allow traffic.

U kunt ook micro soft power bi, een krachtig hulp programma voor gegevens visualisatie, gebruiken om deze logboeken weer te geven en te analyseren.You can also use Microsoft Power BI, a powerful data visualization tool, to view and analyze these logs. Meer informatie:Learn more: