Ochrona zasobów sieciowychProtect your network resources

Azure Security Center stale analizuje stan zabezpieczeń zasobów platformy Azure pod kątem najlepszych rozwiązań z zakresu zabezpieczeń sieci.Azure Security Center continuously analyzes the security state of your Azure resources for network security best practices. Gdy Security Center identyfikuje potencjalne luki w zabezpieczeniach, tworzy zalecenia, które przeprowadzą Cię przez proces konfigurowania wymaganych kontrolek do zabezpieczania i zabezpieczania zasobów.When Security Center identifies potential security vulnerabilities, it creates recommendations that guide you through the process of configuring the needed controls to harden and protect your resources.

Aby zapoznać się z pełną listą zaleceń dotyczących sieci, zobacz zalecenia dotyczące sieci.For a full list of the recommendations for Networking, see Networking recommendations.

Ten artykuł dotyczy zaleceń, które dotyczą zasobów platformy Azure z punktu widzenia zabezpieczeń sieci.This article addresses recommendations that apply to your Azure resources from a network security perspective. Centrum zaleceń dotyczących sieci wokół zapór nowej generacji, sieciowych grup zabezpieczeń, dostępu JIT do maszyny wirtualnej, nadmiernie ograniczających reguły ruchu przychodzącego i nie tylko.Networking recommendations center around next generation firewalls, Network Security Groups, JIT VM access, overly permissive inbound traffic rules, and more. Aby zapoznać się z listą zaleceń dotyczących sieci i akcji korygowania, zobacz Zarządzanie zaleceniami dotyczącymi zabezpieczeń w Azure Security Center.For a list of networking recommendations and remediation actions, see Managing security recommendations in Azure Security Center.

Funkcje sieciowe Security Center obejmują:The Networking features of Security Center include:

Wyświetlanie zasobów sieciowych i ich zaleceńView your networking resources and their recommendations

Na stronie spiszasobów Użyj filtru typu zasobów, aby wybrać zasoby sieciowe, które chcesz zbadać:From the asset inventory page, use the resource type filter to select the networking resources that you want to investigate:

Typy zasobów sieciowych dla spisu zasobów

Mapa sieciNetwork map

Interaktywna mapa sieci zapewnia widok graficzny z nakładkami zabezpieczeń, które zapewniają zalecenia i szczegółowe informacje na potrzeby zabezpieczania zasobów sieciowych.The interactive network map provides a graphical view with security overlays giving you recommendations and insights for hardening your network resources. Za pomocą mapy można zobaczyć topologię sieci obciążeń platformy Azure, połączenia między maszynami wirtualnymi i podsieciami oraz możliwość przechodzenia do szczegółów z mapy do określonych zasobów i zaleceń dotyczących tych zasobów.Using the map you can see the network topology of your Azure workloads, connections between your virtual machines and subnets, and the capability to drill down from the map into specific resources and the recommendations for those resources.

Aby otworzyć mapę sieci:To open the Network map:

  1. W menu Security Center Otwórz pulpit nawigacyjny usługi Azure Defender i wybierz pozycję mapa sieci.From Security Center's menu, open the Azure Defender dashboard and select Network map.

    Otwieranie mapy sieci z poziomu pulpitu nawigacyjnego usługi Azure Defender

  2. Wybierz menu warstwy wybierz topologię.Select the Layers menu choose Topology.

Zostanie wyświetlony domyślny widok mapy topologii:The default view of the topology map displays:

  • Subskrypcje wybrane na platformie Azure.Subscriptions you selected in Azure. Mapa obsługuje wiele subskrypcji.The map supports multiple subscriptions.
  • Maszyny wirtualne, podsieci i sieci wirtualnych typu zasobów Menedżer zasobów (klasyczne zasoby platformy Azure nie są obsługiwane)VMs, subnets, and VNets of the Resource Manager resource type (Classic Azure resources are not supported)
  • Sieci wirtualnych komunikacji równorzędnejPeered VNets
  • Tylko zasoby mające zalecenia dotyczące sieci o wysokiej lub średniej ważnościOnly resources that have network recommendations with a high or medium severity
  • Zasoby połączone z InternetemInternet facing resources
  • Mapa jest zoptymalizowana pod kątem subskrypcji wybranych na platformie Azure.The map is optimized for the subscriptions you selected in Azure. W przypadku zmodyfikowania zaznaczenia mapa zostanie ponownie obliczona i zoptymalizowana na podstawie nowych ustawień.If you modify your selection, the map is recalculated and re-optimized based on your new settings.

Mapa topologii sieciNetworking topology map

Omówienie mapy sieciUnderstanding the network map

Mapa sieci może przedstawiać zasoby platformy Azure w widoku topologii i widoku ruchu .The network map can show you your Azure resources in a Topology view and a Traffic view.

Widok topologiiThe topology view

W widoku topologii mapy sieci można wyświetlić następujące informacje o zasobach sieciowych:In the Topology view of the networking map, you can view the following insights about your networking resources:

  • W okręgu wewnętrznym można zobaczyć wszystkie sieci wirtualnych w wybranych subskrypcjach, następnym okręgiem są wszystkie podsieci, a zewnętrzny okrąg to wszystkie maszyny wirtualne.In the inner circle, you can see all the Vnets within your selected subscriptions, the next circle is all the subnets, the outer circle is all the virtual machines.
  • Linie łączące zasoby w mapie informują o tym, które zasoby są ze sobą skojarzone, oraz o strukturze sieci platformy Azure.The lines connecting the resources in the map let you know which resources are associated with each other, and how your Azure network is structured.
  • Użyj wskaźników ważności, aby szybko zapoznać się z tym, które zasoby mają otwarte zalecenia z Security Center.Use the severity indicators to quickly get an overview of which resources have open recommendations from Security Center.
  • Możesz kliknąć dowolny z zasobów, aby przejść do szczegółów i wyświetlić szczegóły tego zasobu oraz jego zalecenia bezpośrednio, a także w kontekście mapy sieci.You can click any of the resources to drill down into them and view the details of that resource and its recommendations directly, and in the context of the Network map.
  • Jeśli na mapie są wyświetlane zbyt wiele zasobów, Azure Security Center używa swojego algorytmu własnościowego do inteligentnego klastrowania zasobów, wyróżnienia zasobów, które znajdują się w najbardziej krytycznym stanie, i mają najwięcej zaleceń dotyczących ważności.If there are too many resources being displayed on the map, Azure Security Center uses its proprietary algorithm to smart cluster your resources, highlighting the resources that are in the most critical state, and have the most high severity recommendations.

Ponieważ mapa jest interaktywna i dynamiczna, każdy węzeł jest klikany, a widok może ulec zmianie w zależności od filtrów:Because the map is interactive and dynamic, every node is clickable, and the view can change based on the filters:

  1. Można modyfikować elementy widoczne na mapie sieci przy użyciu filtrów znajdujących się na górze.You can modify what you see on the network map by using the filters at the top. Możesz skupić się na mapie na podstawie:You can focus the map based on:

    • Kondycja zabezpieczeń: można filtrować mapę na podstawie ważności (wysoka, średnia, niska) zasobów platformy Azure.Security health: You can filter the map based on Severity (High, Medium, Low) of your Azure resources.
    • Zalecenia: możesz wybrać, które zasoby są wyświetlane na podstawie zaleceń, które są aktywne dla tych zasobów.Recommendations: You can select which resources are displayed based on which recommendations are active on those resources. Można na przykład wyświetlić tylko zasoby, dla których Security Center zaleca się włączenie sieciowych grup zabezpieczeń.For example, you can view only resources for which Security Center recommends you enable Network Security Groups.
    • Strefy sieciowe: Domyślnie mapa wyświetla tylko zasoby połączone z Internetem, można również wybrać wewnętrzne maszyny wirtualne.Network zones: By default, the map displays only Internet facing resources, you can select internal VMs as well.
  2. Możesz kliknąć pozycję Zresetuj w lewym górnym rogu w dowolnym momencie, aby przywrócić mapę do stanu domyślnego.You can click Reset in top left corner at any time to return the map to its default state.

Aby przejść do szczegółów zasobu:To drill down into a resource:

  1. Po wybraniu określonego zasobu na mapie zostanie otwarte okienko po prawej stronie, w którym znajdują się ogólne informacje o zasobie, połączone rozwiązania zabezpieczeń, jeśli istnieją, a także zalecenia dotyczące zasobu.When you select a specific resource on the map, the right pane opens and gives you general information about the resource, connected security solutions if there are any, and the recommendations relevant to the resource. Jest to ten sam typ zachowania dla każdego typu zasobu, który został wybrany.It's the same type of behavior for each type of resource you select.
  2. Po umieszczeniu wskaźnika myszy na węźle na mapie można wyświetlić ogólne informacje o zasobie, w tym o subskrypcji, typie zasobu i grupie zasobów.When you hover over a node in the map, you can view general information about the resource, including subscription, resource type, and resource group.
  3. Użyj linku, aby powiększyć do etykietki narzędzia i ponownie umieścić mapę na tym konkretnym węźle.Use the link to zoom into the tool tip and refocus the map on that specific node.
  4. Aby skoncentrować się na mapie od określonego węzła, Pomniejsz.To refocus the map away from a specific node, zoom out.

Widok ruchuThe Traffic view

Widok ruch udostępnia mapę całego możliwego ruchu między zasobami.The Traffic view provides you with a map of all the possible traffic between your resources. Zapewnia to wizualną mapę wszystkich skonfigurowanych reguł, które definiują, które zasoby mogą komunikować się z tym, z którymi się komunikują.This provides you with a visual map of all the rules you configured that define which resources can communicate with whom. Dzięki temu można zobaczyć istniejącą konfigurację sieciowych grup zabezpieczeń, a także szybko identyfikować możliwe konfiguracje ryzykowne w ramach obciążeń.This enables you to see the existing configuration of the network security groups as well as quickly identify possible risky configurations within your workloads.

Odkrywanie niechcianych połączeńUncover unwanted connections

Siła tego widoku pozwala na wyświetlanie tych dozwolonych połączeń wraz z lukami w zabezpieczeniach, dzięki czemu można użyć tej części danych w celu przeprowadzenia niezbędnej ochrony zasobów.The strength of this view is in its ability to show you these allowed connections together with the vulnerabilities that exist, so you can use this cross-section of data to perform the necessary hardening on your resources.

Można na przykład wykryć dwie nieświadome komputery, które mogły się komunikować, co pozwala lepiej izolować obciążenia i podsieci.For example, you might detect two machines that you weren’t aware could communicate, enabling you to better isolate the workloads and subnets.

Zbadaj zasobyInvestigate resources

Aby przejść do szczegółów zasobu:To drill down into a resource:

  1. Po wybraniu określonego zasobu na mapie zostanie otwarte okienko po prawej stronie, w którym znajdują się ogólne informacje o zasobie, połączone rozwiązania zabezpieczeń, jeśli istnieją, a także zalecenia dotyczące zasobu.When you select a specific resource on the map, the right pane opens and gives you general information about the resource, connected security solutions if there are any, and the recommendations relevant to the resource. Jest to ten sam typ zachowania dla każdego typu zasobu, który został wybrany.It's the same type of behavior for each type of resource you select.
  2. Kliknij pozycję ruch , aby wyświetlić listę możliwego ruchu wychodzącego i przychodzącego dla zasobu — jest to kompleksowa lista osób, które mogą komunikować się z zasobem i kto może się z nim komunikować oraz za pomocą których protokołów i portów.Click Traffic to see the list of possible outbound and inbound traffic on the resource - this is a comprehensive list of who can communicate with the resource and who it can communicate with, and through which protocols and ports. Na przykład po wybraniu maszyny wirtualnej są wyświetlane wszystkie maszyny wirtualne, z którymi mogą się komunikować, a po wybraniu podsieci są wyświetlane wszystkie podsieci, z którymi może się komunikować.For example, when you select a VM, all the VMs it can communicate with are shown, and when you select a subnet, all the subnets which it can communicate with are shown.

Dane te są oparte na analizie sieciowych grup zabezpieczeń, a także zaawansowanych algorytmów uczenia maszynowego, które analizują wiele reguł, aby zrozumieć ich skrzyżowania i interakcje.This data is based on analysis of the Network Security Groups as well as advanced machine learning algorithms that analyze multiple rules to understand their crossovers and interactions.

Mapa ruchu sieciowegoNetworking traffic map

Następne krokiNext steps

Aby dowiedzieć się więcej o zaleceniach dotyczących innych typów zasobów platformy Azure, zobacz następujące tematy:To learn more about recommendations that apply to other Azure resource types, see the following: