Najlepsze rozwiązania dotyczące platformy Azure dotyczące zabezpieczeń sieciAzure best practices for network security

W tym artykule omówiono zbiór najlepszych rozwiązań dotyczących platformy Azure w celu zwiększenia bezpieczeństwa sieci.This article discusses a collection of Azure best practices to enhance your network security. Te najlepsze rozwiązania wynikają z naszych rozwiązań związanych z obsługą sieci platformy Azure i klientami.These best practices are derived from our experience with Azure networking and the experiences of customers like yourself.

Dla każdego z najlepszych rozwiązań w tym artykule wyjaśniono:For each best practice, this article explains:

  • Najlepsze rozwiązanie toWhat the best practice is
  • Dlaczego chcesz włączyć to najlepsze rozwiązanieWhy you want to enable that best practice
  • Co może być wynikiem, jeśli nie można włączyć najlepszego rozwiązaniaWhat might be the result if you fail to enable the best practice
  • Możliwe alternatywy dla najlepszych rozwiązańPossible alternatives to the best practice
  • Jak można dowiedzieć się, jak włączyć najlepsze rozwiązanieHow you can learn to enable the best practice

Te najlepsze rozwiązania są oparte na jednomyślnych opiniach i możliwościach platformy Azure oraz zestawach funkcji, ponieważ istnieją one w momencie zapisania tego artykułu.These best practices are based on a consensus opinion, and Azure platform capabilities and feature sets, as they exist at the time this article was written. Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł zostanie regularnie zaktualizowany w celu odzwierciedlenia tych zmian.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Używanie silnych kontrolek sieciUse strong network controls

Maszyny wirtualne platformy Azure i urządzenia można połączyć z innymi urządzeniami sieciowymi, umieszczając je w sieciach wirtualnych platformy Azure.You can connect Azure virtual machines (VMs) and appliances to other networked devices by placing them on Azure virtual networks. Oznacza to, że można podłączyć karty interfejsu sieci wirtualnej do sieci wirtualnej, aby umożliwić komunikację opartą na protokole TCP/IP między urządzeniami z obsługą sieci.That is, you can connect virtual network interface cards to a virtual network to allow TCP/IP-based communications between network-enabled devices. Maszyny wirtualne połączone z siecią wirtualną platformy Azure mogą łączyć się z urządzeniami w tej samej sieci wirtualnej, w różnych sieciach wirtualnych, Internecie lub własnych sieciach lokalnych.Virtual machines connected to an Azure virtual network can connect to devices on the same virtual network, different virtual networks, the internet, or your own on-premises networks.

W miarę planowania sieci i bezpieczeństwa sieci zalecamy scentralizowanie:As you plan your network and the security of your network, we recommend that you centralize:

  • Zarządzanie podstawowymi funkcjami sieciowymi, takimi jak ExpressRoute, Sieć wirtualna i obsługa podsieci oraz adresowanie IP.Management of core network functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.
  • Zarządzanie elementami zabezpieczeń sieci, takimi jak ExpressRoute, sieci wirtualnych i aprowizacji podsieci oraz adresowanie IP.Governance of network security elements, such as network virtual appliance functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.

Jeśli używasz wspólnego zestawu narzędzi do zarządzania do monitorowania sieci i bezpieczeństwa sieci, będziesz mieć wyraźny wgląd w oba elementy.If you use a common set of management tools to monitor your network and the security of your network, you get clear visibility into both. Prosta, ujednolicona strategia zabezpieczeń zmniejsza liczbę błędów, ponieważ zwiększa to zrozumienie przez człowieka i niezawodność automatyzacji.A straightforward, unified security strategy reduces errors because it increases human understanding and the reliability of automation.

Logiczne segmenty podsieciLogically segment subnets

Usługi Azure Virtual Networks są podobne do sieci LAN w sieci lokalnej.Azure virtual networks are similar to LANs on your on-premises network. Pomysłem związanym z usługą Azure Virtual Network jest utworzenie sieci na podstawie pojedynczej prywatnej przestrzeni adresowej IP, na której można umieścić wszystkie maszyny wirtualne platformy Azure.The idea behind an Azure virtual network is that you create a network, based on a single private IP address space, on which you can place all your Azure virtual machines. Dostępne przestrzenie prywatnych adresów IP znajdują się w klasie A (10.0.0.0/8), klasie B (172.16.0.0/12) i klasie C (192.168.0.0/16).The private IP address spaces available are in the Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.

Najlepsze rozwiązania dotyczące logicznego segmentacji podsieci obejmują:Best practices for logically segmenting subnets include:

Najlepsze rozwiązanie: Nie przypisuj reguł zezwalania z szeroką liczbą zakresów (na przykład Zezwalaj na 0.0.0.0 – 255.255.255.255).Best practice: Don't assign allow rules with broad ranges (for example, allow 0.0.0.0 through 255.255.255.255).
Szczegóły: Upewnij się, że procedury rozwiązywania problemów uniemożliwiają skonfigurowanie tych typów reguł.Detail: Ensure troubleshooting procedures discourage or ban setting up these types of rules. Te reguły umożliwiają wykonywanie fałszywych luk w zabezpieczeniach i są często wykrywane i wykorzystywane przez czerwone zespoły.These allow rules lead to a false sense of security and are frequently found and exploited by red teams.

Najlepsze rozwiązanie: segmentowanie większej przestrzeni adresowej w podsieciach.Best practice: Segment the larger address space into subnets.
Szczegóły: Aby utworzyć podsieci, użyj zasad podsieci opartych na protokole CIDR.Detail: Use CIDR-based subnetting principles to create your subnets.

Najlepsze rozwiązanie: Tworzenie kontroli dostępu do sieci między podsieciami.Best practice: Create network access controls between subnets. Routing między podsieciami odbywa się automatycznie i nie trzeba ręcznie konfigurować tabel routingu.Routing between subnets happens automatically, and you don't need to manually configure routing tables. Domyślnie nie ma żadnych kontroli dostępu do sieci między podsieciami, które tworzysz w sieci wirtualnej platformy Azure.By default, there are no network access controls between the subnets that you create on an Azure virtual network.
Szczegóły: Użyj sieciowej grupy zabezpieczeń , aby chronić przed niechcianym ruchem w podsieciach platformy Azure.Detail: Use a network security group to protect against unsolicited traffic into Azure subnets. Sieciowe grupy zabezpieczeń są prostymi urządzeniami do inspekcji pakietów stanowych, które wykorzystują podejście 5-krotne (źródłowy adres IP, port źródłowy, docelowy adres IP, port docelowy i protokół warstwy 4) do tworzenia reguł zezwalania/odmowy dla ruchu sieciowego.Network security groups are simple, stateful packet inspection devices that use the 5-tuple approach (source IP, source port, destination IP, destination port, and layer 4 protocol) to create allow/deny rules for network traffic. Zezwalasz na ruch do i z jednego adresu IP do i z wielu adresów IP, a także do i z całych podsieci.You allow or deny traffic to and from a single IP address, to and from multiple IP addresses, or to and from entire subnets.

W przypadku korzystania z sieciowych grup zabezpieczeń do kontroli dostępu do sieci między podsieciami można umieścić zasoby należące do tej samej strefy zabezpieczeń lub roli w ich własnych podsieciach.When you use network security groups for network access control between subnets, you can put resources that belong to the same security zone or role in their own subnets.

Najlepsze rozwiązanie: Unikaj niewielkich sieci wirtualnych i podsieci, aby zapewnić prostotę i elastyczność.Best practice: Avoid small virtual networks and subnets to ensure simplicity and flexibility.
Szczegóły: Większość organizacji dodaje więcej zasobów niż początkowo zaplanowano, a ponowne przydzielanie adresów jest czasochłonne.Detail: Most organizations add more resources than initially planned, and re-allocating addresses is labor intensive. Użycie małych podsieci powoduje dodanie ograniczonej wartości zabezpieczeń, a mapowanie sieciowej grupy zabezpieczeń do każdej podsieci dodaje obciążenie.Using small subnets adds limited security value, and mapping a network security group to each subnet adds overhead. Definiuj podsieci w szerokim stopniu, aby zapewnić elastyczność wzrostu.Define subnets broadly to ensure that you have flexibility for growth.

Najlepsze rozwiązanie: Uprość zarządzanie zasadami grupy zabezpieczeń sieci przez zdefiniowanie grup zabezpieczeń aplikacji.Best practice: Simplify network security group rule management by defining Application Security Groups.
Szczegóły: Zdefiniuj grupę zabezpieczeń aplikacji dla list adresów IP, które mogą ulec zmianie w przyszłości lub które będą używane w wielu sieciowych grupach zabezpieczeń.Detail: Define an Application Security Group for lists of IP addresses that you think might change in the future or be used across many network security groups. Pamiętaj o nazwie grup zabezpieczeń aplikacji jasno, aby inni użytkownicy mogli zrozumieć ich zawartość i przeznaczenie.Be sure to name Application Security Groups clearly so others can understand their content and purpose.

Przyjęcie nierównego podejścia zaufaniaAdopt a Zero Trust approach

Sieci obwodowe działają zgodnie z założeniami, że wszystkie systemy w sieci mogą być zaufane.Perimeter-based networks operate on the assumption that all systems within a network can be trusted. Jednak obecnie pracownicy uzyskują dostęp do zasobów organizacji z dowolnego miejsca na różnych urządzeniach i aplikacjach, co sprawia, że nie ma znaczenia, czy nie są one odpowiednie.But today's employees access their organization's resources from anywhere on a variety of devices and apps, which makes perimeter security controls irrelevant. Zasady kontroli dostępu, które koncentrują się tylko na tym, kto może uzyskać dostęp do zasobu, są niewystarczające.Access control policies that focus only on who can access a resource are not enough. Aby określić równowagę między zabezpieczeniami i produktywnością, administratorzy zabezpieczeń muszą także wziąć pod uwagę sposób uzyskiwania dostępu do zasobu.To master the balance between security and productivity, security admins also need to factor in how a resource is being accessed.

Sieci muszą rozwijać się od tradycyjnych zabezpieczeń, ponieważ sieci mogą być podatne na naruszenia: atakujący może złamać pojedynczy punkt końcowy w ramach zaufanej granicy, a następnie szybko rozwijać przyczółka w całej sieci.Networks need to evolve from traditional defenses because networks might be vulnerable to breaches: an attacker can compromise a single endpoint within the trusted boundary and then quickly expand a foothold across the entire network. Zerowe sieci zaufania eliminują koncepcję zaufania na podstawie lokalizacji sieciowej w obrębie obwodu.Zero Trust networks eliminate the concept of trust based on network location within a perimeter. Zamiast tego nie ma żadnych architektur zaufania użytkowników do uzyskiwania dostępu do bramy do danych i zasobów organizacji.Instead, Zero Trust architectures use device and user trust claims to gate access to organizational data and resources. W przypadku nowych inicjatyw należy wdrożyć zero podejścia zaufania, które sprawdzają poprawność zaufania w momencie dostępu.For new initiatives, adopt Zero Trust approaches that validate trust at the time of access.

Najlepsze rozwiązania:Best practices are:

Najlepsze rozwiązanie: zapewnianie warunkowego dostępu do zasobów na podstawie urządzenia, tożsamości, gwarancji, lokalizacji sieciowej i nie tylko.Best practice: Give Conditional Access to resources based on device, identity, assurance, network location, and more.
Szczegóły: dostęp warunkowy usługi Azure AD umożliwia stosowanie odpowiednich kontroli dostępu, implementując automatyczne decyzje dotyczące kontroli dostępu w zależności od wymaganych warunków.Detail: Azure AD Conditional Access lets you apply the right access controls by implementing automated access control decisions based on the required conditions. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do usługi Azure Management przy użyciu dostępu warunkowego.For more information, see Manage access to Azure management with Conditional Access.

Najlepsze rozwiązanie: Włącz dostęp do portów tylko po zatwierdzeniu przepływu pracy.Best practice: Enable port access only after workflow approval.
Szczegóły: można użyć dostępu just in Time do maszyny wirtualnej w Azure Security Center do blokowania ruchu przychodzącego na maszynach wirtualnych platformy Azure, co pozwala ograniczyć narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby.Detail: You can use just-in-time VM access in Azure Security Center to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Najlepsze rozwiązanie: Przyznawanie uprawnień tymczasowych do wykonywania uprzywilejowanych zadań, co uniemożliwia złośliwym lub nieautoryzowanym użytkownikom uzyskanie dostępu po wygaśnięciu uprawnień.Best practice: Grant temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. Dostęp jest udzielany tylko wtedy, gdy użytkownicy go potrzebują.Access is granted only when users need it.
Szczegóły: Użyj dostępu just in time w Azure AD Privileged Identity Management lub rozwiązania innej firmy, aby przyznać uprawnienia do wykonywania uprzywilejowanych zadań.Detail: Use just-in-time access in Azure AD Privileged Identity Management or in a third-party solution to grant permissions to perform privileged tasks.

Zaufanie równe zeru to kolejna ewolucja w zabezpieczeniach sieci.Zero Trust is the next evolution in network security. Stan cyberattacks umożliwia organizacjom podejmowanie "założenie naruszenia" sposób myślenia, ale takie podejście nie powinno mieć ograniczenia.The state of cyberattacks drives organizations to take the "assume breach" mindset, but this approach shouldn't be limiting. Zerowe sieci zaufania chronią dane i zasoby firmowe, zapewniając, że organizacje mogą tworzyć nowoczesne miejsce pracy przy użyciu technologii, które umożliwiają pracownikom wydajne zwiększenie produktywności w dowolnym miejscu i czasie.Zero Trust networks protect corporate data and resources while ensuring that organizations can build a modern workplace by using technologies that empower employees to be productive anytime, anywhere, in any way.

Sterowanie zachowaniem routinguControl routing behavior

Po umieszczeniu maszyny wirtualnej w sieci wirtualnej platformy Azure maszyna wirtualna może połączyć się z dowolną inną MASZYNą wirtualną w tej samej sieci wirtualnej, nawet jeśli inne maszyny wirtualne znajdują się w różnych podsieciach.When you put a virtual machine on an Azure virtual network, the VM can connect to any other VM on the same virtual network, even if the other VMs are on different subnets. Jest to możliwe, ponieważ kolekcja tras systemowych włączona domyślnie zezwala na ten typ komunikacji.This is possible because a collection of system routes enabled by default allows this type of communication. Te trasy domyślne umożliwiają maszynom wirtualnym w tej samej sieci wirtualnej Inicjowanie połączeń ze sobą i z Internetem (tylko w przypadku komunikacji wychodzącej tylko do Internetu).These default routes allow VMs on the same virtual network to initiate connections with each other, and with the internet (for outbound communications to the internet only).

Mimo że domyślne trasy systemowe są przydatne w wielu scenariuszach wdrażania, istnieją przypadki, w których chcesz dostosować konfigurację routingu dla wdrożeń.Although the default system routes are useful for many deployment scenarios, there are times when you want to customize the routing configuration for your deployments. Adres następnego przeskoku można skonfigurować w celu uzyskania dostępu do określonych miejsc docelowych.You can configure the next-hop address to reach specific destinations.

Zaleca się skonfigurowanie tras zdefiniowanych przez użytkownika podczas wdrażania urządzenia zabezpieczeń dla sieci wirtualnej.We recommend that you configure user-defined routes when you deploy a security appliance for a virtual network. Porozmawiamy z tym w dalszej części zatytułowanej Zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych.We talk about this in a later section titled secure your critical Azure service resources to only your virtual networks.

Uwaga

Trasy zdefiniowane przez użytkownika nie są wymagane, a domyślne trasy systemowe są zwykle wykonywane.User-defined routes are not required, and the default system routes usually work.

Korzystanie z urządzeń sieci wirtualnejUse virtual network appliances

Sieciowe grupy zabezpieczeń i Routing zdefiniowany przez użytkownika mogą zapewnić pewną miarę bezpieczeństwa sieci w warstwach sieci i transportu modelu osi.Network security groups and user-defined routing can provide a certain measure of network security at the network and transport layers of the OSI model. Jednak w niektórych sytuacjach trzeba lub trzeba włączyć zabezpieczenia na wysokim poziomie stosu.But in some situations, you want or need to enable security at high levels of the stack. W takich sytuacjach zalecamy wdrożenie urządzeń zabezpieczeń sieci wirtualnej udostępnianych przez partnerów platformy Azure.In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

Urządzenia zabezpieczeń sieci platformy Azure mogą zapewniać lepsze zabezpieczenia niż zapewniane przez formanty na poziomie sieci.Azure network security appliances can deliver better security than what network-level controls provide. Możliwości zabezpieczeń sieci urządzeń zabezpieczeń sieci wirtualnej obejmują:Network security capabilities of virtual network security appliances include:

  • ZaporęFirewalling
  • Wykrywanie włamania/Zapobieganie włamaniomIntrusion detection/intrusion prevention
  • Zarządzanie lukami w zabezpieczeniachVulnerability management
  • Sterowanie aplikacjamiApplication control
  • Wykrywanie anomalii oparte na sieciNetwork-based anomaly detection
  • Filtrowanie sieci webWeb filtering
  • Oprogramowanie antywirusoweAntivirus
  • Ochrona botnetBotnet protection

Aby znaleźć dostępne urządzenia zabezpieczeń sieci wirtualnej platformy Azure, przejdź do witryny Azure Marketplace i wyszukaj ciąg "zabezpieczenia" oraz "zabezpieczenia sieci".To find available Azure virtual network security appliances, go to the Azure Marketplace and search for "security" and "network security."

Wdrażanie sieci obwodowych pod kątem stref zabezpieczeńDeploy perimeter networks for security zones

Sieć obwodowa (nazywana również strefą DMZ) jest segmentem sieci fizycznej lub logicznej, który zapewnia dodatkową warstwę zabezpieczeń między zasobami i Internetem.A perimeter network (also known as a DMZ) is a physical or logical network segment that provides an additional layer of security between your assets and the internet. Wyspecjalizowane urządzenia kontroli dostępu do sieci na granicy sieci obwodowej zezwalają tylko na żądany ruch do sieci wirtualnej.Specialized network access control devices on the edge of a perimeter network allow only desired traffic into your virtual network.

Sieci obwodowe są przydatne, ponieważ możesz skoncentrować się na zarządzaniu, monitorowaniu, rejestrowaniu i raportowaniu kontroli dostępu do sieci na urządzeniach na granicy sieci wirtualnej platformy Azure.Perimeter networks are useful because you can focus your network access control management, monitoring, logging, and reporting on the devices at the edge of your Azure virtual network. Sieć obwodowa polega na tym, że zwykle włączane jest zapobieganie atakom typu "odmowa usługi" (DDoS), Wykrywanie intruzów/systemy zapobiegania włamaniom (identyfikatory/adresy IP), reguły i zasady zapory, filtrowanie sieci Web, ochrona przed złośliwym oprogramowaniem w sieci i wiele innych.A perimeter network is where you typically enable distributed denial of service (DDoS) prevention, intrusion detection/intrusion prevention systems (IDS/IPS), firewall rules and policies, web filtering, network antimalware, and more. Urządzenia zabezpieczeń sieci są dostępne między Internetem a siecią wirtualną platformy Azure i mają interfejs w obu sieciach.The network security devices sit between the internet and your Azure virtual network and have an interface on both networks.

Chociaż jest to podstawowy projekt sieci obwodowej, istnieje wiele różnych projektów, takich jak back-to-back, Tri-Home i wieloadresowe.Although this is the basic design of a perimeter network, there are many different designs, like back-to-back, tri-homed, and multi-homed.

Na podstawie wymienionej wcześniej koncepcji zaufania należy rozważyć użycie sieci obwodowej do wszystkich wdrożeń o wysokim poziomie zabezpieczeń, aby zwiększyć poziom bezpieczeństwa sieci i kontroli dostępu do zasobów platformy Azure.Based on the Zero Trust concept mentioned earlier, we recommend that you consider using a perimeter network for all high security deployments to enhance the level of network security and access control for your Azure resources. Możesz użyć platformy Azure lub rozwiązania innej firmy, aby zapewnić dodatkową warstwę zabezpieczeń między zasobami i Internetem:You can use Azure or a third-party solution to provide an additional layer of security between your assets and the internet:

  • Natywne formanty platformy Azure.Azure native controls. Zapora platformy Azure i Zapora aplikacji sieci web w programie Application Gateway oferują podstawowe zabezpieczenia za pomocą w pełni bezstanowej zapory jako usługi, wbudowanej wysokiej dostępności, nieograniczonej skalowalności chmury, filtrowania nazw FQDN, obsługi zestawów reguł OWASP Core oraz prostej instalacji i konfiguracji.Azure Firewall and the web application firewall in Application Gateway offer basic security with a fully stateful firewall as a service, built-in high availability, unrestricted cloud scalability, FQDN filtering, support for OWASP core rule sets, and simple setup and configuration.
  • Oferty innych firm.Third-party offerings. Wyszukaj w witrynie Azure Marketplace usługę Zapora nowej generacji (zapory następnej generacji) i inne oferty innych firm, które zapewniają znane narzędzia zabezpieczające oraz znacznie ulepszone poziomy zabezpieczeń sieci.Search the Azure Marketplace for next-generation firewall (NGFW) and other third-party offerings that provide familiar security tools and significantly enhanced levels of network security. Konfiguracja może być bardziej złożona, ale oferta innej firmy może umożliwić korzystanie z istniejących możliwości i umiejętności.Configuration might be more complex, but a third-party offering might allow you to use existing capabilities and skillsets.

W wielu organizacjach została wybrana hybrydowa trasa IT.Many organizations have chosen the hybrid IT route. Dzięki hybrydowej IT niektóre z zasobów informacyjnych firmy znajdują się na platformie Azure, a inne pozostają w środowisku lokalnym.With hybrid IT, some of the company's information assets are in Azure, and others remain on-premises. W wielu przypadkach niektóre składniki usługi działają na platformie Azure, podczas gdy inne składniki pozostają w środowisku lokalnym.In many cases, some components of a service are running in Azure while other components remain on-premises.

W hybrydowym scenariuszu IT zwykle jest kilka typów łączności między lokalizacjami.In a hybrid IT scenario, there is usually some type of cross-premises connectivity. Łączność między lokalizacjami pozwala firmie na łączenie sieci lokalnych z sieciami wirtualnymi platformy Azure.Cross-premises connectivity allows the company to connect its on-premises networks to Azure virtual networks. Dostępne są dwa rozwiązania łączności obejmującej wiele lokalizacji:Two cross-premises connectivity solutions are available:

  • Sieć VPN typu lokacja-lokacja.Site-to-site VPN. Jest to zaufana, niezawodna i ustanowiona technologia, ale połączenie odbywa się za pośrednictwem Internetu.It's a trusted, reliable, and established technology, but the connection takes place over the internet. Przepustowość jest ograniczona do maksymalnie 1,25 GB/s.Bandwidth is constrained to a maximum of about 1.25 Gbps. Sieci VPN typu lokacja-lokacja jest pożądaną opcją w niektórych scenariuszach.Site-to-site VPN is a desirable option in some scenarios.
  • Azure ExpressRoute.Azure ExpressRoute. Zalecamy używanie ExpressRoute do połączeń obejmujących wiele lokalizacji.We recommend that you use ExpressRoute for your cross-premises connectivity. Usługa ExpressRoute umożliwia rozszerzanie sieci lokalnych na chmurę Microsoft za pośrednictwem połączenia prywatnego obsługiwanego przez dostawcę połączenia.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Dzięki usłudze ExpressRoute możesz nawiązywać połączenia z usługami w chmurze firmy Microsoft, takimi jak Azure, Office 365 i Dynamics 365.With ExpressRoute, you can establish connections to Microsoft cloud services like Azure, Office 365, and Dynamics 365. ExpressRoute to dedykowany link sieci WAN między lokalizacją lokalną lub dostawcą hostingu programu Microsoft Exchange.ExpressRoute is a dedicated WAN link between your on-premises location or a Microsoft Exchange hosting provider. Ponieważ jest to połączenie odpływ, dane nie podróżują przez Internet, więc nie są narażone na potencjalne ryzyko związane z komunikacją internetową.Because this is a telco connection, your data doesn't travel over the internet, so it isn't exposed to the potential risks of internet communications.

Lokalizacja połączenia usługi ExpressRoute może wpłynąć na wydajność zapory, skalowalność, niezawodność i widoczność ruchu sieciowego.The location of your ExpressRoute connection can affect firewall capacity, scalability, reliability, and network traffic visibility. Należy określić, gdzie należy zakończyć ExpressRoute w istniejących sieciach (lokalnych).You'll need to identify where to terminate ExpressRoute in existing (on-premises) networks. Można:You can:

  • Zakończ poza zaporą (model sieci obwodowej), jeśli potrzebujesz wglądu w ruch, jeśli chcesz kontynuować istniejącą sprawność izolowania centrów danych, lub jeśli nie masz wyłącznie zasobów ekstranetu na platformie Azure.Terminate outside the firewall (the perimeter network paradigm) if you require visibility into the traffic, if you need to continue an existing practice of isolating datacenters, or if you're solely putting extranet resources on Azure.
  • Przerwij wewnątrz zapory (model rozszerzenia sieci).Terminate inside the firewall (the network extension paradigm). Jest to domyślne zalecenie.This is the default recommendation. We wszystkich innych przypadkach zalecamy traktowanie platformy Azure jako n-ty centrum danych.In all other cases, we recommend treating Azure as an nth datacenter.

Optymalizowanie czasu przestoju i wydajnościOptimize uptime and performance

Jeśli usługa nie działa, nie można uzyskać dostępu do informacji.If a service is down, information can't be accessed. Jeśli wydajność jest tak niska, że dane są bezużyteczne, możesz uznać, że dane będą niedostępne.If performance is so poor that the data is unusable, you can consider the data to be inaccessible. Z punktu widzenia zabezpieczeń należy się upewnić, że usługi mają optymalny czas pracy i wydajność.From a security perspective, you need to do whatever you can to make sure that your services have optimal uptime and performance.

Popularną i efektywną metodą zwiększenia dostępności i wydajności jest równoważenie obciążenia.A popular and effective method for enhancing availability and performance is load balancing. Równoważenie obciążenia to metoda dystrybucji ruchu sieciowego między serwerami, które są częścią usługi.Load balancing is a method of distributing network traffic across servers that are part of a service. Na przykład w przypadku serwerów frontonu sieci Web w ramach usługi można użyć równoważenia obciążenia do dystrybucji ruchu na wielu serwerach frontonu sieci Web.For example, if you have front-end web servers as part of your service, you can use load balancing to distribute the traffic across your multiple front-end web servers.

Ta dystrybucja ruchu zwiększa dostępność, ponieważ w przypadku niedostępności jednego z serwerów sieci Web moduł równoważenia obciążenia przestaje wysyłać ruch do tego serwera i przekierowuje go do serwerów, które są nadal w trybie online.This distribution of traffic increases availability because if one of the web servers becomes unavailable, the load balancer stops sending traffic to that server and redirects it to the servers that are still online. Równoważenie obciążenia pomaga również w wydajności, ponieważ obciążenie procesora, sieci i pamięci dla obsługi żądań jest dystrybuowane na wszystkich serwerach z równoważeniem obciążenia.Load balancing also helps performance, because the processor, network, and memory overhead for serving requests is distributed across all the load-balanced servers.

Zalecamy stosowanie równoważenia obciążenia zawsze, gdy tylko jest to możliwe, i zgodnie z potrzebami usług.We recommend that you employ load balancing whenever you can, and as appropriate for your services. Poniżej znajdują się scenariusze zarówno na poziomie sieci wirtualnej platformy Azure, jak i na poziomie globalnym, a także opcje równoważenia obciążenia dla każdego z nich.Following are scenarios at both the Azure virtual network level and the global level, along with load-balancing options for each.

Scenariusz: masz aplikację, która:Scenario: You have an application that:

  • Wymaga żądań z tego samego użytkownika/sesji klienta, aby uzyskać dostęp do tej samej maszyny wirtualnej zaplecza.Requires requests from the same user/client session to reach the same back-end virtual machine. Przykładami są aplikacje koszyka zakupów i serwery poczty sieci Web.Examples of this are shopping cart apps and web mail servers.
  • Akceptuje tylko bezpieczne połączenie, dlatego nie jest to akceptowalna opcja komunikacji nieszyfrowanej z serwerem.Accepts only a secure connection, so unencrypted communication to the server is not an acceptable option.
  • Wymaga wielu żądań HTTP w ramach tego samego długotrwałego połączenia TCP do kierowania lub równoważenia obciążenia do różnych serwerów zaplecza.Requires multiple HTTP requests on the same long-running TCP connection to be routed or load balanced to different back-end servers.

Opcja równoważenia obciążenia: Użyj usługi Azure Application Gateway, modułu równoważenia obciążenia sieci Web http.Load-balancing option: Use Azure Application Gateway, an HTTP web traffic load balancer. Application Gateway obsługuje kompleksowe szyfrowanie protokołu TLS i zakończenie protokołu TLS na bramie.Application Gateway supports end-to-end TLS encryption and TLS termination at the gateway. Serwery sieci Web mogą być następnie wycofywane z obciążeń szyfrowania i odszyfrowywania, a ruch przepływający z niezaszyfrowanych serwerów zaplecza.Web servers can then be unburdened from encryption and decryption overhead and traffic flowing unencrypted to the back-end servers.

Scenariusz: należy równoważyć obciążenie połączeń przychodzących z Internetu między serwerami znajdującymi się w sieci wirtualnej platformy Azure.Scenario: You need to load balance incoming connections from the internet among your servers located in an Azure virtual network. Scenariusze są następujące:Scenarios are when you:

  • Aplikacje bezstanowe, które akceptują żądania przychodzące z Internetu.Have stateless applications that accept incoming requests from the internet.
  • Nie wymagaj sesji programu Sticky lub odciążania TLS.Don't require sticky sessions or TLS offload. Sesje usługi Sticky Notes to metoda używana z równoważeniem obciążenia aplikacji w celu osiągnięcia koligacji serwera.Sticky sessions is a method used with Application Load Balancing, to achieve server-affinity.

Opcja równoważenia obciążenia: Użyj Azure Portal, aby utworzyć zewnętrzny moduł równoważenia obciążenia , który rozkłada przychodzące żądania na wiele maszyn wirtualnych, aby zapewnić wyższy poziom dostępności.Load-balancing option: Use the Azure portal to create an external load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Scenariusz: należy zrównoważyć obciążenie z maszyn wirtualnych, które nie znajdują się w Internecie.Scenario: You need to load balance connections from VMs that are not on the internet. W większości przypadków połączenia akceptowane na potrzeby równoważenia obciążenia są inicjowane przez urządzenia w sieci wirtualnej platformy Azure, takie jak wystąpienia SQL Server lub wewnętrzne serwery sieci Web.In most cases, the connections that are accepted for load balancing are initiated by devices on an Azure virtual network, such as SQL Server instances or internal web servers.
Opcja równoważenia obciążenia: Użyj Azure Portal, aby utworzyć wewnętrzny moduł równoważenia obciążenia , który rozprasza przychodzące żądania na wielu maszynach wirtualnych w celu zapewnienia wyższego poziomu dostępności.Load-balancing option: Use the Azure portal to create an internal load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Scenariusz: wymagane jest globalne Równoważenie obciążenia, ponieważ:Scenario: You need global load balancing because you:

  • Rozwiązanie w chmurze, które jest szeroko dystrybuowane w wielu regionach i wymaga najwyższego poziomu czasu pracy.Have a cloud solution that is widely distributed across multiple regions and requires the highest level of uptime (availability) possible.
  • Konieczny jest najwyższy możliwy stopień przestoju, aby upewnić się, że usługa jest dostępna, nawet jeśli całe centrum danych przestanie być dostępne.Need the highest level of uptime possible to make sure that your service is available even if an entire datacenter becomes unavailable.

Opcja równoważenia obciążenia: Użyj usługi Azure Traffic Manager.Load-balancing option: Use Azure Traffic Manager. Traffic Manager umożliwia Równoważenie obciążenia połączeń z usługami na podstawie lokalizacji użytkownika.Traffic Manager makes it possible to load balance connections to your services based on the location of the user.

Na przykład jeśli użytkownik wysyła żądanie do usługi z UE, połączenie jest kierowane do usług znajdujących się w centrum danych w Unii Europejskiej.For example, if the user makes a request to your service from the EU, the connection is directed to your services located in an EU datacenter. Ta część Traffic Manager globalnego równoważenia obciążenia pomaga zwiększyć wydajność, ponieważ połączenie z najbliższym centrum danych jest szybsze niż łączenie z centrami danych, które są daleko od siebie.This part of Traffic Manager global load balancing helps to improve performance because connecting to the nearest datacenter is faster than connecting to datacenters that are far away.

Wyłącz dostęp RDP/SSH do maszyn wirtualnychDisable RDP/SSH Access to virtual machines

Można nawiązać połączenie z maszynami wirtualnymi platformy Azure przy użyciu protokołu Remote Desktop Protocol (RDP) i Secure Shell (SSH).It's possible to reach Azure virtual machines by using Remote Desktop Protocol (RDP) and the Secure Shell (SSH) protocol. Protokoły te umożliwiają zarządzanie maszynami wirtualnymi z lokalizacji zdalnych i są używane jako standard w centrach danych.These protocols enable the management VMs from remote locations and are standard in datacenter computing.

Potencjalny problem z zabezpieczeniami związany z korzystaniem z tych protokołów przez Internet polega na tym, że atakujący mogą korzystać z technik bezprawnego, aby uzyskać dostęp do usługi Azure Virtual Machines.The potential security problem with using these protocols over the internet is that attackers can use brute force techniques to gain access to Azure virtual machines. Po uzyskaniu dostępu atakujący mogą korzystać z maszyny wirtualnej jako punktu uruchamiania w celu naruszenia zabezpieczeń innych maszyn w sieci wirtualnej, a nawet zaatakowania urządzeń sieciowych poza platformą Azure.After the attackers gain access, they can use your VM as a launch point for compromising other machines on your virtual network or even attack networked devices outside Azure.

Zalecamy wyłączenie bezpośredniego dostępu RDP i SSH do maszyn wirtualnych platformy Azure z Internetu.We recommend that you disable direct RDP and SSH access to your Azure virtual machines from the internet. Po wyłączeniu bezpośredniego dostępu do protokołu RDP i SSH z Internetu dostępne są inne opcje umożliwiające dostęp do tych maszyn wirtualnych na potrzeby zdalnego zarządzania.After direct RDP and SSH access from the internet is disabled, you have other options that you can use to access these VMs for remote management.

Scenariusz: umożliwia jednemu użytkownikowi łączenie się z siecią wirtualną platformy Azure za pośrednictwem Internetu.Scenario: Enable a single user to connect to an Azure virtual network over the internet.
Opcja: Sieć VPN typu punkt-lokacja jest kolejnym terminem dla połączenia klienta/serwera dostępu zdalnego VPN.Option: Point-to-site VPN is another term for a remote access VPN client/server connection. Po nawiązaniu połączenia punkt-lokacja użytkownik może używać protokołu RDP lub SSH do łączenia się z maszynami wirtualnymi znajdującymi się w sieci wirtualnej platformy Azure, z którymi użytkownik nawiązał połączenie za pośrednictwem sieci VPN typu punkt-lokacja.After the point-to-site connection is established, the user can use RDP or SSH to connect to any VMs located on the Azure virtual network that the user connected to via point-to-site VPN. Przyjęto założenie, że użytkownik jest autoryzowany do uzyskiwania dostępu do tych maszyn wirtualnych.This assumes that the user is authorized to reach those VMs.

Sieć VPN typu punkt-lokacja jest bezpieczniejsza niż bezpośrednie połączenia RDP lub SSH, ponieważ użytkownik musi uwierzytelnić się dwa razy przed nawiązaniem połączenia z maszyną wirtualną.Point-to-site VPN is more secure than direct RDP or SSH connections because the user has to authenticate twice before connecting to a VM. Najpierw użytkownik musi uwierzytelnić się (i być autoryzowany) w celu ustanowienia połączenia sieci VPN typu punkt-lokacja.First, the user needs to authenticate (and be authorized) to establish the point-to-site VPN connection. Następnie użytkownik musi uwierzytelnić się (i być autoryzowany) w celu nawiązania połączenia RDP lub SSH.Second, the user needs to authenticate (and be authorized) to establish the RDP or SSH session.

Scenariusz: Umożliwianie użytkownikom w sieci lokalnej łączenie się z maszynami wirtualnymi w sieci wirtualnej platformy Azure.Scenario: Enable users on your on-premises network to connect to VMs on your Azure virtual network.
Opcja: Sieć VPN typu lokacja-lokacja łączy całą sieć z inną siecią za pośrednictwem Internetu.Option: A site-to-site VPN connects an entire network to another network over the internet. Sieci VPN typu lokacja-lokacja można użyć, aby połączyć sieć lokalną z siecią wirtualną platformy Azure.You can use a site-to-site VPN to connect your on-premises network to an Azure virtual network. Użytkownicy lokalnej sieci nawiązują połączenie za pomocą protokołu RDP lub SSH za pośrednictwem połączenia sieci VPN typu lokacja-lokacja.Users on your on-premises network connect by using the RDP or SSH protocol over the site-to-site VPN connection. Nie trzeba zezwalać na bezpośredni dostęp do protokołu RDP lub SSH przez Internet.You don't have to allow direct RDP or SSH access over the internet.

Scenariusz: Użyj dedykowanego LINKu WAN, aby zapewnić funkcjonalność podobną do sieci VPN typu lokacja-lokacja.Scenario: Use a dedicated WAN link to provide functionality similar to the site-to-site VPN.
Opcja: Użyj ExpressRoute.Option: Use ExpressRoute. Zapewnia funkcjonalność podobną do sieci VPN typu lokacja-lokacja.It provides functionality similar to the site-to-site VPN. Główne różnice to:The main differences are:

  • Dedykowany link WAN nie przechodzi przez Internet.The dedicated WAN link doesn't traverse the internet.
  • Dedykowane linki WAN są zwykle bardziej stabilne i bardziej wydajne.Dedicated WAN links are typically more stable and perform better.

Zabezpiecz najważniejsze zasoby usługi platformy Azure tylko do sieci wirtualnychSecure your critical Azure service resources to only your virtual networks

Za pomocą punktów końcowych usługi sieci wirtualnej można zwiększyć prywatną przestrzeń adresową sieci wirtualnej i tożsamość sieci wirtualnej do usług platformy Azure za pośrednictwem bezpośredniego połączenia.Use virtual network service endpoints to extend your virtual network private address space, and the identity of your virtual network to the Azure services, over a direct connection. Punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Ruch z sieci wirtualnej do usługi platformy Azure zawsze pozostaje w sieci szkieletowej Microsoft Azure.Traffic from your virtual network to the Azure service always remains on the Microsoft Azure backbone network.

Punkty końcowe usługi oferują następujące korzyści:Service endpoints provide the following benefits:

  • Lepsze zabezpieczenia zasobów usługi platformy Azure: dzięki punktom końcowym zasoby usługi platformy Azure mogą być chronione w sieci wirtualnej.Improved security for your Azure service resources: With service endpoints, Azure service resources can be secured to your virtual network. Zabezpieczenie zasobów usługi w sieci wirtualnej zapewnia większe bezpieczeństwo dzięki całkowitemu uniemożliwieniu dostępu do tych zasobów z publicznego Internetu i zezwolenie na ruch tylko z Twojej sieci wirtualnej.Securing service resources to a virtual network provides improved security by fully removing public internet access to resources, and allowing traffic only from your virtual network.

  • Optymalny Routing ruchu usługi platformy Azure z sieci wirtualnej: wszystkie trasy w sieci wirtualnej, które wymuszają ruch internetowy do urządzeń lokalnych i/lub wirtualnych, znane jako Wymuszone tunelowanie, wymuszają również ruch usługi platformy Azure w taki sam sposób jak ruch internetowy.Optimal routing for Azure service traffic from your virtual network: Any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances, known as forced tunneling, also force Azure service traffic to take the same route as the internet traffic. Punkty końcowe usługi zapewniają optymalny routing ruchu platformy Azure.Service endpoints provide optimal routing for Azure traffic.

    Punkty końcowe zawsze pobierają ruch bezpośrednio z sieci wirtualnej do usługi w sieci szkieletowej platformy Azure.Endpoints always take service traffic directly from your virtual network to the service on the Azure backbone network. Utrzymywanie ruchu w sieci szkieletowej platformy Azure umożliwia kontynuowanie inspekcji i monitorowania wychodzącego ruchu internetowego z sieci wirtualnych za pośrednictwem tunelowania wymuszonego bez wpływu na ruch usługi.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound internet traffic from your virtual networks, through forced tunneling, without affecting service traffic. Dowiedz się więcej na temat tras zdefiniowanych przez użytkownika i wymuszonego tunelowania.Learn more about user-defined routes and forced tunneling.

  • Prosta konfiguracja z mniejszym obciążeniem zarządzania: nie potrzebujesz już zarezerwowanych publicznych adresów IP w sieciach wirtualnych, aby zabezpieczyć zasoby platformy Azure za pomocą zapory IP.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through an IP firewall. Do skonfigurowania punktów końcowych usługi nie jest wymagany translator adresów sieciowych ani urządzenie bramy.There are no NAT or gateway devices required to set up the service endpoints. Punkty końcowe usługi można skonfigurować za pomocą prostego kliknięcia w podsieci.Service endpoints are configured through a simple click on a subnet. Obsługa punktów końcowych nie wiąże się z dodatkowymi kosztami.There is no additional overhead to maintain the endpoints.

Aby dowiedzieć się więcej o punktach końcowych usług oraz usługach i regionach platformy Azure, dla których są dostępne punkty końcowe usługi, zobacz punkty końcowe usługi sieci wirtualnej.To learn more about service endpoints and the Azure services and regions that service endpoints are available for, see Virtual network service endpoints.

Następne krokiNext steps

Zobacz najlepsze rozwiązania i wzorce dotyczące zabezpieczeń platformy Azure , aby uzyskać więcej najlepszych rozwiązań w zakresie zabezpieczeń, które są używane podczas projektowania i wdrażania rozwiązań w chmurze oraz zarządzania nimi przy użyciu platformy Azure.See Azure security best practices and patterns for more security best practices to use when you're designing, deploying, and managing your cloud solutions by using Azure.