Omówienie zabezpieczeń sieci platformy Azure

Zabezpieczenia sieci można zdefiniować jako proces ochrony zasobów przed nieautoryzowanym dostępem lub atakiem przez zastosowanie kontroli do ruchu sieciowego. Celem jest zapewnienie, że dozwolony jest tylko legalny ruch. Platforma Azure oferuje niezawodną infrastrukturę sieciową do obsługi wymagań dotyczących łączności aplikacji i usług. Łączność sieciowa jest możliwa między zasobami znajdującymi się na platformie Azure, między zasobami lokalnymi i hostowanymi na platformie Azure oraz z Internetu i z platformy Azure.

W tym artykule opisano niektóre opcje, które platforma Azure oferuje w obszarze zabezpieczeń sieci. Możesz dowiedzieć się więcej o:

• Sieć platformy Azure
• Kontrola dostępu do sieci
• Azure Firewall
• Bezpieczny dostęp zdalny i łączność między lokalizacjami
• Dostępność
• Rozpoznawanie nazw
• Architektura sieci obwodowej (DMZ)
• Azure DDoS Protection
• Azure Front Door
• Usługa Traffic Manager
• Monitorowanie i wykrywanie zagrożeń

Uwaga

W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest wdrożenie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci.

Sieć platformy Azure

Platforma Azure wymaga połączenia maszyn wirtualnych z usługą Azure Virtual Network. Sieć wirtualna to konstrukcja logiczna oparta na fizycznej sieci szkieletowej sieci platformy Azure. Każda sieć wirtualna jest odizolowana od wszystkich innych sieci wirtualnych. Dzięki temu ruch sieciowy we wdrożeniach nie jest dostępny dla innych klientów platformy Azure.

Więcej informacji:

• Omówienie sieci wirtualnej

Kontrola dostępu do sieci

Kontrola dostępu do sieci to czynność ograniczania łączności z określonymi urządzeniami lub podsieciami w sieci wirtualnej. Celem kontroli dostępu do sieci jest ograniczenie dostępu do maszyn wirtualnych i usług zatwierdzonych użytkowników i urządzeń. Mechanizmy kontroli dostępu są oparte na decyzjach dotyczących zezwalania lub odmowy połączeń z maszyną wirtualną lub usługą.

Platforma Azure obsługuje kilka typów kontroli dostępu do sieci, takich jak:

• Kontrola warstwy sieciowej
• Sterowanie trasami i wymuszone tunelowanie
• Wirtualne urządzenia zabezpieczeń sieci

Kontrola warstwy sieciowej

Każde bezpieczne wdrożenie wymaga pewnej miary kontroli dostępu do sieci. Celem kontroli dostępu do sieci jest ograniczenie komunikacji maszyny wirtualnej do niezbędnych systemów. Inne próby komunikacji są blokowane.

Uwaga

Zapory magazynu zostały omówione w artykule Omówienie zabezpieczeń usługi Azure Storage

Reguły zabezpieczeń sieci (NSG)

Jeśli potrzebujesz podstawowej kontroli dostępu na poziomie sieci (na podstawie adresu IP i protokołów TCP lub UDP), możesz użyć sieciowych grup zabezpieczeń. Sieciowa grupa zabezpieczeń to podstawowa, stanowa, filtrowanie pakietów zapora i umożliwia kontrolowanie dostępu na podstawie krotki 5-krotki. Sieciowe grupy zabezpieczeń obejmują funkcje upraszczające zarządzanie i zmniejszające szanse na błędy konfiguracji:

• Rozszerzone reguły zabezpieczeń upraszczają definicję reguł sieciowej grupy zabezpieczeń i umożliwiają tworzenie złożonych reguł zamiast tworzenia wielu prostych reguł w celu uzyskania tego samego wyniku.
• Tagi usług to etykiety tworzone przez firmę Microsoft reprezentujące grupę adresów IP. Są one aktualizowane dynamicznie w celu uwzględnienia zakresów adresów IP spełniających warunki definiujące dołączenie do etykiety. Jeśli na przykład chcesz utworzyć regułę, która ma zastosowanie do całej usługi Azure Storage w regionie wschodnim, możesz użyć polecenia Storage.EastUS
• Grupy zabezpieczeń aplikacji umożliwiają wdrażanie zasobów w grupach aplikacji i kontrolowanie dostępu do tych zasobów przez tworzenie reguł korzystających z tych grup aplikacji. Jeśli na przykład masz serwery internetowe wdrożone w grupie aplikacji "Serwery internetowe", możesz utworzyć regułę, która stosuje sieciową grupę zabezpieczeń zezwalającą na ruch 443 z Internetu do wszystkich systemów w grupie aplikacji "Serwery internetowe".

Sieciowe grupy zabezpieczeń nie zapewniają inspekcji warstwy aplikacji ani uwierzytelnionych kontroli dostępu.

Więcej informacji:

• Grupy zabezpieczeń sieci

Dostęp just in time do maszyny wirtualnej w usłudze Defender for Cloud

Microsoft Defender for Cloud może zarządzać sieciowymi grupami zabezpieczeń na maszynach wirtualnych i blokować dostęp do maszyny wirtualnej, dopóki użytkownik z odpowiednią kontrolą dostępu opartą na rolach na platformie Azure nie zażąda dostępu. Gdy użytkownik pomyślnie autoryzuje usługę Defender for Cloud, wprowadza modyfikacje sieciowych grup zabezpieczeń, aby zezwolić na dostęp do wybranych portów przez określony czas. Po wygaśnięciu czasu sieciowe grupy zabezpieczeń zostaną przywrócone do poprzedniego stanu zabezpieczonego.

Więcej informacji:

• Microsoft Defender dla dostępu just in time w chmurze

Punkty końcowe usługi

Punkty końcowe usługi to inny sposób stosowania kontroli nad ruchem. Komunikację z obsługiwanymi usługami można ograniczyć tylko do sieci wirtualnych za pośrednictwem połączenia bezpośredniego. Ruch z sieci wirtualnej do określonej usługi platformy Azure pozostaje w sieci szkieletowej platformy Microsoft Azure.

Więcej informacji:

• Punkty końcowe usługi

Sterowanie trasami i wymuszone tunelowanie

Możliwość kontrolowania zachowania routingu w sieciach wirtualnych ma kluczowe znaczenie. Jeśli routing jest niepoprawnie skonfigurowany, aplikacje i usługi hostowane na maszynie wirtualnej mogą łączyć się z nieautoryzowanymi urządzeniami, w tym systemami należącymi do potencjalnych osób atakujących i obsługiwanymi przez nich.

Sieć platformy Azure obsługuje możliwość dostosowywania zachowania routingu dla ruchu sieciowego w sieciach wirtualnych. Umożliwia to zmianę domyślnych wpisów tabeli routingu w sieci wirtualnej. Kontrola zachowania routingu pomaga upewnić się, że cały ruch z określonego urządzenia lub grupy urządzeń wchodzi lub opuszcza sieć wirtualną za pośrednictwem określonej lokalizacji.

Na przykład w sieci wirtualnej może istnieć wirtualne urządzenie zabezpieczeń sieci. Chcesz upewnić się, że cały ruch do i z sieci wirtualnej przechodzi przez to wirtualne urządzenie zabezpieczeń. Można to zrobić, konfigurując trasy zdefiniowane przez użytkownika (UDR) na platformie Azure.

Wymuszone tunelowanie to mechanizm, którego można użyć, aby upewnić się, że usługi nie mogą inicjować połączenia z urządzeniami w Internecie. Należy pamiętać, że różni się to od akceptowania połączeń przychodzących, a następnie odpowiadania na nie. Serwery internetowe frontonu muszą odpowiadać na żądania z hostów internetowych, dlatego ruch pochodzący z Internetu może odpowiadać na te serwery internetowe, a serwery internetowe mogą odpowiadać.

Nie chcesz zezwalać na używanie serwera internetowego frontonu do inicjowania żądania wychodzącego. Takie żądania mogą stanowić zagrożenie bezpieczeństwa, ponieważ te połączenia mogą służyć do pobierania złośliwego oprogramowania. Nawet jeśli chcesz, aby te serwery frontonu inicjowały żądania wychodzące do Internetu, możesz wymusić przejście przez lokalne serwery proxy sieci Web. Dzięki temu można korzystać z filtrowania i rejestrowania adresów URL.

Zamiast tego należy użyć wymuszonego tunelowania, aby temu zapobiec. Po włączeniu wymuszonego tunelowania wszystkie połączenia z Internetem są wymuszane przez bramę lokalną. Możesz skonfigurować wymuszone tunelowanie, korzystając z tras zdefiniowanych przez użytkownika.

Więcej informacji:

• Co to są trasy zdefiniowane przez użytkownika i przekazywanie ip

Wirtualne urządzenia zabezpieczeń sieci

Chociaż sieciowe grupy zabezpieczeń, trasy zdefiniowane przez użytkownika i wymuszone tunelowanie zapewniają poziom zabezpieczeń w warstwach sieci i transportu modelu OSI, warto również włączyć zabezpieczenia na wyższych poziomach niż sieć.

Na przykład wymagania dotyczące zabezpieczeń mogą obejmować:

• Uwierzytelnianie i autoryzacja przed zezwoleniem na dostęp do aplikacji
• Wykrywanie nieautoryzowanego dostępu i reagowanie na nieautoryzowane włamanie
• Inspekcja warstwy aplikacji dla protokołów wysokiego poziomu
• Filtrowanie adresów URL
• Oprogramowanie antywirusowe na poziomie sieci i oprogramowanie chroniące przed złośliwym kodem
• Ochrona przed botami
• Kontrola dostępu do aplikacji
• Dodatkowa ochrona przed atakami DDoS (powyżej ochrony przed atakami DDoS zapewnianą przez samą sieć szkieletową platformy Azure)

Dostęp do tych rozszerzonych funkcji zabezpieczeń sieci można uzyskać za pomocą rozwiązania partnerskiego platformy Azure. Najbardziej aktualne rozwiązania zabezpieczeń sieci partnerów platformy Azure można znaleźć, odwiedzając Azure Marketplace i wyszukując "zabezpieczenia" i "zabezpieczenia sieciowe".

Azure Firewall

Azure Firewall to natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze działających na platformie Azure. Jest to w pełni stanowa zapora jako usługa z wbudowaną wysoką dostępnością i możliwością nieograniczonego skalowania w chmurze. Zapewnia zarówno inspekcję ruchu wschód-zachód, jak i północ-południe.

Azure Firewall są oferowane w trzech jednostkach SKU: Standardowa, Premium i Podstawowa. Azure Firewall Standard zapewnia filtry L3-L7 i źródła danych analizy zagrożeń bezpośrednio z poziomu firmy Microsoft Cyber Security. Azure Firewall Premium zapewnia zaawansowane możliwości, takie jak idPS oparte na podpisach, aby umożliwić szybkie wykrywanie ataków przez wyszukiwanie określonych wzorców. Azure Firewall Podstawowa to uproszczona jednostka SKU, która zapewnia ten sam poziom zabezpieczeń co jednostka SKU w warstwie Standardowa, ale bez zaawansowanych możliwości.

Więcej informacji:

• Co to jest Azure Firewall

Bezpieczny dostęp zdalny i łączność między lokalizacjami

Należy zdalnie skonfigurować, skonfigurować i zarządzać zasobami platformy Azure. Ponadto możesz chcieć wdrożyć hybrydowe rozwiązania IT , które mają składniki lokalne i w chmurze publicznej platformy Azure. Te scenariusze wymagają bezpiecznego dostępu zdalnego.

Sieć platformy Azure obsługuje następujące scenariusze bezpiecznego dostępu zdalnego:

• Łączenie poszczególnych stacji roboczych z siecią wirtualną
• Łączenie sieci lokalnej z siecią wirtualną przy użyciu sieci VPN
• Łączenie sieci lokalnej z siecią wirtualną za pomocą dedykowanego łącza sieci WAN
• Łączenie sieci wirtualnych ze sobą

Łączenie poszczególnych stacji roboczych z siecią wirtualną

Możesz umożliwić poszczególnym deweloperom lub personelowi operacyjnemu zarządzanie maszynami wirtualnymi i usługami na platformie Azure. Załóżmy na przykład, że potrzebujesz dostępu do maszyny wirtualnej w sieci wirtualnej. Jednak zasady zabezpieczeń nie zezwalają na zdalny dostęp RDP ani SSH do poszczególnych maszyn wirtualnych. W takim przypadku można użyć połączenia sieci VPN typu punkt-lokacja .

Połączenie sieci VPN typu punkt-lokacja umożliwia skonfigurowanie prywatnego i bezpiecznego połączenia między użytkownikiem a siecią wirtualną. Po nawiązaniu połączenia sieci VPN użytkownik może nawiązać połączenie RDP lub SSH za pośrednictwem połączenia sieci VPN do dowolnej maszyny wirtualnej w sieci wirtualnej. (Przyjęto założenie, że użytkownik może się uwierzytelniać i autoryzować). Sieć VPN typu punkt-lokacja obsługuje:

• Secure Socket Tunneling Protocol (SSTP), zastrzeżony protokół SIECI VPN oparty na protokole SSL. Rozwiązanie SSL VPN może przeniknąć przez zapory, ponieważ większość zapór otwiera port TCP 443, którego używa protokół TLS/SSL. Protokół SSTP jest obsługiwany tylko na urządzeniach z systemem Windows. Platforma Azure obsługuje wszystkie wersje systemu Windows, które mają protokół SSTP (system Windows 7 lub nowszy).

• Sieć VPN z protokołem IKEv2 to oparte na standardach rozwiązanie sieci VPN korzystające z protokołu IPsec. Sieci VPN z protokołem IKEv2 można używać do łączenia z urządzeniami Mac (z systemem OSX 10.11 lub nowszym).

• OpenVPN

Więcej informacji:

• Konfigurowanie połączenia punkt-lokacja z siecią wirtualną przy użyciu programu PowerShell

Łączenie sieci lokalnej z siecią wirtualną przy użyciu sieci VPN

Możesz połączyć całą sieć firmową lub jej części z siecią wirtualną. Jest to powszechne w hybrydowych scenariuszach IT, w których organizacje rozszerzają lokalne centrum danych na platformę Azure. W wielu przypadkach organizacje hostować części usługi na platformie Azure i części lokalne. Mogą to zrobić na przykład wtedy, gdy rozwiązanie obejmuje serwery internetowe frontonu na platformie Azure i lokalne bazy danych zaplecza. Te typy połączeń "między lokalizacjami" zapewniają również większe bezpieczeństwo zarządzania zasobami znajdującymi się na platformie Azure i umożliwiają scenariusze, takie jak rozszerzanie kontrolerów domeny usługi Active Directory na platformę Azure.

Jednym ze sposobów osiągnięcia tego celu jest użycie sieci VPN typu lokacja-lokacja. Różnica między siecią VPN typu lokacja-lokacja a siecią VPN typu punkt-lokacja polega na tym, że to drugie łączy jedno urządzenie z siecią wirtualną. Sieć VPN typu lokacja-lokacja łączy całą sieć (np. sieć lokalną) z siecią wirtualną. Sieci VPN typu lokacja-lokacja w sieci wirtualnej korzystają z protokołu VPN trybu tunelu IPsec o wysokim poziomie bezpieczeństwa.

Więcej informacji:

• Tworzenie sieci wirtualnej Resource Manager z połączeniem sieci VPN typu lokacja-lokacja przy użyciu Azure Portal
• VPN Gateway — informacje

Łączenie sieci lokalnej z siecią wirtualną za pomocą dedykowanego łącza sieci WAN

Połączenia sieci VPN typu punkt-lokacja i lokacja-lokacja są skuteczne w celu umożliwienia łączności obejmującej wiele lokalizacji. Jednak niektóre organizacje uważają je za następujące wady:

• Połączenia sieci VPN przenoszą dane przez Internet. Spowoduje to uwidocznienie tych połączeń z potencjalnymi problemami z zabezpieczeniami związanymi z przenoszeniem danych za pośrednictwem sieci publicznej. Ponadto niezawodność i dostępność połączeń internetowych nie mogą być gwarantowane.
• Połączenia sieci VPN z sieciami wirtualnymi mogą nie mieć przepustowości dla niektórych aplikacji i celów, ponieważ maksymalna przepustowość to około 200 Mb/s.

Organizacje, które wymagają najwyższego poziomu zabezpieczeń i dostępności dla połączeń obejmujących wiele lokalizacji, zazwyczaj używają dedykowanych linków sieci WAN do łączenia się z lokacjami zdalnymi. Platforma Azure umożliwia korzystanie z dedykowanego linku sieci WAN, za pomocą którego można połączyć sieć lokalną z siecią wirtualną. Usługa Azure ExpressRoute, usługa Express Route Direct i globalny zasięg usługi Express Route umożliwiają to.

Więcej informacji:

• ExpressRoute — opis techniczny
• ExpressRoute Direct
• Globalny zasięg usługi Express Route

Łączenie sieci wirtualnych ze sobą

W przypadku wdrożeń można używać wielu sieci wirtualnych. Istnieją różne powody, dla których można to zrobić. Możesz uprościć zarządzanie lub zwiększyć bezpieczeństwo. Niezależnie od motywacji do umieszczania zasobów w różnych sieciach wirtualnych, mogą wystąpić czasy, kiedy zasoby w każdej sieci mają się ze sobą łączyć.

Jedną z opcji jest połączenie usług w jednej sieci wirtualnej z usługami w innej sieci wirtualnej przez "zapętlenie się" przez Internet. Połączenie rozpoczyna się w jednej sieci wirtualnej, przechodzi przez Internet, a następnie wraca do docelowej sieci wirtualnej. Ta opcja uwidacznia połączenie z problemami z zabezpieczeniami związanymi z komunikacją internetową.

Lepszym rozwiązaniem może być utworzenie sieci VPN typu lokacja-lokacja, która łączy się między dwiema sieciami wirtualnymi. Ta metoda używa tego samego protokołu trybu tunelu IPSec co połączenie sieci VPN typu lokacja-lokacja międzylokacyjnej wymienione powyżej.

Zaletą tego podejścia jest to, że połączenie sieci VPN jest nawiązywane za pośrednictwem sieci szkieletowej platformy Azure, zamiast łączyć się przez Internet. Zapewnia to dodatkową warstwę zabezpieczeń w porównaniu z sieciami VPN typu lokacja-lokacja, które łączą się przez Internet.

Więcej informacji:

• Konfigurowanie połączenia między sieciami wirtualnymi przy użyciu usługi Azure Resource Manager i programu PowerShell

Innym sposobem łączenia sieci wirtualnych jest komunikacja równorzędna sieci wirtualnych. Ta funkcja umożliwia łączenie dwóch sieci platformy Azure w taki sposób, aby komunikacja między nimi odbywała się za pośrednictwem infrastruktury szkieletowej firmy Microsoft bez przechodzenia przez Internet. Komunikacja równorzędna sieci wirtualnych może łączyć dwie sieci wirtualne w tym samym regionie lub dwóch sieciach wirtualnych w różnych regionach świadczenia usługi Azure. Sieciowe grupy zabezpieczeń mogą służyć do ograniczania łączności między różnymi podsieciami lub systemami.

Dostępność

Dostępność jest kluczowym składnikiem dowolnego programu zabezpieczeń. Jeśli użytkownicy i systemy nie mogą uzyskać dostępu do tego, czego potrzebują, za pośrednictwem sieci, usługę można uznać za naruszoną. Platforma Azure ma technologie sieciowe, które obsługują następujące mechanizmy wysokiej dostępności:

• Równoważenie obciążenia oparte na protokole HTTP
• Równoważenie obciążenia na poziomie sieci
• Globalne równoważenie obciążenia

Równoważenie obciążenia to mechanizm przeznaczony do równomiernego dystrybuowania połączeń między wieloma urządzeniami. Cele równoważenia obciążenia to:

• Aby zwiększyć dostępność. W przypadku równoważenia obciążenia połączeń na wielu urządzeniach co najmniej jedno urządzenie może stać się niedostępne bez naruszania usługi. Usługi uruchomione na pozostałych urządzeniach online mogą nadal obsługiwać zawartość z usługi.
• Aby zwiększyć wydajność. W przypadku równoważenia obciążenia połączeń na wielu urządzeniach jedno urządzenie nie musi obsługiwać całego przetwarzania. Zamiast tego zapotrzebowanie na przetwarzanie i pamięć na potrzeby obsługi zawartości jest rozłożone na wiele urządzeń.

Równoważenie obciążenia oparte na protokole HTTP

Organizacje, które uruchamiają usługi internetowe, często chcą mieć moduł równoważenia obciążenia oparty na protokole HTTP przed tymi usługami internetowymi. Pomaga to zapewnić odpowiednie poziomy wydajności i wysokiej dostępności. Tradycyjne moduły równoważenia obciążenia oparte na sieci korzystają z protokołów warstwy sieci i transportu. Z drugiej strony moduły równoważenia obciążenia oparte na protokole HTTP podejmują decyzje na podstawie cech protokołu HTTP.

Azure Application Gateway zapewnia równoważenie obciążenia oparte na protokole HTTP dla usług internetowych. Application Gateway obsługuje:

• Koligacja sesji na podstawie plików cookie. Ta funkcja zapewnia, że połączenia nawiązane z jednym z serwerów za tym modułem równoważenia obciążenia pozostają nienaruszone między klientem a serwerem. Zapewnia to stabilność transakcji.
• Odciążanie protokołu TLS. Gdy klient łączy się z modułem równoważenia obciążenia, ta sesja jest szyfrowana przy użyciu protokołu HTTPS (TLS). Jednak w celu zwiększenia wydajności można użyć protokołu HTTP (niezaszyfrowanego) w celu nawiązania połączenia między modułem równoważenia obciążenia a serwerem internetowym za modułem równoważenia obciążenia. Jest to nazywane "odciążanie protokołu TLS", ponieważ serwery internetowe za modułem równoważenia obciążenia nie mają obciążenia procesora związanego z szyfrowaniem. W związku z tym serwery internetowe mogą szybciej obsługiwać żądania.
• Routing zawartości oparty na adresach URL. Ta funkcja umożliwia modułowi równoważenia obciążenia podejmowanie decyzji dotyczących lokalizacji przekazywania połączeń na podstawie docelowego adresu URL. Zapewnia to o wiele większą elastyczność niż rozwiązania, które podejmują decyzje dotyczące równoważenia obciążenia na podstawie adresów IP.

Więcej informacji:

• Application Gateway — omówienie

Równoważenie obciążenia na poziomie sieci

W przeciwieństwie do równoważenia obciążenia opartego na protokole HTTP równoważenie obciążenia na poziomie sieci podejmuje decyzje na podstawie numerów adresów IP i portów (TCP lub UDP). Korzyści wynikające z równoważenia obciążenia na poziomie sieci można uzyskać na platformie Azure przy użyciu Azure Load Balancer. Oto niektóre kluczowe cechy Load Balancer:

• Równoważenie obciążenia na poziomie sieci na podstawie adresów IP i numerów portów.
• Obsługa dowolnego protokołu warstwy aplikacji.
• Równoważenie obciążenia maszyn wirtualnych platformy Azure i wystąpień ról usług w chmurze.
• Może być używany zarówno w przypadku aplikacji internetowych (zewnętrznego równoważenia obciążenia) i innych niż Internet (wewnętrzne równoważenie obciążenia) i maszyn wirtualnych.
• Monitorowanie punktu końcowego, które służy do określania, czy którakolwiek z usług za modułem równoważenia obciążenia stała się niedostępna.

Więcej informacji:

• Omówienie wewnętrznego modułu równoważenia obciążenia

Globalne równoważenie obciążenia

Niektóre organizacje chcą mieć najwyższy poziom dostępności. Jednym ze sposobów osiągnięcia tego celu jest hostowanie aplikacji w globalnie rozproszonych centrach danych. Gdy aplikacja jest hostowana w centrach danych znajdujących się na całym świecie, możliwe jest, że cały region geopolityczny stanie się niedostępny i nadal ma uruchomioną aplikację.

Ta strategia równoważenia obciążenia może również przynieść korzyści z wydajności. Żądania usługi można skierować do centrum danych najbliższego urządzeniu wysyłającego żądanie.

Na platformie Azure możesz uzyskać korzyści wynikające z globalnego równoważenia obciążenia przy użyciu usługi Azure Traffic Manager.

Więcej informacji:

• Co to jest usługa Traffic Manager?

Rozpoznawanie nazw

Rozpoznawanie nazw to funkcja krytyczna dla wszystkich usług hostowych na platformie Azure. Z punktu widzenia zabezpieczeń naruszenie funkcji rozpoznawania nazw może prowadzić do przekierowania żądań przez osobę atakującą z witryn do witryny osoby atakującej. Bezpieczne rozpoznawanie nazw jest wymaganiem dla wszystkich usług hostowanych w chmurze.

Istnieją dwa typy rozpoznawania nazw, które należy rozwiązać:

• Wewnętrzne rozpoznawanie nazw. Jest to używane przez usługi w sieciach wirtualnych, sieciach lokalnych lub obu tych usługach. Nazwy używane do rozpoznawania nazw wewnętrznych nie są dostępne przez Internet. Aby zapewnić optymalne bezpieczeństwo, należy pamiętać, że wewnętrzny schemat rozpoznawania nazw nie jest dostępny dla użytkowników zewnętrznych.
• Rozpoznawanie nazw zewnętrznych. Jest to używane przez osoby i urządzenia spoza sieci lokalnych i sieci wirtualnych. Są to nazwy widoczne dla Internetu i są używane do bezpośredniego połączenia z usługami opartymi na chmurze.

W przypadku wewnętrznego rozpoznawania nazw dostępne są dwie opcje:

• Serwer DNS sieci wirtualnej. Podczas tworzenia nowej sieci wirtualnej tworzony jest serwer DNS. Ten serwer DNS może rozpoznać nazwy maszyn znajdujących się w tej sieci wirtualnej. Ten serwer DNS nie jest konfigurowalny, jest zarządzany przez menedżera sieci szkieletowej platformy Azure i dlatego może pomóc w zabezpieczeniu rozwiązania do rozpoznawania nazw.
• Korzystanie z własnego serwera DNS. Istnieje możliwość umieszczenia własnego serwera DNS w sieci wirtualnej. Ten serwer DNS może być zintegrowanym serwerem DNS usługi Active Directory lub dedykowanym rozwiązaniem serwera DNS dostarczonym przez partnera platformy Azure, które można uzyskać z Azure Marketplace.

Więcej informacji:

• Omówienie sieci wirtualnej
• Zarządzanie serwerami DNS używanymi przez sieć wirtualną

W przypadku rozpoznawania nazw zewnętrznych dostępne są dwie opcje:

• Hostowanie własnego zewnętrznego serwera DNS lokalnie.
• Hostowanie własnego zewnętrznego serwera DNS za pomocą dostawcy usług.

Wiele dużych organizacji hostuje własne serwery DNS lokalnie. Mogą to zrobić, ponieważ mają wiedzę na temat sieci i globalną obecność w tym celu.

W większości przypadków lepiej hostować usługi rozpoznawania nazw DNS za pomocą dostawcy usług. Ci dostawcy usług mają wiedzę fachową dotyczącą sieci i globalną obecność, aby zapewnić bardzo wysoką dostępność usług rozpoznawania nazw. Dostępność jest niezbędna dla usług DNS, ponieważ jeśli usługi rozpoznawania nazw kończą się niepowodzeniem, nikt nie będzie mógł uzyskać dostępu do usług dostępnych w Internecie.

Platforma Azure zapewnia wysoce dostępne i wydajne zewnętrzne rozwiązanie DNS w postaci usługi Azure DNS. To zewnętrzne rozwiązanie do rozpoznawania nazw korzysta z infrastruktury usługi Azure DNS na całym świecie. Umożliwia ona hostowanie domeny na platformie Azure przy użyciu tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co inne usługi platformy Azure. W ramach platformy Azure dziedziczy również silne mechanizmy kontroli zabezpieczeń wbudowane w platformę.

Więcej informacji:

• Omówienie usługi Azure DNS
• Strefy prywatne usługi Azure DNS umożliwiają konfigurowanie prywatnych nazw DNS dla zasobów platformy Azure, a nie automatycznie przypisanych nazw bez konieczności dodawania niestandardowego rozwiązania DNS.

Architektura sieci obwodowej

Wiele dużych organizacji używa sieci obwodowych do segmentowania sieci i tworzy strefę buforową między Internetem a ich usługami. Część obwodowa sieci jest uważana za strefę o niskim poziomie zabezpieczeń, a żadne zasoby o wysokiej wartości nie są umieszczane w tym segmencie sieci. Zazwyczaj zobaczysz urządzenia zabezpieczeń sieci, które mają interfejs sieciowy w segmencie sieci obwodowej. Inny interfejs sieciowy jest połączony z siecią, która ma maszyny wirtualne i usługi, które akceptują połączenia przychodzące z Internetu.

Sieci obwodowe można projektować na wiele różnych sposobów. Decyzja o wdrożeniu sieci obwodowej, a następnie typ sieci obwodowej do użycia, jeśli zdecydujesz się go użyć, zależy od wymagań dotyczących zabezpieczeń sieci.

Więcej informacji:

• Sieci obwodowe dla stref zabezpieczeń

Azure DDoS Protection

Ataki typu „rozproszona odmowa usługi” (Distributed Denial of Service, DDoS) należą do największych obaw związanych z dostępnością i zabezpieczeniami wśród klientów, którzy planują przeniesienie swoich aplikacji do chmury. Atak DDoS próbuje wyczerpać zasoby aplikacji, co sprawia, że aplikacja jest niedostępna dla uprawnionych użytkowników. Celem ataku DDoS może być dowolny punkt końcowy publicznie dostępny za pośrednictwem Internetu.

Funkcje ochrony przed atakami DDoS obejmują:

• Integracja platformy natywnej: Natywnie zintegrowane z platformą Azure. Obejmuje konfigurację za pośrednictwem Azure Portal. Usługa DDoS Protection rozumie zasoby i konfigurację zasobów.
• Ochrona przy użyciu klucza zwrotnego: Uproszczona konfiguracja natychmiast chroni wszystkie zasoby w sieci wirtualnej zaraz po włączeniu ochrony przed atakami DDoS. Nie jest wymagana żadna interwencja ani definicja użytkownika. Ochrona przed atakami DDoS natychmiast i automatycznie ogranicza atak po wykryciu.
• Zawsze włączone monitorowanie ruchu: Wzorce ruchu aplikacji są monitorowane przez 24 godziny dziennie, 7 dni w tygodniu, szukając wskaźników ataków DDoS. Środki zaradcze są wykonywane po przekroczeniu zasad ochrony.
• Raporty ograniczania ryzyka ataków Raporty ograniczania ryzyka ataków używają zagregowanych danych przepływu sieci w celu zapewnienia szczegółowych informacji o atakach ukierunkowanych na zasoby.
• Dzienniki przepływu ograniczania ataków Dzienniki przepływu ograniczania ataków umożliwiają przeglądanie porzuconego ruchu, przekazywanego ruchu i innych danych ataku niemal w czasie rzeczywistym podczas aktywnego ataku DDoS.
• Dostrajanie adaptacyjne: Inteligentne profilowanie ruchu uczy się ruchu aplikacji w czasie i wybiera i aktualizuje profil, który jest najbardziej odpowiedni dla Twojej usługi. Profil dostosowuje się wraz ze zmianami ruchu w miarę upływu czasu. Ochrona przed atakami DDoS w warstwie 3–7: zapewnia ochronę przed atakami DDoS pełnego stosu w przypadku użycia z zaporą aplikacji internetowej.
• Rozległa skala ograniczania ryzyka: W celu ochrony przed największymi znanymi atakami DDoS można ograniczyć ponad 60 różnych typów ataków.
• Metryki ataku: Podsumowane metryki z każdego ataku są dostępne za pośrednictwem usługi Azure Monitor.
• Alerty ataku: Alerty można skonfigurować na początku i zatrzymaniu ataku oraz w czasie trwania ataku przy użyciu wbudowanych metryk ataku. Alerty integrują się z oprogramowaniem operacyjnym, takimi jak dzienniki usługi Microsoft Azure Monitor, Splunk, Azure Storage, Email i Azure Portal.
• Gwarancja kosztów: Środki na transfer danych i skalowanie w poziomie aplikacji na potrzeby udokumentowanych ataków DDoS.
• Szybkie reagowanie na atak DDoS Klienci usługi DDoS Protection mają teraz dostęp do zespołu szybkiego reagowania podczas aktywnego ataku. Odzyskiwanie po awarii może pomóc w badaniu ataków, niestandardowych ograniczeniach ryzyka podczas analizy ataków i po ataku.

Więcej informacji:

• Omówienie ochrony przed atakami DDOS

Azure Front Door

Usługa Azure Front Door Service umożliwia definiowanie i monitorowanie globalnego routingu ruchu internetowego oraz zarządzanie nim. Optymalizuje routing ruchu pod kątem najlepszej wydajności i wysokiej dostępności. Usługa Azure Front Door umożliwia tworzenie reguł zapory aplikacji internetowej w celu kontrolowania dostępu, aby chronić obciążenia protokołów HTTP/HTTPS przed wykorzystywaniem w oparciu o adresy IP, kod kraju i parametry protokołu HTTP klientów. Ponadto usługa Front Door umożliwia również tworzenie reguł ograniczania szybkości w celu bojowania złośliwego ruchu bota, obejmuje odciążanie protokołu TLS i żądanie HTTP/HTTPS, przetwarzanie warstwy aplikacji.

Sama platforma Front Door jest chroniona przez ochronę przed atakami DDoS na poziomie infrastruktury platformy Azure. W celu dalszej ochrony usługa Azure DDoS Network Protection może być włączona w sieciach wirtualnych i chronić zasoby przed atakami warstwy sieciowej (TCP/UDP) za pośrednictwem automatycznego dostrajania i ograniczania ryzyka. Usługa Front Door jest zwrotnym serwerem proxy warstwy 7, zezwala tylko na przekazywanie ruchu internetowego do serwerów zaplecza i domyślnie blokowanie innych typów ruchu.

Uwaga

W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest wdrożenie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci.

Więcej informacji:

• Aby uzyskać więcej informacji na temat całego zestawu funkcji usługi Azure Front Door, zapoznaj się z omówieniem usługi Azure Front Door

Azure Traffic Manager

Usługa Azure Traffic Manager to oparty na systemie DNS moduł równoważenia obciążenia ruchu, który umożliwia optymalną dystrybucję ruchu do usług w wielu regionach platformy Azure na świecie, przy jednoczesnym zapewnieniu wysokiej dostępności i krótkiego czasu odpowiedzi. Usługa Traffic Manager używa systemu DNS do kierowania żądań klientów do najodpowiedniejszego punktu końcowego usługi w oparciu o metodę routingu ruchu i kondycję punktów końcowych. Punkt końcowy to dowolna internetowa usługa hostowana wewnątrz platformy Azure lub poza nią. Usługa Traffic Manager monitoruje punkty końcowe i nie kieruje ruchu do żadnych punktów końcowych, które są niedostępne.

Więcej informacji:

• Omówienie usługi Azure Traffic Manager

Monitorowanie i wykrywanie zagrożeń

Platforma Azure oferuje możliwości ułatwiające wczesne wykrywanie, monitorowanie i zbieranie i przeglądanie ruchu sieciowego.

Azure Network Watcher

Usługa Azure Network Watcher może pomóc w rozwiązywaniu problemów i udostępnia zupełnie nowy zestaw narzędzi, które ułatwiają identyfikację problemów z zabezpieczeniami.

Widok grupy zabezpieczeń ułatwia inspekcję i zgodność z zabezpieczeniami Virtual Machines. Ta funkcja służy do przeprowadzania inspekcji programowych, porównując zasady punktu odniesienia zdefiniowane przez organizację z obowiązującymi regułami dla każdej z maszyn wirtualnych. Może to pomóc w zidentyfikowaniu wszelkich dryfów konfiguracji.

Przechwytywanie pakietów umożliwia przechwytywanie ruchu sieciowego do i z maszyny wirtualnej. Możesz zbierać statystyki sieci i rozwiązywać problemy z aplikacjami, które mogą być bezcenne podczas badania nieautoryzowanego dostępu do sieci. Możesz również użyć tej funkcji razem z Azure Functions, aby uruchomić przechwytywanie sieci w odpowiedzi na określone alerty platformy Azure.

Aby uzyskać więcej informacji na temat Network Watcher i sposobu rozpoczęcia testowania niektórych funkcji w laboratoriach, zobacz Omówienie monitorowania usługi Azure Network Watcher.

Uwaga

Aby uzyskać najbardziej aktualne powiadomienia dotyczące dostępności i stanu tej usługi, sprawdź stronę aktualizacji platformy Azure.

Microsoft Defender for Cloud

Microsoft Defender dla chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie oraz zapewnia lepszy wgląd i kontrolę nad zabezpieczeniami zasobów platformy Azure. Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure, pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone, i współpracuje z dużym zestawem rozwiązań zabezpieczeń.

Usługa Defender for Cloud ułatwia optymalizowanie i monitorowanie zabezpieczeń sieci przez:

• Udostępnianie zaleceń dotyczących zabezpieczeń sieci.
• Monitorowanie stanu konfiguracji zabezpieczeń sieci.
• Zgłaszanie alertów o zagrożeniach sieciowych zarówno na poziomie punktu końcowego, jak i sieci.

Więcej informacji:

• Wprowadzenie do Microsoft Defender for Cloud

Virtual Network TAP

Interfejs TAP sieci wirtualnej platformy Azure (punkt dostępu do terminalu) umożliwia ciągłe przesyłanie strumieniowe ruchu sieciowego maszyny wirtualnej do sieciowego modułu zbierającego pakiety lub narzędzia analitycznego. Narzędzie modułu zbierającego lub analitycznego jest dostarczane przez partnera wirtualnego urządzenia sieciowego. Za pomocą tego samego zasobu tap sieci wirtualnej można agregować ruch z wielu interfejsów sieciowych w tej samej lub innej subskrypcji.

Więcej informacji:

• Virtual Network TAP

Rejestrowanie

Rejestrowanie na poziomie sieci jest kluczową funkcją dla każdego scenariusza zabezpieczeń sieci. Na platformie Azure możesz rejestrować informacje uzyskane dla sieciowych grup zabezpieczeń, aby uzyskać informacje o rejestrowaniu na poziomie sieci. Rejestrowanie sieciowej grupy zabezpieczeń pozwala uzyskać informacje z:

• Dzienniki aktywności. Użyj tych dzienników, aby wyświetlić wszystkie operacje przesłane do subskrypcji platformy Azure. Te dzienniki są domyślnie włączone i mogą być używane w Azure Portal. Wcześniej były znane jako dzienniki inspekcji lub operacyjne.
• Dzienniki zdarzeń. Te dzienniki zawierają informacje o tym, jakie reguły sieciowej grupy zabezpieczeń zostały zastosowane.
• Dzienniki liczników. Te dzienniki umożliwiają określenie, ile razy każda reguła sieciowej grupy zabezpieczeń została zastosowana do odmowy lub zezwolenia na ruch.

Do wyświetlania i analizowania tych dzienników można również użyć usługi Microsoft Power BI, zaawansowanego narzędzia do wizualizacji danych. Więcej informacji:

• Dzienniki usługi Azure Monitor dla sieciowych grup zabezpieczeń