Zabezpieczenia i zawieranie sieciNetwork security and containment

Bezpieczeństwo sieci było tradycyjne lynchpine w zakresie zabezpieczeń przedsiębiorstwa.Network security has been the traditional lynchpin of enterprise security efforts. Jednak chmura obliczeniowa zwiększyła wymóg, aby obwód sieci był bardziej porowaty, a wielu ataków na elementy systemu tożsamości (co niemal zawsze pomija kontrolki sieciowe).However, cloud computing has increased the requirement for network perimeters to be more porous and many attackers have mastered the art of attacks on identity system elements (which nearly always bypass network controls). Te czynniki zwiększyły konieczność przede wszystkim do kontroli dostępu opartej na tożsamościach w celu ochrony zasobów zamiast kontroli dostępu opartej na sieci.These factors have increased the need to focus primarily on identity-based access controls to protect resources rather than network-based access controls.

Zmniejszają one rolę kontroli zabezpieczeń sieci, ale nie eliminują jej całkowicie.These do diminish the role of network security controls, but do not eliminate it entirely. Chociaż zabezpieczenia sieci nie są już głównym fokusem na potrzeby zabezpieczania zasobów opartych na chmurze, nadal jest to najwyższy priorytet dla dużego portfolio starszych zasobów (który został zbudowany z założeniem, że nastąpiło Obwod oparty na zaporze sieciowej).While network security is no longer the primary focus for securing cloud-based assets, it is still a top priority for the large portfolio of legacy assets (which were built with the assumption that a network firewall-based perimeter was in place). Wiele osób atakujących nadal stosuje metody skanowania i wykorzystania w zakresach adresów IP dostawców chmury publicznej, pomyślnie przechodząc do ochrony tych, którzy nie przestrzegają podstawowej higieny bezpieczeństwa sieci.Many attackers still employ scanning and exploit methods across public cloud provider IP ranges, successfully penetrating defenses for those who don’t follow basic network security hygiene. Kontrole zabezpieczeń sieci również zapewniają elementom z kompleksową strategią, która pomaga w ochronie, wykrywaniu, znajdowaniu i wyłączaniu osób atakujących, którzy wykonują własne wdrożenia w chmurze.Network security controls also provide a defense-in-depth element to your strategy that help protect, detect, contain, and eject attackers who make their way into your cloud deployments.

W kategorii zabezpieczenia sieci i zawierania istnieją następujące zalecenia dotyczące najlepszych rozwiązań:In the category of network security and containment, we have the following best practice recommendations:

  • Wyrównaj segmentację sieci z ogólną strategiąAlign network segmentation with overall strategy

  • Scentralizowane zarządzanie siecią i zabezpieczeniaCentralize network management and security

  • Tworzenie strategii zawierania sieciBuild a network containment strategy

  • Definiowanie strategii internetowej EdgeDefine an internet edge strategy

Scentralizowane zarządzanie siecią i zabezpieczeniaCentralize network management and security

Scentralizowana odpowiedzialność organizacyjna za zarządzanie i bezpieczeństwo podstawowych funkcji sieciowych, takich jak linki między lokalizacjami, sieci wirtualne, podsieci oraz schematy adresów IP, a także elementy zabezpieczeń sieci, takie jak urządzenia sieci wirtualnej, szyfrowanie aktywności sieci wirtualnej w chmurze i ruch między różnymi lokalizacjami, sieci kontroli dostępu i innych tradycyjnych składników zabezpieczeń sieci.Centralize the organizational responsibility for management and security of core networking functions such as cross-premises links, virtual networking, subnetting, and IP address schemes as well as network security elements such as virtual network appliances, encryption of cloud virtual network activity and cross-premises traffic, network-based access controls, and other traditional network security components.

W przypadku scentralizowanego zarządzania siecią i zabezpieczeń można zmniejszyć możliwość niespójnych strategii, które mogą powodować potencjalne zagrożenia bezpieczeństwa.When you centralize network management and security you reduce the potential for inconsistent strategies that can create potential attacker exploitable security risks. Ze względu na to, że wszystkie działy organizacji IT i rozwoju nie mają tego samego poziomu zarządzania siecią i wiedzy o zabezpieczeniach i złożoności, korzyści z używania scentralizowanego i narzędziowego zespołu sieciowego mogą być korzystne.Because all divisions of the IT and development organizations do not have the same level of network management and security knowledge and sophistication, organizations benefit from leveraging a centralized network team’s expertise and tooling.

Azure Security Center może służyć do scentralizowanego zarządzania zabezpieczeniami sieci.Azure Security Center can be used to help centralize the management of network security.

Wyrównaj segmentację sieci przy użyciu strategii segmentacji przedsiębiorstwaAlign network segmentation with enterprise segmentation strategy

Wyrównuje model segmentacji sieci z modelem segmentacji przedsiębiorstwa dla organizacji (zdefiniowanym w sekcji Zarządzanie, ryzyko i zgodność).Align your network segmentation model with the enterprise segmentation model for your organization (defined in Governance, Risk, and Compliance section).

Pozwoli to zmniejszyć liczbę pomyłek i problemy z różnymi zespołami technicznymi (sieci, tożsamością, aplikacjami itp.), tworząc własne modele segmentacji i delegowania, które nie są od siebie wzajemnie wyrównane.This will reduce confusion and resulting challenges with different technical teams (networking, identity, applications, etc.) each developing their own segmentation and delegation models that don’t align with each other. Prowadzi to do prostej i ujednoliconej strategii zabezpieczeń, która pomaga w zmniejszeniu liczby błędów spowodowanych błędem ludzkim i niezdolności do zwiększenia niezawodności dzięki automatyzacji.This leads to a straightforward and unified security strategy, which helps reduce the number of errors due to human error and inability to increase reliability through automation.

Porównaj obrazy w zabezpieczeniach sieci i zawiera.Please compare images in Network security and containment.

obraz przedstawiający infrastrukturę chmury hybrydowej — architektura sieci

Rozwijanie zabezpieczeń poza kontrolkami sieciEvolve security beyond network controls

Upewnij się, że kontrole techniczne mogą skutecznie zapobiegać zagrożeniom, wykrywać je i reagować na nie poza sieciami, które kontrolujesz.Ensure technical controls can effectively prevent, detect, and respond to threats outside the networks you control.

W miarę jak organizacje przestają się na nowoczesne architektury, wiele usług i składników wymaganych przez aplikacje są dostępne za pośrednictwem Internetu lub sieci dostawców w chmurze, często przez mobilne i inne urządzenia poza siecią.As organizations shift to modern architectures, many services and components required for applications will be accessed over the internet or on cloud provider networks, often by mobile and other devices off the network. Tradycyjna kontrola sieci oparta na podejściu "zaufanego intranetu" nie będzie mogła skutecznie zapewnić gwarancje bezpieczeństwa dla tych aplikacji.Traditional network controls based on a “trusted intranet” approach will not be able to effectively provide security assurances for these applications. To przesunięcie krajobrazu jest dobrze przechwycone przez zasady udokumentowane przez forum Jericho i podejść "zero Trust".This shifting landscape is captured well by principles documented by the Jericho Forum and ‘Zero Trust’ approaches.

Utwórz strategię zawierania ryzyka na podstawie kombinacji kontrolek sieci i aplikacji, tożsamości oraz innych typów kontroli.Build a risk containment strategy based on a combination of network controls and application, identity, and other control types.

  • Upewnij się, że grupowanie zasobów i uprawnienia administracyjne są wyrównane do modelu segmentacji (zobacz rysunek XXXX)Ensure that resource grouping and administrative privileges align to the segmentation model (see figure XXXX)

  • Upewnij się, że projektujesz kontrolki zabezpieczeń, które identyfikują i zezwalają na oczekiwany ruch, żądania dostępu i inne informacje o komunikacji między segmentami.Ensure you are designing security controls that identify and allow expected traffic, access requests, and other application communications between segments. Monitoruj komunikację między segmentami, aby identyfikować wszelkie nieoczekiwane wiadomości, aby sprawdzić, czy należy ustawić alerty, czy też blokować ruch, aby ograniczyć ryzyko związane z źródłami atakówniem granic segmentacji.Monitor communications between segments to identify on any unexpected communications so you can investigate whether to set alerts or block traffic to mitigate risk of adversaries crossing segmentation boundaries.

Tworzenie strategii zawierania zabezpieczeńBuild a security containment strategy

Utwórz strategię zawierania ryzyka, która umożliwia mieszanie sprawdzonych metod, takich jak:Create a risk containment strategy that blends proven approaches including:

  • Istniejące mechanizmy kontroli zabezpieczeń sieci i praktykiExisting network security controls and practices

  • Natywne kontrolki zabezpieczeń dostępne na platformie AzureNative security controls available in Azure

  • Zerowe podejścia zaufaniaZero trust approaches

Obsługa wektorów ataków w środowisku jest niezwykle ważna.Containment of attack vectors within an environment is critical. Jednak w celu zapewnienia skutecznego działania w środowiskach w chmurze tradycyjne podejścia mogą okazać się nieodpowiednie, a organizacje bezpieczeństwa muszą rozwijać metody.However, in order to be effective in cloud environments, traditional approaches may prove inadequate and security organizations need to evolve their methods.

  • Istotna jest spójność formantów w infrastrukturze lokalnej i w chmurze, ale ochrona jest bardziej skuteczna i zarządzana w przypadku korzystania z natywnych możliwości udostępnianych przez dostawcę usług w chmurze, podejścia dynamicznego just-in-Time (JIT) oraz zintegrowanej kontroli tożsamości i hasła, na przykład tych, które są zalecane przez zero podejść zaufania/ciągłej weryfikacji.Consistency of controls across on-premises and cloud infrastructure is important, but defenses are more effective and manageable when leveraging native capabilities provided by a cloud service provider, dynamic just-in-time (JIT) approaches, and integrated identity and password controls, such as those recommended by zero trust/continuous validation approaches.

  • Najlepszym rozwiązaniem w zakresie zabezpieczeń sieci jest upewnienie się, że istnieją mechanizmy kontroli dostępu do sieci między konstrukcjami sieci.A network security best practice is to make sure there are network access controls between network constructs. Konstrukcje te mogą reprezentować sieci wirtualne lub podsieci w tych sieciach wirtualnych.These constructs can represent virtual networks, or subnets within those virtual networks. Pozwala to chronić i zawierać ruch wschodni wschód do infrastruktury sieci w chmurze.This works to protect and contain East-West traffic within your cloud network infrastructure.

  • Ważną decyzją w projekcie bezpieczeństwa sieci jest użycie zapór opartych na hoście lub ich używanie.An important network security design decision is to use or not use host-based firewalls. Zapory oparte na hoście obsługują kompleksową strategię obrony.Host-based firewalls support a comprehensive defense in-depth strategy. Jednak w celu uzyskania większości zastosowania wymagają znacznego narzutu związanego z zarządzaniem.However, to be of most use they require significant management overhead. Jeśli organizacja uznała je za pomocne w ochronie i wykrywaniu zagrożeń w przeszłości, warto rozważyć ich użycie dla zasobów opartych na chmurze.If your organization has found them effective in helping you protect and discover threats in the past, you might consider using them for your cloud-based assets. Jeśli okaże się, że nie dodaliśmy znaczącej wartości, należy zaprzestać korzystania z nich i poznać natywne rozwiązania na platformie dostawcy usług w chmurze, które zapewniają podobną wartość.If you discover that they have not added significant value, discontinue their use and explore native solutions on your cloud service provider’s platform that deliver similar value.

Rozwijane nowe zalecenie dotyczące najlepszych rozwiązań polega na przyjęciu nierównej strategii zaufania na podstawie tożsamości użytkowników, urządzeń i aplikacji.An evolving emerging best practice recommendation is to adopt a Zero Trust strategy based on user, device, and application identities. W przeciwieństwie do kontroli dostępu do sieci, które są oparte na elementach, takich jak źródłowy i docelowy adres IP, protokoły i numery portów, zaufanie zerowe wymusza i weryfikuje kontrolę dostępu w "czasie dostępu".In contrast to network access controls that are based on elements such as source and destination IP address, protocols, and port numbers, Zero Trust enforces and validates access control at “access time”. Pozwala to uniknąć konieczności odtwarzania gry predykcyjnej dla całego wdrożenia, sieci lub podsieci — tylko zasób docelowy musi udostępniać wymagane kontrole dostępu.This avoids the need to play a prediction game for an entire deployment, network, or subnet – only the destination resource needs to provide the necessary access controls.

  • Grupy zabezpieczeń sieci platformy Azure mogą być używane dla podstawowych kontroli dostępu do warstwy 3 & 4 między sieciami wirtualnymi platformy Azure, ich podsieciami i Internetem.Azure Network Security Groups can be used for basic layer 3 & 4 access controls between Azure Virtual Networks, their subnets, and the Internet.

  • Zapora aplikacji sieci Web platformy Azure i Zapora platformy Azure mogą służyć do bardziej zaawansowanych kontroli dostępu do sieci, które wymagają obsługi warstwy aplikacji.Azure Web Application Firewall and the Azure Firewall can be used for more advanced network access controls that require application layer support.

  • Rozwiązanie hasła administratora lokalnego (dotyczy) lub Privileged Access Management innej firmy może ustawić silne hasła administratora lokalnego i dostęp do nich w odpowiednim czasieLocal Admin Password Solution (LAPS) or a third-party Privileged Access Management can set strong local admin passwords and just in time access to them

Ponadto firmy trzecie oferują podejścia mikrosegmentacji, które mogą ulepszyć kontrolki sieciowe przez zastosowanie zasad zaufania bez zabezpieczeń do sieci, które kontrolują ze starszymi zasobami.Additionally, third parties offer microsegmentation approaches that may enhance your network controls by applying zero trust principles to networks you control with legacy assets on them.

Definiowanie strategii internetowej EdgeDefine an internet edge strategy

Wybierz, czy chcesz używać natywnych kontrolek dostawcy usług w chmurze czy urządzeń sieci wirtualnej na potrzeby zabezpieczeń w Internecie Edge.Choose whether to use native cloud service provider controls or virtual network appliances for internet edge security.

Ruch z Internetu Edge (czasami określany jako ruch "północ-południe") reprezentuje łączność sieciową między zasobami w chmurze a Internetem.Internet edge traffic (sometimes referred to as “North-South” traffic) represents network connectivity between your assets in the cloud and the Internet. Starsze obciążenia wymagają ochrony przed internetowymi punktami końcowymi, ponieważ zostały skompilowane z założeniem, że zapora internetowa chroniła je przed atakami.Legacy workloads require protection from Internet endpoints because they were built with the assumption that an internet firewall protected them against these attacks. Strategia Internet Edge jest przeznaczona do ograniczania, jak wiele ataków z Internetu jest rozsądnych do wykrycia lub zablokowania.An Internet edge strategy is intended to mitigate as many attacks from the internet as is reasonable to detect or block.

Istnieją dwie podstawowe opcje, które mogą zapewnić kontrolę zabezpieczeń i monitorowanie w Internecie:There are two primary choices that can provide Internet edge security controls and monitoring:

  • Natywne formanty dostawcy usług wAzure Firewall chmurze ( + Zapora aplikacji sieci Web dla platformy Azure (WAF))Cloud Service Provider Native Controls (Azure Firewall + Web Application Firewall (WAF))

  • Virtual Network urządzeń partnerskich (Zapora i dostawcy WAF w portalu Azure Marketplace)Partner Virtual Network Appliances (Firewall and WAF Vendors available in Azure Marketplace)

  • Natywne mechanizmy kontroli dostawcy usług w chmurze oferują zazwyczaj zabezpieczenia podstawowe, które są wystarczająco dobre dla typowych ataków, takich jak OWASP 10 pierwszych.Cloud service provider native controls typically offer basic security that is good enough for common attacks, such as the OWASP Top 10.

  • W przeciwieństwie do możliwości partnerów usług w chmurze często zapewniają znacznie bardziej zaawansowane funkcje, które mogą chronić przed zaawansowanymi (ale często niespotykanymi) atakami.In contrast, cloud service provider partner capabilities often provide much more advanced features that can protect against sophisticated (but often uncommon) attacks. Rozwiązania partnerskie są spójne kosztowo więcej niż kontrolki natywne.Partner solutions consistently cost more than native controls. Ponadto Konfiguracja rozwiązań partnerskich może być bardzo złożona i bardziej niedelikatna niż natywne kontrolki, ponieważ nie integrują się z kontrolerami sieci szkieletowej w chmurze.In addition, configuration of partner solutions can be very complex and more fragile than native controls because they do not integrate with cloud’s fabric controllers.

Decyzja o korzystaniu z kontroli natywnej i partnerskiej powinna być oparta na doświadczeniu i wymaganiach firmy.The decision to use native versus partner controls should be based on your organization’s experience and requirements. Jeśli funkcje zaawansowanych rozwiązań zapory nie zapewniają wystarczającej liczby zwrotów z inwestycji, można rozważyć użycie natywnych możliwości, które są przeznaczone do łatwego konfigurowania i skalowania.If the features of the advanced firewall solutions don’t provide sufficient return on investment, you may consider using the native capabilities that are designed to be easy to configure and scale.

Zaprzestanie korzystania z starszej technologii zabezpieczeń sieciDiscontinue legacy network security technology

Zaprzestanie korzystania z systemów wykrywania intruzów sieci opartych na sygnaturach (NIDS/NIPS) i zapobiegania wyciekom danych (DLP).Discontinue the use of signature-based Network Intrusion Detection/Network Intrusion Prevention (NIDS/NIPS) Systems and Network Data Leakage/Loss Prevention (DLP).

Głównym dostawcą usług w chmurze jest już filtr dla nieprawidłowo sformułowanych pakietów i typowe ataki warstwy sieciowej, więc nie ma potrzeby rozwiązania NIDS/NIPS w celu ich wykrycia.The major cloud service providers already filter for malformed packets and common network layer attacks, so there’s no need for a NIDS/NIPS solution to detect those. Ponadto tradycyjne rozwiązania NIDS/NIPS są zwykle oparte na podstawie podejścia opartego na sygnaturach (które są uważane za przestarzałe) i można je łatwo uznać przez osoby atakujące i zwykle wytwarzać wysokie pozytywne dane.In addition, traditional NIDS/NIPS solutions are typically driven by signature-based approaches (which are considered outdated) and are easily evaded by attackers and typically produce a high rate of false positives.

Funkcja DLP oparta na sieci jest tańsza przy identyfikowaniu zarówno nieumyślnej, jak i celowej utraty danych.Network-based DLP is decreasingly effective at identifying both inadvertent and deliberate data loss. Przyczyną tego jest to, że większość nowoczesnych protokołów i ataków korzysta z szyfrowania na poziomie sieci na potrzeby komunikacji przychodzącej i wychodzącej.The reason for this is that most modern protocols and attackers use network-level encryption for inbound and outbound communications. Jedyną wykonalnym obejściem tego problemu jest "mostkowanie SSL", które zapewnia "Autoryzowany man-in-the-middle", który kończy, a następnie ponownie ustanawia zaszyfrowane połączenia sieciowe.The only viable workaround for this is “SSL-bridging” which provides an “authorized man-in-the-middle” that terminates and then reestablishes encrypted network connections. Podejście do mostkowania SSL spada z powodu poziomu zaufania wymaganego dla partnera, na którym działa rozwiązanie, oraz używanych technologii.The SSL-bridging approach has fallen out of favor because of the level of trust required for the partner running the solution and the technologies that are being used.

W oparciu o te uzasadnienie firma Microsoft oferuje rekomendacje, które nie pozwalają na kontynuowanie korzystania z tych starszych technologii zabezpieczeń sieci.Based on this rationale, we offer an all-up recommendation that you discontinue use of these legacy network security technologies. Jednakże, jeśli środowisko organizacyjne ma wpływ na to, że te technologie miały palpable na zapobieganie i wykrywanie rzeczywistych ataków, można rozważyć ich przenoszenie do środowiska chmury.However, if your organizational experience is that these technologies have had a palpable impact on preventing and detecting real attacks, you can consider porting them to your cloud environment.

Zaprojektuj zabezpieczenia podsieci sieci wirtualnejDesign virtual network subnet security

Projektuj sieci wirtualne i podsieci do wzrostu.Design virtual networks and subnets for growth.

Większość organizacji kończy Dodawanie większej liczby zasobów do sieci niż początkowo planowane dla programu.Most organizations end up adding more resources to their networks than they initially planned for. W takim przypadku w celu uwzględnienia dodatkowych zasobów należy ponownie obsłużyć schematy adresów IP i podsieci.When this happens, IP addressing and subnetting schemes need to be refactored to accommodate the extra resources. Jest to proces intensywnie korzystający z pracy.This is a labor-intensive process. Istnieje ograniczona wartość zabezpieczeń podczas tworzenia bardzo dużej liczby małych podsieci, a następnie próba mapowania kontroli dostępu do sieci (takich jak grupy zabezpieczeń) na poszczególne z nich.There is limited security value in creating a very large number of small subnets and then trying to map network access controls (such as security groups) to each of them.

Zalecamy zaplanowanie podsieci na podstawie typowych ról i funkcji, które używają typowych protokołów dla tych ról i funkcji.We recommend that you plan your subnets based on common roles and functions that use common protocols for those roles and functions. Pozwala to na dodawanie zasobów do podsieci bez konieczności wprowadzania zmian w grupach zabezpieczeń, które wymuszają kontrolę dostępu na poziomie sieci.This allows you to add resources to the subnet without needing to make changes to security groups that enforce network level access controls.

Nie należy używać reguł "wszystkie otwarte" dla ruchu przychodzącego i wychodzącego do i z podsieci.Do not use “all open” rules for inbound and outbound traffic to and from subnets. Użyj podejścia sieci "najmniejsze uprawnienia" i Zezwalaj tylko na odpowiednie protokoły.Use a network “least privilege” approach and only allow relevant protocols. Spowoduje to zmniejszenie ogólnej obszaru ataków na sieć.This will decrease your overall network attack surface on the subnet.

Wszystkie otwarte reguły (dopuszczające przychodzące/wychodzące do i z 0.0.0.0-255.255.255.255) zapewniają fałszywe znaczenie zabezpieczeń, ponieważ taka reguła wymusza brak zabezpieczeń.All open rules (allowing inbound/outbound to and from 0.0.0.0-255.255.255.255) provide a false sense of security since such a rule enforces no security at all.

Wyjątkiem jest jednak użycie grup zabezpieczeń tylko do rejestrowania w sieci.However, the exception to this is if you want to use security groups only for network logging. Nie zalecamy tego, ale jest to opcja, jeśli masz inne rozwiązanie kontroli dostępu do sieci.We do not recommend this, but it is an option if you have another network access control solution in place.

Podsieci Virtual Network platformy Azure można zaprojektować w ten sposób.Azure Virtual Network subnets can be designed in this way.

Eliminowanie ataków DDoSMitigate DDoS attacks

Włącz rozproszone rozwiązania typu "odmowa usługi" (DDoS) dla wszystkich aplikacji i usług sieci Web o krytycznym znaczeniu dla firmy.Enable Distributed Denial of Service (DDoS) mitigations for all business-critical web application and services.

Ataki DDoS są powszechnie znane i są łatwo wykonywane przez nieskomplikowane osoby atakujące.DDoS attacks are prevalent and are easily carried out by unsophisticated attackers. Istnieje nawet opcja "DDoS jako usługa" w przypadku ciemnej sieci.There are even “DDoS as a service” options on the dark net. Ataki DDoS mogą być bardzo Debilitating i całkowicie blokować dostęp do usług, a nawet przełączać usługi, w zależności od typu ataku DDoS.DDoS attacks can be very debilitating and completely block access to your services and even take down the services, depending on the type of DDoS attack.

Głównym dostawcą usług w chmurze oferuje DDoSą ochronę usług o zróżnicowanej skuteczności i pojemności.The major cloud service providers offer DDoS protection of services of varying effectiveness and capacity. Dostawcy usług w chmurze zwykle udostępniają dwie opcje ochrony DDoS:The cloud service providers typically provide two DDoS protection options:

  • Ochrona DDoS na poziomie sieci szkieletowej chmury — wszyscy klienci korzystający z usług w chmurze mogą korzystać z tych ochrony.DDoS protection at the cloud network fabric level – all customers of the cloud service provider benefit from these protections. Ochrona jest zwykle ukierunkowana na poziom sieci (warstwa 3).The protection is usually focused at the network (layer 3) level.

  • Ochrona DDoS na wyższych poziomach, które są profilem usług — ten rodzaj ochrony będzie określać linie bazowe wdrożenia, a następnie używać technik uczenia maszynowego do wykrywania nietypowego ruchu i aktywnej ochrony na podstawie ochrony przed obniżeniem poziomu usługiDDoS protection at higher levels that profile your services – this kind of protection will baseline your deployments and then use machine learning techniques to detect anomalous traffic and proactively protect based on their protection before there is service degradation

Zalecamy przyjęcie z góry ochrony wszelkich usług, w których przestoje będą mieć negatywny wpływ na działalność firmy.We recommend that you adopt the advance protection for any services where downtime will have negative impact on the business.

Przykładem zaawansowanej ochrony DDoS jest usługa Azure DDoS Protection.An example of advanced DDoS protection is the Azure DDoS Protection Service.

Podejmowanie decyzji dotyczących zasad ruchu przychodzącego/wychodzącegoDecide upon an internet ingress/egress policy

Wybierz kierowanie ruchu przeznaczonego dla Internetu za pośrednictwem lokalnych urządzeń zabezpieczeń lub zezwalanie na łączność z Internetem za pośrednictwem urządzeń zabezpieczeń sieci opartych na chmurze.Choose to route traffic destined for the Internet through on-premises security devices or allow Internet connectivity through cloud-based network security devices.

Routing ruchu internetowego za poorednictwem urządzeń zabezpieczeń lokalnych sieci jest również znany jako "tunelowanie wymuszone".Routing Internet traffic through on-premises network security devices is also known as “forced tunneling”. W scenariuszu wymuszonego tunelowania wszystkie połączenia z Internetem są wymuszane z powrotem do lokalnych urządzeń zabezpieczeń sieci za pośrednictwem połączenia sieci WAN między różnymi lokalizacjami.In a forced tunneling scenario, all connectivity to the Internet is forced back to on-premises network security devices through a cross-premises WAN link. Celem jest zapewnienie, że zespoły zabezpieczeń sieci mają większe bezpieczeństwo i widoczność ruchu internetowego.The goal is to provide network security teams greater security and visibility for Internet traffic. Nawet jeśli zasoby w chmurze próbują odpowiedzieć na przychodzące żądania z Internetu, odpowiedzi będą wymuszane za pośrednictwem lokalnych urządzeń zabezpieczeń sieci.Even when your resources in the cloud try to respond to incoming requests from the Internet, the responses will be forced through on-premises network security devices.

Alternatywnie Wymuszone tunelowanie pasuje do "rozwinięcia centrum danych" i może dobrze współpracować w celu szybkiego sprawdzenia koncepcji, ale nie skaluje się słabo z powodu zwiększonego obciążenia, opóźnień i kosztów.Alternately, forced tunneling fits a “datacenter expansion” paradigm and can work well for a quick proof of concept, but scales poorly because of the increased traffic load, latency, and cost.

Zalecanym podejściem do użycia w środowisku produkcyjnym jest umożliwienie zasobom chmury zainicjowanie i odpowiedź na żądanie internetowe bezpośrednio za pomocą urządzeń zabezpieczeń sieci w chmurze zdefiniowanych przez strategię internetową.The recommended approach for production enterprise use is to allow cloud resources to initiate and respond to Internet request directly through cloud network security devices defined by your internet edge strategy.

Bezpośrednie podejście internetowe pasuje do n-tego modelu centrum danych (na przykład centra danych platformy Azure są naturalną częścią mojego przedsiębiorstwa).The direct Internet approach fits the Nth datacenter paradigm (for example, Azure datacenters are a natural part of my enterprise). Ta metoda jest znacznie lepsza dla wdrożenia w przedsiębiorstwie, ponieważ usuwa przeskoki, które zwiększają obciążenie, opóźnienie i koszt.This approach scales much better for an enterprise deployment as it removes hops that add load, latency, and cost.

Zalecamy uniknięcie wymuszonego tunelowania dla powodów wymienionych powyżej.We recommend that you avoid forced tunneling for the reasons noted above.

Włącz widoczność sieci rozszerzonejEnable enhanced network visibility

Zwiększoną widoczność sieci należy włączyć przez integrację dzienników sieciowych w celu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak platformy AzureYou should enable enhanced network visibility by integrating network logs into a Security information and event management (SIEM) like Azure Sentinel or a third partner solution such as Splunk, QRadar, or ArcSight ESM.

Zintegrowanie dzienników z urządzeń sieciowych, a nawet pierwotny ruch sieciowy, zapewni lepszy wgląd w potencjalne zagrożenia bezpieczeństwa przepływające przez sieć.Integrating logs from your network devices, and even raw network traffic itself, will provide you greater visibility over potential security threats flowing over the wire. Te informacje dziennika można zintegrować w zaawansowanych rozwiązaniach SIEM lub na innych platformach analitycznych.This log information can be integrated in advanced SIEM solutions or other analytics platforms. Nowoczesne platformy analityczne oparte na uczeniu maszynowym obsługują pozyskiwanie bardzo dużych ilości informacji i szybkie analizowanie dużych zestawów danych.The modern machine learning based analytics platforms support ingestion of extremely large amounts of information and can analyze large datasets very quickly. Ponadto te rozwiązania można dostrajać w celu znacznego zmniejszenia fałszywych alertów pozytywnych.In addition, these solutions can be tuned to significantly reduce false positive alerts.

Przykłady dzienników sieci, które zapewniają widoczność:Examples of network logs that provide visibility include:

Następne krokiNext steps

Aby uzyskać dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft, zobacz dokumentację zabezpieczeń firmy Microsoft.For additional security guidance from Microsoft, see Microsoft security documentation.