Обзор сетевой безопасности Azure

Сетевая безопасность может быть определена как процесс защиты ресурсов от несанкционированного доступа или атаки путем применения элементов управления к сетевому трафику. Целью является разрешение только допустимого трафика. Azure включает в себя надежную сетевую инфраструктуру для удовлетворения требований к взаимодействию приложений и служб. Сетевое взаимодействие возможно между ресурсами в Azure, между локальными и размещенными в Azure ресурсами, а также между Интернетом и Azure.

В этой статье рассматриваются некоторые функции, которые Azure предлагает в области сетевой безопасности. Узнайте о следующем.

  • Сетевые подключения Azure
  • Управление доступом к сети
  • Брандмауэр Azure
  • Безопасный удаленный доступ и межорганизационное взаимодействие
  • Доступность
  • Разрешение имен
  • Архитектура сети периметра (DMZ)
  • Защита от атак DDoS Azure
  • Azure Front Door
  • Диспетчер трафика
  • Мониторинг и обнаружение угроз

Примечание

Для веб-рабочих нагрузок мы настоятельно рекомендуем использовать защиту от атак DDoS Azure и брандмауэр веб-приложения для защиты от новых атак DDoS. Другой вариант — развернуть Azure Front Door вместе с брандмауэром веб-приложения. Azure Front Door обеспечивает защиту на уровне платформы от атак DDoS на уровне сети.

Сетевые подключения Azure

Azure требует подключения виртуальных машин к виртуальной сети Azure. Виртуальная сеть — это логическая конструкция, созданная на основе структуры физических сетей Azure. Все виртуальные сети изолированы друг от друга. Это помогает гарантировать, что сетевой трафик из ваших развертываний недоступен другим клиентам Azure.

Дополнительные сведения:

Управление доступом к сети

Контроль доступа к сети — это процесс подключения с определенных устройств и из определенных подсетей в виртуальной сети. При управлении доступом к сети доступ к виртуальным машинам и службам предоставляется только утвержденным пользователям и устройствам. Механизмы контроля доступа основаны на принятии решений о разрешении или запрете подключений к виртуальной машине или службе либо из них.

Azure поддерживает несколько типов контроля доступа к сети:

  • Контроль сетевого уровня
  • Управление маршрутами и принудительное туннелирование
  • Устройства безопасности виртуальных сетей

Контроль сетевого уровня

Любому безопасному развертыванию требуется определенный уровень контроля доступа к сети. Контроль доступа к сети направлен на ограничение взаимодействий виртуальной машины необходимыми системами. Остальные попытки взаимодействия блокируются.

Примечание

Дополнительные сведения о брандмауэрах хранилища см. в разделе Общие сведения о безопасности службы хранилища Azure.

Правила безопасности сети (NSG)

Если требуется контроль доступа на базовом сетевом уровне(на основе IP-адреса и протоколов TCP или UDP), можно использовать группы безопасности сети (NSGs). NSG — это базовый брандмауэр для фильтрации пакетов с отслеживанием состояния, который позволяет контролировать доступ по 5 кортежам. Группы безопасности сети включают функциональность, чтобы упростить управление и снизить вероятность ошибок настройки.

  • Дополнительные правила безопасности упрощают определение правил группы безопасности сети и позволяют создавать сложные правила вместо множества простых для достижения того же результата.
  • Теги служб — это метки, созданные Майкрософт, для представления группы IP-адресов. Они динамически обновляются, чтобы включить диапазоны IP-адресов, которые удовлетворяют условиям, определяющим включение в метку. Например, чтобы создать правило, которое применяется для всех хранилищ Azure в восточном регионе, можно использовать Storage.EastUS
  • Группы безопасности приложений позволяют развернуть ресурсы в группы приложений и управлять доступом к этим ресурсам путем создания правил, которые используются этими группами приложений. Например, если имеются веб-серверы, развернутые в группу приложений "Webservers", можно создать правило, которое применяется NSG, разрешающее прохождение трафика через порт 443 из Интернета ко всем системам в группе приложений "Webservers".

Группы безопасности сети не обеспечивают проверку на прикладном уровне или механизмы контроля доступа с проверкой подлинности.

Дополнительные сведения:

JIT-доступ к виртуальным машинам в Defender для облака

Microsoft Defender для облака может управлять группами безопасности сети на виртуальных машинах и блокировать доступ к виртуальной машине, пока он не будет запрошен пользователем с соответствующими разрешениями управления доступом Azure на основе ролей Azure RBAC. Если пользователь успешно авторизован, Defender для облака вносит изменения в группы безопасности сети, чтобы разрешить доступ к выбранным портам на указанное время. По истечении времени группы безопасности сети вернутся в исходное состояние защиты.

Дополнительные сведения:

Конечные точки служб

Конечные точки службы — ещё один способ контроля трафика. Используя прямое соединение, можно ограничить взаимодействие с поддерживаемыми службами только вашей виртуальной сетью. Трафик, поступающий из виртуальной сети в указанную службу Azure, остается в магистральной сети Microsoft Azure.

Дополнительные сведения:

Управление маршрутами и принудительное туннелирование

Очень важно управлять поведением маршрутизации в виртуальных сетях. Если маршрутизация настроена неправильно, приложения и службы, размещенные на виртуальной машине, могут подключаться к неавторизованным устройствам, включая системы, принадлежащие потенциальным злоумышленникам.

Сетевые функции Azure поддерживают возможность настройки поведения маршрутизации для сетевого трафика в виртуальных сетях. Это позволяет изменять записи таблицы маршрутизации по умолчанию в виртуальной сети. Управление поведением маршрутизации помогает убедиться, что весь трафик с определенного устройства или из определенной группы устройств входит в виртуальную сеть или выходит из нее через определенное расположение.

Например, в виртуальной сети можно использовать устройство безопасности виртуальной сети. Необходимо убедиться, что весь трафик в виртуальную сеть и из нее проходит через это виртуальное устройство безопасности. Это можно сделать, настроив в Azure определенные пользователем маршруты (UDR).

Принудительное туннелирование — это механизм, который позволяет запрещать службам инициировать подключения к устройствам в Интернете. Обратите внимание, что это отличается от приема входящих подключений и последующего ответа на них. Интерфейсные веб-серверы должны отвечать на запрос от веб-узлов, поэтому трафику из Интернета разрешено поступать на такие веб-серверы, а им в свою очередь разрешено отвечать.

Однако интерфейсный веб-сервер не должен инициировать исходящий запрос. Такие запросы могут представлять угрозу безопасности, так как эти подключения могут использоваться для скачивания вредоносных программ. Даже если вы хотите разрешить этим интерфейсным серверам инициировать исходящие запросы в Интернет, может потребоваться заставить их делать это через ваши локальные веб-прокси. Это позволит воспользоваться преимуществами фильтрации и ведения журнала URL-адресов.

Или можно использовать принудительное туннелирование для предотвращения описанной ситуации. При включении принудительного туннелирования все подключения к Интернету принудительно выполняются через локальный шлюз. Настроить принудительное туннелирование можно, используя определенные пользователем маршруты.

Дополнительные сведения:

Устройства безопасности виртуальных сетей

Группы безопасности сети, определенные пользователем маршруты и принудительное туннелирование предоставляют уровень безопасности на сетевом и транспортном уровнях модели OSI, но иногда возникает необходимость обеспечить защиту на более высоком уровне.

Например, требования безопасности могут включать в себя:

  • Аутентификация и авторизация перед разрешением доступа к приложению
  • Обнаружения и реагирование на атаки
  • Проверка на прикладном уровне для высокоуровневых протоколов
  • Фильтрация URL-адресов
  • Программы защиты от вирусов и вредоносных программ на сетевом уровне
  • Защита от программ-роботов
  • Контроль доступа к приложениям
  • Дополнительная защита от атак DDoS (сверх защиты от атак DDoS, предоставляемой самой структурой Azure)

Доступ к этим улучшенным функциям сетевой безопасности осуществляется с помощью партнерского решения Azure. Последние партнерские решения сетевой безопасности Azure можно найти на сайте Azure Marketplace по запросу "безопасность" и "сетевая безопасность".

Брандмауэр Azure

Брандмауэр Azure — это ориентированная на облако интеллектуальная служба сетевого брандмауэра, обеспечивающая защиту от угроз для облачных рабочих нагрузок в Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Она обеспечивает анализ внутреннего и внешнего трафика.

Брандмауэр Azure предлагается в трех SKU: "Стандартный", "Премиум" и "Базовый". Брандмауэр Azure уровня "Стандартный" обеспечивает фильтрацию уровней L3–L7 и аналитику угроз, реализованные специалистами по кибербезопасности Майкрософт. Брандмауэр Azure уровня "Премиум" предлагает расширенные возможности, в том числе IDPS на основе подписи для быстрого обнаружения атак путем поиска особых паттернов. Брандмауэр Azure "Базовый" — это упрощенный номер SKU, обеспечивающий тот же уровень безопасности, что и номер SKU "Стандартный", но без расширенных возможностей.

Дополнительные сведения:

Безопасный удаленный доступ и межорганизационное взаимодействие

Установка, настройка и управление ресурсов Azure должны выполняться удаленно. Кроме того, вам может потребоваться развернуть гибридные ИТ-решения, компоненты которых находятся как в локальной сети, так и в общедоступном облаке Azure. Подобные сценарии требуют безопасного удаленного доступа.

Сети Azure поддерживают следующие сценарии безопасного удаленного доступа.

  • Подключение отдельных рабочих станций к виртуальной сети
  • Подключение локальной сети к виртуальной с помощью VPN
  • Подключение локальной сети к виртуальной с помощью выделенного канала глобальной сети
  • Подключение виртуальных сетей друг к другу

Подключение отдельных рабочих станций к виртуальной сети

Возможны случаи, когда необходимо разрешить отдельным разработчикам или персоналу управлять виртуальными машинами и службами в Azure. Например, предположим, что вам нужен доступ к виртуальной машине в виртуальной сети. Однако политика безопасности запрещает удаленный доступ по протоколу RDP или SSH к отдельным виртуальным машинам. В таком случае можно использовать VPN-подключение "точка — сеть".

VPN-подключение "точка — сеть" позволяет настроить частное и безопасное подключение между пользователем и виртуальной сетью. Когда VPN-подключение уже установлено, пользователь может установить RDP- или SSH-подключение к любой виртуальной машине в виртуальной сети через канал VPN. (Предполагается, что пользователь авторизован и может пройти аутентификацию.) VPN-шлюз для подключения "точка — сеть" поддерживает:

  • SSTP (Secure Socket Tunneling Protocol) — разработанный корпорацией Майкрософт VPN-протокол на основе SSL. Это решение для VPN-подключений на основе SSL позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для TLS/SSL пользователей TCP-порт 443. Протокол SSTP поддерживается только на устройствах Windows. Azure поддерживает все версии Windows с протоколом SSTP (Windows 7 и более поздние версии).

  • IKEv2 VPN — решение VPN на основе стандартов IPsec. IKEv2 VPN можно использовать для подключения с устройств Mac (OSX версии 10.11 и выше).

  • OpenVPN.

Дополнительные сведения:

Подключение локальной сети к виртуальной с помощью VPN

Вам может понадобиться полностью или частично подключить корпоративную сеть к виртуальной сети. Это типично для гибридных ИТ-сценариев, в которых организации расширяют свой локальный центр обработки данных в Azure. Во многих случаях организации размещают одни части службы в Azure, а другие части — в локальной среде. Например, они могут так поступить, если решение использует интерфейсные веб-серверы, размещенные в Azure, и внутренние базы данных, размещенные в локальной среде. Подобные "межорганизационные" подключения также делают управление ресурсами в Azure более безопасным и позволяют реализовать такие сценарии, как расширение контроллеров домена Active Directory в Azure.

Один из способов достичь такого результата, это использование VPN-подключения типа "сеть — сеть". Разница между VPN-подключением типа "сеть — сеть" и VPN-подключением типа "точка — сеть" состоит в том, что последнее подключает к виртуальной сети отдельное устройство. А VPN-подключение типа "сеть — сеть", в свою очередь, подключает к виртуальной сети всю сеть (например, локальную сеть). VPN-подключения типа "сеть — сеть" к виртуальной сети используют протокол VPN для режима повышенной безопасности туннелирования IPsec.

Дополнительные сведения:

VPN-подключения "точка — сеть" и "сеть — сеть" позволяют эффективно реализовать межорганизационные подключения. Однако некоторые организации усматривают в них следующие недостатки:

  • VPN-подключения перемещают данные через Интернет. Поэтому они подвержены потенциальным проблемам безопасности, касающимся перемещения данных через общедоступную сеть. Кроме того, для подключений к Интернету нельзя гарантировать надежность и доступность.
  • VPN-подключения к виртуальным сетям могут быть ограничены по пропускной способности, предел которой составляет около 200 Мбит/с, чего может не хватать для некоторых приложений и целей.

Организации, нуждающиеся в высоком уровне безопасности и доступности для межорганизационных подключений, обычно используют выделенные каналы глобальной сети для подключения к удаленным сайтам. Azure предоставляет возможность использовать выделенный канал глобальной сети для подключения локальной сети к виртуальной. Для этого применяются Azure ExpressRoute, Express Route Direct и Express Route Global Reach.

Дополнительные сведения:

Подключение виртуальных сетей друг к другу

Для развертываний можно использовать несколько виртуальных сетей. Это может потребоваться по множеству причин. Вам может потребоваться упростить управление или повысить уровень безопасности. Независимо от причины для размещения ресурсов в разных виртуальных сетях могут возникнуть ситуации, когда ресурсы в каждой из сетей должны взаимодействовать друг с другом.

Один из вариантов подключения служб в одной виртуальной сети к службам в другой заключается в "замыкании" через Интернет. Такое подключение запускается в одной виртуальной сети, проходит через Интернет и затем возвращается в целевую виртуальную сеть. Этот вариант подвержен проблемам безопасности, которые присущи всем интернет-соединениям.

Более удачным вариантом может быть создание VPN-подключения типа "сеть — сеть" между двумя виртуальными сетями. В этом методе используется тот же протокол режима туннелирования IPsec, что и в упомянутом выше распределенном VPN-подключении типа "сеть — сеть".

Преимущество этого подхода заключается в том, что VPN-подключение устанавливается в рамках структуры сети Azure, а не через Интернет. Это обеспечивает дополнительный уровень безопасности по сравнению с VPN-подключениями типа "сеть — сеть", устанавливаемыми через Интернет.

Дополнительные сведения:

Другой способ подключения виртуальных сетей — пиринг между виртуальными сетями. Эта функция позволяет подключить две сети Azure таким образом, чтобы обмен данными между ними осуществлялся через магистральную инфраструктуру Майкрософт, не заходя в Интернет. Пиринговая связь между виртуальными сетями позволяет подключать две виртуальные сети в одном регионе или две виртуальные сети в рамках регионов Azure. Группы безопасности сети позволяют ограничить возможность подключения между различными подсетями или системами.

Доступность

Доступность — это ключевой компонент любой программы безопасности. Если пользователям и компьютерам не удается получить доступ к желаемым ресурсам по сети, службу можно считать скомпрометированной. В Azure применяются сетевые технологии, поддерживающие следующие механизмы обеспечения высокой доступности:

  • балансировка нагрузки на основе HTTP;
  • балансировка нагрузки на сетевом уровне;
  • глобальная балансировка нагрузки.

Балансировки нагрузки — это механизм, позволяющий равномерно распределить соединения между несколькими устройствами. Он призван выполнять следующие задачи:

  • Повышение доступности. При балансировке нагрузки подключений между несколькими устройствами одно или несколько устройств могут стать недоступными, не нарушая работы службы. Службы, запущенные на работающих устройствах, смогут продолжать обслуживать содержимое из службы.
  • Повышение производительности. При балансировке нагрузки подключений между несколькими устройствами отдельное устройство не должно выполнять всю обработку. Вместо этого требования к ресурсам процессора и памяти для обслуживания содержимого распределяются между несколькими устройствами.

балансировка нагрузки на основе HTTP;

Организации, использующие веб-службы, часто стремятся расположить перед ними подсистему балансировки нагрузки на основе HTTP. Это помогает гарантировать достаточные уровни производительности и высокой доступности. Традиционные подсистемы балансировки нагрузки на основе сети зависят от протоколов сетевого и транспортного уровней. Подсистемы балансировки нагрузки на основе HTTP, в свою очередь, принимают решения на основе характеристик протокола HTTP.

Шлюз приложений Azure обеспечивает балансировку нагрузки на основе HTTP для веб-служб. Шлюз приложений поддерживает следующие функции:

  • Сходство сеансов на основе файлов cookie. Эта возможность гарантирует, что подключения, установленные с одним из серверов в зоне действия подсистемы балансировки нагрузки между клиентом и сервером, сохраняются. Этим обеспечивается стабильность транзакций.
  • Разгрузка TLS. Когда клиент подключается к подсистеме балансировки нагрузки, сеанс шифруется с помощью протокола HTTPS (TLS). Однако для повышения производительности можно установить соединение между подсистемой балансировки нагрузки и веб-сервером в ее зоне действия с использованием протокола HTTP (без шифрования). Это называется "разгрузкой TLS", так как для веб-серверов в зоне действия подсистемы балансировки нагрузки отсутствуют дополнительные затраты ресурсов процессора, связанные с шифрованием. Это позволяет веб-серверам быстрее обслуживать запросы.
  • Маршрутизация содержимого на основе URL-адресов. Эта функция позволяет подсистеме балансировки нагрузки принимать решения о том, куда направлять подключения с учетом целевого URL-адреса. Это обеспечивает гораздо большую гибкость по сравнению с решениями, где решения о балансировке нагрузки принимаются на основе IP-адресов.

Дополнительные сведения:

балансировка нагрузки на сетевом уровне;

В отличие от балансировки нагрузки на основе HTTP, функция балансировки нагрузки на сетевом уровне принимает решения на основе IP-адреса и номера порта (TCP или UDP). Преимуществами балансировки нагрузки на сетевом уровне в Azure можно воспользоваться с помощью Azure Load Balancer. К ключевым характеристикам Load Balancer относятся:

  • Балансировка нагрузки на сетевом уровне на основе IP-адреса и номера порта.
  • Поддержка любого протокола прикладного уровня.
  • Балансировка нагрузки для виртуальных машин и экземпляров ролей облачных служб в Azure.
  • Возможность использования для приложений и виртуальных машин с выходом в Интернет (внешняя балансировка нагрузки) и без него (внутренняя балансировка нагрузки).
  • Мониторинг конечных точек, позволяющий определить недоступность какой-либо службы в зоне действия подсистемы балансировки нагрузки.

Дополнительные сведения:

глобальная балансировка нагрузки.

В некоторых организациях требуется максимально возможный уровень доступности. Один из способов его достижения заключается в размещении приложений в глобально распределенных центрах обработки данных. Когда приложение размещается в центрах обработки данных, расположенных по всему миру, целый геополитический регион может стать недоступным, но приложение все равно будет работать.

Эта стратегия балансировки нагрузки может также обеспечить преимущества производительности. Запросы на обслуживание можно направлять в центр обработки данных, расположенный ближе всего к запрашивающему устройству.

В Azure преимуществами глобальной балансировки нагрузки можно воспользоваться с помощью диспетчера трафика Azure.

Дополнительные сведения:

Разрешение имен

Разрешение имен является критической функцией для всех служб, размещаемых в Azure. С точки зрения безопасности компрометация функции разрешения имен может привести к тому, что злоумышленник сможет переадресовывать запросы с ваших веб-сайтов на свой. Безопасное разрешение имен является обязательным требованием для всех размещенных в облаке служб.

Существует два типа разрешения имен, которые необходимо учитывать:

  • Внутреннее разрешение имен. Эта функция используется службами в виртуальных сетях и локальных сетях как по отдельности, так и совместно. Имена, используемые для внутреннего разрешения имен, недоступны через Интернет. Для обеспечения оптимальной безопасности важно, чтобы схема внутреннего разрешения имен оставалась недоступной для внешних пользователей.
  • Внешнее разрешение имен. Эта функция используется пользователями и устройствами за пределами локальных и виртуальных сетей. Это имена, которые видны в Интернете и используются для направления подключения к облачным службам.

Для внутреннего разрешения имен доступно два варианта:

  • DNS-сервер виртуальной сети. При создании виртуальной сети автоматически создается DNS-сервер. Этот DNS-сервер может разрешать имена компьютеров, расположенных в этой виртуальной сети. Этот DNS-сервер не настраивается, им управляет диспетчер структур Azure, что превращает его в безопасное решение для разрешения имен.
  • Использование собственного DNS-сервера. Вы можете поместить в виртуальную сеть собственный DNS-сервер. Это может быть DNS-сервер, интегрированный с Active Directory, либо выделенный DNS-сервер, предоставляемый партнером Azure в Azure Marketplace.

Дополнительные сведения:

Для разрешения внешних имен доступны два варианта:

  • Размещение собственного внешнего DNS-сервера в локальной среде.
  • Размещение собственного внешнего DNS-сервера у поставщика услуг.

Многие крупные организации размещают собственные DNS-серверы в локальной среде. Это становится возможным благодаря их богатому опыту работы с сетями и глобальному присутствию.

В большинстве случаев лучше разместить свои службы разрешения имен DNS у поставщика услуг. Такие поставщики услуг обладают опытом работы с сетями и глобальным присутствием, позволяющими обеспечить высокую доступность для ваших служб разрешения имен. Доступность имеет такое значение для служб DNS, так как в случае сбоя служб разрешения имен никто не сможет подключиться к вашим службам с выходом в Интернет.

Azure предоставляет высокодоступное и высокопроизводительное решение внешней службы доменных имен (DNS) в виде Azure DNS. Это решение внешнего разрешения имен позволяет воспользоваться преимуществами всемирной инфраструктуры Azure DNS. Это позволяет разместить домен в Azure с использованием тех же учетных данных, API, инструментов и функций выставления счетов, что и для других служб Azure. Являясь частью Azure, это решение также наследует надежные средства обеспечения безопасности, которые уже встроены в платформу.

Дополнительные сведения:

  • Обзор Azure DNS
  • Частные зоны Azure DNS позволяют настроить личные DNS-имена для ресурсов Azure, вместо автоматически назначаемых имен без необходимости добавления собственной системы DNS.

Архитектура сети периметра

Множество крупных организаций использует сети периметра для сегментирования сетей, чтобы создать буферную зону между Интернетом и их службами. Зона периметра сети считается обладающей низким уровнем безопасности, поэтому никакие ценные ресурсы в этом сегменте сети не размещаются. Как правило, вы имеете дело с сетевыми устройствами безопасности, использующими сетевой интерфейс в сегменте сети периметра. Другой сетевой интерфейс подключается к сети, содержащей виртуальные машины и службы, которые принимают входящие подключения из Интернета.

Сети периметра можно проектировать различными способами. Принятие решения о развертывании сети периметра и выбор ее типа зависят от требований безопасности сети.

Дополнительные сведения:

Защита от атак DDoS Azure

Распределенные атаки типа "отказ в обслуживании" (DDoS) — это одна из наиболее крупных угроз доступности и безопасности, с которой сталкиваются клиенты, перемещающие свои приложения в облако. Целью DDoS-атаки является исчерпание ресурсов приложения, чтобы оно стало недоступным для обычных пользователей. Атаку DDoS можно направить на любую конечную точку, публично доступную через Интернет.

К функциям защиты от атак DDoS относятся:

  • Интеграция с собственной платформой: изначальная интеграция в Azure. Включает в себя настройку на портале Azure. Защита от атак DDoS понимает ваши ресурсы и конфигурацию ресурсов.
  • Защита под ключ: Упрощенная конфигурация немедленно защищает все ресурсы в виртуальной сети сразу после включения защиты от атак DDoS. От пользователя не требуется никаких действий или настроек. Защита от атак DDoS мгновенно и автоматически устраняет атаку после ее обнаружения.
  • Постоянный мониторинг трафика: Трафик вашего приложения круглосуточно и ежедневно проверяется на наличие признаков DDoS-атак. В случае превышения показателей в политиках защиты выполняется устранение рисков.
  • Отчеты по устранению рисков атак используют агрегированные данные о сетевых потоках для отображения подробных сведений об атаках на ваши ресурсы.
  • Журналы потоков устранения рисков атак позволяют просмотреть отброшенный трафик, перенаправленный трафик и другие данные об атаках практически в режиме реального времени в ходе атаки DDoS.
  • Адаптивная настройка. Система интеллектуального профилирования трафика изучает трафик вашего приложения с течением времени и выбирает и обновляет профиль, который лучше всего подходит для вашей службы. Этот профиль корректируется с изменением трафика с течением времени. Защита для уровней от 3 до 7: при использовании брандмауэром веб-приложения предоставляется полная комплексная защита от атак DDoS.
  • Широкий диапазон устраняемых атак. Защита от более чем 60 различных типов известных DDoS-атак, для борьбы с крупнейшими из которых используются все возможности глобальной сети Azure.
  • Метрики атак. В Azure Monitor доступны обобщенные метрики для каждой атаки.
  • Оповещения об атаках. Вы можете настроить оповещения в начале, конце и на протяжении атаки, используя встроенные метрики атаки. Оповещения интегрируются в операционное программное обеспечение, такое как Microsoft Azure Monitor, Splunk, служба хранилища Azure, программы для работы с электронной почтой и портал Azure.
  • Все затраты включены: затраты на передачу данных и масштабирование приложения для устранения известных DDoS-атак включены в расценки за использование службы.
  • Быстрое реагирование на DDoS Клиенты защиты от атак DDoS теперь имеют доступ к группе быстрого реагирования во время активной атаки. Они помогут вам расследовать атаку, применить персонализированные методы устранения рисков во время атаки и провести анализ после атаки.

Дополнительные сведения:

Azure Front Door

Служба Azure Front Door позволяет определять, администрировать и отслеживать глобальную маршрутизацию веб-трафика. Она оптимизирует маршрутизацию трафика, чтобы повысить производительность и уровень доступности. Azure Front Door позволяет создавать собственные правила брандмауэра веб-приложений (WAF) для управления доступом, чтобы защитить рабочую нагрузку HTTP/HTTPS от различных угроз на основе параметров IP-адресов клиента, кода страны и протокола http. Кроме того, Front Door позволяет создавать правила ограничения скорости для защиты от вредоносных ботов, поддерживает разгрузку TLS, обработку отдельных запросов HTTP и HTTPS, а также обработку на уровне приложений.

Для защиты самой платформы Front Door применяется Защита от атак DDoS Azure на уровне инфраструктуры. Для дальнейшей защиты в виртуальных сетях можно включить защиту сети Azure от атак DDoS и защитить ресурсы от атак на сетевом уровне (TCP/UDP) с помощью автоматической настройки и устранения рисков. Служба Front Door — это обратный прокси-сервер уровня 7, который по умолчанию пропускает веб-трафик только к внутренним серверам и блокирует другие типы трафика.

Примечание

Для веб-рабочих нагрузок мы настоятельно рекомендуем использовать защиту от атак DDoS Azure и брандмауэр веб-приложения для защиты от новых атак DDoS. Другой вариант — развернуть Azure Front Door вместе с брандмауэром веб-приложения. Azure Front Door обеспечивает защиту на уровне платформы от атак DDoS на уровне сети.

Дополнительные сведения:

  • Дополнительные сведения о полном наборе возможностей Azure Front Door вы можете просмотреть в статье Что такое Azure Front Door Service?

Диспетчер трафика Azure

Диспетчер трафика Azure — это подсистема балансировки нагрузки трафика на основе DNS, которая позволяет оптимально распределять трафик между службами во всех регионах Azure, обеспечивая высокий уровень доступности и скорости реагирования. Диспетчер трафика использует DNS для направления клиентских запросов к наиболее подходящей конечной точке службы в зависимости от метода маршрутизации трафика и работоспособности конечных точек. Конечная точка — это любая служба, размещенная в среде Azure или за ее пределами, с доступом в Интернет. Диспетчер трафика отслеживает конечные точки и не передает трафик на недоступные конечные точки.

Дополнительные сведения:

Мониторинг и обнаружение угроз

В этой важной сфере Azure предоставляет возможности, которые помогут вам обнаруживать угрозы на ранних этапах, выполнять мониторинг, а также собирать и просматривать сетевой трафик.

Наблюдатель за сетями Azure

Служба «Наблюдатель за сетями» поможет при устранении неполадок. Она предоставляет абсолютно новый набор инструментов, помогающих идентифицировать проблемы безопасности.

Представление групп безопасности помогает обеспечивать соответствие виртуальных машин требованиям аудита и безопасности. Эта функция предназначена для выполнения программного аудита путем сравнения базовых политик, определенных в организации, с правилами, действующими для каждой из виртуальных машин. Это может помочь выявить любые отклонения конфигурации.

Запись пакетов позволяет записывать входящий и исходящий сетевой трафик виртуальной машины. Вы можете собирать сетевую статистику и устранять неполадки приложений, что может быть бесценно при расследовании вторжений в сеть. Эту функцию можно использовать вместе со службой «Функции Azure», чтобы записывать сетевые данные в ответ на определенные оповещения Azure.

Дополнительные сведения о службе «Наблюдатель за сетями» и о том, как приступить к тестированию некоторых функциональных возможностей в лабораториях, доступны в обзоре мониторинга с помощью службы «Наблюдатель за сетями Azure».

Примечание

Актуальные сведения о доступности и состоянии этой службы доступны на странице обновлений Azure.

Microsoft Defender для облака

Microsoft Defender для облака помогает предотвращать, обнаруживать и реагировать на угрозы, а также повышает прозрачность и усиливает контроль за безопасностью ресурсов Azure. Он включает встроенные функции мониторинга безопасности и управления политиками для подписок Azure, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует со множеством решений по обеспечению безопасности.

Defender для облака позволяет оптимизировать систему безопасности сети и следить за ней благодаря следующим возможностям:

  • предоставление рекомендаций по обеспечению безопасности сети;
  • мониторинг состояния конфигурации безопасности сети;
  • вывод оповещений об угрозах для системы безопасности сети как на уровне конечной точки, так и на сетевом уровне.

Дополнительные сведения:

TAP виртуальной сети

TAP (точка доступа к терминалу) виртуальной сети Azure позволяет непрерывно передавать сетевой трафик виртуальной машины в сборщик сетевых пакетов или средство аналитики. Сборщик сетевых пакетов или средство аналитики предоставляются партнером-разработчиком сетевого виртуального устройства. Один и тот же ресурс TAP виртуальной сети позволяет объединять трафик из разных сетевых интерфейсов в одной и той же или разных подписках.

Дополнительные сведения:

Ведение журнала

Ведение журнала на сетевом уровне является ключевой функцией для любого сценария безопасности сети. В Azure данные, полученные для групп безопасности сети, можно регистрировать в журнале для получения данных на сетевом уровне. При ведении журнала групп безопасности сети данные получают из следующих источников:

  • Журналы действий. С помощью этих журналов можно просмотреть все операции, отправленные для ваших подписок Azure. Эти журналы включены по умолчанию и доступны на портале Azure. Ранее они назывались журналами аудита или операционными журналами.
  • Журналы событий. Эти журналы содержат информацию о примененных правилах NSG.
  • Журналы счетчиков. Эти журналы позволяет просмотреть, сколько раз каждое правило NSG было применено для запрета или разрешения трафика.

Для просмотра и анализа этих журналов можно также использовать эффективное средство визуализации данных Microsoft Power BI. Дополнительные сведения: