Bästa praxis för nätverkssäkerhet för AzureAzure best practices for network security

Den här artikeln beskriver en uppsättning Metodtips för Azure att förbättra nätverkssäkerheten.This article discusses a collection of Azure best practices to enhance your network security. Dessa metodtips härleds från vår erfarenhet av Azure-nätverk och erfarenheter från kunder som dig själv.These best practices are derived from our experience with Azure networking and the experiences of customers like yourself.

Den här artikeln förklarar för varje skull:For each best practice, this article explains:

  • Vad den bästa metoden ärWhat the best practice is
  • Varför du vill aktivera den bästa praxisWhy you want to enable that best practice
  • Vad kan vara resultatet om du inte aktivera den bästa metodenWhat might be the result if you fail to enable the best practice
  • Möjliga alternativ till den bästa praxisPossible alternatives to the best practice
  • Hur du kan lära dig att aktivera ett metodtipsHow you can learn to enable the best practice

Dessa metodtips baseras på en konsensus-åsikter och funktioner för Azure-plattformen och funktioner, som de finns på den tid som den här artikeln skrevs.These best practices are based on a consensus opinion, and Azure platform capabilities and feature sets, as they exist at the time this article was written. Andras åsikter och tekniker som ändras med tiden och den här artikeln kommer att uppdateras regelbundet att återspegla dessa ändringar.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Använd starka nätverkskontrollerUse strong network controls

Du kan ansluta virtuella Azure-datorer (VM) och till andra nätverksenheter genom att placera dem på virtuella Azure-nätverk.You can connect Azure virtual machines (VMs) and appliances to other networked devices by placing them on Azure virtual networks. Det vill säga kan du ansluta virtuella nätverkskort till ett virtuellt nätverk till att tillåta TCP/IP-baserad kommunikation mellan nätverk-aktiverade enheter.That is, you can connect virtual network interface cards to a virtual network to allow TCP/IP-based communications between network-enabled devices. Virtuella datorer är anslutna till en Azure-nätverk kan ansluta till enheter på samma virtuella nätverk, olika virtuella nätverk, internet eller dina egna lokala nätverk.Virtual machines connected to an Azure virtual network can connect to devices on the same virtual network, different virtual networks, the internet, or your own on-premises networks.

När du planerar nätverket och säkerheten i nätverket, rekommenderar vi att du centralisera:As you plan your network and the security of your network, we recommend that you centralize:

  • Hantering av core nätverksfunktioner som ExpressRoute, virtuellt nätverk och undernät etablering och IP-adresser.Management of core network functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.
  • Styrning av nätverkselement för säkerhet, till exempel virtuell installation av nätverksfunktioner som ExpressRoute, virtuellt nätverk och undernät etablering och IP-adresser.Governance of network security elements, such as network virtual appliance functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.

Om du använder en gemensam uppsättning verktyg för att övervaka ditt nätverk och säkerheten för ditt nätverk kan få direkt insyn i både.If you use a common set of management tools to monitor your network and the security of your network, you get clear visibility into both. Ett enkelt, enhetligt säkerhetsstrategi minskar risken för fel eftersom det ökar mänskliga kunskaper och tillförlitligheten för automation.A straightforward, unified security strategy reduces errors because it increases human understanding and the reliability of automation.

Logiskt segment undernätLogically segment subnets

Azure-nätverk liknar LAN i ditt lokala nätverk.Azure virtual networks are similar to LANs on your on-premises network. Tanken bakom Azure-nätverk är att du skapar ett nätverk, baserat på en enda privat IP-adressutrymme, där du kan placera alla virtuella datorer i Azure.The idea behind an Azure virtual network is that you create a network, based on a single private IP address space, on which you can place all your Azure virtual machines. De privata IP-adressutrymmena tillgängliga finns i klass A (10.0.0.0/8), klass B (172.16.0.0/12) och klass C (192.168.0.0/16) intervall.The private IP address spaces available are in the Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.

Metodtips för logiskt segmentera undernät är:Best practices for logically segmenting subnets include:

Bästa praxis: Tilldela inte tillåter regler med bred intervall (till exempel Tillåt 0.0.0.0 via 255.255.255.255).Best practice: Don’t assign allow rules with broad ranges (for example, allow 0.0.0.0 through 255.255.255.255).
Information om: Se till att felsökningsanvisningar hindra eller stänga av hur du konfigurerar dessa typer av regler.Detail: Ensure troubleshooting procedures discourage or ban setting up these types of rules. Dessa är kan regler leda till en falsk känsla av säkerhet och ofta hittades utnyttjas av red teamThese allow rules lead to a false sense of security and are frequently found and exploited by red teams.

Bästa praxis: Segmentera större adressutrymmet i undernät.Best practice: Segment the larger address space into subnets.
Information om: Använd CIDR-baserade undernät principer för att skapa dina undernät.Detail: Use CIDR-based subnetting principles to create your subnets.

Bästa praxis: Skapa åtkomstkontroll för nätverk mellan undernät.Best practice: Create network access controls between subnets. Routning mellan undernät sker automatiskt och du behöver inte konfigurera routningstabeller manuellt.Routing between subnets happens automatically, and you don’t need to manually configure routing tables. Som standard finns inga åtkomstkontroller för nätverk mellan undernät som du skapar på Azure-nätverk.By default, there are no network access controls between the subnets that you create on an Azure virtual network.
Information om: Använd en nätverkssäkerhetsgrupp som skydd mot oönskad trafik i Azure-undernät.Detail: Use a network security group to protect against unsolicited traffic into Azure subnets. Nätverkssäkerhetsgrupper är enkel, tillståndskänsliga paketinspektion enheter som använder metoden 5-tuppel (käll-IP, källport, mål-IP, målport och protocol layer 4) skapa tillåta/neka regler för nätverkstrafik.Network security groups are simple, stateful packet inspection devices that use the 5-tuple approach (source IP, source port, destination IP, destination port, and layer 4 protocol) to create allow/deny rules for network traffic. Du tillåter eller nekar trafik till och från en enskild IP-adress, till och från flera IP-adresser, eller till och från hela undernät.You allow or deny traffic to and from a single IP address, to and from multiple IP addresses, or to and from entire subnets.

När du använder nätverkssäkerhetsgrupper för network access control mellan undernät, kan du placera resurser som tillhör samma säkerhetszon eller roll i sina egna undernät.When you use network security groups for network access control between subnets, you can put resources that belong to the same security zone or role in their own subnets.

Bästa praxis: Undvik att små virtuella nätverk och undernät så enkelt och flexibelt.Best practice: Avoid small virtual networks and subnets to ensure simplicity and flexibility.
Information om: De flesta organisationer lägga till fler resurser än inledningsvis planerat och omfördelning av adresser är arbete beräkningsintensiva.Detail: Most organizations add more resources than initially planned, and re-allocating addresses is labor intensive. Använda små undernät mervärde för begränsad säkerhet och mappa en nätverkssäkerhetsgrupp till varje undernät lägger till overhead.Using small subnets adds limited security value, and mapping a network security group to each subnet adds overhead. Definiera undernät brett för att säkerställa att du har möjlighet att växa.Define subnets broadly to ensure that you have flexibility for growth.

Bästa praxis: Förenkla nätverk säkerhetshantering grupp regeln genom att definiera Programsäkerhetsgrupper.Best practice: Simplify network security group rule management by defining Application Security Groups.
Information om: Definiera en Programsäkerhetsgrupp för en lista över IP-adresser som du tror kan ändras i framtiden eller användas i många nätverkssäkerhetsgrupper.Detail: Define an Application Security Group for lists of IP addresses that you think might change in the future or be used across many network security groups. Var noga med att namnet programsäkerhet grupper tydligt så andra kan förstå deras innehåll och syftet.Be sure to name Application Security Groups clearly so others can understand their content and purpose.

Anta en lita på noll-metodAdopt a Zero Trust approach

Perimeter-baserade nätverk fungerar på antagandet att alla system i ett nätverk är betrodd.Perimeter-based networks operate on the assumption that all systems within a network can be trusted. Men dagens medarbetare åtkomst till organisationens resurser från valfri plats på en mängd olika enheter och appar, vilket gör perimeter säkerhetskontroller irrelevanta.But today’s employees access their organization’s resources from anywhere on a variety of devices and apps, which makes perimeter security controls irrelevant. Principer för åtkomstkontroll som fokuserar endast på vem som kan komma åt en resurs är inte tillräckligt.Access control policies that focus only on who can access a resource are not enough. Om du vill balans mellan säkerhet och produktivitet, säkerhetsadministratörer måste också ta hänsyn till hur en resurs används.To master the balance between security and productivity, security admins also need to factor in how a resource is being accessed.

Nätverk som behöver utveckla från traditionella försvar eftersom nätverk kan vara sårbara för överträdelser: en angripare kan påverka en enda slutpunkt inom betrodda gräns och snabbt utöka en fot i hela nätverket.Networks need to evolve from traditional defenses because networks might be vulnerable to breaches: an attacker can compromise a single endpoint within the trusted boundary and then quickly expand a foothold across the entire network. Noll förtroende nätverk eliminera begreppet förtroende baserat på nätverksplats i ett perimeternätverk.Zero Trust networks eliminate the concept of trust based on network location within a perimeter. I stället använda noll förtroende arkitekturer enhets- och förtroende-anspråk som förhindrar åtkomst till organisationens data och resurser.Instead, Zero Trust architectures use device and user trust claims to gate access to organizational data and resources. Anta noll förtroende metoder som validerar förtroende vid tidpunkten för åtkomstkontroll för nya initiativ.For new initiatives, adopt Zero Trust approaches that validate trust at the time of access.

Bästa praxis är:Best practices are:

Bästa praxis: Ge villkorlig åtkomst till resurser baserat på enhet, identitet, assurance, nätverksplats och mycket mer.Best practice: Give Conditional Access to resources based on device, identity, assurance, network location, and more.
Information om: Azure AD villkorsstyrd åtkomst kan du tillämpa rätt åtkomstkontroller genom att implementera automatiserade besluten om åtkomstkontroll baserat på de nödvändiga villkor.Detail: Azure AD Conditional Access lets you apply the right access controls by implementing automated access control decisions based on the required conditions. Mer information finns i hantera åtkomst till Azure-hantering med villkorlig åtkomst.For more information, see Manage access to Azure management with Conditional Access.

Bästa praxis: Aktivera portåtkomst förrän arbetsflöde för godkännande.Best practice: Enable port access only after workflow approval.
Information om: Du kan använda åtkomst till Virtuella just-in-time i Azure Security Center för att låsa inkommande trafik till dina virtuella Azure-datorer minskar exponeringen för attacker samtidigt som det ger enkel åtkomst till att ansluta till virtuella datorer när det behövs.Detail: You can use just-in-time VM access in Azure Security Center to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Bästa praxis: Bevilja tillfällig behörigheter att utföra Privilegierade åtgärder, vilket förhindrar skadliga eller obehöriga användare från att få åtkomst när behörigheterna som har upphört att gälla.Best practice: Grant temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. Åtkomst beviljas endast när användare behöver den.Access is granted only when users need it.
Information om: Använd just-in-time-åtkomst i Azure AD Privileged Identity Management eller i en lösning från tredje part för att bevilja behörighet att utföra Privilegierade uppgifter.Detail: Use just-in-time access in Azure AD Privileged Identity Management or in a third-party solution to grant permissions to perform privileged tasks.

Noll förtroende är en vidareutveckling i nätverkssäkerhet.Zero Trust is the next evolution in network security. Tillståndet för cyberattacker Driver organisationer att dra tänkesätt ”förutsätta intrång”, men den här metoden får inte vara begränsande.The state of cyberattacks drives organizations to take the “assume breach” mindset, but this approach shouldn’t be limiting. Noll förtroende-nätverk kan du skydda företagets data och resurser samtidigt som man säkerställer att organisationer kan skapa en modern arbetsplats med hjälp av tekniker som gör det möjligt för anställda att vara produktiva när som helst, var som helst, på något sätt.Zero Trust networks protect corporate data and resources while ensuring that organizations can build a modern workplace by using technologies that empower employees to be productive anytime, anywhere, in any way.

Kontrollera funktionssättet för RoutningControl routing behavior

När du placerar en virtuell dator på Azure-nätverk måste kan den virtuella datorn ansluta till andra virtuella datorer på samma virtuella nätverk, även om andra virtuella datorer finns i olika undernät.When you put a virtual machine on an Azure virtual network, the VM can connect to any other VM on the same virtual network, even if the other VMs are on different subnets. Detta är möjligt eftersom en uppsättning systemvägar aktiverad som standard tillåter den här typen av kommunikation.This is possible because a collection of system routes enabled by default allows this type of communication. Dessa standardvägar att virtuella datorer på samma virtuella nätverk initierar anslutningar med varandra och med internet (för utgående kommunikation till endast internet).These default routes allow VMs on the same virtual network to initiate connections with each other, and with the internet (for outbound communications to the internet only).

Standardvägar som system är användbara för flera olika distributionsscenarier, finns men det tillfällen när du vill anpassa routningskonfiguration för dina distributioner.Although the default system routes are useful for many deployment scenarios, there are times when you want to customize the routing configuration for your deployments. Du kan konfigurera adress för nästa hopp för att nå specifika mål.You can configure the next-hop address to reach specific destinations.

Vi rekommenderar att du konfigurerar användardefinierade vägar när du distribuerar en säkerhetsapparat för ett virtuellt nätverk.We recommend that you configure user-defined routes when you deploy a security appliance for a virtual network. Vi pratar om detta i ett senare avsnitt som heter skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk.We talk about this in a later section titled secure your critical Azure service resources to only your virtual networks.

Anteckning

Användardefinierade vägar är inte obligatoriska och standardvägar som systemet fungerar normalt.User-defined routes are not required, and the default system routes usually work.

Använda virtuella nätverksinstallationerUse virtual network appliances

Nätverkssäkerhetsgrupper och användardefinierad routning kan ge en viss grad av nätverkssäkerhet på Nätverks- och plattformsnivå av den OSI-modell.Network security groups and user-defined routing can provide a certain measure of network security at the network and transport layers of the OSI model. Men i vissa situationer kan du vilja eller behöva aktivera säkerhet på hög nivå av stacken.But in some situations, you want or need to enable security at high levels of the stack. I så fall rekommenderar vi att du distribuerar virtuella nätverket säkerhetsenheter som tillhandahålls av Azure-partner.In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

Azure funktioner för nätverkssäkerhet kan leverera bättre säkerhet än vad på nätverksnivå kontroller som ger.Azure network security appliances can deliver better security than what network-level controls provide. Nätverk säkerhetsfunktioner för virtuella funktioner för nätverkssäkerhet:Network security capabilities of virtual network security appliances include:

  • BrandväggsfunktionerFirewalling
  • Identifiering/intrång intrångsskyddIntrusion detection/intrusion prevention
  • Hantering av sårbarhetVulnerability management
  • ProgramkontrollApplication control
  • Nätverksbaserade avvikelseidentifieringNetwork-based anomaly detection
  • WebbfiltreringWeb filtering
  • AntivirusAntivirus
  • Botnet-skyddBotnet protection

För att hitta tillgängliga Azure-nätverk säkerhetsenheter, går du till den Azure Marketplace och Sök efter ”säkerhet” och ”nätverkssäkerhet”.To find available Azure virtual network security appliances, go to the Azure Marketplace and search for “security” and “network security.”

Distribuera perimeternätverk för säkerhetszonerDeploy perimeter networks for security zones

En perimeternätverk (även kallat DMZ) är en fysisk eller logisk nätverkssegment som ger ett extra lager av säkerhet mellan dina tillgångar och internet.A perimeter network (also known as a DMZ) is a physical or logical network segment that provides an additional layer of security between your assets and the internet. Särskild åtkomstkontroll nätverksenheter i utkanten av ett perimeternätverk tillåta endast önskad trafik till ditt virtuella nätverk.Specialized network access control devices on the edge of a perimeter network allow only desired traffic into your virtual network.

Perimeternätverk är användbara eftersom du kan fokusera dina nätverkshantering av åtkomstkontroll, övervakning, loggning och rapportering på enheter i utkanten av Azure-nätverk.Perimeter networks are useful because you can focus your network access control management, monitoring, logging, and reporting on the devices at the edge of your Azure virtual network. Ett perimeternätverk är vanligtvis där du aktivera distribuerade denial of service (DDoS) dataförlustskydd, intrång identifiering/intrång förebyggande system (IDS/IPS), brandväggsregler och principer, webbfiltrering, network program mot skadlig kod och mer.A perimeter network is where you typically enable distributed denial of service (DDoS) prevention, intrusion detection/intrusion prevention systems (IDS/IPS), firewall rules and policies, web filtering, network antimalware, and more. Nätverkssäkerhetsenheter mellan internet och Azure-nätverk och har ett användargränssnitt på båda nätverken.The network security devices sit between the internet and your Azure virtual network and have an interface on both networks.

Det här är den grundläggande utformningen av ett perimeternätverk, men det finns många olika konstruktionerna som sekvens efter varandra, tre-homed och flera IP-adresser.Although this is the basic design of a perimeter network, there are many different designs, like back-to-back, tri-homed, and multi-homed.

Baserat på noll förtroende-konceptet som nämnts tidigare, rekommenderar vi att du överväga att använda ett perimeternätverk för alla distributioner med hög säkerhet till nivån på nätverket säkerhet och åtkomstkontroll för dina Azure-resurser.Based on the Zero Trust concept mentioned earlier, we recommend that you consider using a perimeter network for all high security deployments to enhance the level of network security and access control for your Azure resources. Du kan använda Azure eller en lösning från tredje part för att tillhandahålla ett ytterligare säkerhetslager mellan dina tillgångar och internet:You can use Azure or a third-party solution to provide an additional layer of security between your assets and the internet:

  • Azure interna kontroller.Azure native controls. Azure-brandväggen och Brandvägg för webbaserade program i Application Gateway erbjuder grundläggande säkerhet med en fullständigt administrerad brandvägg som en tjänst, inbyggd hög tillgänglighet, obegränsade molnskalbarhet FQDN filtrering , stöd för OWASP core rule sets och enkel installation och konfiguration.Azure Firewall and the web application firewall in Application Gateway offer basic security with a fully stateful firewall as a service, built-in high availability, unrestricted cloud scalability, FQDN filtering, support for OWASP core rule sets, and simple setup and configuration.
  • Erbjudanden från tredje part.Third-party offerings. Sök efter den Azure Marketplace för nästa generations brandvägg (NGFW) och erbjudanden från tredje part som tillhandahåller välbekanta säkerhetsverktyg och avsevärt förbättrat nivåer av nätverkssäkerhet.Search the Azure Marketplace for next-generation firewall (NGFW) and other third-party offerings that provide familiar security tools and significantly enhanced levels of network security. Konfigurationen kan vara mer komplexa, men ett erbjudande från tredje part kan tillåta dig att använda befintliga funktioner och kompetens.Configuration might be more complex, but a third-party offering might allow you to use existing capabilities and skillsets.

Många organisationer har valt hybrid IT-vägen.Many organizations have chosen the hybrid IT route. Med hybrid-IT, några av företagets informationstillgångar är i Azure och andra lokala.With hybrid IT, some of the company’s information assets are in Azure, and others remain on-premises. I många fall kan körs vissa delar av en tjänst i Azure medan andra komponenter är på plats.In many cases, some components of a service are running in Azure while other components remain on-premises.

I en hybrid IT-scenariot finns vanligtvis någon typ av anslutning mellan olika platser.In a hybrid IT scenario, there is usually some type of cross-premises connectivity. Anslutning mellan olika platser gör det möjligt för företag att ansluta sina lokala nätverk till Azure-nätverk.Cross-premises connectivity allows the company to connect its on-premises networks to Azure virtual networks. Det finns två olika platser anslutningslösningar:Two cross-premises connectivity solutions are available:

  • Plats-till-plats VPN.Site-to-site VPN. Det är en betrodda och tillförlitliga etablerad teknik, men anslutningen sker över internet.It’s a trusted, reliable, and established technology, but the connection takes place over the internet. Bandbredd är begränsad till högst cirka 1,25 Gbit/s.Bandwidth is constrained to a maximum of about 1.25 Gbps. Plats-till-plats-VPN är ett önskvärt alternativ i vissa situationer.Site-to-site VPN is a desirable option in some scenarios.
  • Azure ExpressRoute.Azure ExpressRoute. Vi rekommenderar att du använder ExpressRoute för dina korsanslutningar.We recommend that you use ExpressRoute for your cross-premises connectivity. Med ExpressRoute kan du utöka ditt lokala nätverk till Microsoft-molnet över en privat anslutning som tillhandahålls av en anslutningsprovider.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Med ExpressRoute kan upprätta du anslutningar till Microsofts molntjänster som Azure, Office 365 och Dynamics 365.With ExpressRoute, you can establish connections to Microsoft cloud services like Azure, Office 365, and Dynamics 365. ExpressRoute är en dedikerad WAN länken mellan din lokala plats eller en värdleverantör för Microsoft Exchange.ExpressRoute is a dedicated WAN link between your on-premises location or a Microsoft Exchange hosting provider. Eftersom detta är en telco-anslutning kan överföras inte dina data via internet, så det inte är visas de potentiella risker för internet-kommunikation.Because this is a telco connection, your data doesn’t travel over the internet, so it isn’t exposed to the potential risks of internet communications.

Platsen för ExpressRoute-anslutningen kan påverka brandväggen kapacitet, skalbarhet, tillförlitlighet och nätverket trafik synlighet.The location of your ExpressRoute connection can affect firewall capacity, scalability, reliability, and network traffic visibility. Du behöver identifiera var du vill avsluta ExpressRoute i nätverk (lokalt).You’ll need to identify where to terminate ExpressRoute in existing (on-premises) networks. Du kan:You can:

  • Avsluta utanför brandväggen (perimeternätverket nätverket paradigmet) om du ha insyn i trafiken, om du vill fortsätta en befintlig praxis och isolera datacenter, eller om det är enbart frågan extranätresurser på Azure.Terminate outside the firewall (the perimeter network paradigm) if you require visibility into the traffic, if you need to continue an existing practice of isolating datacenters, or if you’re solely putting extranet resources on Azure.
  • Avsluta innanför brandväggen (network tillägget paradigmet).Terminate inside the firewall (the network extension paradigm). Det här är standardinställningarna.This is the default recommendation. I alla andra fall rekommenderar vi behandla Azure som en n: te datacenter.In all other cases, we recommend treating Azure as an nth datacenter.

Optimera drifttid och prestandaOptimize uptime and performance

Om en tjänst är nere kan kan information inte nås.If a service is down, information can’t be accessed. Om prestanda är dålig så att data är oanvändbara du överväga att data inte är tillgänglig.If performance is so poor that the data is unusable, you can consider the data to be inaccessible. Du måste göra vad du kan för att se till att dina tjänster har optimala drifttid och prestanda från ett säkerhetsperspektiv.From a security perspective, you need to do whatever you can to make sure that your services have optimal uptime and performance.

En populära och effektiv metod för att förbättra tillgänglighet och prestanda är belastningsutjämning.A popular and effective method for enhancing availability and performance is load balancing. Belastningsutjämning är en metod för att distribuera nätverkstrafik mellan servrar som ingår i en tjänst.Load balancing is a method of distributing network traffic across servers that are part of a service. Till exempel om du har en frontend-webbservrar som en del av din tjänst, kan du använda Utjämning av nätverksbelastning för att distribuera trafiken över din flera frontend-webbservrar.For example, if you have front-end web servers as part of your service, you can use load balancing to distribute the traffic across your multiple front-end web servers.

Den här distributionen av trafiken ökar tillgängligheten eftersom om en av webbservrarna blir otillgänglig, belastningsutjämnaren stoppar skickar trafik till den servern och omdirigerar den till de servrar som fortfarande är online.This distribution of traffic increases availability because if one of the web servers becomes unavailable, the load balancer stops sending traffic to that server and redirects it to the servers that are still online. Utjämning av nätverksbelastning hjälper också till prestanda, eftersom arbetet för processor, nätverk och minne för begäranhantering distribueras över alla belastningsutjämnade servrar.Load balancing also helps performance, because the processor, network, and memory overhead for serving requests is distributed across all the load-balanced servers.

Vi rekommenderar att du använder att Utjämning av nätverksbelastning varje gång som du kan och som passar dina tjänster.We recommend that you employ load balancing whenever you can, and as appropriate for your services. Följande är scenarier på både Azure-nätverk-nivå och global nivå, tillsammans med belastningsutjämning alternativ för var och en.Following are scenarios at both the Azure virtual network level and the global level, along with load-balancing options for each.

Scenario: Du har ett program som:Scenario: You have an application that:

  • Kräver begäranden från samma användare/klientsession för att nå samma virtuella dator för serverdelen.Requires requests from the same user/client session to reach the same back-end virtual machine. Exempel på detta shopping appar med shoppingvagnar och e-postwebbservrar.Examples of this are shopping cart apps and web mail servers.
  • Accepterar endast en säker anslutning, så okrypterad kommunikation till servern inte är en acceptabel.Accepts only a secure connection, so unencrypted communication to the server is not an acceptable option.
  • Kräver flera HTTP-förfrågningar på samma tidskrävande TCP-anslutning ska routas eller belastningsutjämnad till olika serverdels servrar.Requires multiple HTTP requests on the same long-running TCP connection to be routed or load balanced to different back-end servers.

Alternativ för belastningsutjämning: Använd Azure Application Gateway, en belastningsutjämnare för HTTP-webb-trafik.Load-balancing option: Use Azure Application Gateway, an HTTP web traffic load balancer. Application Gateway stöder slutpunkt till slutpunkt SSL-kryptering och SSL-avslutning på gatewayen.Application Gateway supports end-to-end SSL encryption and SSL termination at the gateway. Sedan kan webbservrar webbservrarna från kryptering och avkryptering och trafik som passerar okrypterade till backend-servrarna.Web servers can then be unburdened from encryption and decryption overhead and traffic flowing unencrypted to the back-end servers.

Scenario: Du behöver läsa in belastningsutjämna inkommande anslutningar från internet bland dina servrar som finns i ett Azure-nätverk.Scenario: You need to load balance incoming connections from the internet among your servers located in an Azure virtual network. Scenarier är när du:Scenarios are when you:

  • Ha tillståndslösa program som accepterar inkommande begäranden från internet.Have stateless applications that accept incoming requests from the internet.
  • Inte kräver fästsessioner eller SSL-avlastning.Don’t require sticky sessions or SSL offload. Fästsessioner är en metod som används med belastningsutjämning i programmet, för att uppnå server-tillhörighet.Sticky sessions is a method used with Application Load Balancing, to achieve server-affinity.

Alternativ för belastningsutjämning: Använda Azure portal för att skapa en extern belastningsutjämnare som sprider förfrågningar mellan flera virtuella datorer för att ge högre tillgänglighet.Load-balancing option: Use the Azure portal to create an external load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Scenario: Du måste läsa in saldo anslutningar från virtuella datorer som inte finns på internet.Scenario: You need to load balance connections from VMs that are not on the internet. I de flesta fall initieras de anslutningar som är godkända för belastningsutjämning av enheter i Azure-nätverk, till exempel SQL Server-instanser eller interna servrar.In most cases, the connections that are accepted for load balancing are initiated by devices on an Azure virtual network, such as SQL Server instances or internal web servers.
Alternativ för belastningsutjämning: Använda Azure portal för att skapa en intern belastningsutjämnare som sprider förfrågningar mellan flera virtuella datorer för att ge högre tillgänglighet.Load-balancing option: Use the Azure portal to create an internal load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Scenario: Du behöver globala belastningsutjämning eftersom du:Scenario: You need global load balancing because you:

  • Ha en molnlösning som distribueras över flera regioner och kräver den högsta möjliga drifttid (tillgänglighet) möjligt.Have a cloud solution that is widely distributed across multiple regions and requires the highest level of uptime (availability) possible.
  • Måste den högsta möjliga drifttid möjligt att se till att tjänsten är tillgänglig även om ett helt datacenter blir otillgänglig.Need the highest level of uptime possible to make sure that your service is available even if an entire datacenter becomes unavailable.

Alternativ för belastningsutjämning: Använda Azure Traffic Manager.Load-balancing option: Use Azure Traffic Manager. Traffic Manager gör det möjligt att läsa in saldo anslutningar till dina tjänster baserat på användarens plats.Traffic Manager makes it possible to load balance connections to your services based on the location of the user.

Till exempel om användaren gör en begäran till din tjänst från EU, dirigeras anslutningen till dina tjänster som finns i ett datacenter för Europa.For example, if the user makes a request to your service from the EU, the connection is directed to your services located in an EU datacenter. Den här delen av Traffic Manager globala läsa in belastningsutjämning bidrar till att förbättra prestanda eftersom ansluter till det närmaste datacentret är snabbare än att ansluta till datacenter som är långt borta.This part of Traffic Manager global load balancing helps to improve performance because connecting to the nearest datacenter is faster than connecting to datacenters that are far away.

Inaktivera RDP/SSH-åtkomst till virtuella datorerDisable RDP/SSH Access to virtual machines

Det går att nå Azure-datorer med hjälp av Remote Desktop Protocol (RDP) och Secure Shell (SSH)-protokollet.It’s possible to reach Azure virtual machines by using Remote Desktop Protocol (RDP) and the Secure Shell (SSH) protocol. Dessa protokoll Aktivera hantering av virtuella datorer från fjärranslutna platser och är standard i datacenter databehandling.These protocols enable the management VMs from remote locations and are standard in datacenter computing.

Potentiella säkerhetsproblem med hjälp av dessa protokoll via internet är att angripare kan använda råstyrkeattacker tekniker för att få åtkomst till Azure-datorer.The potential security problem with using these protocols over the internet is that attackers can use brute force techniques to gain access to Azure virtual machines. När angriparen har fått tillgång kan de använda din virtuella dator som en startpunkt för att kompromissa med andra datorer i ditt virtuella nätverk eller även angrepp nätverksanslutna enheter utanför Azure.After the attackers gain access, they can use your VM as a launch point for compromising other machines on your virtual network or even attack networked devices outside Azure.

Vi rekommenderar att du inaktiverar direkt RDP och SSH-åtkomst till din Azure-datorer från internet.We recommend that you disable direct RDP and SSH access to your Azure virtual machines from the internet. När direkt RDP och SSH-åtkomst från internet har inaktiverats kan ha du andra alternativ som du kan använda för att få åtkomst till dessa virtuella datorer för fjärrhantering.After direct RDP and SSH access from the internet is disabled, you have other options that you can use to access these VMs for remote management.

Scenario: Aktivera en enskild användare kan ansluta till ett Azure-nätverk via internet.Scenario: Enable a single user to connect to an Azure virtual network over the internet.
Alternativet: Punkt-till-plats VPN är en annan term för en VPN-klient/server-anslutning för fjärråtkomst.Option: Point-to-site VPN is another term for a remote access VPN client/server connection. När punkt-till-plats-anslutning har upprättats kan använda användaren RDP eller SSH för att ansluta till virtuella datorer som finns på Azure-nätverket som användaren är anslutna via punkt-till-plats-VPN.After the point-to-site connection is established, the user can use RDP or SSH to connect to any VMs located on the Azure virtual network that the user connected to via point-to-site VPN. Detta förutsätter att användaren har behörighet att nå de virtuella datorer.This assumes that the user is authorized to reach those VMs.

Punkt-till-plats-VPN är säkrare än direkt RDP eller SSH-anslutningar eftersom användaren måste autentisera två gånger innan du ansluter till en virtuell dator.Point-to-site VPN is more secure than direct RDP or SSH connections because the user has to authenticate twice before connecting to a VM. Först måste användaren behöver för att autentisera (och auktoriseras) att upprätta en punkt-till-plats VPN-anslutning.First, the user needs to authenticate (and be authorized) to establish the point-to-site VPN connection. Dessutom användaren behöver för att autentisera (och auktoriseras) att upprätta RDP eller SSH-session.Second, the user needs to authenticate (and be authorized) to establish the RDP or SSH session.

Scenario: Användarna i ditt lokala nätverk kan ansluta till virtuella datorer på Azure-nätverk.Scenario: Enable users on your on-premises network to connect to VMs on your Azure virtual network.
Alternativet: En plats-till-plats VPN ansluter hela nätverket till ett annat nätverk via internet.Option: A site-to-site VPN connects an entire network to another network over the internet. Du kan använda en plats-till-plats-VPN för att ansluta ditt lokala nätverk till ett Azure-nätverk.You can use a site-to-site VPN to connect your on-premises network to an Azure virtual network. Användare i ditt lokala nätverk ansluta med hjälp av RDP eller SSH-protokollet via plats-till-plats VPN-anslutning.Users on your on-premises network connect by using the RDP or SSH protocol over the site-to-site VPN connection. Du behöver för att direkt RDP eller SSH-åtkomst via internet.You don’t have to allow direct RDP or SSH access over the internet.

Scenario: Använda en dedikerad WAN-länken för att ge liknande funktioner som plats-till-plats-VPN.Scenario: Use a dedicated WAN link to provide functionality similar to the site-to-site VPN.
Alternativet: Använd ExpressRoute.Option: Use ExpressRoute. Den innehåller liknande funktioner som plats-till-plats-VPN.It provides functionality similar to the site-to-site VPN. De viktigaste skillnaderna är:The main differences are:

  • Dedikerad WAN-länken via inte internet.The dedicated WAN link doesn’t traverse the internet.
  • Dedikerad WAN-länkar är vanligtvis mer stabil och bättre prestanda.Dedicated WAN links are typically more stable and perform better.

Skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverkSecure your critical Azure service resources to only your virtual networks

Använda tjänstslutpunkter i virtuella nätverk för att utöka ditt privata adressutrymme för virtuellt nätverk och identiteten för ditt virtuella nätverk till Azure-tjänsterna, via en direktanslutning.Use virtual network service endpoints to extend your virtual network private address space, and the identity of your virtual network to the Azure services, over a direct connection. Med slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Trafik från ditt virtuella nätverk till Azure-tjänsten förblir alltid på Microsoft Azure-stamnätverket.Traffic from your virtual network to the Azure service always remains on the Microsoft Azure backbone network.

Tjänstslutpunkter har följande fördelar:Service endpoints provide the following benefits:

  • Förbättrad säkerhet för dina Azure-tjänstresurser: Med tjänstslutpunkter kan Azure-tjänstresurser skyddas på ditt virtuella nätverk.Improved security for your Azure service resources: With service endpoints, Azure service resources can be secured to your virtual network. Skydda tjänstresurser i ett virtuellt nätverk ger förbättrad säkerhet genom att helt ta bort den offentliga Internetåtkomsten till resurser, så att endast trafik från ditt virtuella nätverk.Securing service resources to a virtual network provides improved security by fully removing public internet access to resources, and allowing traffic only from your virtual network.

  • Optimal routning för Azure-tjänsttrafik från ditt virtuella nätverk: Alla vägar i ditt virtuella nätverk som tvingar Internettrafik till dina lokala och/eller virtuella enheter, kallas Tvingad tunneltrafik, kan också tvinga Azure-tjänsttrafiken att ta samma väg som Internettrafiken.Optimal routing for Azure service traffic from your virtual network: Any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances, known as forced tunneling, also force Azure service traffic to take the same route as the internet traffic. Med tjänstslutpunkter får du optimal routning för Azure-trafiken.Service endpoints provide optimal routing for Azure traffic.

    Slutpunkter tar alltid tjänsttrafiken direkt från ditt virtuella nätverk till tjänsten i Azure-stamnätverket.Endpoints always take service traffic directly from your virtual network to the service on the Azure backbone network. Om du behåller trafiken i Azure-stamnätverket kan du fortsätta granska och övervaka utgående Internettrafiken från dina virtuella nätverk, via Tvingad tunneltrafik, utan att påverka tjänsttrafiken.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound internet traffic from your virtual networks, through forced tunneling, without affecting service traffic. Läs mer om användardefinierade vägar och Tvingad tunneltrafik.Learn more about user-defined routes and forced tunneling.

  • Enkelt att konfigurera med mindre hanteringskostnader: Du behöver inte längre reserverade, offentliga IP-adresser i ditt virtuella nätverk för att skydda Azure-resurser via en IP-brandvägg.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through an IP firewall. Det behövs inga NAT- eller gatewayenheter för att konfigurera tjänstslutpunkterna.There are no NAT or gateway devices required to set up the service endpoints. Tjänstslutpunkter konfigureras via ett enkelt klick på ett undernät.Service endpoints are configured through a simple click on a subnet. Det finns inga ytterligare kostnader för att underhålla slutpunkterna.There is no additional overhead to maintain the endpoints.

Läs mer om tjänstslutpunkter och Azure-tjänster och regioner som tjänstslutpunkter är tillgängliga för i tjänstslutpunkter i virtuella nätverk.To learn more about service endpoints and the Azure services and regions that service endpoints are available for, see Virtual network service endpoints.

Nästa stegNext steps

Se säkerhet i Azure-metodtips och mönster för flera beprövade metoder för att använda när du utforma, distribuera och hantera dina molnlösningar med hjälp av Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.