Översikt över nätverkssäkerhet i Azure

Nätverkssäkerhet kan definieras som en process för att skydda resurser från obehörig åtkomst eller angrepp genom att tillämpa kontroller på nätverkstrafiken. Målet är att säkerställa att endast legitim trafik tillåts. Azure innehåller en robust nätverksinfrastruktur som stöder dina program- och tjänstanslutningskrav. Nätverksanslutning är möjlig mellan resurser som finns i Azure, mellan lokala resurser och Azure-värdbaserade resurser samt till och från Internet och Azure.

Den här artikeln beskriver några av de alternativ som Azure erbjuder när det gäller nätverkssäkerhet. Du kan lära dig mer om:

• Azure-nätverk
• Åtkomstkontroll för nätverk
• Azure Firewall
• Säker fjärråtkomst och anslutning mellan platser
• Tillgänglighet
• Namnmatchning
• Perimeternätverksarkitektur (DMZ)
• Azure DDoS Protection
• Azure Front Door
• Traffic Manager
• Övervakning och hotidentifiering

Azure-nätverk

Azure kräver att virtuella datorer är anslutna till en Azure-Virtual Network. Ett virtuellt nätverk är en logisk konstruktion som bygger på den fysiska Azure-nätverks fabricen. Varje virtuellt nätverk är isolerat från alla andra virtuella nätverk. Detta säkerställer att nätverkstrafiken i dina distributioner inte är tillgänglig för andra Azure-kunder.

Läs mer:

• Översikt över virtuella nätverk

Åtkomstkontroll för nätverk

Åtkomstkontroll för nätverk begränsar anslutningen till och från specifika enheter eller undernät i ett virtuellt nätverk. Målet med nätverksåtkomstkontroll är att begränsa åtkomsten till dina virtuella datorer och tjänster till godkända användare och enheter. Åtkomstkontroller baseras på beslut om att tillåta eller neka anslutningar till och från din virtuella dator eller tjänst.

Azure stöder flera typer av åtkomstkontroll för nätverk, till exempel:

• Kontroll av nätverkslager
• Vägkontroll och tvingad tunneling
• Säkerhetsutrustning för virtuella nätverk

Kontroll av nätverkslager

En säker distribution kräver ett visst mått på nätverksåtkomstkontroll. Målet med nätverksåtkomstkontroll är att begränsa kommunikationen mellan virtuella datorer till nödvändiga system. Andra kommunikationsförsök blockeras.

Nätverkssäkerhetsregler (NSG:er)

Om du behöver grundläggande åtkomstkontroll på nätverksnivå (baserat på IP-adress och TCP- eller UDP-protokoll) kan du använda nätverkssäkerhetsgrupper (NSG:er). En NSG är en grundläggande, tillståndsfull brandvägg med paketfiltrering som gör att du kan styra åtkomsten baserat på en 5-tuppel. NSG:er innehåller funktioner för att förenkla hanteringen och minska risken för konfigurationsmisstag:

• Förhöjda säkerhetsregler förenklar NSG-regeldefinitionen och gör att du kan skapa komplexa regler i stället för att behöva skapa flera enkla regler för att uppnå samma resultat.
• Tjänsttaggar är Microsoft-skapade etiketter som representerar en grupp med IP-adresser. De uppdateras dynamiskt för att inkludera IP-intervall som uppfyller de villkor som definierar inkludering i etiketten. Om du till exempel vill skapa en regel som gäller för all Azure-lagring i den östra regionen kan du använda Storage. USA, östra
• Med programsäkerhetsgrupper kan du distribuera resurser till programgrupper och kontrollera åtkomsten till dessa resurser genom att skapa regler som använder dessa programgrupper. Om du till exempel har distribuerat webbserverer till programgruppen "Webservers" kan du skapa en regel som tillämpar en NSG som tillåter 443 trafik från Internet till alla system i programgruppen "Webbservrar".

NSG:er tillhandahåller inte kontroll på programlager eller autentiserade åtkomstkontroller.

Läs mer:

• Nätverkssäkerhetsgrupper

Just-in-time-åtkomst till virtuella datorer i Defender for Cloud

Microsoft Defender for Cloud kan hantera NSG:erna på virtuella datorer och låsa åtkomsten till den virtuella datorn tills en användare med lämplig Rollbaserad åtkomstkontroll i Azure begär åtkomst. När användaren har auktoriserats gör Defender for Cloud ändringar i NSG:erna för att tillåta åtkomst till valda portar under den angivna tiden. När tiden går ut återställs NSG:erna till sitt tidigare skyddade tillstånd.

Läs mer:

• Microsoft Defender för just-in-time-åtkomst i molnet

Tjänstslutpunkter

Tjänstslutpunkter är ett annat sätt att tillämpa kontroll över trafiken. Du kan begränsa kommunikationen med tjänster som stöds till dina virtuella nätverk via en direktanslutning. Trafik från ditt VNet till den angivna Azure-tjänsten finns kvar Microsoft Azure i stamnätverket.

Läs mer:

• Tjänstslutpunkter

Vägkontroll och tvingad tunneling

Möjligheten att styra routningsbeteendet i dina virtuella nätverk är kritisk. Om routningen är felaktigt konfigurerad kan program och tjänster som finns på den virtuella datorn ansluta till obehöriga enheter, inklusive system som ägs och drivs av potentiella angripare.

Azure-nätverk stöder möjligheten att anpassa routningsbeteendet för nätverkstrafik i dina virtuella nätverk. På så sätt kan du ändra standardrabelposterna för routning i ditt virtuella nätverk. Kontroll av routningsbeteende hjälper dig att se till att all trafik från en viss enhet eller grupp av enheter kommer in i eller lämnar ditt virtuella nätverk via en viss plats.

Du kan till exempel ha en säkerhetsinstallation för virtuella nätverk i det virtuella nätverket. Du vill se till att all trafik till och från ditt virtuella nätverk går igenom den virtuella säkerhetsinstallationen. Du kan göra detta genom att konfigurera användardefinierade vägar (UDR:er) i Azure.

Tvingad tunneltrafik är en mekanism som du kan använda för att säkerställa att dina tjänster inte tillåts initiera en anslutning till enheter på Internet. Observera att detta skiljer sig från att acceptera inkommande anslutningar och sedan svara på dem. Frontend-webbservrar måste svara på begäranden från Internetvärdar, och därför tillåts inkommande trafik från Internet till dessa webbservrar och webbservrarna tillåts svara.

Det du inte vill tillåta är att en frontend-webbserver initierar en utgående begäran. Sådana begäranden kan utgöra en säkerhetsrisk eftersom dessa anslutningar kan användas för att ladda ned skadlig kod. Även om du vill att dessa frontend-servrar ska initiera utgående begäranden till Internet, kanske du vill tvinga dem att gå igenom dina lokala webb-proxyservrar. På så sätt kan du dra nytta av URL-filtrering och -loggning.

I stället vill du använda tvingad tunneling för att förhindra detta. När du aktiverar tvingad tunneling tvingas alla anslutningar till Internet via din lokala gateway. Du kan konfigurera tvingad tunneling genom att dra nytta av UDR:er.

Läs mer:

• Vad är användardefinierade vägar och IP-vidare vidarebefordran?

Säkerhetsutrustning för virtuella nätverk

NSG:er, UDR:er och tvingad tunneltrafik ger dig en säkerhetsnivå för nätverks-och transportlagren i OSI-modellen, men du kanske också vill aktivera säkerhet på nivåer som är högre än nätverket.

Dina säkerhetskrav kan till exempel vara:

• Autentisering och auktorisering innan åtkomst till ditt program tillåts
• Intrångsidentifiering och intrångssvar
• Kontroll på programnivå för protokoll på hög nivå
• URL-filtrering
• Antivirus på nätverksnivå och program mot skadlig programvara
• Skydd mot robotar
• Åtkomstkontroll för program
• Ytterligare DDoS-skydd (ovanför DDoS-skyddet som tillhandahålls av själva Azure-infrastruktur fabric)

Du kan komma åt dessa förbättrade nätverkssäkerhetsfunktioner med hjälp av en Azure-partnerlösning. Du hittar de senaste nätverkssäkerhetslösningarna för Azure-partner genom att besöka Azure Marketplaceoch söka efter "säkerhet" och "nätverkssäkerhet".

Azure Firewall

Azure Firewall är en hanterad, molnbaserad tjänst för nätverkssäkerhet som skyddar dina Azure Virtual Network-resurser. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Några funktioner är:

• Hög tillgänglighet
• Molnskalbarhet
• Programmets FQDN-filtreringsregler
• Regler för filtrering av nätverkstrafik

Läs mer:

• Azure Firewall översikt

Säker fjärråtkomst och anslutning mellan platser

Installation, konfiguration och hantering av dina Azure-resurser måste fjärrstyras. Dessutom kanske du vill distribuera hybrid-IT-lösningar som har komponenter lokalt och i det offentliga Azure-molnet. De här scenarierna kräver säker fjärråtkomst.

Azure-nätverk stöder följande scenarier för säker fjärråtkomst:

• Anslut enskilda arbetsstationer till ett virtuellt nätverk
• Anslut ditt lokala nätverk till ett virtuellt nätverk med ett VPN
• Anslut ditt lokala nätverk till ett virtuellt nätverk med en dedikerad WAN-länk
• Anslut virtuella nätverk till varandra

Anslut enskilda arbetsstationer till ett virtuellt nätverk

Du kanske vill ge enskilda utvecklare eller driftpersonal möjlighet att hantera virtuella datorer och tjänster i Azure. Anta till exempel att du behöver åtkomst till en virtuell dator i ett virtuellt nätverk. Men din säkerhetsprincip tillåter inte RDP- eller SSH-fjärråtkomst till enskilda virtuella datorer. I det här fallet kan du använda en punkt-till-plats-VPN-anslutning.

Med punkt-till-plats-VPN-anslutningen kan du konfigurera en privat och säker anslutning mellan användaren och det virtuella nätverket. När VPN-anslutningen har upprättats kan användaren använda RDP eller SSH via VPN-länken till valfri virtuell dator i det virtuella nätverket. (Detta förutsätter att användaren kan autentiseras och auktoriserats.) Punkt-till-plats-VPN stöder:

• Secure Socket Tunneling Protocol (SSTP), ett upphovsrättsskyddat SSL-baserat VPN-protokoll. En SSL VPN-lösning kan ta sig in i brandväggar eftersom de flesta brandväggar öppnar TCP-port 443, som TLS/SSL använder. SSTP stöds endast på Windows enheter. Azure stöder alla versioner av Windows som har SSTP (Windows 7 och senare).

• IKEv2 VPN, en standardbaserad IPsec VPN-lösning. IKEv2 VPN kan användas för att ansluta från Mac-enheter (OSX-versionerna 10.11 och senare).

• OpenVPN

Läs mer:

• Konfigurera en punkt-till-plats-anslutning till ett virtuellt nätverk med hjälp av PowerShell

Anslut ditt lokala nätverk till ett virtuellt nätverk med ett VPN

Du kanske vill ansluta hela företagsnätverket, eller delar av det, till ett virtuellt nätverk. Detta är vanligt i hybrid-IT-scenarier, där organisationer utökar sitt lokala datacenter till Azure. I många fall är organisationer värdar för delar av en tjänst i Azure och delar lokalt. De kan till exempel göra det när en lösning innehåller klientdelswebbservrar i Azure och serverdelsdatabaser lokalt. Dessa typer av "mellan lokala" anslutningar gör också hanteringen av Azure-resurser säkrare och möjliggör scenarier som att utöka Active Directory-domänkontrollanter till Azure.

Ett sätt att åstadkomma detta är att använda en plats-till-plats-VPN. Skillnaden mellan ett plats-till-plats-VPN och ett punkt-till-plats-VPN är att det senare ansluter en enskild enhet till ett virtuellt nätverk. Ett plats-till-plats-VPN ansluter ett helt nätverk (till exempel ditt lokala nätverk) till ett virtuellt nätverk. Plats-till-plats-VPN:er till ett virtuellt nätverk använder VPN-protokollet med mycket säkert IPsec-tunnelläge.

Läs mer:

• Skapa ett Resource Manager VNet med en VPN-anslutning från plats till plats med hjälp av Azure Portal
• Om VPN Gateway

Anslut ditt lokala nätverk till ett virtuellt nätverk med en dedikerad WAN-länk

Punkt-till-plats- och plats-till-plats-VPN-anslutningar är effektiva för att aktivera anslutning mellan flera platser. Vissa organisationer anser dock att de har följande nackdelar:

• VPN-anslutningar flyttar data via Internet. Detta exponerar anslutningarna för potentiella säkerhetsproblem som kan medföra att data flyttas över ett offentligt nätverk. Dessutom går det inte att garantera tillförlitlighet och tillgänglighet för Internetanslutningar.
• VPN-anslutningar till virtuella nätverk kanske inte har bandbredden för vissa program och syften, eftersom de är upp till cirka 200 Mbit/s.

Organisationer som behöver den högsta säkerhetsnivån och tillgängligheten för sina anslutningar mellan olika platser använder vanligtvis dedikerade WAN-länkar för att ansluta till fjärrplatser. Azure ger dig möjlighet att använda en dedikerad WAN-länk som du kan använda för att ansluta ditt lokala nätverk till ett virtuellt nätverk. Azure ExpressRoute, Express Route Direct och Express route global reach aktiverar du detta.

Läs mer:

• Teknisk översikt för ExpressRoute
• ExpressRoute Direct
• Global räckvidd för Express Route

Anslut virtuella nätverk till varandra

Det är möjligt att använda många virtuella nätverk för dina distributioner. Det finns olika orsaker till varför du kan göra detta. Du kanske vill förenkla hanteringen eller så kanske du vill ha ökad säkerhet. Oavsett motivationen för att placera resurser i olika virtuella nätverk kan det finnas tillfällen när du vill att resurser i vart och ett av nätverken ska ansluta till varandra.

Ett alternativ är att tjänster i ett virtuellt nätverk ansluter till tjänster i ett annat virtuellt nätverk genom att "loopa tillbaka" via Internet. Anslutningen startar i ett virtuellt nätverk, går via Internet och kommer sedan tillbaka till det virtuella målnätverket. Det här alternativet exponerar anslutningen till de säkerhetsproblem som finns i all Internetbaserad kommunikation.

Ett bättre alternativ kan vara att skapa ett plats-till-plats-VPN som ansluter mellan två virtuella nätverk. Den här metoden använder samma protokoll för IPSec-tunnelläge som VPN-anslutningen mellan platser som nämns ovan.

Fördelen med den här metoden är att VPN-anslutningen upprättas via Azure-nätverkets infrastruktur, i stället för att ansluta via Internet. Detta ger dig ett extra säkerhetslager jämfört med plats-till-plats-VPN:er som ansluter via Internet.

Läs mer:

• Konfigurera en VNet-till-VNet-anslutning med hjälp Azure Resource Manager och PowerShell

Ett annat sätt att ansluta dina virtuella nätverk är VNET-peering. Med den här funktionen kan du ansluta två Azure-nätverk så att kommunikationen mellan dem sker via Microsofts stamnätsinfrastruktur utan att det behöver gå via Internet. VNET-peering kan ansluta två virtuella nätverk inom samma region eller två virtuella nätverk mellan Azure-regioner. NSG:er kan användas för att begränsa anslutningen mellan olika undernät eller system.

Tillgänglighet

Tillgänglighet är en viktig komponent i alla säkerhetsprogram. Om dina användare och system inte kan komma åt det de behöver för att få åtkomst via nätverket kan tjänsten anses vara komprometterad. Azure har nätverkstekniker som stöder följande mekanismer för hög tillgänglighet:

• HTTP-baserad belastningsutjämning
• Belastningsutjämning på nätverksnivå
• Global belastningsutjämning

Belastningsutjämning är en mekanism som utformats för att distribuera anslutningar jämnt mellan flera enheter. Målen med belastningsutjämning är:

• För att öka tillgängligheten. När du belastningsutjämnar anslutningar över flera enheter kan en eller flera av enheterna bli otillgängliga utan att äventyra tjänsten. De tjänster som körs på de återstående onlineenheterna kan fortsätta att tillhandahålla innehållet från tjänsten.
• För att öka prestanda. När du belastningsutjämnar anslutningar mellan flera enheter behöver en enskild enhet inte hantera all bearbetning. I stället sprids bearbetnings- och minneskraven för att betjäna innehållet över flera enheter.

HTTP-baserad belastningsutjämning

Organisationer som kör webbaserade tjänster vill ofta ha en HTTP-baserad lastbalanserare framför dessa webbtjänster. På så sätt kan du säkerställa lämpliga prestandanivåer och hög tillgänglighet. Traditionella, nätverksbaserade lastbalanserare förlitar sig på protokoll på nätverks- och transportlager. HTTP-baserade lastbalanserare fattar å andra sidan beslut baserat på HTTP-protokollets egenskaper.

Azure Application Gateway tillhandahåller HTTP-baserad belastningsutjämning för dina webbaserade tjänster. Application Gateway stöder:

• Cookiebaserad sessionstillhörighet. Den här funktionen ser till att anslutningar som upprättas till en av servrarna bakom lastbalanseraren förblir intakta mellan klienten och servern. Detta säkerställer stabiliteten för transaktioner.
• TLS-avlastning. När en klient ansluter till lastbalanseraren krypteras den sessionen med hjälp av HTTPS-protokollet (TLS). För att öka prestandan kan du dock använda HTTP-protokollet (okrypterat) för att ansluta mellan lastbalanseraren och webbservern bakom lastbalanseraren. Detta kallas "TLS-avlastning", eftersom webbservrarna bakom lastbalanseraren inte upplever processorbelastningen som ingår i krypteringen. Webbservrarna kan därför bearbeta begäranden snabbare.
• URL-baserad innehållsroutning. Den här funktionen gör det möjligt för lastbalanseraren att fatta beslut om var anslutningar ska vidarebefordras baserat på mål-URL:en. Detta ger mycket mer flexibilitet än lösningar som fattar beslut om belastningsutjämning baserat på IP-adresser.

Läs mer:

• Översikt över Application Gateway

Belastningsutjämning på nätverksnivå

Till skillnad från HTTP-baserad belastningsutjämning fattar belastningsutjämning på nätverksnivå beslut baserat på IP-adress och portnummer (TCP eller UDP). Du kan få fördelarna med belastningsutjämning på nätverksnivå i Azure med hjälp av Azure Load Balancer. Några viktiga egenskaper hos Load Balancer är:

• Belastningsutjämning på nätverksnivå baserat på IP-adress och portnummer.
• Stöd för alla protokoll på programlager.
• Belastningsutjämning till rollinstanser för virtuella Azure-datorer och molntjänster.
• Kan användas för både Internetuppriktade (extern belastningsutjämning) och icke-Internetriktade (intern belastningsutjämning) program och virtuella datorer.
• Slutpunktsövervakning, som används för att avgöra om någon av tjänsterna bakom lastbalanseraren har blivit otillgänglig.

Läs mer:

• Internetuppriktad lastbalanserare mellan flera virtuella datorer eller tjänster
• Översikt över intern lastbalanserare

Global belastningsutjämning

Vissa organisationer vill ha högsta möjliga tillgänglighet. Ett sätt att nå det här målet är att vara värd för program i globalt distribuerade datacenter. När ett program finns i datacenter som finns över hela världen är det möjligt för en hel geopolitisk region att bli otillgänglig och fortfarande köra programmet.

Den här belastningsutjämningsstrategin kan också ge prestandafördelar. Du kan dirigera begäranden för tjänsten till det datacenter som ligger närmast den enhet som gör begäran.

I Azure kan du få fördelarna med global belastningsutjämning genom att använda Azure Traffic Manager.

Läs mer:

• Vad är Traffic Manager?

Namnmatchning

Namnmatchning är en kritisk funktion för alla tjänster som du är värd för i Azure. Ur ett säkerhetsperspektiv kan en kompromettering av namnmatchningsfunktionen leda till att en angripare omdirigerar begäranden från dina webbplatser till en angripares webbplats. Säker namnmatchning är ett krav för alla dina molnbaserade tjänster.

Det finns två typer av namnmatchning som du måste åtgärda:

• Intern namnmatchning. Detta används av tjänster i dina virtuella nätverk, dina lokala nätverk eller både och. Namn som används för intern namnmatchning är inte tillgängliga via Internet. För optimal säkerhet är det viktigt att ditt interna namnmatchningsschema inte är tillgängligt för externa användare.
• Extern namnmatchning. Detta används av personer och enheter utanför dina lokala nätverk och virtuella nätverk. Det här är de namn som är synliga för Internet och som används för att dirigera anslutning till dina molnbaserade tjänster.

För intern namnmatchning har du två alternativ:

• En DNS-server för virtuellt nätverk. När du skapar ett nytt virtuellt nätverk skapas en DNS-server åt dig. Den här DNS-servern kan matcha namnen på de datorer som finns i det virtuella nätverket. Den här DNS-servern kan inte konfigureras, hanteras av Azure Fabric Manager och kan därför hjälpa dig att skydda din namnmatchningslösning.
• Ta med din egen DNS-server. Du kan välja att placera en egen DNS-server i det virtuella nätverket. Den här DNS-servern kan vara en Active Directory-integrerad DNS-server eller en dedikerad DNS-serverlösning som tillhandahålls av en Azure-partner, som du kan hämta från Azure Marketplace.

Läs mer:

• Översikt över virtuella nätverk
• Hantera DNS-servrar som används av ett virtuellt nätverk

För extern namnmatchning har du två alternativ:

• Var värd för din egen externa DNS-server lokalt.
• Ha en egen extern DNS-server hos en tjänstleverantör.

Många stora organisationer är värdar för sina egna DNS-servrar lokalt. De kan göra detta eftersom de har nätverksexpertis och global närvaro för att göra det.

I de flesta fall är det bättre att ha dns-namnmatchningstjänster hos en tjänstleverantör. Dessa tjänstleverantörer har nätverksexpertis och global närvaro för att säkerställa mycket hög tillgänglighet för dina namnmatchningstjänster. Tillgänglighet är viktigt för DNS-tjänster, eftersom ingen kan nå dina Internetuppriktade tjänster om namnmatchningstjänster misslyckas.

Azure ger dig en extern DNS-lösning med hög tillgång och höga prestanda i form av Azure DNS. Den här externa namnmatchningslösningen utnyttjar den globala Azure DNS infrastruktur. Det gör att du kan vara värd för din domän i Azure med samma autentiseringsuppgifter, API:er, verktyg och fakturering som dina andra Azure-tjänster. Som en del av Azure ärver den även de starka säkerhetskontroller som är inbyggda i plattformen.

Läs mer:

• Azure DNS översikt
• Azure DNS privata zoner kan du konfigurera privata DNS-namn för Azure-resurser i stället för de automatiskt tilldelade namnen utan att behöva lägga till en anpassad DNS-lösning.

Perimeternätverksarkitektur

Många stora organisationer använder perimeternätverk för att segmentera sina nätverk och skapa en buffertzon mellan Internet och deras tjänster. Perimeterdelen av nätverket anses vara en zon med låg säkerhet och inga värdetillgångar placeras i det nätverkssegmentet. Du ser vanligtvis nätverkssäkerhetsenheter som har ett nätverksgränssnitt i perimeternätverkets segment. Ett annat nätverksgränssnitt är anslutet till ett nätverk som har virtuella datorer och tjänster som accepterar inkommande anslutningar från Internet.

Du kan utforma perimeternätverk på flera olika sätt. Beslutet att distribuera ett perimeternätverk och sedan vilken typ av perimeternätverk som ska användas om du väljer att använda ett, beror på dina krav på nätverkssäkerhet.

Läs mer:

• Microsoft Cloud Services och nätverkssäkerhet

Azure DDoS Protection

Distribuerade överbelastningsattacker (DDoS) är några av de största tillgänglighets- och säkerhetsproblemen för kunder som flyttar sina program till molnet. En DDoS-attack försöker få slut på ett programs resurser, vilket gör programmet otillgängligt för legitima användare. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet. Microsoft tillhandahåller DDoS-skydd som kallas Grundläggande som en del av Azure-plattformen. Detta sker utan kostnad och omfattar alltid övervakning och realtidsminskning av vanliga attacker på nätverksnivå. Förutom de skydd som ingår i DDoS Protection Basic kan du aktivera alternativet Standard. DDoS Protection Standard-funktionerna är:

• Intern plattformsintegrering: Inbyggt i Azure. Inkluderar konfiguration via Azure Portal. DDoS Protection Standard förstår dina resurser och din resurskonfiguration.
• Nyckel nyckelskydd: Förenklad konfiguration skyddar omedelbart alla resurser i ett virtuellt nätverk så snart DDoS Protection Standard har aktiverats. Ingen åtgärd eller användardefinition krävs. DDoS Protection Standard omedelbart och minskar automatiskt attacken när den har identifierats.
• Övervakning av alltid på trafik: Dina programtrafikmönster övervakas dygnet runt, sju dagar i veckan och letar efter indikatorer på DDoS-attacker. Åtgärder utförs när skyddsprinciper överskrids.
• Rapporter om attackminskning Rapporter om attackminskning använder aggregerade nätverksflödesdata för att ge detaljerad information om attacker som riktas mot dina resurser.
• Loggar för Flow skydd mot attacker Med attackminskningsloggar Flow kan du granska den bortfallna trafiken, vidarebefordrad trafik och andra attackdata nästan i realtid under en aktiv DDoS-attack.
• Anpassningsbar justering: Intelligent trafikprofilering lär sig programmets trafik över tid och väljer och uppdaterar den profil som passar bäst för din tjänst. Profilen justeras när trafiken ändras över tid. Layer 3 till Layer 7-skydd: Ger fullständigt DDoS-stackskydd när det används med en brandvägg för webbaserade program.
• Omfattande åtgärdsskala: Över 60 olika typer av angrepp kan minimeras med global kapacitet för att skydda mot de största kända DDoS-attackerna.
• Attackmått: Sammanfattade mått från varje attack är tillgängliga via Azure Monitor.
• Attackaviseringar: Aviseringar kan konfigureras i början och slutet av en attack, och under attackens varaktighet, med hjälp av inbyggda attackmått. Aviseringar integreras i din operativa programvara som Microsoft Azure Monitor-loggar, Splunk, Azure Storage, e-post och Azure Portal.
• Kostnadsgaranti: Tjänstkrediter för dataöverföring och utskalning av program för dokumenterade DDoS-attacker.
• Snabba DDoS-svarstider DDoS Protection Standard-kunder har nu åtkomst till Rapid Response-teamet under en aktiv attack. DRR kan hjälpa till med angreppsundersökning, anpassade åtgärder under en attack och analys efter attack.

Läs mer:

• Översikt över DDOS-skydd

Azure Front Door

Azure Front Door Service kan du definiera, hantera och övervaka den globala routningen av webbtrafiken. Den optimerar trafikens routning för bästa prestanda och hög tillgänglighet. Med Azure Front Door kan du skapa anpassade regler för brandväggen för webbaserade program (WAF) vid åtkomstkontroll, för att skydda din HTTP/HTTPS-arbetsbelastning från utnyttjande som baseras på klienternas IP-adresser, landskod och HTTP-parametrar. Dessutom Front Door kan du skapa hastighetsbegränsningsregler för att bekämpa skadlig robottrafik, inklusive TLS-avlastning och bearbetning på programnivå per HTTP/HTTPS-begäran.

Själva Front Door-plattformen är skyddad av Azure DDoS Protection Basic. Om du behöver mer skydd kan Azure DDoS Protection Standard aktiveras på dina virtuella nätverk och skydda resurser från nätverkslagerattacker (TCP/UDP) med hjälp av automatiska justeringar och åtgärder. Front Door är en omvänd layer 7-proxy tillåter den endast att webbtrafik passerar till serverdelsservrar och blockerar andra typer av trafik som standard.

Läs mer:

• Mer information om hela uppsättningen med Azure Front Door-funktioner finns i Azure Front Door översikt

Azure Traffic Manager

Azure Traffic Manager är en lastbalanserare för DNS-baserad trafik som hjälper dig att distribuera trafiken optimalt till tjänster i globala Azure-regioner, med hög tillgänglighet och korta svarstider. Traffic Manager använder DNS för att dirigera klientbegäranden till den lämpligaste tjänstslutpunkten baserat på en trafikdirigeringsmetod och slutpunkternas hälsostatus. En slutpunkt är en Internetansluten tjänst i eller utanför Azure. Traffic Manager övervakar slutpunkterna och dirigerar inte trafik till slutpunkter som inte är tillgängliga.

Läs mer:

• Översikt över Azure Traffic Manager

Övervakning och hotidentifiering

Azure tillhandahåller funktioner som hjälper dig i det här nyckelområdet med tidig identifiering, övervakning och insamling och granskning av nätverkstrafik.

Azure Network Watcher

Azure Network Watcher kan hjälpa dig att felsöka och tillhandahåller en helt ny uppsättning verktyg som hjälper dig att identifiera säkerhetsproblem.

Vyn Säkerhetsgrupp hjälper till med granskning och säkerhetsefterlevnad för Virtual Machines. Använd den här funktionen för att utföra programmässiga granskningar och jämföra de baslinjeprinciper som definierats av din organisation med gällande regler för var och en av dina virtuella datorer. Detta kan hjälpa dig att identifiera eventuella konfigurationsavdrifter.

Med paketfångst kan du samla in nätverkstrafik till och från den virtuella datorn. Du kan samla in nätverksstatistik och felsöka programproblem, vilket kan vara värdefullt vid undersökning av nätverksintrång. Du kan också använda den här funktionen tillsammans med Azure Functions för att starta nätverksaviseringar som svar på specifika Azure-aviseringar.

Mer information om hur Network Watcher och hur du börjar testa några av funktionerna i dina labb finns i Övervakningsöversikt för Azure Network Watcher.

Microsoft Defender för molnet

Microsoft Defender for Cloud hjälper dig att förhindra, identifiera och svara på hot och ger dig bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer, hjälper till att identifiera hot som annars kan gå obemärkt förbi och fungerar med en stor uppsättning säkerhetslösningar.

Defender for Cloud hjälper dig att optimera och övervaka nätverkssäkerhet genom att:

• Tillhandahålla rekommendationer för nätverkssäkerhet.
• Övervaka tillståndet för nätverkssäkerhetskonfigurationen.
• Aviseringar om nätverksbaserade hot, både på slutpunkts- och nätverksnivå.

Läs mer:

• Introduktion till Microsoft Defender för molnet

Virtual Network TAP

Med Azures TAP för virtuellt nätverk (terminalåtkomstpunkt) kan du kontinuerligt strömma din virtuella dators nätverkstrafik till en insamlare eller ett analysverktyg för nätverkspaket. Insamlings- eller analysverktyget tillhandahålls av en partner för virtuell nätverksinstallation. Du kan använda samma TAP-resurs för virtuella nätverk för att aggregera trafik från flera nätverksgränssnitt i samma eller olika prenumerationer.

Läs mer:

• Virtual Network TAP

Loggning

Loggning på nätverksnivå är en viktig funktion för alla scenarier med nätverkssäkerhet. I Azure kan du logga information som hämtas för NSG:er för att hämta loggningsinformation på nätverksnivå. Med NSG-loggning får du information från:

• Aktivitetsloggar. Använd de här loggarna för att visa alla åtgärder som skickats till dina Azure-prenumerationer. Dessa loggar är aktiverade som standard och kan användas i Azure Portal. De kallades tidigare för gransknings- eller driftloggar.
• Händelseloggar. De här loggarna innehåller information om vilka NSG-regler som tillämpades.
• Räknarloggar. De här loggarna visar hur många gånger varje NSG-regel tillämpades för att neka eller tillåta trafik.

Du kan också använda Microsoft Power BI, ett kraftfullt datavisualiseringsverktyg, för att visa och analysera dessa loggar. Läs mer:

• Azure Monitor loggar för nätverkssäkerhetsgrupper (NSG:er)