Översikt över nätverkssäkerhet i Azure

Nätverkssäkerhet kan definieras som en process för att skydda resurser från obehörig åtkomst eller angrepp genom att tillämpa kontroller på nätverkstrafik. Målet är att säkerställa att endast legitim trafik tillåts. Azure har en robust nätverksinfrastruktur som stöder dina krav på program- och tjänstanslutning. Nätverksanslutning är möjlig mellan resurser som finns i Azure, mellan lokala resurser och Azure-värdbaserade resurser samt till och från Internet och Azure.

Den här artikeln beskriver några av de alternativ som Azure erbjuder när det gäller nätverkssäkerhet. Du kan lära dig mer om:

• Azure-nätverk
• Åtkomstkontroll för nätverk
• Azure Firewall
• Säker fjärråtkomst och anslutning mellan platser
• Tillgänglighet
• Namnmatchning
• Perimeternätverksarkitektur (DMZ)
• Azure DDoS Protection
• Azure Front Door
• Traffic Manager
• Övervakning och hotidentifiering

Anteckning

För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbaserade program för att skydda mot nya DDoS-attacker. Ett annat alternativ är att distribuera Azure Front Door tillsammans med en brandvägg för webbaserade program. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå.

Azure-nätverk

Azure kräver att virtuella datorer är anslutna till en Azure-Virtual Network. Ett virtuellt nätverk är en logisk konstruktion som bygger på den fysiska Azure-nätverksinfrastrukturen. Varje virtuellt nätverk är isolerat från alla andra virtuella nätverk. Detta säkerställer att nätverkstrafiken i dina distributioner inte är tillgänglig för andra Azure-kunder.

Läs mer:

• Översikt över virtuella nätverk

Åtkomstkontroll för nätverk

Nätverksåtkomstkontroll handlar om att begränsa anslutningen till och från specifika enheter eller undernät i ett virtuellt nätverk. Målet med nätverksåtkomstkontroll är att begränsa åtkomsten till dina virtuella datorer och tjänster till godkända användare och enheter. Åtkomstkontroller baseras på beslut om att tillåta eller neka anslutningar till och från din virtuella dator eller tjänst.

Azure stöder flera typer av nätverksåtkomstkontroll, till exempel:

• Kontroll av nätverksnivå
• Vägkontroll och tvingad tunneltrafik
• Säkerhetsenheter för virtuella nätverk

Kontroll av nätverksnivå

En säker distribution kräver ett visst mått av nätverksåtkomstkontroll. Målet med nätverksåtkomstkontroll är att begränsa kommunikationen mellan virtuella datorer och nödvändiga system. Andra kommunikationsförsök blockeras.

Anteckning

Storage Firewalls beskrivs i artikeln Säkerhetsöversikt för Azure Storage

Nätverkssäkerhetsregler (NSG:er)

Om du behöver grundläggande åtkomstkontroll på nätverksnivå (baserat på IP-adress och TCP- eller UDP-protokoll) kan du använda nätverkssäkerhetsgrupper (NSG:er). En NSG är en grundläggande, tillståndskänslig brandvägg för paketfiltrering och gör att du kan styra åtkomsten baserat på en 5-tupplar. NSG:er innehåller funktioner för att förenkla hanteringen och minska risken för konfigurationsmisstag:

• Förhöjda säkerhetsregler förenklar NSG-regeldefinitionen och gör att du kan skapa komplexa regler i stället för att behöva skapa flera enkla regler för att uppnå samma resultat.
• Tjänsttaggar är Microsoft-skapade etiketter som representerar en grupp MED IP-adresser. De uppdateras dynamiskt för att inkludera IP-intervall som uppfyller de villkor som definierar inkludering i etiketten. Om du till exempel vill skapa en regel som gäller för all Azure-lagring i den östra regionen kan du använda Storage.EastUS
• Med programsäkerhetsgrupper kan du distribuera resurser till programgrupper och styra åtkomsten till dessa resurser genom att skapa regler som använder dessa programgrupper. Om du till exempel har webbservrar distribuerade till programgruppen "Webbservrar" kan du skapa en regel som tillämpar en NSG som tillåter 443 trafik från Internet till alla system i programgruppen "Webbservrar".

NSG:er tillhandahåller inte kontroll på programnivå eller autentiserade åtkomstkontroller.

Läs mer:

• Nätverkssäkerhetsgrupper

Just-in-time-åtkomst till virtuella datorer i Defender för molnet

Microsoft Defender för molnet kan hantera nätverkssäkerhetsgrupperna på virtuella datorer och låsa åtkomsten till den virtuella datorn tills en användare med lämplig rollbaserad åtkomstkontroll i Azure RBAC begär åtkomst. När användaren har auktoriserats gör Defender för molnet ändringar i NSG:erna för att tillåta åtkomst till valda portar under den angivna tiden. När tiden går ut återställs NSG:erna till sitt tidigare skyddade tillstånd.

Läs mer:

• Microsoft Defender för just-in-time-åtkomst i molnet

Tjänstslutpunkter

Tjänstslutpunkter är ett annat sätt att tillämpa kontroll över din trafik. Du kan begränsa kommunikationen med tjänster som stöds till bara dina virtuella nätverk via en direktanslutning. Trafik från ditt virtuella nätverk till den angivna Azure-tjänsten finns kvar i Microsoft Azure-stamnätverket.

Läs mer:

• Tjänstslutpunkter

Vägkontroll och tvingad tunneltrafik

Det är viktigt att du kan styra routningsbeteendet i dina virtuella nätverk. Om routningen är felaktigt konfigurerad kan program och tjänster som finns på den virtuella datorn ansluta till obehöriga enheter, inklusive system som ägs och drivs av potentiella angripare.

Azure-nätverk stöder möjligheten att anpassa routningsbeteendet för nätverkstrafik i dina virtuella nätverk. På så sätt kan du ändra standardposterna för routningstabeller i det virtuella nätverket. Kontroll av routningsbeteende hjälper dig att se till att all trafik från en viss enhet eller grupp av enheter kommer in i eller lämnar ditt virtuella nätverk via en viss plats.

Du kan till exempel ha en säkerhetsinstallation för virtuella nätverk i det virtuella nätverket. Du vill se till att all trafik till och från ditt virtuella nätverk går igenom den virtuella säkerhetsinstallationen. Du kan göra detta genom att konfigurera användardefinierade vägar (UDR: er) i Azure.

Tvingad tunneltrafik är en mekanism som du kan använda för att säkerställa att dina tjänster inte får initiera en anslutning till enheter på Internet. Observera att detta skiljer sig från att acceptera inkommande anslutningar och sedan svara på dem. Klientwebbservrar måste svara på begäranden från Internetvärdar, så trafik från Internet tillåts inkommande till dessa webbservrar och webbservrarna får svara.

Det du inte vill tillåta är att en klientwebbserver initierar en utgående begäran. Sådana begäranden kan utgöra en säkerhetsrisk eftersom dessa anslutningar kan användas för att ladda ned skadlig kod. Även om du vill att dessa klientdelsservrar ska initiera utgående begäranden till Internet, kanske du vill tvinga dem att gå igenom dina lokala webbproxyservrar. På så sätt kan du dra nytta av URL-filtrering och loggning.

I stället skulle du vilja använda tvingad tunneltrafik för att förhindra detta. När du aktiverar tvingad tunneltrafik tvingas alla anslutningar till Internet via din lokala gateway. Du kan konfigurera tvingad tunneltrafik genom att dra nytta av UDR:er.

Läs mer:

• Vad är användardefinierade vägar och IP-vidarebefordring

Säkerhetsenheter för virtuella nätverk

Även om NSG:er, UDR:er och tvingad tunneltrafik ger dig en säkerhetsnivå i nätverket och transportlagren i OSI-modellen, kanske du också vill aktivera säkerhet på högre nivåer än nätverket.

Dina säkerhetskrav kan till exempel innehålla:

• Autentisering och auktorisering innan du tillåter åtkomst till ditt program
• Intrångsidentifiering och intrångssvar
• Kontroll av programlager för protokoll på hög nivå
• URL-filtrering
• Antivirusprogram på nätverksnivå och program mot skadlig kod
• Skydd mot robot
• Åtkomstkontroll för program
• Ytterligare DDoS-skydd (ovanför DDoS-skyddet som tillhandahålls av själva Azure-infrastrukturresurserna)

Du kan komma åt dessa förbättrade nätverkssäkerhetsfunktioner med hjälp av en Azure-partnerlösning. Du hittar de mest aktuella säkerhetslösningarna för Azure-partnernätverk genom att besöka Azure Marketplace och söka efter "säkerhet" och "nätverkssäkerhet".

Azure Firewall

Azure Firewall är en molnbaserad och intelligent nätverksbrandväggssäkerhetstjänst som ger skydd mot hot för dina molnarbetsbelastningar som körs i Azure. Det är en fullständigt tillståndskänslig tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Det ger både öst-väst och nord-syd trafikinspektion.

Azure Firewall finns i tre SKU:er: Standard, Premium och Basic. Azure Firewall Standard tillhandahåller L3-L7-filtrering och hotinformationsflöden direkt från Microsoft Cyber Security. Azure Firewall Premium har avancerade funktioner som signaturbaserad IDPS för att möjliggöra snabb identifiering av attacker genom att söka efter specifika mönster. Azure Firewall Basic är en förenklad SKU som ger samma säkerhetsnivå som standard-SKU:n men utan de avancerade funktionerna.

Läs mer:

• Vad är Azure Firewall

Säker fjärråtkomst och anslutning mellan platser

Installation, konfiguration och hantering av dina Azure-resurser måste göras via fjärranslutning. Dessutom kanske du vill distribuera hybrid-IT-lösningar som har komponenter lokalt och i det offentliga Azure-molnet. Dessa scenarier kräver säker fjärråtkomst.

Azure-nätverk stöder följande scenarier för säker fjärråtkomst:

• Ansluta enskilda arbetsstationer till ett virtuellt nätverk
• Ansluta ditt lokala nätverk till ett virtuellt nätverk med ett VPN
• Ansluta ditt lokala nätverk till ett virtuellt nätverk med en dedikerad WAN-länk
• Ansluta virtuella nätverk till varandra

Ansluta enskilda arbetsstationer till ett virtuellt nätverk

Du kanske vill göra det möjligt för enskilda utvecklare eller driftpersonal att hantera virtuella datorer och tjänster i Azure. Anta till exempel att du behöver åtkomst till en virtuell dator i ett virtuellt nätverk. Men din säkerhetsprincip tillåter inte RDP- eller SSH-fjärråtkomst till enskilda virtuella datorer. I det här fallet kan du använda en punkt-till-plats-VPN-anslutning .

Med punkt-till-plats-VPN-anslutningen kan du konfigurera en privat och säker anslutning mellan användaren och det virtuella nätverket. När VPN-anslutningen upprättas kan användaren RDP eller SSH via VPN-länken till valfri virtuell dator i det virtuella nätverket. (Detta förutsätter att användaren kan autentisera och är auktoriserad.) Punkt-till-plats-VPN stöder:

• Secure Socket Tunneling Protocol (SSTP), ett patentskyddat SSL-baserat VPN-protokoll. En SSL VPN-lösning kan penetrera brandväggar eftersom de flesta brandväggar öppnar TCP-port 443, som TLS/SSL använder. SSTP stöds endast på Windows-enheter. Azure stöder alla versioner av Windows som har SSTP (Windows 7 och senare).

• IKEv2 VPN, en standardbaserad IPsec VPN-lösning. IKEv2 VPN kan användas för att ansluta från Mac-enheter (OSX-versionerna 10.11 och senare).

• OpenVPN

Läs mer:

• Konfigurera en punkt-till-plats-anslutning till ett virtuellt nätverk med hjälp av PowerShell

Ansluta ditt lokala nätverk till ett virtuellt nätverk med ett VPN

Du kanske vill ansluta hela företagsnätverket, eller delar av det, till ett virtuellt nätverk. Detta är vanligt i hybrid-IT-scenarier där organisationer utökar sitt lokala datacenter till Azure. I många fall är organisationer värdar för delar av en tjänst i Azure och delar lokalt. De kan till exempel göra det när en lösning innehåller klientwebbservrar i Azure och lokala serverdelsdatabaser. Dessa typer av anslutningar mellan platser gör också hanteringen av Azure-lokaliserade resurser säkrare och möjliggör scenarier som att utöka Active Directory-domänkontrollanter till Azure.

Ett sätt att åstadkomma detta är att använda en plats-till-plats-VPN. Skillnaden mellan ett plats-till-plats-VPN och ett punkt-till-plats-VPN är att den senare ansluter en enda enhet till ett virtuellt nätverk. Ett plats-till-plats-VPN ansluter ett helt nätverk (till exempel ditt lokala nätverk) till ett virtuellt nätverk. Plats-till-plats-VPN:er till ett virtuellt nätverk använder VPN-protokollet för IPsec-tunnelläge med hög säkerhet.

Läs mer:

• Skapa ett Resource Manager virtuellt nätverk med en VPN-anslutning från plats till plats med hjälp av Azure-Portal
• Om VPN Gateway

Ansluta ditt lokala nätverk till ett virtuellt nätverk med en dedikerad WAN-länk

Punkt-till-plats- och plats-till-plats-VPN-anslutningar är effektiva för att aktivera anslutningar mellan platser. Vissa organisationer anser dock att de har följande nackdelar:

• VPN-anslutningar flyttar data över Internet. Detta exponerar dessa anslutningar för potentiella säkerhetsproblem som rör flytt av data över ett offentligt nätverk. Dessutom kan tillförlitlighet och tillgänglighet för Internetanslutningar inte garanteras.
• VPN-anslutningar till virtuella nätverk kanske inte har bandbredd för vissa program och syften, eftersom de maximalt är cirka 200 Mbit/s.

Organisationer som behöver den högsta nivån av säkerhet och tillgänglighet för sina anslutningar mellan platser använder vanligtvis dedikerade WAN-länkar för att ansluta till fjärrplatser. Azure ger dig möjlighet att använda en dedikerad WAN-länk som du kan använda för att ansluta ditt lokala nätverk till ett virtuellt nätverk. Azure ExpressRoute, Express Route Direct och Global Räckvidd för Express Route aktiverar detta.

Läs mer:

• Teknisk översikt för ExpressRoute
• ExpressRoute-direkt
• Global räckvidd för Express Route

Ansluta virtuella nätverk till varandra

Du kan använda många virtuella nätverk för dina distributioner. Det finns olika orsaker till varför du kan göra detta. Du kanske vill förenkla hanteringen, eller så kanske du vill ha ökad säkerhet. Oavsett motivationen för att placera resurser i olika virtuella nätverk kan det finnas tillfällen då du vill att resurser i vart och ett av nätverken ska ansluta till varandra.

Ett alternativ är att tjänster i ett virtuellt nätverk ansluter till tjänster i ett annat virtuellt nätverk genom att "loopa tillbaka" via Internet. Anslutningen startar i ett virtuellt nätverk, går via Internet och kommer sedan tillbaka till det virtuella målnätverket. Det här alternativet exponerar anslutningen till de säkerhetsproblem som är inbyggda i all internetbaserad kommunikation.

Ett bättre alternativ kan vara att skapa en plats-till-plats-VPN som ansluter mellan två virtuella nätverk. Den här metoden använder samma PROTOKOLL för IPSec-tunnelläge som vpn-anslutningen mellan platser som nämns ovan.

Fördelen med den här metoden är att VPN-anslutningen upprättas via Azure-nätverksinfrastrukturen i stället för att ansluta via Internet. Detta ger dig ett extra säkerhetslager jämfört med plats-till-plats-VPN som ansluter via Internet.

Läs mer:

• Konfigurera en VNet-till-VNet-anslutning med hjälp av Azure Resource Manager och PowerShell

Ett annat sätt att ansluta dina virtuella nätverk är VNET-peering. Med den här funktionen kan du ansluta två Azure-nätverk så att kommunikationen mellan dem sker via Microsofts staminfrastruktur utan att den någonsin går via Internet. VNET-peering kan ansluta två virtuella nätverk inom samma region eller två virtuella nätverk i Azure-regioner. NSG:er kan användas för att begränsa anslutningen mellan olika undernät eller system.

Tillgänglighet

Tillgänglighet är en viktig komponent i alla säkerhetsprogram. Om dina användare och system inte kan komma åt det de behöver för att komma åt i nätverket kan tjänsten betraktas som komprometterad. Azure har nätverkstekniker som stöder följande mekanismer för hög tillgänglighet:

• HTTP-baserad belastningsutjämning
• Belastningsutjämning på nätverksnivå
• Global belastningsutjämning

Belastningsutjämning är en mekanism som är utformad för att fördela anslutningar på samma sätt mellan flera enheter. Målen med belastningsutjämning är:

• För att öka tillgängligheten. När du belastningsutjämning av anslutningar mellan flera enheter kan en eller flera av enheterna bli otillgängliga utan att äventyra tjänsten. Tjänsterna som körs på de återstående onlineenheterna kan fortsätta att hantera innehållet från tjänsten.
• För att öka prestanda. När du belastningsutjämning av anslutningar mellan flera enheter behöver inte en enda enhet hantera all bearbetning. I stället sprids bearbetnings- och minneskraven för att hantera innehållet över flera enheter.

HTTP-baserad belastningsutjämning

Organisationer som kör webbaserade tjänster vill ofta ha en HTTP-baserad lastbalanserare framför dessa webbtjänster. Detta bidrar till att säkerställa tillräckliga prestandanivåer och hög tillgänglighet. Traditionella, nätverksbaserade lastbalanserare förlitar sig på nätverks- och transportlagerprotokoll. HTTP-baserade lastbalanserare fattar å andra sidan beslut baserat på HTTP-protokollets egenskaper.

Azure Application Gateway tillhandahåller HTTP-baserad belastningsutjämning för dina webbaserade tjänster. Application Gateway stöder:

• Cookiebaserad sessionstillhörighet. Den här funktionen ser till att anslutningar som upprättas till en av servrarna bakom lastbalanseraren förblir intakta mellan klienten och servern. Detta säkerställer transaktionernas stabilitet.
• TLS-avlastning. När en klient ansluter till lastbalanseraren krypteras sessionen med hjälp av PROTOKOLLET HTTPS (TLS). Men för att öka prestandan kan du använda HTTP-protokollet (okrypterat) för att ansluta mellan lastbalanseraren och webbservern bakom lastbalanseraren. Detta kallas "TLS-avlastning", eftersom webbservrarna bakom lastbalanseraren inte upplever processorkostnaderna för kryptering. Webbservrarna kan därför skicka begäranden snabbare.
• URL-baserad innehållsroutning. Den här funktionen gör det möjligt för lastbalanseraren att fatta beslut om var anslutningar ska vidarebefordras baserat på mål-URL:en. Detta ger mycket mer flexibilitet än lösningar som fattar beslut om belastningsutjämning baserat på IP-adresser.

Läs mer:

• Översikt över Application Gateway

Belastningsutjämning på nätverksnivå

Till skillnad från HTTP-baserad belastningsutjämning fattar belastningsutjämning på nätverksnivå beslut baserat på IP-adress- och portnummer (TCP eller UDP). Du kan få fördelarna med belastningsutjämning på nätverksnivå i Azure med hjälp av Azure Load Balancer. Några viktiga egenskaper hos Load Balancer är:

• Belastningsutjämning på nätverksnivå baserat på IP-adress och portnummer.
• Stöd för alla protokoll på programnivå.
• Belastningsutjämning till virtuella Azure-datorer och rollinstanser för molntjänster.
• Kan användas för både internetuppkopplade (extern belastningsutjämning) och icke-Internetriktade program (intern belastningsutjämning) och virtuella datorer.
• Slutpunktsövervakning, som används för att avgöra om någon av tjänsterna bakom lastbalanseraren har blivit otillgänglig.

Läs mer:

• Översikt över intern lastbalanserare

Global belastningsutjämning

Vissa organisationer vill ha högsta möjliga tillgänglighetsnivå. Ett sätt att nå det här målet är att vara värd för program i globalt distribuerade datacenter. När ett program finns i datacenter som finns i hela världen är det möjligt att en hel geopolitisk region blir otillgänglig och fortfarande har programmet igång.

Den här belastningsutjämningsstrategin kan också ge prestandafördelar. Du kan dirigera begäranden för tjänsten till det datacenter som ligger närmast den enhet som gör begäran.

I Azure kan du få fördelarna med global belastningsutjämning med hjälp av Azure Traffic Manager.

Läs mer:

• Vad är Traffic Manager?

Namnmatchning

Namnmatchning är en viktig funktion för alla tjänster som du är värd för i Azure. Ur ett säkerhetsperspektiv kan en kompromettering av namnmatchningsfunktionen leda till att en angripare omdirigerar begäranden från dina webbplatser till en angripares plats. Säker namnmatchning är ett krav för alla molnbaserade tjänster.

Det finns två typer av namnmatchning som du behöver åtgärda:

• Intern namnmatchning. Detta används av tjänster i dina virtuella nätverk, dina lokala nätverk eller både och. Namn som används för intern namnmatchning är inte tillgängliga via Internet. För optimal säkerhet är det viktigt att ditt interna namnmatchningsschema inte är tillgängligt för externa användare.
• Extern namnmatchning. Detta används av personer och enheter utanför dina lokala nätverk och virtuella nätverk. Det här är namnen som är synliga för Internet och används för att dirigera anslutningen till dina molnbaserade tjänster.

För intern namnmatchning har du två alternativ:

• En DNS-server för virtuellt nätverk. När du skapar ett nytt virtuellt nätverk skapas en DNS-server åt dig. Den här DNS-servern kan matcha namnen på de datorer som finns i det virtuella nätverket. Den här DNS-servern kan inte konfigureras, hanteras av Azure Fabric Manager och kan därför hjälpa dig att skydda din namnmatchningslösning.
• Ta med din egen DNS-server. Du kan välja att placera en egen DNS-server i ditt virtuella nätverk. Den här DNS-servern kan vara en Active Directory-integrerad DNS-server eller en dedikerad DNS-serverlösning som tillhandahålls av en Azure-partner, som du kan hämta från Azure Marketplace.

Läs mer:

• Översikt över virtuella nätverk
• Hantera DNS-servrar som används av ett virtuellt nätverk

För extern namnmatchning har du två alternativ:

• Värd för din egen externa DNS-server lokalt.
• Värd för din egen externa DNS-server med en tjänstleverantör.

Många stora organisationer är värdar för sina egna DNS-servrar lokalt. De kan göra detta eftersom de har nätverksexpertis och global närvaro för att göra det.

I de flesta fall är det bättre att vara värd för DNS-namnmatchningstjänster med en tjänstleverantör. Dessa tjänsteleverantörer har nätverksexpertis och global närvaro för att säkerställa mycket hög tillgänglighet för dina namnmatchningstjänster. Tillgänglighet är viktigt för DNS-tjänster, för om namnmatchningstjänsterna misslyckas kommer ingen att kunna nå dina Internetuppkopplade tjänster.

Azure ger dig en extern DNS-lösning med hög tillgänglighet och höga prestanda i form av Azure DNS. Den här lösningen för extern namnmatchning utnyttjar den globala Azure DNS-infrastrukturen. Det gör att du kan vara värd för din domän i Azure med samma autentiseringsuppgifter, API:er, verktyg och fakturering som dina andra Azure-tjänster. Som en del av Azure ärver den också de starka säkerhetskontroller som är inbyggda i plattformen.

Läs mer:

• Översikt över Azure DNS
• Med privata Azure DNS-zoner kan du konfigurera privata DNS-namn för Azure-resurser i stället för automatiskt tilldelade namn utan att behöva lägga till en anpassad DNS-lösning.

Perimeternätverksarkitektur

Många stora organisationer använder perimeternätverk för att segmentera sina nätverk och skapa en buffertzon mellan Internet och deras tjänster. Perimeterdelen av nätverket anses vara en lågsäkerhetszon och inga tillgångar med högt värde placeras i det nätverkssegmentet. Du ser vanligtvis nätverkssäkerhetsenheter som har ett nätverksgränssnitt i perimeternätverkssegmentet. Ett annat nätverksgränssnitt är anslutet till ett nätverk som har virtuella datorer och tjänster som accepterar inkommande anslutningar från Internet.

Du kan utforma perimeternätverk på flera olika sätt. Beslutet att distribuera ett perimeternätverk och sedan vilken typ av perimeternätverk som ska användas om du bestämmer dig för att använda ett, beror på nätverkssäkerhetskraven.

Läs mer:

• Perimeternätverk för säkerhetszoner

Azure DDoS Protection

Distribuerade överbelastningsattacker (DDoS) är några av de största tillgänglighets- och säkerhetsproblemen för kunder som flyttar sina program till molnet. En DDoS-attack försöker uttömma ett programs resurser, vilket gör programmet otillgängligt för legitima användare. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet.

DDoS Protection-funktioner är:

• Intern plattformsintegrering: Inbyggt integrerat i Azure. Innehåller konfiguration via Azure-Portal. DDoS Protection förstår dina resurser och din resurskonfiguration.
• Nyckelnyckelskydd: Förenklad konfiguration skyddar omedelbart alla resurser i ett virtuellt nätverk så snart DDoS Protection är aktiverat. Ingen åtgärd eller användardefinition krävs. DDoS Protection minimerar attacken direkt och automatiskt när den har identifierats.
• Trafikövervakning alltid på: Dina programtrafikmönster övervakas 24 timmar om dygnet, 7 dagar i veckan, och letar efter indikatorer på DDoS-attacker. Riskreducering utförs när skyddsprinciper överskrids.
• Rapporter om angreppsminskning Rapporter om attackreducering använder aggregerade nätverksflödesdata för att ge detaljerad information om attacker riktade mot dina resurser.
• Flödesloggar för attackreducering Med flödesloggarna för attackreducering kan du granska den förlorade trafiken, vidarebefordrad trafik och andra attackdata nästan i realtid under en aktiv DDoS-attack.
• Anpassningsbar justering: Intelligent trafikprofilering lär sig programmets trafik över tid och väljer och uppdaterar den profil som passar bäst för din tjänst. Profilen justeras när trafiken ändras över tid. Layer 3 till Layer 7-skydd: Ger fullständigt stack-DDoS-skydd när det används med en brandvägg för webbaserade program.
• Omfattande åtgärdsskala: Över 60 olika attacktyper kan minimeras, med global kapacitet, för att skydda mot de största kända DDoS-attackerna.
• Attackmått: Sammanfattade mått från varje attack är tillgängliga via Azure Monitor.
• Attackaviseringar: Aviseringar kan konfigureras i början och stoppet av en attack och under attackens varaktighet med hjälp av inbyggda attackmått. Aviseringar integreras i din operativa programvara som Microsoft Azure Monitor-loggar, Splunk, Azure Storage, Email och Azure-Portal.
• Kostnadsgaranti: Tjänstkrediter för dataöverföring och programutskalning för dokumenterade DDoS-attacker.
• DDoS Snabb responsiv DDoS Protection-kunder har nu åtkomst till rapid response-teamet under en aktiv attack. DRR kan hjälpa till med attackundersökning, anpassade åtgärder under en attack och analys efter attack.

Läs mer:

• Översikt över DDOS-skydd

Azure Front Door

Med Azure Front Door Service kan du definiera, hantera och övervaka den globala routningen av webbtrafiken. Den optimerar trafikens routning för bästa prestanda och hög tillgänglighet. Med Azure Front Door kan du skapa anpassade regler för brandväggen för webbaserade program (WAF) vid åtkomstkontroll, för att skydda din HTTP/HTTPS-arbetsbelastning från utnyttjande som baseras på klienternas IP-adresser, landskod och HTTP-parametrar. Dessutom kan du med Front Door även skapa hastighetsbegränsningsregler för att bekämpa skadlig robottrafik, det inkluderar TLS-avlastning och bearbetning per HTTP/HTTPS-begäran, bearbetning på programnivå.

Själva Front Door-plattformen skyddas av ett DDoS-skydd på infrastrukturnivå i Azure. För ytterligare skydd kan Azure DDoS Network Protection aktiveras på dina virtuella nätverk och skydda resurser från nätverkslagerattacker (TCP/UDP) via automatisk justering och minskning. Front Door är en omvänd Layer 7-proxy, den tillåter endast webbtrafik att passera till serverdelsservrar och blockera andra typer av trafik som standard.

Anteckning

För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbaserade program för att skydda mot nya DDoS-attacker. Ett annat alternativ är att distribuera Azure Front Door tillsammans med en brandvägg för webbaserade program. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå.

Läs mer:

• Mer information om hela uppsättningen azure front door-funktioner finns i Översikt över Azure Front Door

Azure Traffic Manager

Azure Traffic Manager är en lastbalanserare för DNS-baserad trafik som hjälper dig att distribuera trafiken optimalt till tjänster i globala Azure-regioner, med hög tillgänglighet och korta svarstider. Traffic Manager använder DNS för att dirigera klientbegäranden till den lämpligaste tjänstslutpunkten baserat på en trafikdirigeringsmetod och slutpunkternas hälsostatus. En slutpunkt är en Internetansluten tjänst i eller utanför Azure. Traffic Manager övervakar slutpunkterna och dirigerar inte trafik till slutpunkter som inte är tillgängliga.

Läs mer:

• Översikt över Azure Traffic Manager

Övervakning och hotidentifiering

Azure tillhandahåller funktioner som hjälper dig i det här nyckelområdet med tidig identifiering, övervakning och insamling och granskning av nätverkstrafik.

Azure Network Watcher

Azure Network Watcher kan hjälpa dig att felsöka och tillhandahåller en helt ny uppsättning verktyg som hjälper dig att identifiera säkerhetsproblem.

Säkerhetsgruppvyn hjälper till med granskning och säkerhetsefterlevnad för 虛擬機器. Använd den här funktionen för att utföra programmässiga granskningar och jämföra de baslinjeprinciper som definierats av din organisation med effektiva regler för var och en av dina virtuella datorer. Detta kan hjälpa dig att identifiera eventuella konfigurationsavvikelser.

Med paketfångst kan du samla in nätverkstrafik till och från den virtuella datorn. Du kan samla in nätverksstatistik och felsöka programproblem, vilket kan vara ovärderligt i undersökningen av nätverksintrång. Du kan också använda den här funktionen tillsammans med Azure Functions för att starta nätverksavbildningar som svar på specifika Azure-aviseringar.

Mer information om Network Watcher och hur du börjar testa några av funktionerna i dina labb finns i Översikt över övervakning av Azure Network Watcher.

Anteckning

De senaste meddelandena om tillgänglighet och status för den här tjänsten finns på sidan med Azure-uppdateringar.

Microsoft Defender for Cloud

Microsoft Defender för molnet hjälper dig att förhindra, identifiera och reagera på hot och ger bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer, hjälper till att identifiera hot som annars skulle gå obemärkt förbi och fungerar med en stor uppsättning säkerhetslösningar.

Defender för molnet hjälper dig att optimera och övervaka nätverkssäkerhet genom att:

• Tillhandahålla rekommendationer för nätverkssäkerhet.
• Övervaka tillståndet för nätverkssäkerhetskonfigurationen.
• Varnar dig för nätverksbaserade hot, både på slutpunkts- och nätverksnivå.

Läs mer:

• Introduktion till Microsoft Defender för molnet

Virtual Network TAP

Med Azures virtuella nätverk TAP (Terminal Access Point) kan du kontinuerligt strömma nätverkstrafik för virtuella datorer till en nätverkspaketinsamlare eller ett analysverktyg. Insamlaren eller analysverktyget tillhandahålls av en partner för virtuell nätverksinstallation. Du kan använda samma TAP-resurs för virtuella nätverk för att aggregera trafik från flera nätverksgränssnitt i samma eller olika prenumerationer.

Läs mer:

• Virtual Network TAP

Loggning

Loggning på nätverksnivå är en nyckelfunktion för alla nätverkssäkerhetsscenarion. I Azure kan du logga information som hämtats för NSG:er för att hämta loggningsinformation på nätverksnivå. Med NSG-loggning får du information från:

• Aktivitetsloggar. Använd dessa loggar för att visa alla åtgärder som skickas till dina Azure-prenumerationer. Dessa loggar är aktiverade som standard och kan användas i Azure-Portal. De kallades tidigare granskningsloggar eller driftloggar.
• Händelseloggar. Dessa loggar innehåller information om vilka NSG-regler som tillämpades.
• Räknarloggar. Dessa loggar låter dig veta hur många gånger varje NSG-regel tillämpades för att neka eller tillåta trafik.

Du kan också använda Microsoft Power BI, ett kraftfullt datavisualiseringsverktyg, för att visa och analysera dessa loggar. Läs mer:

• Azure Monitor-loggar för nätverkssäkerhetsgrupper (NSG:er)