保護您的網路

保護您的網路免於攻擊和未經授權的存取是任何架構中很重要的一部分。 在此,我們將一睹網路安全性的特性、如何將多層式方法整合到您的架構,以及 Azure 如何協助您為環境提供網路安全性。

多層式網路安全性方法

您可能已注意到貫穿此課程模組的一個共通主題是多層式安全性方法,而此方法在網路層並無不同。 光是專注於保護網路周邊,或專注於網路內服務之間的網路安全性並不夠。 多層式方法提供多層保護,因此即使攻擊者通過某層,也有其他保護可限制進一步攻擊。

讓我們看看 Azure 如何提供工具,以多層式方法來保護您的網路。

代表安全網際網路的影像

網際網路保護

如果我們從網路周邊開始著手,就會專注於限制及消弭來自網際網路的攻擊。 建議您先評估網際網路對應資源,而只在必要時才允許傳入和傳出的通訊。 請務必識別允許任何類型之輸入網路流量的所有資源,然後確保它們僅限於所需的連接埠和通訊協定。 Azure 資訊安全中心是可尋找此資訊的絕佳場所,因為它將識別沒有相關網路安全性群組的網際網路對應資源,以及未受「防火牆」保護的資源。

什麼是防火牆?

防火牆是一項服務,會根據每個要求的原始 IP 位址來授與伺服器存取權。 您可以建立指定 IP 位址範圍的防火牆規則。 只有來自這些已授與之 IP 位址的用戶端才能存取伺服器。 一般而言,防火牆規則也包括特定網路通訊協定與連接埠資訊。

若要在周邊提供輸入保護,您有數個選項。

  • Azure 防火牆是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網路資源。 它是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 Azure 防火牆會針對非 HTTP/S 通訊協定提供輸入保護。 非 HTTP/S 通訊協定的範例包括:遠端桌面通訊協定 (RDP)、安全殼層 (SSH) 和檔案傳輸通訊協定 (FTP)。 它也會為所有連接埠和通訊協定提供網路層級的輸出保護,並為輸出 HTTP/S 提供應用程式層級的保護。

  • Azure 應用程式閘道是一個負載平衡器,其中包含可在網站中防禦常見已知弱點的 Web 應用程式防火牆 (WAF)。 它是專為保護 HTTP 流量而設計的。

  • 網路虛擬設備 (NVA) 是非 HTTP 服務或進階設定的理想選項,類似於硬體防火牆設備。

停止分散式阻斷服務 (DDoS) 的攻擊

任何暴露於網際網路的資源都有遭受拒絕服務攻擊的風險。 這類攻擊會傳送許多要求,讓資源變得緩慢或沒有回應,藉此癱瘓網路資源。

當您結合 Azure DDoS 保護與應用程式設計最佳做法時,可協助提供 DDoS 攻擊的防禦。 DDoS 保護運用 Microsoft 全球網路的規模與彈性,為每個 Azure 區域帶來降低 DDoS 風險的功能。 Azure DDoS 保護服務藉由在流量影響服務的可用性之前,在 Azure 網路邊緣予以清除,來保護您的 Azure 應用程式。 在偵測到攻擊的幾分鐘內,系統會使用 Azure 監視器計量通知您。

此圖顯示從客戶和攻擊者流入 Azure 的網路流量。 Azure DDoS 保護指出攻擊者嘗試癱瘓網路,並進一步封鎖流量到達 Azure 服務。 來自客戶的合法流量仍會流入 Azure,而不會中斷服務。

此圖顯示安裝在虛擬網路與外部使用者要求之間的 Azure DDoS 保護。 Azure DDoS 保護會封鎖惡意流量攻擊,但將合法流量轉送至預定目的地。

Azure DDoS 保護提供下列服務層:

  • 基本。 基本服務層會在 Azure 平台中自動啟用。 對於常見網路層級攻擊的不停歇流量監視和即時安全防護功能,可提供與 Microsoft 線上服務所使用相同的防禦。 Azure 的全球網路可跨區域用來分散和減少攻擊流量。
  • 標準。 標準服務層提供特別針對 Microsoft Azure 虛擬網路資源調整的額外風險降低功能。 DDoS 保護標準很容易啟用,而且不需要變更應用程式。 保護原則會透過專用的流量監視和機器學習演算法進行調整。 原則會套用至與虛擬網路中所部署資源相關聯的公用 IP 位址,例如 Azure Load Balancer 和 Azure 應用程式閘道。 DDoS 標準保護可降低下列攻擊類型的風險:
    • 容量攻擊。 此攻擊的目的在於以大量看似合法的流量填滿網路層。
    • 通訊協定攻擊。 這些攻擊透過利用第 3 層和第 4 層通訊協定堆疊中的弱點,讓目標無法供存取。
    • 資源 (應用程式) 層攻擊。 這些攻擊會鎖定 Web 應用程式封包,以中斷主機之間的資料傳輸。

控制您虛擬網路內的流量

代表安全虛擬網路的影像

虛擬網路安全性

一旦在虛擬網路 (VNet) 內,請務必將資源之間的通訊僅限於必要通訊。

對於虛擬機器之間的通訊,「網路安全性群組」(NSG) 是用來限制不必要通訊的重要環節。

網路安全性群組可讓您在 Azure 虛擬網路中,篩選進出 Azure 資源的網路流量。 NSG 可以包含多個輸入和輸出安全性規則,讓您依照來源和目的地 IP 位址、連接埠和通訊協定來篩選進出資源的流量。 它們提供一份允許和拒絕進出網路介面和子網路的通訊清單,並且可讓您完全自訂。

您可以藉由限制對服務端點的存取權,來完全移除公用網際網路對您服務的存取權。 透過服務端點,可以限制只能從您的虛擬網路存取 Azure 服務。

代表安全網路的影像

網路整合

您通常會有現成的網路基礎結構,必須進行整合才能從內部部署網路提供通訊,或在 Azure 服務之間提供改善的通訊。 處理這項整合並改善您網路安全性主要有幾個方法。

虛擬私人網路 (VPN) 連線是在網路之間建立安全通訊通道的一個常見方法。 「Azure 虛擬網路」與內部部署 VPN 裝置之間的連線是保護您網路與 Azure 上 VNet 之間通訊的絕佳方法。

若要在您網路與 Azure 之間提供專用私人連線,您可以使用 Azure ExpressRoute。 ExpressRoute 可讓您透過連線提供者提供的私人連線,將內部部署網路延伸至 Microsoft 雲端。 透過 ExpressRoute,您可以建立 Microsoft 雲端服務的連線,例如 Microsoft Azure、Office 365 和 Dynamics 365。 因為此流量是透過私人線路而非公用網際網路傳送,所以能提升您內部部署通訊的安全性。 您無需允許終端使用者透過公用網際網路來存取這些服務,而且可透過設備傳送此流量,以進一步檢查流量。

摘要

多層式網路安全性方法有助於降低暴露在網路型攻擊下的風險。 Azure 提供數種服務和功能,可保護您的網際網路對應資源、內部資源,以及內部部署網路之間的通訊。 這些功能可協助您在 Azure 上建立安全的解決方案。

您也可以結合多個 Azure 網路和安全性服務來管理您的網路安全性,並提供已增強的多層式保護。 例如,您可以使用 Azure 防火牆來保護進出網際網路的輸入和輸出流量,並使用網路安全性群組來限制流向您虛擬網路內資源的流量。