Поделиться через

Общие сведения о безопасности сети Azure

Безопасность сети защищает ресурсы от несанкционированного доступа или атаки путем контроля сетевого трафика. Azure предоставляет надежную сетевую инфраструктуру для поддержки требований к подключению приложений и служб с элементами управления безопасностью на каждом уровне.

В этой статье рассматриваются основные возможности сетевой безопасности в Azure:

  • Контроль доступа к сети
  • Брандмауэр Azure
  • Безопасный удаленный доступ и межорганизационное взаимодействие
  • Доступность и балансировка нагрузки
  • Разрешение имен
  • DDoS protection
  • Azure Front Door (облачное сетевое решение от Microsoft)
  • Мониторинг и обнаружение угроз

Примечание.

Для веб-рабочих нагрузок рекомендуется использовать Защиту от атак DDoS Azure и брандмауэр веб-приложения для защиты от атак DDoS. Azure Front Door с брандмауэром веб-приложения обеспечивает защиту на уровне платформы от атак DDoS на уровне сети.

Виртуальная сеть Azure

Виртуальная сеть Azure — это базовый стандартный блок для частной сети в Azure. Каждая виртуальная сеть изолирована от других виртуальных сетей, что помогает гарантировать, что сетевой трафик в развертываниях недоступен другим клиентам Azure. Виртуальные сети позволяют ресурсам Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями.

Подробнее:

Контроль доступа к сети

Управление доступом к сети ограничивает подключение к определенным устройствам или подсетям в виртуальной сети. Цель — ограничить доступ к виртуальным машинам и службам утвержденным пользователям и устройствам.

Группы сетевой безопасности

Группы безопасности сети (NSG) обеспечивают базовую фильтрацию пакетов с отслеживанием состояния на основе IP-адресов и протоколов TCP/UDP. Сетевые группы безопасности управляют доступом с помощью 5-элементного кортежа (исходный IP-адрес, исходный порт, конечный IP-адрес, порт назначения, протокол).

Сетевые группы безопасности включают функции для упрощения управления:

  • Расширенные правила безопасности: создание сложных правил вместо нескольких простых правил для достижения одного результата
  • Теги служб: управляемые корпорацией Майкрософт метки, представляющие группы IP-адресов, которые динамически обновляются
  • Группы безопасности приложений: упорядочение ресурсов в группы приложений и управление доступом на основе этих групп

Подробнее:

Конечные точки служб

Конечные точки службы виртуальной сети расширяют частное адресное пространство вашей виртуальной сети до служб Azure через прямое подключение. Конечные точки службы сохраняют трафик в магистральной сети Azure и ограничивают обмен данными с поддерживаемыми службами только в виртуальных сетях.

Подробнее:

Приватный канал Azure обеспечивает частное подключение из виртуальной сети к службам PaaS Azure, службам клиентов или службам партнеров Майкрософт. Трафик приватного канала остается в магистральной сети Microsoft Azure, устраняя уязвимость к общедоступному Интернету.

Подробнее:

Брандмауэр Azure

Брандмауэр Azure — это облачная интеллектуальная служба безопасности брандмауэра сети, обеспечивающая защиту от угроз для облачных рабочих нагрузок. Это сервис брандмауэра с полным отслеживанием состояния, с высокой доступностью и неограниченными возможностями облачного масштабирования.

Брандмауэр Azure доступен в трех номерах SKU:

  • Базовый брандмауэр Azure: упрощенная безопасность для малого и среднего бизнеса
  • Azure Firewall Standard: L3-L7 фильтрация и аналитика угроз от Microsoft Cyber Security
  • Брандмауэр Azure Premium: расширенные возможности, включая сигнатурное IDPS для быстрого обнаружения атак

Подробнее:

Безопасный удаленный доступ и межорганизационное взаимодействие

Azure поддерживает несколько сценариев безопасного удаленного доступа для управления ресурсами Azure и развертывания гибридных ИТ-решений.

VPN типа "точка — сеть"

VPN-подключения типа "точка — сеть" позволяют отдельным пользователям устанавливать частные, безопасные подключения к виртуальной сети. Пользователи могут получить доступ к виртуальным машинам и службам в Azure после проверки подлинности. VPN типа "точка — сеть" поддерживает следующее:

  • Протокол безопасного туннелирования сокетов (SSTP): частный ПРОТОКОЛ VPN на основе SSL (устройства Windows)
  • VPN IKEv2: решение IPsec VPN на основе стандартов (устройства Mac)
  • Протокол OpenVPN: ПРОТОКОЛ VPN на основе SSL/TLS (устройства Android, iOS, Windows, Linux и Mac)

Подробнее:

VPN типа "сеть-сеть"

Подключения VPN-шлюза типа "сеть — сеть" устанавливают безопасное кросс-локальное подключение между локальной сетью и виртуальными сетями Azure. Виртуальные сети типа "сеть-сеть" используют VPN-протокол в режиме туннелирования IPsec с высокой степенью защиты.

VPN-шлюз необходим для гибридных ИТ-сценариев, где части службы размещаются как в Azure, так и в локальной среде.

Подробнее:

ExpressRoute

ExpressRoute предоставляет выделенные связи глобальной сети между локальной сетью и облачными службами Майкрософт. Подключения ExpressRoute не проходят через общедоступный Интернет, обеспечивая повышенную безопасность, надежность, скорость и низкую задержку по сравнению с интернет-подключениями.

ExpressRoute поддерживает:

  • ExpressRoute Direct: прямое подключение к глобальной сети Майкрософт
  • ExpressRoute Global Reach: подключение между локальными сайтами через каналы ExpressRoute

Подробнее:

Пиринговое соединение VNet

Пиринг между виртуальными сетями подключает две виртуальные сети Azure, позволяя ресурсам в любой сети взаимодействовать друг с другом. Пиринг виртуальных сетей (VNet) использует основную инфраструктуру Майкрософт, обходя общедоступный интернет. Пиринг поддерживает подключения в одном регионе Azure или между различными регионами (пиринг глобальной виртуальной сети).

Подробнее:

Доступность и балансировка нагрузки

Балансировка нагрузки распределяет подключения между несколькими устройствами для повышения доступности и производительности. Azure предоставляет несколько вариантов балансировки нагрузки.

Azure Load Balancer (балансировщик нагрузки Azure)

Azure Load Balancer обеспечивает высокую производительность, низкую задержку балансировки нагрузки уровня 4 для всех протоколов UDP и TCP. Load Balancer распределяет входящий трафик на бекенд экземпляры в соответствии с настроенными правилами и проверками работоспособности.

Функции Load Balancer включают:

  • Поддержка внутренних и внешних сценариев балансировки нагрузки
  • Зональная отказоустойчивость и развертывания в зонах
  • Поддержка приложений TCP и UDP
  • Пробы работоспособности для определения доступности серверного экземпляра

Подробнее:

Шлюз приложений Azure

Шлюз приложений Azure — это подсистема балансировки нагрузки веб-трафика (уровень 7), которая управляет трафиком в веб-приложения. Шлюз приложений принимает решения о маршрутизации на основе атрибутов HTTP-запроса, таких как URI-путь или заголовки узла.

К функциям шлюза приложений относятся:

  • Брандмауэр веб-приложений (WAF) для централизованной защиты
  • Завершение TLS для снижения затрат на шифрование на веб-серверах
  • сходство сеансов на основе файлов cookie;
  • Маршрутизация содержимого на основе URL-адресов
  • Автомасштабирование и отказоустойчивость зоны

Подробнее:

Диспетчер трафика Azure

Диспетчер трафика Azure — это подсистема балансировки нагрузки трафика на основе DNS, которая оптимально распределяет трафик между службами в глобальных регионах Azure. Диспетчер трафика обеспечивает высокую доступность и скорость реагирования путем маршрутизации клиентских запросов к наиболее подходящей конечной точке службы на основе метода маршрутизации трафика и работоспособности конечных точек.

Диспетчер трафика поддерживает несколько методов маршрутизации, включая приоритетную, взвешенную, производительную, географическую, многозначную маршрутизацию и маршрутизацию по подсетям.

Подробнее:

Разрешение имен

Безопасное разрешение имен имеет решающее значение для всех облачных служб. Функции разрешения скомпрометированных имен могут перенаправлять запросы на вредоносные сайты.

Azure DNS

Azure DNS обеспечивает высокую доступность и производительное разрешение доменных имен с помощью инфраструктуры Microsoft Azure. Azure DNS поддерживает:

  • Общедоступные домены DNS, размещенные в глобальной инфраструктуре Azure
  • Частные зоны DNS для разрешения имен в виртуальных сетях и между ними
  • Сценарии DNS с разделенным горизонтом, в которых одно и то же доменное имя разрешается по-разному для частных и общедоступных запросов.

Подробнее:

DDoS protection

Распределенные атаки типа "отказ в обслуживании" (DDoS) являются одними из крупнейших проблем доступности и безопасности для клиентов, перемещающих приложения в облако. Защита от атак DDoS Azure защищает ресурсы Azure от атак DDoS.

SKU защиты от атак DDoS Azure:

  • Защита инфраструктуры DDoS: базовая защита, включенная по умолчанию для всех свойств Azure без дополнительных затрат
  • Защита сети DDoS: расширенная защита ресурсов в виртуальных сетях с адаптивной настройкой, политиками устранения рисков и мониторингом

К функциям защиты сети DDoS относятся следующие функции:

  • Интеграция собственной платформы с конфигурацией с помощью портала Azure
  • Постоянный мониторинг трафика и смягчение угроз в реальном времени.
  • Аналитика атак, включая отчеты по устранению рисков и журналы потоков
  • Адаптивная настройка на основе шаблонов трафика приложений
  • Гарантия затрат, включая передачу данных и кредиты на горизонтальное масштабирование приложений

Подробнее:

Azure Front Door (облачное сетевое решение от Microsoft)

Azure Front Door — это глобальная масштабируемая точка входа, использующая глобальную промежуточную подсеть Майкрософт для создания быстрых, безопасных и масштабируемых веб-приложений. Front Door обеспечивает балансировку нагрузки уровня 7, завершение TLS, маршрутизацию на основе URL-адресов и встроенную безопасность.

Возможности Front Door включают:

  • Глобальная балансировка HTTP-нагрузки с мгновенным обеспечением отказоустойчивости.
  • Завершение TLS на периферии
  • Маршрутизация на основе URL-адресов
  • сходство сеансов на основе файлов cookie;
  • Защита брандмауэра веб-приложения
  • Защита от атак DDoS на уровне платформы
  • Интеграция Private Link для защиты бэкенд-источников

Подробнее:

Мониторинг и обнаружение угроз

Azure предоставляет средства для мониторинга безопасности сети и обнаружения угроз.

Наблюдатель за сетями Azure

Наблюдатель за сетями Azure предоставляет средства для мониторинга, диагностики и получения аналитических сведений о сети в Azure.

К возможностям наблюдателя за сетями относятся следующие возможности:

  • Монитор подключений. Мониторинг подключения между ресурсами Azure и конечными точками
  • Журналы потоков NSG: информация о IP-трафике, проходящем через группы безопасности сети
  • Запись пакетов: записывает сетевой трафик на виртуальные машины и с виртуальных машин
  • Устранение неполадок VPN: диагностика проблем с VPN-шлюзами и подключениями
  • Диагностика сети: проверяет конфигурацию сети и определяет проблемы безопасности.

Подробнее:

Microsoft Defender для облака

Microsoft Defender для Облака помогает предотвращать, обнаруживать и реагировать на угрозы с повышенными видимостями и контролем за безопасностью ресурсов Azure. Defender для облака предоставляет рекомендации по безопасности сети, отслеживает конфигурацию безопасности сети и предупреждает вас об угрозах на основе сети.

Подробнее:

Дальнейшие шаги

  • Last updated on