Общие сведения о безопасности сети Azure

Сетевая безопасность может быть определена как процесс защиты ресурсов от несанкционированного доступа или атаки путем применения элементов управления к сетевому трафику. Цель заключается в обеспечении только легитимного трафика. Azure включает в себя надежную сетевую инфраструктуру для удовлетворения требований к взаимодействию приложений и служб. Сетевое взаимодействие возможно между ресурсами в Azure, между локальными и размещенными в Azure ресурсами, а также между Интернетом и Azure.

В этой статье рассматриваются некоторые функции, которые Azure предлагает в области сетевой безопасности. Узнайте о следующем.

• Сети Azure
• Контроль доступа к сети
• Брандмауэр Azure
• Безопасный удаленный доступ и межорганизационное взаимодействие
• Доступность
• Разрешение имен
• Архитектура сети периметра (DMZ)
• Защита от атак DDoS Azure
• Azure Front Door
• Диспетчер трафика
• Мониторинг и обнаружение угроз

Сети Azure

Azure требует подключения виртуальных машин к виртуальной сети Azure. Виртуальная сеть — это логическая конструкция, созданная на основе структуры физических сетей Azure. Все виртуальные сети изолированы друг от друга. Это помогает гарантировать, что сетевой трафик из ваших развертываний недоступен другим клиентам Azure.

Подробнее:

• Общие сведения о виртуальных сетях

Контроль доступа к сети

Контроль доступа к сети — это процесс ограничения подключения к определенным устройствам или подсетям в виртуальной сети. При управлении доступом к сети доступ к виртуальным машинам и службам предоставляется только утвержденным пользователям и устройствам. Механизмы контроля доступа основаны на принятии решений о разрешении или запрете подключений к виртуальной машине или службе либо из них.

Azure поддерживает несколько типов контроля доступа к сети:

• Контроль сетевого уровня
• Управление маршрутами и принудительное туннелирование
• Устройства безопасности виртуальных сетей

Контроль сетевого уровня

Любому безопасному развертыванию требуется определенный уровень контроля доступа к сети. Контроль доступа к сети направлен на ограничение взаимодействий виртуальной машины необходимыми системами. Остальные попытки взаимодействия блокируются.

Правила безопасности сети (NSG)

Если требуется контроль доступа на базовом сетевом уровне(на основе IP-адреса и протоколов TCP или UDP), можно использовать группы безопасности сети (NSGs). NSG — это базовый брандмауэр для фильтрации пакетов с отслеживанием состояния, который позволяет контролировать доступ по 5 кортежам. Группы безопасности сети включают функционал, позволяющий упростить управление и снизить вероятность ошибок настройки.

• Дополнительные правила безопасности упрощают определение правил группы безопасности сети и позволяют создавать сложные правила вместо множества простых для достижения того же результата.
• Теги служб — это метки, созданные Майкрософт, для представления группы IP-адресов. Они динамически обновляются, чтобы включить диапазоны IP-адресов, которые удовлетворяют условиям, определяющим включение в метку. Например, чтобы создать правило, которое применяется для всех хранилищ Azure в восточном регионе, можно использовать Storage.EastUS
• Группы безопасности приложений позволяют развернуть ресурсы в группы приложений и управлять доступом к этим ресурсам путем создания правил, которые используются этими группами приложений. Например, если имеются веб-серверы, развернутые в группу приложений "Webservers", можно создать правило, которое применяется NSG, разрешающее прохождение трафика через порт 443 из Интернета ко всем системам в группе приложений "Webservers".

Группы безопасности сети не обеспечивают проверку на прикладном уровне или механизмы контроля доступа с проверкой подлинности.

Подробнее:

• Группы безопасности сети

Доступ к виртуальным машинам по запросу в Defender для облака

Microsoft Defender для облака может управлять сетевыми группами безопасности (NSG) на виртуальных машинах и блокировать доступ к виртуальной машине, пока пользователь с соответствующими разрешениями Azure RBAC не запросит доступ. Если пользователь успешно авторизован, Defender для облака вносит изменения в группы безопасности сети, чтобы разрешить доступ к выбранным портам на указанное время. По истечении времени NSG восстанавливаются в предыдущее защищённое состояние.

Подробнее:

• JIT-доступ в Microsoft Defender для облака

Конечные точки служб

Конечные точки службы — ещё один способ контроля трафика. Можно ограничить взаимодействие с поддерживаемыми службами только вашими виртуальными сетями, используя прямое соединение. Трафик, поступающий из виртуальной сети в указанную службу Azure, остается в магистральной сети Microsoft Azure.

Подробнее:

• Конечные точки службы

Управление маршрутами и принудительное туннелирование

Очень важно управлять поведением маршрутизации в виртуальных сетях. Если маршрутизация настроена неправильно, приложения и службы, размещенные на виртуальной машине, могут подключаться к неавторизованным устройствам, включая системы, принадлежащие потенциальным злоумышленникам.

Сетевые функции Azure поддерживают возможность настройки поведения маршрутизации для сетевого трафика в виртуальных сетях. Это позволяет изменять записи таблицы маршрутизации по умолчанию в виртуальной сети. Управление поведением маршрутизации помогает убедиться, что весь трафик с определенного устройства или из определенной группы устройств входит в виртуальную сеть или выходит из нее через определенное расположение.

Например, у вас может быть устройство безопасности для виртуальной сети в вашей виртуальной сети. Необходимо убедиться, что весь трафик в виртуальную сеть и из нее проходит через это виртуальное устройство безопасности. Это можно сделать, настроив в Azure определенные пользователем маршруты (UDR).

Принудительное туннелирование — это механизм, который позволяет запрещать службам инициировать подключения к устройствам в Интернете. Обратите внимание, что это отличается от приема входящих подключений и последующего ответа на них. Интерфейсные веб-серверы должны отвечать на запрос от веб-узлов, поэтому трафику из Интернета разрешено поступать на такие веб-серверы, а им в свою очередь разрешено отвечать.

Фронтэнд-серверу не следует допускать инициирования исходящих запросов. Такие запросы могут представлять угрозу безопасности, так как эти подключения могут использоваться для скачивания вредоносных программ. Даже если вы хотите разрешить этим интерфейсным серверам инициировать исходящие запросы в Интернет, может потребоваться заставить их делать это через ваши локальные веб-прокси. Это позволит воспользоваться преимуществами фильтрации и ведения журнала URL-адресов.

Или можно использовать принудительное туннелирование для предотвращения описанной ситуации. При включении принудительного туннелирования все подключения к Интернету принудительно выполняются через локальный шлюз. Настроить принудительное туннелирование можно, используя UDR (определяемые пользователем маршруты).

Подробнее:

• маршрутизация трафика виртуальной сети

Устройства безопасности виртуальных сетей

Хотя сети групп безопасности (NSG), таблицы маршрутизации, определяемые пользователем (UDR), и принудительное туннелирование обеспечивают уровень безопасности на сетевых и транспортных уровнях модели OSI, вы также можете включить безопасность на уровне приложений.

Например, требования безопасности могут включать в себя:

• Аутентификация и авторизация перед разрешением доступа к приложению
• Обнаружение вторжений и реагирование на вторжения
• Проверка на прикладном уровне для высокоуровневых протоколов
• Фильтрация URL-адресов
• Программы защиты от вирусов и вредоносных программ на сетевом уровне
• Защита от программ-роботов
• Контроль доступа к приложениям
• Дополнительная защита от атак DDoS (сверх защиты от атак DDoS, предоставляемой самой структурой Azure)

Доступ к этим улучшенным функциям сетевой безопасности осуществляется с помощью партнерского решения Azure. Последние партнерские решения сетевой безопасности Azure можно найти на сайте Azure Marketplace по запросу "безопасность" и "сетевая безопасность".

Брандмауэр Azure

Брандмауэр Azure — это ориентированная на облако интеллектуальная служба сетевого брандмауэра, обеспечивающая защиту от угроз для облачных рабочих нагрузок в Azure. Это брандмауэр с полным контролем состояния в качестве услуги, со встроенной высокой доступностью и неограниченной облачной масштабируемостью. Брандмауэр Azure проверяет трафик на востоке и на северо-юге.

Брандмауэр Azure доступен в трех номерах SKU: "Базовый", "Стандартный" и "Премиум".

• Базовая версия Azure Firewall предлагает упрощенную защиту, аналогичную Стандартному SKU, но без расширенных функций.
• Azure Firewall Standard обеспечивает фильтрацию L3-L7 и потоки данных об угрозах непосредственно от специалистов по кибербезопасности Microsoft.
• Брандмауэр Azure Premium включает дополнительные возможности, такие как система обнаружения и предотвращения вторжений на основе сигнатур для быстрого обнаружения атак, идентифицируя характерные шаблоны.

Подробнее:

• Что такое Брандмауэр Azure?

Безопасный удаленный доступ и межорганизационное взаимодействие

Установка, настройка и управление ресурсов Azure должны выполняться удаленно. Кроме того, вам может потребоваться развернуть гибридные ИТ-решения, компоненты которых находятся как в локальной сети, так и в общедоступном облаке Azure. Подобные сценарии требуют безопасного удаленного доступа.

Сети Azure поддерживают следующие сценарии безопасного удаленного доступа.

• Подключение отдельных рабочих станций к виртуальной сети
• Подключение локальной сети к виртуальной с помощью VPN
• Подключение локальной сети к виртуальной с помощью выделенного канала глобальной сети
• Подключение виртуальных сетей друг к другу

Подключение отдельных рабочих станций к виртуальной сети

Возможны случаи, когда необходимо разрешить отдельным разработчикам или персоналу управлять виртуальными машинами и службами в Azure. Например, если вам нужен доступ к виртуальной машине в виртуальной сети, но политика безопасности запрещает удаленный доступ по протоколу RDP или SSH к отдельным виртуальным машинам, можно использовать VPN-подключение типа "точка — сеть ".

VPN-подключение типа "точка — сеть" позволяет установить частное и безопасное подключение между пользователем и виртуальной сетью. После установки VPN-подключения пользователь может выполнить RDP или SSH через VPN-канал в любую виртуальную машину в виртуальной сети, если они проходят проверку подлинности и авторизованы. VPN типа "точка — сеть" поддерживает следующее:

• Протокол безопасного туннелирования сокетов (SSTP): Частный ПРОТОКОЛ VPN на основе SSL, который может проникать в брандмауэры, так как большинство брандмауэров открывают TCP-порт 443, который использует TLS/SSL. SSTP поддерживается на устройствах Windows (Windows 7 и более поздних версиях).
• VPN IKEv2: Решение VPN на основе стандартов IPsec, которое можно использовать для подключения с устройств Mac (OSX версии 10.11 и выше).
• Протокол OpenVPN: Протокол VPN на основе SSL/TLS, который может проникать в брандмауэры, так как большинство брандмауэров открывают исходящий TCP-порт 443, который использует TLS. OpenVPN можно использовать для подключения с устройств Android, iOS (начиная с версии 11.0), Windows, Linux и Mac (macOS, начиная с версии 10.13). Поддерживаемые версии: TLS 1.2 и TLS 1.3 на основе рукопожатия TLS.

Подробнее:

• Сведения о маршрутизации VPN типа "точка — сеть"

Подключение локальной сети к виртуальной сети с помощью VPN-шлюза

Чтобы подключить всю корпоративную сеть или определенные сегменты к виртуальной сети, рассмотрите возможность использования VPN типа "сеть — сеть". Этот подход распространен в гибридных ИТ-сценариях, где части службы размещаются как в Azure, так и в локальной среде. Например, у вас могут быть веб-серверы на платформе Azure и базы данных на локальных серверах. Виртуальные сети типа "сеть — сеть" повышают безопасность управления ресурсами Azure и обеспечивают такие сценарии, как расширение контроллеров домена Active Directory в Azure.

VPN типа "сеть — сеть" отличается от VPN типа "точка — сеть" в том, что он подключает всю сеть (например, локальную сеть) к виртуальной сети, а не только одному устройству. VPN между узлами используют протокол VPN в высокозащищенном режиме туннелирования IPsec для установления этих подключений.

Подробнее:

• Общие сведения о VPN-шлюзе

Подключение локальной сети к виртуальной с помощью выделенного канала глобальной сети

VPN-подключения типа "точка — узел" и "узел — узел" полезны для включения межобъектного подключения. Однако у них есть некоторые ограничения:

• VPN-подключения передают данные через Интернет, подвергая их потенциальным рискам безопасности, связанным с общедоступными сетями. Кроме того, надежность и доступность интернет-подключений не могут быть гарантированы.
• VPN-подключения к виртуальным сетям могут не обеспечить достаточную пропускную способность для определенных приложений, как правило, максимальное значение составляет около 200 Мбит/с.

Для организаций, которым требуется высокий уровень безопасности и доступности для локальных подключений, часто предпочтительнее использовать выделенные каналы глобальной сети. Azure предлагает такие решения, как ExpressRoute, ExpressRoute Direct и ExpressRoute Global Reach, чтобы упростить эти выделенные подключения между локальной сетью и виртуальными сетями Azure.

Подробнее:

• Обзор ExpressRoute
• ExpressRoute Direct
• Global Reach ExpressRoute

Подключение виртуальных сетей друг к другу

Для развертываний можно использовать несколько виртуальных сетей по различным причинам, например упрощение управления или повышение безопасности. Независимо от мотивации, может возникнуть время, когда вы хотите, чтобы ресурсы в разных виртуальных сетях могли подключаться друг к другу.

Один из вариантов — это когда службы в одной виртуальной сети подключаются к услугам в другой виртуальной сети, возвращаясь обратно через Интернет. Это означает, что подключение начинается в одной виртуальной сети, проходит через Интернет, а затем достигает целевой виртуальной сети. Однако это обеспечивает подключение к рискам безопасности, присущим интернет-обмену данными.

Лучше всего создать VPN типа "сеть — сеть", который подключает две виртуальные сети. Этот метод использует тот же протокол режима туннелирования IPsec, что и vpn-подключение между сайтами, упомянутое ранее.

Преимуществом этого подхода является то, что VPN-подключение устанавливается через сетевую структуру Azure, обеспечивая дополнительный уровень безопасности по сравнению с vpn-сетями типа "сеть — сеть", которые подключаются через Интернет.

Подробнее:

• Настройка подключения между виртуальными сетями с помощью портала Azure

Другим способом подключения виртуальных сетей является пиринг виртуальной сети. Пиринг между виртуальными сетями обеспечивает прямую связь между двумя виртуальными сетями Azure через магистральную инфраструктуру Майкрософт, обходя общедоступный Интернет. Эта функция поддерживает пиринг в одном регионе или в разных регионах Azure. Группы безопасности сети (NSG) можно также использовать для контроля и ограничения подключения между подсетями или системами в одноранговых сетях.

Доступность

Доступность имеет решающее значение для любой программы безопасности. Если пользователи и системы не могут получить доступ к необходимым ресурсам, служба эффективно скомпрометирована. Azure предлагает сетевые технологии, поддерживающие механизмы высокой доступности, в том числе:

• балансировка нагрузки на основе HTTP;
• Балансировка нагрузки на уровне сети
• глобальная балансировка нагрузки.

Балансировка нагрузки распределяет соединения равномерно между несколькими устройствами, стремясь:

• Увеличьте доступность: Распространяя подключения, служба остается в эксплуатации, даже если один или несколько устройств становятся недоступными. Оставшиеся устройства продолжают обслуживать содержимое.
• Повышение производительности: Распределение подключений снижает нагрузку на любое одно устройство, распространяя требования к обработке и памяти на нескольких устройствах.
• Упрощение масштабирования: По мере увеличения спроса можно добавить дополнительные устройства в подсистему балансировки нагрузки, что позволяет обрабатывать больше подключений.

балансировка нагрузки на основе HTTP;

Организации, использующие веб-службы, часто используют подсистему балансировки нагрузки на основе HTTP, чтобы обеспечить высокую производительность и доступность. В отличие от традиционных сетевых подсистем балансировки нагрузки, использующих протоколы сетевого и транспортного уровня, подсистемы балансировки нагрузки на основе HTTP принимаются решения на основе характеристик протокола HTTP.

Шлюз приложений Azure и Azure Front Door предлагают балансировку нагрузки на основе HTTP для веб-служб. Обе службы поддерживают:

• Сходство сеансов на основе файлов cookie: Гарантирует, что подключения, установленные на одном сервере, остаются согласованными между клиентом и сервером, сохраняя стабильность транзакций.
• Разгрузка TLS: Шифрует сеансы между клиентом и подсистемой балансировки нагрузки с помощью ПРОТОКОЛА TLS. Чтобы повысить производительность, подключение между подсистемой балансировки нагрузки и веб-сервером может использовать ПРОТОКОЛ HTTP (незашифрованный), уменьшая затраты на шифрование на веб-серверах и позволяя им более эффективно обрабатывать запросы.
• Маршрутизация содержимого на основе URL-адресов: Позволяет подсистеме балансировки нагрузки пересылать подключения на основе целевого URL-адреса, обеспечивая большую гибкость, чем решения на основе IP-адресов.
• Брандмауэр веб-приложения: Обеспечивает централизованную защиту веб-приложений от распространенных угроз и уязвимостей.

Подробнее:

• Обзор шлюза приложений
• Обзор Azure Front Door
• Обзор брандмауэра веб-приложений

балансировка нагрузки на сетевом уровне;

В отличие от балансировки нагрузки на основе HTTP, балансировка нагрузки на уровне сети принимает решения на основе IP-адресов и номеров портов (TCP или UDP). Azure Load Balancer обеспечивает балансировку нагрузки на уровне сети со следующими ключевыми характеристиками:

• Балансирует трафик на основе IP-адресов и номеров портов.
• Поддерживает любой протокол уровня приложений.
• Распределяет трафик на виртуальные машины Azure и экземпляры ролей облачных служб.
• Можно использовать как для интернет-приложений, так и для приложений и виртуальных машин, не подключенных к Интернету (внутренняя балансировка нагрузки).
• Включает мониторинг конечных точек для обнаружения и реагирования на недоступность службы.

Подробнее:

• Обзор внутренней подсистемы балансировки нагрузки

глобальная балансировка нагрузки.

В некоторых организациях требуется максимально возможный уровень доступности. Один из способов его достижения заключается в размещении приложений в глобально распределенных центрах обработки данных. Когда приложение размещается в центрах обработки данных, расположенных по всему миру, целый геополитический регион может стать недоступным, но приложение все равно будет работать.

Эта стратегия балансировки нагрузки может также обеспечить преимущества производительности. Запросы на обслуживание можно направлять в центр обработки данных, расположенный ближе всего к запрашивающему устройству.

В Azure вы можете получить преимущества глобальной балансировки нагрузки с помощью диспетчера трафика Azure для балансировки нагрузки на основе DNS, глобального балансировщика нагрузки для балансировки нагрузки на уровне транспорта или Azure Front Door для балансировки нагрузки на основе HTTP.

Подробнее:

• Что такое диспетчер трафика?
• Обзор Azure Front Door
• Обзор Global Load Balancer

Разрешение имен

Разрешение имен является необходимым для всех услуг, размещенных в Azure. С точки зрения безопасности, компрометация функции разрешения имен позволяет злоумышленникам перенаправлять запросы с сайтов на вредоносные сайты. Поэтому безопасное разрешение имен имеет решающее значение для всех ваших облачных служб.

Существует два типа разрешения имен, которые следует учитывать:

• Внутреннее разрешение имен: Используется службами в виртуальных сетях, локальных сетях или обоих. Эти имена недоступны через Интернет. Для оптимальной безопасности убедитесь, что внутренняя система разрешения имен не предоставляется внешним пользователям.
• Разрешение внешних имен: Используется пользователями и устройствами за пределами локальных и виртуальных сетей. Эти имена видны в Интернете и имеют прямые подключения к облачным службам.

Для внутреннего разрешения имен доступно два варианта:

• DNS-сервер виртуальной сети: При создании новой виртуальной сети Azure предоставляет DNS-сервер, который может разрешать имена компьютеров в этой виртуальной сети. Этот DNS-сервер управляется Azure, не подлежит настройке, обеспечивая безопасность разрешения имен.
• Используйте собственный DNS-сервер: Вы можете развернуть DNS-сервер по вашему выбору в вашей виртуальной сети. Это может быть интегрированный DNS-сервер Active Directory или выделенное решение DNS-сервера от партнера Azure, доступное в Azure Marketplace.

Подробнее:

• Общие сведения о виртуальных сетях
• Управление DNS-серверами, используемыми виртуальной сетью

Для разрешения внешних имен доступны два варианта:

• Размещение собственного внешнего DNS-сервера в локальной среде.
• Используйте внешний поставщик служб DNS.

Крупные организации часто размещают собственные DNS-серверы в локальной среде из-за их сетевого опыта и глобального присутствия.

Однако для большинства организаций предпочтительнее использовать внешний поставщик услуг DNS. Эти поставщики предлагают высокий уровень доступности и надежность для служб DNS, что имеет решающее значение, так как сбои DNS могут сделать службы, подключенные к Интернету, недоступными.

Azure DNS предлагает высокодоступное и высокопроизводительное внешнее решение DNS. Она использует глобальную инфраструктуру Azure, позволяя размещать домен в Azure с теми же учетными данными, API, инструментами и выставлением счетов, что и другие службы Azure. Кроме того, она пользуется преимуществами надежных средств управления безопасностью Azure.

Подробнее:

• Обзор Azure DNS
• Частные зоны Azure DNS позволяют настроить личные DNS-имена для ресурсов Azure, вместо автоматически назначаемых имен без необходимости добавления собственной системы DNS.

Архитектура сети периметра

Множество крупных организаций использует сети периметра для сегментирования сетей, чтобы создать буферную зону между Интернетом и их службами. Зона периметра сети считается обладающей низким уровнем безопасности, поэтому никакие ценные ресурсы в этом сегменте сети не размещаются. Как правило, вы имеете дело с сетевыми устройствами безопасности, использующими сетевой интерфейс в сегменте сети периметра. Другой сетевой интерфейс подключается к сети, содержащей виртуальные машины и службы, которые принимают входящие подключения из Интернета.

Сети периметра можно проектировать различными способами. Принятие решения о развертывании сети периметра и выбор ее типа зависят от требований безопасности сети.

Подробнее:

• Сети периметра для зон безопасности

Защита от атак DDoS Azure

Распределенные атаки типа "отказ в обслуживании" (DDoS) являются значительными угрозами доступности и безопасности облачных приложений. Эти атаки направлены на истощение ресурсов приложения, делая его недоступным для законных пользователей. Любая общедоступная конечная точка может быть целевой.

К функциям защиты от атак DDoS относятся:

• Интеграция собственной платформы: Полностью интегрирована в Azure с конфигурацией, доступной на портале Azure. Он понимает ресурсы и их конфигурации.
• Защита от включения ключа: Автоматически защищает все ресурсы в виртуальной сети сразу после включения защиты от атак DDoS, не требуя вмешательства пользователя. Устранение рисков начинается мгновенно при обнаружении атак.
• Постоянный мониторинг трафика: Отслеживает трафик вашего приложения круглосуточно в поиске признаков DDoS-атак и инициирует меры по их предотвращению при нарушении политик защиты.
• Отчеты по устранению рисков атак: Предоставляет подробные сведения о атаках с использованием агрегированных данных сетевого потока.
• Журналы потока смягчения атак: Предлагает журналы почти в реальном времени отброшенного и перенаправленного трафика во время активной атаки DDoS.
• Адаптивная настройка: Постепенно изучает шаблоны трафика вашего приложения и соответственно корректирует профиль защиты. Обеспечивает защиту уровня 3 до уровня 7 при использовании с брандмауэром веб-приложения.
• Широкий масштаб мер по устранению рисков: Может устранить более 60 различных типов атак с глобальной емкостью для обработки крупнейших известных атак DDoS.
• Метрики атак: Сводные метрики из каждой атаки доступны с помощью Azure Monitor.
• Оповещение об атаках: Настраиваемые оповещения для начала, остановки и длительности атаки, интеграция с такими средствами, как журналы Azure Monitor, Splunk, служба хранилища Azure, электронная почта и портал Azure.
• Гарантия стоимости: Предлагает сервисные кредиты за передачу данных и масштабирование приложений в случаях задокументированных атак DDoS.
• Услуга оперативного реагирования на DDoS: Предоставляет доступ к команде быстрого реагирования во время активной атаки для расследования, пользовательских мер устранения рисков и анализа после атаки.

Подробнее:

• Обзор защиты от атак DDoS

Azure Front Door

Azure Front Door позволяет определять, управлять и отслеживать глобальную маршрутизацию веб-трафика, оптимизируя его для обеспечения производительности и высокой доступности. Он позволяет создавать пользовательские правила брандмауэра веб-приложения (WAF) для защиты рабочих нагрузок HTTP/HTTPS от эксплуатации на основе IP-адресов клиентов, кодов стран и параметров HTTP. Кроме того, Front Door поддерживает правила ограничения скорости для борьбы с трафиком вредоносных ботов, включает терминирование TLS и обеспечивает обработку на уровне приложения для каждого HTTP/HTTPS-запроса.

Платформа Front Door защищена защитой DDoS уровня инфраструктуры Azure. Для повышения защиты можно включить защиту сети DDoS Azure в виртуальных сетях для защиты ресурсов от атак сетевого уровня (TCP/UDP) с помощью автоматической настройки и устранения рисков. В качестве обратного прокси-сервера уровня 7 Front Door позволяет передавать веб-трафик только на серверные серверы, блокируя другие типы трафика по умолчанию.

Подробнее:

• Дополнительные сведения о полном наборе возможностей Azure Front Door вы можете просмотреть в статье Что такое Azure Front Door Service?

Диспетчер трафика Azure

Диспетчер трафика Azure — это подсистема балансировки нагрузки на основе DNS, которая распределяет трафик между службами в глобальных регионах Azure, обеспечивая высокую доступность и скорость реагирования. Он использует DNS для маршрутизации клиентских запросов к наиболее подходящей конечной точке службы на основе метода маршрутизации трафика и работоспособности конечных точек. Конечная точка может быть любой службой, размещенной в Интернете или за пределами Azure. Диспетчер трафика постоянно отслеживает конечные точки и избегает перенаправления трафика в любые недоступные.

Подробнее:

• Общие сведения о диспетчере трафика Azure

Мониторинг и обнаружение угроз

В этой важной сфере Azure предоставляет возможности, которые помогут вам обнаруживать угрозы на ранних этапах, выполнять мониторинг, а также собирать и просматривать сетевой трафик.

Наблюдатель за сетями Azure

Наблюдатель за сетями Azure предоставляет средства для устранения неполадок и выявления проблем безопасности.

• Обзор группы безопасности: аудит и проверка на соответствие требованиям безопасности виртуальных машин путем сравнения базовых политик с эффективными правилами, помогая определить смещение конфигурации.
• Запись пакетов: записывает сетевой трафик на виртуальные машины и с виртуальных машин, помогая в сборе статистики сети и устранении неполадок с приложением. Она также может быть активирована функциями Azure в ответ на определенные оповещения.

Дополнительные сведения см. в обзоре мониторинга наблюдателя за сетями Azure.

Microsoft Defender для облака

Microsoft Defender для облака помогает предотвращать, обнаруживать и реагировать на угрозы, а также повышает прозрачность и усиливает контроль за безопасностью ресурсов Azure. Он включает встроенные функции мониторинга безопасности и управления политиками для подписок Azure, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует со множеством решений по обеспечению безопасности.

Defender для облака позволяет оптимизировать систему безопасности сети и следить за ней благодаря следующим возможностям:

• предоставление рекомендаций по обеспечению безопасности сети;
• мониторинг состояния конфигурации безопасности сети;
• Предупреждение о сетевых угрозах как на уровне устройства, так и на сетевом уровне.

Подробнее:

• Общие сведения о Microsoft Defender для облака

TAP виртуальной сети

TAP (точка доступа к терминалу) виртуальной сети Azure позволяет непрерывно передавать сетевой трафик виртуальной машины в сборщик сетевых пакетов или средство аналитики. Сборщик сетевых пакетов или средство аналитики предоставляются партнером-разработчиком сетевого виртуального устройства. Один и тот же ресурс TAP виртуальной сети позволяет объединять трафик из разных сетевых интерфейсов в одной и той же или разных подписках.

Подробнее:

• TAP виртуальной сети

Ведение журнала

Ведение журнала на сетевом уровне является ключевой функцией для любого сценария безопасности сети. В Azure можно регистрировать данные, полученные для сетевых групп безопасности, чтобы получать журнал сетевого уровня. С помощью ведения журнала NSG вы получите информацию из следующих источников:

• Журналы действий. Используйте журналы, чтобы просмотреть все операции, отправленные для ваших подписок на Azure. Эти журналы включены по умолчанию и доступны на портале Azure. Ранее они назывались журналами аудита или операционными журналами.
• Журналы событий. Эти журналы содержат информацию о примененных правилах NSG.
• Журналы счетчиков. Эти журналы позволяет просмотреть, сколько раз каждое правило NSG было применено для запрета или разрешения трафика.

Для просмотра и анализа этих журналов можно также использовать эффективное средство визуализации данных Microsoft Power BI. Подробнее:

• Журналы Azure Monitor для групп безопасности сети (NSG)