Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Netwerkbeveiliging beschermt resources tegen onbevoegde toegang of aanvallen door netwerkverkeer te beheren. Azure biedt een robuuste netwerkinfrastructuur ter ondersteuning van uw toepassings- en serviceconnectiviteitsvereisten, met beveiligingscontroles op elke laag.
In dit artikel worden de belangrijkste netwerkbeveiligingsmogelijkheden in Azure behandeld:
- Netwerktoegangsbeheer
- Azure Firewall
- Externe toegang en cross-premises connectiviteit beveiligen
- Beschikbaarheid en taakverdeling
- Naamomzetting
- DDoS protection
- Azure Front Door (een cloudgebaseerde dienst voor netwerkbeveiliging en contentlevering)
- Bewaking en detectie van bedreigingen
Notitie
Voor webworkloads raden we u aan Azure DDoS Protection en een webtoepassingsfirewall te gebruiken om te beschermen tegen DDoS-aanvallen. Azure Front Door met een webtoepassingsfirewall biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau.
Azure Virtueel Netwerk
Azure Virtual Network is de fundamentele bouwsteen voor uw privénetwerk in Azure. Elk virtueel netwerk is geïsoleerd van andere virtuele netwerken en zorgt ervoor dat netwerkverkeer in uw implementaties niet toegankelijk is voor andere Azure-klanten. Met virtuele netwerken kunnen Azure-resources veilig communiceren met elkaar, internet en on-premises netwerken.
Meer informatie:
Netwerktoegangsbeheer
Netwerktoegangsbeheer beperkt de connectiviteit van en naar specifieke apparaten of subnetten binnen een virtueel netwerk. Het doel is om de toegang tot uw virtuele machines en services te beperken tot goedgekeurde gebruikers en apparaten.
Netwerkbeveiligingsgroepen
Netwerkbeveiligingsgroepen (NSG's) bieden eenvoudige, 'stateful' pakketfiltering op basis van IP-adres en TCP/UDP-protocollen. NSG's beheren de toegang met behulp van een 5-tuple (bron-IP, bronpoort, doel-IP, doelpoort, protocol).
NSG's bevatten functies om het beheer te vereenvoudigen:
- Uitgebreide beveiligingsregels: complexe regels maken in plaats van meerdere eenvoudige regels om hetzelfde resultaat te bereiken
- Servicetags: door Microsoft beheerde labels die groepen IP-adressen vertegenwoordigen die dynamisch worden bijgewerkt
- Toepassingsbeveiligingsgroepen: Resources ordenen in toepassingsgroepen en toegang beheren op basis van deze groepen
Meer informatie:
Service-eindpunten
Service-eindpunten voor virtuele netwerken breiden uw privéadresruimte van het virtuele netwerk uit naar Azure-services via een directe verbinding. Service-eindpunten houden verkeer op het Backbone-netwerk van Azure en beperken de communicatie met ondersteunde services alleen naar uw virtuele netwerken.
Meer informatie:
Azure Private Link
Azure Private Link biedt privéconnectiviteit van een virtueel netwerk naar Azure PaaS-services, services die eigendom zijn van de klant of microsoft-partnerservices. Private Link-verkeer blijft aanwezig in het Microsoft Azure-backbonenetwerk, waardoor blootstelling aan het openbare internet wordt geëlimineerd.
Meer informatie:
- Wat is Azure Private Link?
- Privé-eindpunten
Azure Firewall
Azure Firewall is een cloudeigen, intelligente netwerkfirewallbeveiligingsservice die beveiliging tegen bedreigingen biedt voor cloudworkloads. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid.
Azure Firewall is beschikbaar in drie SKU's:
- Azure Firewall Basic: Vereenvoudigde beveiliging voor kleine en middelgrote bedrijven
- Azure Firewall Standard: L3-L7 filteren en bedreigingsinformatie van Microsoft Cyber Security
- Azure Firewall Premium: geavanceerde mogelijkheden, waaronder op handtekeningen gebaseerde IDPS voor snelle detectie van aanvallen
Meer informatie:
- Wat is Azure Firewall?
- De juiste Azure Firewall-SKU kiezen
- Overzicht van detectie en beveiliging van bedreigingen
Externe toegang en cross-premises connectiviteit beveiligen
Azure ondersteunt verschillende scenario's voor veilige externe toegang voor het beheren van Azure-resources en het implementeren van hybride IT-oplossingen.
Punt-naar-site-VPN
Met punt-naar-site-VPN-verbindingen kunnen afzonderlijke gebruikers privé- en beveiligde verbindingen met een virtueel netwerk tot stand brengen. Gebruikers hebben na verificatie toegang tot virtuele machines en services in Azure. Punt-naar-site-VPN ondersteunt:
- Secure Socket Tunneling Protocol (SSTP): eigen VPN-protocol op basis van SSL (Windows-apparaten)
- IKEv2 VPN: Op standaarden gebaseerde IPsec VPN-oplossing (Mac-apparaten)
- OpenVPN-protocol: VPN-protocol op basis van SSL/TLS (Android-, iOS-, Windows-, Linux- en Mac-apparaten)
Meer informatie:
Site-naar-site-VPN
Site-naar-site VPN Gateway-verbindingen zorgen voor beveiligde cross-premises connectiviteit tussen uw on-premises netwerk en virtuele Azure-netwerken. Site-naar-site VPN's maken gebruik van het VPN-protocol voor de zeer veilige IPsec-tunnelmodus.
VPN Gateway is essentieel voor hybride IT-scenario's waarbij onderdelen van een service zowel in Azure als on-premises worden gehost.
Meer informatie:
ExpressRoute
ExpressRoute biedt toegewezen WAN-koppelingen tussen uw on-premises netwerk en Microsoft-cloudservices. ExpressRoute-verbindingen gaan niet via het openbare internet en bieden verbeterde beveiliging, betrouwbaarheid, snelheid en lagere latentie in vergelijking met internetverbindingen.
ExpressRoute ondersteunt:
- ExpressRoute Direct: Directe verbinding met het wereldwijde Microsoft-netwerk
- ExpressRoute Global Reach: connectiviteit tussen uw on-premises sites via ExpressRoute-circuits
Meer informatie:
VNet-peering
Peering van virtueel netwerk verbindt twee virtuele Azure-netwerken, waardoor resources in beide netwerken met elkaar kunnen communiceren. VNet-peering maakt gebruik van de Microsoft-backbone-infrastructuur, waardoor het openbare internet wordt overgeslagen. Peering ondersteunt verbindingen binnen dezelfde Azure-regio of in verschillende regio's (wereldwijde VNet-peering).
Meer informatie:
Beschikbaarheid en taakverdeling
Taakverdeling verdeelt verbindingen over meerdere apparaten om de beschikbaarheid en prestaties te verbeteren. Azure biedt verschillende opties voor taakverdeling.
Azure-belastingsverdeling
Azure Load Balancer biedt hoogwaardige laag 4-taakverdeling met lage latentie voor alle UDP- en TCP-protocollen. Load Balancer distribueert inkomend verkeer naar back-endinstanties volgens geconfigureerde regels en statustests.
Load Balancer-functies zijn onder andere:
- Ondersteuning voor interne en externe taakverdelingsscenario's
- Zoneredundantie en zonegebonden implementaties
- Ondersteuning voor TCP- en UDP-toepassingen
- Gezondheidstests om de beschikbaarheid van backend-instanties te bepalen
Meer informatie:
- Wat is Azure Load Balancer?
- Standard Load Balancer en beschikbaarheidszones
Azure Application Gateway
Azure Application Gateway is een load balancer voor webverkeer (Laag 7) die verkeer naar uw webtoepassingen beheert. Application Gateway neemt routeringsbeslissingen op basis van HTTP-aanvraagkenmerken zoals URI-pad of hostheaders.
Application Gateway-functies zijn onder andere:
- Web Application Firewall (WAF) voor gecentraliseerde beveiliging
- TLS-beëindiging om de overhead voor versleuteling op webservers te verminderen
- Sessieaffiniteit op basis van cookies
- Routering van inhoud op basis van URL's
- Automatisch schalen en zoneredundantie
Meer informatie:
Azure Traffic Manager
Azure Traffic Manager is een load balancer op basis van DNS die verkeer optimaal distribueert naar services in wereldwijde Azure-regio's. Traffic Manager biedt hoge beschikbaarheid en reactiesnelheid door clientaanvragen door te routeren naar het meest geschikte service-eindpunt op basis van de verkeersrouteringsmethode en eindpuntstatus.
Traffic Manager ondersteunt meerdere routeringsmethoden, waaronder prioriteit, gewogen, prestaties, geografische, meerdere waarden en subnetroutering.
Meer informatie:
Naamomzetting
Veilige naamomzetting is van cruciaal belang voor alle cloudservices. Gecompromitteerde functies voor naamomzetting kunnen aanvragen omleiden naar schadelijke sites.
Azure DNS
Azure DNS biedt maximaal beschikbare en krachtige naamomzetting met behulp van de Microsoft Azure-infrastructuur. Azure DNS biedt ondersteuning voor:
- Openbare DNS-domeinen die worden gehost in de globale Azure-infrastructuur
- Privé-DNS-zones voor naamomzetting binnen en tussen virtuele netwerken
- Split-horizon DNS-scenario's waarbij dezelfde domeinnaam anders wordt omgezet voor privé- en openbare query's
Meer informatie:
DDoS protection
DDoS-aanvallen (Distributed Denial of Service) behoren tot de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die toepassingen naar de cloud verplaatsen. Azure DDoS Protection beschermt Azure-resources tegen DDoS-aanvallen.
Azure DDoS Protection SKU's
- DDoS Infrastructure Protection: Standaardbeveiliging ingeschakeld voor alle Azure-eigenschappen zonder extra kosten
- DDoS-netwerkbeveiliging: Geavanceerde beveiliging voor resources in virtuele netwerken met adaptief afstemmen, risicobeperkingsbeleid en bewaking
DDoS Network Protection-functies zijn onder andere:
- Systeemeigen platformintegratie met configuratie via Azure Portal
- Altijd-aan-verkeer bewaken en real-time mitigeren
- Aanvalsanalyses, inclusief risicobeperkingsrapporten en stroomlogboeken
- Adaptief afstemmen op basis van verkeerspatronen van toepassingen
- Kostengarantie inclusief gegevensverplaatsing en uitschalingsservicetegoeden voor toepassingen
Meer informatie:
Azure Front Door (een cloudgebaseerde dienst voor netwerkbeveiliging en contentlevering)
Azure Front Door is een wereldwijd, schaalbaar toegangspunt dat gebruikmaakt van het wereldwijde edge-netwerk van Microsoft om snelle, veilige en breed schaalbare webtoepassingen te maken. Front Door biedt laag 7-taakverdeling, TLS-beëindiging, routering op basis van URL's en geïntegreerde beveiliging.
Front Door-mogelijkheden zijn onder andere:
- Globale HTTP-taakverdeling met directe failover
- TLS-beëindiging aan de rand van het netwerk
- Routering op basis van URL-pad
- Sessieaffiniteit op basis van cookies
- Web Application Firewall-beveiliging
- DDoS-beveiliging op platformniveau
- Private Link-integratie om back-end origins te beveiligen
Meer informatie:
- Wat is Azure Front Door?
- Front Door-routeringsarchitectuur
Bewaking en detectie van bedreigingen
Azure biedt hulpprogramma's voor het bewaken van de netwerkbeveiliging en het detecteren van bedreigingen.
Azure Network Watcher
Azure Network Watcher biedt hulpprogramma's voor het bewaken, diagnosticeren en verkrijgen van inzicht in uw netwerk in Azure.
Network Watcher-mogelijkheden zijn onder andere:
- Verbindingsmonitor: controleert de connectiviteit tussen Azure-resources en -eindpunten
- NSG-stroomlogboeken: registreert informatie over IP-verkeer dat via netwerkbeveiligingsgroepen stroomt
- Pakketopname: legt netwerkverkeer van en naar virtuele machines vast
- VPN-probleemoplossing: problemen met VPN-gateways en -verbindingen vaststellen
- Netwerkdiagnose: hiermee valideert u de netwerkconfiguratie en identificeert u beveiligingsproblemen
Meer informatie:
- Wat is Azure Network Watcher?
- Overzicht van Network Watcher-bewaking
Microsoft Defender voor Cloud
Met Microsoft Defender voor Cloud kunt u bedreigingen voorkomen, detecteren en erop reageren met meer zichtbaarheid en controle over de beveiliging van uw Azure-resources. Defender for Cloud biedt aanbevelingen voor netwerkbeveiliging, bewaakt de netwerkbeveiligingsconfiguratie en waarschuwt u voor bedreigingen op basis van het netwerk.
Meer informatie:
- Inleiding tot Microsoft Defender voor Cloud
- Uw netwerkresources beveiligen
- Overzicht van detectie van bedreigingen