Udostępnij przez

Co to jest zabezpieczenia sieci platformy Azure?

Bezpieczeństwo sieci jest krytycznym aspektem przetwarzania w chmurze, ponieważ chroni dane i aplikacje działające w chmurze przed różnymi zagrożeniami i atakami. Platforma Azure udostępnia kompleksowy zestaw rozwiązań zabezpieczeń sieci, które umożliwiają projektowanie, wdrażanie i zarządzanie bezpiecznymi i odpornymi sieciami w chmurze.

Zrzut ekranu przedstawiający ikony usług Azure Firewall, Azure DDoS Protection i Azure Web Application Firewall.

Jedną z podstawowych zasad zabezpieczeń sieci platformy Azure jest model Zero Trust, który zakłada, że żadna sieć lub urządzenie nie jest z natury bezpieczna ani godna zaufania. Zamiast tego każde żądanie i połączenie powinny być weryfikowane i sprawdzane na podstawie danych, tożsamości i kontekstu. Model Zero Trust pomaga zapobiegać nieautoryzowanemu dostępowi, ograniczać ruch poprzeczny i zmniejszać obszar ataków sieci.

Wybieranie rozwiązania

Wybór odpowiedniego rozwiązania zabezpieczeń sieci dla obciążeń platformy Azure zależy od konkretnych potrzeb i wymagań. Platforma Azure udostępnia różne usługi zabezpieczeń sieci, które mogą być używane pojedynczo lub w połączeniu w celu ochrony obciążeń. Poniżej przedstawiono niektóre kluczowe czynniki, które należy wziąć pod uwagę podczas wybierania rozwiązania zabezpieczeń sieci:

  • Typ obciążenia: Różne obciążenia mają różne wymagania dotyczące zabezpieczeń. Na przykład aplikacje internetowe mogą wymagać ochrony przed atakami internetowymi, podczas gdy maszyny wirtualne mogą wymagać ochrony przed atakami opartymi na sieci.
  • Model wdrażania: platforma Azure udostępnia różne modele wdrażania dla usług zabezpieczeń sieci, takich jak urządzenia wirtualne, usługi zarządzane i zintegrowane rozwiązania. Wybierz model, który najlepiej odpowiada Twoim potrzebom i wymaganiom.
  • Integracja z innymi usługami platformy Azure: wiele usług zabezpieczeń sieci platformy Azure integruje się z innymi usługami platformy Azure, takimi jak Azure Monitor, Azure Security Center i Microsoft Sentinel. Wybierz rozwiązanie, które można łatwo zintegrować z istniejącymi usługami platformy Azure w celu zapewnienia zwiększonych zabezpieczeń i monitorowania.
  • Koszt: Różne usługi zabezpieczeń sieci mają różne modele cenowe. Wybierz rozwiązanie, które pasuje do budżetu i zapewnia potrzebny poziom ochrony.
  • Wymagania dotyczące zgodności: w zależności od branży i lokalizacji może istnieć określone wymagania dotyczące zgodności, które musi spełniać rozwiązanie zabezpieczeń sieci. Wybierz rozwiązanie, które może pomóc spełnić te wymagania.
  • Skalowalność: w miarę zwiększania się obciążeń rozwiązanie zabezpieczeń sieci powinno być w stanie je skalować. Wybierz rozwiązanie, które może obsługiwać zwiększony ruch i obciążenia bez naruszania zabezpieczeń.
  • Zarządzanie i monitorowanie: wybierz rozwiązanie, które zapewnia łatwe funkcje zarządzania i monitorowania, takie jak pulpity nawigacyjne, alerty i raportowanie. Pomoże to szybko zidentyfikować zdarzenia zabezpieczeń i reagować na nie.

Azure Firewall

Azure Firewall to natywna dla chmury, inteligentna usługa zapory sieciowej, która oferuje pełną ochronę stanową z wbudowaną wysoką dostępnością i nieograniczoną skalowalnością chmury. Zapewnia zarówno zabezpieczenia sieciowe, jak i na poziomie aplikacji dla obciążeń platformy Azure. Jako usługa zarządzana można wdrożyć usługę Azure Firewall w sieci wirtualnej i bezproblemowo integrować się z innymi usługami platformy Azure, takimi jak Azure Monitor, Azure Security Center i Microsoft Sentinel w celu zapewnienia zwiększonych zabezpieczeń i monitorowania.

Diagram przedstawiający sposób inspekcji ruchu do i z Internetu przez usługę Azure Firewall przed kierowaniem go do miejsca docelowego.

W zależności od potrzeb możesz wybrać spośród trzech jednostek SKU usługi Azure Firewall:

  • Podstawowa: Podstawowa jednostka SKU to ekonomiczna opcja dla prostych rozwiązań zapory w obciążeniach platformy Azure. Udostępnia podstawowe funkcje, takie jak filtrowanie sieci i aplikacji, tłumaczenie adresów sieciowych i rejestrowanie.
  • Standard: jednostka SKU w warstwie Standard to bardziej zaawansowana opcja obejmująca dodatkowe funkcje, takie jak serwer proxy DNS i kategorie internetowe. Jest ona przeznaczona dla bardziej kompleksowych rozwiązań zapory w obciążeniach platformy Azure.
  • Premium: Jednostka SKU w warstwie Premium to najbardziej zaawansowana opcja obejmująca wszystkie funkcje standardowej jednostki SKU oraz dodatkowe funkcje, takie jak inspekcja protokołu TLS, wykrywanie nieautoryzowanego dostępu i zapobieganie im oraz filtrowanie adresów URL. Jest ona zaprojektowana pod kątem najwyższego poziomu zabezpieczeń i kontroli w obciążeniach platformy Azure.

Przypadki użycia

  • Zabezpieczenia sieci: ochrona obciążeń platformy Azure przed atakami opartymi na sieci i nieautoryzowanym dostępem.
  • Zabezpieczenia aplikacji: ochrona obciążeń platformy Azure przed atakami i lukami w zabezpieczeniach opartymi na aplikacjach.
  • Wykrywanie i zapobieganie włamaniom: monitoruj sieć pod kątem złośliwych działań, rejestruj informacje o tym działaniu, zgłoś je i opcjonalnie spróbuj zablokować.
  • Inspekcja protokołu TLS: sprawdzanie i odszyfrowywanie ruchu TLS w celu wykrywania i blokowania zagrożeń ukrytych w zaszyfrowanym ruchu.
  • Filtrowanie adresów URL: kontrolowanie dostępu do określonych adresów URL lub kategorii adresów URL na podstawie zasad organizacji.

Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Firewall.

Ochrona przed DDoS w Azure

Azure DDoS Protection to usługa, która zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej. Ochrona jest prosta w przypadku wszystkich nowych lub istniejących zasobów sieci wirtualnej lub publicznego adresu IP i nie wymaga żadnych zmian aplikacji ani zasobów.

  • Ochrona adresów IP: usługa Azure DDoS IP Protection zapewnia ochronę zasobów platformy Azure, które są przypisane do publicznego adresu IP. Chroni przed atakami na woluminy, protokół i warstwę aplikacji.

    Diagram ilustrujący usługę Azure DDoS Protection zastosowaną do zasobu z publicznym adresem IP.

  • Ochrona sieci: usługa Azure DDoS Network Protection zapewnia ochronę zasobów platformy Azure w sieci wirtualnej, która ma przypisany publiczny adres IP. Oferuje dodatkowe funkcje, takie jak obsługa szybkiego reagowania na ataki DDoS, ochrona kosztów oraz rabaty na zaporę aplikacyjną (WAF).

    Diagram ilustrujący usługę Azure DDoS Protection włączoną na poziomie sieci wirtualnej dla topologii piasty i szprych.

Przypadki użycia

  • Ochrona przed atakami DDoS: ochrona zasobów platformy Azure przed atakami DDoS, w tym atakami typu volumetric, protokołem i warstwą aplikacji.
  • Ochrona kosztów: ochrona zasobów platformy Azure przed nieoczekiwanymi kosztami spowodowanymi atakami DDoS.
  • Szybka odpowiedź: uzyskaj pomoc techniczną dotyczącą szybkiego reagowania od ekspertów ds. ataków DDoS platformy Azure w przypadku ataku DDoS.

Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure DDoS Protection.

Zapora aplikacji internetowej platformy Azure

Usługa Azure Web Application Firewall (WAF) to zapora aplikacji internetowej, która zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi atakami i lukami w zabezpieczeniach. Zapora aplikacji internetowej używa reguł do monitorowania żądań i odpowiedzi HTTP oraz może blokować lub zezwalać na ruch na podstawie zdefiniowanych reguł.

Diagram ilustrujący zaporę aplikacji internetowej platformy Azure zastosowaną zarówno do usługi Azure Application Gateway, jak i usługi Azure Front Door, umożliwiając prawidłowe żądania i blokujące ataki internetowe.

WAF jest dostępny w dwóch opcjach wdrażania:

Przypadki użycia

  • Ochrona przed atakami internetowymi: ochrona aplikacji internetowych przed typowymi programami wykorzystującymi luki i lukami w zabezpieczeniach, takimi jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami (XSS).
  • Scentralizowane zarządzanie: zarządzanie regułami i zasadami zapory aplikacji internetowej z jednej lokalizacji.
  • Integracja z usługami platformy Azure: Zintegruj WAF z innymi usługami platformy Azure, takimi jak Azure Application Gateway i Azure Front Door, w celu zwiększenia bezpieczeństwa i wydajności.
  • Reguły niestandardowe: utwórz reguły niestandardowe, aby spełnić określone wymagania i zasady zabezpieczeń.
  • Ochrona botów: ochrona aplikacji internetowych przed złośliwymi botami i automatycznymi atakami.

Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Web Application Firewall.

Środowisko witryny Azure Portal

Witryna Azure Portal zapewnia ujednolicone środowisko zarządzania usługami zabezpieczeń sieci. Możesz łatwo tworzyć usługi zabezpieczeń sieci i zarządzać nimi z jednej lokalizacji, a także wyświetlać stan i kondycję usług.

Zrzut ekranu przedstawiający środowisko wyboru zabezpieczeń sieci w witrynie Azure Portal.

Typowe scenariusze zabezpieczeń sieci

Centrum zabezpieczeń sieci obsługuje obecnie następujące opcje wdrażania:

  • Zabezpieczona sieć wirtualna typu hub-and-spoke: wdróż Azure Firewall w sieci wirtualnej wyznaczonej jako węzeł. Ta centralna sieć wirtualna może łączyć się z wieloma podłączonymi sieciami wirtualnymi przy użyciu sieciowego łączenia równorzędnego. Usługa Azure Firewall jest skojarzona z zasadami usługi Azure Firewall, które definiują reguły i konfiguracje zapory. Ten model wdrażania jest idealny dla organizacji, które chcą scentralizować zabezpieczenia sieci i zarządzanie nimi w jednej lokalizacji.

  • Ochrona wirtualnych sieci WAN na dużą skalę: wdrażanie usługi Azure Firewall w zabezpieczonym centrum usługi Azure Virtual WAN. Usługa Azure Firewall jest skojarzona z zasadami usługi Azure Firewall, a zabezpieczone centrum jest połączone z wieloma oddziałami i użytkownikami zdalnymi. Ten model wdrażania jest idealny dla organizacji korzystających z usługi Azure Virtual WAN do łączenia wielu oddziałów i zdalnych użytkowników z zasobami platformy Azure.

  • Zero Trust dla aplikacji webowych: użyj usługi Azure Application Gateway z polityką Azure WAF, aby chronić regionalne aplikacje internetowe przed typowymi exploitami i lukami w zabezpieczeniach. Dostosuj politykę WAF, aby spełnić określone potrzeby w zakresie zabezpieczeń Twoich aplikacji internetowych.

  • Bezpieczne dostarczanie zawartości w chmurze: użyj Azure Front Door z polityką Zapory Aplikacji Webowej (WAF) Azure, aby chronić i optymalizować dostarczanie swoich globalnych aplikacji internetowych. Ten model wdrażania zapewnia bezpieczną i wydajną pracę aplikacji, umożliwiając dostosowanie polityki WAF, aby zaspokoić określone potrzeby związane z zabezpieczeniami.

Dalsze kroki

Dowiedz się więcej o różnych funkcjach i możliwościach każdej usługi zabezpieczeń sieci platformy Azure:

Dokumentacja zabezpieczeń sieci platformy Azure

  • Last updated on