Overzicht van Azure-netwerkbeveiliging

Netwerkbeveiliging kan worden gedefinieerd als het proces voor het beschermen van middelen tegen ongeoorloofde toegang of aanvallen door het toepassen van controlemechanismen op netwerkverkeer. Het doel is ervoor te zorgen dat alleen legitiem verkeer is toegestaan. Azure bevat een robuuste netwerkinfrastructuur ter ondersteuning van uw toepassings- en serviceconnectiviteitsvereisten. Netwerkconnectiviteit is mogelijk tussen resources die zich in Azure bevinden, tussen on-premises en door Azure gehoste resources, en van en naar internet en Azure.

In dit artikel worden enkele van de opties beschreven die Azure biedt op het gebied van netwerkbeveiliging. Meer informatie over:

• Azure-netwerken
• Netwerktoegangsbeheer
• Azure Firewall
• Externe toegang en cross-premises connectiviteit beveiligen
• Beschikbaarheid
• Naamomzetting
• DMZ-architectuur (Perimeternetwerk)
• Azure DDoS-beveiliging
• Azure Front Door
• Verkeersmanager
• Bewaking en detectie van bedreigingen

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een firewall voor webtoepassingen te implementeren. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau.

Azure-netwerken

Voor Azure moeten virtuele machines zijn verbonden met een virtueel Azure-netwerk. Een virtueel netwerk is een logische constructie die is gebouwd op de fysieke Azure-netwerkinfrastructuur. Elk virtueel netwerk is geïsoleerd van alle andere virtuele netwerken. Dit helpt ervoor te zorgen dat netwerkverkeer in uw implementaties niet toegankelijk is voor andere Azure-klanten.

Meer informatie:

• Overzicht van virtueel netwerk

Netwerktoegangsbeheer

Netwerktoegangsbeheer is het beperken van de connectiviteit van en naar specifieke apparaten of subnetten binnen een virtueel netwerk. Het doel van netwerktoegangsbeheer is om de toegang tot uw virtuele machines en services te beperken tot goedgekeurde gebruikers en apparaten. Besturingselementen voor toegang zijn gebaseerd op beslissingen om verbindingen met en naar uw virtuele machine of service toe te staan of te weigeren.

Azure ondersteunt verschillende typen netwerktoegangsbeheer, zoals:

• Netwerklaagbeheer
• Routebeheer en geforceerde tunneling
• Virtuele netwerkbeveiligingsapparaten

Netwerklaagbeheer

Voor een veilige implementatie is een zekere mate van netwerktoegangsbeheer vereist. Het doel van netwerktoegangsbeheer is het beperken van de communicatie van virtuele machines naar de benodigde systemen. Andere communicatiepogingen worden geblokkeerd.

Notitie

Storage Firewalls worden behandeld in het overzichtsartikel over Azure Storage-beveiliging

Netwerkbeveiligingsregels (NSG's)

Als u basistoegangsbeheer op netwerkniveau nodig hebt (op basis van IP-adres en de TCP- of UDP-protocollen), kunt u netwerkbeveiligingsgroepen (NSG's) gebruiken. Een NSG is een eenvoudige, stateful firewall voor pakketfiltering en maakt het mogelijk om de toegang te beheren op basis van een 5-tuple. NSG's bevatten functionaliteit om het beheer te vereenvoudigen en de kans op configuratiefouten te verminderen:

• Uitgebreide beveiligingsregels vereenvoudigen de definitie van NSG-regels en stellen u in staat complexe regels te maken in plaats van meerdere eenvoudige regels te maken om hetzelfde resultaat te bereiken.
• Servicetags zijn door Microsoft gemaakte labels die een groep IP-adressen vertegenwoordigen. Ze worden dynamisch bijgewerkt om IP-bereiken op te nemen die voldoen aan de voorwaarden die de opname in het label definiëren. Als u bijvoorbeeld een regel wilt maken die van toepassing is op alle Azure-opslag in de regio Oost, kunt u Storage.EastUS gebruiken
• Met toepassingsbeveiligingsgroepen kunt u resources implementeren in toepassingsgroepen en de toegang tot deze resources beheren door regels te maken die gebruikmaken van deze toepassingsgroepen. Als u bijvoorbeeld webservers hebt geïmplementeerd in de toepassingsgroep Webservers, kunt u een regel maken waarmee een NSG wordt toegepast waarmee 443 verkeer van internet naar alle systemen in de toepassingsgroep Webservers wordt toegestaan.

NSG's bieden geen controle van toepassingslagen of geverifieerde toegangsbeheer.

Meer informatie:

• Netwerkbeveiligingsgroepen

Defender voor Cloud Just-in-time VM-toegang

Microsoft Defender voor Cloud kan de NSG's op VM's beheren en de toegang tot de VM vergrendelen totdat een gebruiker met de juiste Azure rolgebaseerde toegangscontrole Azure RBAC machtigingen toegang aanvraagt. Zodra de gebruiker succesvol is geautoriseerd, brengt Defender voor Cloud wijzigingen aan in de NSG's om toegang tot geselecteerde poorten toe te staan voor de opgegeven tijd. Wanneer de tijd verloopt, worden de NSG's hersteld naar de vorige beveiligde status.

Meer informatie:

• Microsoft Defender voor Cloud Just-In-Time-toegang

Service-eindpunten

Service-eindpunten zijn een andere manier om controle over uw verkeer toe te passen. U kunt de communicatie met ondersteunde services beperken tot alleen uw VNets via een directe verbinding. Verkeer van uw VNet naar de opgegeven Azure-service blijft in het Microsoft Azure backbone-netwerk.

Meer informatie:

• Service-eindpunten

Routebeheer en geforceerde tunneling

De mogelijkheid om routeringsgedrag op uw virtuele netwerken te beheren, is essentieel. Als routering onjuist is geconfigureerd, kunnen toepassingen en services die op uw virtuele machine worden gehost, verbinding maken met niet-geautoriseerde apparaten, waaronder systemen die eigendom zijn van en worden beheerd door potentiële aanvallers.

Azure-netwerken ondersteunen de mogelijkheid om het routeringsgedrag voor netwerkverkeer op uw virtuele netwerken aan te passen. Hiermee kunt u de standaardvermeldingen in de routeringstabel in uw virtuele netwerk wijzigen. Controle over routeringsgedrag helpt u ervoor te zorgen dat al het verkeer van een bepaald apparaat of een bepaalde groep apparaten uw virtuele netwerk binnenkomt of verlaat via een specifieke locatie.

U hebt bijvoorbeeld een virtueel netwerkbeveiligingsapparaat in uw virtuele netwerk. U wilt ervoor zorgen dat al het verkeer naar en van uw virtuele netwerk via dat virtuele beveiligingsapparaat gaat. U kunt dit doen door UDR's (User Defined Routes) te configureren in Azure.

Geforceerde tunneling is een mechanisme dat u kunt gebruiken om ervoor te zorgen dat uw services geen verbinding met apparaten op internet mogen initiëren. Houd er rekening mee dat dit verschilt van het accepteren van binnenkomende verbindingen en vervolgens erop reageren. Front-endwebservers moeten reageren op aanvragen van internethosts, zodat binnenkomend verkeer via internet naar deze webservers is toegestaan en de webservers kunnen reageren.

Wat u niet wilt toestaan, is een front-endwebserver om een uitgaande aanvraag te initiëren. Dergelijke aanvragen kunnen een beveiligingsrisico vormen omdat deze verbindingen kunnen worden gebruikt om malware te downloaden. Zelfs als u wilt dat deze front-endservers uitgaande aanvragen naar internet initiëren, wilt u mogelijk afdwingen dat ze uw on-premises webproxy's doorlopen. Hierdoor kunt u profiteren van URL-filtering en logboekregistratie.

In plaats daarvan wilt u geforceerde tunneling gebruiken om dit te voorkomen. Wanneer u geforceerde tunneling inschakelt, worden alle verbindingen naar het internet gedwongen via uw lokale gateway. U kunt geforceerde tunneling configureren door gebruik te maken van UDR's.

Meer informatie:

• routering van virtueel netwerkverkeer

Virtuele netwerkbeveiligingsapparaten

Hoewel NSG's, UDR's en geforceerde tunneling u een beveiligingsniveau bieden op het netwerk- en transportniveau van het OSI-model, kunt u ook beveiliging inschakelen op de toepassingslaag.

Uw beveiligingsvereisten kunnen bijvoorbeeld het volgende omvatten:

• Verificatie en autorisatie voordat toegang tot uw toepassing wordt toegestaan
• Inbraakdetectie en inbraakreactie
• Inspectie van toepassingslagen voor protocollen op hoog niveau
• URL filtering
• Antivirus- en antimalware op netwerkniveau
• Beveiliging tegen bots
• Toegangsbeheer voor toepassingen
• Aanvullende DDoS-beveiliging (boven de DDoS-beveiliging die wordt geleverd door de Azure-infrastructuur zelf)

U hebt toegang tot deze verbeterde netwerkbeveiligingsfuncties met behulp van een Azure-partneroplossing. U vindt de meest recente netwerkbeveiligingsoplossingen van Azure-partners door naar De Azure Marketplace te gaan en te zoeken naar 'beveiliging' en 'netwerkbeveiliging'.

Azure Firewall

Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die beveiliging tegen bedreigingen biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Azure Firewall inspecteert zowel oost-west- als noord-zuidverkeer.

Azure Firewall is beschikbaar in drie SKU's: Basic, Standard en Premium.

• Azure Firewall Basic biedt vereenvoudigde beveiliging die vergelijkbaar is met de Standard-SKU, maar zonder geavanceerde functies.
• Azure Firewall Standard biedt L3-L7-filtering en bedreigingsinformatiefeeds rechtstreeks vanuit Microsoft Cyber Security.
• Azure Firewall Premium- bevat geavanceerde mogelijkheden, zoals op handtekeningen gebaseerde IDPS voor snelle detectie van aanvallen door specifieke patronen te identificeren.

Meer informatie:

• Wat is Azure Firewall?

Externe toegang en cross-premises connectiviteit beveiligen

Het instellen, configureren en beheren van uw Azure-resources moet extern worden uitgevoerd. Daarnaast kunt u hybride IT-oplossingen met on-premises onderdelen en in de openbare Azure-cloud implementeren. Voor deze scenario's is beveiligde externe toegang vereist.

Azure-netwerken ondersteunen de volgende scenario's voor veilige externe toegang:

• Afzonderlijke werkstations verbinden met een virtueel netwerk
• Uw on-premises netwerk verbinden met een virtueel netwerk met een VPN
• Uw on-premises netwerk verbinden met een virtueel netwerk met een toegewezen WAN-koppeling
• Virtuele netwerken met elkaar verbinden

Afzonderlijke werkstations verbinden met een virtueel netwerk

Mogelijk wilt u afzonderlijke ontwikkelaars of operationele medewerkers inschakelen voor het beheren van virtuele machines en services in Azure. Als u bijvoorbeeld toegang nodig hebt tot een virtuele machine in een virtueel netwerk, maar uw beveiligingsbeleid rdP- of SSH-externe toegang tot afzonderlijke virtuele machines verbiedt, kunt u een punt-naar-site-VPN-verbinding gebruiken verbinding.

Met een punt-naar-site-VPN-verbinding kunt u een privé- en beveiligde verbinding tot stand brengen tussen de gebruiker en het virtuele netwerk. Zodra de VPN-verbinding tot stand is gebracht, kan de gebruiker RDP of SSH via de VPN-koppeling naar elke virtuele machine in het virtuele netwerk, mits deze zijn geverifieerd en geautoriseerd. Punt-naar-site-VPN ondersteunt:

• Secure Socket Tunneling Protocol (SSTP): een eigen VPN-protocol op basis van SSL dat firewalls kan binnendringen, omdat de meeste firewalls TCP-poort 443 openen, die TLS/SSL gebruikt. SSTP wordt ondersteund op Windows-apparaten (Windows 7 en hoger).
• IKEv2 VPN: een op standaarden gebaseerde IPsec VPN-oplossing die kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (OSX-versies 10.11 en hoger).
• OpenVPN-protocol: een op SSL/TLS gebaseerd VPN-protocol dat firewalls kan omzeilen, omdat de meeste firewalls uitgaand op TCP-poort 443, dat door TLS wordt gebruikt, openstaan. OpenVPN kan worden gebruikt om verbinding te maken vanaf Android, iOS (versies 11.0 en hoger), Windows-, Linux- en Mac-apparaten (macOS-versies 10.13 en hoger). Ondersteunde versies zijn TLS 1.2 en TLS 1.3 op basis van de TLS-handshake.

Meer informatie:

• Overzicht van punt-naar-site-VPN-routering

Uw on-premises netwerk verbinden met een virtueel netwerk met een VPN Gateway

Als u uw hele bedrijfsnetwerk of specifieke segmenten wilt verbinden met een virtueel netwerk, kunt u een site-naar-site-VPN gebruiken. Deze benadering is gebruikelijk in hybride IT-scenario's waarbij delen van een service zowel in Azure als on-premises worden gehost. U hebt bijvoorbeeld front-endwebservers in Azure en back-enddatabases lokaal. Site-naar-site-VPN's verbeteren de beveiliging van het beheren van Azure-resources en maken scenario's mogelijk, zoals het uitbreiden van Active Directory-domeincontrollers naar Azure.

Een site-naar-site-VPN verschilt van een punt-naar-site-VPN omdat het een volledig netwerk (zoals uw on-premises netwerk) verbindt met een virtueel netwerk, in plaats van slechts één apparaat. Site-naar-site-VPN's maken gebruik van het VPN-protocol voor de zeer veilige IPsec-tunnelmodus om deze verbindingen tot stand te brengen.

Meer informatie:

• Over VPN Gateway

Uw on-premises netwerk verbinden met een virtueel netwerk met een toegewezen WAN-koppeling

Punt-naar-site- en site-naar-site-VPN-verbindingen zijn handig voor het inschakelen van cross-premises connectiviteit. Ze hebben echter enkele beperkingen:

• VPN-verbindingen verzenden gegevens via internet, waardoor ze worden blootgesteld aan mogelijke beveiligingsrisico's die zijn gekoppeld aan openbare netwerken. Bovendien kan de betrouwbaarheid en beschikbaarheid van internetverbinding niet worden gegarandeerd.
• VPN-verbindingen met virtuele netwerken bieden mogelijk niet voldoende bandbreedte voor bepaalde toepassingen, meestal met een maximum van ongeveer 200 Mbps.

Voor organisaties die de hoogste beveiligings- en beschikbaarheidsniveaus voor hun cross-premises verbindingen vereisen, hebben toegewezen WAN-koppelingen vaak de voorkeur. Azure biedt oplossingen zoals ExpressRoute, ExpressRoute Direct en ExpressRoute Global Reach om deze toegewezen verbindingen tussen uw on-premises netwerk en virtuele Azure-netwerken te vergemakkelijken.

Meer informatie:

• Overzicht van ExpressRoute
• ExpressRoute Direct
• ExpressRoute Global Reach

Virtuele netwerken met elkaar verbinden

Het is mogelijk om om verschillende redenen meerdere virtuele netwerken voor uw implementaties te gebruiken, zoals het vereenvoudigen van het beheer of het verhogen van de beveiliging. Ongeacht de motivatie kan het voorkomen dat u resources in verschillende virtuele netwerken met elkaar wilt verbinden.

Een optie is om services op het ene virtuele netwerk verbinding te laten maken met services in een ander virtueel netwerk door 'teruglopen' via internet. Dit betekent dat de verbinding begint op één virtueel netwerk, via internet gaat en vervolgens het virtuele doelnetwerk bereikt. Dit maakt echter de verbinding met de beveiligingsrisico's zichtbaar die inherent zijn aan communicatie via internet.

Een betere optie is om een site-naar-site-VPN te maken waarmee de twee virtuele netwerken worden verbonden. Deze methode maakt gebruik van hetzelfde protocol voor de IPsec-tunnelmodus als de cross-premises site-naar-site-VPN-verbinding die eerder is genoemd.

Het voordeel van deze aanpak is dat de VPN-verbinding via de Azure-netwerkinfrastructuur tot stand wordt gebracht, wat een extra beveiligingslaag biedt ten opzichte van site-naar-site-VPN's die verbinding maken via internet.

Meer informatie:

• een VNet-naar-VNet-verbinding configureren met behulp van azure Portal

Een andere methode om uw virtuele netwerken te verbinden, is via VNet-peering. VNet-peering maakt directe communicatie mogelijk tussen twee virtuele Azure-netwerken via de Microsoft-backbone-infrastructuur, waardoor het openbare internet wordt overgeslagen. Deze functie ondersteunt peering binnen dezelfde regio of in verschillende Azure-regio's. U kunt ook netwerkbeveiligingsgroepen (NSG's) gebruiken om de connectiviteit tussen subnetten of systemen binnen de gekoppelde netwerken te beheren en te beperken.

Beschikbaarheid

Beschikbaarheid is van cruciaal belang voor elk beveiligingsprogramma. Als gebruikers en systemen geen toegang hebben tot de benodigde resources, wordt de service effectief aangetast. Azure biedt netwerktechnologieën die ondersteuning bieden voor mechanismen voor hoge beschikbaarheid, waaronder:

• Taakverdeling op basis van HTTP
• Taakverdeling op netwerkniveau
• Wereldwijde taakverdeling

Taakverdeling verdeelt verbindingen gelijkmatig over meerdere apparaten, met als doel:

• De beschikbaarheid verhogen: Door verbindingen te distribueren, blijft de service operationeel, zelfs als een of meer apparaten niet beschikbaar zijn. De resterende apparaten blijven de inhoud leveren.
• Prestaties verbeteren: Verbindingen distribueren vermindert de belasting op elk apparaat, waardoor de verwerkings- en geheugenvereisten op meerdere apparaten worden verspreid.
• Schalen vergemakkelijken: Naarmate de vraag toeneemt, kunt u meer apparaten toevoegen aan de load balancer, zodat deze meer verbindingen kan verwerken.

Taakverdeling op basis van HTTP

Organisaties die webservices uitvoeren, profiteren vaak van het gebruik van een load balancer op basis van HTTP om hoge prestaties en beschikbaarheid te garanderen. In tegenstelling tot traditionele load balancers op basis van netwerken die afhankelijk zijn van netwerk- en transportlaagprotocollen, nemen HTTP-load balancers beslissingen op basis van HTTP-protocolkenmerken.

Azure Application Gateway en Azure Front Door bieden HTTP-taakverdeling voor webservices. Beide services ondersteunen:

• sessieaffiniteit op basis van cookies: zorgt ervoor dat verbindingen die tot stand zijn gebracht met één server consistent blijven tussen de client en de server, waardoor transactiestabiliteit behouden blijft.
• TLS-offload: Versleutelt sessies tussen de client en de load balancer met behulp van HTTPS (TLS). Om de prestaties te verbeteren, kan de verbinding tussen de load balancer en de webserver HTTP (niet-versleuteld) gebruiken, waardoor de versleutelingsoverhead op webservers wordt verminderd en aanvragen efficiënter kunnen verwerken.
• op URL's gebaseerde inhoudsroutering: hiermee kan de load balancer verbindingen doorsturen op basis van de doel-URL, wat meer flexibiliteit biedt dan beslissingen op basis van IP-adressen.
• Web Application Firewall: biedt gecentraliseerde beveiliging voor webtoepassingen tegen veelvoorkomende bedreigingen en beveiligingsproblemen.

Meer informatie:

• Overzicht van Application Gateway
• Overzicht van Azure Front Door
• Overzicht van Web Application Firewall

Taakverdeling op netwerkniveau

In tegenstelling tot taakverdeling op basis van HTTP maakt taakverdeling op netwerkniveau beslissingen op basis van IP-adres- en poortnummers (TCP of UDP). Azure Load Balancer biedt taakverdeling op netwerkniveau met de volgende belangrijke kenmerken:

• Balanceert het verkeer op basis van IP-adres en poortnummers.
• Ondersteunt elk applicatielaagprotocol.
• Hiermee distribueert u verkeer naar virtuele Azure-machines en rolinstanties van cloudservices.
• Kan worden gebruikt voor zowel internetgerichte (externe taakverdeling) als niet-internetgerichte (interne taakverdeling) toepassingen en virtuele machines.
• Omvat eindpuntbewaking voor het detecteren en reageren op onbeschikbaarheid van de service.

Meer informatie:

• Overzicht van de interne load balancer

Wereldwijde taakverdeling

Sommige organisaties willen het hoogste beschikbaarheidsniveau. Een manier om dit doel te bereiken is het hosten van toepassingen in wereldwijd gedistribueerde datacenters. Wanneer een toepassing wordt gehost in datacenters over de hele wereld, is het mogelijk dat een hele geopolitieke regio niet meer beschikbaar is en de toepassing nog steeds actief is.

Deze taakverdelingsstrategie kan ook prestatievoordelen opleveren. U kunt aanvragen voor de service doorsturen naar het datacenter dat zich het dichtst bij het apparaat bevindt dat de aanvraag indient.

In Azure kunt u de voordelen van wereldwijde taakverdeling krijgen met behulp van Azure Traffic Manager voor taakverdeling op basis van DNS, Global Load Balancer voor taakverdeling op transportlaag of Azure Front Door voor taakverdeling op basis van HTTP.

Meer informatie:

• Wat is Traffic Manager?
• Overzicht van Azure Front Door
• Overzicht van Global Load Balancer

Naamomzetting

Naamresolutie is essentieel voor alle services die worden gehost in Microsoft Azure. Vanuit beveiligingsoogpunt kan het in gevaar brengen van de naamomzetting aanvallers in staat stellen om aanvragen van uw sites naar schadelijke sites om te leiden. Daarom is veilige naamresolutie cruciaal voor al uw diensten die in de cloud worden gehost.

Er zijn twee typen naamomzetting die u kunt overwegen:

• interne naamomzetting: gebruikt door services binnen uw virtuele netwerken, on-premises netwerken of beide. Deze namen zijn niet toegankelijk via internet. Voor optimale beveiliging moet u ervoor zorgen dat uw interne naamomzettingsschema niet zichtbaar is voor externe gebruikers.
• Externe naamomzetting: Gebruikt door mensen en apparaten buiten uw on-premises en virtuele netwerken. Deze namen zijn zichtbaar op internet en directe verbindingen met uw cloudservices.

Voor interne naamresolutie heeft u twee opties:

• DNS-server voor virtueel netwerk: Wanneer u een nieuw virtueel netwerk maakt, biedt Azure een DNS-server waarmee de namen van machines in dat virtuele netwerk kunnen worden omgezet. Deze DNS-server wordt beheerd door Azure en kan niet worden geconfigureerd, wat helpt bij het beveiligen van uw naamresolutie.
• Bring Your Own DNS-server: U kunt een DNS-server van uw keuze implementeren binnen uw virtuele netwerk. Dit kan een met Active Directory geïntegreerde DNS-server of een toegewezen DNS-serveroplossing zijn van een Azure-partner die beschikbaar is in Azure Marketplace.

Meer informatie:

• Overzicht van virtueel netwerk
• DNS-servers beheren die worden gebruikt door een virtueel netwerk

Voor externe naamomzetting hebt u twee keuzemogelijkheden:

• Host uw eigen externe DNS-server on-premises.
• Gebruik een externe DNS-serviceprovider.

Grote organisaties hosten vaak hun eigen DNS-servers on-premises vanwege hun netwerkexpertise en wereldwijde aanwezigheid.

Voor de meeste organisaties is het echter beter om een externe DNS-serviceprovider te gebruiken. Deze providers bieden hoge beschikbaarheid en betrouwbaarheid voor DNS-services, wat cruciaal is omdat DNS-fouten uw internetgerichte services onbereikbaar kunnen maken.

Azure DNS biedt een maximaal beschikbare en krachtige externe DNS-oplossing. Het maakt gebruik van de wereldwijde infrastructuur van Azure, zodat u uw domein in Azure kunt hosten met dezelfde referenties, API's, hulpprogramma's en facturering als uw andere Azure-services. Daarnaast profiteert het van de robuuste beveiligingsmaatregelen van Azure.

Meer informatie:

• Overzicht van Azure DNS
• Met azure DNS-privézones kunt u privé-DNS-namen configureren voor Azure-resources in plaats van de automatisch toegewezen namen zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen.

Perimeternetwerkarchitectuur

Veel grote organisaties gebruiken perimeternetwerken om hun netwerken te segmenteren en maken een bufferzone tussen internet en hun services. Het perimetergedeelte van het netwerk wordt beschouwd als een zone met een lage beveiliging en er worden geen hoogwaardige assets in dat netwerksegment geplaatst. Doorgaans ziet u netwerkbeveiligingsapparaten met een netwerkinterface in het perimeternetwerksegment. Een andere netwerkinterface is verbonden met een netwerk met virtuele machines en services die binnenkomende verbindingen van internet accepteren.

U kunt perimeternetwerken op verschillende manieren ontwerpen. De beslissing om een perimeternetwerk te implementeren en vervolgens welk type perimeternetwerk u wilt gebruiken als u besluit er een te gebruiken, is afhankelijk van uw netwerkbeveiligingsvereisten.

Meer informatie:

• Perimeternetwerken voor beveiligingszones

Azure DDoS-beveiliging

DDoS-aanvallen (Distributed Denial of Service) zijn aanzienlijke beschikbaarheids- en beveiligingsrisico's voor cloudtoepassingen. Deze aanvallen zijn gericht op het uitputten van de resources van een toepassing, waardoor deze niet toegankelijk is voor legitieme gebruikers. Elk openbaar bereikbaar eindpunt kan een doel zijn.

DDoS Protection-functies zijn onder andere:

• systeemeigen platformintegratie: volledig geïntegreerd in Azure met configuratie die beschikbaar is via Azure Portal. Het begrijpt uw resources en hun configuraties.
• Turn-key-beveiliging: beschermt automatisch alle resources in een virtueel netwerk zodra DDoS Protection is ingeschakeld, zonder tussenkomst van de gebruiker. Risicobeperking begint direct bij detectie van aanvallen.
• Always-on-verkeersbewaking: bewaakt uw toepassingsverkeer 24/7 op tekens van DDoS-aanvallen en initieert risicobeperking wanneer beveiligingsbeleid wordt geschonden.
• Aanvalsbeperkingsrapporten: biedt gedetailleerde informatie over aanvallen met behulp van geaggregeerde netwerkstroomgegevens.
• Stroomlogboeken voor aanvalsbeperking: biedt bijna realtime logboeken van verwijderd en doorgestuurd verkeer tijdens een actieve DDoS-aanval.
• Adaptieve afstemming: Leert de verkeerspatronen van uw toepassing in de loop van de tijd en past het beveiligingsprofiel dienovereenkomstig aan. Biedt laag 3 tot laag 7-beveiliging wanneer deze wordt gebruikt met een webtoepassingsfirewall.
• uitgebreide beperkingsschaal: kan meer dan 60 verschillende aanvalstypen beperken met globale capaciteit om de grootste bekende DDoS-aanvallen af te handelen.
• metrische gegevens over aanvallen: samengevatte metrische gegevens van elke aanval zijn beschikbaar via Azure Monitor.
• Aanvalswaarschuwingen: Configureerbare waarschuwingen voor het starten, stoppen en duren van een aanval, waarbij integratie met hulpprogramma's zoals Azure Monitor-logboeken, Splunk, Azure Storage, E-mail en Azure Portal wordt gebruikt.
• Kostengarantie: biedt servicetegoeden voor gegevensoverdracht en uitschalen van toepassingen voor gedocumenteerde DDoS-aanvallen.
• DDoS Rapid Response: biedt toegang tot een Rapid Response-team tijdens een actieve aanval voor onderzoek, aangepaste oplossingen en analyse na aanvallen.

Meer informatie:

• Overzicht van DDOS-beveiliging

Azure Front Door

Met Azure Front Door kunt u de globale routering van uw webverkeer definiëren, beheren en bewaken, zodat u deze optimaliseert voor prestaties en hoge beschikbaarheid. Hiermee kunt u aangepaste WAF-regels (Web Application Firewall) maken om uw HTTP/HTTPS-workloads te beschermen tegen exploitatie op basis van client-IP-adressen, landcodes en HTTP-parameters. Daarnaast biedt Front Door ondersteuning voor snelheidsbeperkingsregels voor het bestrijden van schadelijk botverkeer, omvat TLS-offloading en biedt verwerking per HTTP/HTTPS-aanvraagtoepassingslaag.

Het Front Door-platform wordt beveiligd door DDoS-beveiliging op infrastructuurniveau van Azure. Voor verbeterde beveiliging kunt u Azure DDoS-netwerkbeveiliging inschakelen op uw VNets om resources te beschermen tegen TCP/UDP-aanvallen (netwerklaag) via automatisch afstemmen en beperken. Als omgekeerde proxy van laag 7 staat Front Door alleen webverkeer toe om door te gaan naar back-endservers, waardoor andere soorten verkeer standaard worden geblokkeerd.

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een firewall voor webtoepassingen te implementeren. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau.

Meer informatie:

• Raadpleeg het overzicht van Azure Front Door voor meer informatie over de volledige set mogelijkheden van Azure Front Door

Azure Traffic Manager

Azure Traffic Manager is een load balancer op basis van DNS die verkeer distribueert naar services in wereldwijde Azure-regio's, waardoor hoge beschikbaarheid en reactiesnelheid wordt gegarandeerd. Het maakt gebruik van DNS om clientaanvragen naar het meest geschikte service-eindpunt te routeren op basis van een verkeersrouteringsmethode en de status van de eindpunten. Een eindpunt kan elke internetgerichte service zijn die binnen of buiten Azure wordt gehost. Traffic Manager bewaakt continu de eindpunten en vermijdt het omleiden van verkeer naar alle eindpunten die niet beschikbaar zijn.

Meer informatie:

• Overzicht van Azure Traffic Manager

Bewaking en detectie van bedreigingen

Azure biedt mogelijkheden om u te helpen in dit belangrijke gebied met vroege detectie, bewaking en het verzamelen en controleren van netwerkverkeer.

Azure Network Watcher

Azure Network Watcher biedt hulpprogramma's voor het oplossen en identificeren van beveiligingsproblemen.

• beveiligingsgroepsweergave: controleert en zorgt ervoor dat virtuele machines voldoen aan de beveiliging door basislijnbeleid te vergelijken met effectieve regels, zodat configuratiedrift kan worden geïdentificeerd.
• Pakketopname: legt netwerkverkeer van en naar virtuele machines vast, waarbij hulp wordt verleend bij het verzamelen van netwerkstatistieken en het oplossen van problemen met toepassingen. Het kan ook worden geactiveerd door Azure Functions als reactie op specifieke waarschuwingen.

Zie azure Network Watcher-bewakingsoverzichtvoor meer informatie.

Notitie

Ga naar de pagina Azure-updatesvoor de meest recente updates over de beschikbaarheid en status van de service.

Microsoft Defender for Cloud

Microsoft Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren, en biedt u meer inzicht in en controle over de beveiliging van uw Azure-resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met een grote set beveiligingsoplossingen.

Defender voor Cloud helpt u bij het optimaliseren en bewaken van netwerkbeveiliging door:

• Aanbevelingen voor netwerkbeveiliging bieden.
• De status van uw netwerkbeveiligingsconfiguratie bewaken.
• Waarschuwt u voor netwerkbedreigingen, zowel op eindpunt- als netwerkniveau.

Meer informatie:

• Inleiding tot Microsoft Defender voor Cloud

Virtueel Netwerk TAP

Met TAP (Terminal Access Point) van Azure Virtual Network kunt u uw netwerkverkeer van uw virtuele machine continu streamen naar een hulpprogramma voor netwerkpakketverzamelaar of analyse. Het collector- of analysehulpprogramma wordt geleverd door een partner gespecialiseerd in virtuele netwerkapparaten. U kunt dezelfde TAP-resource van het virtuele netwerk gebruiken om verkeer van meerdere netwerkinterfaces in dezelfde of verschillende abonnementen samen te voegen.

Meer informatie:

• Virtueel netwerk-TAP

Loggen

Logboekregistratie op netwerkniveau is een belangrijke functie voor elk netwerkbeveiligingsscenario. In Azure kunt u informatie voor NSG's loggen om loggegevens op netwerkniveau te verkrijgen. Met NSG-logboekregistratie krijgt u informatie van:

• Activiteitenlogboeken. Gebruik deze logboeken om alle bewerkingen weer te geven die zijn verzonden naar uw Azure-abonnementen. Deze logboeken zijn standaard ingeschakeld en kunnen worden gebruikt in Azure Portal. Ze werden voorheen audit- of operationele logboeken genoemd.
• Gebeurtenislogboeken. Deze logboeken bevatten informatie over welke NSG-regels zijn toegepast.
• Tellerlogboeken. Deze logboeken laten u weten hoe vaak elke NSG-regel is toegepast om verkeer te weigeren of toe te staan.

U kunt ook Microsoft Power BI, een krachtig hulpprogramma voor gegevensvisualisatie, gebruiken om deze logboeken te bekijken en te analyseren. Meer informatie:

• Azure Monitor-logboeken voor netwerkbeveiligingsgroepen (NSG's)