Dela via


Översikt över Azure-nätverkssäkerhet

Nätverkssäkerhet kan definieras som processen för att skydda resurser från obehörig åtkomst eller angrepp genom att tillämpa kontroller på nätverkstrafik. Målet är att säkerställa att endast legitim trafik tillåts. Azure innehåller en robust nätverksinfrastruktur som stöder kraven på program- och tjänstanslutning. Nätverksanslutning är möjlig mellan resurser som finns i Azure, mellan lokala resurser och Azure-värdbaserade resurser och till och från Internet och Azure.

Den här artikeln beskriver några av de alternativ som Azure erbjuder när det gäller nätverkssäkerhet. Du kan lära dig mer om:

  • Azure-nätverk
  • Åtkomstkontroll för nätverk
  • Azure Firewall
  • Säker fjärråtkomst och anslutning mellan platser
  • Tillgänglighet
  • Namnmatchning
  • Arkitektur för perimeternätverk (DMZ)
  • Azure DDoS Protection
  • Azure Front Door
  • Traffic Manager
  • Övervakning och hotidentifiering

Kommentar

För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbprogram för att skydda mot nya DDoS-attacker. Ett annat alternativ är att distribuera Azure Front Door tillsammans med en brandvägg för webbprogram. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå.

Azure-nätverk

Azure kräver att virtuella datorer är anslutna till ett virtuellt Azure-nätverk. Ett virtuellt nätverk är en logisk konstruktion som bygger på den fysiska Azure-nätverksinfrastrukturen. Varje virtuellt nätverk är isolerat från alla andra virtuella nätverk. Detta säkerställer att nätverkstrafiken i dina distributioner inte är tillgänglig för andra Azure-kunder.

Läs mer:

Åtkomstkontroll för nätverk

Nätverksåtkomstkontroll handlar om att begränsa anslutningen till och från specifika enheter eller undernät i ett virtuellt nätverk. Målet med nätverksåtkomstkontroll är att begränsa åtkomsten till dina virtuella datorer och tjänster till godkända användare och enheter. Åtkomstkontroller baseras på beslut om att tillåta eller neka anslutningar till och från din virtuella dator eller tjänst.

Azure Support flera typer av nätverksåtkomstkontroll, till exempel:

  • Kontroll av nätverksnivå
  • Vägkontroll och tvingad tunneltrafik
  • Säkerhetsinstallationer för virtuella nätverk

Kontroll av nätverksnivå

En säker distribution kräver ett visst mått av nätverksåtkomstkontroll. Målet med nätverksåtkomstkontroll är att begränsa kommunikationen mellan virtuella datorer och nödvändiga system. Andra kommunikationsförsök blockeras.

Kommentar

Lagringsbrandväggar beskrivs i artikeln Översikt över Azure Storage-säkerhet

Nätverkssäkerhetsregler (NSG:er)

Om du behöver grundläggande åtkomstkontroll på nätverksnivå (baserat på IP-adress och TCP- eller UDP-protokoll) kan du använda nätverkssäkerhetsgrupper (NSG:er). En NSG är en grundläggande, tillståndskänslig, paketfiltreringsbrandvägg och gör att du kan styra åtkomsten baserat på en 5-tupplar. NSG:er innehåller funktioner för att förenkla hanteringen och minska risken för konfigurationsfel:

  • Utökade säkerhetsregler förenklar NSG-regeldefinitionen och gör att du kan skapa komplexa regler i stället för att behöva skapa flera enkla regler för att uppnå samma resultat.
  • Tjänsttaggar är Microsoft-skapade etiketter som representerar en grupp MED IP-adresser. De uppdateras dynamiskt för att inkludera IP-intervall som uppfyller de villkor som definierar inkludering i etiketten. Om du till exempel vill skapa en regel som gäller för all Azure-lagring i den östra regionen kan du använda Storage.EastUS
  • Med programsäkerhetsgrupper kan du distribuera resurser till programgrupper och styra åtkomsten till dessa resurser genom att skapa regler som använder dessa programgrupper. Om du till exempel har webbservrar distribuerade till programgruppen "Webbservrar" kan du skapa en regel som tillämpar en NSG som tillåter 443 trafik från Internet till alla system i programgruppen "Webbservrar".

NSG:er tillhandahåller inte kontroll av programskikt eller autentiserade åtkomstkontroller.

Läs mer:

Defender för molnet just-in-time-åtkomst till virtuell dator

Microsoft Defender för molnet kan hantera NSG:erna på virtuella datorer och låsa åtkomsten till den virtuella datorn tills en användare med lämplig Rollbaserad Åtkomstkontroll för Azure RBAC begär åtkomst. När användaren har auktoriserats Defender för molnet gör ändringar i NSG:erna för att tillåta åtkomst till valda portar under den angivna tiden. När tiden går ut återställs NSG:erna till sitt tidigare skyddade tillstånd.

Läs mer:

Tjänstslutpunkter

Tjänstslutpunkter är ett annat sätt att tillämpa kontroll över din trafik. Du kan begränsa kommunikationen med tjänster som stöds till bara dina virtuella nätverk via en direktanslutning. Trafik från ditt virtuella nätverk till den angivna Azure-tjänsten finns kvar i Microsoft Azure-stamnätverket.

Läs mer:

Vägkontroll och tvingad tunneltrafik

Det är viktigt att du kan styra routningsbeteendet i dina virtuella nätverk. Om routningen är felaktigt konfigurerad kan program och tjänster som finns på den virtuella datorn ansluta till obehöriga enheter, inklusive system som ägs och drivs av potentiella angripare.

Azure-nätverk stöder möjligheten att anpassa routningsbeteendet för nätverkstrafik i dina virtuella nätverk. På så sätt kan du ändra standardposterna för routningstabeller i det virtuella nätverket. Kontroll av routningsbeteende hjälper dig att se till att all trafik från en viss enhet eller grupp av enheter kommer in i eller lämnar ditt virtuella nätverk via en viss plats.

Du kan till exempel ha en säkerhetsinstallation för virtuella nätverk i det virtuella nätverket. Du vill se till att all trafik till och från ditt virtuella nätverk går igenom den virtuella säkerhetsinstallationen. Du kan göra detta genom att konfigurera användardefinierade vägar (UDR) i Azure.

Tvingad tunneltrafik är en mekanism som du kan använda för att säkerställa att dina tjänster inte tillåts initiera en anslutning till enheter på Internet. Observera att detta skiljer sig från att acceptera inkommande anslutningar och sedan svara på dem. Klientwebbservrar måste svara på begäranden från Internetvärdar, så internetbaserad trafik tillåts inkommande till dessa webbservrar och webbservrarna får svara.

Det du inte vill tillåta är att en klientwebbserver initierar en utgående begäran. Sådana begäranden kan utgöra en säkerhetsrisk eftersom dessa anslutningar kan användas för att ladda ned skadlig kod. Även om du vill att dessa klientdelsservrar ska initiera utgående begäranden till Internet kanske du vill tvinga dem att gå igenom dina lokala webbproxyservrar. På så sätt kan du dra nytta av URL-filtrering och loggning.

I stället vill du använda tvingad tunneltrafik för att förhindra detta. När du aktiverar tvingad tunneltrafik tvingas alla anslutningar till Internet via din lokala gateway. Du kan konfigurera tvingad tunneltrafik genom att dra nytta av UDR.

Läs mer:

Säkerhetsinstallationer för virtuella nätverk

NSG:er, UDR och tvingad tunneltrafik ger dig en säkerhetsnivå i nätverks- och transportskikten i OSI-modellen, men du kanske också vill aktivera säkerhet på högre nivåer än nätverket.

Dina säkerhetskrav kan till exempel omfatta:

  • Autentisering och auktorisering innan du tillåter åtkomst till ditt program
  • Intrångsidentifiering och intrångssvar
  • Kontroll av programskikt för protokoll på hög nivå
  • URL-filtrering
  • Antivirusprogram på nätverksnivå och program mot skadlig kod
  • Skydd mot robot
  • Åtkomstkontroll för program
  • Ytterligare DDoS-skydd (ovanför DDoS-skyddet som tillhandahålls av själva Azure-infrastrukturresurserna)

Du kan komma åt dessa förbättrade nätverkssäkerhetsfunktioner med hjälp av en Azure-partnerlösning. Du hittar de senaste säkerhetslösningarna för Azure-partnernätverk genom att besöka Azure Marketplace och söka efter "säkerhet" och "nätverkssäkerhet".

Azure Firewall

Azure Firewall är en molnbaserad och intelligent säkerhetstjänst för nätverksbrandvägg som ger skydd mot hot för dina molnarbetsbelastningar som körs i Azure. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Det ger både trafikinspektion i öst-väst och nord-syd.

Azure Firewall finns i tre SKU:er: Standard, Premium och Basic. Azure Firewall Standard tillhandahåller L3-L7-filtrering och hotinformationsflöden direkt från Microsoft Cyber Security. Azure Firewall Premium har avancerade funktioner som signaturbaserad IDPS för att möjliggöra snabb identifiering av attacker genom att söka efter specifika mönster. Azure Firewall Basic är en förenklad SKU som ger samma säkerhetsnivå som Standard SKU men utan de avancerade funktionerna.

Läs mer:

Säker fjärråtkomst och anslutning mellan platser

Installation, konfiguration och hantering av dina Azure-resurser måste göras via fjärranslutning. Dessutom kanske du vill distribuera hybrid-IT-lösningar som har komponenter lokalt och i det offentliga Azure-molnet. Dessa scenarier kräver säker fjärråtkomst.

Azure-nätverk stöder följande scenarier för säker fjärråtkomst:

  • Ansluta enskilda arbetsstationer till ett virtuellt nätverk
  • Ansluta ditt lokala nätverk till ett virtuellt nätverk med ett VPN
  • Ansluta ditt lokala nätverk till ett virtuellt nätverk med en dedikerad WAN-länk
  • Ansluta virtuella nätverk till varandra

Ansluta enskilda arbetsstationer till ett virtuellt nätverk

Du kanske vill göra det möjligt för enskilda utvecklare eller driftpersonal att hantera virtuella datorer och tjänster i Azure. Anta till exempel att du behöver åtkomst till en virtuell dator i ett virtuellt nätverk. Men din säkerhetsprincip tillåter inte FJÄRRSP- eller SSH-fjärråtkomst till enskilda virtuella datorer. I det här fallet kan du använda en punkt-till-plats-VPN-anslutning .

Med punkt-till-plats-VPN-anslutningen kan du konfigurera en privat och säker anslutning mellan användaren och det virtuella nätverket. När VPN-anslutningen upprättas kan användaren RDP eller SSH via VPN-länken till valfri virtuell dator i det virtuella nätverket. (Detta förutsätter att användaren kan autentisera och är auktoriserad.) Punkt-till-plats-VPN stöder:

  • Secure Socket Tunneling Protocol (SSTP), ett proprietärt SSL-baserat VPN-protokoll. En SSL VPN-lösning kan penetrera brandväggar eftersom de flesta brandväggar öppnar TCP-port 443, som TLS/SSL använder. SSTP stöds endast på Windows-enheter. Azure Support alla versioner av Windows som har SSTP (Windows 7 och senare).

  • IKEv2 VPN, en standardbaserad IPsec VPN-lösning. IKEv2 VPN kan användas för att ansluta från Mac-enheter (OSX-versionerna 10.11 och senare).

  • OpenVPN

Läs mer:

Ansluta ditt lokala nätverk till ett virtuellt nätverk med ett VPN

Du kanske vill ansluta hela företagets nätverk, eller delar av det, till ett virtuellt nätverk. Detta är vanligt i hybrid-IT-scenarier, där organisationer utökar sitt lokala datacenter till Azure. I många fall är organisationer värdar för delar av en tjänst i Azure och delar lokalt. De kan till exempel göra det när en lösning innehåller klientwebbservrar i Azure och lokala serverdelsdatabaser. Dessa typer av anslutningar mellan platser gör också hanteringen av Azure-lokaliserade resurser säkrare och möjliggör scenarier som att utöka Active Directory-domänkontrollanter till Azure.

Ett sätt att åstadkomma detta är att använda ett plats-till-plats-VPN. Skillnaden mellan ett plats-till-plats-VPN och ett punkt-till-plats-VPN är att den senare ansluter en enda enhet till ett virtuellt nätverk. Ett plats-till-plats-VPN ansluter ett helt nätverk (till exempel ditt lokala nätverk) till ett virtuellt nätverk. Plats-till-plats-VPN:er till ett virtuellt nätverk använder VPN-protokollet för IPsec-tunnelläge.

Läs mer:

Punkt-till-plats- och plats-till-plats-VPN-anslutningar är effektiva för att aktivera anslutningar mellan platser. Vissa organisationer anser dock att de har följande nackdelar:

  • VPN-anslutningar flyttar data över Internet. Detta exponerar dessa anslutningar för potentiella säkerhetsproblem som rör flytt av data över ett offentligt nätverk. Dessutom kan tillförlitlighet och tillgänglighet för Internetanslutningar inte garanteras.
  • VPN-anslutningar till virtuella nätverk kanske inte har bandbredden för vissa program och syften, eftersom de maximalt är cirka 200 Mbit/s.

Organisationer som behöver den högsta nivån av säkerhet och tillgänglighet för sina anslutningar mellan platser använder vanligtvis dedikerade WAN-länkar för att ansluta till fjärrplatser. Azure ger dig möjlighet att använda en dedikerad WAN-länk som du kan använda för att ansluta ditt lokala nätverk till ett virtuellt nätverk. Azure ExpressRoute, Express Route Direct och Global räckvidd för Express Route aktiverar detta.

Läs mer:

Ansluta virtuella nätverk till varandra

Du kan använda många virtuella nätverk för dina distributioner. Det finns olika orsaker till varför du kan göra detta. Du kanske vill förenkla hanteringen, eller så kanske du vill ha ökad säkerhet. Oavsett motivationen för att placera resurser i olika virtuella nätverk kan det finnas tillfällen då du vill att resurserna i vart och ett av nätverken ska ansluta till varandra.

Ett alternativ är att tjänster i ett virtuellt nätverk ansluter till tjänster i ett annat virtuellt nätverk genom att "loopa tillbaka" via Internet. Anslutningen startar i ett virtuellt nätverk, går via Internet och kommer sedan tillbaka till det virtuella målnätverket. Det här alternativet exponerar anslutningen till de säkerhetsproblem som ingår i all internetbaserad kommunikation.

Ett bättre alternativ kan vara att skapa ett plats-till-plats-VPN som ansluter mellan två virtuella nätverk. Den här metoden använder samma PROTOKOLL för IPSec-tunnelläge som vpn-anslutningen mellan platser som nämns ovan.

Fördelen med den här metoden är att VPN-anslutningen upprättas via Azure-nätverksinfrastrukturen i stället för att ansluta via Internet. Detta ger dig ett extra säkerhetslager jämfört med plats-till-plats-VPN som ansluter via Internet.

Läs mer:

Ett annat sätt att ansluta dina virtuella nätverk är VNET-peering. Med den här funktionen kan du ansluta två Azure-nätverk så att kommunikationen mellan dem sker via Microsofts staminfrastruktur utan att den någonsin går via Internet. VNET-peering kan ansluta två virtuella nätverk inom samma region eller två virtuella nätverk i Azure-regioner. NSG:er kan användas för att begränsa anslutningen mellan olika undernät eller system.

Tillgänglighet

Tillgänglighet är en viktig komponent i alla säkerhetsprogram. Om dina användare och system inte kan komma åt det de behöver för att komma åt via nätverket kan tjänsten betraktas som komprometterad. Azure har nätverkstekniker som stöder följande mekanismer för hög tillgänglighet:

  • HTTP-baserad belastningsutjämning
  • Belastningsutjämning på nätverksnivå
  • Global belastningsutjämning

Belastningsutjämning är en mekanism som är utformad för att fördela anslutningar på samma sätt mellan flera enheter. Målen med belastningsutjämning är:

  • För att öka tillgängligheten. När du lastbalanserar anslutningar över flera enheter kan en eller flera av enheterna bli otillgängliga utan att äventyra tjänsten. Tjänsterna som körs på de återstående onlineenheterna kan fortsätta att hantera innehållet från tjänsten.
  • För att öka prestandan. När du lastbalanserar anslutningar över flera enheter behöver en enda enhet inte hantera all bearbetning. I stället sprids bearbetnings- och minneskraven för att hantera innehållet över flera enheter.

HTTP-baserad belastningsutjämning

Organisationer som kör webbaserade tjänster vill ofta ha en HTTP-baserad lastbalanserare framför dessa webbtjänster. Detta bidrar till att säkerställa adekvata prestandanivåer och hög tillgänglighet. Traditionella, nätverksbaserade lastbalanserare förlitar sig på nätverks- och transportlagerprotokoll. HTTP-baserade lastbalanserare fattar å andra sidan beslut baserat på http-protokollets egenskaper.

Azure Application Gateway tillhandahåller HTTP-baserad belastningsutjämning för dina webbaserade tjänster. Application Gateway stöder:

  • Cookiebaserad sessionstillhörighet. Den här funktionen ser till att anslutningar som upprättats till en av servrarna bakom lastbalanseraren förblir intakta mellan klienten och servern. Detta säkerställer transaktionernas stabilitet.
  • TLS-avlastning. När en klient ansluter till lastbalanseraren krypteras den sessionen med hjälp av HTTPS-protokollet (TLS). För att öka prestandan kan du dock använda HTTP-protokollet (okrypterat) för att ansluta mellan lastbalanseraren och webbservern bakom lastbalanseraren. Detta kallas "TLS-avlastning", eftersom webbservrarna bakom lastbalanseraren inte upplever processorkostnaderna för kryptering. Webbservrarna kan därför skicka begäranden snabbare.
  • URL-baserad innehållsroutning. Den här funktionen gör det möjligt för lastbalanseraren att fatta beslut om var anslutningar ska vidarebefordras baserat på mål-URL:en. Detta ger mycket mer flexibilitet än lösningar som fattar beslut om belastningsutjämning baserat på IP-adresser.

Läs mer:

Belastningsutjämning på nätverksnivå

Till skillnad från HTTP-baserad belastningsutjämning fattar belastningsutjämning på nätverksnivå beslut baserat på TCP- eller UDP-nummer (IP-adress och portnummer). Du kan få fördelarna med belastningsutjämning på nätverksnivå i Azure med hjälp av Azure Load Balancer. Några viktiga egenskaper hos Load Balancer är:

  • Belastningsutjämning på nätverksnivå baserat på IP-adress och portnummer.
  • Stöd för alla protokoll på programnivå.
  • Belastningsutjämning till virtuella Azure-datorer och rollinstanser för molntjänster.
  • Kan användas för både internetuppkopplade (extern belastningsutjämning) och program som inte är internetriktade (intern belastningsutjämning) och virtuella datorer.
  • Slutpunktsövervakning, som används för att avgöra om någon av tjänsterna bakom lastbalanseraren har blivit otillgänglig.

Läs mer:

Global belastningsutjämning

Vissa organisationer vill ha högsta möjliga tillgänglighetsnivå. Ett sätt att nå det här målet är att vara värd för program i globalt distribuerade datacenter. När ett program finns i datacenter över hela världen är det möjligt att en hel geopolitisk region blir otillgänglig och fortfarande har programmet igång.

Den här belastningsutjämningsstrategin kan också ge prestandafördelar. Du kan dirigera begäranden för tjänsten till det datacenter som ligger närmast den enhet som skickar begäran.

I Azure kan du dra nytta av den globala belastningsutjämningen med hjälp av Azure Traffic Manager.

Läs mer:

Namnmatchning

Namnmatchning är en viktig funktion för alla tjänster som du är värd för i Azure. Ur ett säkerhetsperspektiv kan en kompromiss med namnmatchningsfunktionen leda till att en angripare omdirigerar begäranden från dina webbplatser till en angripares webbplats. Säker namnmatchning är ett krav för alla molnbaserade tjänster.

Det finns två typer av namnmatchning som du behöver åtgärda:

  • Intern namnmatchning. Detta används av tjänster i dina virtuella nätverk, dina lokala nätverk eller både och. Namn som används för intern namnmatchning är inte tillgängliga via Internet. För optimal säkerhet är det viktigt att ditt interna namnmatchningsschema inte är tillgängligt för externa användare.
  • Extern namnmatchning. Detta används av personer och enheter utanför dina lokala nätverk och virtuella nätverk. Det här är namnen som är synliga för Internet och används för att dirigera anslutningen till dina molnbaserade tjänster.

För intern namnmatchning har du två alternativ:

  • En DNS-server för virtuellt nätverk. När du skapar ett nytt virtuellt nätverk skapas en DNS-server åt dig. Den här DNS-servern kan matcha namnen på datorerna som finns i det virtuella nätverket. Den här DNS-servern kan inte konfigureras, hanteras av Azure Fabric Manager och kan därför hjälpa dig att skydda din namnmatchningslösning.
  • Ta med din egen DNS-server. Du kan välja att placera en egen DNS-server i det virtuella nätverket. Den här DNS-servern kan vara en Active Directory-integrerad DNS-server eller en dedikerad DNS-serverlösning som tillhandahålls av en Azure-partner, som du kan hämta från Azure Marketplace.

Läs mer:

För extern namnmatchning har du två alternativ:

  • Värd för din egen externa DNS-server lokalt.
  • Var värd för din egen externa DNS-server med en tjänstleverantör.

Många stora organisationer är värdar för sina egna DNS-servrar lokalt. De kan göra detta eftersom de har nätverksexpertis och global närvaro för att göra det.

I de flesta fall är det bättre att vara värd för DNS-namnmatchningstjänster med en tjänstleverantör. Dessa tjänsteleverantörer har nätverksexpertis och global närvaro för att säkerställa mycket hög tillgänglighet för dina namnmatchningstjänster. Tillgänglighet är viktigt för DNS-tjänster, för om namnmatchningstjänsterna misslyckas kommer ingen att kunna nå dina Internetuppkopplade tjänster.

Azure ger dig en högtillgänglig och högpresterande extern DNS-lösning i form av Azure DNS. Den här lösningen för extern namnmatchning utnyttjar den globala Azure DNS-infrastrukturen. Det gör att du kan vara värd för din domän i Azure med samma autentiseringsuppgifter, API:er, verktyg och fakturering som dina andra Azure-tjänster. Som en del av Azure ärver den också de starka säkerhetskontroller som är inbyggda i plattformen.

Läs mer:

Perimeternätverksarkitektur

Många stora organisationer använder perimeternätverk för att segmentera sina nätverk och skapa en buffertzon mellan Internet och deras tjänster. Perimeterdelen av nätverket anses vara en zon med låg säkerhet och inga tillgångar med högt värde placeras i det nätverkssegmentet. Du ser vanligtvis nätverkssäkerhetsenheter som har ett nätverksgränssnitt i perimeternätverkssegmentet. Ett annat nätverksgränssnitt är anslutet till ett nätverk som har virtuella datorer och tjänster som accepterar inkommande anslutningar från Internet.

Du kan utforma perimeternätverk på flera olika sätt. Beslutet att distribuera ett perimeternätverk och vilken typ av perimeternätverk som ska användas om du bestämmer dig för att använda ett, beror på nätverkssäkerhetskraven.

Läs mer:

Azure DDoS Protection

Distribuerade överbelastningsattacker (DDoS) är några av de största tillgänglighets- och säkerhetsproblemen för kunder som flyttar sina program till molnet. En DDoS-attack försöker uttömma ett programs resurser, vilket gör programmet otillgängligt för legitima användare. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet.

DDoS Protection-funktioner omfattar:

  • Intern plattformsintegrering: Internt integrerad i Azure. Innehåller konfiguration via Azure Portal. DDoS Protection förstår dina resurser och din resurskonfiguration.
  • Nyckelnyckelskydd: Förenklad konfiguration skyddar omedelbart alla resurser i ett virtuellt nätverk så snart DDoS Protection är aktiverat. Ingen åtgärd eller användardefinition krävs. DDoS Protection minimerar attacken direkt och automatiskt när den har identifierats.
  • Alltid på trafikövervakning: Dina programtrafikmönster övervakas 24 timmar om dygnet, 7 dagar i veckan och letar efter indikatorer för DDoS-attacker. Åtgärder utförs när skyddsprinciperna överskrids.
  • Attackreduceringsrapporter attackreduceringsrapporter använder aggregerade nätverksflödesdata för att ge detaljerad information om attacker som riktas mot dina resurser.
  • Med flödesloggar för attackreduceringsflödesloggar kan du granska den borttagna trafiken, vidarebefordrad trafik och andra attackdata nästan i realtid under en aktiv DDoS-attack.
  • Anpassningsbar justering: Intelligent trafikprofilering lär sig programmets trafik över tid och väljer och uppdaterar den profil som passar bäst för din tjänst. Profilen justeras när trafiken ändras över tid. Skydd mellan lager 3 och 7: Ger fullständigt stack-DDoS-skydd när det används med en brandvägg för webbprogram.
  • Omfattande minskningsskala: Över 60 olika attacktyper kan minimeras, med global kapacitet, för att skydda mot de största kända DDoS-attackerna.
  • Attackmått: Sammanfattade mått från varje attack är tillgängliga via Azure Monitor.
  • Attackaviseringar: Aviseringar kan konfigureras i början och stoppet av en attack och under attackens varaktighet med hjälp av inbyggda attackmått. Aviseringar integreras i din operativa programvara som Microsoft Azure Monitor-loggar, Splunk, Azure Storage, e-post och Azure Portal.
  • Kostnadsgaranti: Tjänstkrediter för dataöverföring och utskalning av program för dokumenterade DDoS-attacker.
  • DDoS Rapid responsive DDoS Protection-kunder har nu åtkomst till Rapid Response-teamet under en aktiv attack. DRR kan hjälpa till med attackundersökning, anpassade åtgärder under en attack och analys efter attack.

Läs mer:

Azure Front Door

Med Azure Front Door Service kan du definiera, hantera och övervaka den globala routningen av webbtrafiken. Den optimerar trafikens routning för bästa prestanda och hög tillgänglighet. Med Azure Front Door kan du skapa anpassade regler för brandväggen för webbaserade program (WAF) vid åtkomstkontroll, för att skydda din HTTP/HTTPS-arbetsbelastning från utnyttjande som baseras på klienternas IP-adresser, landskod och HTTP-parametrar. Dessutom kan du med Front Door även skapa hastighetsbegränsningsregler för att bekämpa skadlig robottrafik, det inkluderar TLS-avlastning och bearbetning per HTTP/HTTPS-begäran, bearbetning på programnivå.

Själva Front Door-plattformen skyddas av ett DDoS-skydd på infrastrukturnivå i Azure. För ytterligare skydd kan Azure DDoS Network Protection aktiveras på dina virtuella nätverk och skydda resurser från TCP-/UDP-attacker (network layer) via automatisk justering och minskning. Front Door är en omvänd layer 7-proxy, den tillåter endast webbtrafik att passera till serverdelsservrar och blockera andra typer av trafik som standard.

Kommentar

För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbprogram för att skydda mot nya DDoS-attacker. Ett annat alternativ är att distribuera Azure Front Door tillsammans med en brandvägg för webbprogram. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå.

Läs mer:

  • Mer information om hela uppsättningen azure front door-funktioner finns i Översikt över Azure Front Door

Azure Traffic Manager

Azure Traffic Manager är en lastbalanserare för DNS-baserad trafik som hjälper dig att distribuera trafiken optimalt till tjänster i globala Azure-regioner, med hög tillgänglighet och korta svarstider. Traffic Manager använder DNS för att dirigera klientbegäranden till den lämpligaste tjänstslutpunkten baserat på en trafikdirigeringsmetod och slutpunkternas hälsostatus. En slutpunkt är en Internetansluten tjänst i eller utanför Azure. Traffic Manager övervakar slutpunkterna och dirigerar inte trafik till slutpunkter som inte är tillgängliga.

Läs mer:

Övervakning och hotidentifiering

Azure tillhandahåller funktioner som hjälper dig i det här nyckelområdet med tidig identifiering, övervakning och insamling och granskning av nätverkstrafik.

Azure Network Watcher

Azure Network Watcher kan hjälpa dig att felsöka och tillhandahåller en helt ny uppsättning verktyg som hjälper dig att identifiera säkerhetsproblem.

Säkerhetsgruppvyn hjälper till med granskning och säkerhetsefterlevnad för virtuella datorer. Använd den här funktionen för att utföra programmatiska granskningar och jämföra de baslinjeprinciper som definierats av din organisation med effektiva regler för var och en av dina virtuella datorer. Detta kan hjälpa dig att identifiera eventuella konfigurationsavvikelser.

Med paketinsamling kan du samla in nätverkstrafik till och från den virtuella datorn. Du kan samla in nätverksstatistik och felsöka programproblem, vilket kan vara ovärderligt vid undersökning av nätverksintrång. Du kan också använda den här funktionen tillsammans med Azure Functions för att starta nätverksinsamlingar som svar på specifika Azure-aviseringar.

Mer information om Network Watcher och hur du börjar testa några av funktionerna i dina labb finns i Översikt över övervakning av Azure Network Watcher.

Kommentar

De senaste meddelandena om tillgänglighet och status för den här tjänsten finns på sidan Azure-uppdateringar.

Microsoft Defender for Cloud

Microsoft Defender för molnet hjälper dig att förhindra, identifiera och reagera på hot och ger dig bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer, hjälper till att identifiera hot som annars skulle gå obemärkt förbi och fungerar med en stor uppsättning säkerhetslösningar.

Defender för molnet hjälper dig att optimera och övervaka nätverkssäkerhet genom att:

  • Tillhandahålla rekommendationer för nätverkssäkerhet.
  • Övervaka tillståndet för nätverkssäkerhetskonfigurationen.
  • Varnar dig för nätverksbaserade hot, både på slutpunkts- och nätverksnivå.

Läs mer:

Virtual Network TAP

Med Azures virtuella nätverk TAP (Terminal Access Point) kan du kontinuerligt strömma nätverkstrafiken för den virtuella datorn till ett insamlings- eller analysverktyg för nätverkspaket. Insamlings- eller analysverktyget tillhandahålls av en partner för virtuell nätverksinstallation. Du kan använda samma TAP-resurs för virtuella nätverk för att aggregera trafik från flera nätverksgränssnitt i samma eller olika prenumerationer.

Läs mer:

Loggning

Loggning på nätverksnivå är en nyckelfunktion för alla nätverkssäkerhetsscenarion. I Azure kan du logga information som hämtats för NSG:er för att hämta loggningsinformation på nätverksnivå. Med NSG-loggning får du information från:

  • Aktivitetsloggar. Använd dessa loggar för att visa alla åtgärder som skickas till dina Azure-prenumerationer. Dessa loggar är aktiverade som standard och kan användas i Azure Portal. De kallades tidigare gransknings- eller driftloggar.
  • Händelseloggar. Dessa loggar innehåller information om vilka NSG-regler som tillämpades.
  • Räknarloggar. Dessa loggar låter dig veta hur många gånger varje NSG-regel tillämpades för att neka eller tillåta trafik.

Du kan också använda Microsoft Power BI, ett kraftfullt datavisualiseringsverktyg, för att visa och analysera dessa loggar. Läs mer: