网络安全通过控制网络流量来保护资源免受未经授权的访问或攻击。 Azure 提供可靠的网络基础结构来支持应用程序和服务连接要求,并在每个层实施安全控制。
本文介绍 Azure 中的关键网络安全功能:
- 网络访问控制
- Azure 防火墙
- 安全远程访问和跨界连接
- 可用性和负载均衡
- 名称解析
- DDoS 防护
- Azure Front Door
- 监视和威胁检测
注意
对于 Web 工作负载,我们建议使用 Azure DDoS 防护 和 Web 应用程序防火墙 来防范 DDoS 攻击。 具有 Web 应用程序防火墙的 Azure Front Door 提供针对网络级别 DDoS 攻击的平台级保护。
Azure 虚拟网络
Azure 虚拟网络是 Azure 中专用网络的基本构建基块。 每个虚拟网络与其他虚拟网络隔离,有助于确保其他 Azure 客户无法访问部署中的网络流量。 虚拟网络使 Azure 资源能够安全地相互通信、Internet 和本地网络。
了解详细信息:
网络访问控制
网络访问控制限制虚拟网络中特定设备或子网的连接。 目标是将虚拟机和服务的访问权限限制为已批准的用户和设备。
网络安全组
网络安全组(NSG)基于 IP 地址和 TCP/UDP 协议提供基本的有状态数据包筛选。 NSG 使用 5 元组(源 IP、源端口、目标 IP、目标端口、协议)来控制访问。
NSG 包括简化管理的功能:
- 增强的安全规则:创建复杂规则而不是多个简单规则来实现相同的结果
- 服务标记:表示动态更新的 IP 地址组的 Azure 托管标签
- 应用程序安全组:将资源组织到应用程序组,并基于这些组控制访问权限
了解详细信息:
服务终结点
虚拟网络服务终结点通过直接连接将虚拟网络专用地址空间扩展到 Azure 服务。 服务终结点将流量保留在 Azure 主干网络上,并限制与受支持服务的通信,仅限于您的虚拟网络。
了解详细信息:
Azure 专用链接
Azure 专用链接提供从虚拟网络到 Azure PaaS 服务、客户拥有的服务或Microsoft合作伙伴服务的专用连接。 专用链接流量仍保留在 Microsoft Azure 主干网络上,从而消除了对公共 Internet 的暴露。
了解详细信息:
Azure 防火墙
Azure 防火墙是云原生智能网络防火墙安全服务,为云工作负载提供威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。
Azure 防火墙在三个 SKU 中可用:
- Azure Firewall Basic:简化中小企业的安全措施
- Azure 防火墙标准版:Microsoft 网络安全中心提供的 L3-L7 过滤与威胁情报
- Azure 防火墙高级版:高级功能,包括基于签名的 IDPS,用于快速攻击检测
了解详细信息:
安全远程访问和跨界连接
Azure 支持多种安全的远程访问方案,用于管理 Azure 资源和部署混合 IT 解决方案。
点到站点 VPN
点到站点 VPN 连接使单个用户能够建立与虚拟网络的专用安全连接。 身份验证后,用户可以访问 Azure 中的虚拟机和服务。 点到站点 VPN 支持以下项:
- 安全套接字隧道协议(SSTP):基于 SSL 的专有 VPN 协议(Windows 设备)
- IKEv2 VPN:基于标准的 IPsec VPN 解决方案(Mac 设备)
- OpenVPN 协议:基于 SSL/TLS 的 VPN 协议(Android、iOS、Windows、Linux 和 Mac 设备)
了解详细信息:
站点到站点 VPN
站点到站点 VPN 网关连接在本地网络与 Azure 虚拟网络之间建立安全的跨界连接。 站点到站点 VPN 使用高度安全的 IPsec 隧道模式 VPN 协议。
VPN 网关对于混合 IT 方案至关重要,其中部分服务同时托管在 Azure 和本地。
了解详细信息:
ExpressRoute
ExpressRoute 提供本地网络与 Azure 云服务之间的专用 WAN 链接。 与 Internet 连接相比,ExpressRoute 连接不会遍历公共 Internet,因此提供增强的安全性、可靠性、速度和更低的延迟。
ExpressRoute 支持:
- ExpressRoute Direct:与Microsoft全局网络的直接连接
- ExpressRoute Global Reach:通过 ExpressRoute 线路实现本地站点之间的互连
了解详细信息:
VNet 对等互连
虚拟网络对等互连连接两个 Azure 虚拟网络,使任一网络中的资源能够相互通信。 VNet 对等互连使用 Microsoft 主干基础结构,绕过公共 internet。 对等互连支持在同一 Azure 区域或不同区域(全局 VNet 对等互连)中的连接。
了解详细信息:
可用性和负载均衡
负载均衡跨多个设备分配连接以提高可用性和性能。 Azure 提供了多个负载均衡选项。
Azure Load Balancer
Azure 负载均衡器为所有 UDP 和 TCP 协议提供高性能、低延迟的第 4 层负载均衡。 负载均衡器根据配置的规则和运行状况探测将入站流量分发到后端实例。
负载均衡器功能包括:
- 支持内部和外部负载均衡方案
- 区域冗余和区域部署
- TCP 和 UDP 应用程序支持
- 用于确定后端实例可用性的运行状况探测
了解详细信息:
Azure 应用程序网关
Azure 应用程序网关是一个 Web 流量负载均衡器(第 7 层),用于管理发到 Web 应用程序的流量。 应用程序网关基于 HTTP 请求属性(如 URI 路径或主机标头)做出路由决策。
应用程序网关功能包括:
- 用于集中保护的 Web 应用程序防火墙 (WAF)
- TLS 终止以减少 Web 服务器上的加密开销
- 基于 Cookie 的会话关联
- 基于 URL 的内容路由
- 自动缩放和区域冗余
了解详细信息:
Azure 流量管理器
Azure 流量管理器是基于 DNS 的流量负载均衡器,可将流量以最佳方式分发到全球 Azure 区域的服务。 流量管理器通过基于流量路由方法和终结点运行状况将客户端请求路由到最合适的服务终结点来提供高可用性和响应能力。
流量管理器支持多种路由方法,包括优先级、加权、性能、地理、多值和子网路由。
了解详细信息:
名称解析
安全名称解析对于所有云托管服务至关重要。 泄露的名称解析函数可以将请求重定向到恶意站点。
Azure DNS
Azure DNS 使用 Microsoft Azure 基础结构提供高度可用且高性能的名称解析。 Azure DNS 支持:
- Azure 全局基础结构上托管的公共 DNS 域
- 用于在虚拟网络内部和跨虚拟网络进行名称解析的专用 DNS 区域
- 对于同一域名根据专用和公共查询以不同方式解析的双视域 DNS 场景
了解详细信息:
DDoS 防护
分布式拒绝服务(DDoS)攻击是将应用程序迁移到云的客户的最大可用性和安全问题之一。 Azure DDoS 防护可保护 Azure 资源免受 DDoS 攻击。
Azure DDoS 防护 SKU:
- DDoS 基础结构保护:默认在所有 Azure 属性上启用的基本保护,无需额外付费
- DDoS 网络保护:为虚拟网络中的资源提供使用自适应调优、缓解策略和监控的高级保护
DDoS 网络保护功能包括:
- 通过 Azure 门户进行本机平台集成配置
- 持续的流量监视和实时缓解
- 攻击分析,包括缓解报告和流日志
- 基于应用程序流量模式的自适应优化
- 成本保证,包括数据传输和应用程序横向扩展服务额度
了解详细信息:
Azure Front Door
Azure Front Door 是可缩放的全局入口点,它使用 Microsoft 全局边缘网络来创建快速、安全且可大规模缩放的 Web 应用程序。 Front Door 提供第 7 层负载均衡、TLS 终止、基于 URL 的路由和集成安全性。
Front Door 功能包括:
- 使用即时故障转移进行全局 HTTP 负载均衡
- 网络边缘的 TLS 终止
- 基于 URL 路径的路由
- 基于 Cookie 的会话关联
- Web 应用程序防火墙保护
- 平台级 DDoS 保护
- 用于保护后端源的专用链接集成
了解详细信息:
监视和威胁检测
Azure 提供了用于监视网络安全和检测威胁的工具。
Azure 网络观察程序
Azure 网络观察程序提供用于监视、诊断和深入了解 Azure 中的网络的工具。
网络观察程序功能包括:
- 连接监视器:监视 Azure 资源和终结点之间的连接
- NSG 流日志:记录有关流经网络安全组的 IP 流量的信息
- 数据包捕获:捕获传入和传出虚拟机的网络流量
- VPN 故障排除:诊断 VPN 网关和连接的问题
- 网络诊断:验证网络配置并识别安全问题
了解详细信息:
Microsoft Defender for Cloud
Microsoft Defender for Cloud 可帮助防止、检测和响应威胁,并增强对 Azure 资源安全性的可见性和控制。 Defender for Cloud 提供网络安全建议、监视网络安全配置,并向基于网络的威胁发出警报。
了解详细信息: