网络安全可以定义为通过对网络流量应用控制来保护资源遭受未经授权的访问或攻击的过程。 目标是确保仅允许合法流量。 Azure 包括可靠的网络基础结构以支持应用程序和服务连接需求。 Azure 中的资源之间、本地资源与 Azure 托管的资源之间,以及 Internet 与 Azure 之间都可能存在网络连接。
本文介绍 Azure 在网络安全方面提供的某些选项。 具体内容:
- Azure 网络
- 网络访问控制
- Azure 防火墙
- 安全远程访问和跨界连接
- 可用性
- 名称解析
- 外围网络 (DMZ) 体系结构
- Azure DDoS 防护
- Azure 前端入口 (Azure Front Door)
- 流量管理器
- 监视和威胁检测
注意
对于 Web 工作负载,强烈建议使用 Azure DDoS 防护和 Web 应用程序防护墙来抵御新兴的 DDoS 攻击。 另一种选择是将 Azure Front Door 与 Web 应用程序防火墙一起部署。 Azure Front Door 提供平台级保护来抵御网络级 DDoS 攻击。
Azure 网络
Azure 要求将虚拟机连接到 Azure 虚拟网络。 虚拟网络是一个构建于物理 Azure 网络结构之上的逻辑构造。 每个虚拟网络与其他所有虚拟网络相互隔离。 这可帮助确保其他 Azure 客户无法访问部署中的流量。
了解详细信息:
网络访问控制
网络访问控制是限制虚拟网络内特定设备或子网之间的连接的行为。 网络访问控制的目的是将对虚拟机和服务的访问权限限制为仅授予已批准的用户和设备。 访问控制基于虚拟机或服务之间的允许或拒绝连接的决策。
Azure 支持多种类型的网络访问控制,例如:
- 网络层控制
- 路由控制和强制隧道
- 虚拟网络安全设备
网络层控制
任何安全部署都需要一定程度的网络访问控制。 网络访问控制的目的是将虚拟机通信限制为必要的系统。 将阻止其他通信尝试。
注意
要了解存储防火墙,请参阅 Azure 存储安全概述一文
网络安全规则 (NSG)
如果需要基本的网络级别访问控制(基于 IP 地址和 TCP 或 UDP 协议),可使用网络安全组 (NSG)。 NSG 是基本的静态数据包筛选防火墙,你可使用它来基于 5 元组控制访问。 NSG 包含的功能可以简化管理,并减少配置错误的可能性:
- “扩充式安全规则”简化了 NSG 规则定义,并允许创建复杂规则,而无需创建多个简单规则来实现相同的结果。
- “服务标记”是 Microsoft 创建的标签,表示一组 IP 地址。 这些标记会动态更新,以包含符合在标签中定义包含项的条件的 IP 范围。 例如,如果你要创建一个应用到东部区域的所有 Azure 存储的规则,可以使用 Storage.EastUS
- “应用程序安全组”可用于将资源部署到应用程序组,并通过创建使用这些应用程序组的规则来控制对这些资源的访问。 例如,如果 Web 服务器已部署到“Webservers”应用程序组,则你可以创建一个规则,以便将允许来自 Internet 的 443 流量的 NSG 应用到“Webservers”应用程序组中的所有系统。
NSG 不提供应用程序层检查或经过身份验证的访问控制。
了解详细信息:
Defender for Cloud 即时访问权限
Microsoft Defender for Cloud 可以管理 VM 上的 NSG,并将 VM 的访问权限锁定到具有相应 Azure 基于角色的访问控制 (Azure RBAC) 权限的用户请求访问为止。 如果成功为该用户授权,则 Defender for Cloud 会对 NSG 进行修改,以允许在指定的时间访问选定的端口。 该时间过后,NSG 将还原到其以前的受保护状态。
了解详细信息:
服务终结点
服务终结点是对流量实施控制的另一种方式。 可以限制为只能在 VNet 中通过直接连接来与支持的服务通信。 从 VNet 发往指定 Azure 服务的流量保留在 Microsoft Azure 主干网络中。
了解详细信息:
路由控制和强制隧道
能够控制虚拟网络上的路由行为至关重要。 如果路由配置不正确,虚拟机上托管的应用程序和服务可能会连接到未授权的设备,其中包括潜在攻击者所拥有或操作的系统。
Azure 网络支持在虚拟网络上为流量自定义路由行为。 由此可更改 Azure 虚拟网络中的默认路由表条目。 通过控制路由行为,可帮助你确保特定设备或设备组中的所有流量通过特定位置进入或离开虚拟网络。
例如,虚拟网络上可能有虚拟网络安全设备。 想要确保与虚拟网络之间的所有流量都通过该虚拟安全设备。 可以通过在 Azure 中配置用户定义的路由 (UDR) 实现此操作。
强制隧道是一种机制,可用于确保不允许服务启动与 Internet 上设备的连接。 请注意,这不同于接受传入连接然后对其作出响应。 前端 Web 服务器需要响应来自 Internet 主机的请求,因此允许源自 Internet 的流量传入到这些 Web 服务器,并允许 Web 服务器作出响应。
不想允许前端 Web 服务器启动出站请求。 此类请求可能带来安全风险,因为这些连接可用于下载恶意软件。 即使想要这些前端服务器启动对 Internet 的出站请求,你可能想要强制它们通过本地 Web 代理服务器。 由此可利用 URL 筛选和日志记录。
相反,你想要使用强制隧道来防止这种情况。 启用强制隧道后,会强制与 Internet 的所有连接通过本地网关。 可以利用 UDR 配置强制隧道。
了解详细信息:
虚拟网络安全设备
当 NSG、UDR 和强制隧道在 OSI 模型的网络层和传输层提供安全级别时,你可能也想要启用应用程序层的安全性。
例如,安全要求可能包括:
- 必须经过身份验证和授权才允许访问应用程序
- 入侵检测和入侵响应
- 高级别协议的应用程序层检查
- URL 筛选
- 网络级别防病毒和反恶意软件
- 防机器人防护
- 应用程序访问控制
- 其他 DDoS 防护(除了 Azure 结构自身提供的 DDoS 防护以外)
可以使用 Azure 合作伙伴解决方案访问这些增强的网络安全功能。 通过访问 Azure 市场并搜索“安全”和“网络安全”,可以找到最新的 Azure 合作伙伴网络安全解决方案。
Azure 防火墙
Azure 防火墙是云原生的智能网络防火墙安全服务,可为 Azure 中运行的云工作负载提供威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。 Azure 防火墙检查东-西和南-北流量。
Azure 防火墙在三个 SKU 中可用:基本、标准和高级。
- Azure 防火墙基本版提供与标准 SKU 类似的简化安全性,但没有高级功能。
- Azure 防火墙标准版直接从 Microsoft 网络安全提供 L3-L7 筛选和威胁情报源。
- Azure 防火墙高级版包含高级功能,例如基于签名的 IDPS,以便通过查找特定模式来快速检测攻击。
了解详细信息:
安全远程访问和跨界连接
安装、配置和管理 Azure 资源需要远程完成。 此外,你可能想要部署在本地和 Azure 公有云中具有组件的混合 IT 解决方案。 这些方案要求安全远程访问。
Azure 网络支持以下安全远程访问方案:
- 将单独的工作站连接到虚拟网络
- 通过 VPN 将本地网络连接到虚拟网络
- 通过专用的 WAN 链接将本地网络连接到虚拟网络
- 将虚拟网络相互连接
将单独的工作站连接到虚拟网络
你可能想要让各个开发者或操作人员在 Azure 中管理虚拟机和服务。 例如,如果需要访问虚拟网络上的虚拟机,但安全策略禁止 RDP 或 SSH 远程访问各个虚拟机,则可以使用点到站点 VPN 连接。
点到站点 VPN 连接允许在用户和虚拟网络之间建立专用的安全连接。 建立 VPN 连接后,用户可通过 VPN 链接将 RDP 或 SSH 连接到虚拟网络上的任何虚拟机,前提是经过验证和授权。 点到站点 VPN 支持以下项:
- 安全套接字隧道协议 (SSTP):专有的基于 SSL 的 VPN 协议,它可以穿透防火墙,因为大多数防火墙都打开了 TLS/SSL 所用的 TCP 端口 443。 Windows 设备(Windows 7 及更高版本)支持 SSTP。
- IKEv2 VPN:基于标准的 IPsec VPN 解决方案,可用于从 Mac 设备进行连接(OSX 10.11 及更高版本)。
- OpenVPN 协议:基于 SSL/TLS 的 VPN 协议,它可以穿透防火墙,因为大多数防火墙都打开了 TLS 所用的出站 TCP 端口 443。 OpenVPN 可用于从 Android、iOS(11.0 及更高版本)、Windows、Linux 和 Mac 设备(macOS 10.13 及更高版本)进行连接。 支持的版本是基于 TLS 握手的 TLS 1.2 和 TLS 1.3。
了解详细信息:
通过 VPN 网关将本地网络连接到虚拟网络
若要将整个企业网络或特定段连接到虚拟网络,请考虑使用站点到站点 VPN。 此方法在混合 IT 方案中很常见,服务的一部分在 Azure 和本地托管。 例如,Azure 中可能会有前端 Web 服务器和本地后端数据库。 站点到站点 VPN 增强了管理 Azure 资源的安全性,并启用将 Active Directory 域控制器扩展到 Azure 等方案。
站点到站点 VPN 不同于点到站点 VPN,因为它将整个网络(例如本地网络)连接到虚拟网络,而不仅仅是单个设备。 站点到站点 VPN 使用高度安全的 IPsec 隧道模式 VPN 协议来建立这些连接。
了解详细信息:
通过专用的 WAN 链接将本地网络连接到虚拟网络
点到站点和站点到站点 VPN 连接有助于启用跨界连接。 但是,它们存在一些限制:
- VPN 连接通过 Internet 传输数据,使其面临与公共网络关联的潜在安全风险。 此外,不能保证 Internet 连接的可靠性和可用性。
- 与虚拟网络的 VPN 连接可能无法为某些应用程序提供足够的带宽,通常最大带宽约为 200 Mbps。
对于其跨界连接需要最高级别的安全性和可用性的组织,通常更喜欢使用专用的 WAN 链接。 Azure 提供 ExpressRoute、ExpressRoute Direct 和 ExpressRoute Global Reach 等解决方案,以促进本地网络与 Azure 虚拟网络之间的这些专用连接。
了解详细信息:
将虚拟网络相互连接
出于各种原因,可以使用多个虚拟网络进行部署,例如简化管理或提高安全性。 无论动机是什么,可能有时你都会想要将不同虚拟网络上的资源与另一个网络相连接。
一个选择是通过 Internet 以“环回”方式将一个虚拟网络上的服务连接到另一个虚拟网络上的服务。 这意味着该连接将在一个虚拟网络上开始,通过 Internet,再到达目标虚拟网络。 但是,这会导致连接面临基于 Internet 的通信所固有的安全问题。
创建连接两个虚拟网络的站点到站点 VPN 可能是更好的选择。 此方法与上述的跨界站点到站点 VPN 连接使用相同的 IPsec 隧道模式协议。
此方法的优点是,VPN 连接基于 Azure 网络结构建立,与通过 Internet 连接的站点到站点 VPN 相比,提供额外一层安全性。
了解详细信息:
连接虚拟网络的另一种方法是通过 VNet 对等互连。 VNet 对等互连可通过 Microsoft 主干基础结构在两个 Azure 虚拟网络之间实现直接通信,从而绕过公共 Internet。 此功能支持在同一区域或不同 Azure 区域中的对等互连。 还可以使用网络安全组 (NSG) 来控制和限制对等网络中子网或系统之间的连接。
可用性
可用性对于任何安全计划都至关重要。 如果用户和系统无法访问必要的资源,服务将受到实际破坏。 Azure 提供支持高可用性机制的网络技术,包括:
- 基于 HTTP 的负载均衡
- 网络级别的负载均衡
- 全局负载均衡
负载均衡在多个设备之间均匀分发连接,目的是:
- 提高可用性:通过分发连接,即使一个或多个设备不可用,服务仍可正常运行。 其余设备继续为内容提供服务。
- 增强性能:分发连接可减少任何单个设备上的负载,将处理和内存需求分散到多个设备。
- 促进缩放:随着需求的增加,可以向负载均衡器添加更多设备,以便处理更多连接。
基于 HTTP 的负载均衡
运行基于 Web 的服务的组织,通常会因使用基于 HTTP 的负载均衡器来确保高性能和可用性而受益。 与依赖于网络和传输层协议的基于网络的传统负载均衡器不同,基于 HTTP 的负载均衡器根据 HTTP 协议特征做出决策。
Azure 应用程序网关和 Azure Front Door 为 Web 服务提供基于 HTTP 的负载均衡。 它们均支持:
- 基于 Cookie 的会话关联:确保与一台服务器建立的连接在客户端和服务器之间保持一致,从而保持事务稳定性。
- TLS 卸载:使用 HTTPS (TLS) 为客户端与负载均衡器之间的会话加密。 为了提高性能,负载均衡器与 Web 服务器之间的连接可以使用 HTTP(未加密),从而减少 Web 服务器上的加密开销,并允许它们更有效地处理请求。
- 基于 URL 的内容路由:允许负载均衡器根据目标 URL 转发连接,从而提供比基于 IP 地址的决策更大的灵活性。
- Web 应用程序防火墙:为 Web 应用程序提供集中保护,使其免受常见威胁和漏洞的侵害。
了解详细信息:
网络级别的负载均衡
与基于 HTTP 的负载均衡相比,网络级别负载均衡基于 IP 地址和端口(TCP 或 UDP)号做出决策。 Azure 负载均衡器提供具有以下主要特征的网络级负载均衡:
- 根据 IP 地址和端口号平衡流量。
- 支持任何应用层协议。
- 向 Azure 虚拟机和云服务角色实例分发流量。
- 可用于面向 Internet(外部负载均衡)和面向非 Internet(内部负载均衡)的应用程序和虚拟机。
- 包括用于检测和响应服务不可用情况的终结点监视。
了解详细信息:
全局负载均衡
某些组织可能想要最高级别的可用性。 实现此目标的一种方法是在全球分布的数据中心中托管应用程序。 在分布于世界各地的数据中心中托管应用程序时,整个地缘政治区域可能会变得不可用,并且应用程序仍可启动和运行。
此负载平衡策略也可暂停性能优势。 可直接向距离提出请求的设备最近的数据中心请求服务。
在 Azure 中,可以获得全局负载均衡的益处,方法是将 Azure 流量管理器用于基于 DNS 的负载均衡、将全局负载均衡器用于传输层负载均衡,或将 Azure Front Door 用于基于 HTTP 的负载均衡。
了解详细信息:
名称解析
名称解析对于 Azure 中托管的所有服务至关重要。 从安全的角度来看,破坏名称解析功能可能会让攻击者将来自站点的请求重定向到恶意站点。 因此,安全的名称解析对所有云托管服务至关重要。
可以考虑以下两种类型的名称解析:
- 内部名称解析:由虚拟网络、本地网络或两者中的服务使用。 这些名称无法通过 Internet 访问。 为获得最佳的安全性,请确保外部用户不会接触到内部名称解析方案。
- 外部名称解析:由本地网络和虚拟网络之外的人员和设备使用。 这些名称在 Internet 上可见,直接连接到基于云的服务。
对于内部名称解析,有两个选项:
- 虚拟网络 DNS 服务器:创建新虚拟网络时,Azure 提供了一个 DNS 服务器,可以解析该虚拟网络中的计算机名称。 此 DNS 服务器由 Azure 管理,不可配置,有助于保护名称解析的安全。
- 自带 DNS 服务器:可以在虚拟网络中部署所选的 DNS 服务器。 可以是 Active Directory 集成的 DNS 服务器或由 Azure 合作伙伴提供的专用 DNS 服务器解决方案,两者均可从 Azure 市场中获得。
了解详细信息:
对于外部名称解析,有两个选项:
- 在本地托管自己的外部 DNS 服务器。
- 使用外部 DNS 服务提供程序。
大型组织通常在本地托管自己的 DNS 服务器,因为他们具有网络专业知识且在全球分布。
但是,对于大多数组织来说,使用外部 DNS 服务提供程序是可取的。 这些提供程序为 DNS 服务提供高可用性和可靠性,这一点至关重要,因为 DNS 故障会使面向 Internet 的服务无法访问。
Azure DNS 提供高度可用且高性能的外部 DNS 解决方案。 它利用 Azure 的全球基础结构,可让用户使用与其他 Azure 服务相同的凭据、API、工具和计费在 Azure 中托管域。 此外,它还受益于 Azure 的可靠安全控制。
了解详细信息:
- Azure DNS 概述
- 使用 Azure DNS 专用区域可为 Azure 资源配置专用的 DNS 名称而不是自动分配的名称,且无需添加自定义 DNS 解析。
外围网络体系结构
许多大型组织使用外围网络对其网络进行分段,并在 Internet 及其服务之间创建缓冲区域。 网络的外围部分被视为一个低安全区域,而且不会将重要的资产放在该网络段中。 通常会看到在外围网络段上具有网络接口的网络安全设备。 将另一个网络接口连接到具有接受来自 Internet 的入站连接的虚拟机和服务的网络。
可通过多种不同的方式设计外围网络。 部署外围网络的决策以及决定使用哪种类型的外围网络取决于你的网络安全需求。
了解详细信息:
Azure DDoS 防护
分布式拒绝服务 (DDoS) 攻击对于云应用程序来说是重要的可用性和安全威胁。 这些攻击旨在耗尽应用程序的资源,使得合法用户无法对其进行访问。 任何可公开访问的终结点都可以是目标。
DDoS 防护功能包括:
- 本机平台集成:完全集成到 Azure,包含 Azure 门户提供的配置。 它了解你的资源及其配置。
- 统包保护:在启用 DDoS 防护后,会立即保护虚拟网络上的所有资源,无需用户干预。 缓解措施在检测攻击时立即开始。
- 始终可用的流量监视:全天候监视应用程序流量,了解 DDoS 攻击的迹象,并在保护策略遭到入侵时启动缓解措施。
- 攻击缓解报告:提供有关使用聚合网络流数据的攻击的详细信息。
- 攻击缓解流日志:在活动 DDoS 攻击期间提供已丢弃和转发流量的近实时日志。
- 自适应优化:了解应用程序随时间推移的流量模式,并相应地调整防护配置文件。 与 Web 应用程序防火墙配合使用时,提供 3 层到 7 层的保护。
- 广泛的缓解规模:可以使用全球容量缓解超过 60 种不同攻击类型,从而应对最大的已知 DDoS 攻击。
- 攻击指标:可以通过 Azure Monitor 访问每个攻击的汇总指标。
- 攻击警报:对攻击开始、停止和持续时间的可配置警报,与 Azure Monitor 日志、Splunk、Azure 存储、电子邮件和 Azure 门户等工具集成。
- 成本保证:提供记录的 DDoS 攻击的数据传输和应用程序横向扩展服务信用度。
- DDoS 快速响应:在主动攻击期间提供对快速响应团队的访问权限,以便进行调查、自定义缓解和攻击后分析。
了解详细信息:
Azure 前端入口 (Azure Front Door)
Azure Front Door 可让你进行优化以实现最佳性能及高可用性,从而定义、管理和监视 Web 流量的全局路由。 它允许创建自定义 Web 应用程序防火墙 (WAF) 规则,以基于客户端 IP 地址、国家/地区代码和 HTTP 参数来防范 HTTP/HTTPS 工作负载遭到恶意利用。 此外,Front Door 还支持使用速率限制规则来对付恶意的机器人流量,包括 TLS 卸载,并提供每 HTTP/HTTPS 请求以及应用程序层处理。
Front Door 平台受 Azure 基础结构级 DDoS 防护的保护。 若要增强保护,可以在 VNet 中启用 Azure DDoS 网络保护,并通过自动优化和缓解措施来防范资源遭到网络层 (TCP/UDP) 攻击。 Front Door 是第 7 层反向代理,仅允许 Web 流量通过后端服务器,默认会阻止其他类型的流量。
注意
对于 Web 工作负载,强烈建议使用 Azure DDoS 防护和 Web 应用程序防护墙来抵御新兴的 DDoS 攻击。 另一种选择是将 Azure Front Door 与 Web 应用程序防火墙一起部署。 Azure Front Door 提供平台级保护来抵御网络级 DDoS 攻击。
了解详细信息:
- 若要了解有关 Azure Front Door 的完整功能的详细信息,可以查看 Azure Front Door 概述
Azure 流量管理器
Azure 流量管理器是基于 DNS 的流量负载均衡器,可在全球 Azure 区域之间向服务分发流量,确保高可用性和响应能力。 它根据流量路由方法和终结点的运行状况,使用 DNS 将客户端请求路由到最合适的服务终结点。 终结点可以是托管在 Azure 内部或外部的任何面向 Internet 的服务。 流量管理器会持续监视终结点,并避免将流量定向到任何不可用的终结点。
了解详细信息:
监视和威胁检测
Azure 提供相关功能来帮助在此关键领域中进行早期检测、监视,并收集和查看流量。
Azure 网络观察程序
Azure 网络观察程序提供了帮助排查和识别安全问题的工具。
- 安全组视图:通过将基线策略与有效规则进行比较,审核并确保虚拟机的安全符合性,从而帮助识别配置偏移。
- 数据包捕获:捕获传入和传出虚拟机的网络流量,协助网络统计信息收集和应用程序问题故障排除。 它还可由 Azure Functions 触发,以响应特定警报。
有关详细信息,请参阅 Azure 网络观察程序监视概述。
注意
有关服务可用性和状态的最新更新,请访问 Azure 更新页。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 可帮助你预防、检测和响应威胁,同时提高对 Azure 资源的可见性和安全可控性。 它提供对 Azure 订阅的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于大量的安全解决方案。
Defender for Cloud 通过以下方式来帮助优化和监视网络安全:
- 提供网络安全建议。
- 监视网络安全配置的状态。
- 在终结点和网络级别发出基于网络的威胁警报。
了解详细信息:
虚拟网络 TAP
通过 Azure 虚拟网络 TAP(终端接入点),可让你持续将虚拟机网络流量流式传输到网络数据包收集器或分析工具。 收集器或分析工具是由网络虚拟设备合作伙伴提供的。 你可以使用相同的虚拟网络 TAP 资源来聚合来自相同或不同订阅的多个网络接口的流量。
了解详细信息:
日志记录
对任何网络安全方案而言,网络级别的日志记录都是一项关键功能。 在 Azure 中,可以记录针对 NSG 获得的信息,以获取网络级别的日志记录信息。 使用 NSG 日志记录,可以从以下日志中获取信息:
- 活动日志。 使用这些日志查看提交到 Azure 订阅的所有操作。 这些日志默认处于启用状态,可在 Azure 门户中使用。 这些日志以前称为审核或操作日志。
- 事件日志。 这些日志提供有关应用了哪些 NSG 规则的信息。
- 计数器日志。 通过这些日志,可知道所应用每个 NSG 规则拒绝或允许流量的次数。
还可以使用功能强大的数据可视化工具 Microsoft Power BI 来查看和分析这些日志。 了解详细信息: