Trung tâm bảo mật Azure
Trung tâm bảo mật Azure cung cấp quản lý bảo mật thống nhất và bảo vệ mối đe dọa nâng cao trên các khối lượng công việc đám mây lai. Nó cung cấp các biện pháp kiểm soát chính sách tập trung để hạn chế tiếp xúc với các mối đe dọa và nhanh chóng tìm ra và sửa chữa các lỗ hổng.
Ngoài ra, Trung tâm bảo mật hỗ trợ tích hợp với các giải pháp của bên thứ ba và có thể được tùy chỉnh với khả năng tự động hóa và lập trình.
Bạn có thể sử dụng Trung tâm bảo mật để phân tích trạng thái bảo mật của tài nguyên máy tính, mạng ảo, dịch vụ lưu trữ và dữ liệu cũng như các ứng dụng.
Đánh giá liên tục giúp bạn phát hiện ra các vấn đề bảo mật tiềm ẩn, chẳng hạn như hệ thống bị thiếu bản cập nhật bảo mật hoặc cổng mạng bị lộ. Danh sách các phát hiện và khuyến nghị được ưu tiên có thể kích hoạt cảnh báo hoặc các biện pháp khắc phục có hướng dẫn khác.
Azure DDoS Protection
Bạn đã nghe về điều đó trên tin tức và chắc chắn bạn không muốn điều đó xảy ra với doanh nghiệp của mình: một ứng dụng bị nhắm mục tiêu bởi cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS). Các kiểu tấn công này ngày càng phổ biến và có thể áp đảo ứng dụng của bạn đến mức không ai có thể sử dụng được nữa. DDoS Protection cung cấp khả năng bảo vệ khỏi các cuộc tấn công DDoS thông qua một cấp miễn phí (Cơ bản) và một cấp trả phí (Tiêu chuẩn).
Bạn không phải làm bất cứ điều gì để kích hoạt cấp Cơ bản — cấp này tự động được bật cho mọi khách hàng như một phần của nền tảng Azure. Dịch vụ này bảo vệ các ứng dụng của bạn chống lại các cuộc tấn công DDoS phổ biến nhất bằng cách thực hiện giám sát và giảm thiểu thời gian thực, đồng thời cung cấp các biện pháp bảo vệ tương tự được sử dụng bởi Dịch vụ Trực tuyến của Microsoft /Microsoft Online Services (MOS).
Tầng Chuẩn cung cấp các khả năng giảm thiểu bổ sung được điều chỉnh riêng cho các tài nguyên mạng ảo Azure. Thật đơn giản để kích hoạt và bạn không phải thay đổi các ứng dụng của mình — mọi thứ đều được thực hiện ở cấp độ mạng. Ngoài ra, với cấp Tiêu chuẩn, bạn có thể tùy chỉnh bảo vệ cấp Cơ bản với các chính sách của riêng bạn tập trung vào các trường hợp sử dụng và ứng dụng cụ thể của bạn.
Azure VPN Gateway
Một trong nhiều tùy chọn để kết nối Azure với mạng tại chỗ của bạn là VPN Gateway. Điều này cho phép bạn thiết lập kết nối VPN Site-to-Site (S2S) được mã hóa giữa mạng ảo Azure và mạng tại chỗ của bạn.
Vì lưu lượng truy cập được mã hóa nên nó an toàn — ngay cả khi nó di chuyển qua internet công cộng. VPN Gateway có thể gửi lưu lượng được mã hóa giữa các mạng ảo Azure qua mạng Microsoft.
Bạn cũng có thể tạo kết nối Point-to-Site (P2S) được mã hóa từ máy tính của mình tới Azure. Bằng cách này, bạn có kết nối riêng tư, an toàn với Azure ngay cả khi bạn đang di chuyển.
Bắt đầu bằng cách tạo Azure VPN Gateway với PowerShell
Cổng ứng dụng (Application Gateway)
Application Gateway là một thiết bị ảo chuyên dụng cung cấp một bộ điều khiển phân phối ứng dụng (ADC) như một dịch vụ. Nó cung cấp các khả năng cân bằng tải lớp 7 khác nhau cho ứng dụng của bạn và cho phép khách hàng tối ưu hóa năng suất trang web bằng cách giảm tải kết thúc SSL (SSL termination) chuyên sâu của CPU xuống Cổng ứng dụng. Application Gateway cũng cung cấp các khả năng định tuyến lớp 7 khác, bao gồm phân phối tổng thể lưu lượng truy cập đến, thường trú phiên dựa trên cookie, định tuyến dựa trên đường dẫn URL và khả năng lưu trữ nhiều trang web sau một cổng ứng dụng duy nhất.
Tường lửa ứng dụng web (Web Application Firewall)
Bạn cần bảo mật ứng dụng của mình trước nhiều mối đe dọa, bao gồm SQL injection, cross-site scripting (XSS) và những thứ khác được xác định trong Dự án Bảo mật Ứng dụng Web Mở (OWASP). Một WAF từ Azure có thể giúp với điều đó. Một tính năng của dịch vụ Cổng ứng dụng, WAF cung cấp khả năng bảo vệ theo thời gian thực cho ứng dụng của bạn. Nó phát hiện các cuộc tấn công độc hại, như được định nghĩa trong Bộ quy tắc cốt lõi OWASP và chặn các cuộc tấn công đó tiếp cận ứng dụng của bạn. Nó cũng báo cáo về các cuộc tấn công đã cố gắng hoặc đang diễn ra để bạn có thể thấy các mối đe dọa đang hoạt động đối với ứng dụng của mình, do đó cung cấp thêm một lớp bảo mật.
Trình theo dõi mạng (Network Watcher)
Network Watcher là một dịch vụ khu vực cho phép bạn theo dõi và chẩn đoán các điều kiện ở cấp độ mạng trong, đến và từ Azure.
Nhiều công cụ chẩn đoán và hình ảnh hóa có thể giúp bạn hiểu và hiểu sâu hơn về mạng của mình trong Azure.
Những ví dụ bao gồm:
- Cấu trúc liên kết (Topology): Cung cấp chế độ xem cấp độ mạng về các tài nguyên trong mạng ảo, các tài nguyên được liên kết với các tài nguyên trong mạng ảo và mối quan hệ giữa các tài nguyên này.
- Bắt gói thay đổi (Variable packet capture): Chụp dữ liệu gói vào và ra khỏi máy ảo. Các tùy chọn lọc nâng cao và các điều khiển được tinh chỉnh, chẳng hạn như khả năng đặt giới hạn về thời gian và kích thước, mang lại tính linh hoạt. Dữ liệu gói có thể được lưu trữ trong kho lưu trữ Blob hoặc trên đĩa cục bộ ở định dạng .cap.
- Xác minh luồng IP (IP flow verify): Kiểm tra xem một gói được cho phép hay bị từ chối dựa trên thông tin luồng 5 tuple và các tham số gói (IP đích, IP nguồn, cổng đích, cổng nguồn và giao thức). Nếu gói bị từ chối bởi một nhóm bảo mật, quy tắc và nhóm đã từ chối gói sẽ được trả về.
Nhóm bảo mật mạng (Network security groups)
Một nhóm bảo mật mạng (NSG) nắm giữ một danh sách các quy tắc bảo mật cho phép hoặc từ chối lưu lượng mạng tới các tài nguyên được kết nối với mạng ảo Azure. NSG có thể được liên kết với mạng con, máy ảo riêng lẻ (máy ảo kiểu cổ điển) hoặc bộ điều khiển giao diện mạng riêng lẻ (NIC) được gắn với máy ảo (máy ảo kiểu quản lý tài nguyên). Khi một NSG được liên kết với một mạng con, các quy tắc sẽ áp dụng cho tất cả các tài nguyên được kết nối với mạng con. Bạn có thể hạn chế lưu lượng hơn nữa bằng cách liên kết NSG với VM hoặc NIC.
Vùng riêng DNS của Azure (Azure DNS private zones)
DNS chịu trách nhiệm dịch (hoặc phân giải) tên dịch vụ sang địa chỉ IP của nó. Azure DNS là dịch vụ lưu trữ cho các miền DNS, cung cấp khả năng phân giải tên bằng cơ sở hạ tầng Azure. Ngoài các miền DNS hướng tới internet, Azure DNS hiện hỗ trợ các miền DNS riêng dưới dạng tính năng xem trước với các vùng riêng của Azure DNS. Các lợi ích bảo mật phát sinh từ các vùng DNS riêng bao gồm khả năng tạo cơ sở hạ tầng DNS phân tách. Điều này cho phép bạn tạo các vùng DNS riêng và công cộng có cùng tên mà không để lộ tên nội bộ. Ngoài ra, việc sử dụng các vùng riêng DNS loại bỏ nhu cầu giới thiệu các giải pháp DNS tùy chỉnh có thể làm tăng bề mặt tấn công tổng thể với các yêu cầu cập nhật và quản lý độc lập.
VPN nhiều cơ sở (Cross-premises VPNs)
Azure hỗ trợ hai loại kết nối VPN xuyên cơ sở: P2S VPN và S2S VPN. Kết nối P2S VPN cho phép bạn tạo kết nối an toàn với mạng ảo của mình từ một máy khách cá nhân. Loại kết nối này được thiết lập từ máy khách, rất hữu ích cho những người làm viễn thông muốn kết nối với mạng ảo Azure từ xa. P2S VPN cũng hữu ích khi bạn chỉ có một số máy khách cần kết nối với mạng ảo. Ngược lại, kết nối S2S VPN được sử dụng để kết nối mạng tại chỗ của bạn với mạng ảo Azure qua đường hầm VPN IPsec / IKE (IKEv1 hoặc IKEv2). Loại kết nối này yêu cầu thiết bị VPN đặt tại chỗ có địa chỉ IP công cộng hướng ra bên ngoài.
Azure ExpressRoute
Azure ExpressRoute cho phép bạn mở rộng mạng tại chỗ của mình vào đám mây Microsoft qua kết nối riêng tư an toàn do nhà cung cấp kết nối tạo điều kiện mà không cần qua Internet công cộng. Với ExpressRoute, bạn có thể thiết lập kết nối riêng tư với các dịch vụ đám mây của Microsoft, chẳng hạn như Azure, Office 365 và Dynamics 365.
Azure Load Balancer
Bạn có thể sử dụng bộ cân bằng tải để tăng tính khả dụng của các ứng dụng. Azure hỗ trợ cả bộ cân bằng tải bên ngoài và bên trong, có thể được sử dụng trong cấu hình công khai hoặc nội bộ.
Ngoài ra, bạn có thể định cấu hình bộ cân bằng tải để hỗ trợ các cổng có tính khả dụng cao (HA) trong đó quy tắc cổng HA là một biến thể của quy tắc cân bằng tải được định cấu hình trên bộ cân bằng tải tiêu chuẩn nội bộ. Bạn có thể cung cấp một quy tắc duy nhất để cân bằng tải tất cả các luồng TCP và UDP đến trên tất cả các cổng của bộ cân bằng tải nội bộ.