iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 10
0

在昨天我們討論完如何Azure Management Tool的指令建立VM後,今天我們來聊聊Azure

上的Security控管,在當今時代,縱深防禦是一種採用一系列機制來減緩未經授權的數據

訪問的攻擊進展的策略。縱深防禦的目的是保護和防止信息被未授權訪問的個人竊取。

用於定義安全狀態的通用原則是機密性,完整性和可用性,統稱為CIA

(Confidentiality,Integrity,Availability)

縱深防禦可以看成是一組層次,數據放在中間,每一層都提供保護,因此,如果

其中一層被破壞,則下一層已經到位以防止進一步暴露。這種方法消除了對任何

單一保護層的依賴,並且可以減慢攻擊速度並提供可以自動或手動執行的警報

遙測。

https://ithelp.ithome.com.tw/upload/images/20200925/20112182xqFfPu04iO.png

隨著計算環境從客戶控制的數據中心轉移到雲中,安全性的責任也發生了變化。現在,

運營環境的安全性已成為雲提供商和客戶共同關注的問題。通過將這些職責轉移到

Azure等雲服務,組織可以減少對非核心業務能力活動的關注,以下為使用Cloud後

的責任劃分

https://ithelp.ithome.com.tw/upload/images/20200925/20112182czMGLke6NS.png

Azure Firewall 是基於雲的託管網絡安全服務,可保護您的Azure虛擬網絡資源。

它是一種完全狀態的防火牆即服務,具有內置的高可用性和不受限制的雲可伸縮性。

https://ithelp.ithome.com.tw/upload/images/20200925/201121824Su8AUUV2G.png

Azure Application Gateway是網路流量負載平衡器,可讓您管理Web應用程式的流量。

Application Gateway可讓您根據 HTTP 要求的其他屬性(例如URI路徑或主機標頭)

進行路由決策。 例如,您可以根據傳入URL路由傳送流量。 因此,如果/images在

傳入的URL中,您可以將流量路由傳送至一組針對影像設定的特定伺服器(也稱為集區)

如果/video 在此 URL 中,該流量就會路由至另一個針對影片最佳化的集區。

https://ithelp.ithome.com.tw/upload/images/20200925/20112182CMLDIlnVEI.png

Web Application Firewall(WAF)可集中保護 Web 應用程式,使其免於遭遇

常見的攻擊和弱點。Web 應用程式已逐漸成為利用常見已知弱點進行惡意攻擊的目標。

在這之中,SQL 插入式和跨網站 , 指令碼攻擊是最常見的攻擊。

https://ithelp.ithome.com.tw/upload/images/20200925/20112182h9XI4rJs6E.png

Azure DDoS Protection攻擊試圖淹沒和耗盡應用程序的資源,從而使應用程序變慢

或對合法用戶無響應。DDoS攻擊可以針對可通過Internet公開訪問的任何端點。因此

,任何暴露於互聯網的資源(例如網站)都可能受到DDoS攻擊的威脅。

https://ithelp.ithome.com.tw/upload/images/20200925/20112182G75e6JfsAa.png

Network Security Groups(NSG)允許您篩選往返於Azure虛擬網絡中Azure資源的

網絡流量,NSG可以包含多個入站和出站安全規則,使您可以按源IP地址和目標IP地址,

端口和協議過濾來往於資源的流量

https://ithelp.ithome.com.tw/upload/images/20200925/20112182smPnDAfTSX.png

Application Security Groups(ASG)使您可以將網絡安全性配置為應用程序結構的

自然擴展,從而可以對虛擬機進行分組並根據這些組定義網絡安全策略,此功能使您可以

大規模重用安全策略,而無需手動維護顯式IP地址。該平台處理顯式IP地址和多個

規則集的複雜性,使您可以專注於業務邏輯。

https://ithelp.ithome.com.tw/upload/images/20200925/20112182rmaYr4YrYm.png

https://ithelp.ithome.com.tw/upload/images/20200925/20112182E64umBexhd.png

選擇Azure網絡安全解決方案,可以結合使用多個Azure網絡和安全服務來管理

網絡安全並提供增強的分層保護。

網絡安全組和Azure防火牆。Azure防火牆補充了網絡安全組功能。它們共同提供了更好

的深度防禦網絡安全性。網絡安全組提供分佈式網絡層流量過濾,以將流量限制為每個

預訂中虛擬網絡內的資源。Azure防火牆是一種完全狀態的集中式網絡防火牆即服務,

可跨不同的訂閱和虛擬網絡提供網絡和應用程序級保護。

應用程序網關WAF和Azure防火牆。WAF是Application Gateway的一項功能,可為您的

Web應用程序提供針對常見漏洞利用和漏洞的集中式入站保護。Azure防火牆為非

HTTP / S協議(例如RDP,SSH,FTP)提供入站保護,為所有端口和協議提供出站

網絡級保護,並為出站HTTP / S提供應用程序級保護。兩者結合可提供額外的保護層。

手把手設定Secure Network Traffic步驟

https://docs.microsoft.com/zh-tw/learn/modules/secure-network-connectivity/9-walkthrough-traffic

Day10教學講義:

https://docs.microsoft.com/zh-tw/learn/modules/secure-network-connectivity/1-introduction


上一篇
Day9:Azure小白如何解鎖用指令5分鐘建立Azure VM
下一篇
Day11:Azure小白如何第一次管理身份驗證與授權就上手
系列文
企業如何用好用滿Azure30

尚未有邦友留言

立即登入留言