Azure(تلفظ=آژور//معنی=لاجورد) شمارا قادر میسازد ماشینها و لوازم مجازی را به سایر دستگاههای شبکه وصل کنید و آنها را در شبکههای مجازی قرار دهید. Azure یک ساختار شبکه مجازی است که به شما اجازه میدهد تا کارتهای مجازی شبکه را به یک شبکه مجازی وصل کنید و ارتباطات مبتنی بر TCP // IP را بین دستگاههای فعال شده برقرار کنید. دستگاههای مجازی لاجوردی متصل به شبکه مجازی Azure، قادر به اتصال به دستگاههای مشابه در شبکههای مجازی Azure Virtual، در اینترنت و یا حتی در شبکههای محلی خود هستند.در این مقاله ما مجموعهای از بهترین شیوههای امنیت شبکه Azure را مورد بحث قرار خواهیم داد. این شیوهها براساس تجربه ما با شبکههای Azure و تجارب مشتریانی مانند خودتان حاصل شده است.سوالاتی که پاسخ خواهیم داد عبارتند از:
بهترین عمل کرد برای حفظ امنیت چیست؟
چرا باید بهترین نوع امنیت را برقرارکنید؟
اگر نتوانید بهترین عمل را انجام دهید چه نتیجهای میتواند داشته باشد؟
جایگزینهای ممکن برای امنیت چیست؟
چگونه میتوانید راهکار های امنیتی را آموزش ببینید ؟
بهترین شیوههای حفاظت از شبکههای Azure در این مقاله عبارتند از:
استفاده از بخش های منطقی زیر شبکه
کنترل رفتار مسیریابی
تونل اجباری
استفاده از لوازم شبکه مجازی
نصب DMZ ها برای منطقه بندی امنیتی
از تماس اینترنت با لینک اختصاصی WAN جلوگیری کنید
به روز رسانی و بهینه سازی عملکرد
استفاده از توازن بار جهانی
دسترسی RDP به دستگاههای مجازی را غیرفعال کنید
مرکز امنیت Azure را فعال کنید
مرکز داده خود را به Azur گسترش دهید
بخشهای منطقی زیر شبکه
شبکههای مجازی Azure شبیه به یک شبکه در شبکه محلی شما هستند. ایده یک شبکه مجازی این است که شما یک شبکه خصوصی مبتنی بر فضای آدرس IP اختصاصی را ایجاد میکنید که بتوانید تمام ماشینهای مجازی Azure را در آن قرار دهید. فضاهای آدرس IP خصوصی موجود در محدوده کلاس A (10.0.0.0//۸)، کلاس B (172.16.0.0//۱۲) و کلاس C (192.168.0.0//۱۶) هستند.همانند آنچه که در یک محل برای برپایی شبکه انجام میدهید، شما میخواهید فضای آدرس بزرگتر را به زیر شبکهها تقسیم کنید. برای این منظور میتوانید اصول زیر شبکه CIDR را برای ساخت زیر شبکههای خود استفاده کنید.در کل مسیریابی بین زیر شبکهها بهطور خودکار اتفاق میافتد و شما لازم نیست بهطور دستی جداول مسیریابی را پیکربندی کنید. بااینحال، تنظیم پیش فرض این است که هیچ کنترل دسترسی بین زیر شبکههایی که در شبکه مجازی Azure ایجاد میکنید وجود ندارد. برای ایجاد کنترل دسترسی شبکه بین زیر شبکهها، شما باید چیزی بین زیر شبکهها قرار دهید.
یکی از مواردی که میتوانید برای انجام این کار از آن استفاده کنید یک گروه امنیت شبکه (NSG) است. NSGs دستگاههای بازرسی بستهای ساده ای هستند که از رویکرد ۵-tuple (منبع منبع، پورت منبع، مقصد IP، پورت مقصد و پروتکل لایه ۴) برای ایجاد قوانین اجازه و انکار ترافیک شبکه استفاده میکنند و به وسیله آن شما میتوانید ترافیک را از آدرس IP منحصر به فرد و یا از آدرسهای متعدد یا حتی از کل زیر شبکهها، رد یا تاییدکنید.استفاده از NSG ها برای کنترل دسترسی شبکه بین زیر شبکهها، شمارا قادر میسازد که منابع خود را در یک ناحیه امنیتی قرار دهید. بهعنوانمثال، در یک نرم افزار ساده ۳ بعدی که دارای یک سطح وب، یک سطح منطقی برنامه و یک سطح پایگاه داده است میتوان ماشینهای مجازی را که متعلق به هر یک از این سطوح هستند را در زیر شبکههای مخصوص به خود قرار داد ، سپس از NSG ها برای کنترل ترافیک بین زیر شبکهها استفاده کرد اما این روش مشکلاتی نیز دارد که عبارتند از:
دستگاههای مجازی تنها میتوانند اتصالات را به دستگاههای منطقی برقرار کنند و تنها میتوانند اتصالات را از اینترنت بپذیرند.
برنامه های کاربردی ماشین مجازی تنها میتواند ارتباط با سطح پایگاه داده و سطح وب را قبول کند.
دستگاههای مجازی اصلی پایگاه داده ، نمیتوانند با چیزی خارج از زیر شبکه خود ارتباط برقرار کنند.
کنترل رفتار مسیریابی
هنگامیکه شما یک ماشین مجازی را در یک شبکه مجازی Azure قرار میدهید متوجه خواهید شد که ماشین مجازی میتواند به هر ماشین مجازی دیگر در همان شبکه مجازی متصل شود، حتی اگر ماشینهای مجازی در زیر شبکههای مختلف باشند. دلیل اینکه این امکان وجود دارد این است که مجموعهای از مسیرهای سیستمی وجود دارد که بهطور پیش فرض فعال میشوند و اجازه این نوع ارتباط را میدهد. این مسیرهای پیش فرض به ماشین مجازی در همان شبکه مجازی Azure اجازه میدهند ارتباطات خود را با یکدیگر و با اینترنت برقرار کنند.درحالیکه مسیرهای پیش فرض سیستم برای بسیاری از سناریوهای استقرار مفید هستند، زمانی که میخواهید پیکربندی مسیریابی را برای خود سفارشی کنید، این تنظیمات به شما این امکان را میدهد که آدرس بعدی آپلود را برای رسیدن به مقصد خاص پیکربندی کنید. با توجه به این امکانات بهترین توصیه این است که مسیرهای تعریف شده و خاص برای کاربر پیکربندی کنید.
تونل اجباری را فعال کنید
برای درک بهتر تونل زنی اجباری، بهتر است بدانید تقسیم “تونلینگ” چیست. شایعترین نمونه تقسیم تونل زنی با اتصالات VPN است. تصور کنید که اتصال VPN را از اتاق هتل خود به شبکه شرکت ایجاد کنید. این اتصال به شما اجازه میدهد به منابع در شبکه شرکتی خود متصل شوید و تمام ارتباطات شبکه شما از طریق تونلVPN انجام گیرد. چه اتفاقی میافتد وقتی میخواهید به منابع در اینترنت وصل شوید؟ هنگامیکه تونلی وجود ندارد، این اتصالات بهطور مستقیم به اینترنت و نه از طریق تونل VPN انجام میگیرند. بعضی از کارشناسان امنیتی این احتمال را می دهند که این اتفاق خطرناک باشد و بنابراین توصیه میکنند که تمام ارتباطات و اتصالات اینترنت ، منابع مالی و… ، از طریق تونل انجام گیرد .مزیت انجام این کار این است که اتصالات به اینترنت باید از دستگهای امنیتی شرکت عبور کنند.حال اجازه دهید به ماشین مجازی Azure بازگردیم. سیرهای پیش فرض برای شبکه مجازی Azure به ماشینهای مجازی اجازه میدهند تا اتصال را از اینترنت آغاز کنند. این نیز میتواند یک خطر امنیتی را نمایان سازد، زیرا این اتصالات خروجی میتوانند سطح حمله یک ماشین مجازی را افزایش دهند و توسط مهاجمان قابل استفاده باشد. به همین دلیل، توصیه میکنیم که تونل را بر روی ماشینهای مجازی خود ، هنگامیکه اتصال متقابل را بین شبکه Azure و شبکه داخلی خود دارید اعمال کنید. اگر یک اتصال متقابل ندارید مطمئن شوید که از شبکههای امنیتی (که قبلاً مورد بحث قرار گرفته است) یا تجهیزات امنیتی مجازی Azure (که در ادامه بحث میشود) برای جلوگیری از ارتباطات خارج از اینترنت استفاده میشود.
از وسایل شبکه مجازی استفاده کنید
درحالیکه گروههای امنیت شبکه و مسیریابی میتوانند معیار مشخصی از امنیت شبکه را در شبکه ارائه دهند و از لایههای حملونقل مدل OSI استفاده کنند،با این حال همیشه شرایطی وجود دارد که نیاز به امنیت در سطوح بالایی از پشته دارید.در چنین شرایطی، توصیه میکنیم که از لوازم امنیتی مجازی ارائه شده توسط شبکه Azure استفاده کنید. لوازم امنیتی شبکه Azure میتوانند به میزان قابل توجهی به افزایش سطح امنیت ، از طریق کنترلهای سطح شبکه کمک کنند. برخی از قابلیتهای امنیتی شبکه ارائه شده توسط لوازم امنیتی شبکه مجازی عبارتند از:
فایروال
تشخیص نفوذ / جلوگیری از نفوذ
مدیریت آسیب پذیری
کنترل برنامه
تشخیص مشکلات مبتنی بر شبکه
فیلتر کردن وب
آنتی ویروس
حفاظت Botnet
اگر شما نیاز به سطح بالاتری از امنیت شبکه دارید تا بتوانید بردسترسیها نظارت داشته باشید، پس توصیه میکنیم که سرویسهای امنیت شبکه مجازی را بررسی و راهاندازی کنید.
استفاده از DMZ ها برای منطقه بندی امنیتی
یک DMZ یا “شبکه محیط” بخشی از شبکه فیزیکی یا منطقی است که برای ارائه یک لایه امنیتی اضافی بین اطلاعات شما و اینترنت طراحی شده است. هدف از DMZ این است که دستگاههای کنترل دسترسی شبکه تخصصی را در لبه شبکه DMZ قرار دهیم تا فقط عبور ترافیک دلخواه از دستگاه امنیتی مجاز باشد.DMZ ها مفید هستند، زیرا شما میتوانید مدیریت کنترل دسترسی شبکه خود را، نظارت و ثبت کنید و گزارش گیری دستگاهها را در لبه شبکه Azure متمرکز کنید. در اینجا شما بهطور معمول قادر خواهید بود از DDoS جلو گیری کنید همچنین پیشگیری از نفوذ (IDS // IPS)را در دستور کار خود قرار داده همچنین از قوانین فایروالها و سیاستها، فیلتر کردن وب،بهره گیری از ضد ویروس شبکه و … استفاده کنید.این روش طراحی پایه یک DMZ است درحالی که بسیاری از طرحهای مختلف DMZ مانند عقب به عقب، سه گانه، چند خانه و … وجود دارد که همگی برای این کار قابل استفاده هستند.
اجتناب از قرار گرفتن در معرض اینترنت با لینک اختصاص داده شده WAN
بسیاری از سازمانها مسیر Hybrid IT را انتخاب کردهاند. در فناوری اطلاعات ترکیبی، برخی از اطلاعات شرکت در Azure هستند، درحالیکه این اطلاعات در دسترس دیگران قرار میگیرند. در بسیاری از موارد، برخی از اجزای یک سرویس در Azure در حال اجرا هستند درحالیکه سایر اجزای سازنده در دسترس باقی میمانند.در سناریوی IT ترکیبی، معمولاً نوعی اتصال متقابل وجود دارد که این اتصال به شرکت اجازه میدهد تا شبکههای محلی خود را به شبکههای مجازی Azure متصل کند. دو راهحل برای این موقعیت وجود دارد:
استفاده از VPN
Express Route
VPN سایت به سایت یک اتصال خصوصی مجازی بین شبکه محلی شما و شبکه مجازی Azure را راه اندازی میکند و به شما این امکان را میدهد تا اطلاعات را درون یک لینک رمزگذاری شده بین شبکه خود و Azure تونل کنید. VPN یک فنّاوری امن وقابل اعتماد است که برای دهههای مختلف توسط شرکتهای مختلف اجرا شده. رمزنگاری تونل با استفاده از حالت تونل IPsec انجام میشوددرحالیکه VPN به سایت یک فنّاوری قابلاعتماد و مبتنی بر ترافیک درون تونل می باشد و میتواند اینترنت را متوقف کند. علاوه بر این، پهنای باند آن نسبتاً محدود و حداکثر حدود ۲۰۰Mbps است.اگر شما نیاز به سطح امنی برای اتصالات خوددارید، توصیه میکنیم از Azure ExpressRoute برای اتصال متقابل خود استفاده کنید. ExpressRoute یک لینک اختصاصی WAN بین محل سکونت شما و ارائهکننده سرویس است. ازآنجاکه این اتصال تلفنی است، اطلاعات شما بر روی اینترنت نمیگذارد .
بهینهسازی زمان آمادهسازی و عملکرد
محرمانگی، یکپارچگی و قابلیت دسترسی (CIA) مدل سهگانه امنیتی عصر حاضر است. محرمانه بودن در مورد رمزگذاری و حفظ حریم خصوصی است، یکپارچگی در مورداطمینان از اینکه دادهها توسط کارکنان غیرمجاز تغییر نمیکنند، و در دسترس بودن در مورداطمینان از اینکه افراد مجاز قادر به دسترسی به اطلاعات مجاز هستند. شکست در هر یک از این مناطق نشاندهنده نقص بالقوه در امنیت است.در دسترس بودن میتواند در مورد زمان به روزرسانی و عملکرد باشد. اگر یک سرویس خاموش باشد، اطلاعات آن قابلدسترسی نیست ،همچنین عملکرد ضعیف دادهها را غیرقابل استفاده می کند، بنابراین، از منظر امنیتی، ما باید هر کاری که میتوانیم انجام دهیم تا اطمینان حاصل کنیم که خدمات ما بهینهسازی شده هستند و عملکرد آنها مطلوب است. یک روش محبوب و مؤثر برای افزایش قابلیت دسترسی و عملکرد استفاده از بارگذاری بار است. تعادل بار یک روش توزیع ترافیک شبکه در سرورهایی است که بخشی از یک سرویس هستند. بهعنوانمثال، اگر وب سرورهای خود را بهعنوان بخش اصلی سرویس خود در نظر بگیریم، میتوانیم با استفاده از توازن بارگذاری چندپخشی برای توزیع ترافیک در سرورهای خود استفاده کنید.این نوع توزیع ترافیک بسیار سریع است زیرا اگر یکی از سرورهای وب غیرقابلدسترس باشد، توزیع ترافیک افزایش مییابد و ترافیک روی این سرور متوقف میشود و ترافیک را به سرورهایی که آنلاین هستند هدایت میکند. تعادل بار نیز به عملکرد کمک میکند، زیرا پردازنده، شبکه و حافظه سربار ، برای خدمت درخواستها در میان تمام سرور متعادل بار توزیعشده است.ما توصیه میکنیم که برای خدمات خود از تعادل بار استفاده کنید، Azure برای شما سه گزینه تعادل بار اولیه را فراهم میکند:
تعادل بار مبتنی بر HTTP
تعادل بار خارجی
تعادل بار داخلی
تعادل بار مبتنی بر HTTP
اساس توازن بار مبتنی بر HTTP میباشد، همچنین تصمیمگیری در مورد ویژگیهای آنچه سرور برای ارسال با استفاده از ویژگیهای این پروتکل میفرستد . پروتکل HTTPدارای یک تعادل بار است کهApplication Gatewayنام دارد ، ما توصیه میکنیم که از Azure Application Gateway استفاده کنید.موارد کاربرد:
در برنامههای کاربردی که نیاز به درخواست از کاربر برای رسیدن به یک ماشین مجازی دارند. نمونههایی از این موارد را میتوانید در برنامههای خرید و سرورهای پست الکترونیکی دید.
برنامههایی که میخواهند وب سرور را از سربار SSL خالی کنند و با استفاده از ویژگی تخلیه Application Gateway این کار را انجا می دهند.
برنامههایی مانند یک شبکه تحویل محتوا که نیاز به درخواست چندگانه HTTP در همان اتصال TCP طولانیمدت را دارد و یا بهطور متناوب به سرورهای back end متصل میشود.
تعادل بار خارجی
تعادل بار توزیع خارجی زمانی اتفاق میافتد که اتصالات ورودی از اینترنت بر روی سرورهای شما واقع در شبکه مجازی Azure متعادل باشد. Azure External Load Balancer میتواند این قابلیت را به شما ارائه دهد .در مقایسه با تعادل بار مبتنی بر HTTP، Balancer Load با استفاده از اطلاعات در شبکه و لایههای حملونقل مدل شبکه OSI تصمیم میگیرد که اتصال به چه سروری برای توازن آن بهتر است.ما توصیه میکنیم هر زمان که درخواستهای اضافی از اینترنت دریافت میکنید از Load Balancing استفاده کنید.
تعادل بار داخلی
تعادل بار داخلی شبیه به تعادل بار خارجی است و از مکانیسم مشابه برای بارگیری اتصال با سرورها استفاده میکند. تنها تفاوت این است که متعادلکننده بار در این مورد، پذیرای اتصالات از ماشینهای مجازی است که در اینترنت نیستند. در اغلب موارد اتصالاتی که برای تعادل بار پذیرفتهشدهاند توسط دستگاههای موجود در شبکه مجازی Azure آغاز میشوند.برای سناریوهای مهم از تعادل بار داخلی استفاده کنید ، مانند زمانی که شما نیاز دارید که تعادل اتصالات را به سرورهای SQL یا سرورهای داخلی وب واگذار کنید.
استفاده از توازن بار جهانی
محاسبات عمومی ابر باعث میشود که برنامههای کاربردی توزیعشده جهانی که اجزای آنها در پایگاههای داده در سراسر جهان قرار دارد، مستقر شوند و این به دلیل وجود Azure امکانپذیر است. در مقایسه با فنّاوری متعادلکننده بار، که قبلاً ذکر شد، تعادل بار جهانی باعث میشود که خدمات در دسترس باشد، حتی زمانی که کل مرکز دادهها از کار افتاده باشند.با استفاده از مدیریت ترافیک Azure میتوانید این نوع توازن بار جهانی را دریافت کنید. مدیر ترافیک امکان اتصال به خدمات شمارا بر اساس مکان کاربر فراهم میکند.برای مثال، اگر کاربر درخواست خود را از اتحادیه اروپا ارسال کند، اتصال سرویسهای شما به یک مرکز داده اروپایی هدایت میشود. این بخش مدیریت توزیع جهانی به بهبود عملکرد کمک میکند زیرا اتصال به نزدیکترین مرکز داده سریعتر از اتصال به پایگاههای دادهای است که دور هستند.در تعادل بار جهانی اطمینان حاصل میکنید که سرویس شما در دسترس است، حتی اگر یک مرکز داده به طور کامل در دسترس نباشد.بهعنوانمثال، اگر یک مرکز داده Azure به علت دلایل زیستمحیطی یا به علت خاموش شدن (مانند خرابی شبکه منطقهای) در دسترس نباشد، اتصال به سرویس شما به نزدیکترین مرکز داده آنلاین رجیستری میشود. این توازن بار جهانی با استفاده از سیاستهای DNS که میتوانید در مدیریت ترافیک ایجاد کنید، به انجام میرسد.
غیرفعال کردن دسترسی RDP // SSH
این امکان وجود دارد که ماشینهای مجازی Azure را با استفاده از پروتکل از راه دور (RDP) و پروتکلهای SSH امن (Secure Shell) مدیریت کنید. این پروتکلها امکان مدیریت ماشینهای مجازی از مکانهای دور را دارند و در محاسبات مرکز داده قابل استفاده هستند.مشکل امنیتی بالقوه با استفاده از این پروتکلها بر روی اینترنت این است که ، مهاجمان میتوانند از روشهای مختلف برای دسترسی به ماشینهای مجازی Azure استفاده کنند. هنگامیکه مهاجمان به سیستم دسترسی پیدا میکنند، میتوانند از ماشین مجازی خود بهعنوان یک نقطه راهاندازی برای به خطر انداختن ماشینهای دیگر در شبکه مجازی Azure استفاده کنند و یا حتی به دستگاههای شبکه در خارج از شبکه حمله کنند.به همین دلیل توصیه میکنیم که دسترسی مستقیم به RDP و SSH را به اینترنت غیرفعال کنید. پس از اینکه دسترسی مستقیم از RDP و SSH از اینترنت غیرفعال شده است، شما میتوانید گزینههای دیگری برای دسترسی به این ماشینهای مجازی برای مدیریت از راه دور استفاده کنید مانند:
VPN نقطه به سایت
VPN به سایت
ExpressRoute
VPN نقطه به سایت یک اصطلاح دیگر برای اتصال به سرویسگیرنده VPN از راه دور است. VPN نقطه به سایت یک کاربررا قادر میسازد برای اتصال به شبکه مجازی Azure از طریق اینترنت ، بعدازاینکه اتصال از نقطه به محل برقرار شد دسترسی پیداکند، کاربر میتواند از RDP یا SSH برای اتصال به هر ماشین مجازی که در شبکه مجازی Azure وجود دارد استفاده کند.سیستم فرض میکند که کاربر مجاز است به این ماشینهای مجازی دسترسی پیدا کند.VPN نقطه به سایت امنتر از اتصالات مستقیم RDP یا SSH است، زیرا کاربر قبل از اتصال به یک ماشین مجازی دو بار احراز هویت میکند. اول، کاربر نیاز به تأیید هویت برای ایجاد اتصال نقطه به سایت VPNدارد؛ دوم، کاربر نیاز به تأیید هویت برای ایجاد اتصال RDP یا SSH دارد.یک VPN سایت به سایت یک شبکه کامل را به یک شبکه دیگر در اینترنت متصل میکند.
شما میتوانید یک VPN سایت به سایت برای اتصال شبکه محلی خود به شبکه مجازی Azure استفاده کنید. اگر شما یک VPN به سایت اختصاص دهید، کاربران در شبکه محلی شما قادر خواهند بود با استفاده از پروتکل RDP یا SSH بر روی اتصال VPN به سایت، به ماشین مجازی در شبکه مجازی Azure متصل شوند و به شما اجازه میدهد تا دسترسی مستقیم به RDP یا SSH را از طریق اینترنت داشته باشید.شما همچنین میتوانید از لینک اختصاصی WAN برای ارائه قابلیتهایی مشابه VPN سایت به سایت استفاده کنید. تفاوت اصلی این است که لینک WAN اختصاصی اینترنت را متوقف نمیکند واینکه لینکهای اختصاصی WAN معمولاً پایدارتر و قابلاجرا تر هستند. Azure یک راهحل لینک اختصاصی WAN را در فرم ExpressRoute فراهم میکند.
فعال کردن مرکز امنیت Azure
مرکز امنیتی Azure به شما کمک میکند تا از تهدیدات مطلع شوید و به شما در افزایش امنیت کمک میکند واین کنترل، نظارت و مدیریت یکپارچه امنیتی را در سراسر شبکه اشتراکی خود فراهم میکند، همچنین کمک میکند تا تهدیدات را شناسایی کنید در عین حال به شما کمک میکند بهینهسازی امنیت شبکه بسیار آسان تر شود. از امکانات خاص مرکز امنیت میتوان چند مورد زیر را نام برد:
ارائه توصیههای امنیت شبکه.
نظارت بر وضعیت پیکربندی امنیت شبکه.
هشدار در هنگام تهدیدات شبکه هم در نقطه پایانی و هم در سطح شبکه.
ما بهشدت توصیه میکنیم که مرکز امنیتی Azure را برای همه اعمال Azure خود فعال کنید.
مرکز داده خود را به AZUR گسترش دهید
بسیاری از شرکتهای فناوری اطلاعات در حال تلاش برای استفاده از پایگاه دادههای محلی در محل خود هستند. این موضوع گسترش زیرساخت فناوری در ابر های عمومی را نشان میدهد. با استفاده از گزینههای اتصال متقابل محل سکونت، ممکن است شبکههای مجازی Azure را بهعنوان زیرشاخه دیگری در زیرساخت شبکه خود قرار دهید.بااینحال، مسائل برنامهریزی و طراحی زیادی وجود دارد که باید در ابتدا موردتوجه قرار گیرد و این موضوع درزمینه امنیت شبکه بسیار مهم است.
منبع:https://bit.ly/2zP5OFp
Leave a comment