Zabezpieczenia sieci w Azure (NSG i ASG)

Network Security Groups (NSG)

Application Security Groups (ASG)

Firewalle i DDoS Protection

Private Link / Service Endpoints

Defender for Cloud

Defense-in-Depth

Zabezpieczenia sieci w Azure opierają się na dwóch podstawowych mechanizmach: Network Security Groups (NSG) oraz Application Security Groups (ASG). NSG pełnią rolę zapory sieciowej na poziomie wirtualnej sieci i umożliwiają filtrowanie ruchu przychodzącego oraz wychodzącego na podstawie zestawu reguł. Reguły te definiują źródło, cel, protokół, port, kierunek i priorytet, co pozwala precyzyjnie kontrolować komunikację między zasobami w Azure.


Application Security Groups natomiast służą do logicznego grupowania maszyn wirtualnych, aby uprościć zarządzanie regułami NSG. Dzięki ASG nie trzeba operować na adresach IP - zamiast tego reguły można przypisać do grup aplikacyjnych. To znacząco zmniejsza koszty utrzymania, zwłaszcza w środowiskach o dużej dynamice, gdzie liczba maszyn lub adresów może się często zmieniać. Razem NSG i ASG tworzą elastyczny, czytelny system kontroli ruchu w Azure, który ułatwia budowanie bezpiecznych architektur sieciowych.



Routing w Azure (User-defined Routes)

Routing w Azure określa, jak pakiety przemieszczają się między sieciami i podsieciami. Azure domyślnie stosuje własne trasy systemowe, ale w bardziej złożonych architekturach można je nadpisywać za pomocą User-defined Routes (UDR). Są to statyczne, własnoręcznie definiowane trasy, które umożliwiają kierowanie ruchu np. przez firewall, appliance, urządzenie NVA lub dedykowaną bramę. UDR tworzy się w ramach zasobu Route Table, który następnie przypisuje się do określonych podsieci w wirtualnej sieci.



Azure Firewall

Azure Firewall to zarządzana zapora sieciowa typu PaaS, zapewniająca kontrolę ruchu przychodzącego i wychodzącego na poziomie całej sieci. Usługa jest wysoce skalowalna, działa w trybie wysokiej dostępności i umożliwia tworzenie reguł filtrowania ruchu z wykorzystaniem adresów IP, portów, protokołów oraz pełnych nazw domen (FQDN). Azure Firewall integruje się z Azure Monitor, dzięki czemu wspiera logowanie, analitykę i wgląd w ruch sieciowy. Jest stosowany jako centralny punkt kontroli bezpieczeństwa w architekturach opartych na hub-and-spoke lub w środowiskach wymagających inspekcji ruchu na poziomie sieci.



Azure DDoS Protection

Azure DDoS Protection to zarządzana usługa zabezpieczająca zasoby Azure przed atakami typu DoS i DDoS, które mają na celu przeciążenie aplikacji lub infrastruktury. Usługa wykrywa złośliwy ruch, blokuje go i przepuszcza wyłącznie zasadne połączenia użytkowników. W wersji Standard zapewnia dodatkowe mechanizmy ochrony dla zasobów wirtualnych sieci, korzysta z analizy machine learning i minimalizuje ryzyko niepotrzebnych kosztów związanych ze skalowaniem podczas ataku. Wersja Basic jest automatycznie włączona dla całej platformy, natomiast Standard daje pełną ochronę i szczegółowy monitoring.



Azure Identity, Access i Security to zestaw usług odpowiedzialnych za uwierzytelnianie użytkowników, kontrolę dostępu do zasobów oraz ochronę środowiska w chmurze. Obejmuje mechanizmy zarządzania tożsamością (Microsoft Entra ID), synchronizację kont z lokalnym Active Directory, role i uprawnienia (RBAC), zabezpieczenia dostępu (MFA, SSO, Passwordless), polityki warunkowe (Conditional Access), model Zero Trust oraz narzędzia ochrony infrastruktury, takie jak Defender for Cloud.


References