Použití principů nulová důvěra (Zero Trust) pro segmentování síťové komunikace založené na Azure

Tento článek obsahuje pokyny pro použití principů nulová důvěra (Zero Trust) pro segmentování sítí v prostředích Azure. Tady jsou principy nulová důvěra (Zero Trust).

princip nulová důvěra (Zero Trust) Definice
Explicitní ověření Vždy ověřovat a autorizovat na základě všech dostupných datových bodů.
Použití nejméně privilegovaného přístupu Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat.
Předpokládat porušení zabezpečení Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.

Můžete minimalizovat poloměr a segmentový přístup k útokům na kybernetický útok provedením segmentace sítě na různých úrovních infrastruktury Azure.

Tento článek je součástí série článků, které ukazují, jak aplikovat principy nulová důvěra (Zero Trust) na sítě Azure.

S tím, jak organizace rostou z malých firem do velkých podniků, často potřebují přejít z jednoho předplatného Azure do několika předplatných a oddělit prostředky pro každé oddělení. Je důležité pečlivě naplánovat segmentaci sítě a vytvořit logické hranice a izolaci mezi prostředími.

Každé prostředí, které obvykle odráží samostatné oddělení vaší organizace, by mělo mít vlastní přístupová oprávnění a zásady pro konkrétní úlohy. Uživatelé z vašeho interního předplatného pro vývojáře softwaru by například neměli mít přístup ke správě a nasazování síťových prostředků v předplatném připojení. Tato prostředí ale stále potřebují síťové připojení k dosažení požadovaných funkcí pro základní služby, jako je DNS, hybridní připojení a schopnost spojit se s dalšími prostředky v různých virtuálních sítích Azure.

Segmentace infrastruktury Azure poskytuje nejen izolaci, ale může také vytvářet hranice zabezpečení, které útočníkovi brání v pohybu mezi prostředími a způsobuje další škody (princip Předpokládat porušení nulová důvěra (Zero Trust)).

Referenční architektura

K ochraně vašich prostředků před neoprávněným přístupem nebo škodlivým útokem můžete použít různé úrovně segmentace v Azure. Tyto úrovně segmentace začínají na úrovni předplatného a procházejí až k aplikacím běžícím na virtuálních počítačích. Segmentace vytvoří hranici, která odděluje jedno prostředí od druhého s vlastními pravidly a zásadami. S předpokladem, že k porušením může dojít, je potřeba segmentovat sítě, aby se zabránilo jejich šíření.

Sítě Azure používají následující úrovně segmentace:

  • Předplatná

    Předplatné Azure je logický kontejner, který se používá ke zřizování prostředků v Azure. Je propojený s účtem Azure v tenantovi Microsoft Entra ID a slouží jako jedna fakturační jednotka pro prostředky Azure přiřazené k předplatnému. Předplatné Azure je také logická hranice pro přístup k prostředkům obsaženým v předplatném. Přístup mezi prostředky v různých předplatných vyžaduje explicitní oprávnění.

  • Virtuální sítě

    Virtuální síť Azure je izolovaná privátní síť, která ve výchozím nastavení umožňuje vzájemné komunikaci všech virtuálních počítačů. Ve výchozím nastavení nemůžou virtuální sítě komunikovat s jinými virtuálními sítěmi, pokud mezi nimi nevytváříte připojení prostřednictvím partnerského vztahu, připojení VPN nebo ExpressRoute. Jednotlivé virtuální sítě je možné použít jako hranici důvěryhodnosti, která rozděluje různé aplikace, úlohy, oddělení nebo organizace.

    Azure Virtual Network Manager (AVNM) je služba pro správu sítě, která umožňuje jednomu týmu pro správu spravovat virtuální sítě a vynucovat pravidla zabezpečení napříč několika předplatnými globálně. Pomocí AVNM můžete definovat skupiny sítě a určit, které virtuální sítě spolu můžou vzájemně komunikovat. K monitorování změn konfigurace sítě můžete také použít AVNM.

  • Úlohy v rámci virtuální sítě

    Pro úlohy v rámci virtuální sítě , jako jsou virtuální počítače nebo jakékoli služby PaaS, které podporují integraci virtuální sítě, jako je Azure Databricks a App Service, je ve výchozím nastavení povolená komunikace, protože jsou obsaženy ve stejné virtuální síti a musí být dále zabezpečeny pomocí skupin zabezpečení sítě. Mezi nástroje a služby segmentace v rámci virtuální sítě patří:

    • Azure Firewall

      Azure Firewall je služba nasazená ve virtuální síti pro filtrování provozu mezi cloudovými prostředky, místními prostředky a internetem. Pomocí služby Azure Firewall můžete definovat pravidla a zásady, které povolí nebo zamítnou provoz v síťových a aplikačních vrstvách. Můžete také využít pokročilé funkce ochrany před hrozbami poskytované službou Azure Firewall, jako je detekce vniknutí a systém prevence (IDPS), kontrola protokolu TLS (Transport Layer Security) a filtrování na základě analýzy hrozeb.

    • Skupina zabezpečení sítě

      Skupina zabezpečení sítě je mechanismus řízení přístupu, který filtruje síťový provoz mezi prostředky Azure, jako jsou virtuální počítače v rámci virtuální sítě. Skupina zabezpečení sítě obsahuje pravidla zabezpečení, která umožňují nebo zamítnou provoz na úrovni podsítě nebo virtuálního počítače ve virtuální síti. Běžným použitím skupin zabezpečení sítě je segmentace sad virtuálních počítačů v různých podsítích.

    • Skupina zabezpečení aplikace

      Skupina zabezpečení aplikace je rozšíření skupiny zabezpečení sítě, která umožňuje seskupit síťová rozhraní virtuálních počítačů na základě jejich rolí a funkcí. Skupiny zabezpečení aplikace pak můžete použít ve skupině zabezpečení sítě ve velkém měřítku, aniž byste museli definovat IP adresy virtuálních počítačů.

    • Azure Front Door

      Azure Front Door je moderní cloudová síť CDN (Cloud Content Delivery Network) od Microsoftu, která poskytuje rychlý, spolehlivý a zabezpečený přístup mezi uživateli a statickým a dynamickým webovým obsahem vašich aplikací po celém světě.

Následující diagram znázorňuje referenční architekturu pro úrovně segmentace.

Diagram znázorňující referenční architekturu a úrovně segmentace pro sítě Azure

Plné červené čáry v diagramu označují úrovně segmentace mezi:

  1. Předplatná Azure
  2. Virtuální sítě v předplatném
  3. Podsítě ve virtuální síti
  4. Internet a virtuální síť

Diagram také ukazuje sadu virtuálních sítí spravovaných službou AVNM, která může zahrnovat předplatná Azure.

Co je v tomto článku?

nulová důvěra (Zero Trust) principy se použijí napříč referenční architekturou v cloudu Azure. Následující tabulka popisuje doporučení pro segmentování sítí v této architektuře, aby dodržovala zásadu Předpokládat porušení zabezpečení nulová důvěra (Zero Trust).

Krok Úloha
0 Segmentujte v rámci jednotlivých virtuálních sítí.
2 Připojení více virtuálních sítí pomocí partnerského vztahu
3 Připojení více virtuálních sítí v konfiguraci centra a paprsku

Krok 1: Segmentace v rámci jednotlivých virtuálních sítí

V rámci jedné virtuální sítě v předplatném Azure použijete podsítě k oddělení a segmentaci prostředků. V rámci virtuální sítě může být například podsíť pro databázové servery, jiná pro webové aplikace a vyhrazená podsíť pro bránu Azure Firewall nebo Aplikace Azure lication Gateway s firewallem webových aplikací. Ve výchozím nastavení je ve virtuální síti povolená veškerá komunikace mezi podsítěmi.

Pokud chcete vytvořit izolaci mezi podsítěmi, můžete použít skupiny zabezpečení sítě nebo skupiny zabezpečení aplikace k povolení nebo zamítnutí konkrétního síťového provozu na základě IP adres, portů nebo protokolů. Návrh a údržba skupin zabezpečení sítě a skupin zabezpečení aplikací ale může také vytvářet režijní náklady na správu.

Tento obrázek znázorňuje společnou a doporučenou konfiguraci třívrstvé aplikace s samostatnými podsítěmi pro každou vrstvu a použití skupin zabezpečení sítě a skupin zabezpečení aplikací k vytvoření segmentovaných hranic mezi jednotlivými podsítěmi.

Diagram znázorňující použití skupin zabezpečení sítě a skupin zabezpečení aplikací pro segmentaci mezi podsítěmi

Segmentaci prostředků můžete také dosáhnout směrováním provozu mezi podsítě pomocí tras definovaných uživatelem(UDR) směřujících na bránu Azure Firewall nebo síťového virtuálního zařízení (NVA) třetí strany. Azure Firewall a síťová virtuální zařízení mají také možnost povolit nebo odepřít provoz pomocí ovládacích prvků vrstvy 3 do vrstvy 7. Většina těchto služeb poskytuje pokročilé možnosti filtrování.

Další informace najdete v pokynech v modelu 1: Jedna virtuální síť.

Krok 2: Připojení více virtuálních sítí pomocí partnerského vztahu

Ve výchozím nastavení neexistuje žádná povolená komunikace mezi virtuálními sítěmi s jedním předplatným Azure nebo mezi několika předplatnými. Více virtuálních sítí, z nichž každá patří různým entitám, má vlastní řízení přístupu. Můžou se připojit k sobě nebo k centralizované virtuální síti centra pomocí partnerského vztahu virtuálních sítí, kde azure Firewall nebo síťové virtuální zařízení třetí strany kontroluje veškerý provoz.

Tento obrázek znázorňuje připojení partnerského vztahu virtuálních sítí mezi dvěma virtuálními sítěmi a použitím služby Azure Firewall na každém konci připojení.

Diagram znázorňující partnerský vztah virtuálních sítí a použití bran Azure Firewall pro připojení a segmentování dvou virtuálních sítí

Virtuální síť centra obvykle obsahuje sdílené komponenty, jako jsou brány firewall, zprostředkovatelé identit a komponenty hybridního připojení. Správa tras definovaná uživatelem je jednodušší, protože přidání konkrétních tras definovaných předpon pro mikrose segmentaci by bylo nutné pouze v případě, že je potřeba provoz uvnitř virtuální sítě. Vzhledem k tomu, že má virtuální síť vlastní hranice, jsou už zavedené kontrolní mechanismy zabezpečení.

Další informace najdete v následujících doprovodných materiálech:

Krok 3: Připojení více virtuálních sítí v konfiguraci centra a paprsku

U více virtuálních sítí v konfiguraci centra a paprsku je potřeba zvážit, jak segmentovat síťový provoz pro tyto hranice:

  • Hranice internetu
  • Hranice místní sítě
  • Hranice globálních služeb Azure

Hranice internetu

Zabezpečení internetového provozu je zásadní prioritou zabezpečení sítě, která zahrnuje správu příchozího přenosu dat z internetu (nedůvěryhodného) a odchozího provozu směrovaného do internetu (důvěryhodné) z vašich úloh Azure.

Microsoft doporučuje, aby příchozí provoz z internetu byl jediným vstupním bodem. Microsoft důrazně doporučuje, aby provoz příchozího přenosu dat procházel přes prostředek Azure PaaS, jako je Azure Firewall, Azure Front Door nebo Aplikace Azure lication Gateway. Tyto prostředky PaaS nabízejí více možností než virtuální počítač s veřejnou IP adresou.

Azure Firewall

Tento obrázek ukazuje, jak Azure Firewall ve své vlastní podsíti funguje jako centrální vstupní bod a segmentační hranice pro provoz mezi internetem a třívrstvé úlohy ve virtuální síti Azure.

Diagram znázorňující použití služby Azure Firewall pro segmentaci provozu mezi virtuální sítí a internetem

Další informace najdete v tématu Azure Firewall v architektuře Microsoft Azure Well-Architected Framework.

Azure Front Door

Azure Front Door může fungovat jako hranice mezi internetem a službami hostovanými v Azure. Azure Front Door podporuje připojení služby Private Link k prostředkům, jako je interní vyrovnávání zatížení (ILB) pro přístup k virtuální síti, účty úložiště pro statické weby a úložiště objektů blob a služby Aplikace Azure. Azure Front Door se obvykle provádí pro nasazení ve velkém měřítku.

Azure Front Door je více než služba vyrovnávání zatížení. Infrastruktura služby Azure Front Door má integrovanou ochranu před útoky DDoS. Pokud je ukládání do mezipaměti povolené, obsah se dá načíst z umístění pop (point of presence) místo neustálého přístupu k back-endovým serverům. Po vypršení platnosti mezipaměti azure Front Door načte požadovaný prostředek a aktualizuje mezipaměť. Místo toho, aby koncoví uživatelé přistupovali ke svým serverům, azure Front Door používá pro dvě samostatná připojení rozdělený protokol TCP. Tím se nejen zlepší uživatelské prostředí koncového uživatele, ale zabráníte tomu, aby aktéři se zlými úmysly přistupovali přímo k prostředkům.

Tento obrázek ukazuje, jak Azure Front Door poskytuje segmentaci mezi uživateli internetu a prostředky Azure, které můžou být v účtech úložiště.

Diagram znázorňující použití služby Azure Front Door jako hranice mezi internetem a službami hostovanými v Azure

Další informace najdete v tématu Azure Front Door v architektuře Azure Well-Architected Framework.

Azure Application Gateway

Internetový vstupní bod může být také kombinací příchozích bodů. Například provoz HTTP/HTTPS může příchozí přenos dat prostřednictvím služby Application Gateway chráněné firewallem webových aplikací nebo službou Azure Front Door. Přenosy mimo HTTP/HTTPS, jako je RDP/SSH, se můžou směrovat přes Azure Firewall nebo síťové virtuální zařízení. Tyto dva prvky můžete použít společně pro hlubší kontrolu a řízení toku provozu pomocí trasy definované uživatelem.

Tento obrázek znázorňuje provoz příchozího přenosu dat internetu a použití služby Application Gateway s firewallem webových aplikací pro provoz HTTP/HTTPS a bránou Azure Firewall pro všechny ostatní přenosy.

Diagram znázorňující způsoby připojení a segmentace provozu mezi předplatným Azure a místní sítí

Mezi dva běžně doporučené scénáře patří:

  • Umístěte bránu Azure Firewall nebo síťové virtuální zařízení paralelně se službou Application Gateway.
  • Před dosažením cíle umístěte bránu Azure Firewall nebo síťové virtuální zařízení po službě Application Gateway pro další kontrolu provozu.

Další informace najdete v tématu Aplikace Azure lication Gateway v architektuře Microsoft Azure Well-Architected Framework.

Tady jsou další běžné vzory pro toky internetového provozu.

Příchozí přenos dat pomocí více rozhraní

Jedním z přístupů je použití více síťových rozhraní na virtuálních počítačích při používání síťových virtuálních zařízení: jedno rozhraní pro nedůvěryhodný provoz (externí) a druhé pro důvěryhodný provoz (interní). Z hlediska toku provozu musíte směrovat příchozí provoz z místního prostředí do síťového virtuálního zařízení pomocí tras definovaných uživatelem. Příchozí provoz z internetu přijatý síťovým virtuálním zařízením musí být směrován do cílové úlohy v příslušné virtuální síti nebo podsíti kombinací statických tras v zařízení hostovaného operačního systému a tras definovaných uživatelem.

Výchozí přenos dat a trasy definované uživatelem

Pro provoz odcházející z vaší virtuální sítě pro internet můžete použít trasovací tabulku pomocí směrovací tabulky s vybraným síťovým virtuálním zařízením jako další segment směrování. Pokud chcete snížit složitost, můžete nasadit bránu Azure Firewall nebo síťové virtuální zařízení v centru Azure Virtual WAN a zapnout zabezpečení internetu pomocí záměru směrování. Tím se zajistí, že se zkontroluje provoz na sever –jih (přicházející do oboru sítě i mimo rozsah sítě) i provoz na východ –západ (mezi zařízeními v rámci oboru sítě) určený pro virtuální IP adresy mimo Azure.

Výchozí přenos dat a výchozí trasa

Některé metody zahrnují správu výchozí trasy (0.0.0.0/0) s různými metodami. Obecně platí, že odchozí provoz pocházející z Azure využívá výstupní body a kontrolu s využitím brány Azure Firewall nebo síťových virtuálních zařízení kvůli propustnosti, kterou dokáže infrastruktura Azure zpracovat, což ve většině případů může být mnohem větší a odolnější. V takovém případě může konfigurace výchozí trasy v trasách definovaná uživatelem podsítí úloh vynutit provoz do těchto výstupních bodů. Jako výstupní bod můžete také upřednostňovat směrování odchozího provozu z místního prostředí do Azure. V tomto případě využijte Azure Route Server v kombinaci s síťovým virtuálním zařízením k inzerování výchozí trasy do místního prostředí s využitím protokolu BGP (Border Gateway Protocol).

Existují zvláštní případy, kdy potřebujete směrovat veškerý odchozí provoz zpět do místního prostředí tím, že inzerujete výchozí trasu přes protokol BGP. To vynutí provoz, který opouští tunelovou síť přes vaši místní síť, do brány firewall kvůli kontrole. Tento poslední přístup je nejméně žádoucí z důvodu zvýšené latence a nedostatku bezpečnostních prvků poskytovaných Azure. Tato praxe je široce přijímaná vládními a bankovními sektory, které mají specifické požadavky na kontrolu provozu v rámci místního prostředí.

Z hlediska škálování:

  • Pro jednu virtuální síť můžete použít skupiny zabezpečení sítě, které striktně dodržují sémantiku vrstvy 4, nebo můžete použít Azure Firewall, který dodržuje sémantiku vrstvy 4 i vrstvy 7.
  • Pro více virtuálních sítí je možné použít jednu bránu Azure Firewall, pokud je dostupná, nebo můžete nasadit bránu Azure Firewall v každé virtuální síti a směrovat provoz pomocí trasy definované uživatelem.

U velkých podnikových distribuovaných sítí můžete dál používat hvězdicový model a směrovat provoz s využitím trasy definované uživatelem. To ale může vést k režijním nákladům na správu a limitům partnerských vztahů virtuálních sítí. Azure Virtual WAN toho může dosáhnout, pokud nasadíte bránu Azure Firewall ve virtuálním centru a aktivujete záměr směrování pro zabezpečení internetu. Tím se vloží výchozí trasy napříč všemi paprsky a pobočkovými sítěmi a pošlou provoz směřující na internet do služby Azure Firewall kvůli kontrole. Privátní provoz směřující do bloků adres RFC 1918 se odesílá do služby Azure Firewall nebo síťového virtuálního zařízení jako určeného dalšího segmentu směrování v centru Azure Virtual WAN.

Hranice místní sítě

Mezi hlavní metody pro navázání připojení k místním sítím patří tunely IPsec (Internet Protocol), tunely ExpressRoute nebo softwarově definované tunely WAN (SD-WAN). Obvykle používáte připojení VPN typu Site-to-Site (S2S) Azure pro menší úlohy, které vyžadují menší šířku pásma. Pro úlohy, které vyžadují vyhrazenou cestu služby a vyšší požadavky na propustnost, microsoft doporučuje ExpressRoute.

Tento obrázek znázorňuje různé typy metod připojení mezi prostředím Azure a místní sítí.

Diagram znázorňující různé typy metod připojení mezi prostředím Azure a místní sítí

I když připojení VPN Azure podporují více tunelů, ExpressRoute se často konfiguruje pro větší podnikové sítě, které vyžadují větší šířku pásma a privátní připojení prostřednictvím partnera pro připojení. Pro ExpressRoute je možné připojit stejnou virtuální síť k více okruhům, ale pro účely segmentace to často není ideální, protože virtuální sítě nejsou vzájemně propojené.

Jednou z metod segmentace je nepoužívat vzdálenou bránu ve virtuálních sítích paprsků nebo zakázat šíření tras protokolu BGP, pokud používáte směrovací tabulky. Stále můžete segmentovat centra připojená k ExpressRoute pomocí síťových virtuálních zařízení a bran firewall. U paprsků, které jsou v partnerském vztahu s rozbočovači, se můžete rozhodnout, že ve vlastnostech partnerského vztahu virtuálních sítí nebudete používat vzdálenou bránu. Paprsky se tak dozví jenom o svých přímo připojených centrech a ne o žádných místních trasách.

Dalším vznikajícím přístupem k segmentování provozu do a z místního prostředí je použití technologií SD-WAN. Umístění větví můžete rozšířit do Azure SD-WAN pomocí síťových virtuálních zařízení třetích stran v Azure a vytvořit segmentaci na základě tunelů SD-WAN pocházejících z různých větví v zařízeních síťového virtuálního zařízení. Azure Route Server můžete použít k vložení předpon adres pro tunely SD-WAN do platformy Azure pro hvězdicovou topologii.

U topologie virtuální sítě WAN můžete mít přímou integraci síťového virtuálního zařízení SD-WAN třetích stran uvnitř virtuálního centra. Pomocí koncových bodů protokolu BGP můžete také povolit použití řešení SD-WAN a vytvářet tunely z virtuálního síťového virtuálního zařízení integrovaného do centra.

V obou modelech můžete pomocí ExpressRoute segmentovat základní privátní nebo veřejné připojení s privátním partnerským vztahem nebo partnerským vztahem Microsoftu. Pro zabezpečení je běžným postupem inzerovat výchozí trasu přes ExpressRoute. To vynutí, aby se veškerý provoz opouštějící virtuální síť tuneloval do vaší místní sítě kvůli kontrole. Provoz přicházející přes síť VPN i ExpressRoute se dá podobně odeslat do síťového virtuálního zařízení pro další kontrolu. To platí také pro provoz z Azure. Tyto metody jsou jednoduché, pokud je prostředí menší, například jedna nebo dvě oblasti.

V případě velkých distribuovaných sítí můžete azure Virtual WAN použít také aktivací kontroly privátního provozu pomocí záměru směrování. Tím se veškerý provoz směruje na privátní IP adresu síťového virtuálního zařízení pro kontrolu. Stejně jako u výše uvedených metod je mnohem jednodušší spravovat, když vaše prostředí pokrývá více oblastí.

Druhým přístupem se službou Azure Virtual WAN je použití vlastních směrovacích tabulek pro hranice izolace. Můžete vytvořit vlastní trasy a pouze přidružit a rozšířit virtuální sítě, které chcete do těchto směrovacích tabulek. Tuto funkci ale dnes nejde kombinovat se záměrem směrování. Chcete-li izolovat větve, můžete přiřadit popisky pro přidružení větví k danému popisku. Šíření na výchozí popisek můžete zakázat také pro jednotlivé centrum. V současné době nemůžete izolovat jednotlivé větve v Azure samostatně v jednom centru. SD-WAN například nemůžete izolovat od ExpressRoute. V celém centru ale můžete zakázat šíření na výchozí popisek.

Hranice globálních služeb Azure

Většina služeb v Azure je ve výchozím nastavení přístupná prostřednictvím globální sítě WAN Azure. To platí také pro veřejný přístup ke službám Azure PaaS. Azure Storage má například integrovanou bránu firewall, která může omezit přístup k virtuálním sítím a blokovat veřejný přístup. Často je ale potřeba podrobnější kontrolu. Typickou předvolbou je privátní připojení k virtuálním IP adresě Azure místo použití výchozích veřejných IP adres.

Nejběžnější metodou omezení přístupu k prostředkům PaaS je služba Azure Private Link. Když vytvoříte privátní koncový bod, vloží se do vaší virtuální sítě. Azure používá tuto privátní IP adresu k tunelování k příslušnému prostředku PaaS. Azure mapuje záznam DNS A na privátní koncový bod pomocí zón Azure Privátní DNS a mapuje záznam CNAME na prostředek PaaS privátního propojení.

Koncové body služby nabízejí alternativní metodu připojení k virtuálním IP adresám PaaS. Můžete vybrat značky služeb, které umožní připojení ke všem prostředkům PaaS v rámci této značky a poskytnout privátní připojení k prostředku PaaS.

Další rozšířená metoda zahrnuje použití partnerského vztahu Microsoftu pro ExpressRoute. Pokud se chcete připojit k virtuálním IP adresám PaaS z místního prostředí, můžete nastavit partnerský vztah Microsoftu. Můžete zvolit komunitu protokolu BGP pro virtuální IP adresy, které se mají využívat, a to se inzeruje prostřednictvím cesty partnerského vztahu Microsoftu.

Další informace najdete v následujících doprovodných materiálech:

Souhrn segmentace

Tato tabulka shrnuje různé úrovně segmentace a metod zabezpečení.

Mezi Výchozí chování Komunikace povolená... Metody zabezpečení segmentace
Předplatná Žádná komunikace – Partnerský vztah virtuálních sítí

– Brány VPN
Azure Firewall
Virtuální sítě Žádná komunikace – Partnerský vztah virtuálních sítí

– Brány VPN
Azure Firewall
Úlohy v podsítích v rámci virtuální sítě Otevřená komunikace – Skupiny zabezpečení sítě

– Skupiny zabezpečení aplikací
Internet a virtuální síť Žádná komunikace – Load Balancer

– Veřejná IP adresa

– Application Gateway

– Azure Front Door
– Aplikace Azure lication Gateway s firewallem webových aplikací

– Azure Firewall

– Azure Front Door s firewallem webových aplikací
Internet a místní sítě Žádná komunikace – Azure S2S VPN

– Tunel IPSec

– Tunel ExpressRoute

- Tunel SD-WAN
Azure Firewall
Internet a virtuální počítače ve virtuální síti Žádná komunikace, pokud mají virtuální počítače jenom privátní IP adresy Přiřazení veřejné IP adresy virtuálního počítače Brána firewall místního virtuálního počítače

Další kroky

Další informace o použití nulová důvěra (Zero Trust) v sítích Azure najdete tady:

Reference

V těchto odkazech se dozvíte o různých službách a technologiích uvedených v tomto článku.