Easy📖Теория1 min

Сетевая безопасность

NSG, Azure Firewall, DDoS Protection, Private Link, Service Endpoints

AzureSecurity management

Сетевая безопасность Azure

Защита сети -- критический аспект облачной безопасности. Azure предоставляет многоуровневую защиту: от фильтрации трафика на уровне подсетей до глобальной защиты от DDoS-атак.

Network Security Groups (NSG)

NSG -- это базовый инструмент фильтрации сетевого трафика. Каждый NSG содержит набор правил, определяющих, какой трафик разрешен, а какой запрещен.

Где применяется NSG:

  • К подсети (Subnet) -- правила действуют на весь трафик в подсети
  • К сетевому интерфейсу (NIC) -- правила действуют только для конкретной VM

Если NSG применен и к подсети, и к NIC, трафик проходит через оба набора правил последовательно.

Структура правила:

Параметр Описание Пример
Приоритет 100-4096, меньше = выше 100
Направление Inbound / Outbound Inbound
Источник IP, диапазон, тег, ASG 10.0.0.0/24
Порт источника Порт или диапазон *
Назначение IP, диапазон, тег, ASG 10.0.1.0/24
Порт назначения Порт или диапазон 443
Протокол TCP, UDP, ICMP, Any TCP
Действие Allow / Deny Allow

Правила по умолчанию (не удаляются, но можно перекрыть правилами с более высоким приоритетом):

  • AllowVNetInBound (65000) -- разрешить трафик внутри VNet
  • AllowAzureLoadBalancerInBound (65001) -- разрешить трафик от Load Balancer
  • DenyAllInBound (65500) -- запретить весь остальной входящий трафик

Azure Firewall

Azure Firewall -- это управляемый облачный межсетевой экран с возможностями фильтрации на уровне сети (L3-L4) и приложений (L7).

Отличия от NSG:

Характеристика NSG Azure Firewall
Уровень L3-L4 (IP, порт) L3-L7 (IP, порт, FQDN, URL)
Область Подсеть / NIC VNet / подписка
Threat Intelligence Нет Да -- блокировка известных вредоносных IP
FQDN-фильтрация Нет Да -- блокировка по доменным именам
Централизованное управление Нет Да
Стоимость Бесплатно ~ $900/мес (Premium)

Когда использовать Azure Firewall: когда нужна фильтрация по FQDN/URL, Threat Intelligence, централизованное управление правилами для нескольких VNet.

Когда достаточно NSG: для базовой фильтрации трафика по IP-адресам и портам внутри одной VNet.

Azure DDoS Protection

DDoS (Distributed Denial of Service) -- атака, направленная на перегрузку сервиса большим количеством запросов.

Два уровня защиты:

Уровень Описание Стоимость
Basic Включен автоматически для всех Azure-ресурсов. Базовая защита на уровне инфраструктуры Бесплатно
Standard Расширенная защита: адаптивная настройка, метрики в реальном времени, оповещения, поддержка от специалистов ~ $2,944/мес

DDoS Protection Standard автоматически анализирует паттерны трафика вашего приложения и фильтрует аномальный трафик, не затрагивая легитимных пользователей.

Azure Private Link обеспечивает доступ к Azure PaaS-сервисам (SQL Database, Storage, Cosmos DB) через частную сеть, без прохождения трафика через интернет.

Private Endpoint -- это сетевой интерфейс с частным IP-адресом из вашей VNet, подключенный к Azure PaaS-сервису.

Как это работает:

  1. Без Private Endpoint: App Service -> интернет -> SQL Database (публичный IP)
  2. С Private Endpoint: App Service -> VNet -> Private Endpoint -> SQL Database (частный IP)

Преимущества:

  • Трафик не покидает магистральную сеть Microsoft
  • Нет необходимости в публичных IP-адресах
  • Защита от утечки данных (data exfiltration)
  • Соответствие требованиям безопасности и регуляторов

Service Endpoints

Service Endpoints -- более простая альтернатива Private Link. Они расширяют идентификацию VNet до Azure PaaS-сервиса.

Отличия от Private Link:

Характеристика Service Endpoints Private Link
Маршрутизация Оптимизированный маршрут Через частный IP
Публичный IP сервиса Используется Не используется
Доступ из on-premises Нет Да (через VPN/ExpressRoute)
Защита от data exfiltration Частичная Полная
Стоимость Бесплатно Оплата за endpoint

Многоуровневая защита (Defense in Depth)

Azure рекомендует многоуровневый подход к безопасности:

  1. Физическая безопасность -- дата-центры Microsoft (замки, камеры, биометрия)
  2. Идентификация и доступ -- Entra ID, MFA, RBAC
  3. Периметр -- DDoS Protection, Azure Firewall
  4. Сеть -- NSG, VNet изоляция, Private Link
  5. Вычисления -- патчи ОС, антивирус, шифрование дисков
  6. Приложения -- безопасный код, сканирование уязвимостей
  7. Данные -- шифрование at rest и in transit

Проверь себя

🧪

Правило NSG с приоритетом 100 и правило с приоритетом 200 конфликтуют. Какое правило применится?

🧪

Что обеспечивает Azure Private Link?

🧪

Какой уровень модели Defense in Depth отвечает за Entra ID и RBAC?

🧪

Какой уровень DDoS Protection включен бесплатно для всех ресурсов Azure?

🧪

В чем основное отличие Azure Firewall от NSG?

Связанные темы

Управление и соответствие

Связанная тема

Контейнерные решения Azure

Связанная тема