Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure ExpressRoute maakt privéverbindingen met hoge prestaties mogelijk tussen uw on-premises infrastructuur en Microsoft-cloudservices, waardoor het openbare internet wordt overgeslagen. Hoewel deze toegewezen connectiviteit de beveiliging en betrouwbaarheid verbetert, is het essentieel om best practices te implementeren om uw implementatie te beschermen tegen mogelijke bedreigingen.
Deze handleiding bevat bruikbare aanbevelingen voor het beveiligen van uw Azure ExpressRoute-implementatie, met betrekking tot belangrijke gebieden zoals netwerkbeveiliging, identiteitsbeheer, gegevensbescherming, logboekregistratie en detectie van bedreigingen, assetbeheer en back-up en herstel. Door deze richtlijnen te volgen, kunt u uw beveiligingspostuur versterken, naleving garanderen en operationele continuïteit behouden.
Netwerkbeveiliging
Netwerkbeveiliging voor ExpressRoute omvat de juiste segmentatie, verkeersstroombeheer en bewaking om hybride connectiviteit te beveiligen. Omdat ExpressRoute integreert met virtuele netwerken, is het beveiligen van de netwerklaag essentieel om isolatie te behouden en onbevoegde toegang tot cloudresources te voorkomen.
MACsec-versleuteling configureren voor ExpressRoute Direct: MACsec-versleuteling (Media Access Control Security) inschakelen op ExpressRoute Direct-verbindingen om Laag 2-versleuteling toe te voegen tussen uw netwerkapparatuur en de edge-routers van Microsoft. Sla MACsec-sleutels veilig op in Azure Key Vault. Meer informatie in MACsec-versleuteling configureren voor ExpressRoute Direct.
ExpressRoute-gateways implementeren in toegewezen subnetten: ExpressRoute-gateways worden geïmplementeerd in virtuele netwerken en bieden standaard beveiligde connectiviteit. Het gatewaysubnet (GatewaySubnet) is geconfigureerd met de juiste beveiligingsmaatregelen. Zie ExpressRoute-gateway voor meer informatie.
Verkeer beheren met netwerkbeveiligingsgroepen: Netwerkbeveiligingsgroepen (NSG's) toepassen op subnetten met resources die zijn verbonden via ExpressRoute om verkeer per poort, protocol en bron-IP-adres te beperken. Maak NSG-regels om al het binnenkomende verkeer standaard te weigeren en alleen de benodigde communicatie toe te staan. Zie het overzicht van netwerkbeveiligingsgroepen voor meer informatie.
Azure Firewall of VIRTUELE netwerkapparaten (NVA's) gebruiken: Implementeer Azure Firewall of virtuele netwerkapparaten (NVA's) om beveiligingscontroles toe te voegen, zoals filteren op toepassingsniveau, bedreigingsinformatie en logboekregistratie. Deze apparaten inspecteren verkeer via ExpressRoute en passen geavanceerd beveiligingsbeleid toe. Zie het overzicht van Azure Firewall voor meer informatie.
Opmerking
U kunt NSG's niet rechtstreeks configureren op het GatewaySubnet.
Netwerksegmentatie implementeren: peering van virtuele netwerken en routetabellen gebruiken om de verkeersstroom te beheren tussen netwerksegmenten die zijn verbonden via ExpressRoute. Hierdoor worden gevoelige workloads geïsoleerd en wordt het effect van beveiligingsincidenten beperkt. Zie Peering van virtuele netwerken en routetabellen voor meer informatie.
Zone-redundante virtuele netwerkgateways configureren: Implementeer virtuele ExpressRoute-netwerkgateways in beschikbaarheidszones om fouttolerantie en hoge beschikbaarheid te garanderen. Zone-redundante gateways houden de connectiviteit operationeel, zelfs als één beschikbaarheidszone een storing heeft. Zie Zone-redundante virtuele netwerkgateways voor meer informatie.
Verschillende ExpressRoute-serviceproviders gebruiken: kies verschillende serviceproviders voor elk circuit om verschillende paden te garanderen en het risico op uitval van het netwerk te verminderen. Zie ExpressRoute-locaties en serviceproviders voor meer informatie.
ExpressRoute-verbindingen bewaken: schakel diagnostische logboekregistratie en bewaking in om de verbindingsstatus, prestaties en beveiligingsevenementen bij te houden. Zie Bewaking van Azure ExpressRoute voor meer informatie.
Identiteitsbeheer
ExpressRoute biedt geen ondersteuning voor traditionele verificatie op basis van identiteiten voor toegang tot gegevensvlakken, omdat deze op de netwerklaag werkt. Het juiste identiteitsbeheer is echter essentieel voor het beheren van de toegang tot ExpressRoute-resources en gerelateerde services, zoals Azure Key Vault voor MACsec-configuratie.
Gebruik Azure RBAC voor beheerbewerkingen: pas op rollen gebaseerd toegangsbeheer toe om te beperken wie ExpressRoute-circuits en gateways kan maken, wijzigen of verwijderen. Wijs de minimaal benodigde machtigingen toe aan gebruikers en serviceaccounts. Zie op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor meer informatie.
MaCsec-geheimen beveiligen met Azure Key Vault: sla MACsec-versleutelingssleutels veilig op in Azure Key Vault in plaats van ze in te sluiten in configuratiebestanden. ExpressRoute gebruikt beheerde identiteiten om te verifiëren met Key Vault voor het ophalen van deze geheimen. Zie MACsec-versleuteling configureren voor ExpressRoute Direct voor meer informatie.
Voorwaardelijke toegang implementeren voor beheer: Gebruik beleid voor voorwaardelijke toegang van Microsoft Entra om beheertoegang tot ExpressRoute-resources te beheren op basis van gebruikerslocatie, apparaatnaleving en risiconiveau. Dit zorgt ervoor dat alleen geautoriseerde gebruikers ExpressRoute-circuits en -gateways kunnen beheren. Zie Voorwaardelijke toegang voor meer informatie.
Gegevensbescherming
ExpressRoute biedt privéconnectiviteit, maar versleutelt geen gegevens die onderweg zijn. Voeg versleuteling en beveiligingsmaatregelen toe om gevoelige gegevens te beveiligen terwijl deze stromen tussen uw on-premises omgeving en Azure-services.
MD5-hashverificatie configureren: GEBRUIK MD5-hashverificatie bij het instellen van persoonlijke peering of Microsoft-peering om berichten tussen uw on-premises router en de MSEE-routers (Microsoft Enterprise Edge) te beveiligen. Dit zorgt voor gegevensintegriteit en voorkomt manipulatie tijdens de overdracht. Meer informatie over routeringsvereisten voor ExpressRoute.
IPsec VPN implementeren via ExpressRoute: als u versleuteling wilt toevoegen via persoonlijke ExpressRoute-peering, stelt u een VPN-verbinding in die gebruikmaakt van het ExpressRoute-circuit als transport. Hiermee voegt u end-to-end-versleuteling toe voor uw verkeer. Meer informatie over het gebruik van S2S VPN als back-up voor persoonlijke ExpressRoute-peering.
Gevoelige gegevens versleutelen op de toepassingslaag: Omdat ExpressRoute geen toepassingslaagversleuteling biedt, moet u ervoor zorgen dat toepassingen gevoelige gegevens versleutelen voordat ze worden verzonden met behulp van TLS/SSL of toepassingsspecifieke versleutelingsmethoden.
Loggen en detectie van bedreigingen
Het bewaken van ExpressRoute-verbindingen en gerelateerde netwerkactiviteit is essentieel voor het detecteren van mogelijke beveiligingsrisico's en het onderhouden van naleving. De juiste logboekregistratie helpt bij het identificeren van ongebruikelijke verkeerspatronen en verbindingsproblemen die kunnen duiden op beveiligingsincidenten.
ExpressRoute-resourcelogboeken inschakelen: stel diagnostische instellingen in om ExpressRoute-resourcelogboeken te verzenden naar Azure Monitor, Log Analytics of Azure Storage voor analyse en retentie. Deze logboeken bevatten metrische gegevens voor verbindingen en prestatiegegevens. Zie Bewaking van Azure ExpressRoute voor meer informatie.
Waarschuwingen instellen voor servicestatus- en verbindingsproblemen: Gebruik Azure Monitor om waarschuwingen te configureren voor storingen van ExpressRoute-circuits, prestatievermindering, configuratiewijzigingen en geplande en ongeplande onderhoudsgebeurtenissen. Deze waarschuwingen helpen u proactief connectiviteit en beveiligingspostuur te beheren. Zie ExpressRoute-circuits bewaken voor meer informatie.
Netwerkverkeerspatronen bewaken: Gebruik Azure Network Watcher en Traffic Analytics om verkeer te analyseren via uw ExpressRoute-verbinding. Dit helpt bij het vinden van ongebruikelijke patronen die kunnen duiden op beveiligingsrisico's of onjuiste configuraties. Zie Azure Network Watcher en Monitor netwerkverkeer met Traffic Analytics voor meer informatie.
Integreren met Microsoft Sentinel: ExpressRoute-logboeken verzenden naar Microsoft Sentinel om geavanceerde bedreigingen te detecteren en deze te correleren met andere beveiligingsevenementen in uw hybride omgeving.
Vermogensbeheer
Het beheren van ExpressRoute-resources omvat het effectief implementeren van de juiste governance, het bewaken van configuraties en het garanderen van naleving van het organisatiebeleid. Goed assetbeheer helpt beveiligingspostuur en operationele zichtbaarheid te behouden.
Resourcetags implementeren: Azure-resourcetags gebruiken om ExpressRoute-circuits, gateways en gerelateerde resources te organiseren en bij te houden. Tags helpen bij kostenbeheer, beveiligingsclassificatie en operationele verantwoordelijkheid. Zie Azure-resourcetags voor meer informatie.
Circuitgebruik bijhouden: bewaak bandbreedtegebruik en verbindingspatronen om ongebruikelijke activiteiten te identificeren die kunnen duiden op beveiligingsrisico's of operationele problemen.
Documentatie onderhouden: houd gedetailleerde records bij van ExpressRoute-configuraties, waaronder circuitinstellingen, routeringsbeleid en beveiligingsconfiguraties, ter ondersteuning van incidentrespons en nalevingscontrole.
Back-up en herstel
Zorg voor bedrijfscontinuïteit voor uw ExpressRoute-connectiviteit door back-upoplossingen en herstelprocedures te implementeren. Hoewel er geen back-up van ExpressRoute-circuits kan worden gemaakt, maakt u redundante connectiviteitsopties en documentconfiguratie-instellingen.
Redundante ExpressRoute-circuits implementeren: stel meerdere ExpressRoute-circuits in afzonderlijke peeringlocaties in om hoge beschikbaarheid en automatische failover te bereiken. Deze aanpak zorgt ervoor dat uw connectiviteit operationeel blijft als één circuit een probleem ondervindt. Zie Een flexibele ExpressRoute-verbinding ontwerpen voor meer informatie.
VPN-back-upconnectiviteit implementeren: site-naar-site-VPN-verbindingen instellen als back-up voor persoonlijke ExpressRoute-peering. Deze installatie biedt alternatieve connectiviteit als het primaire ExpressRoute-circuit mislukt. Zie S2S VPN gebruiken als back-up voor persoonlijke ExpressRoute-peering voor meer informatie.
Test failoverprocedures: Test regelmatig back-up connectiviteitsopties en failoverprocedures om ervoor te zorgen dat ze correct werken, wanneer dat nodig is. Gebruik hulpprogramma's zoals Azure Connectivity Toolkit om prestaties en connectiviteit te valideren. Zie Azure Connectivity Toolkit voor meer informatie.
Documentconfiguratie-instellingen: Gedetailleerde documentatie over ExpressRoute-configuraties onderhouden, waaronder circuitinstellingen, routeringsconfiguraties en beveiligingsbeleid. Deze documentatie maakt sneller herstel mogelijk als er configuratieproblemen of circuitvervanging zijn. Zie de configuratie van het ExpressRoute-circuit voor meer informatie.
Maak gebruik van tolerantieinzichten en validatie voor herstel: Gebruik ExpressRoute Resiliency Insights om de tolerantie van uw connectiviteit te beoordelen en uw beoogde hersteltijd te valideren. Met tolerantie-inzichten kunt u configuratieproblemen identificeren, foutscenario's testen en valideren dat uw back-up- en failoveroplossingen voldoen aan de vereisten voor bedrijfsherstel. Voer regelmatig tolerantievalidatie uit om ervoor te zorgen dat uw omgeving is voorbereid op storingen en dat herstelprocedures effectief zijn. Zie ExpressRoute Resiliency Insights en ExpressRoute Resiliency Validation voor meer informatie.