Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Load Balancer bietet Layer 4-Lastenausgleichsfunktionen, um eingehenden Datenverkehr zwischen gesunden Back-End-Instanzen zu verteilen. Bei der Bereitstellung dieses Diensts ist es wichtig, die bewährten Sicherheitsmethoden zum Schutz von Daten, Konfigurationen und Infrastruktur zu befolgen.
Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer Azure Load Balancer-Bereitstellung.
Netzwerksicherheit
Die Netzwerksicherheit ist für Azure Load Balancer von grundlegender Grundlage, da sie den Datenverkehrsfluss und den Zugriff auf Back-End-Ressourcen steuert. Standard Load-Balancer verfolgt einen Secure-by-default-Ansatz mit eingehenden, abschließenden Verbindungen.
Verwenden Sie Standard Load Balancer SKU: Stellen Sie Standard Load Balancer anstelle von Basic SKU bereit, um die Sicherheit mit abschließenden eingehenden Verbindungen und einem Zero Trust-Netzwerksicherheitsmodell zu erhöhen. Siehe Übersicht über Azure Load Balancer.
Implementieren von Netzwerksicherheitsgruppen in Subnetzen: Wenden Sie Netzwerksicherheitsgruppen auf Back-End-Subnetze und Netzwerkschnittstellen an, um explizit zulässigen Datenverkehr zuzulassen und den Zugriff auf vertrauenswürdige Ports und IP-Adressbereiche einzuschränken. Siehe Azure Security Baseline für Azure Load Balancer.
Azure Load Balancer-Integritätstestdatenverkehr zulassen: Stellen Sie sicher, dass Netzwerksicherheitsgruppen und lokale Firewallrichtlinien Datenverkehr von der IP-Adresse 168.63.129.16 zulassen, um Integritätsprüfungen zu ermöglichen und Backend-Instanzen zu erreichen. Siehe Azure Load Balancer Integritätstest.
Verwenden Sie den internen Lastenausgleich für private Workloads: Stellen Sie den internen Lastenausgleich mit privaten Front-End-IP-Adressen bereit, um Back-End-Ressourcen von direkter Internetexposition zu isolieren und Datenverkehr nur in virtuellen Netzwerken oder peered-Netzwerken zuzulassen. Siehe interne Front-End-IP-Konfiguration des Lastenausgleichs.
Schützen Sie öffentliche Lastenausgleichsgeräte mit Azure DDoS Protection: Aktivieren Sie Azure DDoS Protection Standard für öffentliche Lastenausgleichsgeräte, um erweiterten Schutz mit Erkennungsfunktionen bereitzustellen, die Endpunkte auf Bedrohungen und Anzeichen von Missbrauch überwachen. Weitere Informationen finden Sie unter Schützen Sie Ihren öffentlichen Lastenausgleich mit Azure DDoS Protection.
Identitäts- und Zugriffsverwaltung
Die Zugriffssteuerung für Azure Load Balancer konzentriert sich auf die Verwaltung, wer Ressourcen und Einstellungen des Lastenausgleichs über das rollenbasierte Zugriffssteuerungssystem von Azure konfigurieren und ändern kann.
Implementieren sie die rollenbasierte Zugriffssteuerung von Azure: Weisen Sie Benutzern und Gruppen geeignete Azure-Rollen für die Verwaltung des Lastenausgleichs zu, indem Sie integrierte Rollen wie "Netzwerkmitwirkender" oder benutzerdefinierte Rollen mit bestimmten Berechtigungen erstellen. Siehe Azure-Rollen, Microsoft Entra-Rollen und klassische Abonnementadministratorrollen.
Verwenden Sie den geringsten Berechtigungszugriff: Gewähren Sie Benutzern die mindestberechtigungen, die zum Ausführen ihrer Aufgaben erforderlich sind, und vermeiden Sie umfassende Administrative Rollen, wenn bestimmte Lastenausgleichsvorgänge ausreichend sind. Sehen Sie sich an, was die rollenbasierte Zugriffssteuerung (Azure RBAC) ist.
Datenschutz
Azure Load Balancer arbeitet bei Layer 4 und speichert keine Kundendaten, aber die Implementierung geeigneter Datenschutzmaßnahmen für Datenverkehr und Konfigurationen ist für eine umfassende Sicherheit unerlässlich.
Implementieren Sie die End-to-End-Verschlüsselung: Konfigurieren Sie TLS/SSL-Beendigung auf Back-End-Instanzen anstelle des Lastenausgleichs, da load Balancer auf Layer 4 ausgeführt wird und keine SSL-Beendigungsfunktionen bereitstellt.
Verwenden Sie das Anwendungsgateway für HTTP/HTTPS-Workloads: Bereitstellen des Azure-Anwendungsgateways anstelle des Lastenausgleichs für HTTP/HTTPS-Anwendungen, die SSL/TLS-Beendigungs- und Webanwendungsfirewallfunktionen erfordern. Siehe Bewährte Architekturmethoden für Azure Load Balancer.
Protokollierung und Überwachung
Umfassende Überwachungs- und Protokollierungsfunktionen helfen beim Erkennen von Sicherheitsbedrohungen, Leistungsproblemen und bieten Einblicke in Lastenausgleichsvorgänge und Datenverkehrsmuster.
Diagnoseeinstellungen aktivieren: Konfigurieren Sie Diagnoseeinstellungen, um Metriken und Protokolle des Lastenausgleichs an Azure Monitor-Protokolle, Speicherkonto oder Event Hub zur Analyse und Warnung zu senden. Siehe Überwachen von Azure Load Balancer.
Verwenden Sie Azure Monitor Insights: Bereitstellen von Load Balancer Insights für den Zugriff auf vordefinierte Dashboards, funktionale Abhängigkeitsansichten und Metrikvisualisierung für proaktive Überwachung. Siehe Verwenden von Insights zum Überwachen und Konfigurieren Ihres Azure Load Balancer.
Konfigurieren der Integritätssondenüberwachung: Implementieren Sie umfassende Integritätstests, um die Integrität von Back-End-Instanzen zu überwachen und geeignete Intervalle und Schwellenwerte für die genaue Integritätserkennung zu konfigurieren. Siehe Verwaltung von Integritätstests für Azure Load Balancer.
Überwachen Sie Verbindungsmetriken: Verfolgen Sie wichtige Metriken, einschließlich Datenpfadverfügbarkeit, Integritätsteststatus und SYN-Anzahl, um potenzielle Sicherheitsbedrohungen und Leistungsprobleme zu identifizieren. Siehe Standard-Load-Balancer-Diagnostik mit Metriken, Warnungen und Ressourcengesundheit.
Aktivieren Sie VNet-Flussprotokolle: Konfigurieren Sie virtuelle Netzwerkflussprotokolle, um Datenverkehrsmuster zu analysieren, die über den Lastenausgleich fließen, und identifizieren Sie potenzielle Sicherheitsbedrohungen oder anomales Verhalten. Siehe Überwachen von Azure Load Balancer.
Einrichten von Sicherheitswarnungen: Erstellen Sie Azure Monitor-Warnungen für sicherheitsrelevante Ereignisse wie fehlerhafte Integritätssonden, ungewöhnliche Datenverkehrsmuster oder Konfigurationsänderungen. Siehe Überwachen von Azure Load Balancer.
Compliance und Governance
Governance-Kontrollen sorgen für eine konsistente Sicherheitskonfiguration und die Einhaltung von Unternehmensrichtlinien und rechtlichen Anforderungen bei der Bereitstellung von Load-Balancern.
Implementieren von Azure-Richtliniensteuerelementen: Bereitstellen von Azure-Richtliniendefinitionen zum Überwachen und Erzwingen von Sicherheitskonfigurationen des Lastenausgleichs, einschließlich SKU-Anforderungen und Netzwerksicherheitsgruppenzuordnungen. Siehe Azure Security Baseline für Azure Load Balancer.
Verwenden Sie Ressourcentagging: Wenden Sie konsistentes Tagging auf Lastenausgleichsressourcen zur Steuerung, Kostenverwaltung und Überwachung der Sicherheits-Compliance an. Siehe Bewährte Architekturmethoden für Azure Load Balancer.
Dienstspezifische Sicherheit
Azure Load Balancer weist eindeutige Sicherheitsaspekte im Zusammenhang mit Datenverkehrsverteilungsalgorithmen, Sitzungspersistenz und Integration in andere Azure-Netzwerkdienste auf.
Konfigurieren Sie den geeigneten Verteilungsmodus: Wählen Sie den optimalen Verteilungsmodus (5-Tupel, 2-Tupel oder 3-Tupel-Hash) basierend auf Sicherheitsanforderungen aus, da die Sitzungspersistenz eine ungleiche Auslastungsverteilung erzeugen kann. Siehe Azure Load Balancer-Verteilungsmodi.
Aktivieren Sie die TCP-Zurücksetzung für eine bessere Sicherheit: Konfigurieren Sie die TCP-Zurücksetzung auf Lastenausgleichsregeln, um bidirektionale TCP-Zurücksetzungspakete im Leerlauftimeout zu senden, wodurch klarere Verbindungsstatusinformationen an Anwendungen bereitgestellt werden. Siehe Azure Load Balancer Best Practices.
Sichere unverankerte IP-Konfigurationen: Stellen Sie bei Verwendung unverankerten IP-Adressen für Hochverfügbarkeitsszenarien eine ordnungsgemäße Konfiguration von Loopbackschnittstellen in Gastbetriebssystemen sicher und implementieren Sie entsprechende Sicherheitskontrollen. Siehe Azure Load Balancer Best Practices.
Implementieren Sie Gateway Load Balancer Sicherheit: Für virtuelle Netzwerkgeräte trennen Sie vertrauenswürdigen und nicht vertrauenswürdigen Datenverkehr in verschiedenen Tunnel-Interfaces und erhöhen Sie die MTU-Limits, um Paketverluste durch VXLAN-Header zu verhindern. Siehe Azure Load Balancer bewährte Methoden.
Integration mit Azure Firewall: Weiterleitung von Datenverkehr über die Azure Firewall, wenn interne Load Balancer verwendet werden, um Funktionen zur Sicherheitsüberprüfung und Bedrohungsschutz zu nutzen. Siehe Bewährte Architekturmethoden für Azure Load Balancer.
Verwenden Sie NAT-Gateway für ausgehende Verbindungen: Bereitstellen des Azure NAT-Gateways für vorhersagbare ausgehende IP-Adressen und verbesserte Sicherheit im Vergleich zu standardmäßigen IP-Mechanismen für ausgehenden Zugriff. Siehe Tutorial: Schützen Sie Ihren öffentlichen Lastenausgleich mit Azure DDoS Protection.