Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure ExpressRoute ermöglicht private, leistungsstarke Verbindungen zwischen Ihrer lokalen Infrastruktur und Microsoft-Clouddiensten, um das öffentliche Internet zu umgehen. Obwohl diese dedizierte Konnektivität sicherheit und Zuverlässigkeit verbessert, ist es wichtig, bewährte Methoden zu implementieren, um Ihre Bereitstellung vor potenziellen Bedrohungen zu schützen.
Dieses Handbuch enthält Handlungsempfehlungen für die Sicherung Ihrer Azure ExpressRoute-Bereitstellung, die wichtige Bereiche wie Netzwerksicherheit, Identitätsverwaltung, Datenschutz, Protokollierung und Bedrohungserkennung, Bestandsverwaltung und Sicherung und Wiederherstellung abdeckt. Indem Sie diese Richtlinien befolgen, können Sie Ihren Sicherheitsstatus stärken, die Compliance sicherstellen und die Betriebskontinuität beibehalten.
Netzwerksicherheit
Die Netzwerksicherheit für ExpressRoute umfasst eine ordnungsgemäße Segmentierung, Die Steuerung des Datenverkehrsflusses und die Überwachung zum Schutz der Hybridkonnektivität. Da ExpressRoute in virtuelle Netzwerke integriert ist, ist die Sicherung der Netzwerkschicht wichtig, um die Isolation aufrechtzuerhalten und nicht autorisierten Zugriff auf Cloudressourcen zu verhindern.
Konfigurieren Sie die MACsec-Verschlüsselung für ExpressRoute Direct: Aktivieren Sie die MACsec-Verschlüsselung (Medienzugriffssteuerungssicherheit) für ExpressRoute Direct-Verbindungen, um Layer 2-Verschlüsselung zwischen Ihrem Netzwerkgerät und den Edgeroutern von Microsoft hinzuzufügen. Speichern Sie MACsec-Schlüssel sicher im Azure Key Vault. Weitere Informationen finden Sie unter Konfigurieren der MACsec-Verschlüsselung für ExpressRoute Direct.
Bereitstellen von ExpressRoute-Gateways in dedizierten Subnetzen: ExpressRoute-Gateways werden in virtuellen Netzwerken bereitgestellt und stellen standardmäßig sichere Konnektivität bereit. Das Gatewaysubnetz (GatewaySubnet) ist mit den entsprechenden Sicherheitskontrollen konfiguriert. Weitere Informationen finden Sie unter ExpressRoute-Gateway.
Steuern des Datenverkehrs mit Netzwerksicherheitsgruppen: Wenden Sie Netzwerksicherheitsgruppen (Network Security Groups, NSGs) auf Subnetze an, die über ExpressRoute verbunden sind, um den Datenverkehr nach Port, Protokoll und Quell-IP-Adresse einzuschränken. Erstellen Sie NSG-Regeln, um den gesamten eingehenden Datenverkehr standardmäßig zu verweigern und nur die erforderliche Kommunikation zuzulassen. Weitere Informationen finden Sie in der Übersicht über Netzwerksicherheitsgruppen.
Verwenden Sie Azure Firewall oder Network Virtual Appliances (NVAs): Stellen Sie azure Firewall oder virtuelle Netzwerkgeräte (NVA) von Drittanbietern bereit, um Sicherheitskontrollen wie Filtern auf Anwendungsebene, Bedrohungserkennung und Protokollierung hinzuzufügen. Diese Appliances prüfen den Datenverkehr über ExpressRoute und wenden erweiterte Sicherheitsrichtlinien an. Weitere Informationen finden Sie in der Übersicht über die Azure Firewall.
Hinweis
Sie können NSGs nicht direkt im GatewaySubnet konfigurieren.
Implementieren der Netzwerksegmentierung: Verwenden Sie virtuelle Netzwerk-Peering- und Routentabellen, um den Datenverkehrsfluss zwischen über ExpressRoute verbundenen Netzwerksegmenten zu steuern. Dadurch werden vertrauliche Workloads isoliert und die Auswirkungen von Sicherheitsvorfällen begrenzt. Weitere Informationen finden Sie unter Virtual Network Peering and Route tables.
Konfigurieren Sie zonenredundante virtuelle Netzwerkgateways: Stellen Sie ExpressRoute-Gateways für virtuelle Netzwerke über Verfügbarkeitszonen bereit, um Fehlertoleranz und hohe Verfügbarkeit sicherzustellen. Zonenredundante Gateways erhalten die Konnektivität aufrecht, selbst wenn eine Verfügbarkeitszone einen Ausfall hat. Weitere Informationen finden Sie unter Zonenredundante virtuelle Netzwerkgateways.
Verwenden Sie unterschiedliche ExpressRoute-Dienstanbieter: Wählen Sie für jeden Schaltkreis unterschiedliche Dienstanbieter aus, um verschiedene Pfade zu gewährleisten und das Risiko von Netzwerkausfallzeiten durch den Ausfall eines einzelnen Anbieters zu verringern. Weitere Informationen finden Sie unter ExpressRoute-Standorte und -Dienstanbieter.
Überwachen von ExpressRoute-Verbindungen: Aktivieren der Diagnoseprotokollierung und -überwachung zum Nachverfolgen von Verbindungsintegrität, Leistung und Sicherheitsereignissen. Weitere Informationen finden Sie unter Monitoring Azure ExpressRoute.
Identitätsverwaltung
ExpressRoute unterstützt keine herkömmliche identitätsbasierte Authentifizierung für den Datenebenenzugriff, da sie auf der Netzwerkebene arbeitet. Die ordnungsgemäße Identitätsverwaltung ist jedoch für die Steuerung des Zugriffs auf ExpressRoute-Ressourcen und zugehörige Dienste wie Azure Key Vault für DIE MACsec-Konfiguration unerlässlich.
Verwenden Sie Azure RBAC für Verwaltungsvorgänge: Wenden Sie die rollenbasierte Zugriffssteuerung an, um einzuschränken, wer ExpressRoute-Schaltkreise und Gateways erstellen, ändern oder löschen kann. Weisen Sie Benutzern und Dienstkonten die erforderlichen Mindestberechtigungen zu. Weitere Informationen finden Sie unter Azure rollenbasierte Zugriffssteuerung (RBAC).
Sichere MACsec-Geheimnisse mit Azure Key Vault: Speichern Sie MACsec-Verschlüsselungsschlüssel sicher in Azure Key Vault, anstatt sie in Konfigurationsdateien einzubetten. ExpressRoute verwendet verwaltete Identitäten, um sich bei Key Vault zu authentifizieren, um diese geheimen Schlüssel abzurufen. Weitere Informationen finden Sie unter Konfigurieren der MACsec-Verschlüsselung für ExpressRoute Direct.
Implementieren des bedingten Zugriffs für die Verwaltung: Verwenden Sie Microsoft Entra-Richtlinien für bedingten Zugriff, um den administrativen Zugriff auf ExpressRoute-Ressourcen basierend auf Benutzerstandort, Gerätecompliance und Risikostufe zu steuern. Dadurch wird sichergestellt, dass nur autorisierte Benutzer ExpressRoute-Schaltkreise und Gateways verwalten können. Weitere Informationen finden Sie unter Bedingter Zugriff.
Datenschutz
ExpressRoute stellt private Konnektivität bereit, verschlüsselt jedoch standardmäßig keine Daten während der Übertragung. Fügen Sie Verschlüsselungs- und Sicherheitsmaßnahmen hinzu, um vertrauliche Daten zu schützen, während sie zwischen Ihrer lokalen Umgebung und Azure-Diensten fließt.
Konfigurieren der MD5-Hashauthentifizierung: Verwenden Sie die MD5-Hashauthentifizierung, wenn Sie private Peering- oder Microsoft-Peering einrichten, um Nachrichten zwischen Ihrem lokalen Router und den Microsoft Enterprise Edge (MSEE)-Routern zu sichern. Dadurch wird die Datenintegrität sichergestellt und die Manipulation während der Übertragung verhindert. Weitere Informationen finden Sie unter ExpressRoute-Routinganforderungen.
Implementieren sie IPsec VPN über ExpressRoute: Um verschlüsselung über expressRoute private Peering hinzuzufügen, richten Sie eine VPN-Verbindung ein, die den ExpressRoute-Schaltkreis als Transport verwendet. Dadurch wird die End-to-End-Verschlüsselung für Ihren Datenverkehr hinzugefügt. Erfahren Sie mehr über die Verwendung von S2S VPN als Sicherung für private ExpressRoute-Peering.
Verschlüsseln Vertraulicher Daten auf der Anwendungsebene: Da ExpressRoute keine Verschlüsselung auf Anwendungsebene bereitstellt, stellen Sie sicher, dass Anwendungen vertrauliche Daten vor der Übertragung mit TLS/SSL oder anwendungsspezifischen Verschlüsselungsmethoden verschlüsseln.
Protokollierung und Bedrohungserkennung
Die Überwachung von ExpressRoute-Verbindungen und damit verbundenen Netzwerkaktivitäten ist unerlässlich, um potenzielle Sicherheitsbedrohungen zu erkennen und die Compliance aufrechtzuerhalten. Die ordnungsgemäße Protokollierung hilft bei der Identifizierung ungewöhnlicher Datenverkehrsmuster und Verbindungsprobleme, die auf Sicherheitsvorfälle hinweisen können.
Aktivieren Von ExpressRoute-Ressourcenprotokollen: Richten Sie Diagnoseeinstellungen ein, um ExpressRoute-Ressourcenprotokolle an Azure Monitor, Log Analytics oder Azure Storage zur Analyse und Aufbewahrung zu senden. Diese Protokolle zeigen Verbindungsereignisse und Leistungsmetriken an. Weitere Informationen finden Sie unter Monitoring Azure ExpressRoute.
Einrichten von Warnungen für Dienststatus- und Verbindungsprobleme: Verwenden Sie Azure Monitor, um Warnungen für ExpressRoute-Schaltausfälle, Leistungsbeeinträchtigungen, Konfigurationsänderungen sowie geplante und ungeplante Wartungsereignisse zu konfigurieren. Diese Warnungen helfen Ihnen bei der proaktiven Verwaltung von Konnektivität und Sicherheitsstatus. Weitere Informationen finden Sie unter Monitor ExpressRoute-Schaltkreise.
Überwachen von Netzwerkdatenverkehrsmustern: Verwenden Sie Azure Network Watcher und Traffic Analytics, um den Datenverkehr über Ihre ExpressRoute-Verbindung zu analysieren. Dies hilft bei der Suche nach ungewöhnlichen Mustern, die auf Sicherheitsbedrohungen oder Fehlkonfigurationen hinweisen können. Weitere Informationen finden Sie unter Azure Network Watcher und Überwachen des Netzwerkdatenverkehrs mit Traffic Analytics.
Integration in Microsoft Sentinel: Senden Sie ExpressRoute-Protokolle an Microsoft Sentinel, um erweiterte Bedrohungen zu erkennen und mit anderen Sicherheitsereignissen in Ihrer Hybridumgebung zu korrelieren.
Vermögensverwaltung
Die Effektive Verwaltung von ExpressRoute-Ressourcen umfasst die Implementierung ordnungsgemäßer Governance- und Überwachungskonfigurationen und die Sicherstellung der Einhaltung von Organisationsrichtlinien. Die richtige Bestandsverwaltung trägt dazu bei, den Sicherheitsstatus und die operative Sichtbarkeit zu gewährleisten.
Implementieren von Ressourcentags: Verwenden Sie Azure-Ressourcentags zum Organisieren und Nachverfolgen von ExpressRoute-Schaltkreisen, Gateways und verwandten Ressourcen. Tags helfen bei Kostenverwaltung, Sicherheitsklassifizierung und betrieblicher Verantwortlichkeit. Weitere Informationen finden Sie unter Azure-Ressourcentags.
Verfolgen Sie die Auslastung des Schaltkreises: Überwachen Sie die Bandbreitennutzung und Verbindungsmuster, um ungewöhnliche Aktivitäten zu identifizieren, die Sicherheitsbedrohungen oder betriebliche Probleme angeben können.
Dokumentation verwalten: Bewahren Sie detaillierte Aufzeichnungen von ExpressRoute-Konfigurationen auf, einschließlich Schaltkreiseinstellungen, Routingrichtlinien und Sicherheitskonfigurationen, um die Reaktion auf Vorfälle und die Complianceüberwachung zu unterstützen.
Sicherung und Wiederherstellung
Stellen Sie die Geschäftskontinuität für Ihre ExpressRoute-Konnektivität sicher, indem Sie Sicherungslösungen und Wiederherstellungsverfahren implementieren. Obwohl ExpressRoute-Schaltkreise nicht gesichert werden können, erstellen Sie redundante Konnektivitätsoptionen und Dokumentkonfigurationseinstellungen.
Bereitstellen redundanter ExpressRoute-Schaltkreise: Richten Sie mehrere ExpressRoute-Schaltkreise an separaten Peeringstandorten ein, um hohe Verfügbarkeit und automatisches Failover zu erzielen. Dieser Ansatz stellt sicher, dass Ihre Verbindung betriebsbereit bleibt, wenn eine Leitung ein Problem aufweist. Weitere Informationen finden Sie unter Entwerfen einer stabilen ExpressRoute-Verbindung.
Implementierung der VPN-Sicherungskonnektivität: Einrichten von Standort-zu-Standort-VPN-Verbindungen als Sicherung für privates ExpressRoute-Peering. Dieses Setup bietet alternative Konnektivität, wenn der primäre ExpressRoute-Schaltkreis fehlschlägt. Weitere Informationen finden Sie unter Verwenden von S2S VPN als Sicherung für private ExpressRoute-Peering.
Testen Sie Failoverprozeduren: Testen Sie regelmäßig Sicherungskonnektivitätsoptionen und Failoverprozeduren, um sicherzustellen, dass sie bei Bedarf ordnungsgemäß funktionieren. Verwenden Sie Tools wie das Azure Connectivity Toolkit zum Überprüfen der Leistung und Konnektivität. Weitere Informationen finden Sie unter Azure Connectivity Toolkit.
Dokumentkonfigurationseinstellungen: Verwalten Sie detaillierte Dokumentation zu ExpressRoute-Konfigurationen, einschließlich Schaltkreiseinstellungen, Routingkonfigurationen und Sicherheitsrichtlinien. Diese Dokumentation ermöglicht eine schnellere Wiederherstellung, wenn Konfigurationsprobleme oder Ersatzschaltungen auftreten. Weitere Informationen finden Sie unter ExpressRoute-Schaltkreiskonfiguration.
Nutzen Sie Resiliency Insights und Validierung zur Wiederherstellung: Verwenden Sie ExpressRoute Resiliency Insights, um die Ausfallsicherheit Ihrer Konnektivität zu bewerten und Ihre Zielvorgaben für die Wiederherstellungszeit zu validieren. Mithilfe von Resiliency Insights können Sie Konfigurationslücken identifizieren, Fehlerszenarien testen und überprüfen, ob Ihre Sicherungs- und Failoverlösungen geschäftswiederherstellungsanforderungen erfüllen. Führen Sie regelmäßig eine Resilienzüberprüfung durch, um sicherzustellen, dass Ihre Umgebung auf Ausfälle vorbereitet ist und dass die Wiederherstellungsverfahren wirksam sind. Weitere Informationen finden Sie unter ExpressRoute Resiliency Insights und ExpressRoute Resiliency Validation.