Azure Network Security: Hướng dẫn Toàn diện
1. Azure Firewall
Azure Firewall là gì?
NSG (Network Security Group) chỉ lọc được IP và Port (Lớp 3-4). Azure Firewall là tường lửa thông minh (Lớp 7). Nó hiểu được tên miền (FQDN).
- NSG: "Cho phép IP 1.2.3.4".
- Azure Firewall: "Cho phép truy cập
www.google.com, chặnwww.facebook.com".
Đặc điểm
- Managed: Microsoft quản lý hạ tầng, tự động scale.
- Stateful: Hiểu trạng thái kết nối.
- Threat Intelligence: Tự động chặn các IP xấu (Botnet, Malware) theo dữ liệu của Microsoft.
2. DDoS Protection
Tấn công từ chối dịch vụ (DDoS) là làm ngập lụt server của bạn bằng traffic rác.
- Basic (Miễn phí): Tự động bật cho mọi khách hàng Azure. Bảo vệ hạ tầng chung của Azure. Bạn được hưởng ké.
- Standard (Trả phí): Bảo vệ riêng cho IP của bạn. Có đội ngũ chuyên gia hỗ trợ (DRT). Có bảo hiểm chi phí (nếu DDoS làm server scale up tốn tiền, Microsoft hoàn tiền). Rất đắt (~3000$/tháng).
3. Private Link (Private Endpoint)
Biến các dịch vụ PaaS (SQL, Storage, Web App) thành một thiết bị trong mạng nội bộ (VNet) của bạn.
- Trước đây: SQL Database có Public IP. Bạn dùng Firewall chặn IP lạ, nhưng nó vẫn nằm trên Internet.
- Private Link: SQL Database sẽ có Private IP (VD:
10.0.1.5) trong VNet của bạn.- Truy cập an toàn tuyệt đối.
- Không cần mở Public Internet.
- Kết nối từ On-premise qua VPN được.
4. So sánh các lớp bảo mật mạng
| Dịch vụ | Bảo vệ cái gì? | Hoạt động ở lớp nào? |
|---|---|---|
| NSG | Subnet / VM | L3/L4 (IP, Port) |
| Azure Firewall | Toàn bộ VNet (Outbound/Inbound) | L3-L7 (FQDN, Protocol) |
| WAF (App Gateway) | Web App | L7 (HTTP Attack, SQLi, XSS) |
| DDoS Protection | Public IP | L3/L4 (Volumetric Attack) |