Рекомендации Azure по обеспечению безопасности сети

В этой статье описывается коллекция рекомендаций Azure для повышения безопасности сети. Эти рекомендации основываются на нашем опыте работы с сетью Azure и отзывах клиентов.

Для каждой лучшей практики в этой статье объясняется:

• какова наилучшая практика
• почему необходимо применять эту рекомендацию;
• Каков может быть результат, если вы не примените лучшие практики
• Возможные варианты оптимальной практики
• Как вы можете научиться применять лучшие практики

Эти рекомендации основаны на консенсусном мнении и возможностях платформы Azure и наборах функций, так как они существуют в то время, когда эта статья была написана. Мнения и технологии меняются со временем, и эта статья будет регулярно обновляться, чтобы отразить эти изменения.

Использование надежных сетевых элементов управления

Виртуальные машины Azure и устройства можно подключить к другим сетевым устройствам, разместив их в виртуальных сетях Azure. То есть вы можете подключить виртуальные сетевые интерфейсные карты к виртуальной сети для обмена данными между устройствами по TCP/IP. Виртуальные машины, подключенные к виртуальной сети Azure, могут подключаться к устройствам в одной виртуальной сети, разным виртуальным сетям, Интернету или собственным локальным сетям.

При планировании сети и безопасности сети рекомендуется централизованно выполнять следующие действия.

• Управление основными сетевыми функциями, такими как ExpressRoute, подготовка виртуальной сети и подсети и IP-адресация.
• Управление элементами безопасности сети, такими как функции виртуального сетевого устройства, такие как ExpressRoute, подготовка виртуальной сети и подсети, а также IP-адресация.

Если вы используете общий набор средств управления для мониторинга сети и безопасности сети, вы получите четкое представление о обоих. Простая унифицированная стратегия безопасности снижает ошибки, так как она повышает понимание человека и надежность автоматизации.

Логически сегментированные подсети

Виртуальные сети Azure похожи на локальные сети. Идея виртуальной сети Azure заключается в создании сети на основе одного частного IP-адреса, на котором можно разместить все виртуальные машины Azure. Частные IP-адреса доступны в диапазонах класса A (10.0.0.0/8), класса B (172.16.0.0/12) и класса C (192.168.0.0/16).

Ниже приведены рекомендации по логическому сегментированию подсетей:

Рекомендация: Не назначайте разрешающие правила с широкими диапазонами (например, разрешить 0.0.0.0 до 255.255.255.255).
Детали: Убедитесь, что процедуры устранения неполадок не рекомендуют или запрещают настройку этих типов правил. Эти разрешающие правила создают ложное чувство безопасности и часто обнаруживаются и используются красными командами.

Рекомендуется сегментирование большего адресного пространства в подсетях.
Сведения. Используйте принципы подсети на основе CIDR для создания подсетей.

Рекомендация. Создание элементов управления доступом к сети между подсетями. Маршрутизация между подсетями происходит автоматически, и вам не нужно вручную настраивать таблицы маршрутизации. По умолчанию между подсетями, созданными в виртуальной сети Azure, нет элементов управления доступом к сети.
Сведения. Используйте группу безопасности сети для защиты от незапрошенного трафика в подсети Azure. Группы безопасности сети (NSG) — это простые устройства проверки пакетов с отслеживанием состояния. Группы безопасности сети используют 5-кортежный подход (исходный IP-адрес, исходный порт, конечный IP-адрес, порт назначения и протокол) для создания правил разрешения и запрета сетевого трафика. Вы разрешаете или отклоняете трафик из одного IP-адреса, из нескольких IP-адресов или из всей подсети и из нее.

При использовании групп безопасности сети для управления доступом к сети между подсетями можно поместить ресурсы, принадлежащие одной зоне безопасности или роли в собственных подсетях.

Рекомендуется избегать небольших виртуальных сетей и подсетей, чтобы обеспечить простоту и гибкость. Подробные сведения. Большинство организаций добавляют больше ресурсов, чем первоначально планировалось, и перераспределение адресов является трудоемким. Использование небольших подсетей дает ограниченный прирост к безопасности, а сопоставление группы безопасности сети с каждой подсетью создает дополнительную нагрузку. Определите подсети широко, чтобы обеспечить гибкость роста.

Рекомендация. Упрощение управления правилами группы безопасности сети путем определения групп безопасности приложений.
Подробные сведения. Определите группу безопасности приложений для списков IP-адресов, которые вы считаете, может измениться в будущем или использовать во многих группах безопасности сети. Обязательно назовите группы безопасности приложений четко, чтобы другие могли понять свое содержимое и назначение.

Внедрение подхода "Нулевое доверие"

Сети на основе периметра работают с предположением, что все системы в сети могут быть доверенными. Но сегодняшние сотрудники получают доступ к ресурсам своей организации из любого места на различных устройствах и приложениях, что делает элементы управления безопасностью периметра неуместными. Политики управления доступом, которые сосредоточены только на том, кто может получить доступ к ресурсу, недостаточно. Чтобы обеспечить баланс между безопасностью и производительностью, администраторы безопасности также должны учитывать способ доступа к ресурсу.

Сети должны развиваться от традиционной защиты, так как они могут быть уязвимы для взломов: злоумышленник может взломать одну конечную точку в пределах доверенной границы, а затем быстро расширить контроль по всей сети. Сети нулевого доверия устраняют концепцию доверия на основе сетевого расположения в периметре. Вместо этого архитектуры Нулевого доверия используют заявления о доверии к устройствам и пользователям, чтобы ограничить доступ к данным и ресурсам организации. Для новых инициатив применяются подходы нулевого доверия, которые проверяют доверие во время доступа.

Ниже приведены рекомендации.

Лучшие практики: Предоставление условного доступа к ресурсам на основе устройства, учетной записи, доверенности, сетевого расположения и других факторов.
Подробные сведения. Условный доступ Microsoft Entra позволяет применять правильные элементы управления доступом, реализуя автоматизированные решения по управлению доступом на основе необходимых условий. Дополнительные сведения см. в статье "Управление доступом к управлению Azure с помощью условного доступа".

Рекомендация. Включение доступа к порту только после утверждения рабочего процесса.
Подробные сведения. Вы можете использовать JIT-доступ к виртуальным машинам в Microsoft Defender для Облака, чтобы заблокировать входящий трафик к виртуальным машинам Azure, уменьшая уязвимость к атакам, обеспечивая простой доступ к виртуальным машинам при необходимости.

Рекомендуется предоставить временные разрешения для выполнения привилегированных задач, что предотвращает получение доступа злоумышленниками или несанкционированными пользователями после истечения срока действия разрешений. Доступ предоставляется только тогда, когда это нужно пользователям.
Подробности: Используйте доступ по принципу 'точно в срок' (JIT) в Microsoft Entra Privileged Identity Management или в стороннем решении для предоставления разрешений на выполнение привилегированных задач.

Нулевое доверие — это следующая эволюция в сетевой безопасности. Состояние кибератак заставляет организации принимать подход "предполагать взлом", но этот подход не должен быть ограничивающим фактором. Сети нулевого доверия защищают корпоративные данные и ресурсы, обеспечивая тем, чтобы организации могли создавать современные рабочие места с помощью технологий, которые позволяют сотрудникам работать в любое время в любом месте.

Управление поведением маршрутизации

При установке виртуальной машины в виртуальную сеть Azure виртуальная машина может подключаться к любой другой виртуальной машине в той же виртуальной сети, даже если другие виртуальные машины находятся в разных подсетях. Это возможно, так как коллекция системных маршрутов, включенная по умолчанию, позволяет использовать этот тип связи. Эти маршруты по умолчанию позволяют виртуальным машинам в одной виртуальной сети инициировать подключения друг к другу и через Интернет (только для исходящего подключения к Интернету).

Хотя системные маршруты по умолчанию полезны для многих сценариев развертывания, иногда требуется настроить конфигурацию маршрутизации для развертываний. Вы можете настроить адрес следующего прыжка для достижения определенных назначений.

Рекомендуется настроить определяемые пользователем маршруты при развертывании устройства безопасности для виртуальной сети. Мы поговорим об этой рекомендации в следующем разделе, посвященном защите критически важных ресурсов службы Azure только для ваших виртуальных сетей.

Использование устройств виртуальной сети

Группы безопасности сети и определяемая пользователем маршрутизация могут обеспечить определенную меру безопасности сети на уровнях сети и транспорта модели OSI. Но в некоторых ситуациях вы хотите или необходимо включить безопасность на высоких уровнях стека. В таких ситуациях рекомендуется развернуть устройства безопасности виртуальной сети, предоставляемые партнерами Azure.

Сетевые устройства безопасности Azure могут обеспечить более высокую безопасность, чем предоставляемые средствами управления на уровне сети. К возможностям безопасности сети устройств безопасности виртуальной сети относятся следующие возможности:

• Брандмауэр
• Обнаружение и предотвращение вторжений
• Управление уязвимостями
• Управление приложениями
• Обнаружение аномалий на основе сети
• фильтрация интернет-трафика;
• Антивирусная программа
• Защита Botnet

Чтобы найти доступные устройства безопасности виртуальной сети Azure, перейдите в Azure Marketplace и найдите "безопасность" и "безопасность сети".

Развертывание сетей периметра для зон безопасности

Сеть периметра (также известная как DMZ) — это физический или логический сетевой сегмент, обеспечивающий дополнительный уровень безопасности между ресурсами и Интернетом. Специализированные устройства управления доступом к сети на границе периметра позволяют только необходимый трафик в вашу виртуальную сеть.

Сети периметра полезны, так как вы можете сосредоточить управление сетевым доступом, мониторинг, ведение журнала и отчеты на устройствах в пограничной виртуальной сети Azure. Сеть периметра обычно включает защиту распределенного типа "отказ в обслуживании" (DDoS), системы обнаружения вторжений и предотвращения вторжений (IDS/IPS), правила брандмауэра и политики, веб-фильтрацию, защиту от вредоносных программ сети и многое другое. Устройства безопасности сети сидят между Интернетом и виртуальной сетью Azure и имеют интерфейс в обеих сетях.

Хотя это базовый дизайн сети периметра, существует множество различных конструкций, таких как спина к спине, три дома и многодомные.

В соответствии с ранее упомянутым ранее понятием "Нулевое доверие" рекомендуется использовать сеть периметра для всех развертываний с высоким уровнем безопасности, чтобы повысить уровень безопасности сети и контроля доступа для ресурсов Azure. Вы можете использовать Azure или стороннее решение для обеспечения дополнительного уровня безопасности между ресурсами и Интернетом:

• Собственные элементы управления Azure. Брандмауэр Azure и брандмауэр веб-приложений Azure предлагают основные преимущества безопасности. Преимущества — это полностью отслеживающий состояние брандмауэр в качестве службы, встроенный высокий уровень доступности, неограниченная масштабируемость облака, фильтрация на основе FQDN, поддержка основных наборов правил OWASP и простая установка и настройка.
• Сторонние предложения. Выполните поиск в Azure Marketplace для брандмауэра следующего поколения (NGFW) и других сторонних предложений, которые предоставляют знакомые средства безопасности и расширенные уровни сетевой безопасности. Конфигурация может быть более сложной, но стороннее предложение может позволить использовать существующие возможности и наборы навыков.

Избегайте подключения к Интернету через выделенные каналы WAN

Многие организации выбрали гибридный ИТ-маршрут. С гибридной ИТ-средой некоторые информационные ресурсы компании находятся в Azure, а другие остаются локальными. Во многих случаях некоторые компоненты службы выполняются в Azure, а другие компоненты остаются локальными.

В гибридном ИТ-сценарии обычно существует некоторый тип межсайтовых подключений. Кросс-локальные подключения позволяют компании подключать локальные сети к виртуальным сетям Azure. Доступны два решения для межсайтовых подключений:

• VPN типа "сеть — сеть". Это надежная, надежная и установленная технология, но подключение происходит через Интернет. Пропускная способность ограничена не более 1,25 Гбит/с. VPN типа "сеть — сеть" является желательным вариантом в некоторых сценариях.
• Azure ExpressRoute. Рекомендуется использовать ExpressRoute для подключения между локальными сетями. ExpressRoute позволяет расширить локальные сети в облако Майкрософт через частное подключение, которое упрощает поставщик подключений. С помощью ExpressRoute можно установить подключения к облачным службам Майкрософт, таким как Azure, Microsoft 365 и Dynamics 365. ExpressRoute — это выделенный канал WAN между вашим локальным расположением и поставщиком услуг хостинга Microsoft Exchange. Так как это подключение к телефону, ваши данные не перемещаются по Интернету, поэтому они не подвержены потенциальным рискам интернет-коммуникаций.

Расположение подключения ExpressRoute может повлиять на емкость брандмауэра, масштабируемость, надежность и видимость сетевого трафика. Необходимо определить, где завершить ExpressRoute в существующих (локальных) сетях. Вы можете:

• Завершите работу за пределами брандмауэра (парадигма сети периметра). Используйте эту рекомендацию, если требуется видимость трафика, если необходимо продолжить существующую практику изоляции центров обработки данных или если вы используете исключительно ресурсы экстрасети в Azure.
• Завершите работу внутри брандмауэра (парадигма расширения сети). Это рекомендация по умолчанию. Во всех остальных случаях рекомендуется рассматривать Azure как другой центр обработки данных.

Оптимизация времени простоя и производительности

Если служба отключена, доступ к сведениям не удается получить. Если производительность настолько плоха, что данные недоступны, можно рассмотреть возможность недоступности данных. С точки зрения безопасности необходимо сделать все возможное, чтобы убедиться, что службы имеют оптимальное время простоя и производительности.

Популярным и эффективным способом повышения доступности и производительности является балансировка нагрузки. Балансировка нагрузки — это метод распределения сетевого трафика между серверами, которые являются частью службы. Например, если у вас есть интерфейсные веб-серверы в рамках службы, можно использовать балансировку нагрузки для распределения трафика между несколькими внешними веб-серверами.

Это распределение трафика увеличивает доступность, так как если один из веб-серверов становится недоступным, подсистема балансировки нагрузки останавливает отправку трафика на этот сервер и перенаправляет его на серверы, которые по-прежнему находятся в сети. Балансировка нагрузки также помогает повысить производительность, так как нагрузки на процессор, сеть и память для обслуживания запросов распределяются по всем серверам с балансировкой нагрузки.

Рекомендуется использовать балансировку нагрузки всякий раз, когда вы можете, и в соответствии с вашими службами. Ниже приведены сценарии на уровне виртуальной сети Azure и глобальном уровне, а также параметры балансировки нагрузки для каждого из них.

Сценарий: у вас есть приложение, которое:

• Требуется, чтобы запросы из одного сеанса пользователя или клиента достигли той же серверной виртуальной машины. Примерами этого являются приложения корзины для покупок и веб-почтовые серверы.
• Принимает только безопасное подключение, поэтому незашифрованное взаимодействие с сервером не является приемлемым вариантом.
• Требуется, чтобы несколько HTTP-запросов на одной и той же длительной TCP-подключении были перенаправлены или сбалансированы по нагрузке на разные бекенд-серверы.

Параметр балансировки нагрузки: используйте шлюз приложений Azure, подсистему балансировки нагрузки веб-трафика HTTP. Шлюз приложений поддерживает сквозное шифрование TLS и завершение TLS на шлюзе. Затем веб-серверы можно освободить от накладных расходов на шифрование и расшифровку, а трафик будет передаваться незашифрованным на серверы внутренней части.

Сценарий. Необходимо сбалансировать входящие подключения из Интернета между серверами, расположенными в виртуальной сети Azure. Сценарии представляют собой ситуации, когда вы:

• Имеют приложения без отслеживания состояния, принимаюющие входящие запросы из Интернета.
• Не требуются липкие сеансы или разгрузка TLS. Сессии закрепления — это метод, используемый с балансировкой нагрузки приложений для достижения привязки к серверу.

Параметр балансировки нагрузки. Используйте портал Azure для создания внешней подсистемы балансировки нагрузки , которая распределяет входящие запросы на нескольких виртуальных машинах, чтобы обеспечить более высокий уровень доступности.

Сценарий. Необходимо сбалансировать подключения из виртуальных машин, которые не находятся в Интернете. В большинстве случаев подключения, которые принимаются для балансировки нагрузки, инициируются устройствами в виртуальной сети Azure, такими как экземпляры SQL Server или внутренние веб-серверы.
Параметр балансировки нагрузки: используйте портал Azure для создания внутренней подсистемы балансировки нагрузки , которая распределяет входящие запросы между несколькими виртуальными машинами, чтобы обеспечить более высокий уровень доступности.

Сценарий. Вам нужна глобальная балансировка нагрузки, так как вы:

• У вас есть облачное решение, широко распределенное по нескольким регионам и требующее максимально высокого уровня доступности.
• Требуется высокий уровень времени простоя, чтобы убедиться, что служба доступна, даже если весь центр обработки данных становится недоступным.

Параметр балансировки нагрузки: используйте диспетчер трафика Azure. Диспетчер трафика позволяет сбалансировать подключения к службам в зависимости от расположения пользователя.

Например, если пользователь отправляет запрос в службу из ЕС, подключение направляется к вашим службам, расположенным в центре обработки данных ЕС. Эта часть глобальной балансировки нагрузки диспетчера трафика помогает повысить производительность, так как подключение к ближайшему центру обработки данных быстрее, чем подключение к центрам обработки данных, которые находятся далеко.

Отключение доступа RDP/SSH к виртуальным машинам

Вы можете связаться с виртуальными машинами Azure с помощью протокола удаленного рабочего стола (RDP) и протокола Secure Shell (SSH). Эти протоколы позволяют управлять виртуальными машинами из удалённых местоположений и являются стандартом в вычислительных системах центра обработки данных.

Потенциальная проблема безопасности использования этих протоколов в Интернете заключается в том, что злоумышленники могут использовать методы перебора, чтобы получить доступ к виртуальным машинам Azure. После получения доступа злоумышленники могут использовать виртуальную машину в качестве точки запуска для компрометации других компьютеров в виртуальной сети или даже атаковать сетевые устройства за пределами Azure.

Рекомендуется отключить прямой доступ по протоколу RDP и SSH к виртуальным машинам Azure из Интернета. После отключения прямого доступа к RDP и SSH из Интернета у вас есть другие параметры, которые можно использовать для доступа к этим виртуальным машинам для удаленного управления.

Сценарий. Включение подключения одного пользователя к виртуальной сети Azure через Интернет.
Вариант. VPN типа "точка — сеть" — это еще один термин для подключения VPN-клиента или сервера удаленного доступа. После установки подключения типа "точка — сеть" пользователь может использовать протокол RDP или SSH для подключения к любым виртуальным машинам, расположенным в виртуальной сети Azure, к которому подключен пользователь через VPN типа "точка — сеть". В этом случае предполагается, что пользователь может получить доступ к этим виртуальным машинам.

VPN типа "точка — сеть" является более безопасным, чем прямые подключения RDP или SSH, так как пользователь должен пройти проверку подлинности дважды перед подключением к виртуальной машине. Во-первых, пользователю необходимо пройти проверку подлинности (и авторизовать), чтобы установить VPN-подключение типа "точка — сеть". Во-вторых, пользователю необходимо пройти проверку подлинности (и авторизовать) для установки сеанса RDP или SSH.

Сценарий. Включение подключения пользователей в локальной сети к виртуальным машинам в виртуальной сети Azure.
Вариант. VPN типа "сеть — сеть " подключает всю сеть к другой сети через Интернет. Vpn типа "сеть — сеть" можно использовать для подключения локальной сети к виртуальной сети Azure. Пользователи локальной сети подключаются с помощью протокола RDP или SSH через VPN-подключение типа "сеть — сеть". Вам не нужно разрешать прямой доступ по протоколу RDP или SSH через Интернет.

Сценарий. Используйте выделенную глобальную сеть для предоставления функциональных возможностей, аналогичных VPN типа "сеть — сеть".
Параметр: Использовать ExpressRoute. Он предоставляет функциональные возможности, аналогичные VPN типа "сеть — сеть". Основными отличиями являются:

• Ссылка на выделенную глобальную сеть не проходит через Интернет.
• Выделенные каналы глобальной сети обычно являются более стабильными и работают лучше.

Защита критически важных ресурсов службы Azure только для виртуальных сетей

Используйте приватный канал Azure для доступа к службам PaaS Azure (например, службе хранилища Azure и базе данных SQL) через частную конечную точку в виртуальной сети. Частные конечные точки позволяют защитить критически важные ресурсы службы Azure только для виртуальных сетей. Трафик, поступающий из виртуальной сети в службу Azure, всегда остается в магистральной сети Microsoft Azure. Предоставление виртуальной сети общедоступному Интернету больше не требуется для использования служб PaaS Azure.

Приватный канал Azure обеспечивает следующие преимущества:

• Улучшенная безопасность ресурсов службы Azure: с помощью Приватного канала Azure ресурсы службы Azure можно защитить в виртуальной сети с помощью частной конечной точки. Защита ресурсов службы в частной конечной точке в виртуальной сети обеспечивает улучшенную безопасность, полностью удаляя общедоступный интернет-доступ к ресурсам и разрешая трафик только из частной конечной точки в виртуальной сети.
• Частный доступ к ресурсам службы Azure на платформе Azure: подключение виртуальной сети к службам в Azure с помощью частных конечных точек. Нет необходимости в общедоступном IP-адресе. Платформа Приватного канала будет поддерживать подключение между потребителем и службами через магистральную сеть Azure.
• Доступ из локальных и пиринговых сетей: доступ к службам, работающим в Azure, из локальной среды через частный пиринг ExpressRoute, VPN-туннели и пиринговые виртуальные сети с помощью частных конечных точек. Нет необходимости настраивать пиринг Microsoft для ExpressRoute или прокладывать канал через Интернет, чтобы получить доступ к службе. Приватный канал обеспечивает безопасный способ переносить рабочие нагрузки в Azure.
• Защита от утечки данных: частная конечная точка сопоставляется с экземпляром ресурса PaaS вместо всей службы. Потребители могут подключаться только к определенному ресурсу. Доступ к любому другому ресурсу в службе блокируется. Этот механизм обеспечивает защиту от рисков утечки данных.
• Глобальный охват: частное подключение к службам, работающим в других регионах. Виртуальная сеть потребителя может находиться в регионе А и может подключаться к службам в регионе B.
• Просто настроить и управлять ими: вам больше не нужны зарезервированные общедоступные IP-адреса в виртуальных сетях для защиты ресурсов Azure с помощью брандмауэра IP-адресов. Нет необходимости в устройствах NAT или шлюза для настройки закрытых конечных точек. Частные конечные точки настраиваются с помощью простого рабочего процесса. На стороне службы вы также можете легко управлять запросами на подключение к ресурсу службы Azure. Приватный канал Azure также работает для потребителей и служб, принадлежащих разным клиентам Microsoft Entra.

Дополнительные сведения о частных конечных точках и службах Azure и регионах, для которых доступны частные конечные точки, см. в статье "Приватный канал Azure".

Дальнейшие шаги

Ознакомьтесь с рекомендациями и шаблонами безопасности Azure для получения дополнительных рекомендаций по обеспечению безопасности при разработке, развертывании и управлении облачными решениями с помощью Azure.