Применение принципов нулевого доверия к шифрованию сетевого взаимодействия на основе Azure

В этой статье приводятся рекомендации по применению принципов нулевого доверия для шифрования сетевого взаимодействия между средами Azure и между ней следующими способами.

Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия для сети Azure.

Уровни шифрования сетевого трафика:

• Шифрование сетевого слоя

  • Защита и проверка связи из Интернета или локальной сети с виртуальными сетями Azure и виртуальными машинами

  • Защита и проверка взаимодействия между виртуальными сетями Azure

• Шифрование уровня приложений

  • Защита веб-приложений Azure

• Защита рабочих нагрузок, работающих на виртуальных машинах Azure

Эталонная архитектура

На следующей схеме показана эталонная архитектура этого руководства по нулю доверия для зашифрованного взаимодействия между пользователями и администраторами в локальной среде Или в Интернете и компонентах в среде Azure, описанных в этой статье.

На схеме числа соответствуют шагам, приведенным в следующих разделах.

Что такое в этой статье?

Принципы нулевого доверия применяются к эталонной архитектуре, от пользователей и администраторов в Интернете или локальной сети к облаку Azure и в ней. В следующей таблице описаны рекомендации по обеспечению шифрования сетевого трафика в этой архитектуре.

Шаг 1. Реализация шифрования сетевого слоя

Шифрование сетевого слоя крайне важно при применении принципов нулевого доверия к локальной среде и среде Azure. Когда сетевой трафик проходит через Интернет, вы всегда должны предположить, что существует возможность перехвата трафика злоумышленниками, и ваши данные могут быть подвержены или изменены, прежде чем он достигнет своего назначения. Так как поставщики услуг управляют маршрутизацией данных через Интернет, вы хотите убедиться, что конфиденциальность и целостность ваших данных сохраняется с момента его выхода из локальной сети в облако Майкрософт.

На следующей схеме показана эталонная архитектура для реализации шифрования сетевого слоя.

В следующих двух разделах мы обсудим безопасность интернет-протоколов (IPsec) и безопасность контроль доступа мультимедиа (MACsec), которые сетевые службы Azure поддерживают эти протоколы и как их использовать.

IPsec

IPsec — это группа протоколов, которые обеспечивают безопасность для обмена данными по протоколу (IP). Он выполняет проверку подлинности и шифрует сетевые пакеты с помощью набора алгоритмов шифрования. IPSec — это протокол инкапсуляции безопасности, используемый для установления виртуальных частных сетей (VPN). Туннель VPN IPsec состоит из двух этапов, этап 1, известный как основной режим и этап 2, известный как быстрый режим.

Этап 1 IPsec — это создание туннеля, где одноранговые узлы согласовывают параметры для связи безопасности обмена ключами Интернета (IKE), например шифрование, проверка подлинности, хэширование и алгоритмы Diffie-Hellman. Для проверки удостоверений одноранговые узлы обмениваются предварительно общим ключом. Этап 1 IPsec может работать в двух режимах: в основном режиме или агрессивном режиме. Azure VPN-шлюз поддерживает две версии IKE, IKEv1 и IKEv2 и работает только в основном режиме. Основной режим обеспечивает шифрование удостоверения подключения между azure VPN-шлюз и локальным устройством.

На этапе 2 IPsec одноранговые узлы согласовывают параметры безопасности для передачи данных. На этом этапе оба одноранговых узла согласны с алгоритмами шифрования и проверки подлинности, значением времени существования ассоциации безопасности (SA) и селекторами трафика (TS), определяющими, какой трафик шифруется через туннель IPsec. Туннель, созданный на этапе 1, служит безопасным каналом для этого согласования. IPsec может защитить IP-пакеты с помощью протокола заголовка проверки подлинности (AH) или инкапсулирования полезных данных безопасности (ESP). AH обеспечивает целостность и проверку подлинности, а ESP также обеспечивает конфиденциальность (шифрование). Этап 2 IPsec может работать в режиме транспорта или в режиме туннеля. В режиме транспорта только полезные данные IP-пакета шифруются, в то время как в режиме туннеля весь IP-пакет шифруется и добавляется новый заголовок IP- адреса. Этап 2 IPsec можно установить на вершине IKEv1 или IKEv2. Текущая реализация IPsec azure VPN-шлюз поддерживает только ESP в режиме туннеля.

Ниже перечислены некоторые службы Azure, поддерживающие IPsec:

• VPN-шлюз Azure

  • VPN-подключения типа "сеть —сеть"

  • Подключения "виртуальная сеть — виртуальная сеть"

  • Подключения "точка — сеть"

• Виртуальная глобальная сеть Azure

  • Сайты VPN

  • Пользовательские конфигурации VPN

Для включения IPsec для этих служб не требуется изменять параметры. Они включены по умолчанию.

MACsec и Azure Key Vault

MACsec (IEEE 802.1AE) — это стандарт безопасности сети, который применяет принцип "Предполагать нарушение нулевого доверия" на уровне канала данных путем проверки подлинности и шифрования по каналу Ethernet. MACsec предполагает, что любой сетевой трафик, даже в той же локальной сети, может быть скомпрометирован или перехвачен вредоносными субъектами. MACsec проверяет и защищает каждый кадр с помощью ключа безопасности, общего между двумя сетевыми интерфейсами. Эта конфигурация может выполняться только между двумя устройствами с поддержкой MACsec.

MACsec настраивается с сопоставлениями подключений, которые являются набором атрибутов, используемых сетевыми интерфейсами для создания входящих и исходящих каналов безопасности. После создания трафик по этим каналам обменивается двумя защищенными ссылками MACsec. MACsec имеет два режима связи подключения:

• Режим ключа сопоставления статических подключений (CAK): защищенные ссылки MACsec устанавливаются с помощью предварительно общего ключа, включающего имя ключа связи подключения (CKN) и назначенный CAK. Эти ключи настраиваются в обоих концах ссылки.
• Динамический режим CAK: ключи безопасности создаются динамически с помощью процесса проверки подлинности 802.1x, который может использовать централизованное устройство проверки подлинности, например сервер службы пользователей (RADIUS).

Устройства Microsoft Enterprise Edge (MSEE) поддерживают статический CAK, сохраняя CAK и CKN в Azure Key Vault при настройке Azure ExpressRoute с прямыми портами. Чтобы получить доступ к значениям в Azure Key Vault, настройте управляемое удостоверение для проверки подлинности ресурса канала ExpressRoute. Этот подход следует принципу "Использовать наименьший привилегированный доступ", так как только авторизованные устройства могут получить доступ к ключам из Azure Key Vault. Дополнительные сведения см. в разделе "Настройка MACsec" в портах ExpressRoute Direct.

Шаг 2. Защита и проверка связи из локальной сети в виртуальные сети Azure

Так как миграция в облако становится более распространенной в разных масштабах, гибридное подключение играет ключевую роль. Важно не только защитить и защитить, но и проверить сетевое взаимодействие между локальной сетью и Azure.

На следующей схеме показана эталонная архитектура для защиты и проверки связи между локальной сетью и виртуальными сетями Azure.

Azure предоставляет два варианта подключения локальной сети к ресурсам в виртуальной сети Azure:

• Azure VPN-шлюз позволяет создавать VPN-туннель типа "сеть — сеть" с помощью IPsec для шифрования и проверки подлинности сетевой связи между сетью в центральных или удаленных офисах и виртуальной сети Azure. Он также позволяет отдельным клиентам устанавливать подключение типа "точка — сеть" для доступа к ресурсам в виртуальной сети Azure без VPN-устройства. Чтобы обеспечить соблюдение нулевого доверия, настройте проверку подлинности идентификатора Microsoft Entra и политики условного доступа для подключений Azure VPN-шлюз, чтобы проверить удостоверение и соответствие устройств подключения. Дополнительные сведения см. в статье Об использовании VPN-шлюза Microsoft Tunnel с политиками условного доступа.

• Azure ExpressRoute предоставляет частное подключение с высокой пропускной способностью, которое позволяет расширить локальную сеть в Azure с помощью поставщика услуг подключения. Так как сетевой трафик не перемещается через общедоступный Интернет, данные по умолчанию не шифруются. Чтобы зашифровать трафик через ExpressRoute, настройте туннель IPsec. Однако помните, что при запуске туннелей IPsec через ExpressRoute пропускная способность ограничена пропускной способностью туннеля и может потребоваться выполнить несколько туннелей, чтобы соответствовать пропускной способности канала ExpressRoute. Дополнительные сведения см. в разделе VPN-подключения типа "сеть — сеть" через частный пиринг ExpressRoute — Azure VPN-шлюз.

  Если вы используете порты ExpressRoute Direct, вы можете увеличить сетевую безопасность, включив проверку подлинности при установке одноранговых узлов BGP или настройке MACsec для безопасного взаимодействия уровня 2. MACsec обеспечивает шифрование кадров Ethernet, обеспечение конфиденциальности данных, целостности и подлинности между пограничным маршрутизатором и пограничным маршрутизатором Майкрософт.

  Azure ExpressRoute также поддерживает Azure Monitor для метрик производительности сети и оповещений.

Шифрование может защитить данные от несанкционированного перехвата, но также представляет дополнительный уровень обработки для шифрования и расшифровки сетевого трафика, который может повлиять на производительность. Сетевой трафик, проходящий через Интернет, также может быть непредсказуемым, поскольку он должен перемещаться по нескольким сетевым устройствам, которые могут привести к задержке сети. Чтобы избежать проблем с производительностью, корпорация Майкрософт рекомендует использовать ExpressRoute, так как она обеспечивает надежную производительность сети и распределение пропускной способности, которые можно настроить для рабочей нагрузки.

При выборе между Azure VPN-шлюз или ExpressRoute рассмотрите следующие вопросы:

1. Какие типы файлов и приложений вы обращаетесь между локальной сетью и Azure? Требуется ли согласованная пропускная способность для передачи больших объемов данных?
2. Требуется ли согласованная и низкая задержка для оптимальной работы приложений?
3. Необходимо ли отслеживать производительность сети и работоспособность гибридного подключения?

Если вы ответили да на любой из этих вопросов, Azure ExpressRoute должен быть основным способом подключения локальной сети к Azure.

Существует два распространенных сценария, в которых ExpressRoute и Azure VPN-шлюз могут сосуществовать:

• Azure VPN-шлюз можно использовать для подключения филиалов к Azure при подключении основного офиса с помощью ExpressRoute.
• Вы также можете использовать Azure VPN-шлюз в качестве резервного подключения к Azure для центрального офиса, если служба ExpressRoute имеет сбой.

Шаг 3. Защита и проверка связи между виртуальными сетями Azure

Трафик в Azure имеет базовый уровень шифрования. При перемещении трафика между виртуальными сетями в разных регионах корпорация Майкрософт использует MACsec для шифрования и проверки подлинности пиринга трафика на уровне канала данных.

На следующей схеме показана эталонная архитектура для защиты и проверки взаимодействия между виртуальными сетями Azure.

Однако только шифрование недостаточно для обеспечения нулевого доверия. Кроме того, необходимо проверить и отслеживать сетевое взаимодействие в виртуальных сетях Azure и между ней. Дальнейшее шифрование и проверка между виртуальными сетями возможны с помощью azure VPN-шлюз или сетевых виртуальных устройств (NVAs), но не является обычной практикой. Корпорация Майкрософт рекомендует разрабатывать топологию сети для использования централизованной модели проверки трафика, которая может применять детализированные политики и обнаруживать аномалии.

Чтобы уменьшить затраты на настройку VPN-шлюза или виртуального устройства, включите функцию шифрования виртуальной сети для определенных размеров виртуальных машин для шифрования и проверки трафика между виртуальными машинами на уровне узла, в виртуальной сети и между пирингами виртуальных сетей.

Шаг 4. Реализация шифрования на уровне приложения

Шифрование уровня приложений играет ключевой фактор нулевого доверия, который требует шифрования всех данных и коммуникаций, когда пользователи взаимодействуют с веб-приложениями или устройствами. Шифрование уровня приложений гарантирует, что только проверенные и доверенные сущности могут получать доступ к веб-приложениям или устройствам.

На следующей схеме показана эталонная архитектура для реализации шифрования на уровне приложения.

Одним из наиболее распространенных примеров шифрования на уровне приложения является hypertext Transfer Protocol Secure (HTTPS), который шифрует данные между веб-браузером и веб-сервером. HTTPS использует протокол TLS для шифрования связи между клиентским сервером и использует цифровой сертификат TLS для проверки удостоверения и надежности веб-сайта или домена.

Еще одним примером безопасности уровня приложений является Secure Shell (SSH) и протокол удаленного рабочего стола (RDP), который шифрует данные между клиентом и сервером. Эти протоколы также поддерживают многофакторную проверку подлинности и политики условного доступа, чтобы обеспечить доступ к удаленным ресурсам только авторизованным и соответствующим устройствам или пользователям. Сведения о защите подключений SSH и RDP к виртуальным машинам Azure см. в шаге 5.

Защита веб-приложений Azure

Вы можете использовать Azure Front Door или Шлюз приложений Azure для защиты веб-приложений Azure.

Azure Front Door

Azure Front Door — это глобальная служба распространения, которая оптимизирует доставку содержимого конечным пользователям через пограничные расположения Майкрософт. С помощью таких функций, как Брандмауэр веб-приложений (WAF) и Приватный канал служба, вы можете обнаруживать и блокировать вредоносные атаки на веб-приложения в пограничной сети Майкрософт при частном доступе к источникам с помощью внутренней сети Майкрософт.

Для защиты данных трафик к конечным точкам Azure Front Door защищается с помощью ПРОТОКОЛА HTTPS с сквозным протоколом TLS для всех исходящих и исходящих от нее конечных точек. Трафик шифруется от клиента к источнику и от источника к клиенту.

Azure Front Door обрабатывает HTTPS-запросы и определяет, какая конечная точка в профиле имеет связанное доменное имя. Затем он проверяет путь и определяет, какое правило маршрутизации соответствует пути запроса. Если кэширование включено, Azure Front Door проверяет его кэш, чтобы узнать, есть ли допустимый ответ. Если нет допустимого ответа, Azure Front Door выбирает лучший источник, который может служить запрошенным содержимым. Перед отправкой запроса в источник можно применить набор правил к запросу, чтобы изменить заголовок, строку запроса или назначение источника.

Azure Front Door поддерживает как внешний интерфейс, так и серверную часть TLS. Интерфейс TLS шифрует трафик между клиентом и Azure Front Door. Серверная часть TLS шифрует трафик между Azure Front Door и источником. Azure Front Door поддерживает TLS 1.2 и TLS 1.3. Вы можете настроить Azure Front Door для использования пользовательского сертификата TLS или использовать сертификат, управляемый Azure Front Door.

Шлюз приложений Azure

Шлюз приложений Azure — это региональная подсистема балансировки нагрузки, которая работает на уровне 7. Он направляет и распределяет веб-трафик на основе атрибутов URL-адреса HTTP. Он может маршрутизировать и распределять трафик с помощью трех различных подходов:

• Только HTTP: Шлюз приложений получает и направляет входящие HTTP-запросы в соответствующее место назначения в незашифрованной форме.
• Завершение SSL: Шлюз приложений расшифровывает входящие HTTPS-запросы на уровне экземпляра, проверяет их и направляет их незашифрованными в место назначения.
• Сквозной протокол TLS: Шлюз приложений расшифровывает входящие HTTPS-запросы на уровне экземпляра, проверяет их и повторно шифрует их перед маршрутизацией в место назначения.

Наиболее безопасным вариантом является сквозной протокол TLS, который позволяет шифрование и передачу конфиденциальных данных путем использования сертификатов проверки подлинности или доверенных корневых сертификатов. Кроме того, он требует отправки этих сертификатов на внутренние серверы и обеспечения того, чтобы эти серверные серверы были Шлюз приложений. Дополнительные сведения см. в разделе "Настройка сквозного TLS" с помощью Шлюз приложений.

Кроме того, локальные пользователи или пользователи на виртуальных машинах в другой виртуальной сети могут использовать внутренний интерфейс Шлюз приложений с теми же возможностями TLS. Наряду с шифрованием корпорация Майкрософт рекомендует всегда включать WAF для дополнительной защиты внешних интерфейсов для конечных точек.

Шаг 5. Использование Бастиона Azure для защиты виртуальных машин Azure

Бастион Azure — это управляемая служба PaaS, которая обеспечивает безопасное подключение к виртуальным машинам по протоколу TLS. Это подключение можно установить из портал Azure или через собственный клиент к частному IP-адресу на виртуальной машине. Преимущества использования Бастиона:

• Виртуальные машины Azure не нуждаются в общедоступном IP-адресе. Подключения выполняются через TCP-порт 443 для HTTPS и могут проходить через большинство брандмауэров.
• Виртуальные машины защищены от сканирования портов.
• Платформа Бастиона Azure постоянно обновляется и защищается от эксплойтов нулевого дня.

С помощью Бастиона можно управлять подключением RDP и SSH к виртуальной машине из одной точки входа. Вы можете управлять отдельными сеансами из службы Бастиона в портал Azure. Вы также можете удалить или принудительно отключить текущий удаленный сеанс, если вы подозреваете, что пользователь не должен подключаться к нему.

На следующей схеме показана эталонная архитектура использования Бастиона Azure для защиты виртуальных машин Azure.

Чтобы защитить виртуальную машину Azure, разверните Бастион Azure и начните использовать протокол RDP и SSH для подключения к виртуальным машинам с частными IP-адресами.

Рекомендуемое обучение

• Подключение локальной сети к Azure с помощью VPN-шлюз
• Подключение локальной сети к глобальной сети Майкрософт с помощью ExpressRoute
• Общие сведения о Azure Front Door
• Настройка Шлюз приложений Azure
• Общие сведения о Бастионе Azure

Next Steps

Дополнительные сведения о применении нулевого доверия к сети Azure см. в следующем разделе:

• Сегментирование сетевого взаимодействия на основе Azure
• Получение видимости сетевого трафика
• Прекращение устаревшей технологии безопасности сети
• Защита сетей с помощью модели "Никому не доверяй"
• Периферийные виртуальные сети в Azure
• Виртуальные сети концентратора в Azure
• Периферийные виртуальные сети со службами Azure PaaS
• Виртуальная глобальная сеть Azure

Ссылки

Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.

• VPN-шлюз Azure
• Виртуальная глобальная сеть Azure
• Настройка MACsec для портов ExpressRoute Direct
• Использование VPN-шлюза Microsoft Tunnel с политиками условного доступа
• Azure ExpressRoute
• Шифрование виртуальной сети
• Azure Front Door
• Шлюз приложений
• Бастион Azure