Применение принципов нулевого доверия для прекращения устаревшей технологии сетевой безопасности

В этой статье приводятся рекомендации по применению принципов нулевого доверия для прекращения устаревшей технологии сетевой безопасности в средах Azure. Ниже приведены принципы нулевого доверия.

Принцип нулевого доверия Определение
Явная проверка Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных.
Использование доступа с минимальными привилегиями Ограничьте доступ пользователей с помощью технологий Just-In-Time и Just-Enough-Access (JIT/JEA), адаптивных политик на основе риска и защиты данных.
Предполагайте наличие бреши в системе безопасности Минимизируйте радиус поражения и ограничьте доступ к сегментам. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.

Улучшение защиты среды Azure путем удаления или обновления устаревших сетевых служб для более высокого уровня безопасности.

Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия к сетям Azure.

Сетевые области Azure для проверки прекращения использования устаревших технологий сетевой безопасности:

  • Основные сетевые службы
  • Балансировка нагрузки и службы доставки содержимого
  • Службы гибридного подключения

Переход от использования устаревших технологий сетевой безопасности может препятствовать злоумышленнику получать доступ к средам или перемещаться по ним, чтобы нанести широко распространенный ущерб (принцип "Предполагать нарушение нулевого доверия").

Эталонная архитектура

На следующей схеме показана эталонная архитектура этого руководства по обеспечению нулевого доверия для прекращения устаревшей технологии сетевой безопасности для компонентов в среде Azure.

Схема, на которой показана эталонная архитектура для прекращения устаревшей технологии сетевой безопасности с помощью сетевых компонентов Azure.

Эта эталонная архитектура включает:

  • Рабочие нагрузки IaaS Azure, выполняемые на виртуальных машинах Azure.
  • Службы Azure.
  • Виртуальная сеть безопасности, содержащая VPN-шлюз Azure и Шлюз приложений Azure.
  • Виртуальная сеть Internet Edge, содержащая Azure Load Balancer.
  • Azure Front Door на периферии среды Azure.

Что такое в этой статье?

Принципы нулевого доверия применяются к эталонной архитектуре, от пользователей и администраторов в Интернете или локальной сети к среде Azure и в ней. В следующей таблице приведен список ключевых задач по выведению из эксплуатации устаревших технологий безопасности сети в этой архитектуре в соответствии с принципом "предполагаемое нарушение" Zero Trust.

Шаг Задача
1 Просмотрите службы сетевых фондов.
2 Просмотрите службы доставки содержимого и балансировки нагрузки.
3 Просмотрите службы гибридного подключения.

Шаг 1. Проверка служб сетевых фондов

Проверка служб базовой сетевой инфраструктуры включает в себя:

  • Переход с SKU общедоступного IP-адреса уровня "Базовый" на SKU общедоступного IP-адреса уровня "Стандартный".
  • Убедитесь, что IP-адреса виртуальной машины используют явный исходящий доступ.

На этой схеме показаны компоненты для обновления служб сетевой основы Azure в эталонной архитектуре.

Схема, показывающая компоненты для обновления служб сетевой основы Azure.

SKU базового общедоступного IP-адреса

IP-адреса (общедоступные и частные) являются частью IP-служб в Azure, которые обеспечивают обмен данными между частными и общедоступными ресурсами. Общедоступные IP-адреса связаны со службами, такими как шлюзы виртуальных сетей, шлюзы приложений и другие, требующие исходящего подключения к Интернету. Частные IP-адреса обеспечивают внутреннее взаимодействие между ресурсами Azure.

Номер SKU базового общедоступного IP-адреса в настоящее время рассматривается как устаревший и имеет больше ограничений, чем номер SKU стандартного общедоступного IP-адреса. Одним из основных ограничений модели Zero Trust для SKU общедоступного IP-адреса уровня Basic является то, что использование групп безопасности сети не является обязательным, но рекомендуется, в то время как для SKU общедоступного IP-адреса уровня Standard оно обязательно.

Еще одной важной функцией SKU общедоступного IP-адреса категории "Стандартный" является возможность выбора предпочтения маршрутизации, например маршрутизации через глобальную сеть Майкрософт. Эта функция защищает трафик в магистральной сети Майкрософт, когда это возможно, и исходящий трафик выходит как можно ближе к службе или пользователю.

Дополнительные сведения см. в статье Виртуальная сеть Azure IP-сервисы.

Примечание.

Номер SKU "Базовый общедоступный IP-адрес" будет прекращен в сентябре 2025 года.

Исходящий доступ по умолчанию

По умолчанию Azure предоставляет исходящий доступ к Интернету. Подключение из ресурсов предоставляется по умолчанию благодаря системным маршрутам и установленным правилам исходящего трафика по умолчанию для групп безопасности сети. Другими словами, если не настроен явный метод исходящего подключения, Azure настраивает IP-адрес исходящего доступа по умолчанию. Однако без явного исходящего доступа возникают определенные риски безопасности.

Корпорация Майкрософт рекомендует не оставлять IP-адрес виртуальной машины открытым для интернет-трафика. Отсутствует контроль над доступом по умолчанию к исходящим IP-адресам, и сами IP-адреса, а также их зависимости, могут измениться. Для виртуальных машин, оснащенных несколькими сетевыми интерфейсами (NICs), не рекомендуется разрешать всем IP-адресам сетевых интерфейсов доступ к исходящему трафику через Интернет. Вместо этого следует ограничить доступ только к необходимым сетевым адаптерам.

Корпорация Майкрософт рекомендует настроить явный исходящий доступ с помощью одного из следующих параметров:

  • Шлюз Azure NAT

    Для максимальных портов преобразования исходных сетевых адресов (SNAT) Microsoft рекомендует шлюз NAT Azure для исходящих подключений.

  • Стандартный номер SKU Azure Load Balancers

    Для этого требуется правило балансировки нагрузки для программы SNAT, которое может быть не столь эффективным, как шлюз NAT Azure.

  • Ограниченное использование общедоступных IP-адресов

    Назначение прямого общедоступного IP-адреса виртуальной машине должно выполняться только для тестирования или разработки сред из-за соображений масштабируемости и безопасности.

Шаг 2. Просмотр служб доставки содержимого и балансировки нагрузки

В Azure есть множество служб доставки приложений, которые помогают отправлять и распространять трафик в веб-приложения. Иногда новая версия или уровень службы улучшает интерфейс и предоставляет последние обновления. Средство миграции можно использовать в каждой из служб доставки приложений, чтобы легко перейти на новую версию службы и воспользоваться новыми и расширенными функциями.

Проверка доставки содержимого и служб балансировки нагрузки включает:

  • Перенос уровня Azure Front Door с классического уровня на уровни "Премиум" или "Стандартный".
  • Перенос Шлюз приложений Azure на WAF_v2.
  • Переход на стандартный SKU Azure Load Balancer.

На этой схеме показаны компоненты для обновления служб доставки содержимого Azure и балансировки нагрузки.

Схема компонентов для обновления служб доставки содержимого Azure и балансировки нагрузки.

Azure Front Door: служба для оптимизации доставки содержимого и повышения безопасности.

Azure Front Door имеет три различных уровня: "Премиум", "Стандартный" и "Классический". Уровни "Стандартный" и "Премиум" объединяют функции из классического уровня Azure Front Door, Azure сеть доставки содержимого и Azure Брандмауэр веб-приложений (WAF) в одну службу.

Корпорация Майкрософт рекомендует перенести классические профили Azure Front Door на уровни "Премиум" или "Стандартный", чтобы воспользоваться этими новыми функциями и обновлениями. Уровень "Премиум" фокусируется на улучшенных функциях безопасности, таких как частное подключение к внутренним службам, правилам WAF майкрософт и защите ботов для веб-приложений.

Помимо улучшенных функций, Azure Front Door Premium включает отчеты о безопасности, встроенные в службу без дополнительных затрат. Эти отчеты помогают анализировать правила безопасности WAF и видеть, какие атаки могут угрожать вашим веб-приложениям. Отчет по безопасности также позволяет анализировать метрики по разным измерениям, которые помогают понять, откуда происходит трафик, и разбивка основных событий по критериям.

Уровень Azure Front Door Premium предоставляет наиболее надежные меры безопасности Интернета между клиентами и веб-приложениями.

Шлюз приложений Azure

Шлюз приложений Azure имеет два типа SKU: v1 и v2, а также версию WAF, которую можно применить к одному из вариантов SKU. Корпорация Майкрософт рекомендует перенести Шлюз приложений Azure на SKU WAF_v2, чтобы получить преимущества обновлений производительности и новых функций, таких как автомасштабирование, пользовательские правила WAF и поддержка Azure Private Link.

Пользовательские правила WAF позволяют указать условия для оценки каждого запроса, который проходит через Шлюз приложений Azure. Эти правила имеют более высокий приоритет, чем правила в управляемых наборах правил и могут быть настроены в соответствии с потребностями приложения и безопасности. Пользовательские правила WAF также могут ограничить доступ к веб-приложениям по странам или регионам, сопоставляя IP-адрес с кодом страны.

Еще одним преимуществом миграции в WAFv2 является возможность подключения к Шлюзу приложений Azure с использованием Azure Private Link при доступе из другой виртуальной сети или другой подписки. Эта функция позволяет блокировать общедоступный доступ к Шлюз приложений Azure, разрешая доступ только пользователям и устройствам через частную конечную точку. При подключении через Azure Private Link необходимо подтвердить каждое частное соединение конечной точки, что гарантирует доступ только для надлежащей сущности. Для получения дополнительной информации о различиях между SKU v1 и v2 см. Azure Application Gateway v2.

Azure Load Balancer (балансировщик нагрузки)

В связи с запланированным выводом из использования SKU общедоступных IP-адресов уровня "Базовый" в сентябре 2025 года, необходимо обновить службы, использующие IP-адреса из SKU "Базовый общедоступный IP". Microsoft рекомендует перевести текущие Azure Load Balancers с SKU "Базовый" на SKU "Стандартный" для реализации мер безопасности, которые не включены в SKU "Базовый".

С помощью SKU Azure Load Balancer уровня "Стандартный" вы по умолчанию защищены. Весь входящий интернет-трафик к общедоступной подсистеме балансировки нагрузки блокируется, если не разрешено правилами примененной группы безопасности сети. Это поведение по умолчанию предотвращает случайное разрешение интернет-трафика на виртуальные машины или службы, прежде чем вы будете к этому готовы, и гарантирует, что вы контролируете трафик, который может получить доступ к вашим ресурсам.

Azure Load Balancer уровня "Стандартный" использует Azure Private Link для создания подключений к частным конечным точкам, что полезно в тех случаях, когда вы хотите разрешить частный доступ к ресурсам за балансировщиком нагрузки, но хотите, чтобы пользователи могли получить к ним доступ из своей среды.

Шаг 3. Проверка служб гибридного подключения

Обзор служб гибридного подключения включает использование нового поколения SKU для шлюза Azure VPN.

На этой схеме показаны компоненты для обновления служб гибридного подключения Azure в эталонной архитектуре.

Схема, показывающая компоненты для обновления служб гибридного подключения Azure.

Наиболее эффективный способ подключения гибридных сетей в Azure в настоящее время — с новыми версиями SKU для Azure VPN Gateway. Хотя вы можете продолжать использовать классические VPN-шлюзы, они устарели и менее надежны и эффективны. Классические VPN-шлюзы поддерживают не более 10 туннелей безопасности интернет-протокола (IPsec), в то время как более новые SKU Azure VPN-шлюзов могут увеличивать количество туннелей до 100.

Более новые SKU работают с более новой моделью драйверов, которая включает последние обновления программного обеспечения безопасности. Старые модели драйверов основаны на устаревших технологиях Майкрософт, которые не подходят для современных рабочих нагрузок. Новые модели драйверов предлагают не только более высокую производительность и оборудование, но и обеспечивают повышенную устойчивость. Набор SKU AZ для VPN-шлюзов можно разместить в зонах доступности и поддерживать активно-активные подключения с несколькими общедоступными IP-адресами, что повышает устойчивость и предлагает лучшие возможности для аварийного восстановления.

Кроме того, для динамических потребностей маршрутизации классические VPN-шлюзы не могли запускать протокол BGP, использовался только IKEv1 и не поддерживали динамическую маршрутизацию. В итоге классические VPN-шлюзы SKU предназначены для небольших рабочих нагрузок, низкой пропускной способности и статических подключений.

Классические VPN-шлюзы также имеют ограничения безопасности и функциональности своих туннелей IPsec. Они поддерживают только режим на основе политик с протоколом IKEv1 и ограниченным набором алгоритмов шифрования и хэширования, которые более подвержены нарушениям. Корпорация Майкрософт рекомендует перейти на новые номера SKU, которые предлагают более широкий спектр вариантов для протоколов этапа 1 и 2. Ключевым преимуществом является то, что маршрутизируемые VPN-шлюзы могут использовать основной режим IKEv1 и IKEv2, что обеспечивает большую гибкость в реализации и более надежные алгоритмы шифрования и хэширования.

Если требуется более высокая безопасность, чем значения шифрования по умолчанию, VPN-шлюз на основе маршрутов позволяют настраивать параметры этапа 1 и 2 для выбора определенных шифров и длины ключей. Более сильные группы шифрования включают группу 14 (2048-разрядную), группу 24 (2048-разрядную группу MODP) или ECP (группы эллиптических кривых) 256-разрядную или 384-разрядную (группу 19 и группу 20 соответственно). Кроме того, можно указать, какие диапазоны префиксов разрешены для отправки зашифрованного трафика с помощью параметра селектора трафика для дальнейшей защиты согласования туннеля от несанкционированного трафика.

Для получения дополнительной информации см. криптография VPN-шлюза Azure.

SKU Azure VPN Gateway обеспечивают VPN-подключения типа "точка — сеть" (P2S) для использования протоколов IPsec на основе стандарта IKEv2 и VPN-протоколов на основе SSL/TLS, таких как OpenVPN и SSTP. Эта поддержка предоставляет пользователям различные методы реализации и позволяет им подключаться к Azure с помощью различных операционных систем устройств. Планы SKU VPN-шлюзов Azure также предлагают множество вариантов проверки подлинности клиента, включая проверку подлинности сертификата, проверку подлинности с использованием Microsoft Entra ID, и проверку подлинности с использованием служб домена Active Directory (AD DS).

Примечание.

Классические шлюзы IPSec будут прекращены 31 августа 2024 г.

Дальнейшие шаги

Дополнительные сведения о применении нулевого доверия к сети Azure см. в следующем разделе:

Ссылки

Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.