Применение принципов нулевого доверия к сегментации сетевого взаимодействия на основе Azure

В этой статье приводятся рекомендации по применению принципов нулевого доверия для сегментирования сетей в средах Azure. Ниже приведены принципы нулевого доверия.

Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия к сетям Azure.

Поскольку организации растут от малого бизнеса до крупных предприятий, они часто нуждаются в переходе из одной подписки Azure в несколько подписок для разделения ресурсов для каждого отдела. Важно тщательно спланировать сегментацию сети, чтобы создать логические границы и изоляцию между средами.

Каждая среда, как правило, отражающая отдельный отдел организации, должна иметь собственные разрешения доступа и политики для определенных рабочих нагрузок. Например, пользователи из внутренней подписки разработчика программного обеспечения не должны иметь доступа к управлению и развертыванию сетевых ресурсов в подписке на подключение. Однако эти среды по-прежнему нуждаются в сетевом подключении, чтобы обеспечить необходимые функциональные возможности для базовых служб, таких как DNS, гибридное подключение и возможность доступа к другим ресурсам в разных виртуальных сетях Azure (виртуальных сетях).

Сегментация инфраструктуры Azure обеспечивает не только изоляцию, но и может создавать границы безопасности, которые препятствуют злоумышленнику перемещаться по средам и нанести дополнительный ущерб (принцип "Предположим, нарушение нулевого доверия").

Эталонная архитектура

Вы можете использовать различные уровни сегментации в Azure, чтобы защитить ресурсы от несанкционированного доступа или вредоносной атаки. Эти уровни сегментации начинаются на уровне подписки и переходят до приложений, работающих на виртуальных машинах. Сегментация создает границу, которая отделяет одну среду от другой, каждая из которых содержит собственные правила и политики. Предполагая, что нарушения могут произойти, необходимо сегментировать сети, чтобы предотвратить их распространение.

Сеть Azure использует следующие уровни сегментации:

• Подписки

  Подписка Azure — это логический контейнер, используемый для подготовки ресурсов в Azure. Она связана с учетной записью Azure в клиенте идентификатора Microsoft Entra ID и служит одной единицей выставления счетов для ресурсов Azure, назначенных подписке. Подписка Azure также является логической границей для доступа к ресурсам, содержащимся в подписке. Для доступа между ресурсами в разных подписках требуются явные разрешения.

• Виртуальные сети

  Виртуальная сеть Azure — это изолированная частная сеть, которая по умолчанию позволяет всем виртуальным машинам в ней взаимодействовать друг с другом. По умолчанию виртуальные сети не могут взаимодействовать с другими виртуальными сетями, если между ними не создаются подключения через пиринг, VPN-подключения или ExpressRoute. Отдельные виртуальные сети можно использовать как границу доверия, которая разделяет различные приложения, рабочие нагрузки, отделы или организации.

  Диспетчер виртуальная сеть Azure (AVNM) — это служба управления сетями, которая позволяет одной группе администрирования управлять виртуальными сетями и применять правила безопасности для нескольких подписок глобально. С помощью AVNM можно определить сетевые группы, чтобы определить, какие виртуальные сети могут взаимодействовать друг с другом. Вы также можете использовать AVNM для мониторинга изменений конфигурации сети.

• Рабочие нагрузки в виртуальной сети

  Для рабочих нагрузок в виртуальной сети, таких как виртуальные машины или любые службы PaaS, поддерживающие интеграцию виртуальных сетей, такие как Azure Databricks и Служба приложений, обмен данными разрешен по умолчанию, так как они содержатся в одной виртуальной сети и должны быть защищены с помощью групп безопасности сети. Средства и службы для сегментации в виртуальной сети включают следующее:

  • Брандмауэр Azure

    Брандмауэр Azure — это служба, развернутая в виртуальной сети для фильтрации трафика между облачными ресурсами, локальной средой и Интернетом. С помощью Брандмауэр Azure можно определить правила и политики, чтобы разрешить или запретить трафик на уровнях сети и приложений. Вы также можете воспользоваться расширенными функциями защиты от угроз, предоставляемыми Брандмауэр Azure, такими как система обнаружения вторжений и предотвращения вторжений (IDPS), проверка протокола TLS и фильтрация на основе аналитики угроз.

  • группу безопасности сети;

    Группа безопасности сети — это механизм управления доступом, который фильтрует сетевой трафик между ресурсами Azure, такими как виртуальные машины в виртуальной сети. Группа безопасности сети содержит правила безопасности, которые разрешают или запрещают трафик на уровнях подсети или виртуальных машин в виртуальной сети. Общее использование групп безопасности сети — сегментировать наборы виртуальных машин в разных подсетях.

  • Группа безопасности приложений

    Группа безопасности приложений — это расширение группы безопасности сети, которая позволяет группировать сетевые интерфейсы виртуальных машин на основе их ролей и функций. Затем можно использовать группы безопасности приложений в группе безопасности сети в масштабе без необходимости определять IP-адреса виртуальных машин.

  • Azure Front Door

    Azure Front Door — это современная облачная сеть доставки содержимого (CDN), которая обеспечивает быстрый, надежный и безопасный доступ между пользователями и статическим и динамическим веб-контентом приложений по всему миру.

На следующей схеме показана эталонная архитектура для уровней сегментации.

На схеме сплошные красные линии указывают уровни сегментации между:

1. Подписки Azure
2. Виртуальные сети в подписке
3. Подсети в виртуальной сети
4. Интернет и виртуальная сеть

На схеме также показан набор виртуальных сетей, управляемых AVNM, которые могут охватывать подписки Azure.

Что такое в этой статье?

Принципы нулевого доверия применяются к эталонной архитектуре в облаке Azure. В следующей таблице описываются рекомендации по сегментированию сетей в этой архитектуре, которые соответствуют принципу "Предполагать нарушение нулевого доверия".

Шаг 1. Сегментирование в отдельных виртуальных сетям

В одной виртуальной сети в подписке Azure используются подсети для разделения и сегментации ресурсов. Например, в виртуальной сети может быть подсеть для серверов баз данных, другая для веб-приложений и выделенная подсеть для Брандмауэр Azure или Шлюз приложений Azure с Брандмауэр веб-приложений. По умолчанию все обмен данными между подсетями включены в виртуальной сети.

Чтобы создать изоляцию между подсетями, можно применить группы безопасности сети или группы безопасности приложений, чтобы разрешить или запретить определенный сетевой трафик на основе IP-адресов, портов или протоколов. Однако проектирование и обслуживание групп безопасности сети и групп безопасности приложений также могут создавать затраты на управление.

На этом рисунке показана общая и рекомендуемая конфигурация трехуровневого приложения с отдельными подсетями для каждого уровня и использование групп безопасности сети и групп безопасности приложений для создания сегментированных границ между каждой подсетью.

Кроме того, можно добиться сегментации ресурсов путем маршрутизации трафика между подсетями с помощью определяемых пользователем маршрутов (UDR), указывающих на Брандмауэр Azure или стороннее сетевое виртуальное устройство (NVA). Брандмауэр Azure и NVAs также имеют возможность разрешать или запрещать трафик с помощью элементов управления уровня 3 до уровня 7. Большинство этих служб предоставляют расширенные возможности фильтрации.

Дополнительные сведения см. в руководстве по шаблону 1: отдельная виртуальная сеть.

Шаг 2. Подключение нескольких виртуальных сетей с пирингом

По умолчанию между виртуальными сетями не разрешено взаимодействие с одной подпиской Azure или несколькими подписками. Несколько виртуальных сетей, принадлежащих разным сущностям, имеют собственные элементы управления доступом. Они могут подключаться друг к другу или к централизованной виртуальной сети с помощью пиринга виртуальной сети, где Брандмауэр Azure или сторонней NVA проверяет весь трафик.

На этом рисунке показано пиринговое подключение между двумя виртуальными сетями и использование Брандмауэр Azure в каждой части подключения.

Виртуальная сеть концентратора обычно содержит общие компоненты, такие как брандмауэры, поставщики удостоверений и компоненты гибридного подключения, среди прочего. Управление UDR становится проще, так как добавление определенных определяемых пользователем префиксов для микросегации будет необходимо только в том случае, если требуется трафик внутри виртуальной сети. Однако, так как виртуальная сеть имеет свои собственные границы, средства управления безопасностью уже установлены.

Дополнительные сведения см. в следующих руководствах:

• Брандмауэр и Шлюз приложений для виртуальных сетей
• Шаблон 2. Несколько виртуальных сетей с пирингом между ними
• Применение принципов нулевого доверия к периферийной виртуальной сети в Azure
• Применение принципов нулевого доверия к виртуальной сети концентратора в Azure

Шаг 3. Подключение нескольких виртуальных сетей в конфигурации концентратора и периферийной сети

Для нескольких виртуальных сетей в конфигурации концентратора и периферийной сети необходимо учитывать, как сегментировать сетевой трафик для этих границ:

• Граница Интернета
• Локальная граница сети
• Границы глобальных служб Azure

Граница Интернета

Защита интернет-трафика является основным приоритетом в сетевой безопасности, которая включает управление трафиком входящего трафика из Интернета (ненадежным) и исходящим трафиком, направленным на Интернет (доверенный) из рабочих нагрузок Azure.

Корпорация Майкрософт рекомендует использовать входящий трафик из Интернета с одной точкой входа. Корпорация Майкрософт настоятельно призывает к тому, что трафик входящего трафика проходит через ресурс Azure PaaS, например Брандмауэр Azure, Azure Front Door или Шлюз приложений Azure. Эти ресурсы PaaS предоставляют больше возможностей, чем виртуальная машина с общедоступным IP-адресом.

Брандмауэр Azure

На этом рисунке показано, как Брандмауэр Azure в собственной подсети выступает в качестве центральной точки входа и границы сегментации для трафика между Интернетом и трехуровневой рабочей нагрузкой в виртуальной сети Azure.

Дополнительные сведения см. в Брандмауэр Azure в Microsoft Azure Well-Architected Framework.

Azure Front Door

Azure Front Door может выступать в качестве границы между Интернетом и службами, размещенными в Azure. Azure Front Door поддерживает Приватный канал подключение к ресурсам, таким как внутренняя балансировка нагрузки (ILB) для доступа к виртуальной сети, учетных записей хранения для статических веб-сайтов и хранилища BLOB-объектов и служб приложение Azure. Azure Front Door обычно выполняется для масштабируемых развертываний.

Azure Front Door — это больше, чем служба балансировки нагрузки. Инфраструктура Azure Front Door имеет встроенную защиту от атак DDoS. Если кэширование включено, содержимое можно получить из расположений присутствия (POP), а не постоянно обращаться к серверным серверам. По истечении срока действия кэша Azure Front Door извлекает запрошенный ресурс и обновляет кэш. Вместо того чтобы конечные пользователи, обращающиеся к своим серверам, Azure Front Door использует split TCP для двух отдельных подключений. Это не только улучшает взаимодействие с конечными пользователями, но и запрещает злоумышленникам напрямую получать доступ к ресурсам.

На этом рисунке показано, как Azure Front Door обеспечивает сегментацию между пользователями Интернета и ресурсами Azure, которые могут находиться в учетных записях хранения.

Дополнительные сведения см. в статье Azure Front Door в Azure Well-Architected Framework.

Шлюз приложений Azure

Точка входа в Интернет также может быть сочетанием точек входящего трафика. Например, трафик HTTP/HTTPS может входящий трафик через Шлюз приложений, защищенный Брандмауэр веб-приложений или Azure Front Door. Трафик, отличный от HTTP/HTTPS, например RDP/SSH, может входящего трафика через Брандмауэр Azure или NVA. Эти два элемента можно использовать в тандеме для более глубокой проверки и управления потоком трафика с помощью определяемых пользователем пользователей.

На этом рисунке показан трафик входящего трафика в Интернет и использование Шлюз приложений с Брандмауэр веб-приложений для трафика HTTP/HTTPS и Брандмауэр Azure для всего другого трафика.

Ниже приведены два распространенных рекомендуемых сценария:

• Поместите Брандмауэр Azure или NVA параллельно с Шлюз приложений.
• Поместите Брандмауэр Azure или NVA после Шлюз приложений для дальнейшего проверки трафика, прежде чем он достигнет места назначения.

Дополнительные сведения см. в Шлюз приложений Azure в Microsoft Azure Well-Architected Framework.

Ниже приведены дополнительные распространенные шаблоны потоков трафика Интернета.

Входящий трафик с помощью нескольких интерфейсов

Один из подходов включает использование нескольких сетевых интерфейсов на виртуальных машинах при использовании NVAs: один интерфейс для ненадежного трафика (внешний трафик) и другой для доверенного трафика (внутреннего подключения). С точки зрения потока трафика необходимо направлять трафик входящего трафика из локальной среды в NVA с помощью определяемых пользователем пользователей. Трафик входящего трафика из Интернета, полученного NVA, должен направляться в целевую рабочую нагрузку в соответствующей виртуальной сети или подсети путем сочетания статических маршрутов на устройстве гостевой ОС и определяемых пользователем определяемых пользователем учетных данных.

Исходящий трафик и UDR

Для трафика, покидающего виртуальную сеть для Интернета, вы можете применить UDR с помощью таблицы маршрутов с выбранным NVA в качестве следующего прыжка. Чтобы снизить сложность, можно развернуть Брандмауэр Azure или NVA в центре Виртуальная глобальная сеть Azure и включить безопасность Интернета с намерением маршрутизации. Это гарантирует, что выполняется проверка трафика на северо-юг (входящего и выходного из области сети) и восточно-западного трафика (между устройствами в пределах сети), предназначенным для проверки виртуальных IP-адресов ( ВИРТУАЛЬНЫХ IP-адресов Azure).

Исходящий трафик и маршрут по умолчанию

Некоторые методы включают управление маршрутом по умолчанию (0.0.0.0/0) с различными методами. В качестве общего правила рекомендуется, чтобы исходящий трафик, поступающий в Azure, использует точки выхода и проверку с Брандмауэр Azure или NVAs из-за объема пропускной способности, которую может обрабатывать инфраструктура Azure, которая в большинстве случаев может быть гораздо более высокой и более устойчивой. В этом случае настройка маршрута по умолчанию в определяемых пользователем подсетях рабочей нагрузки может заставить трафик к этим точкам выхода. Вы также можете перенаправить исходящий трафик из локальной среды в Azure в качестве точки выхода. В этом случае используйте сервер маршрутизации Azure в сочетании с NVA для объявления маршрута по умолчанию в локальную среду с использованием протокола BGP.

Существуют особые случаи, когда требуется перенаправить весь исходящий трафик обратно в локальную среду, рекламируя маршрут по умолчанию по протоколу BGP. Это заставляет трафик, покидающий виртуальную сеть, туннелировать через локальную сеть в брандмауэр для проверки. Этот последний подход является наименее необходимым из-за повышенной задержки и отсутствия элементов управления безопасностью, предоставляемых Azure. Эта практика широко применяется правительством и банковскими секторами, имеющими конкретные требования к проверке трафика в локальной среде.

С точки зрения масштаба:

• Для одной виртуальной сети можно использовать группы безопасности сети, которые строго соответствуют семантике уровня 4 или использовать Брандмауэр Azure, которая соответствует семантике уровня 4 и уровня 7.
• Для нескольких виртуальных сетей один Брандмауэр Azure по-прежнему можно использовать, если он доступен, или развернуть Брандмауэр Azure в каждой виртуальной сети и прямой трафик с помощью определяемых пользователем пользователей.

Для крупных распределенных сетей предприятия можно по-прежнему использовать модель концентратора и периферийной сети, а также прямой трафик с определяемыми клиентами. Однако это может привести к затратам на управление и ограничениям пиринга виртуальной сети. Для простоты использования Azure Виртуальная глобальная сеть это можно достичь, если развернуть Брандмауэр Azure в виртуальном концентраторе и активировать намерение маршрутизации для безопасности Интернета. Это приведет к внедрению маршрутов по умолчанию во всех периферийных и филиалах и отправке трафика, привязанного к Интернету, в Брандмауэр Azure для проверки. Частный трафик, предназначенный для блоков адресов RFC 1918, отправляется в Брандмауэр Azure или NVA в качестве указанного следующего прыжка внутри центра Azure Виртуальная глобальная сеть.

Локальная граница сети

В Azure основные методы для установления подключения к локальным сетям включают туннели протокола Интернета (IPsec), туннели ExpressRoute или туннели, определяемые программным обеспечением (SD-WAN). Как правило, для небольших рабочих нагрузок, требующих меньшей пропускной способности, используется VPN-подключение Azure типа "сеть — сеть" (S2S). Для рабочих нагрузок, которым требуется выделенный путь к службе и требуется более высокая пропускная способность, корпорация Майкрософт рекомендует ExpressRoute.

На этом рисунке показаны различные типы методов подключения между средой Azure и локальной сетью.

Хотя VPN-подключения Azure могут поддерживать несколько туннелей, ExpressRoute часто настраивается для крупных корпоративных сетей, требующих более высокой пропускной способности и частных подключений через партнера по подключению. Для ExpressRoute можно подключить одну и ту же виртуальную сеть к нескольким каналам, но в целях сегментации это часто не идеально, так как это позволяет виртуальным сетям не подключаться друг к другу.

Один из способов сегментации включает в себя выбор не использовать удаленный шлюз в периферийных виртуальных сетях или отключение распространения маршрутов BGP, если вы используете таблицы маршрутов. Вы по-прежнему можете сегментировать концентраторы, подключенные к ExpressRoute, с помощью NVAs и брандмауэров. Для периферийных компонентов, пиринговых к концентраторам, вы можете не использовать удаленный шлюз в свойствах пиринга виртуальной сети. Таким образом, периферийные серверы только учатся об их прямых подключенных центрах и не о локальных маршрутах.

Другим новым подходом к сегменту трафика, который собирается и из локальной среды, является использование технологий SD-WAN. Вы можете расширить расположения филиалов в Azure SD-WAN с помощью сторонних NVAs в Azure для создания сегментации на основе туннелей SD-WAN, поступающих из разных ветвей на устройствах NVA. Сервер маршрутизации Azure можно использовать для внедрения префиксов адресов для туннелей SD-WAN в платформу Azure для концентратора и периферийной топологии.

Для топологии виртуальной глобальной сети можно напрямую интегрировать сторонний NVA SD-WAN в виртуальном концентраторе. Конечные точки BGP также можно использовать для использования решений SD-WAN, создавая туннели из виртуального концентратора, интегрированного с NVA.

Для обеих моделей можно использовать ExpressRoute для сегментирования базового частного или общедоступного подключения с помощью частного пиринга или пиринга Майкрософт. Для безопасности распространенная практика — объявление маршрута по умолчанию через ExpressRoute. Это заставляет весь трафик, покидающий виртуальную сеть, туннелироваться в локальную сеть для проверки. Аналогичным образом трафик, поступающий через VPN и ExpressRoute, можно отправить в NVA для дальнейшего проверки. Это также относится к трафику, выходя из Azure. Эти методы просты, если среда меньше, например один или два региона.

Для больших распределенных сетей можно также использовать Azure Виртуальная глобальная сеть, активировав частную проверку трафика с помощью намерения маршрутизации. Это направляет весь трафик, предназначенный для частного IP-адреса NVA для проверки. Как и в приведенных выше методах, это гораздо проще управлять, когда среда охватывает несколько регионов.

Другой подход к Azure Виртуальная глобальная сеть — использовать пользовательские таблицы маршрутов для границ изоляции. Вы можете создавать пользовательские маршруты и связывать и распространять виртуальные сети, которые вы хотите использовать в этих таблицах маршрутов. Однако эта возможность не может сочетаться с намерением маршрутизации сегодня. Чтобы изолировать ветви, можно назначить метки для связывания ветвей с этой меткой. Вы также можете отключить распространение на метку по умолчанию на основе каждого концентратора. В настоящее время вы не можете изолировать отдельные ветви в Azure отдельно в одном концентраторе. Например, нельзя изолировать SD-WAN от ExpressRoute. Но в целом концентраторе можно отключить распространение на метку по умолчанию.

Границы глобальных служб Azure

В Azure большинство служб по умолчанию доступны через глобальную глобальную глобальную сеть Azure. Это также относится к общедоступному доступу к службам Azure PaaS. Например, служба хранилища Azure имеет встроенный брандмауэр, который может ограничить доступ к виртуальным сетям и заблокировать общедоступный доступ. Однако часто требуется более детализированный контроль. Типичным вариантом является подключение к виртуальным IP-адресам Azure в частном порядке, а не использование общедоступных IP-адресов по умолчанию.

Наиболее распространенный метод ограничения доступа к ресурсам PaaS — Приватный канал Azure. При создании частной конечной точки он внедряется в виртуальную сеть. Azure использует этот частный IP-адрес для туннелирования ресурса PaaS. Azure сопоставляет запись DNS A с частной конечной точкой с помощью зон Частная зона DNS Azure и сопоставляет запись CNAME с ресурсом PaaS приватного канала.

Конечные точки службы предлагают альтернативный метод подключения к IP-адресам PaaS. Вы можете выбрать теги служб, чтобы разрешить подключения ко всем ресурсам PaaS в этом теге и предоставить частное подключение к ресурсу PaaS.

Другой распространенный метод включает использование пиринга Майкрософт для ExpressRoute. Если вы хотите подключиться к IP-адресам PaaS из локальной среды, можно настроить пиринг Майкрософт. Вы можете выбрать сообщество BGP для использования виртуальных ip-адресов, и это объявляется по пути пиринга Майкрософт.

Дополнительные сведения см. в следующих руководствах:

• Брандмауэр и Шлюз приложений для виртуальных сетей
• Шаблон 3. Несколько виртуальных сетей в центральной и периферийной модели

Сводка сегментации

В этой таблице приведены различные уровни сегментации и методов безопасности.

Рекомендуемое обучение

• Настройка виртуальных сетей для администраторов Azure и управление ими
• Общие сведения о Azure Брандмауэр веб-приложений
• Защита и изоляция доступа к ресурсам Azure с помощью групп безопасности сети и конечных точек служб
• Общие сведения о Azure Front Door
• Общие сведения о Шлюз приложений Azure
• Общие сведения о Приватный канал Azure
• Общие сведения о Azure Виртуальная глобальная сеть
• Подключение локальной сети к Azure с помощью VPN-шлюз

Next Steps

Дополнительные сведения о применении нулевого доверия к сети Azure см. в следующем разделе:

• Шифрование сетевого взаимодействия на основе Azure
• Получение видимости сетевого трафика
• Прекращение устаревшей технологии безопасности сети
• Защита сетей с помощью модели "Никому не доверяй"
• Периферийные виртуальные сети в Azure
• Виртуальные сети концентратора в Azure
• Периферийные виртуальные сети со службами Azure PaaS
• Виртуальная глобальная сеть Azure

Ссылки

Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.

• Диспетчер виртуальная сеть Azure
• Брандмауэр Azure
• Группы безопасности сети
• Группы безопасности приложений
• Azure Front Door
• Шлюз приложений Azure
• брандмауэр веб-приложения;
• Приватный канал Azure
• Виртуальная глобальная сеть Azure
• Интернет-безопасность с намерением маршрутизации
• VPN-подключение типа "сеть — сеть" Azure (S2S)
• Сервер маршрутизации Azure