Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся рекомендации по применению принципов нулевого доверия для сегментирования сетей в средах Azure. Ниже приведены принципы нулевого доверия.
| Принцип нулевого доверия | Определение |
|---|---|
| Явная проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. |
| Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью технологий Just-In-Time и Just-Enough-Access (JIT/JEA), адаптивных политик на основе риска и защиты данных. |
| Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и ограничьте доступ к сегментам. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. Этот принцип выполняется с помощью аналитики для получения видимости сетевого трафика в инфраструктуре Azure. |
Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия к сетям Azure.
Типы сетевого трафика, описанные в этой статье:
- Централизовано
- Трафик между восточной и западной частями, который представляет собой потоки данных между виртуальными сетями Azure (VNets), службами Azure и локальной сетью на предприятии.
- Северо-юг, которые являются потоками трафика между вашей средой Azure и Интернетом
Эталонная архитектура
На следующей схеме показана эталонная архитектура для этого руководства по проверке трафика между локальными и виртуальными сетями Azure, между виртуальными сетями Azure и службами Azure, а также между средой Azure и Интернетом.
Эта эталонная архитектура включает:
- Рабочие нагрузки IaaS Azure, выполняемые на виртуальных машинах Azure.
- Службы Azure.
- Виртуальная сеть Internet Edge, содержащая защиту от DDoS-атак Azure, Брандмауэр Azure и межсетевой экран веб-приложений Azure (WAF).
- Стрелки, показывающие потоки трафика на востоке и на северо-юге.
Что такое в этой статье?
Принципы нулевого доверия применяются к эталонной архитектуре. В следующей таблице описаны рекомендации по обеспечению видимости сетевого трафика в этой архитектуре в соответствии с принципом нулевого доверия «Предполагаемое нарушение».
| Шаг | Задача |
|---|---|
| 1 | Реализуйте централизованную точку проверки трафика. |
| 2 | Реализуйте проверку трафика на востоке запада. |
| 3 | Реализуйте проверку трафика на север-юг. |
Шаг 1. Реализация централизованной точки проверки трафика
Централизованная проверка трафика дает возможность контролировать и визуализировать трафик, проходящий и выход из сети. Концентраторы и периферийные виртуальные сети и Виртуальная глобальная сеть Azure являются двумя наиболее распространенными топологиями сети в Azure. Они имеют различные возможности и функции в том, как они подключаются к сетям. В обоих проектах виртуальная сеть концентратора является центральной сетью и используется для разделения рабочих нагрузок на приложения и рабочие нагрузки из центральной виртуальной сети на периферийные виртуальные сети. Централизованная проверка включает в себя трафик, который направляется на север-юг, восток-запад или оба.
топология концентратор-спица
Одним из характеристик модели концентратора и периферийной является то, что виртуальные сети управляются вами. Управляемая виртуальная сеть центра клиентов служит общей виртуальной сетью, к которой подключаются другие периферийные виртуальные сети. Эта централизованная виртуальная сеть обычно используется:
- Чтобы установить гибридное подключение к локальным сетям.
- Для проверки трафика и сегментации с помощью Брандмауэр Azure или сторонних сетевых виртуальных устройств (NVAs).
- Централизация проверки службы доставки приложений, например Шлюз приложений Azure с помощью WAF.
В этой топологии вы размещаете Azure Firewall или NVA в виртуальной сети концентратора и настраиваете определяемые пользователем маршруты (UDR) для направления трафика от периферийных виртуальных сетей и из вашей локальной сети в виртуальную сеть концентратора. Брандмауэр Azure или NVA также могут служить подсистемой маршрутизации для маршрутизации трафика между периферийными виртуальными сетями. Одной из наиболее важных функций модели концентратор-спица в управляемой клиентом виртуальной сети является возможность детализированного контроля трафика с помощью маршрутов, определяемых пользователем, и возможность вручную изменять маршрутизацию, сегментацию и распространение этих маршрутов.
Виртуальная глобальная сеть Azure
Azure Виртуальная глобальная сеть — это виртуальная сеть, управляемая Azure, которая содержит экземпляры службы маршрутизации под капотом, которые контролируют распространение маршрутов из всех ветвей и всех периферийных компонентов. Он эффективно обеспечивает подключение "любой к любому".
Одним из крупных различий в управляемой виртуальной сети (называемой управляемым виртуальным концентратором) является то, что степень детализации управления маршрутизацией абстрагируется для пользователей. Ниже приведены некоторые ключевые преимущества.
- Упрощенное управление маршрутами с использованием нативного подключения "любой-к-любому". Если вам нужна изоляция трафика, можно вручную настроить пользовательские таблицы маршрутов или статические маршруты в таблице маршрутов по умолчанию.
- В центре можно развертывать только виртуальные сетевые шлюзы, брандмауэр Azure и утвержденные NVAs или программно-определяемые устройства WAN (SD-WAN). Централизованные службы, такие как DNS и Шлюз приложений, должны находиться в обычных периферийных виртуальных сетях. Спицы должны быть подключены к виртуальным концентраторам с помощью пиринга виртуальной сети.
Управляемые виртуальные сети лучше всего подходят для:
- Крупномасштабные развертывания в разных регионах, которым требуется транзитное подключение, позволяющие проверку трафика в/из любого местоположения.
- Более 30 филиалов или более 100 туннелей безопасности протокола Интернета (IPsec).
Некоторые из лучших функций Виртуальная WAN — это масштабируемая инфраструктура маршрутизации и взаимосоединение. Примеры масштабируемости включают пропускную способность 50 Гбит/с на концентратор и 1000 сайтов филиалов. Для дальнейшего масштабирования можно объединить несколько виртуальных концентраторов, чтобы создать более крупную сеть Виртуальной WAN. Еще одним преимуществом Виртуальной сети WAN является возможность упростить маршрутизацию для проверки трафика путем внедрения префиксов нажатием кнопки.
Каждый дизайн несет свои собственные преимущества и недостатки. Необходимо определить соответствующий выбор на основе ожидаемых будущих требований к росту и управлению затратами.
Шаг 2. Реализация проверки трафика на востоке запада
Восточно-западные потоки трафика включают связи между виртуальными сетями (VNet-to-VNet) и между виртуальными сетями и локальными сетями (VNet-to-on-premises). Чтобы проверить трафик между востоком и западом, можно развернуть Брандмауэр Azure или NVA в виртуальной сети концентратора. Для этого требуется направлять частный трафик через определенные пользователем маршруты на Брандмауэр Azure или NVA для проверки. В той же виртуальной сети можно использовать группы безопасности сети для управления доступом, но если вам нужен более глубокий контроль с проверкой, можно использовать локальный брандмауэр или централизованный брандмауэр в центральной виртуальной сети с использованием маршрутов, определяемых пользователем.
С помощью Azure Virtual WAN можно использовать межсетевой экран Azure или NVA в виртуальном концентраторе, чтобы централизованно управлять маршрутизацией. Вы можете использовать Менеджер брандмауэров Azure или маршрутизационное намерение для проверки всего частного трафика. Если вы хотите настроить проверку, вы можете использовать Брандмауэр Azure или NVA в виртуальном концентраторе для проверки требуемого трафика. Самый простой способ направить трафик в среде виртуальной WAN-сети — включить предназначение маршрутизации для частного трафика. Эта функция отправляет префиксы частного адреса (RFC 1918) ко всем спицам, подключенным к концентратору. Любой трафик, предназначенный для частного IP-адреса, будет направлен в виртуальный концентратор для проверки.
У каждого метода свои плюсы и минусы. Преимуществом использования намерения маршрутизации является упрощение управления UDR, однако вы не можете настроить проверку для каждого подключения. Преимущество не использования намерения маршрутизации или диспетчера брандмауэра заключается в том, что можно настроить проверку. Недостатком является то, что вы не можете выполнять межрегионную проверку трафика.
На следующей схеме показан трафик на востоке запада в среде Azure.
Для видимости сетевого трафика в Azure корпорация Майкрософт рекомендует реализовать Брандмауэр Azure или NVA в виртуальной сети. Брандмауэр Azure может проверять как сетевой уровень, так и трафик уровня приложений. Кроме того, Брандмауэр Azure предоставляет дополнительные функции, такие как система обнаружения и предотвращения вторжений (IDPS), проверка протокола TLS, фильтрация URL-адресов и фильтрация веб-категорий.
Включение Azure Firewall или NVA в вашей сети Azure имеет решающее значение для применения принципа "нулевого доверия", который предписывает "предполагать нарушение" в сетевой безопасности. Учитывая, что нарушения могут возникать всякий раз, когда данные проходят через сеть, важно понять и контролировать, какой трафик разрешен для достижения назначения. Брандмауэр Azure, маршруты, определяемые пользователем, и группы безопасности сети играют важную роль в обеспечении безопасной модели трафика, разрешая или запрещая трафик между рабочими нагрузками.
Чтобы просмотреть дополнительные сведения о потоках трафика виртуальной сети, можно включить журналы потоков виртуальной сети или журналы потоков NSG. Данные журнала потоков хранятся в учетной записи хранилища Azure, где вы можете получить к ним доступ и экспортировать в средство визуализации, например, Azure Traffic Analytics. С помощью Аналитики трафика Azure можно найти неизвестный или нежелательный трафик, отслеживать уровень трафика и использование пропускной способности или фильтровать конкретный трафик, чтобы понять поведение приложения.
Шаг 3. Реализация проверки трафика на северо-юге
Как правило, трафик "Север-юг" включает трафик между частными сетями и Интернетом. Чтобы проверить северо-южный трафик в топологии с центральным узлом и соединением в виде лучей, вы можете использовать пользовательские маршруты (UDR) для направления трафика в экземпляр Azure Firewall или NVA. Для динамической рекламы можно использовать сервер маршрутизации Azure с NVA, который поддерживает BGP для перенаправления всего трафика, привязанного к Интернету, из виртуальных сетей в NVA.
В Azure Виртуальная сеть WAN, чтобы направить северо-южный трафик из виртуальных сетей к Azure брандмауэру или поддерживаемым NVA в виртуальном концентраторе, можно использовать следующие распространенные сценарии:
- Используйте NVA или Брандмауэр Azure в виртуальном концентраторе, который управляется с намерением маршрутизации или с помощью диспетчера Брандмауэра Azure для направления северо-южного трафика.
- Если NVA не поддерживается в виртуальном концентраторе, его можно развернуть в спицевой виртуальной сети и направить трафик с помощью определяемых пользователем маршрутов для проверки. То же самое относится к Брандмауэр Azure. Кроме того, для объявления маршрута по умолчанию (0.0.0.0.0/0/0) можно также использовать пиринг BGP в периферийном интерфейсе с виртуальным концентратором.
На следующей схеме показан трафик между средой Azure и Интернетом на северо-юге.
Azure предоставляет следующие сетевые службы, предназначенные для предоставления видимости сетевого трафика, входящего и выхода из среды Azure.
Защита от атак DDoS Azure
Защита от атак DDoS Azure может быть включена в любой виртуальной сети, которая имеет общедоступные IP-ресурсы для отслеживания и устранения возможных атак типа "отказ в обслуживании" (DDoS). Этот процесс устранения рисков включает в себя анализ использования трафика по предопределенным пороговым значениям в политике DDoS, за которым следует ведение журнала этих сведений для дальнейшего изучения. Чтобы лучше подготовиться к будущим инцидентам, Защита от атак DDoS Azure предлагает возможность выполнять имитации по общедоступным IP-адресам и службам, предоставляя ценные сведения о устойчивости и реагировании вашего приложения во время атаки DDoS.
Брандмауэр Azure
Брандмауэр Azure предоставляет набор средств для мониторинга, аудита и анализа сетевого трафика.
Журналы и метрики
Брандмауэр Azure собирает подробные журналы путем интеграции с рабочими областями Azure Log Analytics. Запросы на языке запросов Kusto (KQL) можно использовать для извлечения дополнительных сведений о главных категориях правил, таких как правила приложений и сетевые правила. Вы также можете получить журналы, относящиеся к ресурсам, которые расширяют схемы и структуры от сетевого уровня до журналов аналитики угроз и журналов системы обнаружения и предотвращения вторжений (IDPS). Дополнительные сведения см. в структурированных журналах брандмауэра Azure.
Рабочие тетради
Брандмауэр Azure предоставляет рабочие книги, которые представляют данные, собранные с помощью графиков активности с течением времени. Это средство также помогает визуализировать несколько Брандмауэр Azure ресурсов, объединяя их в единый интерфейс. Дополнительные сведения см. в разделе Использование рабочих тетрадей Брандмауэра Azure.
Аналитика политик
Аналитика политик Azure Firewall предоставляет обзор внедрённых политик и, основываясь на аналитике политики, аналитике правил и аналитике потоков трафика, корректирует и изменяет реализованные политики для адаптации к шаблонам трафика и угрозам. Дополнительные сведения см. в разделе Аналитика политик брандмауэра Azure.
Эти возможности гарантируют, что Брандмауэр Azure остается надежным решением для защиты сетевого трафика, предоставляя администраторам средства, необходимые для эффективного управления сетями.
Шлюз приложений
Шлюз приложений предоставляет важные возможности для мониторинга, аудита и анализа трафика в целях безопасности. Включив аналитику журналов и используя предварительно определенные или пользовательские запросы KQL, можно просматривать коды ошибок HTTP, в том числе в диапазоне 4xx и 5xx, которые являются критически важными для выявления проблем.
журналы доступа Шлюз приложений также предоставляют критически важные сведения о ключевых параметрах безопасности, таких как IP-адреса клиента, URI запросов, версия HTTP и значения конфигурации SSL/TLS, такие как протоколы, наборы шифров TLS и при включении шифрования SSL.
Azure Front Door: служба для оптимизации доставки содержимого и повышения безопасности.
Azure Front Door использует Протокол TCP Anycast для маршрутизации трафика в ближайшую точку присутствия центра обработки данных (PoP). Как и обычный балансировщик нагрузки, вы можете разместить Брандмауэр Azure или NVA в пуле серверов Azure Front Door, также известном как его источник. Единственное требование заключается в том, что IP-адрес в источнике является общедоступным.
После настройки Azure Front Door для получения запросов он создает отчеты о трафике, чтобы показать, как работает профиль Azure Front Door. При использовании уровня Azure Front Door Premium отчеты безопасности также доступны для отображения совпадений с правилами WAF, включая правила Open Worldwide Application Security Project (OWASP), правила защиты ботов и пользовательские правила.
Azure WAF
Azure WAF — это дополнительная функция безопасности, которая проверяет трафик уровня 7 и может быть активирована для Application Gateway и Azure Front Door на определенных уровнях. Это обеспечивает дополнительный уровень безопасности для трафика, не поступающего в Azure. Вы можете настроить WAF как в режимах предотвращения, так и обнаружения с помощью определений основных правил OWASP.
Средства мониторинга
Для комплексного мониторинга потоков трафика на северо-юге можно использовать такие средства, как журналы потоков NSG, Аналитика трафика Azure и журналы потоков виртуальной сети, чтобы повысить видимость сети.
Рекомендуемое обучение
- Настройка виртуальных сетей для администраторов Azure и управление ими
- Общие сведения о Azure Брандмауэр веб-приложений
- Введение в Azure Virtual WAN
- Общие сведения о Azure Front Door
- Общие сведения о Шлюз приложений Azure
Дальнейшие шаги
Дополнительные сведения о применении нулевого доверия к сети Azure см. в следующем разделе:
- Шифрование сетевого взаимодействия на основе Azure
- Сегментирование сетевой коммуникации на основе Azure
- Прекращение устаревшей технологии безопасности сети
- Защита сетей с помощью модели "Никому не доверяй"
- Спицевые виртуальные сети в Azure
- Виртуальные сети концентратора в Azure
- Периферийные виртуальные сети со службами Azure PaaS
- Виртуальная глобальная сеть Azure
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.
- Защита от атак DDoS Azure
- Брандмауэр Azure
- Azure Брандмауэр веб-приложений
- Виртуальная глобальная сеть Azure
- Шлюз приложений Azure
- Определяемые пользователем маршруты
- Диспетчер Брандмауэр Azure
- Журналы потоков виртуальной сети
- Журналы потоков NSG
- Аналитика трафика Azure
- Сервер маршрутизации Azure
- структурированные журналы Брандмауэр Azure
- Использование рабочих книг Azure Firewall
- Аналитика политики межсетевого экрана Azure
- Azure Front Door