Применение принципов нулевого доверия для получения видимости сетевого трафика
В этой статье приводятся рекомендации по применению принципов нулевого доверия для сегментирования сетей в средах Azure. Ниже приведены принципы нулевого доверия.
| Принцип нулевого доверия | Определение |
|---|---|
| Прямая проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. |
| Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. |
| Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. Этот принцип выполняется с помощью аналитики для получения видимости сетевого трафика в инфраструктуре Azure. |
Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия к сетям Azure.
Типы сетевого трафика, описанные в этой статье:
- Централизовано
- Трафик на востоке, который представляет собой поток трафика между виртуальными сетями Azure (виртуальными сетями) и службами Azure и локальной сетью.
- Северо-юг, которые являются потоками трафика между вашей средой Azure и Интернетом
Эталонная архитектура
На следующей схеме показана эталонная архитектура для этого руководства по проверке трафика между локальными и виртуальными сетями Azure, между виртуальными сетями Azure и службами Azure, а также между средой Azure и Интернетом.
Эта эталонная архитектура включает:
- Рабочие нагрузки IaaS Azure, выполняемые на виртуальных машинах Azure.
- Службы Azure.
- Виртуальная сеть Internet Edge, содержащая защиту от атак DDoS Azure, Брандмауэр Azure и azure Брандмауэр веб-приложений (WAF).
- Стрелки, показывающие потоки трафика на востоке и на северо-юге.
Что такое в этой статье?
Принципы нулевого доверия применяются к эталонной архитектуре. В следующей таблице описаны рекомендации по обеспечению видимости сетевого трафика в этой архитектуре для принципа "Предполагать нарушение нулевого доверия".
| Шаг | Задача |
|---|---|
| 1 | Реализуйте централизованную точку проверки трафика. |
| 2 | Реализуйте проверку трафика на востоке запада. |
| 3 | Реализуйте проверку трафика на север-юг. |
Шаг 1. Реализация централизованной точки проверки трафика
Централизованная проверка трафика дает возможность контролировать и визуализировать трафик, проходящий и выход из сети. Концентраторы и периферийные виртуальные сети и Виртуальная глобальная сеть Azure являются двумя наиболее распространенными топологиями сети в Azure. Они имеют различные возможности и функции в том, как они подключаются к сетям. В обоих проектах виртуальная сеть концентратора является центральной сетью и используется для разделения рабочих нагрузок на приложения и рабочие нагрузки из центральной виртуальной сети на периферийные виртуальные сети. Централизованная проверка включает в себя трафик, который направляется на север-юг, восток-запад или оба.
Звездообразная топология
Одним из характеристик модели концентратора и периферийной является то, что виртуальные сети управляются вами. Управляемая виртуальная сеть центра клиентов служит общей виртуальной сетью, к которой подключаются другие периферийные виртуальные сети. Эта централизованная виртуальная сеть обычно используется:
- Чтобы установить гибридное подключение к локальным сетям.
- Для проверки трафика и сегментации с помощью Брандмауэр Azure или сторонних сетевых виртуальных устройств (NVAs).
- Централизация проверки службы доставки приложений, например Шлюз приложений Azure с помощью WAF.
В этой топологии вы помещаете Брандмауэр Azure или NVA в виртуальную сеть концентратора и настраиваете определяемые пользователем маршруты (UDR) для прямого трафика из периферийных виртуальных сетей и из локальной сети в виртуальную сеть концентратора. Брандмауэр Azure или NVA также могут служить подсистемой маршрутизации для маршрутизации трафика между периферийными виртуальными сетями. Одной из наиболее важных функций управляемого клиентом концентратора виртуальной сети и периферийной модели является детализированный контроль трафика с помощью определяемых пользователем ресурсов и возможность вручную изменять маршрутизацию, сегментацию и распространение этих маршрутов.
Виртуальная глобальная сеть Azure
Azure Виртуальная глобальная сеть — это виртуальная сеть, управляемая Azure, которая содержит экземпляры службы маршрутизации под капотом, которые контролируют распространение маршрутов из всех ветвей и всех периферийных компонентов. Он эффективно обеспечивает подключение "любой к любому".
Одним из крупных различий в управляемой виртуальной сети (называемой управляемым виртуальным концентратором) является то, что степень детализации управления маршрутизацией абстрагируется для пользователей. Ниже приведены некоторые ключевые преимущества.
- Упрощенное управление маршрутами с помощью собственного подключения "любой ко всем". Если вам нужна изоляция трафика, можно вручную настроить пользовательские таблицы маршрутов или статические маршруты в таблице маршрутов по умолчанию.
- В центре можно развертывать только виртуальная сеть шлюзы, Брандмауэр Azure и утвержденные NVAs или программно-определенные устройства глобальной сети (SD-WAN). Централизованные службы, такие как DNS и Шлюз приложений, должны находиться в обычных периферийных виртуальных сетях. Периферийные серверы должны быть подключены к виртуальным концентраторам с помощью пиринга виртуальной сети.
Для управляемых виртуальных сетей лучше всего подходит:
- Крупномасштабные развертывания в разных регионах, которым требуется транзитное подключение, предоставляющие проверку трафика и из любого расположения.
- Более 30 филиалов или более 100 туннелей безопасности протокола Интернета (IPsec).
Некоторые из лучших функций Виртуальная глобальная сеть — это инфраструктура маршрутизации масштабируемости и взаимосоединение. Примеры масштабируемости включают пропускную способность 50 Гбит/с на концентратор и 1000 сайтов филиалов. Для дальнейшего масштабирования можно подключить несколько виртуальных концентраторов, чтобы создать большую сеть сетки Виртуальная глобальная сеть. Еще одним преимуществом Виртуальная глобальная сеть является возможность упростить маршрутизацию для проверки трафика путем внедрения префиксов с помощью кнопки.
Каждый дизайн несет свои собственные преимущества и недостатки. Необходимо определить соответствующий выбор на основе ожидаемых будущих требований к росту и управлению затратами.
Шаг 2. Реализация проверки трафика на востоке запада
Потоки трафика "Восточная западная часть" включают в себя виртуальную сеть — виртуальную сеть и локальную сеть. Чтобы проверить трафик между востоком и западом, можно развернуть Брандмауэр Azure или NVA в виртуальной сети концентратора. Для этого требуется, чтобы определяемые пользователем пользователи направляли частный трафик в Брандмауэр Azure или NVA для проверки. В той же виртуальной сети можно использовать группы безопасности сети для управления доступом, но если вам нужен более глубокий контроль с проверкой, можно использовать локальный брандмауэр или централизованный брандмауэр в центральной виртуальной сети с использованием определяемых пользователем пользователей.
С помощью Azure Виртуальная глобальная сеть можно использовать Брандмауэр Azure или NVA в виртуальном концентраторе для централизованной маршрутизации. Вы можете использовать намерение Брандмауэр Azure Manager или маршрутизации для проверки всего частного трафика. Если вы хотите настроить проверку, вы можете использовать Брандмауэр Azure или NVA в виртуальном концентраторе для проверки требуемого трафика. Самый простой способ направить трафик в Виртуальная глобальная сеть среде — включить намерение маршрутизации для частного трафика. Эта функция отправляет префиксы частного адреса (RFC 1918) ко всем периферийным узлам, подключенным к концентратору. Любой трафик, предназначенный для частного IP-адреса, будет направлен в виртуальный концентратор для проверки.
У каждого метода свои плюсы и минусы. Преимуществом использования намерения маршрутизации является упрощение управления UDR, однако вы не можете настроить проверку для каждого подключения. Преимущество не использования намерения маршрутизации или диспетчера брандмауэра заключается в том, что можно настроить проверку. Недостатком является то, что вы не можете выполнять межрегионную проверку трафика.
На следующей схеме показан трафик на востоке запада в среде Azure.
Для видимости сетевого трафика в Azure корпорация Майкрософт рекомендует реализовать Брандмауэр Azure или NVA в виртуальной сети. Брандмауэр Azure может проверять как сетевой уровень, так и трафик уровня приложений. Кроме того, Брандмауэр Azure предоставляет дополнительные функции, такие как система обнаружения и предотвращения вторжений (IDPS), проверка протокола TLS, фильтрация URL-адресов и фильтрация веб-категорий.
Включение Брандмауэр Azure или NVA в сети Azure имеет решающее значение для применения принципа "Предполагать нарушение нулевого доверия" для сети. Учитывая, что нарушения могут возникать всякий раз, когда данные проходят через сеть, важно понять и контролировать, какой трафик разрешен для достижения назначения. Брандмауэр Azure, определяемых пользователем и группами безопасности сети, играют важную роль в обеспечении безопасной модели трафика, разрешая или запрещая трафик между рабочими нагрузками.
Чтобы просмотреть дополнительные сведения о потоках трафика виртуальной сети, можно включить журналы потоков виртуальной сети или журналы потоков NSG. Данные журнала потоков хранятся в учетной записи служба хранилища Azure, где можно получить доступ к средству визуализации и экспортировать его в средство визуализации, например Аналитика трафика Azure. С помощью Аналитики трафика Azure можно найти неизвестный или нежелательный трафик, отслеживать уровень трафика и использование пропускной способности или фильтровать конкретный трафик, чтобы понять поведение приложения.
Шаг 3. Реализация проверки трафика на северо-юге
Как правило, трафик "Север-юг" включает трафик между частными сетями и Интернетом. Чтобы проверить трафик на северо-юге в концентраторе и периферийной топологии, вы можете использовать определяемые пользователем правила для направления трафика в экземпляр Брандмауэр Azure или NVA. Для динамической рекламы можно использовать сервер маршрутизации Azure с NVA, который поддерживает BGP для перенаправления всего трафика, привязанного к Интернету, из виртуальных сетей в NVA.
В Azure Виртуальная глобальная сеть для перенаправления трафика на север к югу от виртуальных сетей к Брандмауэр Azure или NVA, поддерживаемых в виртуальном концентраторе, можно использовать следующие распространенные сценарии:
- Используйте NVA или Брандмауэр Azure в виртуальном концентраторе, который управляется с помощью маршрутизации и намерения или с помощью диспетчера Брандмауэр Azure для направления трафика на север-юг.
- Если NVA не поддерживается в виртуальном концентраторе, его можно развернуть в периферийной виртуальной сети и направить трафик с помощью определяемых пользователем пользователей для проверки. То же самое относится к Брандмауэр Azure. Кроме того, для объявления маршрута по умолчанию (0.0.0.0.0/0/0) можно также использовать пиринг BGP в периферийном интерфейсе с виртуальным концентратором.
На следующей схеме показан трафик между средой Azure и Интернетом на северо-юге.
Azure предоставляет следующие сетевые службы, предназначенные для предоставления видимости сетевого трафика, входящего и выхода из среды Azure.
Защита от атак DDoS Azure
Защита от атак DDoS Azure может быть включена в любой виртуальной сети, которая имеет общедоступные IP-ресурсы для отслеживания и устранения возможных атак типа "отказ в обслуживании" (DDoS). Этот процесс устранения рисков включает в себя анализ использования трафика по предопределенным пороговым значениям в политике DDoS, за которым следует ведение журнала этих сведений для дальнейшего изучения. Чтобы лучше подготовиться к будущим инцидентам, Защита от атак DDoS Azure предлагает возможность выполнять имитации по общедоступным IP-адресам и службам, предоставляя ценные сведения о устойчивости и реагировании вашего приложения во время атаки DDoS.
Брандмауэр Azure
Брандмауэр Azure предоставляет набор средств для мониторинга, аудита и анализа сетевого трафика.
Журналы и метрики
Брандмауэр Azure собирает подробные журналы путем интеграции с рабочими областями Azure Log Analytics. Запросы язык запросов Kusto (KQL) можно использовать для извлечения дополнительных сведений о основных категориях правил, таких как правила приложений и сети. Вы также можете получить журналы, относящиеся к ресурсам, которые расширяют схемы и структуры от сетевого уровня до журналов аналитики угроз и поставщиков удостоверений. Дополнительные сведения см. в Брандмауэр Azure структурированных журналах.
Workbooks
Брандмауэр Azure предоставляет книги, которые представляют данные, собранные с помощью графов действий с течением времени. Это средство также помогает визуализировать несколько Брандмауэр Azure ресурсов, объединяя их в единый интерфейс. Дополнительные сведения см. в разделе "Использование книг Брандмауэр Azure".
Аналитика политик
Брандмауэр Azure Аналитика политик предоставляет общие сведения о политиках, реализованных и основанных на аналитике политик, аналитике правил и аналитике потока трафика, он настраивает и изменяет реализованные политики для настройки шаблонов трафика и угроз. Дополнительные сведения см. в разделе Брандмауэр Azure Аналитика политик.
Эти возможности гарантируют, что Брандмауэр Azure остается надежным решением для защиты сетевого трафика, предоставляя администраторам средства, необходимые для эффективного управления сетями.
Шлюз приложений
Шлюз приложений предоставляет важные возможности для мониторинга, аудита и анализа трафика в целях безопасности. Включив аналитику журналов и используя предварительно определенные или пользовательские запросы KQL, можно просматривать коды ошибок HTTP, в том числе в диапазоне 4xx и 5xx, которые являются критически важными для выявления проблем.
журналы доступа Шлюз приложений также предоставляют критически важные сведения о ключевых параметрах безопасности, таких как IP-адреса клиента, URI запросов, версия HTTP и значения конфигурации SSL/TLS, такие как протоколы, наборы шифров TLS и при включении шифрования SSL.
Azure Front Door
Azure Front Door использует Протокол TCP Anycast для маршрутизации трафика в ближайшую точку присутствия центра обработки данных (PoP). Как и обычный подсистема балансировки нагрузки, вы можете разместить Брандмауэр Azure или NVA в серверном пуле Azure Front Door, также известном как его источник. Единственное требование заключается в том, что IP-адрес в источнике является общедоступным.
После настройки Azure Front Door для получения запросов он создает отчеты о трафике, чтобы показать, как работает профиль Azure Front Door. При использовании уровня Azure Front Door Premium отчеты безопасности также доступны для отображения совпадений с правилами WAF, включая правила Open Worldwide Application Security Project (OWASP), правила защиты ботов и пользовательские правила.
Azure WAF
Azure WAF — это дополнительная функция безопасности, которая проверяет трафик уровня 7 и может быть активирована для Шлюз приложений и Azure Front Door с определенными уровнями. Это обеспечивает дополнительный уровень безопасности для трафика, не поступающего в Azure. Вы можете настроить WAF как в режимах предотвращения, так и обнаружения с помощью определений основных правил OWASP.
Средства мониторинга
Для комплексного мониторинга потоков трафика на северо-юге можно использовать такие средства, как журналы потоков NSG, Аналитика трафика Azure и журналы потоков виртуальной сети, чтобы повысить видимость сети.
Рекомендуемое обучение
- Настройка виртуальных сетей для администраторов Azure и управление ими
- Общие сведения о Azure Брандмауэр веб-приложений
- Общие сведения о Azure Виртуальная глобальная сеть
- Общие сведения о Azure Front Door
- Общие сведения о Шлюз приложений Azure
Next Steps
Дополнительные сведения о применении нулевого доверия к сети Azure см. в следующем разделе:
- Шифрование сетевого взаимодействия на основе Azure
- Сегментирование сетевого взаимодействия на основе Azure
- Прекращение устаревшей технологии безопасности сети
- Защита сетей с помощью модели "Никому не доверяй"
- Периферийные виртуальные сети в Azure
- Виртуальные сети концентратора в Azure
- Периферийные виртуальные сети со службами Azure PaaS
- Виртуальная глобальная сеть Azure
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.
- Защита от атак DDoS Azure
- Брандмауэр Azure
- Azure Брандмауэр веб-приложений
- Виртуальная глобальная сеть Azure
- Шлюз приложений Azure
- Определяемые пользователем маршруты
- Диспетчер Брандмауэр Azure
- Журналы потоков виртуальной сети
- Журналы потоков NSG
- Аналитика трафика Azure
- Сервер маршрутизации Azure
- структурированные журналы Брандмауэр Azure
- Использование книг Брандмауэр Azure
- аналитика политик Брандмауэр Azure
- Azure Front Door