Применение принципов нулевого доверия к развертыванию Виртуальная глобальная сеть Azure

С развитием современных облачных технологий, мобильных устройств и других конечных устройств, опора только на корпоративные брандмауэры и периметральные сети уже недостаточна. Сквозная стратегия нулевого доверия предполагает, что нарушения безопасности неизбежны. Это означает, что необходимо проверить каждый запрос, как если бы он исходил из неконтролируемой сети. Сеть по-прежнему играет важную роль в нулевом доверии для подключения и защиты инфраструктуры, приложений и данных. В модели "Никому не доверяй" существует три ключевых цели для защиты сетей:

  • Готовность отразить атаки до того, как они произойдут.
  • Минимизация степени повреждения и скорости его распространения.
  • Увеличьте сложность компрометации вашего облачного следа.

Azure Виртуальная глобальная сеть позволяет глобальной архитектуре транзитной сети, обеспечивая всестороннее подключение между глобально распределенными наборами облачных рабочих нагрузок в виртуальных сетях (VNets), сайтами филиалов, приложениями SaaS и PaaS и пользователями. Принятие подхода нулевого доверия в Azure Виртуальная WAN имеет ключевое значение для обеспечения безопасности и защиты вашей сетевой магистрали.

В этой статье приведены шаги по применению принципов нулевого доверия к развертыванию Azure Виртуальной WAN следующими способами:

Принцип нулевого доверия Определение Встретились с
Явная проверка Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Используйте брандмауэр Azure с проверкой Транспортного уровня безопасности (TLS) для подтверждения риска и угроз на основе всех доступных данных. Элементы управления условным доступом предназначены для предоставления проверки подлинности и авторизации различными точками данных, а Брандмауэр Azure не выполняет проверку подлинности пользователей.
Использование доступа с минимальными привилегиями Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. Доступ пользователей выходит за рамки развертываний сетевой инфраструктуры Azure. Используйте средства управления идентификацией, такие как управление привилегированным доступом, условный доступ и другие меры контроля, для реализации этого принципа.
Предполагайте наличие бреши в системе безопасности Минимизируйте радиус поражения и сегментируйте доступ. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. Каждая виртуальная сеть spoke не имеет доступа к другим виртуальным сетям spoke, если трафик не маршрутизируется через брандмауэр, интегрированный в каждый узел Виртуальная глобальная сеть Azure. Брандмауэр по умолчанию запрещает только трафик, разрешенный указанными правилами. В случае компрометации или нарушения одного из приложений или рабочей нагрузок она имеет ограниченную возможность распространяться из-за того, что Брандмауэр Azure выполняет проверку трафика и перенаправляет только разрешенный трафик. Только ресурсы в той же рабочей нагрузке подвергаются нарушению в том же приложении.

Дополнительные сведения о том, как применять принципы нулевого доверия в среде IaaS Azure, см. в обзоре принципов применения нулевого доверия к инфраструктуре Azure.

Для обсуждения концепции нулевого доверия в отрасли см.Специальную Публикацию NIST 800-207.

Виртуальная глобальная сеть Azure

Виртуальная глобальная сеть Azure — это сетевая служба, которая объединяет разные возможности сетевого взаимодействия, обеспечения безопасности и маршрутизации в единый рабочий интерфейс. Среди основных функций:

  • Расширенные функции маршрутизации
  • Интеграция безопасности по принципу "bump-in-the-wire" через брандмауэр Azure или поддерживаемые сетевые виртуальные устройства (NVA) в концентраторе.
  • Шифрованный ExpressRoute

Для подхода нулевого доверия в Виртуальная глобальная сеть Azure требуется настройка нескольких базовых служб и компонентов из ранее указанной таблицы принципов нулевого доверия. Ниже приведен список шагов и действий.

  • Разверните брандмауэр Azure или поддерживаемые брандмауэры следующего поколения (NGFW) в каждом хабе виртуальной глобальной сети.
  • Настройте маршрутизацию между виртуальными сетями и локальной ветвью, чтобы создать среду нулевого доверия, отправив весь трафик в устройства безопасности в центрах для проверки. Настройте маршрутизацию для фильтрации и защиты известных угроз.
  • Убедитесь, что ресурсы в спицах не имеют прямого доступа к Интернету.
  • Предоставьте микро-сегментацию приложений в периферийных сетях, а также стратегию входящих/исходящих микро-периметров.
  • Обеспечение наблюдаемости для событий безопасности сети.

Эталонная архитектура

На следующей схеме показана общая эталонная архитектура, демонстрирующая часто развернутую среду и как применяются принципы Нулевого доверия к Виртуальная глобальная сеть Azure.

Схема эталонной архитектуры виртуального рабочего стола Azure.

Azure Виртуальная глобальная сеть можно развертывать в типах "Базовый" и "Стандартный". Применение принципов нулевого доверия для Azure Виртуальная глобальная сеть с Брандмауэр Azure или NGFW требует стандартного типа.

В Виртуальная глобальная сеть Azure с эталонной архитектурой защищенных центров входят:

  • Одна логическая виртуальная глобальная сеть.
  • Два защищенных виртуальных концентратора, по одному на регион.
  • Экземпляр Брандмауэр Azure Premium, развернутый в каждом узле.
  • По крайней мере, одна премиальная политика Брандмауэра Azure.
  • VPN типа "точка-сеть" (P2S), VPN типа "сеть-сеть" (S2S) и шлюзы VPN и ExpressRoute.
  • Ветви, подключенные к P2S, S2S и ExpressRoute.
  • Виртуальная сеть общих служб, содержащая основные ресурсы инфраструктуры, которые нельзя развернуть в центре Виртуальная глобальная сеть, например пользовательские виртуальные машины DNS или частный сопоставитель Azure DNS, контроллеры домена доменные службы Active Directory [AD DS], Бастион Azure и другие общие ресурсы.
  • Использование виртуальных сетей (VNets) для рабочих нагрузок вместе с шлюзом приложений Azure, веб-аппликационным брандмауэром Azure (WAF) и частными конечными точками, если это необходимо.

Azure Виртуальная глобальная сеть поддерживает интеграцию ограниченного набора сторонних брандмауэров внутри своих центров в качестве альтернативы собственному Брандмауэр Azure. В этой статье описывается только Брандмауэр Azure. Что входит в состав виртуальных сетей и общих служб в эталонной архитектуре, является лишь примером того, что можно развернуть. Корпорация Майкрософт управляет узлами виртуальной сети Azure, и вы не можете установить в них ничего, кроме того, что явно разрешено Брандмауэром Azure и поддерживаемыми сетевыми виртуальными устройствами (NVA).

Эта эталонная архитектура соответствует принципам архитектуры, описанным в статье из раздела Cloud Adoption Framework о топологии Виртуальная глобальная сеть.

Безопасность маршрутизации

Защита распространения маршрутов и изоляции локальной среды является критически важным элементом безопасности, который необходимо управлять.

Кроме сегментации трафика, безопасность маршрутизации является важной частью любой структуры безопасности сети. Протоколы маршрутизации являются неотъемлемой частью большинства сетей, включая Azure. Необходимо защитить инфраструктуру от встроенных рисков для протоколов маршрутизации, таких как неправильно настроенные или вредоносные атаки. Протокол BGP, используемый для VPN или ExpressRoute , предлагает очень широкие возможности защиты сети от нежелательных изменений маршрутизации, которые могут включать объявление слишком конкретных маршрутов или слишком широких маршрутов.

Лучший способ защиты сети — настроить локальные устройства с соответствующими политиками маршрутов и картами маршрутов, чтобы убедиться, что только разрешенные префиксы распространяются в сеть из Azure. Например, доступны следующие возможности:

  • Блокировать входящие префиксы, которые слишком обобщенные.

    Если из-за неправильной настройки Azure начинает отправлять универсальные префиксы, такие как 0.0.0.0/0 или 10.0.0.0/8, это может быть привлечение трафика, который в противном случае может оставаться в локальной сети.

  • Блокируют префиксы входящего трафика, которые слишком конкретны.

    В определенных обстоятельствах можно получить некоторые длинные префиксы IPv4 из Azure (длина префикса сети 30–32), которые обычно включаются в другие менее конкретные префиксы и поэтому не требуются. Удаление этих префиксов предотвращает увеличение объема локальных таблиц маршрутизации.

  • Блокировать входящий префикс, который не используется в Azure, если только вы не используете Azure в качестве транзитной сети.

    Если вы не используете Azure для передачи трафика между локальными расположениями (например, с такими технологиями, как ExpressRoute Global Reach), локальный префикс, транслируемый через Azure, будет указывать на цикл маршрутизации. Только при использовании префиксов Azure в локальных маршрутизаторах вы сможете защитить вас от этих циклов маршрутизации.

  • Блокировать исходящие префиксы, которые не являются локальными.

    Если вы не используете локальную сеть для транзита между регионами Azure, то не следует использовать префикс Azure, который не используется локально. Если вы этого не сделали, вы рискуете создавать циклы маршрутизации, особенно учитывая тот факт, что реализации eBGP в большинстве маршрутизаторов повторно объявляют все префиксы на не предпочитаемых ссылках. Это влияет на отправку префиксов Azure обратно в Azure, если вы не настроили многопуть eBGP.

Логическая архитектура

Azure Виртуальная глобальная сеть — это коллекция центров и служб, доступных в центре. Вы можете развернуть столько виртуальных сетей WAN, сколько вам нужно. В узле виртуальной сети WAN представлены несколько служб, таких как VPN, ExpressRoute, Брандмауэр Azure или стороннее интегрированное сетевое виртуальное устройство (NVA).

На следующей схеме показана логическая архитектура инфраструктуры Azure для развертывания Azure Виртуальной сети WAN, как это представлено в Cloud Adoption Framework.

Схема компонентов топологии Виртуальная глобальная сеть Azure и подписок Azure.

Большинство ресурсов содержатся в подписке на подключение. Все ресурсы виртуальной глобальной сети развертываются в одной группе ресурсов в подписке, связанной с подключением, в том числе при развертывании в нескольких регионах. Спицевые виртуальные сети Azure находятся в подписках landing zone. Если вы используете наследование и иерархию в политике Брандмауэр Azure, родительская политика и дочерняя политика должны быть размещены в одном регионе. Вы по-прежнему можете применить политику, созданную в одном регионе, на защищённый концентратор в другом регионе.

Что такое в этой статье?

В этой статье описаны шаги по применению принципов нулевого доверия в эталонной архитектуре Azure Виртуальная глобальная сеть.

Шаг Задача Применены принципы нулевого доверия
1 Создание политики Брандмауэра Azure Проверить явно
Предполагайте наличие бреши в системе безопасности
2 Преобразуйте центры Виртуальная глобальная сеть Azure в защищенные центры. Проверить явно
Предполагайте наличие бреши в системе безопасности
3 Обезопасьте свой трафик. Проверить явно
Предполагайте наличие бреши в системе безопасности
4 Обеспечьте безопасность спицевых виртуальных сетей. Предполагайте наличие бреши в системе безопасности
5 Просмотрите использование шифрования. Предполагайте наличие бреши в системе безопасности
6 Защита пользователей P2S. Предполагайте наличие бреши в системе безопасности
7 Настройте мониторинг, аудит и управление. Предполагайте наличие бреши в системе безопасности

Для этого необходимо выполнить шаги 1 и 2. Другие действия можно выполнить в любом порядке.

Шаг 1. Создание политики Брандмауэр Azure

Для автономных развертываний Брандмауэр Azure в классической архитектуре концентратора и периферии необходимо создать по крайней мере одну политику Azure в Диспетчер брандмауэра Azure и связать ее с концентраторами глобальной виртуальной сети Azure. Эта политика должна быть создана и доступна перед преобразованием любого концентратора. После определения политики он применяется к экземплярам Брандмауэр Azure в шаге 2.

Политики брандмауэра Azure можно упорядочивать в иерархии типа «родитель-дочерний». Для классического сценария "hub-and-spoke" или управляемой виртуальной глобальной сети Azure необходимо определить корневую политику с общим набором общесистемных правил безопасности для разрешения или запрета трафика. Затем для каждого концентратора можно определить дочернюю политику, чтобы через наследование реализовать правила, специфичные для этого концентратора. Этот шаг необязательный. Если правила, которые должны применяться к каждому концентратору, идентичны, можно применить одну политику.

Для нулевого доверия требуется политика Брандмауэр Azure уровня "Премиум" и должна включать следующие параметры:

  • DNS-прокси— необходимо настроить Брандмауэр Azure в качестве настраиваемого DNS-сервера для периферийных виртуальных сетей, которые защищают реальные DNS,которые находятся в общей службе или локальной среде. Брандмауэры Azure выполняют роль DNS-прокси, прослушивают порт UDP 53 и пересылают DNS-запросы на DNS-серверы, указанные в параметрах политики. Для каждого периферийного сервера необходимо настроить DNS-сервер на уровне виртуальной сети, указывающий на внутренний IP-адрес Брандмауэр Azure в центре Виртуальная глобальная сеть. Вы не должны предоставлять сетевой доступ к пользовательскому DNS из хабов и филиалов.

  • Проверка TLS должна быть включена для следующих сценариев:

    • Проверка исходящего TLS для защиты от вредоносного трафика, отправляемого из внутреннего клиента, размещенного в Azure в Интернете.

    • Проверка TLS Восток-Запад, включающая трафик, поступающий в локальные филиалы или исходящий из них, а также между спицами Виртуальной WAN. Это защищает рабочие нагрузки Azure от потенциального вредоносного трафика, отправляемого из Azure.

  • Система обнаружения и предотвращения вторжений (IDPS) должна быть включена в режиме "Оповещение и запрет".

  • Аналитика угроз должна быть включена в режиме "Оповещение и запрет".

В рамках создания политики необходимо создать необходимые правила преобразования сетевых адресов назначения (DNAT), правила сети и правила приложения, чтобы включить только сетевые потоки для явно разрешенного трафика. Чтобы включить проверку TLS для выбранных целевых объектов, соответствующее правило приложения должно иметь параметр "Проверка TLS". При создании правил в коллекциях правил следует использовать наиболее строгие значения "Назначение" и "Тип назначения".

Шаг 2. Преобразование концентраторов Виртуальная глобальная сеть Azure в защищенные концентраторы

В основе подхода "Нулевое доверие" для Azure Виртуальная глобальная сеть лежит концепция защищенного центра (безопасного концентратора). Безопасный концентратор — это концентратор виртуальной глобальной сети Azure с интеграцией файрвола Azure. Использование поддерживаемых устройств безопасности от сторонних производителей поддерживается в качестве альтернативы Брандмауэр Azure, но не описано в этой статье. Эти виртуальные устройства можно использовать для проверки всего трафика, связанного с Северо-Югом, Востоком и Интернетом.

Мы рекомендуем использовать Брандмауэр Azure Premium для поддержки концепции "Никому не доверяй" и его настройку с использованием политики Premium, описанной в шаге 1.

Примечание.

Использование защиты от атак DDoS не поддерживается с безопасным концентратором.

Для получения дополнительной информации см. Установите Брандмауэр Azure в центре виртуальной WAN.

Шаг 3. Защита трафика

После обновления всех узлов Виртуальная глобальная сеть Azure до безопасных узлов необходимо настроить намерения и политики маршрутизации в соответствии с принципами нулевого доверия. Эта конфигурация позволяет Брандмауэру Azure в каждом концентраторе принимать и проверять трафик между лучами и филиалами в одном концентраторе и между удалёнными концентраторами. Политики следует настроить для отправки как интернет-трафика, так и частного трафика через Брандмауэр Azure или сторонний NVA). Кроме того, необходимо включить параметр "Inter-hub". Рассмотрим пример.

Пример политики маршрутизации Брандмауэр Azure.

Если включена политика маршрутизации "Частный трафик", входящий и исходящий трафик виртуальной сети в концентраторе Виртуальная глобальная сеть, включая трафик между концентраторами, перенаправляется следующему переходу Брандмауэр Azure или NVA, указанным в политике. Пользователи с правами контроля доступа на основе ролей (RBAC) могут переопределить программирование маршрутов Виртуальной WAN для периферийных виртуальных сетей и связать настраиваемый определяемый пользователем маршрут (UDR) для обхода брандмауэра концентратора. Чтобы предотвратить эту уязвимость, разрешения RBAC на назначение UDR подсетям виртуальных сетей spoke следует предоставить только центральным администраторам сети, а не делегировать владельцам landing zone этих виртуальных сетей. Чтобы связать UDR с виртуальной сетью или подсетью, пользователь должен иметь роль Network Contributor или настраиваемую роль с действием или разрешением "Microsoft.Network/routeTables/join/action".

Примечание.

В этой статье Брандмауэр Azure в основном рассматривается как для интернет-трафика, так и для управления частным трафиком. Для интернет-трафика можно использовать либо сторонние службы безопасности с поддержкой от NVA, либо стороннего поставщика секьюрити как услуга (SECaaS). Для частного трафика поддерживаемые сторонними производителями сетевые виртуальные аппараты для обеспечения безопасности можно рассматривать в качестве альтернативы брандмауэру Azure.

Примечание.

Пользовательские таблицы маршрутов в Azure Виртуальная WAN нельзя использовать в сочетании с намерениями маршрутизации и политиками и не следует рассматривать как опцию безопасности.

Шаг 4. Обеспечение безопасности спицевых виртуальных сетей

Каждый концентратор Виртуальная глобальная сеть Azure может иметь одну или несколько виртуальных сетей, подключенных с помощью пиринга виртуальной сети. В рамках модели целевой зоны в Cloud Adoption Framework каждая виртуальная сеть включает рабочую нагрузку целевой зоны, приложения и службы, поддерживающие деятельность организации. Azure Виртуальная глобальная сеть управляет подключением, распространением маршрутов и связью, а также исходящей и входящей маршрутизацией, но не может повлиять на безопасность внутри виртуальной сети. Принципы "Никому не доверяй" должны применяться внутри каждой виртуальной сети spoke в соответствии с рекомендациями, опубликованными в статье Применение принципов "Никому не доверяй" к виртуальной сети spoke и в других статьях, в зависимости от типа ресурса, таких как виртуальные машины и хранилища. Рассмотрим следующие элементы:

Поскольку узел в виртуальной глобальной сети Azure заблокирован и управляется Azure, пользовательские компоненты не могут быть установлены или включены там. Некоторые ресурсы, обычно развернутые внутри концентратора, в классической модели концентратора и периферийной модели, должны размещаться в одном или нескольких периферийных узлах, которые работают в качестве общих сетей ресурсов. Например:

  • Бастион Azure:Бастион Azure поддерживает Виртуальная глобальная сеть Azure, но должен быть развернут в виртуальной сети периферийной сети, поскольку концентратор ограничен и управляется Azure. От узла Бастион Azure пользователи могут получать доступ к ресурсам в других виртуальных сетях, но требуется подключение по IP, доступное с SKU уровня "Стандартный" Бастион Azure.
  • Пользовательские DNS-серверы: программное обеспечение DNS-сервера можно установить на любой виртуальной машине, и оно будет служить в качестве DNS-сервера для всех спиц в Виртуальная глобальная сеть Azure. DNS-сервер должен быть установлен в спицевой виртуальной сети, которая напрямую или через функцию DNS Proxy, предоставляемую Брандмауэр Azure, интегрированным в хаб Виртуальная глобальная сеть, обслуживает все остальные спицевые виртуальные сети.
  • Резольвер частной зоны DNS Azure: развертывание резольвера частной зоны DNS Azure поддерживается в одной из спиц виртуальных сетей, подключенных к узлам виртуальной глобальной сети. Брандмауэр Azure, интегрированный в концентратор Виртуальная глобальная сеть, может использовать этот ресурс в качестве настраиваемого DNS при включении функции DNS-прокси.
  • Частные конечные точки: Этот тип ресурса совместим с Виртуальная глобальная сеть, но должен быть развернут в периферийной виртуальной сети. Это обеспечивает подключение к любой другой виртуальной сети или филиалу, подключенному к той же виртуальной глобальной сети, если интегрированный брандмауэр Azure разрешает передачу данных. Инструкции по защите трафика к частным конечным точкам с помощью брандмауэра Azure, интегрированного внутри концентратора виртуальной глобальной сети, можно найти в Secure traffic destined to private endpoints in Виртуальная глобальная сеть Azure.
  • Зона Частная зона DNS Azure (ссылки). Этот тип ресурса не находится в виртуальной сети, но должен быть связан с ними для правильной работы. Частные зоны DNS не могут быть связаны с концентраторами виртуальной сети WAN. Вместо этого их следует подключать к виртуальной сети spoke, в которой находятся пользовательские DNS-серверы или Azure Частная зона DNS Resolver (recommended), либо непосредственно к виртуальным сетям spoke, которым требуются DNS-записи из этой зоны.

Шаг 5. Проверка шифрования

Azure Виртуальная глобальная сеть предоставляет некоторые возможности шифрования трафика через собственные шлюзы для ввода трафика в сеть Майкрософт. По возможности необходимо включить шифрование на основе типа шлюза. Рассмотрим следующее поведение шифрования по умолчанию:

  • Шлюз S2S VPN виртуальной сети обеспечивает шифрование при использовании IPsec/IKE (IKEv1 и IKEv2) VPN-подключения.

  • Виртуальная глобальная сеть VPN-шлюз P2S обеспечивает шифрование при использовании VPN-подключения пользователя через OpenVPN или IPsec/IKE (IKEv2).

  • Шлюз виртуальной глобальной сети ExpressRoute не предоставляет шифрования, следовательно применяются те же соображения, что и для автономного ExpressRoute.

    • Только для схем ExpressRoute, развернутых на базе ExpressRoute Direct, можно использовать шифрование MACsec, предоставляемое платформой, для защиты подключений между вашими пограничными маршрутизаторами и пограничными маршрутизаторами Microsoft.

    • Шифрование можно установить с помощью VPN-подключения IPsec/IKE из локальной сети к Azure через частный пиринг канала Azure ExpressRoute. Намерение маршрутизации и политики маршрутизации теперь поддерживают эту конфигурацию с дополнительными шагами настройки, как описано в разделе Encrypted ExpressRoute.

  • Для сторонних устройств глобальной сети (SD-WAN) и NVAs, интегрированных в центральный узел Виртуальной глобальной сети, определенные возможности шифрования должны быть проверены и настроены в соответствии с документацией поставщика.

После того как трафик вошел в сетевую инфраструктуру Azure через один из шлюзов или SD-WAN/NVA, нет конкретной службы или функции Виртуальной сети WAN, которые обеспечивают шифрование сети. Если трафик между концентратором и его виртуальной сетью и между концентраторами не зашифрован, если это необходимо, используйте шифрование на уровне приложения.

Примечание.

Виртуальные подключение (спицы) в Azure Виртуальная глобальная сеть не поддерживают шифрование между виртуальными сетями с помощью шлюза Azure VPN, поскольку требуется использовать удаленный шлюз концентратора виртуальной глобальной сети.

Шаг 6. Защита пользователей P2S

Виртуальная глобальная сеть Azure — это сетевая служба, которая объединяет разные возможности сетевого взаимодействия, обеспечения безопасности и маршрутизации в единый рабочий интерфейс. С точки зрения удостоверения пользователя единственное взаимодействие с Виртуальной WAN-сетью находится в методе проверки подлинности, используемом для разрешения P2S VPN-подключения пользователя. Доступны несколько методов проверки подлинности, но мы рекомендуем следовать общим принципам "Никому не доверяй" с использованием проверки подлинности Microsoft Entra. С помощью идентификатора Microsoft Entra можно требовать многофакторную проверку подлинности (MFA) и условный доступ применять принципы нулевого доверия к клиентским устройствам и удостоверениям пользователей.

Примечание.

Проверка подлинности Microsoft Entra доступна только для шлюзов, использующих протокол OpenVPN, который поддерживается только для подключений протокола OpenVPN и требует VPN-клиента Azure.

Azure Виртуальная глобальная сеть и Брандмауэр Azure не предоставляют маршрутизацию трафика и фильтрацию на основе имен учетных записей пользователей или групп, но можно назначить разные группы пользователей различных пулов IP-адресов. Затем можно определить правила в интегрированном брандмауэре Azure, чтобы ограничить пользователей или группы на основе пула назначенных IP-адресов P2S.

Если вы разделяете пользователей P2S на разные группы на основе требований к сетевому доступу, рекомендуется различать их на уровне сети и гарантировать, что они могут получить доступ только к подмножества внутренней сети. Можно создать несколько пулов IP-адресов для Azure Виртуальная глобальная сеть. Дополнительные сведения см. в разделе "Настройка групп пользователей и пулов IP-адресов" для vpn-адресов пользователей P2S.

Шаг 7. Настройка мониторинга, аудита и управления

Azure Виртуальная глобальная сеть предоставляет широкие возможности мониторинга и диагностики с помощью Azure Monitor. Дополнительные сведения и топологию можно получить с помощью специализированной, предварительно созданной панели мониторинга в портале Azure с именем Azure Monitor Insights для виртуальной WAN. Эти инструменты мониторинга не предназначены специально для обеспечения безопасности. Брандмауэр Azure, развернутый в каждом концентраторе Виртуальная WAN, предоставляет точку интеграции для нулевого доверия и мониторинга безопасности. Необходимо настроить диагностику и ведение журнала для брандмауэра Azure так же, как и для брандмауэров Azure за пределами виртуальной WAN-сети.

Брандмауэр Azure предоставляет следующие средства мониторинга, которые следует использовать для обеспечения безопасности и правильного применения принципов нулевого доверия:

  • Аналитика политик для Брандмауэр Azure предоставляет аналитические сведения, централизованную видимость и контроль для Брандмауэр Azure. Для обеспечения безопасности требуется, чтобы соответствующие правила брандмауэра были установлены и эффективны для защиты внутренней инфраструктуры. На портале Azure приведены сведения о "Потенциальных Вредоносных Источниках", сформированных интегрированной системой предотвращения вторжений (IDPS) в движке брандмауэра и функциями интеллектуального анализа угроз.

  • Книга Брандмауэра Azure предоставляет настраиваемый холст для анализа данных Брандмауэра Azure. Вы можете получить аналитические сведения о событиях Брандмауэр Azure, узнать о приложении и правилах сети и просмотреть статистику действий брандмауэра по URL-адресам, портам и адресам. Настоятельно рекомендуется периодически проверять статистику журналов IDPS и на вкладке "Исследования ", проверять отклоненный трафик, потоки источника и назначения, а также отчет аналитики угроз для проверки и оптимизации правил брандмауэра.

Брандмауэр Azure также интегрируется с Microsoft Defender для облака и Microsoft Sentinel. Настоятельно рекомендуется правильно настроить оба средства и активно использовать их для нулевого доверия следующим образом:

  • Интеграция Microsoft Defender для облака позволяет визуализировать все состояние сетевой инфраструктуры и сетевой безопасности в одном месте, включая безопасность сети Azure во всех виртуальных сетях и виртуальных центрах, распределенных по разным регионам в Azure. С помощью одного взгляда можно увидеть количество Брандмауэр Azure, политик брандмауэра и регионов Azure, где развернуты Брандмауэр Azure.
  • Решение Microsoft Sentinel для простой интеграции Брандмауэр Azure обеспечивает обнаружение угроз и предотвращение угроз. После развертывания решение позволяет встроенному и настраиваемому обнаружению угроз на базе Microsoft Sentinel. Решение также включает рабочую книгу, обнаружения, запросы для поиска угроз и плейбуки.

Обучение администраторов

Следующие учебные модули помогут вашей команде приобрести навыки, необходимые для внедрения принципов нулевого доверия в вашей инфраструктуре с Виртуальная глобальная сеть Azure.

Общие сведения о Виртуальной глобальной сети Azure

Обучение Общие сведения о Виртуальная глобальная сеть Azure
Узнайте, как создать глобальную сеть (WAN) с помощью программно-определяемых служб Виртуальная глобальная сеть Azure.

Общие сведения о Брандмауэре Azure

Обучение Общие сведения о Брандмауэр Azure
Узнайте, как Брандмауэр Azure защищает ресурсы виртуальной сети Azure, включая функции Брандмауэр Azure, правила, параметры развертывания и администрирование с помощью Диспетчер брандмауэра Azure.

Общие сведения о Диспетчере брандмауэра Azure

Обучение Общие сведения о диспетчере Брандмауэр Azure
Опишите, можете ли вы использовать Диспетчер брандмауэра Azure, чтобы обеспечить централизованное управление маршрутизацией и политиками защиты для облачных периметров безопасности. Оцените, может ли Диспетчер брандмауэра Azure помочь в защите периметра облака.

Проектирование и реализация защиты сети

Обучение Проектирование и реализация сетевой безопасности
Вы научитесь проектировать и реализовывать такие решения безопасности сети, как Защита от атак DDoS Azure, группы безопасности сети, Брандмауэр Azure и Брандмауэр веб-приложений.

Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
Безопасность в Azure

Дальнейшие шаги

Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:

Ссылки

Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.

Виртуальная глобальная сеть Azure

Базовые показатели безопасности

Обзор хорошо спроектированной платформы

Безопасность Azure

Технические иллюстрации

Иллюстрации, используемые в этой статье, можно скачать. Используйте файл Visio для изменения этих иллюстраций для собственного использования.

PDF | Visio

Ознакомьтесь с дополнительными техническими иллюстрациями.

Дальнейшие действия

Узнайте об оценке уровня реализации модели "Никому не доверяй", включая состояние безопасности вашей сети.