Безопасные сети с помощью SASE, Zero Trust и AI

Безопасность сети развивается за рамки традиционного периметра, который когда-то был привязан к физическим границам центров обработки данных. Сегодня периметр является динамическим — простирается к пользователям, устройствам и данным, где бы они ни были. Эта смена приводит к внедрению политик на основе рисков, которые изолируют узлы, применяют шифрование, сегментирование сетей и помещает элементы управления ближе к приложениям и данным.

Secure Access Service Edge (SASE) отражает эту эволюцию, переопределяя периметр полностью. Она объединяет сеть и безопасность в облачную службу, которая сопровождает пользователей и данные в разных средах. Этот подход упрощает управление политиками и повышает защиту.

Добавление стратегии нулевого доверия в платформу SASE повышает безопасность, гарантируя, что пользователь или устройство по умолчанию не доверяется независимо от расположения. Этот принцип легко соответствует цели SASE по обеспечению безопасности доступа на краю.

Искусственный интеллект (ИИ) усиливает этот подход, анализируя данные в режиме реального времени, обнаруживая угрозы и обеспечивая быстрые, автоматизированные ответы. Вместе, SASE, Zero Trust и AI позволяют организациям защитить мир без периметра с большей гибкостью, точностью и устойчивостью.

Основные принципы модели сети "Нулевое доверие"

Вместо того чтобы предположить, что все, что находится за корпоративным брандмауэром, является безопасным, сквозная стратегия нулевого доверия признает, что нарушения неизбежны. Этот подход требует проверки каждого запроса, как если бы он исходит из неконтролируемой сети, при этом управление удостоверениями играет важную роль. Когда организации внедряют модели и архитектуры нулевого доверия, рекомендованные Агентством по кибербезопасности и инфраструктурной безопасности (CISA) и Национальным институтом стандартов и технологий (NIST), они значительно повышают уровень своей безопасности и более эффективно защищают свои сети.

В модели "Нулевое доверие" защита сетей сосредоточена на трех основных задачах:

• Запретить несанкционированный доступ. Применяйте строгую аутентификацию, непрерывную верификацию и политики минимальных привилегий для снижения риска первоначальной компрометации.
• Ограничение влияния нарушений. Используйте сегментацию сети, микропериметры и адаптивные элементы управления для сдерживания угроз и предотвращения латерального перемещения.
• Повышение видимости и управления. Используйте такие решения, как Secure Access Service Edge (SASE), чтобы объединить применение политик безопасности, отслеживать трафик и быстро реагировать на возникающие угрозы в облачных и гибридных средах.

Эти цели соответствуют принципам нулевого доверия. Они поддерживают современные решения, такие как SASE, которые интегрируют функции сети и безопасности. Эта интеграция обеспечивает комплексную защиту и централизованное управление.

Чтобы сделать это, следуйте трем принципам нулевого доверия:

• Результаты проверки должны быть однозначными. Всегда осуществляйте аутентификацию и авторизацию на основе всех доступных данных. Включите удостоверение пользователя, сеть, расположение, состояние устройства, службы или рабочей нагрузки, риск пользователя и устройства, классификацию данных и аномалии.
• Использование доступа с минимальными привилегиями. Для защиты данных и рабочего процесса ограничьте доступ пользователей в соответствии с принципом "только в нужное время и только нужный доступ" (JIT/JEA), адаптивными политиками на основе оценки риска, а также с требованиями защиты данных.
• Предполагайте наличие нарушения защиты. Свести к минимуму радиус воздействия при нарушениях и предотвращать боковое перемещение сегментированием доступа по сети, пользователям, устройствам и с учетом приложений. Убедитесь в том, что все сеансы имеют комплексное шифрование. Используйте аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.

Цели развертывания сети нулевого доверия

Нулевое доверие (ZT) — это модель безопасности, которая предполагает отсутствие неявного доверия и непрерывно проверяет каждый запрос доступа. Фундамент "Нулевого доверия" в сети фокусируется на защите коммуникаций, сегментации сред и обеспечении доступа к ресурсам с минимальными привилегиями.

При реализации комплексной платформы нулевого доверия для защиты сетей рекомендуется сначала сосредоточиться на:

• периметрыNetwork-Segmentation и Software-Defined
• Secure Access Service Edge (SASE) & Zero Trust Network Access (ZTNA)
• Надежное шифрование и безопасный обмен данными
• Видимость сети и обнаружение угроз
• Управление доступом на основе политик и наименьшие привилегии

После завершения этих целей сосредоточьтесь на задачах 6 и 7.

Руководство по развертыванию сети нулевого доверия

В этом руководстве описаны шаги, необходимые для защиты сетей в соответствии с принципами структуры безопасности нулевого доверия.

1. Сегментация сети и программные периметры

Сегментация сети и Software-Defined Периметры (SDP) формируют основу модели безопасности Zero Trust. Вместо того чтобы полагаться на статические элементы управления на основе периметра, вы динамически применяете безопасность на уровне ресурсов. При секционирования инфраструктуры на изолированные сегменты с помощью микросексации можно ограничить боковое перемещение злоумышленников и свести к минимуму влияние нарушений. SDP укрепляет этот подход, создавая по запросу, ориентированные на идентичность микропериметры вокруг каждого взаимодействия пользователь-ресурс и непрерывно проверяя контекст перед предоставлением доступа. В итоге следуйте этим ключевым принципам:

• Ограничьте латеральное движение путем реализации тонкой сегментации сети (макро- и микросегментация).
• Используйте сетевую технологию Software-Defined (SDN) и контроль сетевого доступа (NAC) для динамического применения политик.
• Применяйте сегментацию на основе идентификации вместо традиционных методов на основе IP-адресов.

Стратегия сегментации макросов 1.1

Перед погружением в микро-сегментацию важно установить более широкую стратегию сегментации. Макросегментация сети включает разделение на более крупные сегменты на основе общих функциональных или требований безопасности. Этот подход упрощает начальное управление и обеспечивает основу, на основе которой можно создать более подробную степень детализации, например микросементацию.

1.2 Сегментация сети: множество входящих/исходящих облачных микро-периметров с некоторыми микро-сегментациями

Организации не должны иметь один большой канал в свою сеть и из нее. При использовании стратегии "Никому не доверяй" сети сегментируются на небольшие области, в которых содержатся определенные рабочие нагрузки. Каждый сегмент имеет собственные элементы управления входящего трафика и исходящего трафика, чтобы свести к минимуму влияние несанкционированного доступа к данным. Реализуя программно-определяемые периметры с детализированными элементами управления, вы увеличиваете для неавторизованных субъектов сложность распространения по всей сети и, таким образом, уменьшаете объем распространения угроз в сети.

Нет архитектуры, которая соответствует потребностям всех организаций. Доступно несколько конструктивных шаблонов для сегментирования сети в соответствии с моделью "Никому не доверяй".

В этом руководстве по развертыванию мы рассмотрим шаги по достижению одного из этих проектов: микро-сегментация.

Благодаря микросегментации организации могут перейти от простых централизованных периметров сети к комплексной и распределенной сегментации за счет программно-определяемых микропериметров.

1.3 Сегментация сети: полностью распределённые входные и выходные облачные микро-периметры и более глубокая микро-сегментация

После выполнения первоначальных трех целей следующий шаг — дальнейшее сегментирование сети.

1.4 Сегментируй и обеспечь соблюдение внешних границ

Выполните следующие действия в зависимости от типа границы.

Граница Интернета

• Чтобы обеспечить подключение к Интернету для маршрута приложения через концентратор виртуальной сети, обновите правила группы безопасности сети в концентраторе виртуальной сети.
• Чтобы защитить концентратор виртуальной сети от атак уровня томной сети и атак протокола, включите защиту сети от атак DDoS Azure.
• Если приложение использует протоколы HTTP/S, включите Брандмауэр веб-приложений Azure для защиты от угроз на уровне 7.

Граница локальной сети

• Если приложению требуется подключение к локальному центру обработки данных или частному облаку, используйте Частный доступ Microsoft Entra, Azure ExpressRoute или VPN Azure для подключения к концентратору виртуальной сети.
• Чтобы проверить и управлять трафиком в концентраторе виртуальной сети, настройте брандмауэр Azure.

Граница служб PaaS

• При использовании предоставляемых Azure служб PaaS, службы хранилища Azure, Azure Cosmos DB или веб-приложения Azure используйте параметр подключения PrivateLink , чтобы убедиться, что все обмены данными выполняются через частное IP-пространство, а трафик никогда не покидает сеть Майкрософт.
• Если службам PaaS требуется безопасная граница для взаимодействия друг с другом и управления доступом к общедоступной сети, мы рекомендуем связать их с периметром безопасности сети. Подключение через Private Link будет учитываться для трафика, поступающего через приватные конечные точки этих служб PaaS, гарантируя, что все обмены данными происходят по частным IP-адресам и трафик никогда не покидает сеть Microsoft. Дополнительные сведения о периметре безопасности сети см. в списке поддерживаемых служб PaaS.

Распределение компонентов приложения по разным подсетям

Выполните следующие действия:

1. В виртуальной сети добавьте подсети виртуальной сети , чтобы дискретные компоненты приложения могли иметь собственные периметры.
2. Чтобы разрешить трафик только из подсетей, где подкомпонент приложения идентифицирован как легитимный партнёр по связи, примените правила группы безопасности сети.

Кроме того, брандмауэр Azure также можно использовать для сегментации и разрешать трафик из определенных подсетей и виртуальных сетей.

• Используйте брандмауэр Azure для фильтрации трафика между облачными ресурсами, Интернетом и локальными ресурсами. Используйте брандмауэр Azure или диспетчер брандмауэра Azure для создания правил или политик, которые разрешают или запрещают трафик с помощью элементов управления уровня 3 до уровня 7. Дополнительные сведения см. в рекомендациях по созданию стратегии сегментации.

Приложения распределяются по разным виртуальным сетям Azure и подключаются по звездообразной модели.

Выполните следующие действия:

1. Создайте выделенные виртуальные сети для различных приложений и (или) компонентов приложений.
2. Создайте центральную виртуальную сеть, чтобы настроить состояние безопасности для подключения между приложениями и подключить виртуальные сети приложений в архитектуре концентратора и периферийной архитектуры.
3. Разверните брандмауэр Azure в концентраторе виртуальной сети. Используйте брандмауэр Azure для проверки сетевого трафика и управления ими.

1.5 Проверка сегментации с помощью аналитики трафика наблюдателя за сетями

Чтобы обеспечить функционирование сегментации сети, организации должны реализовать Аналитику трафика наблюдателя за сетями Azure. Эта возможность обеспечивает видимость на уровне потока путем анализа журналов потоков виртуальной сети, позволяя командам отслеживать шаблоны трафика в сегментированных средах.

Аналитика трафика поддерживает сегментацию нулевого доверия по следующим компонентам:

• Проверка политик сегментации: Определите, перемещается ли трафик только между предполагаемыми сегментами и обнаружьте нарушения границ сегментации.

• Обнаружение бокового движения: выявление неожиданного или несанкционированного восточно-западного трафика, который может указывать на нарушение или неправильную настройку.

• Повышение видимости. Сопоставляйте потоки трафика с правилами NSG и аналитикой угроз, чтобы получить полезные сведения о сетевом поведении.

• Поддержка непрерывного улучшения: используйте аналитику для уточнения стратегий микро-сегментации и динамического применения доступа с минимальными привилегиями.

Интеграция Аналитики трафика в развертывание "Нулевое доверие" обеспечивает возможность непрерывной оценки и повышения эффективности стратегии сегментации, гарантируя, что границы сети не только определены, но и активно отслеживаются и применяются.

2. Secure Access Service Edge (SASE) и Zero Trust Network Access (ZTNA)

Для эффективной защиты современных сетей организации должны переходить за рамки устаревших решений и применять расширенные интегрированные подходы. Этот шаг включает внедрение решений ZTNA для детального подключения, управляемого удостоверениями, применения архитектур SASE для объединения сетевых возможностей и возможностей безопасности и реализации непрерывной проверки сеансов с помощью средств управления доступом на основе рисков. Эти стратегии работают вместе, чтобы гарантировать, что доступ всегда проверен, угрозы минимизированы, а политики безопасности динамически адаптируются к изменяющимся рискам.

2.1 Доступ к сети нулевого доверия (ZTNA)

Доступ к сети нулевого доверия заменяет широкие виртуальные сети на основе периметра на более точное, удостоверяемое и контекстно-ориентированное подключение. Три основных возможности ZTNA, каждый из которых описан сначала для Microsoft Global Secure Access, а затем для параметров VPN-шлюза Azure.

Реализация ZTNA корпорации Майкрософт является частью функции Глобального безопасного доступа (предварительная версия) в Microsoft Entra, созданной на основе SSE.
Дополнительные сведения: Что такое глобальный безопасный доступ? (Microsoft Entra)

2.2 Модернизация традиционных VPN с использованием идентификационно-осведомленного ZTNA

Глобальный безопасный доступ
Глобальный безопасный доступ Microsoft заменяет широкие сетевые туннели на подключения, специфичные для приложения и зависящие от удостоверения. Когда пользователь запрашивает доступ, Global Secure Access использует идентификатор Microsoft Entra для единого входа и условного доступа на пограничном сервере. Правила входящего брандмауэра не требуются. На пользовательском портале отображаются только утвержденные приложения, а решения о доступе основаны на состояниях устройств (от Defender для конечной точки) и сигналах риска в режиме реального времени.

• Обзор глобального безопасного доступа
• Обзор приватного доступа

VPN-шлюз Azure
Модернизируйте виртуальные частные сети типа "точка-сеть" (P2S) путем интеграции аутентификации с идентификатором Microsoft Entra ID, обеспечивая соблюдение политик условного доступа (таких как MFA, соответствие устройств и именованные расположения) перед установлением туннеля. В центрах виртуальной глобальной сети Azure VPN P2S и ExpressRoute работают в глобальном масштабе с централизованной безопасностью и маршрутизацией через диспетчер брандмауэра Azure. Этот подход поддерживает знакомые VPN-подключения, обеспечивая доступ по принципу наименьших привилегий и с учетом идентификации.

• Настройка VPN-подключения P2S с помощью проверки подлинности идентификатора Microsoft Entra
• Обзор Виртуальная глобальная сеть Azure

2.3 Использование архитектуры SASE: интеграция сетевых функций и функций безопасности

Интеграция сетевых функций и функций безопасности с SASE

Глобальный безопасный доступ
Глобальный безопасный доступ предоставляет возможности пограничных служб безопасности (SSE), включая безопасный веб-шлюз (SWG), брокер безопасности облака (CASB) и брандмауэр как услуга (FWaaS) в единую платформу SASE. Трафик пользователей, предназначенный для интернета или частных приложений, направляется через глобальную граничную сеть Майкрософт. Здесь применяются проверка TLS, фильтрация URL-адресов, защита от потери данных (DLP) и аналитика угроз. Defender для облачных приложений обеспечивает встроенный управление сеансами для приложений SaaS, а брандмауэр Azure защищает доступ к частному приложению.

• SWG в глобальном безопасном доступе:Microsoft Entra Internet Access
• CASB с Defender для облачных приложений:Что такое Defender для облачных приложений?

Эта архитектура:

• Маршрутизирует трафик пользователей через периферийную сеть Microsoft для централизованной инспекции и контроля.
• Сокращение сложности путем объединения применения политик безопасности
• Поддерживает управление трафиком и разделение туннелирования для обеспечения производительности и соответствия требованиям

Интеграция VPN-шлюза Azure
Традиционные конечные точки VPN можно интегрировать с брандмауэром Azure или устройствами SWG партнера с помощью конфигураций принудительного туннеля. Конфигурация позволяет проверять и контролировать исходящий и входящий VPN-трафик с помощью диспетчера брандмауэра Azure, аналитики угроз и элементов управления сеансами условного доступа. Вы можете применить фильтрацию URL-адресов, глубокую проверку пакетов (DPI) и DLP к сеансам VPN. Политики сеансов Defender для облачных приложений могут применять контроль загрузки/скачивания и обнаружение теневого ИТ в туннельном трафике.

• Узнайте о принудительном VPN-туннеле с брандмауэром Azure

2.4 Реализация непрерывной проверки сеансов и доступа на основе рисков

Непрерывная проверка сеансов гарантирует, что решения о доступе применяются в режиме реального времени, а не только при первоначальном входе. Такой подход помогает организациям быстро реагировать на изменение условий риска и поддерживать сильную безопасность.

Глобальный безопасный доступ Майкрософт
Доступ к сети нулевого доверия не является однократной проверкой. Microsoft Global Secure Access использует непрерывное вычисление доступа (CAE) для мониторинга сигналов риска ( например, обнаруженных вредоносных программ или необычных расположений) и может отозвать или повторно оценить маркеры доступа к приложениям и завершить сетевое подключение при обнаружении риска. Defender для облачных приложений применяет динамические элементы управления сеансами, такие как блокировка загрузки, карантинные сеансы или требование дополнительной многофакторной проверки подлинности (MFA) во время активного сеанса. Автоматические сценарии ответов в Microsoft Sentinel или Microsoft Defender XDR могут изолировать скомпрометированные устройства или отключить учетные записи в режиме реального времени.

• Сведения об оценке непрерывного доступа (CAE)
• Узнайте о средствах управления сеансами в Defender для облачных приложений
• Сведения об оценке универсального непрерывного доступа (предварительная версия)

VPN-шлюз Azure Для VPN-подключений с помощью проверки подлинности идентификатора Microsoft Entra поддерживается оценка непрерывного доступа (CAE). Если условный доступ обнаруживает рискованного пользователя или устройства, VPN-туннель может быть закрыт или требовать повторной проверки подлинности. Журналы VPN можно отправлять в Microsoft Sentinel и использовать автоматические плейбуки для блокировки IP-адресов, отзыва доступа или оповещения команд безопасности, позволяя быстрое реагирование на основе рисков для VPN-подключений.

• Проверка подлинности VPN-шлюза с помощью идентификатора Microsoft Entra
• Автоматизация ответа с помощью сборников схем Microsoft Sentinel

3. Строгое шифрование и безопасное взаимодействие

Современная сетевая связь должна быть строго зашифрована и защищена на каждом этапе. Организации должны:

• Используйте протокол TLS 1.3 и принудительное шифрование для всего сетевого трафика. TLS 1.3 обеспечивает более надежную безопасность, более быстрое рукопожатие и постоянно зашифрованную аутентификацию клиента, что важно для защиты современных рабочих нагрузок.
• Обеспечьте взаимную аутентификацию (mTLS) между рабочими нагрузками и устройствами, обеспечивая проверку удостоверений клиента и сервера и предотвращая несанкционированный доступ с допустимыми учетными данными.
• Блокировать ненадежные или устаревшие протоколы , которые не имеют шифрования, например TLS 1.0/1.1 или устаревшие шифры.

Основные рекомендации

• Служба приложений Azure и Azure Front Door: Установите для веб-приложений минимальную версию TLS 1.3, чтобы обеспечить использование только безопасных наборов шифров. Дополнительные сведения см. в статье "Применение минимальной версии TLS для службы приложений и Front Door".
• Azure IoT Edge, Центр Интернета вещей и другие службы PaaS: Убедитесь, что пакеты SDK для устройств поддерживают TLS 1.3 или ограничивают протокол TLS 1.2+.
• Шлюз приложений Azure (версия 2): Поддерживает mTLS с помощью проверенных OCP сертификатов для проверки клиента. Дополнительные сведения см. в разделе "Обзор TLS" в службе приложений.
• Шифрование внутреннего трафика приложения между виртуальными сетями.
• Шифрование трафика между локальной средой и облаком:
  • Настройте VPN типа "сеть — сеть" через пиринг Microsoft ExpressRoute.
  • Используйте транспортный режим IPsec для приватного пиринга ExpressRoute.
  • Настройте mTLS между серверами в частном пиринге ExpressRoute.

Блокировать ненадежные или устаревшие протоколы

• Конечные точки Azure (служба приложений, хранилище, SQL, Центры событий и т. д.): Примите только TLS 1.2+ и в идеале примените версию 1.3, отключив устаревшие версии.
• Виртуальные машины и сетевые устройства: Используйте политику Azure и Microsoft Defender для облака, чтобы проверить устаревшие протоколы (например, SMBv1 или custom TLS <1.2) и применить исправление.
• Операционная гигиена: Отключите устаревшие шифры и протоколы на уровне ОС или приложения (например, отключите TLS 1.0/1.1 в Windows Server или SQL Server).

Подготовьтесь к постквантовой криптографии (PQC)

Традиционные алгоритмы шифрования с открытым ключом (например, RSA и ECC) уязвимы для будущих квантовых компьютеров. Компания Microsoft интегрировала квантово-устойчивые алгоритмы (LMS и ML-DSA, FIPS 204) в свою платформу, более широкая поддержка постквантовой криптографии ожидается в ближайшее время. Начните переход на TLS 1.3 и подготовьтесь к интеграции PQC по мере завершения стандартов.

3.1 Шифрование: внутренний трафик между приложениями шифруется

Добавьте шифрование, чтобы обеспечить шифрование внутреннего трафика между пользователями.

Выполните следующие действия:

1. Настройте принудительное подключение только по протоколу HTTPS для веб-приложений, подключенных к Интернету, путем перенаправления трафика HTTP на HTTPS с помощью Azure Front Door.
2. Подключите удаленных сотрудников или партнеров к Microsoft Azure с помощью VPN-шлюза Azure.
3. Включите шифрование для трафика типа "точка — сеть" в службе VPN-шлюза Azure.
4. Настройте защищенный доступ к виртуальным машинам Azure с помощью зашифрованного обмена данными через Бастион Azure.
5. Подключение к виртуальной машине Linux по протоколу SSH.
6. Подключитесь с помощью протокола удаленного рабочего стола (RDP) к виртуальной машине Windows.

3.2 Шифрование: весь трафик

Наконец, завершите защиту сети, убедившись, что весь трафик зашифрован.

Выполните следующие действия:

1. Шифрование внутреннего трафика приложения между виртуальными сетями.
2. Шифрование трафика между локальной средой и облаком:
   1. Настройка VPN типа "сеть — сеть" через пиринговый канал Майкрософт ExpressRoute.
   2. Настройка транспортного режима IPsec для частного пиринга ExpressRoute.
   3. Настройте mTLS между серверами в частном пиринге ExpressRoute.

4. Видимость сети и обнаружение угроз

В модели безопасности нулевого доверия принцип "никогда не доверяй, всегда проверяй" применяется не только к пользователям и устройствам, но и к сетевому трафику. Мониторинг и ведение журнала сетевых действий крайне важно для принудительного применения нулевого доверия, так как он обеспечивает непрерывную видимость доступа к ресурсам, обеспечивает соответствие политикам безопасности и обеспечивает быстрое обнаружение подозрительного или несанкционированного поведения. Ниже приведены ключевые элементы, которые будут описаны в этом разделе:

• Разверните обнаружение и реагирование на угрозы в сети (NDR) для мониторинга и анализа сетевого трафика.
• Используйте DPI (глубокая проверка пакетов) и обнаружение аномалий на основе ИИ для поиска угроз в режиме реального времени.
• Поддержка централизованного ведения журнала и интеграции SIEM/SOAR для анализа сети.
• Развертывание расширенного обнаружения и ответа (XDR) для анализа шаблонов трафика, выявления аномалий и предотвращения нарушений.
• Интеграция аналитики на основе искусственного интеллекта для повышения быстрого реагирования на возникающие угрозы.
• Обеспечьте улучшенное обнаружение и реагирование на угрозы путем глобального безопасного доступа с восстановлением IP-адреса источника.
• Используйте журналы глобального безопасного доступа и мониторинг.

4.1 Защита от угроз: защита от угроз на основе машинного обучения и фильтрация с помощью сигналов на основе контекста

Чтобы обеспечить дополнительную защиту от угроз, включите Службу защиты сети DDoS Azure для постоянного мониторинга трафика приложения, размещенного в Azure, используйте платформы на основе машинного обучения для базовых показателей и обнаружения наводнений объемного трафика, обнаружения атак протокола и применения автоматических мер по устранению рисков.

Выполните следующие действия:

1. Настройка и управление защитой сети от DDoS-атак Azure.
2. Настройка оповещений о метриках защиты от атак DDoS.
3. Использование Microsoft Sentinel с брандмауэром веб-приложений Azure
4. Использование брандмауэра Azure с Microsoft Sentinel

4.2 Защита от угроз: облачные фильтрация и защита от известных угроз

Облачные приложения, которые открывают точки доступа во внешние среды, такие как Интернет или локальная инфраструктура, подвергаются риску атак из этих сред. Поэтому необходимо сканировать трафик на наличие вредоносных компонентов или логических уязвимостей.

Эти типы угроз делятся на две основные категории:

• Известные атаки. Угрозы, обнаруженные поставщиком программного обеспечения или более крупным сообществом. В таких случаях доступна сигнатура атаки, и необходимо убедиться, что каждый запрос проверяется по этим сигнатурам. Важно иметь возможность быстро обновить подсистему обнаружения с использованием информации обо всех новых обнаруженных атаках.

• Неизвестные атаки. Эти атаки представляют собой угрозы, которые не соответствуют какой-либо известной подписи. Такие типы угроз включают уязвимости нулевого дня и необычные шаблоны в трафике запроса. Способность обнаруживать такие атаки зависит от того, насколько хорошо ваши обороны знают, что нормально и что не так. Средства защиты должны постоянно обучаться и обновляться с учетом таких закономерностей по мере развития вашего бизнеса (и роста объемов соответствующего трафика).

Рассмотрим следующие действия, чтобы защититься от известных угроз:

• Реализуйте возможности Microsoft Entra Internet Access, такие как фильтрация веб-содержимого и проверка TLS. Чтобы узнать больше, см. раздел о Microsoft Entra Internet Access для всех приложений.

• Защита конечных точек с помощью брандмауэра веб-приложений Azure (WAF) с помощью:

  1. Включите набор правил по умолчанию или набор из 10 основных правил OWASP для защиты от известных атак на уровне Интернета.
  2. Включите набор правил защиты от ботов, чтобы предотвратить извлечение данных вредоносными ботами, подстановку учетных данных и т. д.
  3. Добавьте настраиваемые правила для защиты от угроз, характерных для вашего бизнеса.

  Можно выбрать один из следующих вариантов:

  • Azure Front Door
    • Создание политики брандмауэра веб-приложений в Azure Front Door.
    • Настройка защиты от ботов для брандмауэра веб-приложений.
    • Настройка правил брандмауэра веб-приложений.
  • Шлюз приложений Azure
    • Создание шлюза приложений с брандмауэром веб-приложений.
    • Настройка защиты от ботов для брандмауэра веб-приложений.
    • Создание и использование настраиваемых правил брандмауэра веб-приложений Azure версии 2.

• Фронтальные конечные точки с брандмауэром Azure для фильтрации на основе анализа угроз и IDPS на уровне 4.

  • Развертывание и настройка Брандмауэра Azure с помощью портала Azure.
  • Включение фильтрации трафика на основе аналитики угроз.

    Совет

    Узнайте больше о реализации комплексной стратегии "Никому не доверяй" для конечных точек.

  • Система IDPS брандмауэра Azure обнаруживает и предотвращает угрозы в сетевом трафике, когда она включена

4.3 Мониторинг и видимость

Аналитика трафика

Аналитика трафика Network Watcher играет критическую роль в сегментации по принципу Zero Trust, анализируя журналы потоков VNET для обнаружения аномального трафика, проверки политик сегментации и выявления теневых ИТ-сервисов или неправильно настроенных путей доступа. Она позволяет группам безопасности визуализировать трафик между сегментами и применять адаптивные элементы управления на основе телеметрии в режиме реального времени.

Анализ журналов

Расширенное обнаружение и ответ Microsoft Defender (XDR)

Расширенное обнаружение и ответ Microsoft Defender (XDR) — это единый набор защиты предприятия, который вы используете до и после нарушения. Набор координирует обнаружение, предотвращение, исследование и реагирование непосредственно на конечных точках, в удостоверениях, электронной почте и приложениях. Используйте XDR Defender для защиты от сложных атак и реагирования на них.

• Исследование оповещений
• Узнайте о нулевом доверии вместе с Defender XDR
• Узнайте о Защитнике XDR для правительства США

Microsoft Sentinel

Создание пользовательских аналитических запросов и визуализация собранных данных с помощью рабочих книг.

• Обнаружение угроз с помощью настраиваемых правил аналитики
• Визуализация собранных данных
• Использование книг с глобальным безопасным доступом

доступ к сетиAI-Enabled

Microsoft Sentinel

Используйте брандмауэр Azure для визуализации действий брандмауэра, обнаружения угроз с помощью возможностей исследования ИИ, сопоставления действий и автоматизации действий реагирования.

• Брандмауэр Azure с Microsoft Sentinel

Защита идентификаторов Microsoft Entra использует алгоритмы машинного обучения для обнаружения пользователей и риска входа. Используйте условия риска в политиках условного доступа для динамического доступа на основе уровня риска.

• Защита идентификации Microsoft Entra
• Обнаружения рисков
• Политики доступа на основе рисков

Глобальный безопасный доступ

Используя журналы Глобального безопасного доступа Microsoft Entra, организации могут отслеживать попытки доступа, отслеживать потоки данных и выявлять аномалии в режиме реального времени. Этот детальный мониторинг помогает проверить, что только авторизованные удостоверения и устройства обращаются к конфиденциальным ресурсам, поддерживают реагирование на инциденты и предоставляют важные доказательства для аудита и расследований. Комплексное ведение журнала трафика является основным элементом для поддержания и подтверждения эффективности архитектуры нулевого доверия. Помимо журналов трафика, дополнительные журналы доступны для дополнительных сигналов:

• журналы и мониторинг глобального безопасного доступа
• Журналы аудита глобального безопасного доступа
• Microsoft 365 журналы, обогащенные функцией Global Secure Access
• Журналы трафика глобального безопасного доступа
• Журналы работоспособности удаленной сети

4.4 Автоматизация и оркестрация

Автоматизация и оркестрация необходимы для применения принципов нулевого доверия в сетевой инфраструктуре. Используя автоматическое применение, реагирование и управление, организации могут обеспечить безопасное и устойчивое подключение.

Сети Azure

Сетевые службы Azure, включая брандмауэр Azure, группы безопасности сети (NSG), виртуальную глобальную сеть и защиту от атак DDoS, можно развертывать, управлять и отслеживать с помощью таких средств инфраструктуры, как код (IaC), таких как шаблоны ARM, Bicep, Terraform и политика Azure.

Ключевые возможности:

• Автоматическое развертывание: Используйте конвейеры IaC для автоматического развертывания сегментации сети (NSG, брандмауэра Azure) и управления фильтрацией.
• Непрерывное соответствие: Принудительное применение и автоматическое исправление стандартов безопасности (например, блокировка общедоступных IP-адресов, требование шифрования) с помощью политики Azure.
• Интеграция DevOps: Интеграция с рабочими процессами GitOps/DevOps для декларативных конфигураций сети, контролируемых версией.

Пример: Автоматическое развертывание правил NSG и политик брандмауэра Azure при подготовке новой подсети с помощью Bicep и Azure DevOps.

• Быстрый старт: Создание брандмауэра Azure и политики брандмауэра — Bicep
• Обеспечьте безопасность трафика подов с помощью сетевых политик — Служба Azure Kubernetes

Microsoft Entra (глобальный безопасный доступ с помощью управления удостоверениями)

Microsoft Entra Global Secure Access объединяет доступ с учетом удостоверений и сетевые элементы управления, превосходя устаревшие VPN-сети. Управление идентификацией расширяет это с помощью автоматизации полномочий.

Ключевые возможности:

• Автоматическое внедрение: Внедрение приложений и служб в частный доступ или прокси приложения с помощью Microsoft Graph API, а также шаблонов политик.
• Управление правами: Определите пакеты доступа к сети с рабочими процессами утверждения, истечением срока действия и проверками доступа.
• Динамическая деактивация: Автоматическое удаление сетевых прав на основе изменений ролей или событий жизненного цикла.

Пример: Назначьте пакет доступа, предоставляющий частный доступ определенным приложениям при присоединении пользователя к проекту, с принудительным истечением срока действия и проверкой доступа.

• Автоматизация назначений пакетов доступа с помощью управления правами

Microsoft Sentinel

Microsoft Sentinel предоставляет сборники схем (Logic Apps) для автоматизации обнаружения и реагирования на сетевые угрозы.

Ключевые возможности:

• Автоматический ответ: Обновите правила NSG или брандмауэра Azure, чтобы заблокировать вредоносные IP-адреса или домены.
• Карантин ресурсов: Отключите сеансы или поместите ресурсы в карантин, изменив условный доступ.
• Обогащение оповещений: Сопоставляйте сетевые оповещения с журналами потоков, DNS, удостоверением и телеметрией устройства.

Пример: Sentinel обнаруживает связь с известным вредоносным IP-адресом; Сборник схем обновляет группы IP-адресов брандмауэра Azure и уведомляет SecOps.

• Пример сценария: блокировка вредоносного IP-адреса в Azure NSG
• Автоматизация реагирования на угрозы с помощью сборников схем Sentinel

Microsoft Defender XDR

XDR в Microsoft Defender автоматизирует обнаружение, исследование и скоординированный ответ по идентификации, конечным точкам и сетевым сигналам.

Ключевые возможности:

• Корреляция: Обнаруживает боковое перемещение или аномальные сетевые шаблоны с помощью контекста идентификации и устройства.
• Автоматическая изоляция: Изолирует скомпрометированные устройства и активирует принудительные меры на разных платформах.
• Интеграция: Работает с Sentinel и Entra для комплексного реагирования на инциденты.

Пример: Защитник для конечных точек обнаруживает трафик команд и управления (C2), XDR изолирует устройство и запускает плейбук Sentinel для блокировки назначения в Azure Firewall.

• Автоматическое исследование и реагирование в XDR Defender

5. Управление доступом на основе политик и наименьшие привилегии

Для современных сетей нулевого доверия требуются детализированные, адаптивные элементы управления доступом, которые обеспечивают минимальные привилегии и динамически реагируют на риск. Доступ на основе политик гарантирует, что пользователи и устройства получают только минимальные необходимые разрешения, в течение короткого времени и только в соответствии с правильными условиями.

5.1 Реализация политик доступа с учетом контекста

• Используйте условный доступ Microsoft Entra для определения политик на основе пользователей, устройств, расположений, приложений и сигналов риска.
• Начните с планирования развертывания условного доступа для соответствия политик требованиям организации.
• Ускорьте развертывание с помощью шаблонов политик условного доступа для распространенных сценариев.

5.2 Обеспечение адаптивных и управляемых рисками контролей

• Требовать многофакторную проверку подлинности (MFA) при обнаружении риска, например незнакомых входов или рискованных устройств.
• Используйте MFA с учётом рисков входа, чтобы автоматически запрашивать многофакторную аутентификацию на основании оценки рисков в режиме реального времени.
• Поймите обнаружение рисков в службе защиты идентификаторов Microsoft Entra для информирования политических решений и автоматизации устранения.

5.3 Применяйте JIT и привилегированный доступ

• Принудительное применение JIT-доступа с помощью управления привилегированными пользователями (PIM) для предоставления повышенных разрешений только при необходимости.
• Защита доступа к частному приложению с помощью PIM и глобального безопасного доступа для уменьшения постоянных привилегий и ограничения воздействия.

5.4 Гибридный и зависящий от приложения доступ

• Для гибридных сред настройте политики доступа для каждого приложения с помощью глобальных приложений безопасного доступа.
• Включите безопасное удаленное администрирование с помощью SSH с Microsoft Entra Private Access для гранулярного доступа к серверу на основе политик.

5.5 Отказ по умолчанию и непрерывная оценка

• Применяйте принципы запрета по умолчанию на всех сетевых уровнях, предоставляя доступ только в том случае, если явно разрешено политикой.
• Непрерывно оценивать риск сеанса и применять изменения политики в режиме реального времени, чтобы свести к минимуму область атаки.

Используйте контекстные политики, основанные на рисках и минимальные привилегии, чтобы уменьшить несанкционированный доступ и ограничить боковое перемещение в вашей сети.

6. Облачная и гибридная сетевая безопасность

Для защиты облачных и гибридных сред требуется сочетание современных, облачных элементов управления и согласованного применения политик на всех платформах. Поскольку организации принимают многооблачные и гибридные архитектуры, важно расширить принципы нулевого доверия за рамки традиционных центров обработки данных в облачных рабочих нагрузках, SaaS и средах PaaS.

6.1 Безопасные облачные рабочие нагрузки с микро-периметрами и облачными брандмауэрами

• Микро периметры: Используйте микро-сегментацию, чтобы создать детализированные границы безопасности для отдельных рабочих нагрузок, приложений или служб. Это ограничивает боковое движение и содержит потенциальные нарушения в изолированных сегментах.
• Брандмауэры на основе облака: Развертывание таких решений, как Брандмауэр Azure , для проверки и управления трафиком между облачными рабочими нагрузками, применение фильтрации на основе аналитики угроз и применение правил приложений и сети в масштабе.
• Группы безопасности сети (группы безопасности сети): Используйте группы безопасности сети (NSG) и группы безопасности приложений для определения и применения точного контроля доступа для ресурсов в виртуальных сетях.
• Частные конечные точки: Используйте Приватный канал Azure , чтобы ограничить доступ к службам PaaS через частные IP-адреса, обеспечивая безопасность трафика в доверенной магистрали Майкрософт.

6.2 Интеграция прокси-серверов с поддержкой удостоверений для безопасности SaaS и PaaS

• Прокси-серверы, учитывающие идентификацию: Реализуйте такие решения, как Microsoft Entra Private Access для посредничества доступа к приложениям SaaS и PaaS. Эти прокси-серверы применяют проверку подлинности, соответствие устройств и политики условного доступа перед предоставлением доступа. Рассмотрите Microsoft Entra Internet Access для доступа в Интернет, учитывающего удостоверение личности.
• Брокер безопасности облачного доступа (CASB): Используйте Microsoft Defender для облачных приложений для обнаружения, мониторинга и контроля использования SaaS, принудительного предотвращения потери данных (DLP) и применения элементов управления сеансами для облачных приложений.
• Непрерывная проверка сеанса: Применение политик на основе рисков, применение политик в режиме реального времени для доступа SaaS и PaaS, включая адаптивные элементы управления на основе контекста пользователя, устройства и сеанса.

6.3. Обеспечение согласованного применения политик безопасности в гибридных и многооблачных средах

• Единое управление политиками: Используйте платформы, такие как условный доступ Microsoft Entra и политика Azure , для определения и применения согласованных политик безопасности в локальной среде, Azure и других поставщиков облачных служб.
• Гибридное подключение: Безопасные гибридные подключения с помощью VPN-шлюза Azure, ExpressRoute и принудительного применения средств управления шифрованием и доступом для всего трафика между средами.
• Централизованный мониторинг и ответ: Интегрируйте журналы и события безопасности из всех сред в Microsoft Sentinel или платформу SIEM/SOAR для единой видимости, обнаружения угроз и автоматического реагирования.
• Управление безопасностью в нескольких облаках: Используйте такие средства, как Microsoft Defender для облака , для оценки, мониторинга и улучшения состояния безопасности ресурсов в Azure и других поставщиков облачных служб.

Организации, реализующие эти стратегии, могут обеспечить надежную, сквозную безопасность для облачных и гибридных сетей. Этот подход обеспечивает согласованное применение принципов нулевого доверия независимо от того, где находятся рабочие нагрузки и данные.

7. Прекращение устаревшей технологии сетевой безопасности

Нулевое доверие отклоняет неявное доверие в любом сетевом сегменте или устройстве. Устаревшие элементы управления, ориентированные на периметр, такие как простые VPN-туннели, инспекция трафика по типу "петля", жестко запрограммированные списки управления доступом (ACL) и статические сетевые брандмауэры, больше не обеспечивают адаптивную, идентификационную и контекстно-осведомленную защиту, необходимую для современных гибридных и облачно-ориентированных сред. Чтобы полностью реализовать модель нулевого доверия, организациям следует отказаться от использования этих устаревших технологий в пользу служб безопасности, основанных на идентификации и программно-определяемых.

7.1 Область выхода на пенсию

Устаревшие технологии к снятию с эксплуатации включают:

• Традиционные виртуальные сети, предоставляющие широкий сетевой доступ исключительно на основе сертификатов устройств или общих ключей.
• Жесткие сетевые брандмауэры со статическими наборами правил и ограниченной видимостью на уровне приложения.
• Устаревшие веб-прокси , которые не имеют встроенной проверки угроз или управления сеансами.
• Сетевые списки управления доступом или маршрутизируемая сегментация без интеграции с сигналами идентификации или состояния устройства.

Принципы замены 7.2

Для каждого нерекомендуемого элемента управления рекомендуется использовать современную альтернативу нулевого доверия:

• Обеспечивает доступ с минимально необходимыми привилегиями на уровне приложения или уровня нагрузки с помощью доступа к сети с нулевым доверием.
• Интегрирует идентификацию и состояние устройства (с помощью идентификатора Microsoft Entra и Microsoft Defender для конечной точки) в каждое решение о доступе.
• Обеспечивает непрерывную проверку при оценке непрерывного доступа и повторной оценке сеанса.
• Обеспечивает программно-определяемую функцию видимости и управления с помощью решений Secure Access Service Edge (SASE) и security Service Edge (SSE), таких как Безопасный веб-шлюз (SWG), Брокер безопасности облака (CASB), брандмауэр как услуга (FWaaS) и обнаружение сети (NDR).

Стратегия перехода 7.3

1. Инвентаризация и приоритет

   • Каталог всех устаревших устройств и профилей VPN.
   • Классифицируйте по критическости (общедоступные приложения, подключение к партнерам, удаленное администрирование).

2. Пилотный проект и проверка

   • Запустите пилотные проекты ZTNA с помощью Microsoft Global Secure Access или шлюза Azure VPN с аутентификацией Microsoft Entra ID для групп приложений с низким уровнем риска.
   • Проверка подключения, производительности и применения политик.

3. Поэтапное снижение

   • Перенос групп пользователей и групп приложений поэтапно, мониторинг метрик успешного выполнения (например, время доступа, билеты в службу технической поддержки и оповещения системы безопасности).
   • Одновременно перенаправлять трафик через выбранный стек SASE или SSE.

4. Официальный вывод из эксплуатации

   • Отставите аппаратные устройства и отмените устаревшие конфигурации VPN.
   • Обновите сетевые схемы и операционные инструкции, чтобы удалить устаревшую технологию.

Продукты, описанные в данном руководстве

Сети Azure

Виртуальные сети и подсети

Группы безопасности сети и группы безопасности приложений

Брандмауэр Azure

Защита от атак DDoS Azure

Azure Брандмауэр веб-приложений

VPN-шлюз Azure

Azure ExpressRoute

Наблюдатель за сетями Azure

Приватный доступ Microsoft Entra

Microsoft Entra Доступ в интернет

Заключение

Защита сетей является ключевым компонентом успешной реализации стратегии "Никому не доверяй". Для получения дополнительных сведений или справки по реализации обратитесь к группе успеха клиентов или продолжайте читать другие разделы этого руководства, охватывающие все основные принципы нулевого доверия.