Zabezpečte svou hvězdicovou síť

  • 8 min

Azure poskytuje mnoho služeb, které organizacím pomáhají zabezpečit a chránit svou cloudovou infrastrukturu. Vaše organizace potřebuje pochopit, jak zabezpečit novou síť a jaké další služby Azure jsou k dispozici.

V této lekci prozkoumáte zabezpečené sítě na platformě Azure a prohlédnete si přehled služby Azure Firewall. Naučíte se také zabezpečit virtuální sítě pomocí skupin zabezpečení sítě.

Zabezpečení návrhu sítě v Azure

diagram síťové infrastruktury Azure

Předchozí diagram znázorňuje síťovou infrastrukturu Azure a metody, které umožňují bezpečnější připojení k místnímu prostředí, prostředkům hostovaným v Azure a veřejnému internetu.

Při zabezpečení návrhu sítě je potřeba zvážit několik funkcí:

  • azure Virtual Network: Poskytuje základní vrstvu zabezpečení tím, že logicky izoluje vaše prostředí v Azure, aby se zabránilo neoprávněnému nebo nežádoucímu přístupu.
  • azure DNS: Hostitelská služba pro názvy domén. Azure DNS je zabezpečená služba, která spravuje a překládá názvy domén ve vaší virtuální síti.
  • Azure Application Gateway: Vyhrazené virtuální zařízení, které poskytuje kontrolér doručování aplikací jako službu, včetně firewallu webových aplikací (WAF).
  • Azure Traffic Manageru: Služba, která řídí distribuci uživatelského provozu v Azure.
  • azure Load Balancer: Poskytuje vysokou dostupnost a výkon sítě pro vaše aplikace Azure.
  • perimetrická síť: Segmentuje zdroje mezi vaší virtuální sítí Azure a s internetem.

Kromě toho zvažte zahrnutí některých z následujících prvků do architektury sítě, aby se zlepšilo zabezpečení sítě:

  • Řízení přístupu k síti Tyto ovládací prvky zajišťují, aby vaše služby Azure byly přístupné jenom uživatelům a zařízením, která chcete.
  • Skupiny zabezpečení sítě jako firewall slouží k filtrování paketů a řízení provozu virtuální sítě.
  • Řízení tras a vynucené tunelování, které umožňují definovat vlastní trasy prostřednictvím vaší infrastruktury a zajistit, aby se služby nemohly připojit na žádné zařízení připojené k internetu.
  • Povolení zařízení pro zabezpečení virtuální sítě prostřednictvím Azure Marketplace
  • K bezpečnému rozšíření místních sítí do Azure použijte Azure ExpressRoute pro vyhrazené propojení WAN.
  • Microsoft Defender pro cloud, který brání hrozbám ve službách Azure, detekuje je a reaguje na ně.
  • Azure Firewall jako služba zabezpečení sítě

Pro vaši organizaci existuje široká škála řešení zabezpečení, z nichž mnohé se vzájemně doplňují, aby poskytovaly více vrstev zabezpečení. Vaše organizace by měla odpovídat doporučeným osvědčeným postupům Microsoftu. Pak implementujete všechny funkce potřebné ke splnění interních požadavků vaší organizace na zabezpečení.

Základní komponenty zabezpečení platformy Azure pro topologie hub-and-spoke

Chcete zajistit, aby vaše prostředky byly chráněny před neoprávněným přístupem nebo útokem tím, že řídíte síťový provoz. V hvězdicovém modelu je potřeba implementovat několik komponent:

Skupina zabezpečení sítě

Každá podsíť v rámci topologie má nakonfigurovanou skupinu zabezpečení sítě. Skupiny zabezpečení sítě implementují pravidla zabezpečení, která povolují nebo zakazují síťový provoz do a z každého prostředku v topologii.

hraniční sítě

Nakonfigurujte hraniční síť ve své vlastní podsíti ve virtuální síti centra pro směrování externího provozu. Hraniční síť je určená k hostování síťových virtuálních zařízení, aby poskytovala funkce zabezpečení, jako jsou brány firewall a kontrola paketů. Odchozí provoz z hraniční sítě můžete směrovat přes virtuální zařízení. Provoz se pak monitoruje, zabezpečuje a audituje.

síťové virtuální zařízení

Síťová virtuální zařízení (NVA) poskytují zabezpečenou hranici sítě kontrolou veškerého příchozího a odchozího síťového provozu. Pak NVA předává pouze provoz, který splňuje pravidla zabezpečení sítě, v podstatě funguje jako firewall.

Azure Firewall může nahradit některé komponenty, které jsou popsány v tomto článku, a řídit tak přístup k síťovým prostředkům Azure. Další informace najdete v části Azure Firewall.

Azure ExpressRoute

ExpressRoute vytvoří vyhrazené privátní propojení WAN mezi místními prostředky a podsítí brány Azure ve virtuální síti centra. Mezi místní síť a hraniční směrovače poskytovatele ExpressRoute přidáte zařízení zabezpečení sítě. Toto zařízení omezuje tok neoprávněného provozu z virtuální sítě.

Azure Firewall

Microsoft spravuje tuto službu zabezpečení sítě. Chrání virtuální sítě Azure a jejich prostředky tím, že umožňuje centrálně spravovat a vynucovat zásady připojení. Azure Firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě, což umožňuje externím branám firewall identifikovat provoz virtuální sítě.

Azure Firewall je plně stavový síťový firewall, který sleduje provozní stav a charakteristiky síťových připojení, která jím procházejí. Azure Firewall umožňuje centrální kontrolu všech síťových komunikací prostřednictvím vynucení zásad. Tyto zásady je možné vynutit napříč virtuálními sítěmi, oblastmi a předplatnými Azure. V hvězdicové topologii se služba Azure Firewall obvykle zřizuje v centru pro úplnou kontrolu provozu přes síť.

diagram znázorňující funkce služby Azure Firewall

Monitorování služby Azure Firewall se skládá z kontroly protokolů brány firewall a záznamů o aktivitách. Vzhledem k tomu, že je služba Azure Firewall integrovaná s protokoly služby Azure Monitor, můžete tam zobrazit úplné protokoly. Některé protokoly jsou také k dispozici pro zobrazení na webu Azure Portal.

snímek obrazovky s protokoly služby Azure Monitor

Protokoly se dají ukládat v účtu služby Azure Storage, streamovat do služby Azure Event Hubs nebo odesílat do protokolů služby Azure Monitor.

Zabezpečení sítě pomocí skupin zabezpečení sítě

Skupiny zabezpečení sítě (NSG) vynucují a řídí pravidla síťového provozu. Přístup se řídí povolením nebo zamítnutím komunikace mezi úlohami ve virtuální síti. NSG jsou založené na pravidlech a vyhodnocují provoz pomocí metody pěti prvků. Pokud chcete zjistit, jestli je provoz povolený nebo zakázaný, skupiny zabezpečení sítě vyhodnocují provoz pomocí následujících:

  • Zdrojová IP adresa
  • Zdrojový port
  • Cílová IP adresa
  • Cílový port
  • Protokol

Definování pravidel zabezpečení

Pravidla zabezpečení ve skupině zabezpečení sítě (NSG) poskytují mechanismus, který definuje řízení toku datového provozu. Skupina zabezpečení sítě (NSG) má ve výchozím nastavení sadu pravidel. Tato pravidla nelze odstranit, ale můžete je nahradit vlastními pravidly. Výchozí pravidla jsou:

  • Provoz pocházející z virtuální sítě a končící v virtuální síti je povolený.
  • Odchozí provoz do internetu je povolený, ale příchozí provoz je zablokovaný.
  • Azure Load Balancer může testovat stav virtuálních počítačů nebo instancí rolí.

Další aspekty zabezpečení

Schopnost řídit, jak se provoz směruje přes vaše prostředky, je důležitým bezpečnostním opatřením, které je potřeba provést. Azure pomáhá zlepšit zabezpečení celkové infrastruktury tím, že nabízí další služby:

  • skupiny zabezpečení aplikací: Poskytuje centrální zásady a správu zabezpečení pro vaše aplikace. Pomocí skupin zabezpečení aplikací definujte podrobné zásady zabezpečení sítě pomocí monikeru. Pak můžete použít přístup s nulovou důvěryhodností, kde jsou povoleny pouze zadané toky.
  • azure Network Watcher: Umožňuje získat přehled o protokolování a diagnostice sítě. Network Watcher umožňuje porozumět stavu a výkonu sítí Azure.
  • Koncové body služby virtuální sítě: Rozšiřují privátní adresní prostor virtuální sítě, aby byl dostupný pro služby Azure. Koncové body umožňují omezit přístup k prostředkům Azure.
  • Azure DDoS Protection: Umožňuje zmírnit volumetrické, protokolové a útoky na vrstvu prostředků.