Plan voor netwerksegmentatie van landingszone
In deze sectie worden belangrijke aanbevelingen besproken voor het leveren van zeer veilige interne netwerksegmentatie binnen een landingszone om een netwerk zero trust-implementatie te stimuleren.
Ontwerpoverwegingen
Bij het Zero Trust-model wordt ervan uitgegaan dat er een inbreuk heeft plaatsgevonden en wordt elke aanvraag geverifieerd alsof deze afkomstig is van een onbeheerd netwerk.
Een geavanceerde Zero Trust-netwerk-implementatie maakt gebruik van volledig gedistribueerde inkomende en uitgaande cloudmicroperimeters en diepere microsegmentatie.
Netwerkbeveiligingsgroepen (NSG's) kunnen Azure-servicetags gebruiken om connectiviteit met PaaS-oplossingen (Platform as a Service) van Azure te vergemakkelijken.
Toepassingsbeveiligingsgroepen (ASG's) bestrijken geen virtuele netwerken en bieden er ook geen beveiliging tussen.
Gebruik stroomlogboeken van virtuele netwerken om verkeer te controleren dat via virtuele netwerken stroomt. Stroomlogboeken voor virtuele netwerken bieden mogelijkheden die vergelijkbaar zijn met NSG-stroomlogboeken, maar hebben betrekking op een breder scala aan gebruiksvoorbeelden. Ze vereenvoudigen ook het bereik van verkeersbewaking, omdat u logboekregistratie op het niveau van het virtuele netwerk kunt inschakelen.
Notitie
Op 30 september 2027 worden stroomlogboeken voor netwerkbeveiligingsgroepen (NSG) buiten gebruik gesteld. Als onderdeel van deze buitengebruikstelling kunt u vanaf 30 juni 2025 geen nieuwe NSG-stroomlogboeken meer maken. U wordt aangeraden te migreren naar stroomlogboeken van virtuele netwerken, waardoor de beperkingen van NSG-stroomlogboeken worden opgelost. Na de buitengebruikstellingsdatum worden verkeersanalyses die zijn ingeschakeld met NSG-stroomlogboeken niet meer ondersteund en worden bestaande resources voor NSG-stroomlogboeken in uw abonnementen verwijderd. NSG-stroomlogboekrecords worden echter niet verwijderd en blijven hun respectieve bewaarbeleid volgen. Voor meer informatie, zie de kennisgeving voor buitengebruikstelling.
Ontwerpaanaanvelingen
Delegeer het maken van subnetten naar de eigenaar van de landingszone. Hierdoor kunnen ze definiëren hoe workloads in subnetten kunnen worden gesegmenteerd (bijvoorbeeld één groot subnet, een toepassing met meerdere lagen of een toepassing met een netwerk). Het platformteam kan Azure Policy gebruiken om ervoor te zorgen dat een NSG met specifieke regels (zoals binnenkomende SSH of RDP vanaf internet weigeren of verkeer tussen landingszones toestaan/blokkeren) altijd is gekoppeld aan subnetten met beleid voor alleen-weigeren.
Gebruik NSG's om verkeer te beschermen tussen subnetten en oost-/westverkeer over het platform (verkeer tussen landingszones).
Het toepassingsteam moet toepassingsbeveiligingsgroepen op subnetniveau NSG's gebruiken om vm's met meerdere lagen binnen de landingszone te beveiligen.
Diagram waarin wordt getoond hoe de toepassingsbeveiligingsgroep werkt.Gebruik NSG's en toepassingsbeveiligingsgroepen om het microsegmentverkeer binnen de landingszone te segmenteren en vermijd het gebruik van een centrale NVA om verkeersstromen te filteren.
Schakel stroomlogboeken voor virtuele netwerken in en gebruik verkeersanalyse om inzicht te krijgen in inkomend en uitgaand verkeer. Schakel stroomlogboeken in op alle kritieke virtuele netwerken en subnetten in uw abonnementen, bijvoorbeeld virtuele netwerken en subnetten die Windows Server Active Directory-domeincontrollers of kritieke gegevensarchieven bevatten. Daarnaast kunt u stroomlogboeken gebruiken om potentiële beveiligingsincidenten, naleving en bewaking te detecteren en te onderzoeken en om het gebruik te optimaliseren.
Plan en migreer uw huidige NSG-stroomlogboekenconfiguratie naar logboeken voor virtuele netwerken. Zie Migratie van NSG-stroomlogboeken.
Gebruik NSG's om selectief connectiviteit tussen landingszones toe te staan.
Voor Virtual WAN-topologieën routeert u verkeer over landingszones via Azure Firewall als uw organisatie filter- en logboekregistratiemogelijkheden vereist voor verkeer dat over landingszones stroomt.
Als uw organisatie besluit geforceerde tunneling te implementeren (standaardroute aankondigen) naar on-premises, raden we u aan de volgende uitgaande NSG-regels op te nemen om uitgaand verkeer van VNets rechtstreeks naar internet te weigeren, mocht de BGP-sessie wegvallen.
Diagram waarin wordt getoond hoe de toepassingsbeveiligingsgroep werkt.Notitie
Regelprioriteiten moeten worden aangepast op basis van uw bestaande NSG-regelset.
| Prioriteit | Naam | Bron | Bestemming | Dienst | Actie | Opmerking |
|---|---|---|---|---|---|---|
| 100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
Verkeer toestaan tijdens normale bewerkingen. Als geforceerde tunneling is ingeschakeld, wordt 0.0.0.0/0 beschouwd als onderdeel van de VirtualNetwork-tag zolang BGP deze aan de ExpressRoute- of VPN-gateway adverteert. |
| 110 | DenyInternet |
Any |
Internet |
Any |
Deny |
Verkeer direct naar het internet blokkeren als de 0.0.0.0/0 route wordt ingetrokken van de geadverteerde routes (bijvoorbeeld vanwege een storing of onjuiste configuratie). |
Let op
Azure PaaS-services die kunnen worden geïnjecteerd in een virtueel netwerk, zijn mogelijk niet compatibel met geforceerde tunneling. Bewerkingen op het besturingsvlak vereisen mogelijk nog steeds directe connectiviteit met specifieke openbare IP-adressen om de service correct te laten werken. Het is raadzaam om de specifieke servicedocumentatie voor netwerkvereisten te controleren en het servicesubnet uiteindelijk uit te schakelen van de standaardroutedoorgifte. Servicetags in UDR kunnen worden gebruikt om de standaardroute te omzeilen en alleen controlevlakverkeer om te leiden, als de specifieke servicetag beschikbaar is.