Delen via

Plan voor netwerksegmentatie van landingszone

  • Artikel

In deze sectie worden belangrijke aanbevelingen besproken voor het leveren van zeer veilige interne netwerksegmentatie binnen een landingszone om een netwerk zero trust-implementatie te stimuleren.

Ontwerpoverwegingen

  • Bij het Zero Trust-model wordt ervan uitgegaan dat de status is geschonden en wordt elke aanvraag geverifieerd alsof deze afkomstig is van een niet-gecontroleerd netwerk.

  • Een geavanceerde Zero Trust-netwerk-implementatie maakt gebruik van volledig gedistribueerde inkomende en uitgaande cloudmicroperimeters en diepere microsegmentatie.

  • Netwerkbeveiligingsgroepen (NSG's) kunnen Azure-servicetags gebruiken om connectiviteit met PaaS-oplossingen (Platform as a Service) van Azure te vergemakkelijken.

  • Toepassingsbeveiligingsgroepen (ASG's) omvatten of bieden geen beveiliging in virtuele netwerken.

  • Gebruik NSG-stroomlogboeken om verkeer te controleren dat via een netwerkpunt stroomt met een gekoppelde NSG.

  • Stroomlogboeken voor virtuele netwerken bieden mogelijkheden die vergelijkbaar zijn met NSG-stroomlogboeken, maar hebben betrekking op een breder scala aan gebruiksvoorbeelden. Ze vereenvoudigen ook het bereik van verkeersbewaking, omdat u logboekregistratie op het niveau van het virtuele netwerk kunt inschakelen.

Ontwerpaanaanvelingen

  • Delegeer het maken van subnetten naar de eigenaar van de landingszone. Hierdoor kunnen ze definiëren hoe workloads in subnetten kunnen worden gesegmenteerd (bijvoorbeeld één groot subnet, een toepassing met meerdere lagen of een toepassing met een netwerk). Het platformteam kan Azure Policy gebruiken om ervoor te zorgen dat een NSG met specifieke regels (zoals binnenkomende SSH of RDP vanaf internet weigeren of verkeer tussen landingszones toestaan/blokkeren) altijd is gekoppeld aan subnetten met beleid dat alleen weigeren heeft.

  • Gebruik NSG's om verkeer tussen subnetten te beschermen, evenals oost-/westverkeer over het platform (verkeer tussen landingszones).

  • Het toepassingsteam moet toepassingsbeveiligingsgroepen op subnetniveau NSG's gebruiken om vm's met meerdere lagen binnen de landingszone te beveiligen.

    Diagram waarin wordt getoond hoe de toepassingsbeveiligingsgroep werkt.

  • Gebruik NSG's en toepassingsbeveiligingsgroepen om het microsegmentverkeer binnen de landingszone te segmenteren en vermijd het gebruik van een centrale NVA om verkeersstromen te filteren.

  • Schakel stroomlogboeken voor virtuele netwerken in en gebruik verkeersanalyse om inzicht te krijgen in inkomend en uitgaand verkeer. Schakel stroomlogboeken in op alle kritieke virtuele netwerken en subnetten in uw abonnementen, bijvoorbeeld virtuele netwerken en subnetten die Windows Server Active Directory-domeincontrollers of kritieke gegevensarchieven bevatten. Daarnaast kunt u stroomlogboeken gebruiken om potentiële beveiligingsincidenten, naleving en bewaking te detecteren en te onderzoeken en om het gebruik te optimaliseren.

  • Gebruik NSG's om selectief connectiviteit tussen landingszones toe te staan.

  • Voor Virtual WAN-topologieën routeert u verkeer over landingszones via Azure Firewall als uw organisatie filter- en logboekregistratiemogelijkheden vereist voor verkeer dat over landingszones stroomt.

  • Als uw organisatie besluit geforceerde tunneling te implementeren (standaardroute adverteren) naar on-premises, raden we u aan de volgende uitgaande NSG-regels op te nemen om uitgaand verkeer van VNets rechtstreeks naar internet te weigeren als de BGP-sessie wordt verwijderd.

Notitie

Regelprioriteiten moeten worden aangepast op basis van uw bestaande NSG-regelset.

Prioriteit Naam Bron Doel Service Actie Opmerking
100 AllowLocal Any VirtualNetwork Any Allow Verkeer toestaan tijdens normale bewerkingen. Als geforceerde tunneling is ingeschakeld, 0.0.0.0/0 wordt het beschouwd als onderdeel van de VirtualNetwork tag zolang BGP deze aan de ExpressRoute- of VPN-gateway adverteert.
110 DenyInternet Any Internet Any Deny Verkeer rechtstreeks naar internet weigeren als de 0.0.0.0/0 route wordt ingetrokken van de geadverteerd routes (bijvoorbeeld vanwege een storing of onjuiste configuratie).

Let op

Azure PaaS-services die kunnen worden geïnjecteerd in een virtueel netwerk, zijn mogelijk niet compatibel met geforceerde tunneling. Bewerkingen op het besturingsvlak vereisen mogelijk nog steeds directe connectiviteit met specifieke openbare IP-adressen om de service correct te laten werken. Het is raadzaam om de specifieke servicedocumentatie voor netwerkvereisten te controleren en het servicesubnet uiteindelijk uit te schakelen van de standaardroutedoorgifte. Servicetags in UDR kunnen alleen worden gebruikt om standaardroute- en omleidingsvlakverkeer te omzeilen, als de specifieke servicetag beschikbaar is.