Zabezpieczanie sieci za pomocą zera trustu

Dane big data stanowią nowe możliwości uzyskiwania nowych szczegółowych informacji i uzyskiwania przewagi konkurencyjnej. Odejdziemy od epoki, w której sieci były jasno zdefiniowane i zwykle specyficzne dla określonej lokalizacji. Chmura, urządzenia przenośne i inne punkty końcowe rozszerzają granice i zmieniają paradygmat. Teraz nie musi istnieć sieć zawarta/zdefiniowana do zabezpieczenia. Zamiast tego istnieje ogromne portfolio urządzeń i sieci, które są połączone przez chmurę.

Zamiast wierzyć, że wszystko za zaporą firmową jest bezpieczne, kompleksowa strategia Zero Trust zakłada, że naruszenia są nieuniknione. Oznacza to, że należy zweryfikować każde żądanie tak, jakby pochodziło z niekontrolowanych sieci — zarządzanie tożsamościami odgrywa w tym kluczową rolę.

W modelu Zero Trust istnieją trzy kluczowe cele, jeśli chodzi o zabezpieczanie sieci:

• Przygotuj się do obsługi ataków przed ich wykonaniem.

• Zminimalizuj zakres uszkodzeń i szybkość rozprzestrzeniania się.

• Zwiększ trudności z naruszeniem śladu chmury.

Aby tak się stało, przestrzegamy trzech zasad Zero Trust:

• Sprawdź jawnie. Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych, w tym tożsamości użytkownika, lokalizacji, kondycji urządzenia, usługi lub obciążenia, klasyfikacji danych i anomalii.

• Użyj dostępu z najniższymi uprawnieniami. Ogranicz dostęp użytkowników za pomocą technologii Just-In-Time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych, aby chronić zarówno dane, jak i produktywność.

• Przyjmij naruszenie. Zminimalizuj promień wybuchu pod kątem naruszeń i zapobiegaj ruchowi bocznemu, segmentując dostęp przez sieć, użytkownika, urządzenia i świadomość aplikacji. Sprawdź, czy wszystkie sesje są szyfrowane na końcu. Użyj analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.

Cele wdrożenia zero zaufania sieci

Przed rozpoczęciem podróży przez większość organizacji zero trust mają zabezpieczenia sieci, które charakteryzuje się następującymi cechami:

• Niewiele obwodów zabezpieczeń sieci i otwartych, płaskich sieci.

• Minimalna ochrona przed zagrożeniami i filtrowanie ruchu statycznego.

• Niezaszyfrowany ruch wewnętrzny.

Podczas implementowania kompleksowej platformy Zero Trust na potrzeby zabezpieczania sieci zalecamy skupienie się najpierw na tych początkowych celach wdrażania:
	I. Segmentacja sieci: wiele mikro obwodów chmury ruchu przychodzącego/wychodzącego z mikrosegmentacją. II. Ochrona przed zagrożeniami: filtrowanie natywne dla chmury i ochrona znanych zagrożeń. III. Szyfrowanie: ruch wewnętrzny typu użytkownik-aplikacja jest szyfrowany.
Po wykonaniu tych czynności skoncentruj się na następujących dodatkowych celach wdrażania:
	IV. Segmentacja sieci: w pełni rozproszona mikro-obwody chmury ruchu przychodzącego/wychodzącego oraz głębsza mikrosegmentacja. V. Ochrona przed zagrożeniami: ochrona przed zagrożeniami oparta na uczeniu maszynowym i filtrowanie za pomocą sygnałów opartych na kontekście. VI. Szyfrowanie: cały ruch jest szyfrowany. VII. Zaprzestanie starszej technologii zabezpieczeń sieci.

Przewodnik wdrażania usługi Networking Zero Trust

Ten przewodnik przeprowadzi Cię przez kroki wymagane do zabezpieczenia sieci zgodnie z zasadami platformy zabezpieczeń Zero Trust.

Początkowe cele wdrożenia

I. Segmentacja sieci: wiele mikro obwodów chmury ruchu przychodzącego/wychodzącego z mikrosegmentacją

Organizacje nie powinny mieć tylko jednego, dużego potoku w sieci i poza nie. W podejściu Zero Trust sieci są zamiast tego podzielone na mniejsze wyspy, na których znajdują się określone obciążenia. Każdy segment ma własne kontrolki ruchu przychodzącego i wychodzącego, aby zminimalizować "promień wybuchu" nieautoryzowanego dostępu do danych. Implementując obwody zdefiniowane programowo ze szczegółowymi kontrolkami, zwiększasz trudności z propagacją nieautoryzowanych podmiotów w całej sieci, a tym samym zmniejszasz penetrację ruchu bocznego zagrożeń.

Nie ma projektu architektury, który odpowiada potrzebom wszystkich organizacji. Istnieje możliwość między kilkoma typowymi wzorcami projektowymi na potrzeby segmentowania sieci zgodnie z modelem Zero Trust.

W tym przewodniku wdrażania przeprowadzimy Cię przez kroki umożliwiające osiągnięcie jednego z tych projektów: mikrosegmentacji.

Dzięki mikrosegmentacji organizacje mogą przejść poza proste scentralizowane obwody oparte na sieci do kompleksowej i rozproszonej segmentacji przy użyciu mikro-obwodów zdefiniowanych programowo.

Aplikacje są partycjonowane na różne sieci wirtualne platformy Azure i połączone przy użyciu modelu piasty i szprych

Wykonaj te kroki:

1. Tworzenie dedykowanych sieci wirtualnych dla różnych aplikacji i/lub składników aplikacji.

2. Utwórz centralną sieć wirtualną, aby skonfigurować stan zabezpieczeń dla łączności między aplikacjami i połączyć sieci wirtualne aplikacji w architekturze piasty i szprych.

3. Wdróż usługę Azure Firewall w sieci wirtualnej piasty, aby sprawdzić i zarządzać ruchem między sieciami wirtualnymi.

II. Ochrona przed zagrożeniami: filtrowanie natywne dla chmury i ochrona przed znanymi zagrożeniami

Aplikacje w chmurze, które otworzyły punkty końcowe w środowiskach zewnętrznych, takich jak Internet lub środowisko lokalne, są narażone na ataki pochodzące z tych środowisk. Dlatego konieczne jest skanowanie ruchu pod kątem złośliwych ładunków lub logiki.

Tego typu zagrożenia należą do dwóch szerokich kategorii:

• Znane ataki. Zagrożenia wykryte przez dostawcę oprogramowania lub większą społeczność. W takich przypadkach sygnatura ataku jest dostępna i należy upewnić się, że każde żądanie jest sprawdzane względem tych podpisów. Kluczem jest możliwość szybkiego aktualizowania aparatu wykrywania przy użyciu wszelkich nowo zidentyfikowanych ataków.

• Nieznane ataki. Są to zagrożenia, które nie są zgodne z żadnym znanym podpisem. Tego typu zagrożenia obejmują luki w zabezpieczeniach zero-dniowe i nietypowe wzorce ruchu żądań. Możliwość wykrywania takich ataków zależy od tego, jak dobrze obrona wie, co jest normalne i co nie jest. Twoje zabezpieczenia powinny stale uczyć się i aktualizować, takie wzorce jak twoja firma (i skojarzony ruch) ewoluują.

Wykonaj następujące kroki, aby chronić przed znanymi zagrożeniami:

1. W przypadku punktów końcowych z ruchem HTTP/S należy chronić za pomocą usługi Azure Web Application Firewall (WAF) przez:

   1. Włączanie domyślnego zestawu reguł lub zestawu reguł ochrony OWASP top 10 w celu ochrony przed znanymi atakami w warstwie internetowej

   2. Włączenie zestawu reguł ochrony botów w celu uniemożliwienia złośliwym botom złomowania informacji, przeprowadzania wypychania poświadczeń itp.

   3. Dodawanie reguł niestandardowych w celu ochrony przed zagrożeniami specyficznymi dla Twojej firmy.

   Możesz użyć jednej z dwóch opcji:

   • Azure Front Door

     1. Utwórz zasady zapory aplikacji internetowej w usłudze Azure Front Door.

     2. Konfigurowanie ochrony bota dla zapory aplikacji internetowej.

     3. Niestandardowe reguły zapory aplikacji internetowej.

   • Usługa Azure Application Gateway

     1. Utwórz bramę aplikacji przy użyciu zapory aplikacji internetowej.

     2. Konfigurowanie ochrony bota dla zapory aplikacji internetowej.

     3. Tworzenie i używanie reguł niestandardowych zapory aplikacji internetowej w wersji 2.

2. W przypadku wszystkich punktów końcowych (HTTP lub nie), przed usługą Azure Firewall na potrzeby filtrowania opartego na analizie zagrożeń w warstwie 4:

   1. Wdrażanie i konfigurowanie usługi Azure Firewall w witrynie Azure Portal.

   2. Włącz filtrowanie oparte na analizie zagrożeń dla ruchu.

   Napiwek

   Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla punktów końcowych.

III. Szyfrowanie: ruch wewnętrzny typu użytkownik-aplikacja jest szyfrowany

Trzeci początkowy cel, na który należy skupić się, polega na dodaniu szyfrowania w celu zapewnienia szyfrowania ruchu wewnętrznego typu użytkownik-aplikacja.

Wykonaj te kroki:

1. Wymuś komunikację tylko https dla aplikacji internetowych, przekierowując ruch HTTP do protokołu HTTPS przy użyciu usługi Azure Front Door.

2. Połącz zdalnych pracowników/partnerów z platformą Microsoft Azure przy użyciu usługi Azure VPN Gateway.

   1. Włącz szyfrowanie dla dowolnego ruchu punkt-lokacja w usłudze Azure VPN Gateway.

3. Bezpieczny dostęp do maszyn wirtualnych platformy Azure przy użyciu zaszyfrowanej komunikacji za pośrednictwem usługi Azure Bastion.

   1. Nawiązywanie połączenia przy użyciu protokołu SSH z maszyną wirtualną z systemem Linux.

   2. Nawiązywanie połączenia przy użyciu protokołu RDP z maszyną wirtualną z systemem Windows.

Napiwek

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla aplikacji.

Dodatkowe cele wdrożenia

IV. Segmentacja sieci: w pełni rozproszona mikro obwody ruchu przychodzącego/wychodzącego w chmurze i głębsza mikrosegmentacja

Po osiągnięciu pierwszych trzech celów następnym krokiem jest dalsze segmentowanie sieci.

Partycjonowanie składników aplikacji do różnych podsieci

Wykonaj te kroki:

1. W sieci wirtualnej dodaj podsieci sieci wirtualnej, aby dyskretne składniki aplikacji mogły mieć własne obwody.

2. Zastosuj reguły sieciowej grupy zabezpieczeń, aby zezwolić na ruch tylko z podsieci, które mają podsieci aplikacji zidentyfikowane jako legalny odpowiednik komunikacji.

Segmentowanie i wymuszanie granic zewnętrznych

Wykonaj następujące kroki, w zależności od typu granicy:

Granica internetowa

1. Jeśli łączność z Internetem jest wymagana dla aplikacji, która musi być kierowana za pośrednictwem sieci wirtualnej koncentratora, zaktualizuj reguły sieciowej grupy zabezpieczeń w sieci wirtualnej koncentratora, aby zezwolić na łączność z Internetem.

2. Włącz usługę Azure DDoS Protection w warstwie Standardowa , aby chronić sieć wirtualną piasty przed atakami w warstwie sieci woluminowej.

3. Jeśli aplikacja używa protokołów HTTP/S, włącz usługę Azure Web Application Firewall, aby chronić przed zagrożeniami warstwy 7.

Granica lokalna

1. Jeśli twoja aplikacja wymaga łączności z lokalnym centrum danych, użyj usługi Azure ExpressRoute sieci VPN platformy Azure, aby uzyskać łączność z siecią wirtualną koncentratora.

2. Skonfiguruj usługę Azure Firewall w sieci wirtualnej piasty, aby sprawdzać i zarządzać ruchem.

Granica usług PaaS

• W przypadku korzystania z usług PaaS udostępnianych przez platformę Azure (np. Azure Storage, Azure Cosmos DB lub Azure Web App) użyj opcji łączności PrivateLink , aby upewnić się, że wszystkie wymiany danych są za pośrednictwem prywatnej przestrzeni IP, a ruch nigdy nie opuszcza sieci firmy Microsoft.

Napiwek

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla danych.

V. Ochrona przed zagrożeniami: ochrona przed zagrożeniami oparta na uczeniu maszynowym i filtrowanie za pomocą sygnałów opartych na kontekście

Aby uzyskać dalszą ochronę przed zagrożeniami, włącz usługę Azure DDoS Protection w warstwie Standardowa , aby stale monitorować ruch aplikacji hostowanej na platformie Azure, używać struktur opartych na uczeniu maszynowym do punktu odniesienia i wykrywania powodzi ruchu w woluminie i stosować automatyczne środki zaradcze.

Wykonaj te kroki:

1. Konfigurowanie usługi Azure DDoS Protection w warstwie Standardowa i zarządzanie nią .

2. Konfigurowanie alertów dla metryk ochrony przed atakami DDoS.

VI. Szyfrowanie: cały ruch jest szyfrowany

Na koniec ukończ ochronę sieci, upewniając się, że cały ruch jest szyfrowany.

Wykonaj te kroki:

1. Szyfruj ruch zaplecza aplikacji między sieciami wirtualnymi.

2. Szyfruj ruch między środowiskiem lokalnym i chmurą:

   1. Konfigurowanie sieci VPN typu lokacja-lokacja za pośrednictwem komunikacji równorzędnej firmy Microsoft usługi ExpressRoute.

   2. Skonfiguruj tryb transportu protokołu IPsec dla prywatnej komunikacji równorzędnej usługi ExpressRoute.

VII. Zaprzestanie starszej technologii zabezpieczeń sieci

Zaprzestanie korzystania z systemów wykrywania nieautoryzowanego dostępu do sieci/zapobiegania włamaniom do sieci (NIDS/NIPS) oraz ochrony przed wyciekami/utratą danych sieciowych (DLP).

Główni dostawcy usług w chmurze już filtrują źle sformułowane pakiety i typowe ataki w warstwie sieciowej, więc nie ma potrzeby, aby rozwiązanie NIDS/NIPS wykryło te elementy. Ponadto tradycyjne rozwiązania NIDS/NIPS są zwykle oparte na podejściach opartych na sygnaturach (które są uważane za nieaktualne) i są łatwo unikane przez osoby atakujące i zwykle generują wysoką liczbę wyników fałszywie dodatnich.

Zasady DLP oparte na sieci są malejąco skuteczne w identyfikowaniu zarówno niezamierzonych, jak i celowych utraty danych. Powodem jest to, że większość nowoczesnych protokołów i atakujących używa szyfrowania na poziomie sieci do komunikacji przychodzącej i wychodzącej. Jedynym realnym obejściem tego problemu jest "mostkowanie SSL", które zapewnia "autoryzowany man-in-the-middle", który kończy, a następnie ponownie publikuje zaszyfrowane połączenia sieciowe. Podejście mostkujące SSL nie powiodło się z powodu poziomu zaufania wymaganego przez partnera uruchamiającego rozwiązanie i używane technologie.

W oparciu o to uzasadnienie oferujemy zalecenie all-up, które zaprzestanie korzystania z tych starszych technologii zabezpieczeń sieci. Jeśli jednak twoje doświadczenie organizacyjne polega na tym, że te technologie miały istotny wpływ na zapobieganie i wykrywanie rzeczywistych ataków, możesz rozważyć ich przenoszenie do środowiska chmury.

Produkty omówione w tym przewodniku

Microsoft Azure

Sieć platformy Azure

Sieci wirtualne i podsieci

Sieciowe grupy zabezpieczeń i grupy zabezpieczeń aplikacji

Azure Firewall

Ochrona przed atakami DDoS

Zapora aplikacji internetowej platformy Azure

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Podsumowanie

Zabezpieczanie sieci ma kluczowe znaczenie dla pomyślnej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub zapoznaj się z innymi rozdziałami tego przewodnika, który obejmuje wszystkie filary Zero Trust.

Seria przewodników wdrażania zero trust