Stosowanie zasad Zero Trust w celu zaprzestania starszej technologii zabezpieczeń sieci
Ten artykuł zawiera wskazówki dotyczące stosowania zasad zero trustu w celu zaprzestania starszej technologii zabezpieczeń sieci w środowiskach platformy Azure. Poniżej przedstawiono zasady zero trustu.
Zasada zerowego zaufania | Definicja |
---|---|
Jawną weryfikację | Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. |
Używanie dostępu z jak najmniejszą liczbą uprawnień | Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. |
Zakładanie naruszeń zabezpieczeń | Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. Ulepszanie ochrony środowiska platformy Azure przez usunięcie lub uaktualnienie starszych usług sieciowych w celu uzyskania wyższych poziomów zabezpieczeń. |
Ten artykuł jest częścią serii artykułów , które pokazują, jak zastosować zasady zero trust do sieci platformy Azure.
Obszary sieciowe platformy Azure, które należy przejrzeć, aby zaprzestać korzystania ze starszych technologii zabezpieczeń sieci:
- Usługi podstawowe sieci
- Równoważenie obciążenia i usługi dostarczania zawartości
- Usługi łączności hybrydowej
Przejście od korzystania ze starszych technologii zabezpieczeń sieci może uniemożliwić atakującemu uzyskanie dostępu do środowisk lub przejście między nimi w celu spowodowania powszechnych szkód ( zasada Przyjmij naruszenie zerowego zaufania).
Architektura odwołań
Na poniższym diagramie przedstawiono architekturę referencyjną dla tych wskazówek dotyczących zerowego zaufania w celu zaprzestania starszej technologii zabezpieczeń sieci dla składników w środowisku platformy Azure.
Ta architektura referencyjna obejmuje:
- Obciążenia IaaS platformy Azure działające na maszynach wirtualnych platformy Azure.
- Usługi platformy Azure.
- Sieć wirtualna zabezpieczeń zawierająca usługę Azure VPN Gateway i bramę aplikacja systemu Azure.
- Internetowa sieć wirtualna brzegowa zawierająca usługę Azure Load Balancer.
- Usługa Azure Front Door na brzegu środowiska platformy Azure.
Co znajduje się w tym artykule?
Zasady zero trust są stosowane w całej architekturze referencyjnej, od użytkowników i administratorów w Internecie lub w sieci lokalnej do i w środowisku platformy Azure. W poniższej tabeli wymieniono kluczowe zadania dotyczące zaprzestania starszych technologii zabezpieczeń sieci w tej architekturze dla zasady Przyjmij zero trust.
Krok | Zadanie |
---|---|
1 | Przejrzyj usługi podstaw sieci. |
2 | Przejrzyj usługi dostarczania zawartości i równoważenia obciążenia. |
3 | Przejrzyj usługi łączności hybrydowej. |
Krok 1. Przegląd usług podstaw sieci
Przegląd usług podstawowych sieci obejmuje następujące elementy:
- Przejście z podstawowej jednostki SKU publicznego adresu IP do jednostki SKU publicznego adresu IP w warstwie Standardowa.
- Upewnienie się, że adresy IP maszyn wirtualnych korzystają z jawnego dostępu wychodzącego.
Na tym diagramie przedstawiono składniki aktualizacji usług podstaw sieci platformy Azure w architekturze referencyjnej.
Podstawowa jednostka SKU publicznego adresu IP
Adresy IP (publiczne i prywatne) są częścią usług IP na platformie Azure, które umożliwiają komunikację między zasobami prywatnymi i publicznymi. Publiczne adresy IP są połączone z usługami, takimi jak bramy sieci wirtualnej, bramy aplikacji i inne, które wymagają łączności wychodzącej z Internetem. Prywatne adresy IP umożliwiają wewnętrzną komunikację między zasobami platformy Azure.
Podstawowa jednostka SKU publicznego adresu IP jest obecnie postrzegana jako starsza wersja i ma więcej ograniczeń niż jednostka SKU publicznego adresu IP w warstwie Standardowa. Jednym z głównych ograniczeń dla jednostki SKU podstawowego publicznego adresu IP jest to, że użycie sieciowych grup zabezpieczeń nie jest wymagane, ale zalecane, chociaż jest obowiązkowe w przypadku jednostki SKU publicznego adresu IP w warstwie Standardowa.
Kolejną ważną funkcją jednostki SKU publicznego adresu IP w warstwie Standardowa jest możliwość wybrania preferencji routingu, takich jak routing za pośrednictwem globalnej sieci firmy Microsoft. Ta funkcja zabezpiecza ruch w sieci szkieletowej firmy Microsoft zawsze wtedy, gdy jest to możliwe, a ruch wychodzący kończy się jak najbliżej usługi lub użytkownika końcowego.
Aby uzyskać więcej informacji, zobacz Usługi IP usługi Azure Virtual Network.
Uwaga
Podstawowa jednostka SKU publicznego adresu IP zostanie wycofana we wrześniu 2025 r.
Domyślny dostęp wychodzący
Domyślnie platforma Azure zapewnia dostęp wychodzący do Internetu. Łączność z zasobów jest domyślnie udzielana trasom systemowym i domyślnym regułom ruchu wychodzącego dla sieciowych grup zabezpieczeń. Innymi słowy, jeśli nie skonfigurowano jawnej metody łączności wychodzącej, platforma Azure konfiguruje domyślny adres IP dostępu wychodzącego. Jednak bez jawnego dostępu wychodzącego pojawiają się pewne zagrożenia bezpieczeństwa.
Firma Microsoft zaleca, aby adres IP maszyny wirtualnej nie był otwarty dla ruchu internetowego. Nie ma kontroli nad domyślnym dostępem wychodzącym IP i adresami IP, wraz z ich zależnościami, może ulec zmianie. W przypadku maszyn wirtualnych wyposażonych w wiele kart sieciowych nie zaleca się zezwalania wszystkim adresom IP karty sieciowej na dostęp wychodzący z Internetu. Zamiast tego należy ograniczyć dostęp tylko do niezbędnych kart sieciowych.
Firma Microsoft zaleca skonfigurowanie jawnego dostępu wychodzącego przy użyciu jednej z następujących opcji:
Brama translatora adresów sieciowych platformy Azure
W przypadku maksymalnych portów translacji adresów sieciowych (SNAT) firma Microsoft zaleca usługę Azure NAT Gateway na potrzeby łączności wychodzącej.
Usługa Azure Load Balancers w warstwie Standardowa
Wymaga to reguły równoważenia obciążenia do programowania SNAT, co może nie być tak wydajne jak brama translatora adresów sieciowych platformy Azure.
Ograniczone użycie publicznych adresów IP
Przypisywanie bezpośredniego publicznego adresu IP do maszyny wirtualnej powinno odbywać się tylko w przypadku środowisk testowych lub programistycznych ze względu na skalowalność i zabezpieczenia.
Krok 2. Przeglądanie dostarczania zawartości i usług równoważenia obciążenia
Platforma Azure ma wiele usług dostarczania aplikacji, które ułatwiają wysyłanie i dystrybuowanie ruchu do aplikacji internetowych. Czasami nowa wersja lub warstwa usługi ulepsza środowisko i udostępnia najnowsze aktualizacje. Możesz użyć narzędzia migracji w ramach każdej usługi dostarczania aplikacji, aby łatwo przełączyć się do najnowszej wersji usługi i skorzystać z nowych i rozszerzonych funkcji.
Przegląd usług dostarczania zawartości i równoważenia obciążenia obejmuje:
- Migrowanie warstwy usługi Azure Front Door z warstwy Klasycznej do warstwy Premium lub Standardowa.
- Migrowanie bram aplikacja systemu Azure do WAF_v2.
- Migrowanie do usługi Azure Load Balancer w warstwie Standardowa.
Na tym diagramie przedstawiono składniki aktualizacji usług dostarczania zawartości platformy Azure i równoważenia obciążenia.
Azure Front Door
Usługa Azure Front Door ma trzy różne warstwy: Premium, Standardowa i Classic. Warstwy Standardowa i Premium łączą funkcje z warstwy klasycznej usługi Azure Front Door, Azure Content Delivery Network i Azure Web Application Firewall (WAF) w jedną usługę.
Firma Microsoft zaleca migrowanie klasycznych profilów usługi Azure Front Door do warstw Premium lub Standardowa w celu korzystania z tych nowych funkcji i aktualizacji. Warstwa Premium koncentruje się na ulepszonych funkcjach zabezpieczeń, takich jak prywatna łączność z usługami zaplecza, reguły zapory aplikacji internetowych firmy Microsoft i ochrona botów dla aplikacji internetowych.
Oprócz ulepszonych funkcji usługa Azure Front Door Premium zawiera raporty zabezpieczeń wbudowane w usługę bez dodatkowych kosztów. Te raporty ułatwiają analizowanie reguł zabezpieczeń zapory aplikacji internetowych i sprawdzenie, jakiego rodzaju ataki mogą wystąpić w aplikacjach internetowych. Raport zabezpieczeń umożliwia również analizowanie metryk według różnych wymiarów, co pomaga zrozumieć, skąd pochodzi ruch, oraz podział najważniejszych zdarzeń według kryteriów.
Warstwa Azure Front Door Premium zapewnia najbardziej niezawodne środki zabezpieczeń internetu między klientami i aplikacjami internetowymi.
Usługa Azure Application Gateway
aplikacja systemu Azure Bramy mają dwa typy jednostek SKU, 1 i 2 oraz wersję zapory aplikacji internetowej, którą można zastosować do jednostki SKU. Firma Microsoft zaleca migrację bramy aplikacja systemu Azure do jednostki SKU WAF_v2, aby skorzystać z uaktualnień wydajności i nowych funkcji, takich jak skalowanie automatyczne, niestandardowe reguły zapory aplikacji internetowej i obsługa usługi Azure Private Link.
Niestandardowe reguły zapory aplikacji internetowej umożliwiają określenie warunków oceny każdego żądania przechodzącego przez bramę aplikacja systemu Azure. Te reguły mają wyższy priorytet niż reguły w zarządzanych zestawach reguł i można je dostosować zgodnie z wymaganiami aplikacji i zabezpieczeń. Niestandardowe reguły zapory aplikacji internetowych mogą również ograniczać dostęp do aplikacji internetowych według kraju lub regionów, pasując do adresu IP do kodu kraju.
Inną zaletą migracji do usługi WAFv2 jest możliwość nawiązania połączenia z bramą aplikacja systemu Azure za pośrednictwem usługi Azure Private Link podczas uzyskiwania dostępu z innej sieci wirtualnej lub innej subskrypcji. Ta funkcja umożliwia blokowanie publicznego dostępu do bramy aplikacja systemu Azure, zezwalając tylko użytkownikom i urządzeniom na dostęp za pośrednictwem prywatnego punktu końcowego. W przypadku łączności usługi Azure Private Link należy zatwierdzić każde połączenie prywatnego punktu końcowego, co gwarantuje, że tylko właściwa jednostka będzie mogła uzyskać dostęp. Aby uzyskać więcej informacji na temat różnic między jednostkami SKU w wersji 1 i 2, zobacz aplikacja systemu Azure Gateway v2.
Azure Load Balancer
Po zaplanowanym wycofaniu podstawowej jednostki SKU publicznego adresu IP we wrześniu 2025 r. należy uaktualnić usługi korzystające z podstawowych publicznych adresów IP jednostki IP. Firma Microsoft zaleca migrację bieżącej podstawowej jednostki SKU Azure Load Balancers do usługi Azure Load Balancers w warstwie Standardowa w celu zaimplementowania środków zabezpieczeń, które nie są dołączone do jednostki SKU w warstwie Podstawowa.
W przypadku usługi Azure Load Balancer w warstwie Standardowa usługa Azure Load Balancer jest domyślnie bezpieczna. Cały przychodzący ruch internetowy do publicznego modułu równoważenia obciążenia jest blokowany, chyba że jest dozwolony przez reguły zastosowanej sieciowej grupy zabezpieczeń. To domyślne zachowanie zapobiega przypadkowemu zezwalaniu na ruch internetowy do maszyn wirtualnych lub usług przed rozpoczęciem pracy i zapewnia kontrolę nad ruchem, który może uzyskiwać dostęp do zasobów.
Usługa Azure Load Balancer w warstwie Standardowa używa usługi Azure Private Link do tworzenia połączeń prywatnych punktów końcowych, co jest przydatne w przypadkach, gdy chcesz zezwolić na dostęp prywatny do zasobów za modułem równoważenia obciążenia, ale chcesz, aby użytkownicy uzyskiwali do niego dostęp ze środowiska.
Krok 3. Przegląd usług łączności hybrydowej
Przegląd usług łączności hybrydowej obejmuje użycie nowej generacji jednostek SKU dla usługi Azure VPN Gateway.
Na tym diagramie przedstawiono składniki aktualizacji usług łączności hybrydowej platformy Azure w architekturze referencyjnej.
Najbardziej efektywnym sposobem łączenia sieci hybrydowych na platformie Azure jest obecnie użycie jednostek SKU nowej generacji dla usługi Azure VPN Gateway. Chociaż można nadal korzystać z klasycznych bram sieci VPN, są one nieaktualne i mniej niezawodne i wydajne. Klasyczne bramy sieci VPN obsługują maksymalnie 10 tuneli Zabezpieczeń protokołu internetowego (IPsec), natomiast nowsze jednostki SKU usługi Azure VPN Gateway mogą skalować do 100 tuneli.
Nowsze jednostki SKU działają na nowszym modelu sterowników i zawierają najnowsze aktualizacje oprogramowania zabezpieczeń. Starsze modele sterowników były oparte na przestarzałych technologiach firmy Microsoft, które nie są odpowiednie dla nowoczesnych obciążeń. Nowsze modele sterowników nie tylko oferują lepszą wydajność i sprzęt, ale także zapewniają lepszą odporność. Zestaw az jednostek SKU bram sieci VPN można umieścić w strefach dostępności i obsługiwać aktywne-aktywne połączenia z wieloma publicznymi adresami IP, co zwiększa odporność i oferuje ulepszone opcje odzyskiwania po awarii.
Ponadto w przypadku potrzeb routingu dynamicznego klasyczne bramy sieci VPN nie mogły uruchomić protokołu BGP (Border Gateway Protocol), tylko używali protokołu IKEv1 i nie obsługiwali routingu dynamicznego. Podsumowując, klasyczne bramy sieci VPN jednostki SKU są przeznaczone dla mniejszych obciążeń, niskiej przepustowości i połączeń statycznych.
Klasyczne bramy sieci VPN mają również ograniczenia dotyczące zabezpieczeń i funkcjonalności tuneli IPsec. Obsługują one tylko tryb oparty na zasadach z protokołem IKEv1 i ograniczonym zestawem szyfrowania i algorytmów wyznaczania wartości skrótu, które są bardziej podatne na naruszenia. Firma Microsoft zaleca przejście do nowych jednostek SKU, które oferują szerszy zakres opcji dla protokołów fazy 1 i fazy 2. Główną zaletą jest to, że oparte na trasach bramy sieci VPN mogą używać zarówno trybu głównego IKEv1, jak i IKEv2, zapewniając większą elastyczność implementacji i bardziej niezawodne algorytmy szyfrowania i wyznaczania wartości skrótu.
Jeśli potrzebujesz wyższych zabezpieczeń niż domyślne wartości szyfrowania, bramy sieci VPN oparte na trasach umożliwiają dostosowanie parametrów fazy 1 i fazy 2 w celu wybrania określonych szyfrów i długości kluczy. Silniejsze grupy szyfrowania obejmują grupę 14 (2048-bitową), grupę 24 (grupę MODP 2048-bitową) lub grupę ECP (grupy krzywej eliptycznej) 256-bitową lub 384-bitową (odpowiednio grupę 19 i grupę 20). Ponadto można określić, które zakresy prefiksów mogą wysyłać zaszyfrowany ruch przy użyciu ustawienia Selektor ruchu, aby dodatkowo zabezpieczyć negocjacje tunelu przed nieautoryzowanym ruchem.
Aby uzyskać więcej informacji, zobacz Kryptografia usługi Azure VPN Gateway.
Jednostki SKU usługi Azure VPN Gateway ułatwiają połączenia sieci VPN typu punkt-lokacja (P2S) w celu korzystania z protokołów IPsec opartych na standardowych protokołach IKEv2 i VPN opartych na protokole SSL/TLS, takich jak OpenVPN i Secure Socket Tunneling Protocol (SSTP). Ta obsługa zapewnia użytkownikom różne metody implementacji i umożliwia im łączenie się z platformą Azure przy użyciu różnych systemów operacyjnych urządzeń. Jednostki SKU usługi Azure VPN Gateway oferują również wiele opcji uwierzytelniania klienta, w tym uwierzytelnianie certyfikatów, uwierzytelnianie identyfikatora Entra firmy Microsoft i uwierzytelnianie usług domena usługi Active Directory Services (AD DS).
Uwaga
Klasyczne bramy IPSec zostaną wycofane 31 sierpnia 2024 r.
Zalecane szkolenie
- Konfigurowanie sieci wirtualnych i zarządzanie nimi dla administratorów platformy Azure
- Zabezpieczanie i izolowanie dostępu do zasobów platformy Azure przy użyciu sieciowych grup zabezpieczeń i punktów końcowych usługi
- Wprowadzenie do usługi Azure Front Door
- Wprowadzenie do usługi aplikacja systemu Azure Gateway
- Wprowadzenie do usługi Azure Web Application Firewall
- Wprowadzenie do usługi Azure Private Link
- Łączenie sieci lokalnej z platformą Azure za pomocą usługi VPN Gateway
Następne kroki
Aby uzyskać więcej informacji na temat stosowania relacji Zero Trust do sieci platformy Azure, zobacz:
- Szyfrowanie komunikacji sieciowej opartej na platformie Azure
- Segmentowanie komunikacji sieciowej opartej na platformie Azure
- Uzyskiwanie wglądu w ruch sieciowy
- Zabezpieczanie sieci za pomocą zera trustu
- Sieci wirtualne będące szprychami na platformie Azure
- Sieci wirtualne koncentratora na platformie Azure
- Sieci wirtualne będące szprychami z usługami PaaS platformy Azure
- Azure Virtual WAN
Informacje
Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.