Stosowanie zasad Zero Trust w celu uzyskania wglądu w ruch sieciowy
Ten artykuł zawiera wskazówki dotyczące stosowania zasad zerowego zaufania do segmentowania sieci w środowiskach platformy Azure. Poniżej przedstawiono zasady zero trustu.
| Zasada zerowego zaufania | Definicja |
|---|---|
| Jawną weryfikację | Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. |
| Używanie dostępu z jak najmniejszą liczbą uprawnień | Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. |
| Zakładanie naruszeń zabezpieczeń | Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. Ta zasada jest spełniona przy użyciu analizy w celu uzyskania wglądu w ruch sieciowy w infrastrukturze platformy Azure. |
Ten artykuł jest częścią serii artykułów , które pokazują, jak zastosować zasady zero trust do sieci platformy Azure.
Typy ruchu sieciowego omówionego w tym artykule to:
- Scentralizowany
- Ruch wschodnio-zachodni, który jest przepływem ruchu między sieciami wirtualnymi platformy Azure a usługami platformy Azure i siecią lokalną
- Północ-południe, które są przepływami ruchu między środowiskiem platformy Azure a Internetem
Architektura odwołań
Na poniższym diagramie przedstawiono architekturę referencyjną dla tych wskazówek zero trust dotyczących inspekcji ruchu między sieciami lokalnymi i wirtualnymi platformy Azure, między sieciami wirtualnymi platformy Azure i usługami platformy Azure oraz między środowiskiem platformy Azure a Internetem.
Ta architektura referencyjna obejmuje:
- Obciążenia IaaS platformy Azure działające na maszynach wirtualnych platformy Azure.
- Usługi platformy Azure.
- Internetowa sieć wirtualna brzegowa zawierająca usługę Azure DDoS Protection, usługę Azure Firewall i zaporę aplikacji internetowej platformy Azure (WAF).
- Strzałki pokazujące przepływy ruchu wschód-zachód i północ-południe.
Co znajduje się w tym artykule?
Zasady zerowego zaufania są stosowane w całej architekturze referencyjnej. W poniższej tabeli opisano zalecenia dotyczące zapewniania widoczności ruchu sieciowego w tej architekturze dla zasady Przyjmij zerowe zaufanie.
| Krok | Zadanie |
|---|---|
| 1 | Zaimplementuj scentralizowany punkt kontroli ruchu. |
| 2 | Zaimplementuj inspekcję ruchu we wschodniej części zachodu. |
| 3 | Zaimplementuj inspekcję ruchu północno-południowego. |
Krok 1. Implementowanie scentralizowanego punktu inspekcji ruchu
Scentralizowana inspekcja ruchu umożliwia kontrolowanie i wizualizowanie ruchu przychodzącego i wychodzącego z sieci. Sieci wirtualne piasty i szprych oraz usługa Azure Virtual WAN to dwie najbardziej typowe topologie sieci na platformie Azure. Mają różne możliwości i funkcje w sposobie łączenia sieci. W obu projektach sieć wirtualna piasty jest siecią centralną i służy do dzielenia obciążeń na aplikacje i obciążenia z sieci wirtualnej piasty do sieci wirtualnych będącej szprychą. Scentralizowana inspekcja obejmuje ruch, który przepływa na północ-południe, wschód-zachód lub oba te elementy.
Topologia gwiazdy
Jedną z cech modelu piasty i szprych jest to, że wszystkie sieci wirtualne są zarządzane przez Ciebie. Zarządzana przez centrum klienta sieć wirtualna służy jako udostępniona sieć wirtualna, z którą łączą się inne sieci wirtualne będące szprychami. Ta scentralizowana sieć wirtualna jest zwykle używana:
- Aby ustanowić łączność hybrydową z sieciami lokalnymi.
- W przypadku inspekcji ruchu i segmentacji przy użyciu usługi Azure Firewall lub wirtualnych urządzeń sieciowych innych firm (WUS).
- Aby scentralizować inspekcję usługi dostarczania aplikacji, taką jak aplikacja systemu Azure Gateway z zaporą aplikacji internetowej.
W tej topologii umieszczasz usługę Azure Firewall lub urządzenie WUS w sieci wirtualnej piasty i konfigurujesz trasy zdefiniowane przez użytkownika (UDR), aby kierować ruch z sieci wirtualnych szprych i z sieci lokalnej do sieci wirtualnej piasty. Usługa Azure Firewall lub urządzenie WUS mogą również służyć jako aparat tras do kierowania ruchu między sieciami wirtualnymi szprych. Jedną z najważniejszych funkcji centrum i szprych zarządzanego przez klienta sieci wirtualnej jest szczegółowa kontrola ruchu przy użyciu tras zdefiniowanych przez użytkownika oraz możliwość ręcznego modyfikowania routingu, segmentacji i propagacji tych tras.
Azure Virtual WAN
Azure Virtual WAN to zarządzana przez platformę Azure sieć wirtualna koncentratora zawierająca wystąpienia usługi Route Service pod maską, która nadzoruje propagację tras ze wszystkich gałęzi i wszystkich szprych. Efektywnie umożliwia łączność typu dowolne-dowolne.
Jedną z dużych różnic w zarządzanej sieci wirtualnej (nazywanej zarządzanym koncentratorem wirtualnym) jest to, że stopień szczegółowości kontroli routingu jest abstrakcyjny dla użytkowników. Oto niektóre z kluczowych korzyści:
- Uproszczone zarządzanie trasami przy użyciu natywnej łączności typu dowolna-dowolna. Jeśli potrzebujesz izolacji ruchu, możesz ręcznie skonfigurować niestandardowe tabele tras lub trasy statyczne w domyślnej tabeli tras.
- W centrum można wdrażać tylko bramy sieci wirtualnej, usługę Azure Firewall i zatwierdzone urządzenia WAN lub urządzenia WAN zdefiniowane programowo. Scentralizowane usługi, takie jak DNS i Application Gateway, muszą znajdować się w zwykłych sieciach wirtualnych będących szprychami. Szprychy muszą być dołączone do koncentratorów wirtualnych przy użyciu komunikacji równorzędnej sieci wirtualnych.
Zarządzane sieci wirtualne najlepiej nadają się do:
- Wdrożenia na dużą skalę w różnych regionach, które wymagają łączności tranzytowej, zapewniając inspekcję ruchu do i z dowolnej lokalizacji.
- Więcej niż 30 oddziałów lub ponad 100 tuneli zabezpieczeń protokołu internetowego (IPsec).
Niektóre z najlepszych funkcji usługi Virtual WAN to infrastruktura routingu skalowalności i łączność. Przykłady skalowalności obejmują przepływność 50 Gb/s na koncentrator i 1000 lokacji gałęzi. W celu dalszego skalowania można połączyć wiele koncentratorów wirtualnych w celu utworzenia większej sieci usługi Virtual WAN mesh. Kolejną zaletą usługi Virtual WAN jest możliwość uproszczenia routingu na potrzeby inspekcji ruchu przez wprowadzenie prefiksów za pomocą kliknięcia przycisku.
Każdy projekt ma własne zalety i wady. Odpowiedni wybór należy określić na podstawie przewidywanych przyszłych wymagań dotyczących wzrostu i nakładu pracy związanego z zarządzaniem.
Krok 2. Implementowanie inspekcji ruchu we wschodnim zachodzie
Przepływy ruchu wschodnio-zachodniego obejmują sieć wirtualną do sieci wirtualnej i sieć wirtualną do środowiska lokalnego. Aby sprawdzić ruch między wschód-zachód, możesz wdrożyć usługę Azure Firewall lub urządzenie WUS w sieci wirtualnej koncentratora. Wymaga to od użytkownika kierowania ruchu prywatnego do usługi Azure Firewall lub urządzenia WUS w celu przeprowadzenia inspekcji. W tej samej sieci wirtualnej można używać sieciowych grup zabezpieczeń do kontroli dostępu, ale jeśli potrzebujesz dokładniejszej kontroli z inspekcją, możesz użyć lokalnej zapory lub scentralizowanej zapory w sieci wirtualnej koncentratora z użyciem tras zdefiniowanych przez użytkownika.
Za pomocą usługi Azure Virtual WAN możesz mieć usługę Azure Firewall lub urządzenie WUS w koncentratorze wirtualnym na potrzeby scentralizowanego routingu. Możesz użyć usługi Azure Firewall Manager lub intencji routingu, aby sprawdzić cały ruch prywatny. Jeśli chcesz dostosować inspekcję, możesz mieć usługę Azure Firewall lub urządzenie WUS w koncentratonie wirtualnym w celu sprawdzenia żądanego ruchu. Najprostszym sposobem kierowania ruchem w środowisku usługi Virtual WAN jest włączenie intencji routingu dla ruchu prywatnego. Ta funkcja wypycha prefiksy prywatnych adresów (RFC 1918) do wszystkich szprych połączonych z piastą. Każdy ruch kierowany do prywatnego adresu IP zostanie skierowany do koncentratora wirtualnego w celu przeprowadzenia inspekcji.
Każda metoda ma własne zalety i wady. Zaletą korzystania z intencji routingu jest uproszczenie zarządzania trasą zdefiniowaną przez użytkownika, ale nie można dostosować inspekcji na połączenie. Zaletą braku intencji routingu lub menedżera zapory jest możliwość dostosowania inspekcji. Wadą jest to, że nie można przeprowadzić inspekcji ruchu między regionami.
Na poniższym diagramie przedstawiono ruch wschodnio-zachodni wewnątrz środowiska platformy Azure.
Aby uzyskać wgląd w ruch sieciowy na platformie Azure, firma Microsoft zaleca implementację usługi Azure Firewall lub urządzenia WUS w sieci wirtualnej. Usługa Azure Firewall może sprawdzać zarówno warstwę sieciową, jak i ruch warstwy aplikacji. Ponadto usługa Azure Firewall udostępnia dodatkowe funkcje, takie jak wykrywanie i zapobieganie włamaniom (IDPS), inspekcja protokołu Transport Layer Security (TLS), filtrowanie adresów URL i filtrowanie kategorii sieci Web.
Włączenie usługi Azure Firewall lub urządzenia WUS w sieci platformy Azure ma kluczowe znaczenie dla przestrzegania zasady Przyjmij zero zaufania dla sieci. Ze względu na to, że naruszenia mogą się pojawić za każdym razem, gdy dane przechodzą przez sieć, ważne jest zrozumienie i kontrolowanie, jaki ruch jest dozwolony do dotarcia do miejsca docelowego. Usługa Azure Firewall, trasy zdefiniowane przez użytkownika i sieciowe grupy zabezpieczeń odgrywają kluczową rolę w włączaniu bezpiecznego modelu ruchu przez zezwolenie na ruch między obciążeniami lub ich odrzucanie.
Aby wyświetlić więcej szczegółów na temat przepływów ruchu sieci wirtualnej, możesz włączyć dzienniki przepływu sieci wirtualnej lub dzienniki przepływu sieciowej grupy zabezpieczeń. Dane dziennika przepływu są przechowywane na koncie usługi Azure Storage, gdzie można uzyskiwać do niego dostęp i eksportować je do narzędzia do wizualizacji, takiego jak usługa Azure Traffic Analytics. Dzięki usłudze Azure Traffic Analytics możesz znaleźć nieznany lub niepożądany ruch, monitorować poziom ruchu i użycie przepustowości albo filtrować określony ruch, aby zrozumieć zachowanie aplikacji.
Krok 3. Implementowanie inspekcji ruchu północno-południowego
Ruch północno-południowy zwykle obejmuje ruch między sieciami prywatnymi a Internetem. Aby sprawdzić ruch północno-południowy w topologii piasty i szprych, możesz użyć tras zdefiniowanych przez użytkownika, aby kierować ruch do wystąpienia usługi Azure Firewall lub urządzenia WUS. W przypadku anonsowania dynamicznego można użyć serwera usługi Azure Route Server z urządzeniem WUS, które obsługuje protokół BGP, aby kierować cały ruch związany z Internetem z sieci wirtualnych do urządzenia WUS.
W usłudze Azure Virtual WAN, aby kierować ruch północno-południowy z sieci wirtualnych do usługi Azure Firewall lub urządzenia WUS obsługiwanego w koncentratorze wirtualnym, możesz użyć następujących typowych scenariuszy:
- Użyj urządzenia WUS lub usługi Azure Firewall w koncentratonie wirtualnym, które jest kontrolowane za pomocą funkcji Routing-Intent lub z usługą Azure Firewall Manager, aby kierować ruch północno-południowy.
- Jeśli urządzenie WUS nie jest obsługiwane w koncentratorze wirtualnym, możesz wdrożyć je w sieci wirtualnej będącej szprychą i kierować ruchem za pomocą tras zdefiniowanych przez użytkownika w celu przeprowadzenia inspekcji. To samo dotyczy usługi Azure Firewall. Alternatywnie możesz również za pomocą komunikacji równorzędnej BGP urządzenie WUS w szprychy z koncentratorem wirtualnym anonsować trasę domyślną (0.0.0.0/0).
Na poniższym diagramie przedstawiono ruch północno-południowy między środowiskiem platformy Azure a Internetem.
Platforma Azure udostępnia następujące usługi sieciowe zaprojektowane w celu zapewniania wglądu w ruch sieciowy wchodzący i wychodzący ze środowiska platformy Azure.
Ochrona przed atakami DDoS
Usługę Azure DDoS Protection można włączyć w dowolnej sieci wirtualnej, która ma zasoby publicznego adresu IP w celu monitorowania i ograniczania możliwych ataków typu "rozproszona odmowa usługi" (DDoS). Ten proces ograniczania ryzyka obejmuje analizowanie wykorzystania ruchu względem wstępnie zdefiniowanych progów w zasadach DDoS, a następnie rejestrowanie tych informacji w celu dalszej analizy. Aby lepiej przygotować się na przyszłe zdarzenia, usługa Azure DDoS Protections oferuje możliwość przeprowadzania symulacji względem publicznych adresów IP i usług, zapewniając cenny wgląd w odporność i reakcję aplikacji podczas ataku DDoS.
Azure Firewall
Usługa Azure Firewall udostępnia kolekcję narzędzi do monitorowania, inspekcji i analizowania ruchu sieciowego.
Dzienniki i metryki
Usługa Azure Firewall zbiera szczegółowe dzienniki przez integrację z obszarami roboczymi usługi Azure Log Analytics. Zapytania język zapytań Kusto (KQL) umożliwiają wyodrębnianie dodatkowych informacji na temat głównych kategorii reguł, takich jak reguły aplikacji i sieci. Możesz również pobrać dzienniki specyficzne dla zasobów, które rozszerzają schematy i struktury z poziomu sieci do dzienników analizy zagrożeń i dzienników IDPS. Aby uzyskać więcej informacji, zobacz Dzienniki ustrukturyzowane usługi Azure Firewall.
Skoroszyty
Usługa Azure Firewall udostępnia skoroszyty przedstawiające dane zebrane przy użyciu wykresów działań w czasie. To narzędzie ułatwia również wizualizowanie wielu zasobów usługi Azure Firewall przez połączenie ich w ujednolicony interfejs. Aby uzyskać więcej informacji, zobacz Using Azure Firewall Workbooks (Używanie skoroszytów usługi Azure Firewall).
Analiza zasad
Analiza zasad usługi Azure Firewall zawiera omówienie wdrożonych zasad i opartych na szczegółowych informacji o zasadach, analizie reguł i analizie przepływu ruchu, a także dostraja zaimplementowane zasady, aby dostosować je do wzorców ruchu i zagrożeń. Aby uzyskać więcej informacji, zobacz Analiza zasad usługi Azure Firewall.
Te możliwości zapewniają, że usługa Azure Firewall pozostaje niezawodnym rozwiązaniem do zabezpieczania ruchu sieciowego, zapewniając administratorom narzędzia potrzebne do efektywnego zarządzania siecią.
Application Gateway
Usługa Application Gateway zapewnia ważne możliwości monitorowania, inspekcji i analizowania ruchu do celów zabezpieczeń. Włączając analizę dzienników i używając wstępnie zdefiniowanych lub niestandardowych zapytań KQL, można wyświetlić kody błędów HTTP, w tym te w zakresach 4xx i 5xx, które mają kluczowe znaczenie dla identyfikowania problemów.
Dzienniki dostępu usługi Application Gateway zapewniają również krytyczny wgląd w kluczowe parametry związane z zabezpieczeniami, takie jak adresy IP klienta, identyfikatory URI żądań, wersja protokołu HTTP i wartości konfiguracji specyficzne dla protokołu SSL/TLS, takie jak protokoły, zestawy szyfrowania TLS i włączenie szyfrowania SSL.
Azure Front Door
Usługa Azure Front Door korzysta z protokołu Anycast TCP do kierowania ruchu do najbliższego punktu obecności centrum danych (PoP). Podobnie jak w przypadku konwencjonalnego modułu równoważenia obciążenia, możesz umieścić usługę Azure Firewall lub urządzenie WUS w puli zaplecza usługi Azure Front Door, znanej również jako źródło. Jedynym wymaganiem jest to, że adres IP w miejscu pochodzenia jest publiczny.
Po skonfigurowaniu usługi Azure Front Door do odbierania żądań generuje raporty dotyczące ruchu w celu pokazania, jak działa profil usługi Azure Front Door. W przypadku korzystania z warstwy Premium usługi Azure Front Door raporty zabezpieczeń są również dostępne do wyświetlania dopasowań do reguł zapory aplikacji internetowej, w tym reguł programu Open Worldwide Application Security Project (OWASP), reguł ochrony botów i reguł niestandardowych.
Zapora aplikacji internetowej platformy Azure
Zapora aplikacji internetowej platformy Azure to dodatkowa funkcja zabezpieczeń, która sprawdza ruch warstwy 7 i może być aktywowana zarówno dla usługi Application Gateway, jak i usługi Azure Front Door z określonymi warstwami. Zapewnia to dodatkową warstwę zabezpieczeń dla ruchu, który nie pochodzi z platformy Azure. Zaporę aplikacji internetowej można skonfigurować zarówno w trybach zapobiegania, jak i wykrywania przy użyciu podstawowych definicji reguł OWASP.
Narzędzia do monitorowania
W celu kompleksowego monitorowania przepływów ruchu północno-południowego można użyć narzędzi, takich jak dzienniki przepływów sieciowej grupy zabezpieczeń, analiza ruchu azure i dzienniki przepływów sieci wirtualnej, aby zwiększyć wgląd w sieć.
Zalecane szkolenie
- Konfigurowanie sieci wirtualnych i zarządzanie nimi dla administratorów platformy Azure
- Wprowadzenie do usługi Azure Web Application Firewall
- Wprowadzenie do usługi Azure Virtual WAN
- Wprowadzenie do usługi Azure Front Door
- Wprowadzenie do usługi aplikacja systemu Azure Gateway
Następne kroki
Aby uzyskać dodatkowe informacje na temat stosowania usługi Zero Trust do sieci platformy Azure, zobacz:
- Szyfrowanie komunikacji sieciowej opartej na platformie Azure
- Segmentowanie komunikacji sieciowej opartej na platformie Azure
- Zaprzestanie starszej technologii zabezpieczeń sieci
- Zabezpieczanie sieci za pomocą zera trustu
- Sieci wirtualne będące szprychami na platformie Azure
- Sieci wirtualne koncentratora na platformie Azure
- Sieci wirtualne będące szprychami z usługami PaaS platformy Azure
- Azure Virtual WAN
Informacje
Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.
- Ochrona przed atakami DDoS
- Azure Firewall
- Zapora aplikacji internetowej platformy Azure
- Azure Virtual WAN
- Usługa Azure Application Gateway
- Trasy zdefiniowane przez użytkownika
- Azure Firewall Manager
- Dzienniki przepływu sieci wirtualnej
- Dzienniki przepływu sieciowej grupy zabezpieczeń
- Analiza ruchu na platformie Azure
- Azure Route Server
- Dzienniki ustrukturyzowane usługi Azure Firewall
- Korzystanie ze skoroszytów usługi Azure Firewall
- Analiza zasad usługi Azure Firewall
- Azure Front Door