A segmentação é um modelo no qual você tira seu espaço de rede e cria perímetros definidos pelo software usando as ferramentas disponíveis no Microsoft Azure. Em seguida, você define regras que regem o tráfego de/para esses perímetros para que você possa ter diferentes posturas de segurança para várias partes da sua rede. Quando você coloca diferentes aplicativos (ou partes de um determinado aplicativo) nesses perímetros, você pode governar a comunicação entre essas entidades segmentadas. Se uma parte da pilha de aplicativos for comprometida, você poderá conter melhor o impacto dessa violação de segurança e impedir que ela se espalhe mais tarde pelo restante da rede. Essa capacidade é um princípio-chave associado ao modelo de confiança zero publicado pela Microsoft que visa trazer o pensamento de segurança de classe mundial para sua organização
Padrões de segmentação
Ao operar no Azure, você tem um conjunto amplo e diversificado de opções de segmentação disponíveis para ajudá-lo a estar protegido.
Assinatura: as assinaturas são uma construção de alto nível, fornecendo separação de plataforma entre entidades. Ele é destinado a definir limites entre organizações de grande porte em uma empresa. A comunicação entre recursos em assinaturas diferentes precisa ser provisionada explicitamente.
Rede virtual: as redes virtuais são criadas dentro de uma assinatura em espaços de endereço privado. As redes fornecem a contenção no nível de rede de recursos, sem nenhum tráfego permitido por padrão entre duas redes virtuais. Assim como as assinaturas, qualquer comunicação entre redes virtuais precisa ser provisionada explicitamente.
Grupos de segurança de rede (NSG): os NSGs são mecanismos de controle de acesso para controlar o tráfego entre recursos em uma rede virtual como um firewall de camada 4. Um NSG também controla o tráfego com redes externas, como a Internet, outras redes virtuais e assim por diante. O NSGs pode levar sua estratégia de segmentação para um nível granular criando perímetros para uma sub-rede, grupo de VMs ou até mesmo uma única máquina virtual.
Gerenciador de rede virtual do Azure (AVNM): o Gerenciador de rede virtual do Azure (AVNM) é um serviço de gerenciamento de rede que permite que uma equipe central de gerenciamento de TI gerencie redes virtuais globalmente em assinaturas em escala. Com o AVNM, é possível agrupar várias redes virtuais e impor regras de administração de segurança predefinidas, que devem ser aplicadas às redes virtuais selecionadas de uma só vez. Semelhante ao NSG, as regras de administração de segurança criadas pelo AVNM também funcionam como um firewall de camada 4, mas as regras de administração de segurança são avaliadas primeiro, antes do NSG.
ASGs (Grupos de Segurança de Aplicativo): os ASGs fornecem mecanismos de controle semelhantes aos NSGs, mas são referenciados com um contexto de aplicativo. Um ASG permite que você agrupe um conjunto de VMs em uma marca de aplicativo. Ele pode definir regras de tráfego que são aplicadas a cada uma das VMs subjacentes.
Firewall do Azure: o Firewall do Azure é um firewall com estado nativo de nuvem como um serviço. Esse firewall pode ser implantado em suas redes virtuais ou em implantações de Hub de Wan virtual do Azure para filtrar o tráfego que flui entre os recursos de nuvem, a Internet e o local. Você cria regras ou políticas (usando o Firewall do Azure ou o Gerenciador de firewall do Azure) especificando o tráfego de permitir/negar usando os controles de camada 3 a camada 7. Você também pode filtrar o tráfego que vai para a Internet usando o Firewall do Azure e terceiros. Direcione um ou todo o tráfego por meio de provedores de segurança de terceiros para filtragem avançada e proteção de usuário.
Os padrões a seguir são comuns quando se trata de organizar sua carga de trabalho no Azure em uma perspectiva de rede. Cada um desses padrões fornece um tipo diferente de isolamento e conectividade. Escolher qual modelo funciona melhor para sua organização é uma decisão que você deve fazer com base nas necessidades da sua organização. Com cada um desses modelos, descrevemos como a segmentação pode ser feita usando os serviços de rede do Azure acima.
Também é possível que o design certo para sua organização seja algo diferente dos que listamos aqui. E esse resultado é esperado porque não há uma situação única para todos. Você pode acabar usando princípios desses padrões para criar o que é melhor para sua organização. A plataforma do Azure fornece a flexibilidade e as ferramentas necessárias.
Padrão 1: rede virtual única
Nesse padrão, todos os componentes de sua carga de trabalho ou, em alguns casos, toda a superfície de TI é colocada dentro de uma única rede virtual. Esse padrão será possível se você estiver operando unicamente em uma única região, uma vez que uma rede virtual não pode abranger várias regiões.
As entidades que você provavelmente usaria para criar segmentos dentro dessa rede virtual são NSGs ou ASGs. A escolha de qual depende se você deseja se referir a seus segmentos como sub-redes de rede ou grupos de aplicativos. A imagem abaixo é um exemplo de como seria a aparência de uma rede virtual segmentada.
Nesta configuração, você tem Sub-rede1, onde colocou suas cargas de trabalho de banco de dados e Sub-rede2, em que você colocou suas cargas de trabalho da Web. Você pode colocar NSGs que dizem que a Subnet1 pode se comunicar apenas com a Subnet2, e a Subnet2 pode se comunicar com a Internet. Você também pode avançar ainda mais esse conceito na presença de muitas cargas de trabalho. Defina sub-redes que, por exemplo, não permitem que uma carga de trabalho se comunique com o back-end de outra carga de trabalho.
Embora tenhamos usado NSGs para ilustrar como o tráfego de sub-rede pode ser governado, você também pode impor essa segmentação usando um dispositivo virtualizado de rede do Azure Marketplace ou Firewall do Azure.
Padrão 2: várias redes virtuais com emparelhamento entre elas
Esse padrão é a extensão do padrão anterior em que você tem várias redes virtuais com conexões de emparelhamento em potencial. Você pode optar por esse padrão para agrupar aplicativos em redes virtuais separadas, ou talvez precise de presença em várias regiões do Azure. Você obtém segmentação interna por meio de redes virtuais porque tem que emparelhar explicitamente uma rede virtual com outra para que elas se comuniquem. (Tenha em mente que a conectividade de emparelhamento de rede virtual não é transitiva.) Para segmentar ainda mais em uma rede virtual de forma semelhante ao padrão 1, use NSGs/ASGs nas redes virtuais.
Padrão 3: várias redes virtuais em um modelo hub e spoke
Esse padrão é uma organização de rede virtual mais avançada na qual você escolhe uma rede virtual em uma determinada região como o hub para todas as outras redes virtuais nessa região. A conectividade entre a rede virtual do Hub e suas redes virtuais spoke é obtida usando o emparelhamento de rede virtual do Azure. Todo o tráfego passa pela rede virtual do Hub e pode atuar como um gateway para outros hubs em regiões diferentes. Você configura sua postura de segurança nos hubs, de modo que elas sejam segmentadas e governem o tráfego entre as redes virtuais de maneira escalonável. Um benefício desse padrão é que: à medida que sua topologia de rede cresce, a sobrecarga da postura de segurança não cresce (exceto quando você expande para novas regiões). Além disso, esse padrão de topologia pode ser substituído pela WAN virtual do Azure, que permite que os usuários gerenciem uma rede virtual de hub como um serviço gerenciado. Consulte a arquitetura de WAN virtual hub e spoke para obter mais detalhes sobre a vantagem de introduzir a WAN virtual do Azure.
O controle de segmentação nativo de nuvem do Azure recomendado é o Firewall do Azure. O Firewall do Azure funciona em redes virtuais e assinaturas para controlar os fluxos de tráfego usando a camada 3 para controles de camada 7. Você pode definir a aparência de suas regras de comunicação (por exemplo, a rede virtual X não pode se comunicar com a rede virtual Y, mas pode se comunicar com a rede virtual Z, nenhuma Internet para a rede virtual X, exceto para acesso a *.github.com
e assim por diante) e aplicá-la de forma consistente. Com o gerenciador de Firewall do Azure, você pode gerenciar políticas centralmente em vários Firewalls do Azure e permitir que as equipes de DevOps personalizem ainda mais as políticas locais. Você também pode usar o Gerenciador de firewall do Azure ao escolher a WAN virtual do Azure como uma rede de hub gerenciada.
A seguinte tabela mostra uma comparação das topologias de padrão:
Padrão 1 | Padrão 2 | Padrão 3 | |
---|---|---|---|
Conectividade/roteamento: como cada segmento se comunica entre si | O roteamento do sistema fornece conectividade padrão para qualquer carga de trabalho em qualquer sub-rede | O mesmo que um padrão 1 | Nenhuma conectividade padrão entre redes virtuais spoke. Um roteador de camada 4, como o Firewall do Azure na rede virtual do hub é necessário para habilitar a conectividade. |
Filtragem de tráfego no nível da rede | O tráfego é permitido por padrão. O NSG/ASG pode ser usado para filtrar esse padrão. | O mesmo que um padrão 1 | O tráfego entre redes virtuais spoke é negado por padrão. A configuração do Firewall do Azure pode habilitar o tráfego selecionado, como windowsupdate.com . |
Registro em log centralizado | Logs de NSG/ASG para a rede virtual | Agregar logs do NSG/ASG em todas as redes virtuais | O Firewall do Azure registra em logo para o Azure Monitor todo o tráfego aceito/negado que é enviado por meio de um hub. |
Pontos de extremidade públicos não intencionais abertos | DevOps podem abrir acidentalmente um ponto de extremidade público por meio de regras de NSG/ASG incorretas. | O mesmo que um padrão 1 | O ponto de extremidade público aberto acidentalmente em uma rede virtual spoke não habilita o acesso. O pacote de retorno será descartado por meio do firewall com estado (roteamento assimétrico). |
Proteção de nível de aplicativo | O NSG/ASG dá suporte apenas à camada de rede. | O mesmo que um padrão 1 | O Firewall do Azure dá suporte à filtragem de FQDN para HTTP/S e MSSQL para tráfego de saída e entre redes virtuais. |
Padrão 4: várias redes virtuais em vários segmentos de rede
Esse padrão explica como gerenciar e proteger várias redes virtuais, que também estão em várias assinaturas, como um método centralizado. As regras de administração de segurança criadas no AVNM podem impor uma regra de segurança de linha de base de maneira consistente, independentemente se as redes virtuais estão conectadas entre si ou se pertencem a assinaturas diferentes. Por exemplo, desabilite a porta SSH 22, RDP 3389 e outras de alto risco da internet para proteger a solução contra violações de segurança em todas as redes virtuais da organização. Consulte Regras de administração de segurança no Gerenciador de rede virtual do Azure para obter mais detalhes sobre as regras de administração de segurança e como elas funcionam.
Embora o AVNM seja uma ótima solução para proteger toda a rede de uma organização com um conjunto mínimo de regras de rede, NSGs e ASGs ainda precisam ser usados para aplicar regras de rede granulares a cada rede virtual, além do AVNM. Esse processo pode variar de sistema para sistema com base em seus requisitos de segurança.
Próximas etapas
Saiba mais sobre as tecnologias dos componentes:
- O que é a Rede Virtual do Azure?
- O que é o Gerenciador de Rede Virtual do Azure (versão prévia)?
- O que é o Firewall do Azure?
- Visão geral do Azure Monitor
Recursos relacionados
Explorar arquiteturas relacionadas: