Planejar a segmentação de rede da zona de destino
Esta seção explora as principais recomendações para fornecer segmentação de rede interna altamente segura em uma zona de destino para impulsionar uma implementação de Zero Trust de rede.
Considerações sobre o design
O modelo Zero Trust assume um estado violado e verifica cada solicitação como se ela se originasse de uma rede não controlada.
Uma implementação avançada de rede Zero Trust emprega microperímetros de nuvem de entrada e saída totalmente distribuídos e microssegmentação mais profunda.
Os NSGs (grupos de segurança de rede) podem usar marcas de serviço do Azure para facilitar a conectividade com soluções de PaaS (plataforma como serviço) do Azure.
Os ASGs (grupos de segurança de aplicativos) não abrangem nem fornecem proteção em redes virtuais.
Use logs de fluxo de NSG para inspecionar o tráfego que flui por meio de um ponto de rede com um NSG anexado.
Os logs de fluxo de rede virtual fornecem recursos semelhantes aos logs de fluxo do NSG, mas abrangem uma gama mais ampla de casos de uso. Eles também simplificam o escopo do monitoramento de tráfego porque você pode habilitar o registro em log no nível da rede virtual.
Recomendações sobre design
Delegar a criação de sub-rede ao proprietário da zona de destino. Isso permitirá que eles definam como segmentar cargas de trabalho entre sub-redes (por exemplo, uma única sub-rede grande, um aplicativo multicamada ou um aplicativo injetado na rede). A equipe de plataforma pode usar o Azure Policy para verificar se um NSG com regras específicas (como negar SSH ou RDP de entrada da Internet ou permitir/bloquear o tráfego entre zonas de destino) está sempre associado a sub-redes que tenham políticas somente de negação.
Use os NSGs para ajudar a proteger o tráfego entre sub-redes, bem como o tráfego leste/oeste na plataforma (tráfego entre as zonas de destino).
A equipe de aplicativos deve usar grupos de segurança de aplicativos nos NSGs no nível da sub-rede para ajudar a proteger VMs multicamadas na zona de destino.
Use NSGs e grupos de segurança de aplicativo no tráfego de microssegmento dentro da zona de destino e evite usar uma NVA central para filtrar fluxos de tráfego.
Habilite logs de fluxo de rede virtual e use a análise de tráfego para obter insights sobre fluxos de tráfego de entrada e saída. Habilite logs de fluxo em todas as redes virtuais e sub-redes críticas em suas assinaturas, por exemplo, redes virtuais e sub-redes que contêm controladores de domínio do Windows Server Active Directory ou armazenamentos de dados críticos. Além disso, você pode usar logs de fluxo para detectar e investigar possíveis incidentes de segurança, conformidade e monitoramento e otimizar o uso.
Use NSGs para permitir seletivamente a conectividade entre as zonas de destino.
Para topologias de WAN Virtual, encaminhe o tráfego entre as zonas de destino por meio do Firewall do Azure se sua organização exige recursos de filtragem e registro em log para o tráfego que flui entre as zonas de destino.
Se sua organização decidir implementar o túnel forçado (anunciar rota padrão) para o local, recomendamos incorporar as regras de NSG de saída a seguir para negar o tráfego de saída de VNets diretamente para a Internet caso a sessão BGP seja suspensa.
Observação
As prioridades de regra precisarão ser ajustadas com base no conjunto de regras do NSG existente.
| Priority | Nome | Fonte | Destino | Serviço | Ação | Comentário |
|---|---|---|---|---|---|---|
| 100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
Permite tráfego durante operações normais. Com o túnel forçado habilitado, 0.0.0.0/0 é considerado parte da marca VirtualNetwork, contanto que o BGP esteja anunciando-o para o gateway do ExpressRoute ou de VPN. |
| 110 | DenyInternet |
Any |
Internet |
Any |
Deny |
Nega tráfego diretamente para a Internet se a rota 0.0.0.0/0 é retirada das rotas anunciadas (por exemplo, devido a uma interrupção ou configuração incorreta). |
Cuidado
Os serviços de PaaS do Azure que podem ser injetados em uma rede virtual talvez não sejam compatíveis com o túnel forçado. As operações do plano de controle ainda podem exigir conectividade direta com endereços IP públicos específicos para que o serviço funcione corretamente. É recomendável verificar a documentação de serviço específica para os requisitos de rede e, eventualmente, isentar a sub-rede de serviço da propagação de rota padrão. As Marcas de Serviço na UDR podem ser usadas para ignorar a rota padrão e somente redirecionar o tráfego do plano de controle, se a marca de serviço específica estiver disponível.