Aplique os princípios Confiança Zero para obter visibilidade do tráfego de rede
Esse artigo fornece orientações para a aplicação dos princípios de Confiança Zero para segmentar redes em ambientes Azure. Aqui estão os princípios de Confiança Zero.
| Princípio de Confiança Zero | Definição |
|---|---|
| Verificação explícita | Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. |
| Usar o acesso de privilégio mínimo | Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados. |
| Pressupor a violação | Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas. Esse princípio é cumprido através da utilização de análises para obter visibilidade do tráfego de rede na sua infraestrutura Azure. |
Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios da Confiança Zero à rede do Azure.
Os tipos de tráfego de rede abordados neste artigo são:
- Centralizado
- Tráfego leste-oeste, que são fluxos de tráfego entre as redes virtuais do Azure (VNets) e os serviços do Azure e a rede local
- Norte-sul, que são fluxos de tráfego entre o seu ambiente Azure e a Internet
Arquitetura de referência
O diagrama a seguir mostra a arquitetura de referência para esta orientação de Confiança Zero para inspeção de tráfego entre VNets locais e Azure, entre VNets Azure e serviços Azure, e entre o seu ambiente Azure e a Internet.
Essa arquitetura de referência inclui:
- Cargas de trabalho IaaS do Azure em execução em máquinas virtuais do Azure.
- Serviços do Azure.
- Uma VNet de borda da Internet que contém o Proteção contra DDoS do Azure, um Firewall do Azure e um Firewall de Aplicativo Web do Azure (WAF).
- Setas mostrando fluxos de tráfego leste-oeste e norte-sul.
O que você encontrará neste artigo?
Os princípios Confiança Zero são aplicados em toda a arquitetura de referência. A tabela a seguir descreve as recomendações para garantir a visibilidade do tráfego de rede nessa arquitetura para o princípio Assumir violação Confiança Zero.
| Etapa | Tarefa |
|---|---|
| 1 | Implementar um ponto centralizado de inspeção de tráfego. |
| 2 | Implementar inspeção de tráfego leste-oeste. |
| 3 | Implementar inspeção de tráfego norte-sul. |
Etapa 1: Implementar um ponto centralizado de inspeção de tráfego
A inspeção de tráfego centralizada oferece a capacidade de controlar e visualizar o tráfego que entra e sai da sua rede. Hub e spoke VNets e WAN Virtual do Azure são as duas topologias de rede mais comuns no Azure. Eles têm diferentes capacidades e recursos na forma como conectam redes. Em ambos os designs, a VNet do hub é a rede central e é usada para dividir cargas de trabalho em aplicações e cargas de trabalho da VNet do hub para VNets spoke. A inspeção centralizada inclui o tráfego que flui de norte a sul, leste a oeste ou ambos.
Topologia hub-spoke
Uma das características de um modelo hub e spoke é que todas as VNets são gerenciadas por você. Uma VNet gerenciada pelo hub do cliente serve como uma VNet compartilhada à qual outras VNets faladas se conectam. Essa VNet centralizada é normalmente usada:
- Para estabelecer conectividade híbrida com redes locais.
- Para inspeção e segmentação de tráfego usando o Firewall do Azure ou Para inspeção e segmentação de tráfego usando o Azure Firewall ou dispositivos virtuais de rede de terceiros (NVAs).
- Para Centralizar a inspeção do serviço de entrega de aplicações, como o Gateway de Aplicativo do Azure com WAF.
Nessa topologia, coloca-se um Firewall do Azure ou um NVA no hub VNet e configura rotas definidas pelo usuário (UDRs) para direcionar o tráfego de VNets falados e da sua rede no local para o hub VNet. O Firewall do Azure ou NVA também pode servir como motor de rota para encaminhar o tráfego entre redes virtuais faladas. Uma das características mais importantes de um modelo hub e spoke de VNet gerenciado pelo cliente é o controle granular do tráfego usando UDRs e a capacidade de modificar manualmente o roteamento, a segmentação e a propagação dessas rotas.
WAN Virtual do Azure
A WAN Virtual do Azure é um hub VNet gerenciado pelo Azure que contém instâncias de serviço de rota sob o capô que supervisionam a propagação de rotas de e para todas as filiais e todos os raios. Ele efetivamente permite conectividade qualquer-para-qualquer.
Uma das grandes diferenças com uma VNet gerenciada (chamada hub virtual gerido) é que a granularidade do controlo de encaminhamento é abstraída para os utilizadores. Alguns dos principais benefícios incluem:
- Gerenciamento de rotas simplificado usando conectividade nativa de qualquer para qualquer. Se precisar de isolamento de tráfego, você poderá configurar manualmente tabelas de rotas personalizadas ou rotas estáticas na tabela de rotas padrão.
- Apenas Gateways de Rede Virtual, Firewall do Azure e NVAs aprovados ou dispositivos WAN definidos por software (SD-WAN) podem ser implantados no hub. Serviços centralizados, como DNS e Gateways de Aplicativo, precisam estar em VNets regulares. Os raios precisam de ser anexados aos hubs virtuais utilizando o emparelhamento VNet.
As VNet gerenciada são mais adequadas para:
- Implantações em larga escala em regiões que precisam de conectividade de trânsito, fornecendo inspeção de tráfego de e para qualquer local.
- Mais de 30 sites de filiais ou mais de 100 túneis de segurança de protocolo da Internet (IPsec).
Alguns dos melhores recursos da WAN Virtual são a infraestrutura de roteamento escalonável e a interconectividade. Exemplos de escalabilidade incluem taxa de transferência de 50 Gbps por hub e 1.000 filiais. Para aumentar ainda mais a escala, vários hubs virtuais podem ser interconectados para criar uma rede mesh WAN Virtual do Azure maior. Outro benefício da WAN Virtual é a capacidade de simplificar o roteamento para inspeção de tráfego injetando prefixos com o clique de um botão.
Cada design traz suas próprias vantagens e desvantagens. A escolha apropriada deve ser determinada com base no crescimento futuro previsto e nos requisitos de despesas gerais de gerenciamento.
Etapa 2: Implementar a inspeção de tráfego leste-oeste
Os fluxos de tráfego leste-oeste incluem VNet para VNet e VNet para local. Para inspecionar o tráfego entre leste-oeste, pode implementar um Firewall do Azure ou um NVA na rede virtual do hub. Isso exige que os UDRs direcionem o tráfego privado para o Firewall do Azure ou NVA para inspeção. Dentro da mesma VNet, você pode utilizar grupos de segurança de rede para controle de acesso, mas se precisar de um controle mais profundo com inspeção, poderá usar um firewall local ou um firewall centralizado na rede virtual do hub com o uso de UDRs.
Com a WAN Virtual do Azure, você pode ter o Firewall do Azure ou uma NVA dentro do hub virtual para roteamento centralizado. Você pode utilizar o Gerenciador de Firewall do Azure ou a intenção de roteamento para inspecionar todo o tráfego privado. Se quiser personalizar a inspeção, pode ter o Firewall do Azure ou NVA no hub virtual para inspecionar o tráfego desejado. A maneira mais fácil de direcionar o tráfego em um ambiente de WAN Virtual é habilitar a intenção de roteamento para tráfego privado. Esse recurso envia prefixos de endereço privado (RFC 1918) para todos os spokes conectados ao hub. Qualquer tráfego destinado a um endereço IP privado será direcionado ao hub virtual para inspeção.
Cada método tem suas próprias vantagens e desvantagens. A vantagem de usar a intenção de roteamento é a simplificação do gerenciamento de UDR, porém não é possível personalizar a inspeção por conexão. A vantagem de não usar intenção de roteamento ou Gerenciador de Firewall do Azure é que você pode personalizar a inspeção. A desvantagem é que você não pode fazer transferência de dados inter-regional.
O diagrama a seguir mostra o tráfego leste-oeste dentro do ambiente Azure.
Para obter visibilidade do tráfego de rede no Azure, a Microsoft recomenda a implementação de um Firewall do Azure ou de uma NVA na sua VNet. O Firewall do Azure pode inspecionar o tráfego da camada de rede e da camada de aplicativo. Além disso, o Firewall do Azure fornece recursos extras, como Sistema de Detecção e Prevenção de Intrusões (IDPS), inspeção de Segurança da Camada de Transporte (TLS), filtragem de URL e filtragem de Categorias da Web.
A inclusão do Firewall do Azure ou de um NVA na sua rede Azure é crucial para aderir ao princípio Assumir violação Confiança Zero para redes. Dado que podem ocorrer violações sempre que os dados atravessam uma rede, é essencial compreender e controlar que tráfego é permitido chegar ao seu destino. O Firewall do Azure, os UDRs e os grupos de segurança de rede desempenham um papel crucial na habilitação de um modelo de tráfego seguro, permitindo ou negando o tráfego entre cargas de trabalho.
Para ver mais detalhes sobre os fluxos de tráfego da VNet, você pode habilitar logs de fluxo de VNet ou logs de fluxo NSG. Os dados do log de fluxo são armazenados em uma conta do Armazenamento do Microsoft Azure, onde você pode acessá-los e exportá-los para uma ferramenta de visualização, como o Análise de Tráfego Azure. Com a Análise de Tráfego do Azure, você pode encontrar tráfego desconhecido ou indesejado, monitorar o nível de tráfego e o uso da largura de banda ou filtrar tráfego específico para entender o comportamento do seu aplicativo.
Etapa 3: Implementar a inspeção de tráfego norte-sul
O tráfego Norte-Sul normalmente inclui o tráfego entre redes privadas e a Internet. Para inspecionar o tráfego norte-sul numa topologia hub e falada, pode utilizar UDRs para direcionar o tráfego para uma instância do Firewall do Azure ou um NVA. Para publicidade dinâmica, pode utilizar um Servidor de Rota do Azure com um NVA que suporte BGP para direcionar todo o tráfego ligado à Internet de VNets para o NVA.
No WAN Virtual do Azure, para direcionar o tráfego norte-sul dos VNets para o Firewall do Azure ou NVA suportado no hub virtual, pode utilizar esses cenários comuns:
- Use um NVA ou Firewall do Azure no hub virtual que é controlado com Routing-Intent ou com Gerenciador de Firewall do Azure para direcionar o tráfego norte-sul.
- Se a sua NVA não for suportada dentro do hub virtual, pode implantá-la num VNet falado e direcionar o tráfego com UDRs para inspeção. O mesmo se aplica ao Firewall do Azure. Como alternativa, você também pode fazer emparelhamento de BGP com um NVA em um spoke com o hub virtual para anunciar uma rota padrão (0.0.0.0/0).
O diagrama a seguir mostra o tráfego norte-sul entre um ambiente Azure e a Internet.
O Azure fornece os seguintes serviços de rede concebidos para oferecer visibilidade do tráfego de rede que entra e sai do seu ambiente Azure.
Proteção contra DDoS do Azure
A Proteção contra DDoS do Azure pode ser habilitada em qualquer VNet que tenha recursos IP públicos para monitorar e mitigar possíveis ataques de negação de serviço distribuído (DDoS). Esse processo de mitigação envolve a análise da utilização do tráfego em relação aos limites predefinidos na política DDoS, seguida do registro dessas informações para exame mais aprofundado. Para estar melhor preparado para incidentes futuros, o Azure DDoS Protections oferece a capacidade de conduzir simulações contra os seus endereços IP públicos e serviços, fornecendo informações valiosas sobre a resiliência e a resposta da sua aplicação durante um ataque DDoS.
Firewall do Azure
O Firewall do Azure fornece uma coleção de ferramentas para monitorizar, auditar e analisar o tráfego de rede.
Logs e métricas
O Firewall do Azure recolhe registos detalhados integrando-se com espaços de trabalho do Azure Log Analytics. Você pode usar consultas Kusto Query Language (KQL) para extrair informações extras sobre as principais categorias de regras, como regras de aplicativo e rede. Você também pode recuperar logs específicos de recursos que expandem esquemas e estruturas desde o nível de rede até inteligência de ameaças e logs de IDPS. Para obter mais informações, veja registos estruturados do Firewall do Azure.
Pastas de trabalho
O Firewall do Azure fornece livros que apresentam dados recolhidos através de gráficos de atividade ao longo do tempo. Essa ferramenta também ajuda a visualizar vários recursos do Firewall do Azure, combinando-os numa interface unificada. Para obter mais informações, veja Usando pastas de trabalho do Firewall do Azure.
Policy Analytics
O Firewall do Azure Policy Analytics fornece uma visão geral das políticas que você implementou e, com base nos insights políticos, na análise de regras e na análise de fluxo de tráfego, ajusta e modifica as políticas implementadas para se ajustarem aos padrões e ameaças de tráfego. Para obter mais informações, veja Análise de Política de Firewall do Azure.
Essas capacidades garantem que o Firewall do Azure continua a ser uma solução robusta para proteger o tráfego de rede, fornecendo aos administradores as ferramentas necessárias para uma gestão eficaz da rede.
Gateway de Aplicativo
O Gateway de Aplicativo do Azure fornece capacidades importantes para monitorizar, auditar e analisar o tráfego para fins de segurança. Ao habilitar a análise de log e usar consultas KQL predefinidas ou personalizadas, você pode visualizar códigos de erro HTTP, incluindo aqueles nos intervalos 4xx e 5xx que são essenciais para identificar problemas.
Os registos de acesso do Gateway de Aplicativo do Azure também fornecem informações críticas sobre os principais parâmetros relacionados com a segurança, como endereços IP do cliente, URIs de solicitação, versão HTTP e valores de configuração específicos de SSL/TLS, como protocolos, conjuntos de cifras TLS e quando a encriptação SSL está habilitada.
Porta da frente do Azure
Azure Front Door emprega Anycast TCP para rotear o tráfego para o ponto de presença (PoP) do datacenter mais próximo. Tal como um equilibrador de carga convencional, pode colocar um Firewall do Azure ou NVA no pool de back-end do Azure Front Door, também conhecido como a sua origem. O único requisito é que o endereço IP na origem seja público.
Depois de configurar o Azure Front Door para receber solicitações, ele gera relatórios de tráfego para mostrar como o perfil do Azure Front Door está se comportando. Quando utiliza o nível Azure Front Door Premium, os relatórios de segurança também estão disponíveis para mostrar correspondências com as regras WAF, incluindo regras do Open Worldwide Application Security Project (OWASP), regras de proteção contra bots e regras personalizadas.
WAF do Azure
O Azure WAF é um recurso de segurança adicional que inspeciona o tráfego da camada 7 e pode ser ativado tanto para o Application Gateway quanto para o Azure Front Door com determinadas camadas. Isso fornece uma camada extra de segurança para o tráfego não originado no Azure. Você pode configurar o WAF nos modos de prevenção e detecção usando as definições de regras principais do OWASP.
Ferramentas de monitoramento
Para uma monitorização abrangente dos fluxos de tráfego norte-sul, pode utilizar ferramentas como registos de fluxo NSG, Azure Análise de Tráfego e registos de fluxo VNet para melhorar a visibilidade da rede.
Treinamento recomendado
- Configurar e gerenciar redes virtuais para administradores do Azure
- Introdução ao Firewall do Aplicativo Web do Azure
- Introdução à WAN Virtual do Azure
- Introdução ao Azure Front Door
- Introdução ao Gateway de Aplicativo do Azure
Próximas etapas
Para obter informações adicionais sobre como aplicar a Confiança Zero à rede do Azure, consulte:
- Criptografar a comunicação de rede baseada no Azure
- Segmentar comunicação de rede baseada no Azure
- Descontinuar a tecnologia legada de segurança de rede
- Proteger redes com a Confiança Zero
- Redes virtuais spoke no Azure
- Redes virtuais hub no Azure
- Redes virtuais spoke com serviços PaaS do Azure
- WAN Virtual do Azure
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.
- Proteção contra DDoS do Azure
- Firewall do Azure
- Firewall do aplicativo Web do Azure
- WAN Virtual do Azure
- Gateway de Aplicativo do Azure
- Rotas definidas pelo usuário
- Gerenciador de Firewall do Azure
- Logs de fluxo de VNet
- Logs de fluxo NSG
- Análise de Tráfego do Azure
- Servidor de Rota do Azure
- Logs estruturados do Firewall do Azure
- Usando pastas de trabalho do Firewall do Azure
- Análise da Política de Firewall do Azure
- Azure Front Door