Поделиться через

Планирование сегментации сети в целевой зоне

  • Статья

В этом разделе рассматриваются основные рекомендации по обеспечению высокобезопасной сегментации внутренней сети в целевой зоне для реализации нулевого доверия сети.

Рекомендации по проектированию

  • Модель нулевого доверия предполагает нарушение состояния и проверяет каждый запрос, как будто он исходит из неконтролируемой сети.

  • Расширенная реализация сети нулевого доверия использует полностью распределенные входящего трафика и исходящие микро периметры облака и более глубокую микросегментацию.

  • Группы безопасности сети (NSG) могут использовать теги службы Azure для упрощения подключения к решениям платформы Azure как услуга (PaaS).

  • Группы безопасности приложений (ASG) не охватывают или обеспечивают защиту между виртуальными сетями.

  • Используйте журналы потоков NSG для проверки трафика, который проходит через сетевую точку с присоединенным NSG.

  • Журналы потоков виртуальной сети предоставляют возможности, аналогичные журналам потоков NSG, но охватывают более широкий спектр вариантов использования. Они также упрощают мониторинг трафика, так как можно включить ведение журнала на уровне виртуальной сети.

Рекомендации по проектированию

  • Делегируйте создание подсети владельцу целевой зоны. Это позволит ему определить сегментирование рабочих нагрузок между подсетями (например, одна большая подсеть, многоуровневое приложение или внедренное в сеть приложение). Группа разработчиков платформы может использовать Политику Azure, чтобы гарантировать, что группа безопасности сети с определенными правилами (например, запрет входящего SSH или RDP из Интернета, разрешение или блокирование трафика между целевыми зонами) всегда связана с подсетями, имеющими политики запретов.

  • Используйте группы безопасности сети для защиты трафика между подсетями, а также с трафика "восток — запад" в рамках платформы (трафик между целевыми зонами).

  • Для защиты многоуровневых виртуальных машин в целевой зоне группа разработчиков приложений должна использовать группы безопасности приложений в группах безопасности сети на уровне подсети.

    Схема, показывающая, как работает группа безопасности приложений.

  • Используйте группы безопасности сети и группы безопасности приложений для микросегментации трафика в целевой зоне и избегайте использования центрального виртуального сетевого модуля для фильтрации потоков трафика.

  • Включите журналы потоков виртуальной сети и используйте аналитику трафика для получения аналитических сведений о входящего трафика и исходящих потоках трафика. Включите журналы потоков во всех критически важных виртуальных сетях и подсетях в подписках, например виртуальные сети и подсети, содержащие контроллеры домена Windows Server Active Directory или критически важные хранилища данных. Кроме того, журналы потоков можно использовать для обнаружения и изучения потенциальных инцидентов безопасности, соответствия требованиям и мониторинга, а также для оптимизации использования.

  • Используйте группы безопасности сети, чтобы выборочно разрешать подключение между зонами.

  • Для топологий Виртуальной глобальной сети осуществляйте маршрутизацию трафика между целевыми зонами с помощью Брандмауэра Azure, если вашей организации требуются возможности фильтрации и ведения журнала для трафика, передаваемого между целевыми зонами.

  • Если ваша организация решила реализовать принудительное туннелирование (объявить маршрут по умолчанию) в локальную среду, мы рекомендуем включить следующие правила NSG для исходящего трафика, чтобы запретить передачу исходящего трафика из виртуальных сетей непосредственно в Интернет в случае сброса сеанса BGP.

Примечание.

Приоритеты правил потребуется скорректировать на основе существующего набора правил NSG.

Приоритет Имя. Источник Назначение Service Действие Комментарий
100 AllowLocal Any VirtualNetwork Any Allow Разрешайте трафик во время нормальной работы. При включенном принудительном туннелировании 0.0.0.0/0 считается частью тега VirtualNetwork, если BGP объявляет его в ExpressRoute или VPN-шлюзе.
110 DenyInternet Any Internet Any Deny Запретите передачу трафика непосредственно в Интернет, если маршрут 0.0.0.0/0 был исключен из объявляемых маршрутов (например, из-за простоя или неправильной настройки).

Внимание

Службы PaaS Azure, которые можно внедрить в виртуальную сеть, возможно, несовместимы с принудительной туннелированием. Операции уровня управления по-прежнему могут требовать прямого подключения к определенным общедоступным IP-адресам для правильной работы службы. Рекомендуется проверить сведения о конкретных требованиях к сети и в конечном итоге исключить подсеть службы из распространения маршрутов по умолчанию. Теги служб в UDR можно использовать для обхода маршрутов по умолчанию и перенаправления трафика плоскости управления только в том случае, если доступен конкретный тег службы.