Описание сегментации сети в Azure
Сегментация заключается в делении чего-то на небольшие части. Например, организация обычно состоит из небольших бизнес-подразделений, таких как кадровая служба, отдел продаж, отдел обслуживания клиентов и др. В офисной среде, как правило, каждое из бизнес-подразделений имеет собственное выделенное офисное пространство, и его участники совместно используют его. Это позволяет членам одной бизнес-группы сотрудничать, сохраняя дистанцию от других групп для удовлетворения требований к инкапсуляции каждого бизнеса.
Та же концепция применяется к корпоративным ИТ-сетям. Основные причины сегментации приведены ниже.
- возможность сгруппировать связанные ресурсы в рамках операций рабочей нагрузки (или поддержки);
- изоляция ресурсов;
- политики управления, устанавливаемые организацией.
Сегментация сети также поддерживает модель "Никому не доверяй" и многоуровневый подход к безопасности, который является частью стратегии эшелонированной защиты.
С предположением о том, что нарушение является руководящим принципом модели "Никому не доверяй", возможность удержать злоумышленника имеет жизненно важное значение в защите информационных систем. Если рабочая нагрузка (или части определенной рабочей нагрузки) помещаются в отдельные сегменты, то вы сможете управлять трафиком между этими сегментами и обеспечить защиту путей обмена данными. Если один сегмент скомпрометирован, вы сможете более эффективно локализовать последствия и предотвратить их боковое смещение по остальной сети.
Сегментация сети поможет обеспечить безопасность взаимодействия между периметрами. Такой подход может повысить уровень безопасности организации, снизить риск возникновения брешей, а также предотвратить получение злоумышленниками доступа ко всей рабочей нагрузке.
Виртуальная сеть Azure
Виртуальная сеть (VNet) Azure — это стандартный строительный блок для частной сети вашего бизнеса в Azure. Виртуальная сеть похожа на традиционную сеть, которая будет работать в собственном центре обработки данных, но обеспечивает дополнительные преимущества инфраструктуры Azure, например масштабирования, доступности и изоляции.
Виртуальная сеть Azure позволяет организациям сегментировать свою сеть. Организации могут создавать несколько виртуальных сетей для каждого региона на одну подписку, а в каждой виртуальной сети можно создать несколько небольших сетей (подсетей).
Виртуальные сети предоставляют уровень сети, содержащий ресурсы без трафика, разрешенного в виртуальных сетях или входящих в виртуальную сеть, по умолчанию. Все коммуникации необходимо подготавливать явно. Это позволяет более контролировать взаимодействие ресурсов Azure в виртуальной сети с другими ресурсами Azure, Интернетом и локальными сетями.
