Redigera

Dela via


Skydda och styra arbetsbelastningar med segmentering på nätverksnivå

Azure Firewall
Azure Monitor
Azure SQL Database
Azure Virtual Network

Segmentering är en modell där du tar ditt nätverksavtryck och skapar programvarudefinierade perimeterr med hjälp av verktyg som är tillgängliga i Microsoft Azure. Sedan anger du regler som styr trafiken från/till dessa perimeterer så att du kan ha olika säkerhetsstatusar för olika delar av nätverket. När du placerar olika program (eller delar av ett visst program) i dessa perimeterr kan du styra kommunikationen mellan dessa segmenterade entiteter. Om en del av programstacken komprometteras kan du bättre begränsa effekten av säkerhetsöverträdelsen och förhindra att den sprids i sidled via resten av nätverket. Den här möjligheten är en nyckelprincip som är associerad med den Nolltillit modell som publicerats av Microsoft och som syftar till att ge din organisation säkerhetstänkande i världsklass

Segmenteringsmönster

När du arbetar med Azure har du en mängd olika segmenteringsalternativ som hjälper dig att skyddas.

Resursflödesschema

  1. Prenumeration: Prenumerationer är en högnivåkonstruktion som ger plattformsdriven separation mellan entiteter. Det är avsett att skära ut gränser mellan stora organisationer inom ett företag. Kommunikation mellan resurser i olika prenumerationer måste etableras uttryckligen.

  2. Virtuellt nätverk: Virtuella nätverk skapas i en prenumeration i privata adressutrymmen. Nätverken tillhandahåller inneslutning på nätverksnivå av resurser, utan att någon trafik tillåts som standard mellan två virtuella nätverk. Precis som prenumerationer måste all kommunikation mellan virtuella nätverk uttryckligen etableras.

  3. Nätverkssäkerhetsgrupper (NSG): NSG:er är mekanismer för åtkomstkontroll för att styra trafik mellan resurser i ett virtuellt nätverk som en layer 4-brandvägg. En nätverkssäkerhetsgrupp styr även trafik med externa nätverk, till exempel Internet, andra virtuella nätverk och så vidare. NSG:er kan ta segmenteringsstrategin till en detaljerad nivå genom att skapa perimeterer för ett undernät, en grupp virtuella datorer eller till och med en enda virtuell dator.

  4. Azure Virtual Network Manager (AVNM): Azure Virtual Network Manager (AVNM) är en nätverkshanteringstjänst som gör det möjligt för en central IT-hanteringsteam att hantera virtuella nätverk globalt över prenumerationer i stor skala. Med AVNM kan du gruppera flera virtuella nätverk och tillämpa fördefinierade säkerhetsadministratörsregler som ska tillämpas på de valda virtuella nätverken samtidigt. På samma sätt som NSG fungerar även säkerhetsadministratörsregler som skapats via AVNM som en layer 4-brandvägg, men säkerhetsadministratörsreglerna utvärderas först före NSG.

  5. Programsäkerhetsgrupper (ASG:er): ASG:er tillhandahåller kontrollmekanismer som liknar NSG:er men refereras till med en programkontext. Med en ASG kan du gruppera en uppsättning virtuella datorer under en programtagg. Den kan definiera trafikregler som sedan tillämpas på var och en av de underliggande virtuella datorerna.

  6. Azure Firewall: Azure Firewall är en molnbaserad tillståndskänslig brandvägg som en tjänst. Den här brandväggen kan distribueras i dina virtuella nätverk eller i Azure Virtual WAN Hub-distributioner för filtrering av trafik som flödar mellan molnresurser, Internet och lokalt. Du skapar regler eller principer (med Hjälp av Azure Firewall eller Azure Firewall Manager) som anger tillåt/neka trafik med hjälp av layer 3 till layer 7-kontroller. Du kan också filtrera trafik som går till Internet med hjälp av både Azure Firewall och tredje part. Dirigera viss eller all trafik via tredjepartssäkerhetsleverantörer för avancerad filtrering och användarskydd.

Följande mönster är vanliga när det gäller att organisera din arbetsbelastning i Azure ur ett nätverksperspektiv. Vart och ett av dessa mönster ger en annan typ av isolering och anslutning. Att välja vilken modell som fungerar bäst för din organisation är ett beslut som du bör fatta baserat på organisationens behov. Med var och en av dessa modeller beskriver vi hur segmentering kan göras med hjälp av ovanstående Azure Networking-tjänster.

Det är också möjligt att rätt design för din organisation är något annat än de som vi listar här. Och det resultatet förväntas, eftersom det inte finns någon storlek som passar alla. Du kan använda principer från de här mönstren för att skapa det som är bäst för din organisation. Azure-plattformen ger den flexibilitet och de verktyg du behöver.

Mönster 1: Enskilt virtuellt nätverk

I det här mönstret placeras alla komponenter i din arbetsbelastning eller i vissa fall hela DITT IT-fotavtryck i ett enda virtuellt nätverk. Det här mönstret är möjligt om du endast arbetar i en enda region eftersom ett virtuellt nätverk inte kan sträcka sig över flera regioner.

De entiteter som du troligen skulle använda för att skapa segment i det här virtuella nätverket är antingen NSG:er eller ASG:er. Vilket du väljer beror på om du vill referera till dina segment som nätverksundernät eller programgrupper. Bilden nedan är ett exempel på hur ett sådant segmenterat virtuellt nätverk skulle se ut.

Diagram som visar ett enda virtuellt nätverk.

I den här konfigurationen har du Subnet1, där du har placerat dina databasarbetsbelastningar och Subnet2, där du har placerat dina webbarbetsbelastningar. Du kan placera NSG:er som säger att Subnet1 bara kan kommunicera med Subnet2 och att undernätet2 kan kommunicera med Internet. Du kan också gå vidare med det här konceptet i närvaro av många arbetsbelastningar. Skapa undernät som till exempel inte tillåter att en arbetsbelastning kommunicerar med serverdelen för en annan arbetsbelastning.

Även om vi använde NSG:er för att illustrera hur undernätstrafik kan styras kan du även framtvinga den här segmenteringen med hjälp av en nätverksvirtualiserad installation från Azure Marketplace eller Azure Firewall.

Mönster 2: Flera virtuella nätverk med peering mellan dem

Det här mönstret är tillägget för det tidigare mönstret där du har flera virtuella nätverk med potentiella peering-anslutningar. Du kanske väljer det här mönstret för att gruppera program i separata virtuella nätverk eller så kanske du behöver närvaro i flera Azure-regioner. Du får inbyggd segmentering via virtuella nätverk eftersom du uttryckligen måste peer-koppla ett virtuellt nätverk till ett annat för att de ska kunna kommunicera. (Tänk på att peering-anslutningen för virtuella nätverk inte är transitiv.) Om du vill segmentera ytterligare inom ett virtuellt nätverk på ett sätt som liknar mönster 1 använder du NSG:er/ASG:er i de virtuella nätverken.

Diagram som visar mönstret för flera virtuella nätverk.

Mönster 3: Flera virtuella nätverk i en hubb- och ekermodell

Det här mönstret är en mer avancerad organisation för virtuella nätverk där du väljer ett virtuellt nätverk i en viss region som hubb för alla andra virtuella nätverk i den regionen. Anslutningen mellan det virtuella hubbnätverket och dess virtuella ekernätverk uppnås med hjälp av peering för virtuella Azure-nätverk. All trafik passerar via det virtuella hubbnätverket och kan fungera som en gateway till andra hubbar i olika regioner. Du konfigurerar din säkerhetsstatus på hubbarna så att de kan segmentera och styra trafiken mellan de virtuella nätverken på ett skalbart sätt. En fördel med det här mönstret är det. När nätverkstopologin växer växer inte kostnaderna för säkerhetsstatusen (förutom när du expanderar till nya regioner). Det här topologimönstret kan också ersättas av Azure Virtual WAN, vilket gör det möjligt för användare att hantera ett virtuellt hubbnätverk som en hanterad tjänst. Mer information om fördelarna med att introducera Azure Virtual WAN finns i virtual WAN-arkitekturen hub-and-spoke.

Diagram som visar hubb- och ekermodellen.

Den rekommenderade inbyggda segmenteringskontrollen i Azure-molnet är Azure Firewall. Azure Firewall fungerar i både virtuella nätverk och prenumerationer för att styra trafikflöden med hjälp av layer 3 till layer 7-kontroller. Du får definiera hur dina kommunikationsregler ser ut (till exempel kan det virtuella nätverket X inte kommunicera med det virtuella nätverket Y men kan prata med det virtuella nätverket Z, inget Internet för virtuellt nätverk X förutom åtkomst till *.github.comoch så vidare) och tillämpa det konsekvent. Med Azure Firewall Manager kan du centralt hantera principer i flera Azure-brandväggar och göra det möjligt för DevOps-team att ytterligare anpassa lokala principer. Du kan också använda Azure Firewall Manager när du väljer Azure Virtual WAN som ett hanterat hubbnätverk.

I följande tabell visas en jämförelse av mönstertopologierna:

Mönster 1 Mönster 2 Mönster 3
Anslutning/routning: hur varje segment kommunicerar med varandra Systemroutning ger standardanslutning till alla arbetsbelastningar i alla undernät Samma som ett mönster 1 Ingen standardanslutning mellan virtuella ekernätverk. En layer 4-router, till exempel Azure Firewall i det virtuella hubbnätverket, krävs för att aktivera anslutningen.
Trafikfiltrering på nätverksnivå Trafik tillåts som standard. NSG/ASG kan användas för att filtrera det här mönstret. Samma som ett mönster 1 Trafik mellan virtuella ekernätverk nekas som standard. Azure Firewall-konfiguration kan aktivera vald trafik, till exempel windowsupdate.com.
Centraliserad loggning NSG/ASG-loggar för det virtuella nätverket Aggregera NSG/ASG-loggar i alla virtuella nätverk Azure Firewall loggar till Azure Monitor all accepterad/nekad trafik som skickas via en hubb.
Oavsiktliga öppna offentliga slutpunkter DevOps kan oavsiktligt öppna en offentlig slutpunkt via felaktiga NSG/ASG-regler. Samma som ett mönster 1 En offentlig slutpunkt som öppnats av misstag i ett virtuellt ekernätverk aktiverar inte åtkomst. Returpaketet tas bort via tillståndskänslig brandvägg (asymmetrisk routning).
Skydd på programnivå NSG/ASG tillhandahåller endast stöd för nätverksnivå. Samma som ett mönster 1 Azure Firewall stöder FQDN-filtrering för HTTP/S och MSSQL för utgående trafik och mellan virtuella nätverk.

Mönster 4: Flera virtuella nätverk i flera nätverkssegment

Det här mönstret förklarar hur du hanterar och skyddar flera virtuella nätverk, som också finns i flera prenumerationer, som en centraliserad metod. Säkerhetsadministratörsregler som skapas på AVNM kan tillämpa en baslinjesäkerhetsregel på ett konsekvent sätt, oavsett om de virtuella nätverken är anslutna till varandra eller om de tillhör olika prenumerationer. Inaktivera till exempel SSH-port 22, RDP-port 3389 och andra högriskportar från Internet för att skydda lösningen mot säkerhetsöverträdelser på alla virtuella nätverk i organisationen. Mer information om säkerhetsadministratörsreglerna och hur de fungerar finns i Säkerhetsadministratörsregler i Azure Virtual Network Manager .

Diagram som visar Azure Virtual Network Manager.

Även om AVNM är en bra lösning för att skydda hela organisationens nätverk med en minsta uppsättning nätverksregler, måste NSG:er och ASG:er fortfarande användas för att tillämpa detaljerade nätverksregler för varje virtuellt nätverk, förutom AVNM. Den här processen kan variera från system till system baserat på deras säkerhetskrav.

Nästa steg

Läs mer om komponentteknikerna:

Utforska relaterade arkitekturer: