Tillämpa Nolltillit principer för att avbryta äldre nätverkssäkerhetsteknik
Den här artikeln innehåller vägledning om hur du tillämpar principerna för Nolltillit för att avbryta äldre nätverkssäkerhetsteknik i Azure-miljöer. Här är de Nolltillit principerna.
Nolltillit princip | Definition |
---|---|
Verifiera explicit | Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. |
Använd minst privilegierad åtkomst | Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd. |
Anta intrång | Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet. Förbättra skyddet för din Azure-miljö genom att ta bort eller uppgradera dina äldre nätverkstjänster för högre säkerhetsnivåer. |
Den här artikeln är en del av en serie artiklar som visar hur du tillämpar principerna för Nolltillit på Azure-nätverk.
De Azure-nätverksområden som ska granskas för att avbryta användningen av äldre nätverkssäkerhetstekniker är:
- Grundtjänster för nätverk
- Tjänster för belastningsutjämning och innehållsleverans
- Hybridanslutningstjänster
Övergången från att använda äldre nätverkssäkerhetstekniker kan hindra en angripare från att komma åt miljöer eller flytta över dem för att orsaka omfattande skador (principen Anta att intrång Nolltillit).
Referensarkitektur
Följande diagram visar referensarkitekturen för den här Nolltillit vägledning för att avbryta äldre nätverkssäkerhetsteknik för komponenter i din Azure-miljö.
Den här referensarkitekturen innehåller:
- Azure IaaS-arbetsbelastningar som körs på virtuella Azure-datorer.
- Azure-tjänster.
- Ett virtuellt säkerhetsnätverk (VNet) som innehåller en Azure VPN Gateway och Azure Application Gateway.
- Ett virtuellt Internet edge-nätverk som innehåller en Azure Load Balancer.
- Azure Front Door i utkanten av Azure-miljön.
Vad finns i den här artikeln?
Du tillämpar Nolltillit principer i referensarkitekturen, från användare och administratörer på Internet eller ditt lokala nätverk till och i din Azure-miljö. I följande tabell visas de viktigaste uppgifterna för att avbryta äldre nätverkssäkerhetsteknik i den här arkitekturen för principen Anta intrång Nolltillit.
Steg | Aktivitet |
---|---|
1 | Granska dina nätverksgrundstjänster. |
2 | Granska dina tjänster för innehållsleverans och belastningsutjämning. |
3 | Granska dina hybridanslutningstjänster. |
Steg 1: Granska dina nätverksgrundstjänster
Din granskning av nätverksgrundstjänster omfattar:
- Flytta från den grundläggande offentliga IP-SKU:n till standard-SKU:n för offentlig IP-adress.
- Se till att IP-adresser för virtuella datorer använder explicit utgående åtkomst.
Det här diagrammet visar komponenterna för uppdatering av Azure Network Foundation-tjänster i referensarkitekturen.
Grundläggande offentlig IP-SKU
IP-adresser (offentliga och privata) är en del av IP-tjänster i Azure som möjliggör kommunikation mellan privata och offentliga resurser. Offentliga IP-adresser är länkade till tjänster som VNet-gatewayer, programgatewayer och andra som behöver utgående anslutning till Internet. Privata IP-adresser aktiverar kommunikation mellan Azure-resurser internt.
Den offentliga IP-SKU:n Basic ses som äldre idag och har fler begränsningar än offentlig IP-SKU för standard. En av de största begränsningarna för Nolltillit för den grundläggande offentliga IP-SKU:n är att användningen av nätverkssäkerhetsgrupper inte krävs men rekommenderas, även om det är obligatoriskt med den offentliga IP-SKU:n för standard.
En annan viktig funktion för standard-SKU:n för offentliga IP-adresser är möjligheten att välja en routningsinställning, till exempel routning via Microsofts globala nätverk. Den här funktionen skyddar trafik i Microsofts stamnätverk när det är möjligt och utgående trafik avslutas så nära tjänsten eller slutanvändaren som möjligt.
Mer information finns i Ip-tjänster för virtuella Azure-nätverk.
Kommentar
Den grundläggande offentliga IP-SKU:n dras tillbaka i september 2025.
Standardåtkomst för utgående trafik
Som standard ger Azure utgående åtkomst till Internet. Anslutningen från resurserna beviljas som standard med systemvägarna och som standard utgående regler för de nätverkssäkerhetsgrupper som finns på plats. Med andra ord, om ingen explicit utgående anslutningsmetod har konfigurerats konfigurerar Azure en standard-IP-adress för utgående åtkomst. Men utan explicit utgående åtkomst uppstår vissa säkerhetsrisker.
Microsoft rekommenderar att du inte lämnar en IP-adress för en virtuell dator öppen för Internettrafik. Det finns ingen kontroll över standardutgående IP-åtkomst och IP-adresser, tillsammans med deras beroenden, kan ändras. För virtuella datorer som är utrustade med flera nätverkskort (NIC) rekommenderar vi inte att alla nätverkskorts IP-adresser har utgående internetåtkomst. I stället bör du begränsa åtkomsten till de nödvändiga nätverkskorten.
Microsoft rekommenderar att du konfigurerar explicit utgående åtkomst med något av följande alternativ:
-
För de maximala portarna för källnätverksadressöversättning (SNAT) rekommenderar Microsoft Azure NAT Gateway för utgående anslutning.
Standard SKU Azure Load Balancers
Detta kräver en belastningsutjämningsregel för program-SNAT, som kanske inte är lika effektiv som en Azure NAT Gateway.
Begränsad användning av offentliga IP-adresser
Tilldelning av en direkt offentlig IP-adress till en virtuell dator bör endast göras för testnings- eller utvecklingsmiljöer på grund av skalbarhet och säkerhetsöverväganden.
Steg 2: Granska dina tjänster för innehållsleverans och belastningsutjämning
Azure har många tjänster för programleverans som hjälper dig att skicka och distribuera trafik till dina webbprogram. Ibland förbättrar en ny version eller nivå av tjänsten upplevelsen och ger de senaste uppdateringarna. Du kan använda migreringsverktyget inom var och en av programleveranstjänsterna för att enkelt växla till den senaste versionen av tjänsten och dra nytta av nya och förbättrade funktioner.
Din granskning av tjänster för innehållsleverans och belastningsutjämning omfattar:
- Migrera din Azure Front Door-nivå från den klassiska nivån till Premium- eller Standard-nivåerna.
- Migrera dina Azure Application Gateways till WAF_v2.
- Migrera till Standard SKU Azure Load Balancer.
Det här diagrammet visar komponenterna för uppdatering av Azure-innehållsleverans och belastningsutjämningstjänster.
Azure Front Door
Azure Front Door har tre olika nivåer: Premium, Standard och Classic. Standard- och Premium-nivåerna kombinerar funktioner från den klassiska Azure Front Door-nivån, Azure Content Delivery Network och Azure Web Application Firewall (WAF) till en enda tjänst.
Microsoft rekommenderar att du migrerar dina klassiska Azure Front Door-profiler till Premium- eller Standard-nivåerna för att få tillgång till dessa nya funktioner och uppdateringar. Premium-nivån fokuserar på förbättrade säkerhetsfunktioner som privat anslutning till dina serverdelstjänster, Microsofts hanterade WAF-regler och robotskydd för dina webbprogram.
Utöver de förbättrade funktionerna innehåller Azure Front Door Premium säkerhetsrapporter som är inbyggda i tjänsten utan extra kostnad. De här rapporterna hjälper dig att analysera WAF-säkerhetsreglerna och se vilken typ av attacker dina webbprogram kan utsättas för. Med säkerhetsrapporten kan du också undersöka mått efter olika dimensioner, vilket hjälper dig att förstå var trafiken kommer ifrån och en uppdelning av de viktigaste händelserna efter kriterier.
Azure Front Door Premium-nivån innehåller de mest robusta Internetsäkerhetsåtgärderna mellan klienter och webbprogram.
Azure Application Gateway
Azure Application Gateways har två SKU-typer, v1 och v2, och en WAF-version som kan tillämpas på båda SKU:erna. Microsoft rekommenderar att du migrerar din Azure Application Gateway till WAF_v2 SKU för att dra nytta av prestandauppgraderingar och nya funktioner som automatisk skalning, anpassade WAF-regler och stöd för Azure Private Link.
Med anpassade WAF-regler kan du ange villkor för att utvärdera varje begäran som går igenom Azure Application Gateway. Dessa regler har högre prioritet än reglerna i de hanterade regeluppsättningarna och kan anpassas efter behoven i ditt program och säkerhetskrav. De anpassade WAF-reglerna kan också begränsa åtkomsten till dina webbprogram efter land eller regioner genom att matcha en IP-adress till en landskod.
Den andra fördelen med att migrera till WAFv2 är att du kan ansluta till din Azure Application Gateway via Azure Private Link-tjänsten när du kommer åt från ett annat virtuellt nätverk eller en annan prenumeration. Med den här funktionen kan du blockera offentlig åtkomst till Azure Application Gateway samtidigt som endast användare och enheter får åtkomst via en privat slutpunkt. Med Azure Private Link-anslutning måste du godkänna varje privat slutpunktsanslutning, vilket säkerställer att endast rätt entitet kan komma åt. Mer information om skillnaderna mellan v1 och v2 SKU finns i Azure Application Gateway v2.
Azure Load Balancer
Med den planerade tillbakadragandet av den offentliga IP-SKU:n basic i september 2025 måste du uppgradera tjänster som använder ip-adresser för grundläggande offentlig IP-SKU. Microsoft rekommenderar att du migrerar dina aktuella Basic SKU Azure Load Balancers till Standard SKU Azure Load Balancers för att implementera säkerhetsåtgärder som inte ingår i Basic SKU.
Med Standard SKU Azure Load Balancer är du säker som standard. All inkommande Internettrafik till den offentliga lastbalanseraren blockeras om det inte tillåts av reglerna för den tillämpade nätverkssäkerhetsgruppen. Det här standardbeteendet förhindrar oavsiktligt att Internettrafik tillåts till dina virtuella datorer eller tjänster innan du är klar och ser till att du har kontroll över den trafik som kan komma åt dina resurser.
Standard SKU Azure Load Balancer använder Azure Private Link för att skapa privata slutpunktsanslutningar, vilket är användbart i de fall där du vill tillåta privat åtkomst till dina resurser bakom en lastbalanserare, men du vill att användarna ska komma åt dem från sin miljö.
Steg 3: Granska dina hybridanslutningstjänster
Granskning av dina hybridanslutningstjänster omfattar användningen av den nya generationen SKU:er för Azure VPN Gateway.
Det här diagrammet visar komponenterna för uppdatering av Azure-hybridanslutningstjänster i referensarkitekturen.
Det mest effektiva sättet att ansluta hybridnätverk i Azure är för närvarande med den nya generationens SKU:er för Azure VPN Gateway. Även om du kan fortsätta att använda klassiska VPN-gatewayer är dessa inaktuella och mindre tillförlitliga och effektiva. Klassiska VPN-gatewayer stöder högst 10 IPsec-tunnlar (Internet Protocol Security), medan de nyare SKU:erna för Azure VPN Gateway kan skala upp till 100 tunnlar.
De nyare SKU:erna fungerar på en nyare drivrutinsmodell och innehåller de senaste säkerhetsprogramuppdateringarna. De äldre drivrutinsmodellerna baserades på inaktuella Microsoft-tekniker som inte är lämpliga för moderna arbetsbelastningar. De nyare drivrutinsmodellerna erbjuder inte bara överlägsen prestanda och maskinvara, utan ger också bättre motståndskraft. AZ-uppsättningen med SKU:er för VPN-gatewayer kan placeras i tillgänglighetszoner och stödja aktiva-aktiva anslutningar med flera offentliga IP-adresser, vilket förbättrar motståndskraften och erbjuder förbättrade alternativ för haveriberedskap.
För dynamiska routningsbehov kunde klassiska VPN-gatewayer inte köra Border Gateway Protocol (BGP), endast använda IKEv1 och hade inte stöd för dynamisk routning. Sammanfattningsvis är klassiska SKU VPN-gatewayer utformade för mindre arbetsbelastningar, låg bandbredd och statiska anslutningar.
Klassiska VPN-gatewayer har också begränsningar i säkerheten och funktionerna i deras IPsec-tunnlar. De stöder endast principbaserat läge med IKEv1-protokoll och en begränsad uppsättning krypterings- och hashalgoritmer som är mer mottagliga för överträdelser. Microsoft rekommenderar att du övergår till de nya SKU:er som erbjuder ett bredare utbud av alternativ för fas 1- och fas 2-protokoll. En viktig fördel är att routningsbaserade VPN-gatewayer kan använda huvudläget IKEv1 och IKEv2, vilket ger större implementeringsflexibilitet och mer robusta krypterings- och hashalgoritmer.
Om du behöver högre säkerhet än standardkrypteringsvärdena tillåter routningsbaserade VPN-gatewayer anpassningen av fas 1- och fas 2-parametrar för att välja specifika chiffer och nyckellängder. Starkare krypteringsgrupper inkluderar Grupp 14 (2048-bitars), Grupp 24 (2048-bitars MODP-grupp) eller ECP (elliptiska kurvgrupper) 256 bitar eller 384 bitar (grupp 19 respektive grupp 20). Dessutom kan du ange vilka prefixintervall som tillåts skicka krypterad trafik med hjälp av inställningen Trafikväljare för att ytterligare skydda tunnelförhandlingen från obehörig trafik.
Mer information finns i Kryptografi för Azure VPN Gateway.
Azure VPN Gateway-SKU:er underlättar P2S-VPN-anslutningar (punkt-till-plats) för att använda både IPsec-protokoll baserat på IKEv2-standard- och VPN-protokoll baserat på SSL/TLS, till exempel OpenVPN och SSTP (Secure Socket Tunneling Protocol). Det här stödet ger användarna olika implementeringsmetoder och gör att de kan ansluta till Azure med hjälp av olika enhetsoperativsystem. Azure VPN Gateway-SKU:er erbjuder också många klientautentiseringsalternativ, inklusive certifikatautentisering, Microsoft Entra-ID-autentisering och Active Directory-domän Services-autentisering (AD DS).
Kommentar
Klassiska IPSec-gatewayer dras tillbaka den 31 augusti 2024.
Rekommenderad utbildning
- Konfigurera och hantera virtuella nätverk för Azure-administratörer
- Skydda och isolera åtkomst till Azure-resurser med hjälp av nätverkssäkerhetsgrupper och tjänstslutpunkter
- Introduktion till Azure Front Door
- Introduktion till Azure Application Gateway
- Introduktion till Azure Web Application Firewall
- Introduktion till Azure Private Link
- Ansluta ditt lokala nätverk till Azure med VPN Gateway
Nästa steg
Mer information om hur du tillämpar Nolltillit på Azure-nätverk finns i:
- Kryptera Azure-baserad nätverkskommunikation
- Segmentera Azure-baserad nätverkskommunikation
- Få insyn i nätverkstrafiken
- Skydda nätverk med Nolltillit
- Virtuella ekernätverk i Azure
- Virtuella hubbnätverk i Azure
- Virtuella ekernätverk med Azure PaaS-tjänster
- Azure Virtual WAN
Referenser
Se de här länkarna om du vill veta mer om de olika tjänster och tekniker som nämns i den här artikeln.