Tillämpa Nolltillit principer för att få insyn i nätverkstrafik
Den här artikeln innehåller vägledning för att tillämpa principerna för Nolltillit för segmentering av nätverk i Azure-miljöer. Här är de Nolltillit principerna.
| Nolltillit princip | Definition |
|---|---|
| Verifiera explicit | Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. |
| Använd minst privilegierad åtkomst | Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd. |
| Anta intrång | Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet. Den här principen uppfylls med hjälp av analys för att få insyn i nätverkstrafiken i din Azure-infrastruktur. |
Den här artikeln är en del av en serie artiklar som visar hur du tillämpar principerna för Nolltillit på Azure-nätverk.
De typer av nätverkstrafik som beskrivs i den här artikeln är:
- Centraliserad
- Öst-västlig trafik, som är trafikflöden mellan dina virtuella Azure-nätverk (VNet) och dina Azure-tjänster och lokala nätverk
- Nord-syd, som är trafikflöden mellan din Azure-miljö och Internet
Referensarkitektur
Följande diagram visar referensarkitekturen för den här Nolltillit vägledning för trafikkontroll mellan lokala nätverk och virtuella Azure-nätverk, mellan virtuella Azure-nätverk och Azure-tjänster samt mellan din Azure-miljö och Internet.
Den här referensarkitekturen innehåller:
- Azure IaaS-arbetsbelastningar som körs på virtuella Azure-datorer.
- Azure-tjänster.
- Ett virtuellt Internet edge-nätverk som innehåller Azure DDoS Protection, en Azure Firewall och en Azure Web Application Firewall (WAF).
- Pilar som visar trafikflödena öst-väst och nord-syd.
Vad finns i den här artikeln?
Nolltillit principer tillämpas i referensarkitekturen. I följande tabell beskrivs rekommendationerna för att säkerställa synligheten för nätverkstrafik i den här arkitekturen för principen Anta intrång Nolltillit.
| Steg | Aktivitet |
|---|---|
| 1 | Implementera en centraliserad trafikkontrollpunkt. |
| 2 | Implementera trafikkontroll öst-väst. |
| 3 | Implementera trafikkontroll nord-syd. |
Steg 1: Implementera en centraliserad trafikkontrollpunkt
Centraliserad trafikkontroll ger dig möjlighet att styra och visualisera trafiken som går in och ut ur nätverket. Virtuella nav- och ekernätverk och Azure Virtual WAN är de två vanligaste nätverkstopologierna i Azure. De har olika funktioner och funktioner i hur de ansluter nätverk. I båda designerna är det virtuella hubbnätverket det centrala nätverket och används för att dela upp arbetsbelastningar i program och arbetsbelastningar från det virtuella hubbnätverket till virtuella ekernätverk. Den centraliserade inspektionen omfattar trafik som flödar nord-syd, öst-väst eller båda.
Topologi med nav och ekrar
En av egenskaperna hos en hubb- och ekermodell är att de virtuella nätverken hanteras av dig. Ett kundhubbhanterat VNet fungerar som ett delat VNet som andra virtuella ekernätverk ansluter till. Det här centraliserade virtuella nätverket används vanligtvis:
- Upprätta hybridanslutning till lokala nätverk.
- För trafikkontroll och segmentering med hjälp av Azure Firewall eller virtuella nätverksinstallationer från tredje part (NVA).
- Centralisera tjänstgranskning av programleverans, till exempel Azure Application Gateway med WAF.
I den här topologin placerar du en Azure Firewall eller en NVA i det virtuella hubbnätverket och konfigurerar användardefinierade vägar (UDR) för att dirigera trafik från virtuella ekernätverk och från ditt lokala nätverk till det virtuella hubbnätverket. Azure Firewall eller NVA kan också fungera som en vägmotor för att dirigera trafik mellan virtuella ekernätverk. En av de viktigaste funktionerna i en kundhanterad VNet-hubb och ekermodell är den detaljerade kontrollen av trafik med hjälp av UDR och möjligheten att manuellt ändra routning, segmentering och spridning av dessa vägar.
Azure Virtual WAN
Azure Virtual WAN är ett virtuellt Azure-hanterat hubbnätverk som innehåller Routningstjänstinstanser under huven som övervakar spridningsvägar från och till alla grenar och alla ekrar. Det möjliggör effektivt alla-till-alla-anslutningar.
En av de stora skillnaderna med ett hanterat virtuellt nätverk (kallas hanterad virtuell hubb) är att detaljerad routningskontroll är abstrakt för användarna. Några av de viktigaste fördelarna är:
- Förenklad routningshantering med inbyggda valfria anslutningar. Om du behöver trafikisolering kan du manuellt konfigurera anpassade routningstabeller eller statiska vägar i standardroutningstabellen.
- Endast virtuella nätverksgatewayer, Azure Firewall och godkända NVA:er eller programvarudefinierade WAN-enheter (SD-WAN) kan distribueras i hubben. Centraliserade tjänster som DNS och Application Gateways måste finnas på vanliga virtuella ekernätverk. Ekrar måste kopplas till de virtuella hubbarna med VNet-peering.
Hanterade virtuella nätverk passar bäst för:
- Storskaliga distributioner mellan regioner som behöver överföringsanslutning som ger trafikkontroll till och från valfri plats.
- Mer än 30 filialer eller över 100 IPsec-tunnlar (Internet Protocol Security).
Några av de bästa funktionerna i Virtual WAN är infrastrukturen för skalbarhetsroutning och sammankoppling. Exempel på skalbarhet är dataflöde på 50 Gbit/s per hubb och 1 000 grenplatser. För ytterligare skalning kan flera virtuella hubbar kopplas samman för att skapa ett större Virtual WAN-nätnätverk. En annan fördel med Virtual WAN är möjligheten att förenkla routningen för trafikinspektion genom att mata in prefix med ett klick på en knapp.
Varje design har sina egna fördelar och nackdelar. Det lämpliga valet bör fastställas baserat på förväntade framtida tillväxt- och hanteringskostnader.
Steg 2: Implementera trafikkontroll mellan öst och väst
Trafikflöden mellan öst och väst omfattar VNet-till-VNet och VNet-till-lokalt. Om du vill inspektera trafiken mellan öst-väst kan du distribuera en Azure Firewall eller en NVA i det virtuella hubbnätverket. Detta kräver att UDR:er dirigerar privat trafik till Azure Firewall eller NVA för inspektion. Inom samma virtuella nätverk kan du använda nätverkssäkerhetsgrupper för åtkomstkontroll, men om du behöver djupare kontroll med kontroll kan du använda en lokal brandvägg eller en centraliserad brandvägg i det virtuella hubbnätverket med hjälp av UDR.
Med Azure Virtual WAN kan du ha Azure Firewall eller en NVA inuti den virtuella hubben för centraliserad routning. Du kan använda Azure Firewall Manager eller routnings avsikt för att inspektera all privat trafik. Om du vill anpassa inspektionen kan du ha Azure Firewall eller NVA i den virtuella hubben för att inspektera önskad trafik. Det enklaste sättet att dirigera trafik i en Virtuell WAN-miljö är att aktivera routningssyfte för privat trafik. Den här funktionen skickar privata adressprefix (RFC 1918) till alla ekrar som är anslutna till hubben. All trafik som är avsedd för en privat IP-adress dirigeras till den virtuella hubben för inspektion.
Varje metod har sina egna fördelar och nackdelar. Fördelen med att använda routningssyfte är förenkling av UDR-hanteringen, men du kan inte anpassa inspektionen per anslutning. Fördelen med att inte använda routnings avsikt eller Firewall Manager är att du kan anpassa inspektionen. Nackdelen är att du inte kan utföra trafikkontroll mellan regioner.
Följande diagram visar trafik mellan öst och väst i Azure-miljön.
För att få insyn i din nätverkstrafik i Azure rekommenderar Microsoft implementeringen av en Azure Firewall eller en NVA i ditt virtuella nätverk. Azure Firewall kan inspektera både nätverkslager- och programnivåtrafik. Dessutom tillhandahåller Azure Firewall extra funktioner som intrångsidentifiering och skyddssystem (IDPS), TLS-inspektion (Transport Layer Security), URL-filtrering och filtrering av webbkategorier.
Införandet av Azure Firewall eller en NVA i ditt Azure-nätverk är avgörande för att följa principen Anta intrång Nolltillit för nätverk. Med tanke på att överträdelser kan utföras när data passerar ett nätverk är det viktigt att förstå och kontrollera vilken trafik som tillåts nå målet. Azure Firewall, UDR och nätverkssäkerhetsgrupper spelar en avgörande roll när det gäller att aktivera en säker trafikmodell genom att tillåta eller neka trafik mellan arbetsbelastningar.
Om du vill se mer information om dina VNet-trafikflöden kan du aktivera VNet-flödesloggar eller NSG-flödesloggar. Flödesloggdata lagras i ett Azure Storage-konto där du kan komma åt och exportera dem till ett visualiseringsverktyg, till exempel Azure Traffic Analytics. Med Azure Traffic Analytics kan du hitta okänd eller oönskad trafik, övervaka trafiknivån och bandbreddsanvändningen eller filtrera efter specifik trafik för att förstå programmets beteende.
Steg 3: Implementera trafikkontroll mellan nord och syd
Nord-syd-trafik omfattar vanligtvis trafik mellan privata nätverk och Internet. Om du vill inspektera trafiken nord-syd i en nav- och ekertopologi kan du använda UDR:er för att dirigera trafiken till en Azure Firewall-instans eller en NVA. För dynamisk annonsering kan du använda en Azure Route Server med en NVA som stöder BGP för att dirigera all Internetbunden trafik från virtuella nätverk till NVA.
I Azure Virtual WAN kan du använda följande vanliga scenarier för att dirigera trafik från nord-syd från de virtuella nätverken till Azure Firewall eller NVA som stöds i virtuell hubb:
- Använd en NVA eller Azure Firewall i den virtuella hubben som styrs med Routing-Intent eller med Azure Firewall Manager för att dirigera trafik mellan nord och syd.
- Om din NVA inte stöds i den virtuella hubben kan du distribuera den i ett virtuellt ekernätverk och dirigera trafiken med UDR:er för inspektion. Samma sak gäller för Azure Firewall. Du kan också BGP-peera en NVA i en eker med den virtuella hubben för att annonsera en standardväg (0.0.0.0/0).
Följande diagram visar trafik mellan nord-syd mellan en Azure-miljö och Internet.
Azure tillhandahåller följande nätverkstjänster som är utformade för att ge insyn i nätverkstrafiken som kommer in i och lämnar din Azure-miljö.
Azure DDoS-skydd
Azure DDoS Protection kan aktiveras på alla virtuella nätverk som har offentliga IP-resurser för att övervaka och minimera möjliga DDoS-attacker (Distributed Denial of Service). Den här åtgärdsprocessen omfattar analys av trafikanvändningen mot fördefinierade tröskelvärden i DDoS-principen, följt av loggning av den här informationen för ytterligare undersökning. För att vara bättre förberedd för framtida incidenter erbjuder Azure DDoS Protection möjligheten att genomföra simuleringar mot dina offentliga IP-adresser och tjänster, vilket ger värdefulla insikter om programmets motståndskraft och svar under en DDoS-attack.
Azure Firewall
Azure Firewall innehåller en samling verktyg för att övervaka, granska och analysera nätverkstrafik.
Loggar och mått
Azure Firewall samlar in detaljerade loggar genom att integrera med Azure Log Analytics-arbetsytor. Du kan använda KQL-frågor (Kusto-frågespråk) för att extrahera extra information om större regelkategorier, till exempel program- och nätverksregler. Du kan också hämta loggar som är resursspecifika och som expanderar scheman och strukturer från nätverksnivå till hotinformation och IDPS-loggar. Mer information finns i Strukturerade loggar i Azure Firewall.
Arbetsböcker
Azure Firewall innehåller arbetsböcker som presenterar data som samlas in med hjälp av diagram över aktivitet över tid. Det här verktyget hjälper dig också att visualisera flera Azure Firewall-resurser genom att kombinera dem till ett enhetligt gränssnitt. Mer information finns i Använda Azure Firewall-arbetsböcker.
Principanalys
Azure Firewall Policy Analytics ger en översikt över de principer som du implementerade och baserat på principinsikter, regelanalyser och trafikflödesanalyser justeras och modifieras de implementerade principerna för att anpassas till trafikmönster och hot. Mer information finns i Azure Firewall Policy Analytics.
Dessa funktioner säkerställer att Azure Firewall förblir en robust lösning för att skydda nätverkstrafiken genom att ge administratörer de verktyg som behövs för effektiv nätverkshantering.
Application Gateway
Application Gateway innehåller viktiga funktioner för att övervaka, granska och analysera trafik i säkerhetssyfte. Genom att aktivera log analytics och använda antingen fördefinierade eller anpassade KQL-frågor kan du visa HTTP-felkoder, inklusive de i 4xx- och 5xx-intervallen som är viktiga för att identifiera problem.
Application Gateways åtkomstloggar ger också viktiga insikter om viktiga säkerhetsrelaterade parametrar som klient-IP-adresser, begärande-URI:er, HTTP-version och SSL/TLS-specifika konfigurationsvärden som protokoll, TLS-chiffersviter och när SSL-kryptering är aktiverat.
Azure Front Door
Azure Front Door använder Anycast TCP för att dirigera trafik till närmaste datacenterplats (PoP). Precis som en konventionell lastbalanserare kan du placera en Azure Firewall eller NVA i Azure Front Door-serverdelspoolen, även kallad dess ursprung. Det enda kravet är att IP-adressen i ursprunget är offentlig.
När du har konfigurerat Azure Front Door för att ta emot begäranden genereras trafikrapporter för att visa hur Azure Front Door-profilen beter sig. När du använder Azure Front Door Premium-nivån är säkerhetsrapporter också tillgängliga för att visa matchningar till WAF-regler, inklusive OWASP-regler (Open Worldwide Application Security Project), botskyddsregler och anpassade regler.
Azure WAF
Azure WAF är ytterligare en säkerhetsfunktion som inspekterar layer 7-trafik och kan aktiveras för både Application Gateway och Azure Front Door med vissa nivåer. Detta ger ett extra säkerhetslager för trafik som inte kommer från Azure. Du kan konfigurera WAF i både förebyggande lägen och identifieringslägen med hjälp av OWASP-kärnregeldefinitioner.
Övervakningsverktyg
För omfattande övervakning av trafikflöden i nord-syd kan du använda verktyg som NSG-flödesloggar, Azure Traffic Analytics och VNet-flödesloggar för att förbättra insynen i nätverket.
Rekommenderad utbildning
- Konfigurera och hantera virtuella nätverk för Azure-administratörer
- Introduktion till Azure Web Application Firewall
- Introduktion till Azure Virtual WAN
- Introduktion till Azure Front Door
- Introduktion till Azure Application Gateway
Nästa steg
Mer information om hur du tillämpar Nolltillit på Azure-nätverk finns i:
- Kryptera Azure-baserad nätverkskommunikation
- Segmentera Azure-baserad nätverkskommunikation
- Avbryta äldre nätverkssäkerhetsteknik
- Skydda nätverk med Nolltillit
- Virtuella ekernätverk i Azure
- Virtuella hubbnätverk i Azure
- Virtuella ekernätverk med Azure PaaS-tjänster
- Azure Virtual WAN
Referenser
Se de här länkarna om du vill veta mer om de olika tjänster och tekniker som nämns i den här artikeln.
- Azure DDoS-skydd
- Azure Firewall
- Azure Web Application Firewall
- Azure Virtual WAN
- Azure Application Gateway
- Användardefinierade vägar
- Azure Firewall Manager
- VNet-flödesloggar
- NSG-flödesloggar
- Azure Traffic Analytics
- Azure Route Server
- Strukturerade Loggar i Azure Firewall
- Använda Azure Firewall-arbetsböcker
- Azure Firewall Policy Analytics
- Azure Front Door