你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
计划登陆区域网络分段
本部分探讨在登陆区域中提供高度安全的内部网络分段以推动网络零信任实现的关键建议。
设计注意事项
零信任模型假定存在违规状态,并验证每个请求,就好像它源自不受控制的网络一样。
高级零信任网络实现采用完全分布式入口和出口云微外围,以及更深入的微分段。
网络安全组(NSG) 可以使用 Azure 服务标记 来促进与 Azure 平台即服务(PaaS)解决方案的连接。
应用程序安全组(ASG) 不会跨虚拟网络提供保护。
使用 NSG 流日志 检查通过附加了 NSG 的网络点的流量。
虚拟网络流日志 提供的功能类似于 NSG 流日志,但涵盖更广泛的用例。 它们还简化了流量监视的范围,因为可以在虚拟网络级别启用日志记录。
设计建议
将子网创建委托给登陆区域所有者。 这样,他们就能定义如何在子网之间划分工作负载(例如单个大型子网、多层应用程序或网络注入应用程序)。 平台团队可以使用 Azure Policy 来确保具有特定规则(例如,拒绝来自 Internet 的入站 SSH 或 RDP,或允许/阻止登陆区域之间的流量)的 NSG 始终关联到具有仅拒绝策略的子网。
使用 NSG 帮助保护子网之间的流量以及平台之间的东/西流量(登陆区域之间的流量)。
应用程序团队应在子网级别的 NSG 中使用应用程序安全组来帮助保护登陆区域中的多层 VM。
使用 NSG 和应用程序安全组对登陆区域中的流量进行微分段,并避免使用中央 NVA 来筛选流量流。
启用 虚拟网络流日志 并使用 流量分析 来深入了解入口和出口流量流。 在订阅中的所有关键虚拟网络和子网上启用流日志,例如包含 Windows Server Active Directory 域控制器或关键数据存储的虚拟网络和子网。 此外,还可以使用流日志来检测和调查潜在的安全事件、合规性和监视,以及优化使用情况。
使用 NSG 可以选择性地允许在登陆区域之间建立连接。
对于虚拟 WAN 拓扑,如果组织需要相关功能用于筛选和记录登陆区域之间流动的流量,请通过 Azure 防火墙跨登陆区域路由流量。
如果组织决定实现到本地的强制隧道(播发默认路由),建议结合以下出站 NSG 规则,在 BGP 会话中断时拒绝从 VNet 直接到 Internet 的出口流量。
注意
需要根据现有的 NSG 规则集调整规则优先级。
| 优先级 | 名称 | 源 | 目标 | 服务 | 操作 | 备注 |
|---|---|---|---|---|---|---|
| 100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
在正常操作期间允许流量。 启用强制隧道后,只要 BGP 将 0.0.0.0/0 播发到 ExpressRoute 或 VPN 网关,就会将其视为 VirtualNetwork 标记的一部分。 |
| 110 | DenyInternet |
Any |
Internet |
Any |
Deny |
如果 0.0.0.0/0 路由从播发的路由中撤消(例如,由于服务中断或配置错误),则拒绝直接到 Internet 的流量。 |
注意
可以注入到虚拟网络的 Azure PaaS 服务可能与强制隧道不兼容。 控制平面操作仍可能需要直接连接到特定公共 IP 地址,以便服务正确运行。 建议查看具体的服务文档以了解网络要求,并最终使服务子网免于默认路由传播。 UDR 中的服务标记可用于绕过默认路由并仅在特定服务标记可用时重定向控制平面流量。