規劃登陸區域網路分割
本節探討在登陸區域內提供高度安全的內部網路分割,以驅動網路 零信任 實作的重要建議。
設計考量
零信任 模型假設有缺口狀態,並驗證每個要求,就好像它源自不受控制的網路一樣。
進階 零信任 網路實作採用完全分散的輸入和輸出雲端微周邊,以及更深入的微分割。
網路安全組 (NSG) 可以使用 Azure 服務標籤 來協助連線到 Azure 平臺即服務 (PaaS) 解決方案。
應用程式安全組 (ASG) 不會跨越或跨虛擬網路提供保護。
使用 NSG 流量記錄 來檢查透過已連結 NSG 的網路點流量。
虛擬網路流量記錄 提供類似NSG流量記錄的功能,但涵蓋更廣泛的使用案例。 它們也會簡化流量監視的範圍,因為您可以在虛擬網路層級啟用記錄。
設計建議
將子網路建立委派給登陸區域擁有者。 這可讓他們定義如何在子網之間分割工作負載(例如,單一大型子網、多層應用程式或網路插入的應用程式)。 平臺小組可以使用 Azure 原則 來確保具有特定規則的 NSG(例如拒絕來自因特網的輸入 SSH 或 RDP,或允許/封鎖跨登陸區域的流量)一律與具有拒絕原則的子網相關聯。
使用 NSG 協助保護跨子網的流量,以及跨平台的東/西流量(登陸區域之間的流量)。
應用程式小組應使用子網層級 NSG 上的應用程式安全組,協助保護登陸區域內的多層 VM。
使用 NSG 和應用程式安全組在登陸區域內進行微區段流量,並避免使用中央 NVA 來篩選流量。
啟用 虛擬網路流量記錄 ,並使用 使用分析 來深入瞭解輸入和輸出流量。 在您的訂用帳戶中的所有重要虛擬網路和子網上啟用流量記錄,例如包含 Windows Server Active Directory 域控制器或重要數據存放區的虛擬網路和子網。 此外,您可以使用流量記錄來偵測和調查潛在的安全性事件、合規性和監視,以及將使用量優化。
使用 NSG 選擇性地允許登陸區域之間的連線。
針對虛擬 WAN 拓撲,如果您的組織需要篩選和記錄功能,以透過 Azure 防火牆 將流量路由傳送到登陸區域。
如果您的組織決定實作強制通道(公告預設路由)至內部部署,建議您在 BGP 會話卸載時,納入下列 輸出 NSG 規則來拒絕直接從 VNet 到因特網的輸出流量。
注意
規則優先順序必須根據您的現有NSG規則集進行調整。
| 優先順序 | 名稱 | 來源 | Destination | 服務 | 動作 | 備註 |
|---|---|---|---|---|---|---|
| 100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
在正常作業期間允許流量。 啟用強制通道時,只要 BGP 將它公告給 ExpressRoute 或 VPN 閘道,0.0.0.0/0就會被視為標記的VirtualNetwork一部分。 |
| 110 | DenyInternet |
Any |
Internet |
Any |
Deny |
如果 0.0.0.0/0 路由從公告的路由中撤出,則拒絕直接流向因特網的流量(例如,因為中斷或設定錯誤)。 |
警告
可以插入至虛擬網路的 Azure PaaS 服務,可能與強制通道不相容。 控制平面作業仍可能需要直接連線到特定公用IP位址,服務才能正確運作。 建議您檢查特定服務檔,以取得網路需求,最後從預設路由傳播中豁免服務子網。 UDR 中的服務標籤只能用來略過預設路由和重新導向控制平面流量,前提是可用的特定服務標籤。