Doporučení pro sítě a možnosti připojení

Platí pro toto doporučení kontrolního seznamu zabezpečení architektury Azure Well-Architected Framework:

SE:06 Izolace, filtrování a řízení síťového provozu mezi příchozím i výstupním toky Zásady hloubkové ochrany využijte pomocí lokalizovaných síťových ovládacích prvků na všech dostupných síťových hranicích mezi východem a západem a severojižním provozem.

Tato příručka popisuje doporučení pro návrh sítě. Zaměřuje se na bezpečnostní prvky, které můžou filtrovat, blokovat a zjišťovat nežádoucí osobu překračující hranice sítě v různých hloubkách vaší architektury.

Kontrolní mechanismy identit můžete posílit implementací měr řízení přístupu na základě sítě. Spolu s řízením přístupu na základě identit je zabezpečení sítě vysokou prioritou pro ochranu prostředků. Správné kontrolní mechanismy zabezpečení sítě můžou poskytnout prvek hloubkové ochrany, který může pomoct detekovat a obsahovat hrozby a zabránit útočníkům v získání vstupu do vaší úlohy.

Definice

Semestr Definice
Provoz východ-západ Síťový provoz, který se přesouvá v rámci důvěryhodné hranice.
Tok výchozího přenosu dat Odchozí provoz úloh
Nepřátelská síť Síť, která není nasazená jako součást vaší úlohy. Nepřátelská síť se považuje za vektor hrozby.
Tok příchozího přenosu dat Příchozí provoz úloh
Filtrování sítě Mechanismus, který umožňuje nebo blokuje síťový provoz na základě zadaných pravidel.
Segmentace nebo izolace sítě Strategie, která rozděluje síť do malých izolovaných segmentů s kontrolními mechanismy zabezpečení použitými na hranicích. Tato technika pomáhá chránit prostředky před nepřátelskými sítěmi, jako je internet.
Transformace sítě Mechanismus, který ztlumí síťové pakety, aby je zakryl.
Severojižní provoz Síťový provoz, který přechází z důvěryhodné hranice na externí sítě, které jsou potenciálně nepřátelské, a naopak.

Klíčové strategie návrhu

Zabezpečení sítě využívá obskurzitu k ochraně prostředků úloh před nepřátelskými sítěmi. Prostředky, které jsou za hranicí sítě, se skryjí, dokud ovládací prvky hranice označí provoz jako bezpečný pro přechod vpřed. Návrh zabezpečení sítě je postaven na třech hlavních strategiích:

  • Segment. Tato technika izoluje provoz v samostatných sítích přidáním hranic. Například provoz do a z aplikační vrstvy předává hranici pro komunikaci s jinými vrstvami, které mají různé požadavky na zabezpečení. Vrstvy segmentace skutečně zpřístupňuje přístup hloubkové ochrany.

    Hlavní hranicí zabezpečení je síťová hrana mezi vaší aplikací a veřejnými sítěmi. Je důležité jasně definovat tuto hraniční síť, abyste vytvořili hranici pro izolování nepřátelských sítí. Ovládací prvky na této hraně musí být vysoce účinné, protože tato hranice je vaší první linii obrany.

    Virtuální sítě poskytují logickou hranici. Virtuální síť záměrně nemůže komunikovat s jinou virtuální sítí, pokud hranice nebyla záměrně přerušena partnerským vztahem. Vaše architektura by měla využívat toto silné bezpečnostní opatření poskytované platformou.

    Můžete také použít jiné logické hranice, jako jsou vyřezané podsítě v rámci virtuální sítě. Výhodou podsítí je, že je můžete použít k seskupení prostředků, které jsou v rámci hranice izolace a mají podobné záruky zabezpečení. Potom můžete nakonfigurovat ovládací prvky na hranici pro filtrování provozu.

  • Filtr. Tato strategie pomáhá zajistit, aby provoz, který vstupuje do hranice, byl očekávaný, povolený a bezpečný. Z hlediska nulové důvěryhodnosti filtrování explicitně ověřuje všechny dostupné datové body na úrovni sítě. Pravidla můžete umístit na hranici a zkontrolovat konkrétní podmínky.

    Například na úrovni záhlaví můžou pravidla ověřit, že provoz pochází z očekávaného umístění nebo má očekávaný svazek. Ale tyto kontroly nestačí. I když provoz vykazuje očekávané charakteristiky, datová část nemusí být bezpečná. Kontroly ověření můžou odhalit útok prostřednictvím injektáže SQL.

  • Transformace. Ztlumte pakety na hranici jako bezpečnostní opatření. Můžete například odebrat hlavičky HTTP, abyste eliminovali riziko vystavení. Nebo můžete v jednom okamžiku vypnout protokol TLS (Transport Layer Security) a znovu ho vytvořit v jiném segmentu směrování pomocí certifikátu, který se spravuje důkladněji.

Klasifikace toků provozu

Prvním krokem při klasifikaci toků je studium schématu architektury úloh. Ze schématu určete záměr a charakteristiky toku s ohledem na funkční nástroj a provozní aspekty vaší úlohy. Pomocí následujících otázek můžete tok klasifikovat:

  • Pokud úloha potřebuje komunikovat s externími sítěmi, jaká by měla být požadovaná úroveň blízkosti těchto sítí?

  • Jaké jsou charakteristiky sítě toku, například očekávaný protokol a zdroj a tvar paketů? Existují nějaké požadavky na dodržování předpisů na úrovni sítě?

Toky provozu se dají klasifikovat mnoha způsoby. V následujících částech jsou popsána běžně používaná kritéria.

Viditelnost z externích sítí
  • Veřejná. Úloha je veřejná, pokud je její aplikace a další komponenty dostupné z veřejného internetu. Aplikace je přístupná prostřednictvím jedné nebo více veřejných IP adres a serverů DNS (Public Domain Name System).

  • Soukromé. Úloha je soukromá, pokud je přístupná pouze prostřednictvím privátní sítě, jako je například virtuální privátní síť (VPN). Je vystavená pouze prostřednictvím jedné nebo více privátních IP adres a potenciálně prostřednictvím privátního serveru DNS.

    V privátní síti neexistuje žádný dohled od veřejného internetu k úloze. Pro bránu můžete použít nástroj pro vyrovnávání zatížení nebo bránu firewall. Tyto možnosti můžou poskytovat záruky zabezpečení.

I s veřejnými úlohami se snažte zachovat co největší část úlohy v privátním stavu. Tento přístup vynutí, aby pakety při příchodu z veřejné sítě procházely přes privátní hranici. Brána v této cestě může fungovat jako přechodový bod tím, že funguje jako reverzní proxy server.

Směr provozu

  • Příchozí přenos dat. Příchozí přenos dat je příchozí provoz, který proudí směrem k úloze nebo jeho komponentám. Pokud chcete zajistit zabezpečení příchozího přenosu dat, použijte předchozí sadu klíčových strategií. Určete, co je zdroj provozu a jestli je očekávaný, povolený a bezpečný. Útočníci, kteří kontrolují rozsahy IP adres poskytovatele veřejného cloudu, mohou úspěšně proniknout do vaší obrany, pokud nekontrolujete příchozí přenos dat nebo implementujete základní bezpečnostní opatření sítě.

  • Výchozí přenos dat. Výchozí přenos dat je odchozí provoz, který proudí mimo úlohu nebo její komponenty. Pokud chcete zkontrolovat výchozí přenos dat, určete, kam se provoz směruje, a jestli je cíl očekávaný, povolený a bezpečný. Cíl může být škodlivý nebo přidružený k rizikům exfiltrace dat.

Diagram znázorňující tok toku síťového provozu mezi nasazeními Azure a internetem

Úroveň expozice můžete určit také zohláněním blízkosti vašeho pracovního vytížení k veřejnému internetu. Aplikační platforma například obvykle obsluhuje veřejné IP adresy. Součástí úlohy je tvář řešení.

Rozsah vlivu

  • Severojižní. Provoz, který proudí mezi sítí úloh a externími sítěmi, je provoz na sever – jih. Tento provoz překračuje okraj vaší sítě. Externí sítě můžou být veřejný internet, podniková síť nebo jakákoli jiná síť, která je mimo váš rozsah řízení.

    Příchozí i výchozí přenosy můžou být provoz na severu i na jih.

    Jako příklad zvažte tok výchozího přenosu hvězdicové síťové topologie. Hraniční síť úlohy můžete definovat tak, aby centrum bylo externí sítí. V takovém případě je odchozí provoz z virtuální sítě paprsku severojižní provoz. Pokud ale vezmete v úvahu síť rozbočovače v rámci vaší oblasti řízení, provoz na sever -jih je rozšířen na bránu firewall v centru, protože další segment směrování je internet, což je potenciálně nepřátelské.

  • Východ-západ. Provoz, který proudí v rámci sítě úloh, je provoz na východ –západ. Tento typ provozu vede k tomu, že komponenty ve vaší úloze vzájemně komunikují. Příkladem je provoz mezi vrstvami n-vrstvé aplikace. Komunikace mezi službami v mikroslužbách je provoz mezi východem a západem.

Pokud chcete zajistit hloubkovou ochranu, udržujte komplexní kontrolu nad cenovými dostupnostmi zabezpečení, které jsou součástí každého segmentu směrování nebo které použijete při přecházení paketů mezi interními segmenty. Různé úrovně rizika vyžadují různé metody nápravy rizik.

Diagram znázorňující hloubkovou ochranu sítě pro privátní cloud

Předchozí diagram znázorňuje hloubkovou ochranu sítě v privátním cloudu. V tomto diagramu je hranice mezi veřejnými a privátními adresními prostory IP adres výrazně daleko od úlohy než v diagramu veřejného cloudu. Několik vrstev odděluje nasazení Azure od veřejného adresního prostoru IP adres.

Poznámka:

Identita je vždy primární hraniční síť. Správa přístupu se musí použít u síťových toků. Spravované identity používejte při použití řízení přístupu na základě role (RBAC) Azure mezi komponentami vaší sítě.

Po klasifikaci toků proveďte segmentační cvičení pro identifikaci bodů injektáže brány firewall na komunikačních cestách síťových segmentů. Při návrhu hloubkové ochrany sítě napříč všemi segmenty a všemi typy provozu předpokládejme porušení zabezpečení ve všech bodech. Použijte kombinaci různých lokalizovaných síťových ovládacích prvků na všech dostupných hranicích. Další informace najdete v tématu Strategie segmentace.

Použití bran firewall na hraničních zařízeních

Internetový hraniční provoz je provoz na sever a zahrnuje příchozí a výchozí přenos dat. Aby bylo možné detekovat nebo blokovat hrozby, musí hraniční strategie zmírnit co nejvíce útoků na internet a z internetu.

U výchozích přenosů odešlete veškerý internetový provoz přes jednu bránu firewall , která poskytuje lepší dohled, zásady správného řízení a řízení provozu. U příchozího přenosu dat vynuťte, aby veškerý provoz z internetu procházel síťovým virtuálním zařízením nebo bránou firewall webových aplikací.

  • Brány firewall jsou obvykle jednoúčelové, které se nasazují pro každou oblast v organizaci. V důsledku toho se sdílejí mezi úlohami a vlastní centrální tým. Ujistěte se, že jsou všechna síťová virtuální zařízení, která používáte, nakonfigurovaná tak, aby podporovala potřeby vašich úloh.

  • Doporučujeme používat co nejvíce nativních ovládacích prvků Azure.

    Kromě nativních ovládacích prvků můžete také zvážit partnerské síťové virtuální zařízení, která poskytují pokročilé nebo specializované funkce. Partnerské brány firewall a produkty pro dodavatele firewallu webových aplikací jsou k dispozici na Azure Marketplace.

    Rozhodnutí o používání nativních funkcí na rozdíl od partnerských řešení by mělo vycházet ze zkušeností a požadavků vaší organizace.

    Kompromis: Partnerské funkce často poskytují pokročilé funkce, které můžou chránit před sofistikovanými, ale obvykle neobvyklými útoky. Konfigurace partnerských řešení může být složitá a křehká, protože tato řešení se neintegrují s řadiči prostředků infrastruktury cloudu. Z hlediska nákladů se preferuje nativní řízení, protože je levnější než partnerská řešení.

Všechny technologické možnosti, které zvažujete, by měly poskytovat bezpečnostní prvky a monitorování pro příchozí i výchozí toky. Možnosti, které jsou dostupné pro Azure, najdete v části Zabezpečení Edge v tomto článku.

Návrh zabezpečení virtuální sítě a podsítě

Primárním cílem privátního cloudu je zakrýt prostředky z veřejného internetu. Tento cíl lze dosáhnout několika způsoby:

  • Přesouvejte se do prostorů privátních IP adres, které můžete provést pomocí virtuálních sítí. Minimalizujte viditelnost sítě i ve vlastních privátních sítích.

  • Minimalizujte počet veřejných záznamů DNS, které používáte k zveřejnění méně úloh.

  • Přidejte řízení toku příchozího a výchozího přenosu dat sítě. Nepovolujte provoz, který není důvěryhodný.

Strategie segmentace

Pokud chcete minimalizovat viditelnost sítě, segmentujte síť a začněte ovládacími prvky sítě s nejnižšími oprávněními. Pokud segment není směrovatelný, není k němu přístup. Rozšiřte rozsah tak, aby zahrnoval pouze segmenty, které spolu potřebují komunikovat prostřednictvím síťového přístupu.

Virtuální sítě můžete segmentovat vytvořením podsítí. Kritéria pro dělení by měla být záměrná. Při kolacici služeb uvnitř podsítě se ujistěte, že se tyto služby vzájemně vidí.

Segmentaci můžete založit na mnoha faktorech. Můžete například umístit různé aplikační vrstvy do vyhrazených segmentů. Dalším přístupem je naplánovat podsítě na základě běžných rolí a funkcí, které používají dobře známé protokoly.

Další informace najdete v tématu Strategie segmentace.

Brány firewall podsítě

Je důležité zkontrolovat příchozí a odchozí provoz každé podsítě. Použijte tři hlavní strategie popisované dříve v tomto článku v klíčových strategiích návrhu. Zkontrolujte, jestli je tok očekávaný, povolený a bezpečný. Pokud chcete tyto informace ověřit, definujte pravidla brány firewall, která jsou založená na protokolu, zdroji a cíli provozu.

V Azure nastavíte pravidla brány firewall ve skupinách zabezpečení sítě. Další informace najdete v části Skupiny zabezpečení sítě v tomto článku.

Příklad návrhu podsítě najdete v tématu Podsítě virtuální sítě Azure.

Použití ovládacích prvků na úrovni komponenty

Jakmile minimalizujete viditelnost sítě, namapujte prostředky Azure z pohledu sítě a vyhodnoťte toky. Možné jsou následující typy toků:

  • Plánovaný provoz nebo úmyslná komunikace mezi službami podle návrhu architektury Například pokud vaše architektura doporučuje, aby služba Azure Functions načítá zprávy ze služby Azure Service Bus, naplánovali jste provoz.

  • Provoz správy nebo komunikace, ke kterým dochází v rámci funkcí služby. Tento provoz není součástí návrhu a nemáte nad ním žádnou kontrolu. Příkladem spravovaného provozu je komunikace mezi službami Azure ve vaší architektuře a rovinou správy Azure.

Rozlišování mezi plánovaným provozem a provozem správy pomáhá vytvářet lokalizované ovládací prvky nebo řízení na úrovni služeb. Dobře porozumněl zdroji a cíli každého segmentu směrování. Zvlášť porozumíte tomu, jak je vaše rovina dat vystavená.

Jako výchozí bod určete, jestli je každá služba vystavená internetu. Pokud ano, naplánujte, jak omezit přístup. Pokud není, umístěte ho do virtuální sítě.

Brány firewall služby

Pokud očekáváte, že se služba zpřístupní na internetu, využijte bránu firewall na úrovni služby, která je k dispozici pro většinu prostředků Azure. Při použití této brány firewall můžete nastavit pravidla na základě vzorů přístupu. Další informace najdete v části Brány firewall služby Azure v tomto článku.

Poznámka:

Pokud vaše komponenta není služba, použijte kromě bran firewall na úrovni sítě také bránu firewall založenou na hostiteli. Příkladem komponenty, která není službou, je virtuální počítač.

Připojení ke službám PaaS (Platforma jako služba)

Zvažte použití privátních koncových bodů k zabezpečení přístupu ke službám PaaS. Privátní koncový bod má přiřazenou privátní IP adresu z vaší virtuální sítě. Koncový bod umožňuje ostatním prostředkům v síti komunikovat se službou PaaS přes privátní IP adresu.

Komunikace se službou PaaS se dosahuje pomocí veřejné IP adresy a záznamu DNS služby. Tato komunikace probíhá přes internet. Tuto komunikaci můžete nastavit jako soukromou.

Tunel ze služby PaaS do jedné z vašich podsítí vytvoří privátní kanál. Veškerá komunikace probíhá z privátní IP adresy komponenty do privátního koncového bodu v této podsíti, která pak komunikuje se službou PaaS.

V tomto příkladu obrázek vlevo ukazuje tok pro veřejně vystavené koncové body. Na pravé straně je tento tok zabezpečený pomocí privátních koncových bodů.

Diagram znázorňující, jak privátní koncový bod pomáhá chránit databázi před uživateli internetu

Další informace najdete v části Privátní koncové body v tomto článku.

Poznámka:

Doporučujeme používat privátní koncové body ve spojení s branami firewall služeb. Brána firewall služby blokuje příchozí internetový provoz a pak tuto službu zveřejní soukromě interním uživatelům, kteří používají privátní koncový bod.

Další výhodou použití privátních koncových bodů je, že pro odchozí provoz nemusíte otevírat porty v bráně firewall. Privátní koncové body uzamknou veškerý odchozí provoz na portu veřejného internetu. Možnosti připojení jsou omezené na prostředky v síti.

Kompromis: Azure Private Link je placená služba, která obsahuje měřiče pro příchozí a odchozí data, která se zpracovávají. Také se vám účtují poplatky za privátní koncové body.

Ochrana před útoky DDoS (Distributed Denial of Service)

Útok DDoS se pokusí vyčerpat prostředky aplikace, aby byla aplikace nedostupná oprávněným uživatelům. Útoky DDoS můžou cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.

Útok DDoS je obvykle masivní, široce rozšířená geograficky rozptýlená zneužití prostředků systému, které znesnadňuje určení a blokování zdroje.

Informace o podpora Azure, které pomáhají chránit před těmito útoky, najdete v části Azure DDoS Protection v tomto článku.

Usnadnění azure

Následující služby Azure můžete použít k přidání podrobných možností ochrany do vaší sítě.

Azure Virtual Network

Virtuální síť pomáhá vašim prostředkům Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi.

Ve výchozím nastavení můžou všechny prostředky ve virtuální síti zapojovat odchozí komunikaci s internetem. Ve výchozím nastavení je ale příchozí komunikace omezená.

Virtuální síť nabízí funkce pro filtrování provozu. Přístup na úrovni virtuální sítě můžete omezit pomocí trasy definované uživatelem a komponenty brány firewall. Na úrovni podsítě můžete filtrovat provoz pomocí skupin zabezpečení sítě.

Zabezpečení Edge

Ve výchozím nastavení probíhá příchozí i výchozí přenos dat přes veřejné IP adresy. V závislosti na službě nebo topologii je přiřadíte buď tyto adresy, nebo je Azure přiřadí. Mezi další možnosti příchozího a výchozího přenosu dat patří předávání provozu přes nástroj pro vyrovnávání zatížení nebo bránu překladu adres (NAT). Tyto služby jsou ale určené pro distribuci provozu, nikoli nutně pro zabezpečení.

Doporučuje se následující technologie:

  • Azure Firewall. Azure Firewall můžete použít na hraniční síti a v oblíbených síťových topologiích, jako jsou hvězdicové sítě a virtuální sítě WAN. Azure Firewall obvykle nasazujete jako výchozí bránu firewall , která funguje jako konečná brána zabezpečení před přenosem do internetu. Azure Firewall může směrovat provoz, který používá jiné protokoly než HTTP a jiné protokoly než HTTPS, jako je protokol RDP (Remote Desktop Protocol), protokol SSH (Secure Shell Protocol) a PROTOKOL FTP (File Transfer Protocol). Sada funkcí služby Azure Firewall zahrnuje:

    • Překlad cílových síťových adres (DNAT) nebo přesměrování portů
    • Detekce a prevence neoprávněných vniknutí (IDPS) detekce podpisů.
    • Síťová pravidla silné vrstvy 3, vrstvy 4 a plně kvalifikovaného názvu domény (FQDN).

    Poznámka:

    Většina organizací má zásadu vynuceného tunelování, která vynutí tok provozu přes síťové virtuální zařízení.

    Pokud nepoužíváte topologii virtuální sítě WAN, musíte nasadit trasu definovanou uživatelem s NextHopType Internet privátní IP adresou vašeho síťového virtuálního zařízení. Trasy definované uživatelem se použijí na úrovni podsítě. Provoz mezi podsítěmi ve výchozím nastavení neprochází přes síťové virtuální zařízení.

    Pro příchozí přenos dat můžete také použít službu Azure Firewall současně. Může směrovat provoz HTTP a HTTPS. Ve vyšších úrovních skladových položek nabízí Azure Firewall ukončení protokolu TLS, abyste mohli implementovat kontroly na úrovni datové části.

    Doporučuje se následující postupy:

    • Povolením nastavení diagnostiky ve službě Azure Firewall můžete shromažďovat protokoly toku provozu, protokoly IDPS a protokoly požadavků DNS.

    • Buďte v pravidlech co nej specififnější.

    • Pokud je to praktické, vyhněte se značkám služeb plně kvalifikovaného názvu domény. Pokud je ale použijete, použijte místní variantu, která umožňuje komunikaci se všemi koncovými body služby.

    • Pomocí skupin IP můžete definovat zdroje, které musí sdílet stejná pravidla po celou životnost skupiny IP adres. Skupiny IP adres by měly odrážet vaši strategii segmentace.

    • Přepsat plně kvalifikovaný název domény infrastruktury povolit pravidlo pouze v případě, že vaše úloha vyžaduje absolutní řízení výchozího přenosu dat. Přepsání tohoto pravidla má kompromis mezi spolehlivostí, protože požadavky na platformu Azure se u služeb mění.

    Kompromis: Azure Firewall může ovlivnit váš výkon. Pořadí pravidel, množství, kontrola protokolu TLS a další faktory můžou způsobit významnou latenci.

    Může to mít také vliv na spolehlivost vašich úloh. Může docházet k vyčerpání portů překladu zdrojových síťových adres (SNAT). Pokud chcete tento problém vyřešit, přidejte podle potřeby veřejné IP adresy.

    Riziko: U odchozího provozu Azure přiřadí veřejnou IP adresu. Toto přiřazení může mít podřízený dopad na bránu externího zabezpečení.

  • Azure Web Application Firewall. Tato služba podporuje příchozí filtrování a cílí pouze na provoz HTTP a HTTPS.

    Nabízí základní zabezpečení běžných útoků, jako jsou hrozby, které projekt OWASP (Open Worldwide Application Security Project) identifikuje v dokumentu OWASP Top 10. Azure Web Application Firewall také poskytuje další funkce zabezpečení zaměřené na vrstvu 7, jako je omezování rychlosti, pravidla injektáže SQL a skriptování mezi weby.

    U brány firewall webových aplikací Azure se vyžaduje ukončení protokolu TLS, protože většina kontrol vychází z datových částí.

    Firewall webových aplikací Azure můžete integrovat se směrovači, jako je Aplikace Azure lication Gateway nebo Azure Front Door. Implementace firewallu webových aplikací Azure pro tyto typy směrovačů se můžou lišit.

Azure Firewall a Azure Web Application Firewall se vzájemně nevylučují. Pro řešení zabezpečení edge jsou k dispozici různé možnosti. Příklady najdete v tématu Brána firewall a Application Gateway pro virtuální sítě.

Skupiny zabezpečení sítě

Skupina zabezpečení sítě je brána firewall vrstvy 3 a 4, kterou použijete na úrovni podsítě nebo síťové karty. Skupiny zabezpečení sítě se ve výchozím nastavení nevytvořily ani nepoužívají.

Pravidla skupiny zabezpečení sítě fungují jako brána firewall , která zastavují provoz, který proudí do a z hraniční podsítě. Skupina zabezpečení sítě má výchozí sadu pravidel, která je příliš přesvědčivá. Výchozí pravidla například nenastavují bránu firewall z pohledu výchozího přenosu dat. Pro příchozí přenos dat není povolený žádný příchozí internetový provoz.

Pokud chcete vytvořit pravidla, začněte výchozí sadou pravidel:

  • U příchozího provozu nebo příchozího přenosu dat:
    • Provoz virtuální sítě z přímých, partnerských a partnerských zdrojů brány VPN je povolený.
    • Sondy stavu Azure Load Balanceru jsou povolené.
    • Veškerý ostatní provoz je zablokovaný.
  • U odchozího provozu nebo výchozího přenosu dat:
    • Je povolený provoz virtuální sítě pro přímé cíle brány VPN, partnerského vztahu a brány VPN.
    • Provoz do internetu je povolený.
    • Veškerý ostatní provoz je zablokovaný.

Pak zvažte následující pět faktorů:

  • Protokol
  • Zdrojová IP adresa
  • Zdrojový port
  • Cílová IP adresa
  • Cílový port

Nedostatek podpory plně kvalifikovaného názvu domény omezuje funkce skupin zabezpečení sítě. Potřebujete zadat konkrétní rozsahy IP adres pro vaši úlohu a je obtížné je udržovat.

U služeb Azure ale můžete použít značky služeb ke shrnutí rozsahů zdrojových a cílových IP adres. Výhodou zabezpečení značek služeb je, že jsou pro uživatele neprůhledné a odpovědnost se přesměruje do Azure. Ke směrování provozu můžete také přiřadit skupinu zabezpečení aplikace jako cílový typ. Tento typ pojmenované skupiny obsahuje prostředky, které mají podobné potřeby příchozího nebo odchozího přístupu.

Riziko: Rozsahy značek služeb jsou velmi široké, aby vyhovovaly nejširšímu možnému rozsahu zákazníků. Aktualizace značek služeb zaostávají za změnami ve službě.

Diagram znázorňující výchozí izolaci virtuální sítě s partnerským vztahem

Na předchozím obrázku se na síťové kartě použijí skupiny zabezpečení sítě. Internetový provoz a provoz mezi podsítěmi jsou odepřeny. Skupiny zabezpečení sítě se použijí se značkou VirtualNetwork . V tomto případě tedy podsítě partnerských sítí mají přímý dohled. Široká definice VirtualNetwork značky může mít významný dopad na zabezpečení.

Pokud používáte značky služeb, použijte místní verze, pokud je to možné, například Storage.WestUS místo Storage. Tímto přístupem omezíte rozsah na všechny koncové body v konkrétní oblasti.

Některé značky jsou výhradně pro příchozí nebo odchozí provoz. Ostatní jsou pro oba typy. Příchozí značky obvykle umožňují provoz ze všech hostitelských úloh, jako AzureFrontDoor.Backendje například , nebo z Azure, podporovat moduly runtime služeb, například LogicAppsManagement. Podobně odchozí značky umožňují provoz do všech úloh hostování nebo z Azure pro podporu modulů runtime služeb.

Co nejvíce využujte pravidla. V následujícím příkladu je pravidlo nastaveno na konkrétní hodnoty. Jakýkoli jiný typ provozu je odepřen.

Informační Příklad
Protokol TCP (Transmission Control Protocol), UDP
Zdrojová IP adresa Povolit příchozí přenos dat do podsítě z <rozsahu> zdrojových IP adres: 4575/UDP
Zdrojový port Povolit příchozí přenos dat do podsítě ze <značky> služby: 443/TCP
Cílová IP adresa Povolit výchozí přenos dat z podsítě do <rozsahu> cílových IP adres: 443/TCP
Cílový port Povolit výchozí přenos dat z podsítě na <značku> služby: 443/TCP

Shrnutí:

  • Buďte přesné při vytváření pravidel. Povolte provoz, který je nezbytný pro fungování vaší aplikace. Odepřít všechno ostatní. Tento přístup omezuje síťovou čáru zraku na síťové toky, které jsou potřeba k podpoře provozu úlohy. Podpora více síťových toků, než je nutné, vede k zbytečným vektorům útoku a rozšiřuje plochu.

    Omezení provozu neznamená, že povolené toky jsou nad rámec útoku. Vzhledem k tomu, že skupiny zabezpečení sítě pracují ve vrstvách 3 a 4 v zásobníku OSI (Open Systems Interconnection), obsahují pouze informace o tvaru a směru. Pokud například vaše úloha potřebuje povolit provoz DNS do internetu, použijete skupinu Internet:53:UDPzabezpečení sítě . V takovém případě může být útočník schopen exfiltrovat data přes UDP na portu 53 do některé jiné služby.

  • Uvědomte si, že skupiny zabezpečení sítě se můžou mírně lišit od sebe. Je snadné přehlédnout záměr rozdílů. Pokud chcete mít podrobné filtrování, je bezpečnější vytvořit další skupiny zabezpečení sítě. Nastavte aspoň jednu skupinu zabezpečení sítě.

    • Přidání skupiny zabezpečení sítě odemkne mnoho diagnostických nástrojů, jako jsou protokoly toku a analýza síťového provozu.

    • Azure Policy vám pomůže řídit provoz v podsítích, které nemají skupiny zabezpečení sítě.

  • Pokud podsíť podporuje skupiny zabezpečení sítě, přidejte skupinu, i když to má minimální dopad.

Brány firewall služby Azure

Většina služeb Azure nabízí bránu firewall na úrovni služeb. Tato funkce kontroluje příchozí provoz do služby ze zadaných rozsahů ciDR (Classless Inter-Domain Routing). Tyto brány firewall nabízejí výhody:

  • Poskytují základní úroveň zabezpečení.
  • Má tolerovatelný dopad na výkon.
  • Většina služeb nabízí tyto brány firewall bez dalších poplatků.
  • Brány firewall generují protokoly prostřednictvím diagnostiky Azure, což může být užitečné pro analýzu vzorů přístupu.

K těmto branám firewall se ale vztahují také obavy týkající se zabezpečení a existují omezení spojená s poskytováním parametrů. Pokud například používáte agenty sestavení hostované Microsoftem, musíte otevřít rozsah IP adres pro všechny agenty sestavení hostované Microsoftem. Rozsah se pak otevře vašemu agentovi sestavení, dalším tenantům a nežádoucím osobám, které by mohly vaši službu zneužít.

Pokud máte vzory přístupu pro službu, které je možné nakonfigurovat jako sady pravidel brány firewall služby, měli byste službu povolit. K jeho povolení můžete použít Azure Policy. Ujistěte se, že možnost důvěryhodných služeb Azure nepovolíte, pokud není ve výchozím nastavení povolená. To přináší všechny závislé služby, které jsou v rozsahu pravidel.

Další informace najdete v produktové dokumentaci jednotlivých služeb Azure.

Privátní koncové body

Private Link poskytuje způsob, jak dát instanci PaaS privátní IP adresu. Služba je pak nedostupná přes internet. Privátní koncové body nejsou podporované pro všechny skladové položky .

Při používání privátních koncových bodů mějte na paměti následující doporučení:

  • Nakonfigurujte služby, které jsou vázané na virtuální sítě, aby kontaktovali služby PaaS prostřednictvím privátních koncových bodů, i když tyto služby PaaS potřebují také nabízet veřejný přístup.

  • Zvyšte využití skupin zabezpečení sítě pro privátní koncové body, abyste omezili přístup k IP adresám privátního koncového bodu.

  • Brány firewall služby vždy používejte při použití privátních koncových bodů.

  • Pokud je to možné, pokud máte službu, která je přístupná jenom prostřednictvím privátních koncových bodů, odeberte konfiguraci DNS pro svůj veřejný koncový bod.

  • Při implementaciprivátních Zvažte ale také aspekty DevOps a monitorování.

  • K vynucení konfigurace prostředků použijte Azure Policy.

Kompromis: Skladové položky služeb s privátními koncovými body jsou nákladné. Privátní koncové body můžou komplikovat operace kvůli obskurzitě sítě. Do architektury musíte přidat agenty v místním prostředí, jump boxy, síť VPN a další komponenty.

Správa DNS může být složitá v běžných síťových topologiích. Možná budete muset zavést služby předávání DNS a další komponenty.

Injektáž virtuální sítě

Pomocí procesu injektáže virtuální sítě můžete do sítě nasadit některé služby Azure. Mezi takové služby patří Aplikace Azure Service, Functions, Azure API Management a Azure Spring Apps. Tento proces izoluje aplikaci od internetu, systémů v privátních sítích a dalších službách Azure. Příchozí a odchozí provoz z aplikace je povolený nebo zakázaný na základě pravidel sítě.

Azure Bastion

Azure Bastion můžete použít k připojení k virtuálnímu počítači pomocí prohlížeče a webu Azure Portal. Azure Bastion vylepšuje zabezpečení připojení RDP a SSH. Typický případ použití zahrnuje připojení k jump boxu ve stejné virtuální síti nebo partnerské virtuální síti. Použití služby Azure Bastion odebere potřebu, aby měl virtuální počítač veřejnou IP adresu.

Ochrana Azure DDoS

Každá vlastnost v Azure je chráněná ochranou infrastruktury Azure DDoS bez dalších poplatků a bez přidané konfigurace. Úroveň ochrany je základní, ale ochrana má vysoké prahové hodnoty. Neposkytuje také telemetrii nebo upozorňování a je nezávislá na úlohách.

Vyšší úrovně SKU DDoS Protection jsou dostupné, ale nejsou bezplatné. Škálování a kapacita globálně nasazené sítě Azure nabízí ochranu před běžnými útoky na síťovou vrstvu. Tyto možnosti poskytují technologie, jako je nepřetržité monitorování provozu a zmírnění rizik v reálném čase.

Další informace najdete v přehledu služby Azure DDoS Protection.

Příklad

Tady je několik příkladů, které ukazují použití síťových ovládacích prvků doporučených v tomto článku.

IT prostředí

Tento příklad vychází z prostředí informačních technologií (IT) vytvořeného ve standardních hodnotách zabezpečení (SE:01). Tento přístup poskytuje široké znalosti o síťových kontrolách použitých v různých hraničních sítích, aby se omezil provoz.

Diagram znázorňující příklad standardních hodnot zabezpečení organizace se síťovými ovládacími prvky

  1. Osoby útoku na síť. V síťovém útoku může být považováno několik osob, včetně správců, zaměstnanců, klientů zákazníků a anonymních útočníků.

  2. Přístup k síti VPN. Chybný objekt actor může přistupovat k místnímu prostředí prostřednictvím sítě VPN nebo prostředí Azure, které je připojené k místnímu prostředí prostřednictvím sítě VPN. Nakonfigurujte protokol IPSec tak, aby umožňoval zabezpečenou komunikaci.

  3. Veřejný přístup k aplikaci Před aplikací je brána firewall webových aplikací (WAF), která ji chrání na vrstvě 7 síťové vrstvy OSI.

  4. Přístup operátora. Vzdálený přístup přes vrstvu 4 síťových vrstev OSI musí být zabezpečený. Zvažte použití služby Azure Firewall s funkcemi IDP/IDS.

  5. Ochrana před útoky DDoS Ochrana před útoky DDoS pro celou virtuální síť

  6. Síťová topologie. Síťová topologie, jako je hvězdicová architektura, je bezpečnější a optimalizuje náklady. Centrální síť poskytuje centralizovanou ochranu brány firewall pro všechny partnerské paprsky.

  7. Privátní koncové body: Zvažte přidání veřejně vystavených služeb do privátní sítě pomocí privátních koncových bodů. Vytvoří v privátní virtuální síti síťovou kartu a vytvoří vazbu se službou Azure.

  8. Komunikace TLS. Chraňte přenášená data prostřednictvím komunikace přes protokol TLS.

  9. Skupina zabezpečení sítě (NSG): Chrání segmenty ve virtuální síti pomocí skupiny zabezpečení sítě, bezplatný prostředek, který filtruje příchozí a odchozí komunikaci TCP/UDP s ohledem na rozsahy IP adres a portů. Součástí skupiny zabezpečení sítě je skupina zabezpečení aplikace (ASG), která umožňuje vytvářet značky pro pravidla provozu pro snadnější správu.

  10. Log Analytics: Prostředky Azure generují telemetrii, která se ingestuje v Log Analytics, a pak se používají s řešením SIEM, jako je Microsoft Sentinel pro účely analýzy.

  11. Integrace Microsoft Sentinelu Log Analytics je integrovaná s Microsoft Sentinelem a dalšími řešeními, jako je Microsoft Defender for Cloud.

  12. Microsoft Defender for Cloud. Microsoft Defender for Cloud poskytuje řadu řešení ochrany úloh, včetně doporučení sítě pro vaše prostředí.

  13. Analýza provozu: Monitorování síťových ovládacích prvků pomocí Analýzy provozu To se konfiguruje přes Network Watcher, součást služby Azure Monitor a agreguje příchozí a odchozí přístupy ve vašich podsítích shromážděných skupinou zabezpečení sítě.

Architektura kontejnerizované úlohy

Tato ukázková architektura kombinuje síťové ovládací prvky popsané v tomto článku. Příklad nezobrazuje úplnou architekturu. Místo toho se zaměřuje na řízení příchozího přenosu dat v privátním cloudu.

Diagram znázorňující řízené příchozí přenosy dat, včetně služby Application Gateway, skupiny zabezpečení sítě, služby Azure Bastion a Azure DDoS Protection

Application Gateway je nástroj pro vyrovnávání zatížení webového provozu, který můžete použít ke správě provozu do webových aplikací. Službu Application Gateway nasadíte ve vyhrazené podsíti s ovládacími prvky skupiny zabezpečení sítě a ovládacími prvky firewallu webových aplikací.

Komunikace se všemi službami PaaS se provádí prostřednictvím privátních koncových bodů. Všechny koncové body se umístí do vyhrazené podsítě. DDoS Protection pomáhá chránit všechny veřejné IP adresy nakonfigurované pro základní nebo vyšší úroveň ochrany brány firewall.

Provoz správy je omezený prostřednictvím služby Azure Bastion, což pomáhá zajistit zabezpečené a bezproblémové připojení RDP a SSH k vašim virtuálním počítačům přímo z webu Azure Portal přes protokol TLS. Agenti sestavení se umístí do virtuální sítě, aby měli zobrazení sítě pro prostředky úloh, jako jsou výpočetní prostředky, registry kontejnerů a databáze. Tento přístup pomáhá poskytovat zabezpečené a izolované prostředí pro agenty sestavení, což zvyšuje ochranu kódu a artefaktů.

Diagram znázorňující řízené výchozí přenosy dat pro skupinu zabezpečení sítě a bránu Azure Firewall

Skupiny zabezpečení sítě na úrovni podsítě výpočetních prostředků omezují odchozí provoz. Vynucené tunelování se používá ke směrování veškerého provozu přes Azure Firewall. Tento přístup pomáhá poskytovat zabezpečené a izolované prostředí pro výpočetní prostředky, což zvyšuje ochranu vašich dat a aplikací.

Kontrolní seznam zabezpečení

Projděte si kompletní sadu doporučení.