Použití principů nulová důvěra (Zero Trust) k ukončení starších technologií zabezpečení sítě

Tento článek obsahuje pokyny k použití principů nulová důvěra (Zero Trust) pro ukončení starších technologií zabezpečení sítě v prostředích Azure. Tady jsou principy nulová důvěra (Zero Trust).

princip nulová důvěra (Zero Trust) Definice
Explicitní ověření Vždy ověřovat a autorizovat na základě všech dostupných datových bodů.
Použití nejméně privilegovaného přístupu Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat.
Předpokládat porušení zabezpečení Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.

Vylepšete ochranu vašeho prostředí Azure odebráním nebo upgradem starších síťových služeb pro vyšší úroveň zabezpečení.

Tento článek je součástí série článků, které ukazují, jak aplikovat principy nulová důvěra (Zero Trust) na sítě Azure.

Oblasti sítí Azure, které je potřeba zkontrolovat, aby se ukončilo používání starších technologií zabezpečení sítě, jsou:

  • Síťové základní služby
  • Vyrovnávání zatížení a služby doručování obsahu
  • Hybridní služby připojení

Přechod od použití starších technologií zabezpečení sítě může útočníkovi zabránit v přístupu k prostředím nebo přes ně způsobit rozsáhlé škody (princip Předpokládat porušení nulová důvěra (Zero Trust)).

Referenční architektura

Následující diagram znázorňuje referenční architekturu pro tuto nulová důvěra (Zero Trust) pokyny k ukončení starší technologie zabezpečení sítě pro komponenty ve vašem prostředí Azure.

Diagram znázorňující referenční architekturu pro ukončení starších technologií zabezpečení sítě pomocí síťových komponent Azure

Tato referenční architektura zahrnuje:

  • Úlohy Azure IaaS běžící na virtuálních počítačích Azure
  • Služby Azure.
  • Virtuální síť zabezpečení, která obsahuje službu Azure VPN Gateway a bránu Aplikace Azure lication Gateway.
  • Internetová hraniční virtuální síť, která obsahuje Nástroj pro vyrovnávání zatížení Azure.
  • Azure Front Door na okraji prostředí Azure.

Co je v tomto článku?

Použijete nulová důvěra (Zero Trust) principy v referenční architektuře od uživatelů a správců na internetu nebo vaší místní sítě do a v rámci vašeho prostředí Azure. Následující tabulka uvádí klíčové úlohy pro ukončení starších technologií zabezpečení sítě v této architektuře pro zásadu Předpokládat porušení zabezpečení nulová důvěra (Zero Trust).

Krok Úloha
0 Projděte si základní služby sítě.
2 Zkontrolujte služby doručování obsahu a vyrovnávání zatížení.
3 Zkontrolujte služby hybridního připojení.

Krok 1: Kontrola základních služeb sítě

Kontrola síťových základních služeb zahrnuje:

  • Přechod ze skladové položky veřejné IP adresy úrovně Basic na skladovou položku Veřejné IP adresy úrovně Standard
  • Zajištění, aby IP adresy virtuálních počítačů používaly explicitní odchozí přístup.

Tento diagram znázorňuje komponenty pro aktualizaci síťových základních služeb Azure v referenční architektuře.

Diagram znázorňující komponenty pro aktualizaci síťových služeb Azure

Skladová položka pro základní veřejnou IP adresu

IP adresy (veřejné a privátní) jsou součástí SLUŽEB IP v Azure, které umožňují komunikaci mezi privátními a veřejnými prostředky. Veřejné IP adresy jsou propojené se službami, jako jsou brány virtuální sítě, aplikační brány a další, které potřebují odchozí připojení k internetu. Privátní IP adresy umožňují interně komunikaci mezi prostředky Azure.

Skladová položka s veřejnou IP adresou úrovně Basic je dnes považována za starší verzi a má větší omezení než skladová položka veřejné IP adresy úrovně Standard. Jedním z hlavních omezení pro nulová důvěra (Zero Trust) skladové položky s veřejnou IP adresou úrovně Basic je, že použití skupin zabezpečení sítě se nevyžaduje, ale doporučuje se, i když se jedná o povinnou skladovou položku standardní veřejné IP adresy.

Další důležitou funkcí skladové položky standardní veřejné IP adresy je možnost vybrat předvolbu směrování, jako je směrování přes globální síť Microsoftu. Tato funkce zabezpečuje provoz v páteřní síti Microsoftu, kdykoli je to možné, a odchozí provoz se co nejblíže službě nebo koncovému uživateli ukončí.

Další informace najdete v tématu Služby IP adres virtuální sítě Azure.

Poznámka:

Skladová položka veřejné IP adresy úrovně Basic bude vyřazena v září 2025.

Výchozí odchozí přístup

Azure ve výchozím nastavení poskytuje odchozí přístup k internetu. Připojení z prostředků se ve výchozím nastavení uděluje systémovými trasami a výchozími odchozími pravidly pro skupiny zabezpečení sítě. Jinými slovy, pokud není nakonfigurovaná žádná explicitní metoda odchozího připojení, Azure nakonfiguruje výchozí IP adresu odchozího přístupu. Bez explicitního odchozího přístupu však vznikají určitá bezpečnostní rizika.

Microsoft doporučuje, abyste nenecháli IP adresu virtuálního počítače otevřenou pro internetový provoz. U výchozích odchozích IP adres a IP adres není žádná kontrola, které můžou měnit jejich závislosti. U virtuálních počítačů vybavených několika síťovými kartami se nedoporučuje povolit, aby všechny IP adresy síťových adaptérů měly internetový odchozí přístup. Místo toho byste měli omezit přístup jenom na nezbytné síťové karty.

Microsoft doporučuje nastavit explicitní odchozí přístup pomocí jedné z následujících možností:

  • Azure NAT Gateway

    Pro maximální počet portů překladu zdrojových síťových adres (SNAT) microsoft doporučuje azure NAT Gateway pro odchozí připojení.

  • SKU Úrovně Standard – Azure Load Balancers

    To vyžaduje pravidlo vyrovnávání zatížení pro program SNAT, které nemusí být tak efektivní jako Azure NAT Gateway.

  • Omezené použití veřejných IP adres

    Přiřazení přímé veřejné IP adresy k virtuálnímu počítači by se mělo provádět jenom pro testovací nebo vývojová prostředí z důvodu škálovatelnosti a aspektů zabezpečení.

Krok 2: Kontrola doručování obsahu a služeb vyrovnávání zatížení

Azure má mnoho služeb doručování aplikací, které vám pomůžou odesílat a distribuovat provoz do webových aplikací. Někdy nová verze nebo úroveň služby vylepšuje prostředí a poskytuje nejnovější aktualizace. Pomocí nástroje pro migraci v rámci každé služby doručování aplikací můžete snadno přejít na nejnovější verzi služby a využívat nové a vylepšené funkce.

Vaše kontrola doručování obsahu a služeb vyrovnávání zatížení zahrnuje:

  • Migrace úrovně Azure Front Door z úrovně Classic na úrovně Premium nebo Standard
  • Migrace bran Aplikace Azure lication na WAF_v2
  • Migrace na SKU Úrovně Standard Azure Load Balancer

Tento diagram znázorňuje komponenty pro aktualizaci služeb pro doručování obsahu a vyrovnávání zatížení Azure.

Diagram znázorňující komponenty pro aktualizaci služeb pro doručování obsahu a vyrovnávání zatížení Azure

Azure Front Door

Azure Front Door má tři různé úrovně: Premium, Standard a Classic. Úrovně Standard a Premium kombinují funkce z úrovně Azure Front Door Classic, Azure Content Delivery Network a Firewall webových aplikací Azure (WAF) do jedné služby.

Microsoft doporučuje migrovat klasické profily služby Azure Front Door na úrovně Premium nebo Standard, aby si tyto nové funkce a aktualizace užily. Úroveň Premium se zaměřuje na vylepšené funkce zabezpečení, jako je privátní připojení k back-endovým službám, pravidla WAF spravované Microsoftem a ochrana robotů pro vaše webové aplikace.

Kromě vylepšených funkcí zahrnuje Azure Front Door Premium i sestavy zabezpečení integrované do služby bez dalších poplatků. Tyto sestavy vám pomůžou analyzovat pravidla zabezpečení WAF a zjistit, jaký druh útoků by mohly webové aplikace čelit. Sestava zabezpečení také umožňuje zkoumat metriky podle různých dimenzí, což vám pomůže pochopit, odkud provoz pochází, a rozpis hlavních událostí podle kritérií.

Úroveň Azure Front Door Premium poskytuje nej robustnější bezpečnostní opatření internetu mezi klienty a webovými aplikacemi.

Azure Application Gateway

Aplikace Azure lication Gateway mají dva typy skladových položek, v1 a v2 a verzi WAF, které je možné použít u obou skladových položek. Microsoft doporučuje migrovat bránu Aplikace Azure lication na skladovou položku WAF_v2, aby byla přínosná z upgradů výkonu a nových funkcí, jako jsou automatické škálování, vlastní pravidla WAF a podpora služby Azure Private Link.

Vlastní pravidla WAF umožňují zadat podmínky pro vyhodnocení všech požadavků procházející bránou Aplikace Azure lication. Tato pravidla mají vyšší prioritu než pravidla ve spravovaných sadách pravidel a dají se přizpůsobit tak, aby vyhovovala potřebám vaší aplikace a požadavků na zabezpečení. Vlastní pravidla WAF můžou také omezit přístup k webovým aplikacím podle zemí nebo oblastí tím, že odpovídají IP adrese s kódem země.

Další výhodou migrace na WAFv2 je, že se můžete připojit ke své bráně Aplikace Azure lication prostřednictvím služby Azure Private Link při přístupu z jiné virtuální sítě nebo jiného předplatného. Tato funkce umožňuje blokovat veřejný přístup ke službě Aplikace Azure lication Gateway a zároveň povolit přístup jenom uživatelům a zařízením prostřednictvím privátního koncového bodu. S připojením azure Private Link musíte schválit každé připojení privátního koncového bodu, které zajistí, že přístup má jenom správná entita. Další informace o rozdílech mezi skladovou jednotkou v1 a v2 najdete v tématu Aplikace Azure lication Gateway v2.

Azure Load Balancer

S plánovaným vyřazení skladové položky veřejné IP adresy Úrovně Basic v září 2025 je potřeba upgradovat služby, které používají IP adresy s veřejnou IP adresou úrovně Basic. Microsoft doporučuje migrovat vaše aktuální skladové položky Basic Azure Load Balancery do SKU Standard, aby bylo potřeba implementovat bezpečnostní opatření, která nejsou součástí skladové položky Basic.

Azure Load Balancer se skladovou jednotkou Standard ve výchozím nastavení zabezpečuje. Veškerý příchozí internetový provoz do veřejného nástroje pro vyrovnávání zatížení se zablokuje, pokud to nepovolí pravidla použité skupiny zabezpečení sítě. Toto výchozí chování zabraňuje náhodnému povolení internetového provozu do virtuálních počítačů nebo služeb, než budete připraveni, a zajistíte kontrolu nad provozem, který bude mít přístup k vašim prostředkům.

Azure Load Balancer úrovně Standard používá Azure Private Link k vytvoření připojení privátního koncového bodu, což je užitečné v případech, kdy chcete povolit privátní přístup k prostředkům za nástrojem pro vyrovnávání zatížení, ale chcete, aby k nim uživatelé měli přístup z jejich prostředí.

Krok 3: Kontrola služeb hybridního připojení

Kontrola služeb hybridního připojení zahrnuje použití nové generace skladových položek pro Azure VPN Gateway.

Tento diagram znázorňuje komponenty pro aktualizaci služeb hybridního připojení Azure v referenční architektuře.

Diagram znázorňující komponenty pro aktualizaci služeb hybridního připojení Azure

Nejúčinnější způsob, jak připojit hybridní sítě v Azure, je aktuálně s novými skladovými položkami pro azure VPN Gateway nové generace. I když můžete dál používat klasické brány VPN, jsou zastaralé a méně spolehlivé a efektivní. Klasické brány VPN podporují maximálně 10 tunelů IPsec (Internet Protocol Security), zatímco novější skladové položky služby Azure VPN Gateway můžou škálovat až na 100 tunelů.

Novější skladové položky pracují s novějším modelem ovladačů a zahrnují nejnovější aktualizace softwaru zabezpečení. Starší modely ovladačů byly založené na zastaralých technologiích Microsoftu, které nejsou vhodné pro moderní úlohy. Novější modely ovladačů nabízejí nejen vynikající výkon a hardware, ale také zajišťují vyšší odolnost. Sadu SKU az bran VPN je možné umístit do zón dostupnosti a podporovat aktivní-aktivní připojení s několika veřejnými IP adresami, což zvyšuje odolnost a nabízí vylepšené možnosti pro zotavení po havárii.

Pro potřeby dynamického směrování navíc klasické brány VPN nemohly spouštět protokol BGP (Border Gateway Protocol), používaly pouze protokol IKEv1 a nepodporují dynamické směrování. V souhrnu jsou klasické brány VPN skladové položky navržené pro menší úlohy, malou šířku pásma a statická připojení.

Klasické brány VPN mají také omezení zabezpečení a funkčnosti tunelů IPsec. Podporují pouze režim založený na zásadách s protokolem IKEv1 a omezenou sadou šifrovacích algoritmů a algoritmů hash, které jsou náchylnější k porušení zabezpečení. Microsoft doporučuje přejít na nové skladové položky, které nabízejí širší škálu možností pro protokoly Fáze 1 a Fáze 2. Klíčovou výhodou je, že brány VPN založené na směrování můžou používat hlavní režim IKEv1 i IKEv2 a poskytují větší flexibilitu implementace a robustnější šifrovací a hashovací algoritmy.

Pokud požadujete vyšší zabezpečení než výchozí hodnoty šifrování, brány VPN založené na trasách umožňují přizpůsobení parametrů fáze 1 a fáze 2 pro výběr konkrétních šifer a délek klíčů. Silnější skupiny šifrování zahrnují skupinu 14 (2048 bitů), skupinu 24 (2048bitovou skupinu MODP) nebo ECP (skupiny se třemi tečkami) 256 bitů nebo 384 bitů (skupina 19 a skupina 20). Kromě toho můžete určit, které rozsahy předpon mají povoleno odesílat šifrovaný provoz pomocí nastavení selektoru provozu k dalšímu zabezpečení vyjednávání tunelu před neoprávněným provozem.

Další informace najdete v tématu Kryptografie služby Azure VPN Gateway.

Skladové položky služby Azure VPN Gateway usnadňují připojení VPN typu Point-to-Site (P2S) k využití obou protokolů IPsec založených na standardu IKEv2 a protokolech VPN založených na protokolu SSL/TLS, jako je OpenVPN a Secure Socket Tunneling Protocol (SSTP). Tato podpora poskytuje uživatelům různé metody implementace a umožňuje jim připojit se k Azure pomocí různých operačních systémů zařízení. Skladové položky služby Azure VPN Gateway nabízejí také řadu možností ověřování klientů, včetně ověřování certifikátů, ověřování ID Microsoft Entra a ověřování Doména služby Active Directory Services (AD DS).

Poznámka:

Klasické brány IPSec budou vyřazeny 31. srpna 2024.

Další kroky

Další informace o použití nulová důvěra (Zero Trust) v sítích Azure najdete tady:

Reference

V těchto odkazech se dozvíte o různých službách a technologiích uvedených v tomto článku.