Použití principů nulová důvěra (Zero Trust) k získání přehledu o síťovém provozu

Tento článek obsahuje pokyny pro použití principů nulová důvěra (Zero Trust) pro segmentování sítí v prostředích Azure. Tady jsou principy nulová důvěra (Zero Trust).

princip nulová důvěra (Zero Trust) Definice
Explicitní ověření Vždy ověřovat a autorizovat na základě všech dostupných datových bodů.
Použití nejméně privilegovaného přístupu Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat.
Předpokládat porušení zabezpečení Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.

Tento princip je splněn pomocí analýz k získání přehledu o síťovém provozu ve vaší infrastruktuře Azure.

Tento článek je součástí série článků, které ukazují, jak aplikovat principy nulová důvěra (Zero Trust) na sítě Azure.

Typy síťového provozu popsané v tomto článku:

  • Centralizovaný
  • Provoz mezi virtuálními sítěmi Azure a vašimi službami Azure a místní sítí, což jsou přenosy provozu mezi vašimi virtuálními sítěmi Azure a vašimi službami Azure a místní sítí
  • Severní jih, což jsou toky provozu mezi prostředím Azure a internetem

Referenční architektura

Následující diagram znázorňuje referenční architekturu pro tuto nulová důvěra (Zero Trust) pokyny pro kontrolu provozu mezi místními sítěmi a virtuálními sítěmi Azure, mezi virtuálními sítěmi Azure a službami Azure a mezi vaším prostředím Azure a internetem.

Diagram znázorňující referenční architekturu a toky provozu východ-západ a sever-jih

Tato referenční architektura zahrnuje:

  • Úlohy Azure IaaS běžící na virtuálních počítačích Azure
  • Služby Azure.
  • Internetová hraniční virtuální síť, která obsahuje službu Azure DDoS Protection, bránu Azure Firewall a firewall webových aplikací Azure (WAF).
  • Šipky znázorňující toky provozu východ-západ a sever-jih

Co je v tomto článku?

nulová důvěra (Zero Trust) principy se použijí v referenční architektuře. Následující tabulka popisuje doporučení pro zajištění viditelnosti síťového provozu v této architektuře pro zásadu Předpokládat porušení zabezpečení nulová důvěra (Zero Trust).

Krok Úloha
0 Implementujte centralizovaný bod kontroly provozu.
2 Implementujte kontrolu provozu východ-západ.
3 Implementujte kontrolu provozu na sever-jih.

Krok 1: Implementace centralizovaného bodu kontroly provozu

Centralizovaná kontrola provozu vám umožňuje řídit a vizualizovat provoz, který prochází a z vaší sítě prochází. Hvězdicové virtuální sítě a Azure Virtual WAN jsou dvě nejběžnější síťové topologie v Azure. Mají různé možnosti a funkce v tom, jak propojují sítě. V obou návrzích je virtuální síť centra centrální sítí a slouží k rozdělení úloh do aplikací a úloh z virtuální sítě centra do paprskových virtuálních sítí. Centralizovaná kontrola zahrnuje provoz, který proudí sever-jih, východ-západ nebo obojí.

Hvězdicová topologie

Jednou z charakteristik hvězdicového modelu je, že všechny virtuální sítě jsou spravované vámi. Spravovaná virtuální síť centra zákazníka slouží jako sdílená virtuální síť, ke které se připojují další paprskové virtuální sítě. Tato centralizovaná virtuální síť se obvykle používá:

  • Vytvoření hybridního připojení k místním sítím
  • Pro kontrolu a segmentaci provozu pomocí služby Azure Firewall nebo síťových virtuálních zařízení třetích stran
  • Centralizace kontroly služby doručování aplikací, jako je Aplikace Azure lication Gateway s WAF.

V této topologii umístíte bránu Azure Firewall nebo síťové virtuální zařízení do virtuální sítě centra a nakonfigurujete trasy definované uživatelem tak, aby směrovaly provoz z paprskových virtuálních sítí a z místní sítě do virtuální sítě centra. Azure Firewall nebo síťové virtuální zařízení může také sloužit jako směrovací modul pro směrování provozu mezi paprskovými virtuálními sítěmi. Jednou z nejdůležitějších funkcí hvězdicového modelu spravovaného zákazníkem je podrobné řízení provozu pomocí tras definovaných uživatelem a možnost ruční úpravy směrování, segmentace a šíření těchto tras.

Azure Virtual WAN

Azure Virtual WAN je virtuální síť centra spravovaná v Azure, která obsahuje instance služby Route Service pod kapotou, která dohlíží na šíření tras ze všech větví a do všech větví a všech paprsků. Umožňuje efektivní připojení typu any-to-any.

Jedním z velkých rozdílů se spravovanou virtuální sítí (označovanou jako spravované virtuální centrum) je, že členitost řízení směrování je pro uživatele abstrahovaná. Mezi klíčové výhody patří:

  • Zjednodušená správa tras pomocí nativního připojení typu any-to-any. Pokud potřebujete izolaci provozu, můžete ručně nakonfigurovat vlastní směrovací tabulky nebo statické trasy v rámci výchozí směrovací tabulky.
  • V centru je možné nasadit jenom brány virtuální sítě, azure Firewall a schválené síťové virtuální zařízení nebo softwarově definovaná zařízení WAN (SD-WAN). Centralizované služby, jako jsou DNS a Application Gateway, musí být v běžných paprskových virtuálních sítích. Paprsky musí být připojené k virtuálním rozbočovačům pomocí partnerského vztahu virtuálních sítí.

Spravované virtuální sítě jsou nejvhodnější pro:

  • Rozsáhlá nasazení napříč oblastmi, které potřebují připojení k přenosu, poskytuje kontrolu provozu do libovolného umístění a z libovolného umístění.
  • Více než 30 poboček nebo více než 100 tunelů IPsec (Internet Protocol Security).

Mezi nejlepší funkce služby Virtual WAN patří infrastruktura směrování škálovatelnosti a propojení. Mezi příklady škálovatelnosti patří propustnost 50 Gb/s na rozbočovač a 1 000 poboček. K dalšímu škálování je možné propojit několik virtuálních rozbočovačů a vytvořit tak větší síť sítě Virtual WAN. Další výhodou služby Virtual WAN je možnost zjednodušit směrování kontroly provozu vložením předpon kliknutím na tlačítko.

Každý design má své vlastní výhody a nevýhody. Vhodná volba by měla být stanovena na základě očekávaných budoucích požadavků na růst a režijní náklady na správu.

Krok 2: Implementace kontroly provozu východ-západ

Toky provozu východ-západ zahrnují VNet-to-VNet a VNet-to-premises. Pokud chcete zkontrolovat provoz mezi východem a západem, můžete nasadit bránu Azure Firewall nebo síťové virtuální zařízení v centrální virtuální síti. To vyžaduje, aby trasy definované uživatelem směrovaly privátní provoz do služby Azure Firewall nebo síťového virtuálního zařízení pro kontrolu. Ve stejné virtuální síti můžete využít skupiny zabezpečení sítě pro řízení přístupu, ale pokud potřebujete hlubší kontrolu s kontrolou, můžete použít místní bránu firewall nebo centralizovanou bránu firewall ve virtuální síti centra s využitím trasy definované uživatelem.

Pomocí služby Azure Virtual WAN můžete mít bránu Azure Firewall nebo síťové virtuální zařízení uvnitř virtuálního centra pro centralizované směrování. Ke kontrole veškerého privátního provozu můžete využít Azure Firewall Manager nebo záměr směrování. Pokud chcete přizpůsobit kontrolu, můžete mít ve virtuálním centru bránu Azure Firewall nebo síťové virtuální zařízení, které kontroluje požadovaný provoz. Nejjednodušší způsob, jak směrovat provoz v prostředí Virtual WAN, je povolit směrovací záměr pro privátní provoz. Tato funkce odesílá předpony privátních adres (RFC 1918) do všech paprsků připojených k centru. Veškerý provoz směřující na privátní IP adresu se bude směrovat do virtuálního centra pro kontrolu.

Každá metoda má své vlastní výhody a nevýhody. Výhodou použití záměru směrování je zjednodušení správy trasy definované uživatelem, ale nemůžete přizpůsobit kontrolu podle připojení. Výhodou použití záměru směrování nebo Správce brány firewall je, že můžete přizpůsobit kontrolu. Nevýhodou je, že nemůžete provádět kontrolu provozu mezi oblastmi.

Následující diagram znázorňuje provoz mezi východem a západem v prostředí Azure.

Diagram znázorňující referenční architekturu s provozem východ-západ v prostředí Azure

Pokud chcete mít přehled o síťovém provozu v Rámci Azure, Microsoft doporučuje implementaci brány Azure Firewall nebo síťového virtuálního zařízení ve vaší virtuální síti. Azure Firewall může kontrolovat síťové vrstvy i provoz aplikační vrstvy. Kromě toho azure Firewall poskytuje další funkce, jako je detekce a prevence neoprávněných vniknutí (IDPS), kontrola protokolu TLS (Transport Layer Security), filtrování adres URL a filtrování webových kategorií.

Zahrnutí služby Azure Firewall nebo síťového virtuálního zařízení do sítě Azure je zásadní pro dodržování zásady Předpokládat porušení nulová důvěra (Zero Trust) sítě. Vzhledem k tomu, že porušení zabezpečení se může promítat při každém přenosu dat přes síť, je nezbytné pochopit a řídit, jaký provoz je povolený pro dosažení cíle. Azure Firewall, trasy definované uživatelem a skupiny zabezpečení sítě hrají zásadní roli při povolování modelu zabezpečeného provozu povolením nebo zamítnutím provozu napříč úlohami.

Pokud chcete zobrazit další podrobnosti o tocích provozu virtuální sítě, můžete povolit protokoly toku virtuální sítě nebo protokoly toku NSG. Data protokolu toku jsou uložená v účtu Azure Storage, kde k němu můžete přistupovat a exportovat je do vizualizačního nástroje, jako je Azure Traffic Analytics. Pomocí Analýzy provozu Azure můžete najít neznámý nebo nežádoucí provoz, monitorovat úroveň provozu a využití šířky pásma nebo filtrovat konkrétní provoz, abyste porozuměli chování vaší aplikace.

Krok 3: Implementace kontroly provozu na sever -jih

Provoz na sever obvykle zahrnuje provoz mezi privátními sítěmi a internetem. Pokud chcete zkontrolovat provoz v hvězdicové topologii na sever, můžete využít trasy definované uživatelem k směrování provozu do instance služby Azure Firewall nebo síťového virtuálního zařízení. Pro dynamické inzerování můžete použít Azure Route Server s síťovým virtuálním zařízením, který podporuje protokol BGP, aby směrovat veškerý provoz směřující na internet z virtuálních sítí do síťového virtuálního zařízení.

V Azure Virtual WAN můžete směrovat provoz z virtuálních sítí na sever do brány Azure Firewall nebo síťového virtuálního zařízení podporovaného ve virtuálním centru. Můžete použít tyto běžné scénáře:

  • Použijte síťové virtuální zařízení nebo bránu Azure Firewall ve virtuálním centru, které je řízeno záměrem směrování nebo pomocí Azure Firewall Manageru pro směrování provozu na sever a jih.
  • Pokud vaše síťové virtuální zařízení není v rámci virtuálního centra podporované, můžete ho nasadit do paprskové virtuální sítě a směrovat provoz pomocí trasy definované uživatelem pro kontrolu. Totéž platí pro Azure Firewall. Alternativně můžete také vytvořit partnerský vztah protokolu BGP síťového virtuálního zařízení v paprsku s virtuálním centrem a inzerovat výchozí trasu (0.0.0.0/0).

Následující diagram znázorňuje provoz mezi prostředím Azure a internetem na sever.

Diagram znázorňující referenční architekturu a provoz mezi prostředím Azure a internetem na sever

Azure poskytuje následující síťové služby navržené tak, aby nabízely přehled o síťovém provozu, který vstupuje do vašeho prostředí Azure a odchází z něj.

Ochrana Azure DDoS

Službu Azure DDoS Protection je možné povolit u jakékoli virtuální sítě, která má veřejné PROSTŘEDKY IP adres pro monitorování a zmírnění možných útoků DDoS (Distributed Denial of Service). Tento proces omezení rizik zahrnuje analýzu využití provozu proti předdefinovaným prahovým hodnotám v zásadách DDoS a následné protokolování těchto informací pro další prozkoumání. Aby bylo možné lépe připravit na budoucí incidenty, nabízí Služba Azure DDoS Protections možnost provádět simulace proti vašim veřejným IP adresám a službám a poskytuje cenné přehledy o odolnosti a reakci vaší aplikace během útoku DDoS.

Azure Firewall

Azure Firewall poskytuje kolekci nástrojů pro monitorování, auditování a analýzu síťového provozu.

  • Protokoly a metriky

    Azure Firewall shromažďuje podrobné protokoly integrací s pracovními prostory Azure Log Analytics. Dotazy dotazovací jazyk Kusto (KQL) můžete použít k extrahování dalších informací o hlavních kategoriích pravidel, jako jsou pravidla aplikací a sítí. Můžete také načíst protokoly specifické pro prostředky, které rozšiřují schémata a struktury z úrovně sítě až po protokoly analýzy hrozeb a IDPS. Další informace najdete v strukturovaných protokolech služby Azure Firewall.

  • Workbooks

    Azure Firewall poskytuje sešity, které prezentují data shromážděná pomocí grafů aktivity v průběhu času. Tento nástroj vám také pomůže vizualizovat více prostředků služby Azure Firewall tím, že je zkombinujete do sjednoceného rozhraní. Další informace najdete v tématu Použití sešitů brány Azure Firewall.

  • Analýza zásad

    Azure Firewall Policy Analytics poskytuje přehled zásad, které jste implementovali, a na základě přehledů zásad, analýzy pravidel a analýzy toku provozu, naladí a upraví implementované zásady tak, aby se přizpůsobily vzorům provozu a hrozbám. Další informace najdete v tématu Azure Firewall Policy Analytics.

Tyto funkce zajišťují, aby služba Azure Firewall zůstala robustním řešením pro zabezpečení síťového provozu tím, že správcům poskytuje nástroje potřebné k efektivní správě sítě.

Application Gateway

Application Gateway poskytuje důležité funkce pro monitorování, auditování a analýzu provozu za účelem zabezpečení. Povolením log analytics a použitím předdefinovaných nebo vlastních dotazů KQL můžete zobrazit kódy chyb HTTP, včetně těch v rozsahech 4xx a 5xx, které jsou důležité pro identifikaci problémů.

Protokoly přístupu služby Application Gateway také poskytují důležité přehledy o klíčových parametrech souvisejících se zabezpečením, jako jsou IP adresy klienta, identifikátory URI požadavků, verze HTTP a konfigurační hodnoty specifické pro protokoly, protokoly, šifrovací sady TLS a kdy je povolené šifrování SSL.

Azure Front Door

Azure Front Door využívá tcp anycast ke směrování provozu do nejbližšího bodu přítomnosti datacentra (PoP). Stejně jako u konvenčního nástroje pro vyrovnávání zatížení můžete umístit bránu Azure Firewall nebo síťové virtuální zařízení do back-endového fondu Služby Azure Front Door, označovaného také jako jeho původ. Jediným požadavkem je, aby IP adresa ve zdroji byla veřejná.

Jakmile službu Azure Front Door nakonfigurujete tak, aby přijímala požadavky, generuje sestavy provozu, které ukazují, jak se profil služby Azure Front Door chová. Při použití úrovně Azure Front Door Premium jsou k dispozici také sestavy zabezpečení, které zobrazují shody s pravidly WAF, včetně pravidel OWASP (Open Worldwide Application Security Project), pravidel ochrany robotů a vlastních pravidel.

Azure WAF

Azure WAF je další funkce zabezpečení, která kontroluje provoz vrstvy 7 a dá se aktivovat pro Službu Application Gateway i Azure Front Door s určitými úrovněmi. To poskytuje další vrstvu zabezpečení pro provoz, který nepocházejí z Azure. WAF můžete nakonfigurovat v režimu prevence i detekce pomocí definic základních pravidel OWASP.

Monitorovací nástroje

Pro komplexní monitorování toků provozu na sever můžete použít nástroje, jako jsou protokoly toků NSG, Azure Traffic Analytics a protokoly toku virtuální sítě, abyste zlepšili přehled o síti.

Další kroky

Další informace o použití nulová důvěra (Zero Trust) v sítích Azure najdete tady:

Reference

V těchto odkazech se dozvíte o různých službách a technologiích uvedených v tomto článku.