Anwenden von Zero Trust-Prinzipien, um ältere Netzwerksicherheitstechnologie einzustellen
Dieser Artikel enthält Anleitungen zum Anwenden der Zero Trust-Prinzipien für die Einstellung von Legacy-Netzwerksicherheitstechnologie in Azure-Umgebungen. Im Folgenden sind die Zero Trust-Prinzipien aufgeführt.
| Zero Trust-Prinzip | Definition |
|---|---|
| Explizit verifizieren | Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. |
| Von einer Sicherheitsverletzung ausgehen | Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern. Verbessern Sie die Abwehrmaßnahmen für Ihre Azure-Umgebung, indem Sie Ihre älteren Netzwerkdienste für höhere Sicherheitsstufen entfernen oder aktualisieren. |
Dieser Artikel ist Teil einer Reihe von Artikeln, die veranschaulichen, wie die Zero Trust-Prinzipien auf Azure-Netzwerke angewendet werden.
Die Azure-Netzwerkbereiche, die überprüft werden sollen, um die Verwendung von älteren Netzwerksicherheitstechnologien einzustellen, sind:
- Netzwerk-Foundation-Dienste
- Lastenausgleich und Inhaltsübermittlungsdienste
- Hybridkonnektivitätsdienste
Der Übergang von der Verwendung von älteren Netzwerksicherheitstechnologien kann verhindern, dass ein Angreifer auf Umgebungen zugreift oder sich über sie bewegt, um weit verbreitete Schäden zu verursachen (das Prinzip Sicherheitsverletzung annehmen Zero-Trust-Prinzip).
Referenzarchitektur
Das folgende Diagramm zeigt die Referenzarchitektur für diese Zero Trust-Anleitung für das Beenden der älteren Netzwerksicherheitstechnologie für Komponenten in Ihrer Azure-Umgebung.
Diese Referenzarchitektur umfasst:
- Azure IaaS-Workloads, die auf Azure-VMs ausgeführt werden.
- Azure-Dienste:
- Ein virtuelles Sicherheitsnetzwerk (VNet), das ein Azure VPN-Gateway und ein Azure-Anwendungsgateway enthält.
- Ein Internet-Edge-VNet, das einen Azure Load Balancer enthält.
- Azure Front Door am Rand der Azure-Umgebung.
Was ist in diesem Artikel enthalten?
Zero Trust-Prinzipien werden in der gesamten Referenzarchitektur angewendet, von Benutzern und Administratoren im Internet oder im lokalen Netzwerk bis zur Azure-Cloud und innerhalb der Cloud. In der folgenden Tabelle sind die wichtigsten Aufgaben für die Einstellung der älteren Netzwerksicherheitstechnologie in dieser Architektur für das Sicherheitsverletzung annehmen Zero Trust-Prinzip aufgeführt.
| Schritt | Task |
|---|---|
| 1 | Überprüfen Sie Ihre Netzwerk-Foundation-Dienste. |
| 2 | Überprüfen Sie ihre Dienste für die Inhaltsübermittlung und den Lastenausgleich. |
| 3 | Überprüfen Sie Ihre Hybridkonnektivitätsdienste. |
Schritt 1: Überprüfen Ihrer Netzwerk-Foundation-Dienste
Ihre Überprüfung der Netzwerk-Foundation-Dienste umfasst:
- Wechseln von der öffentlichen IP-SKU „Basic“ zur öffentlichen IP-SKU „Standard“.
- Sicherstellen, dass IP-Adressen des virtuellen Computers expliziten ausgehenden Zugriff verwenden.
Dieses Diagramm zeigt die Komponenten zum Aktualisieren von Azure Netzwerk Foundation-Diensten in der Referenzarchitektur.
Öffentliche IP-SKU „Basic“
IP-Adressen (öffentlich und privat) sind Teil von IP-Diensten in Azure, die die Kommunikation zwischen privaten und öffentlichen Ressourcen ermöglichen. Öffentliche IPs sind mit Diensten wie VNet-Gateways, Anwendungsgateways und anderen verknüpft, die ausgehende Verbindungen mit dem Internet benötigen. Private IPs ermöglichen die interne Kommunikation zwischen Azure-Ressourcen.
DIe öffentliche IP-SKU „Basic“ wird heute als Vorgänger betrachtet und hat mehr Einschränkungen als die öffentliche IP-SKU „Public“. Eine der wichtigsten Einschränkungen für Zero Trust für die öffentliche IP-SKU „Basic“ besteht darin, dass die Verwendung von Netzwerksicherheitsgruppen nicht erforderlich ist, aber empfohlen wird, während sie mit der öffentlichen IP-SKU „Standard“ obligatorisch ist.
Ein weiteres wichtiges Feature für die öffentliche IP SKU „Standard“ ist die Möglichkeit, eine Routingeinstellung auszuwählen, z. B. das Routing über das globale Microsoft-Netzwerk. Dieses Feature sichert den Datenverkehr innerhalb des Microsoft-Backbone-Netzwerks, wenn möglich, und ausgehender Datenverkehr wird so nah am Dienst oder Endbenutzer wie möglich beendet.
Weitere Informationen finden Sie unter Azure Virtual Network IP Dienste.
Hinweis
Die öffentliche IP-SKU „Basic“ wird im September 2025eingestellt.
Standardzugriff in ausgehender Richtung
Standardmäßig bietet Azure ausgehenden Zugriff auf das Internet. Die Konnektivität von den Ressourcen wird standardmäßig mit den Systemrouten und standardmäßigen ausgehenden Regeln für die Netzwerksicherheitsgruppen gewährt. Anders ausgedrückt: Wenn keine explizite ausgehende Konnektivitätsmethode konfiguriert ist, konfiguriert Azure eine standardmäßige IP-Adresse für ausgehenden Zugriff. Ohne expliziten ausgehenden Zugriff entstehen jedoch bestimmte Sicherheitsrisiken.
Microsoft empfiehlt, keine IP-Adresse eines virtuellen Computers für Internetdatenverkehr offen zu lassen. Es gibt keine Kontrolle über den standardmäßigen ausgehenden IP-Zugriff und IP-Adressen sowie ihre Abhängigkeiten können sich ändern. Für virtuelle Computer, die mit mehreren Netzwerkschnittstellenkarten (NETWORK Interface Cards, NICs) ausgestattet sind, wird nicht empfohlen, alle NIC-IP-Adressen über ausgehenden Internetzugriff zuzulassen. Stattdessen sollten Sie den Zugriff nur auf die erforderlichen NICs beschränken.
Microsoft empfiehlt, den expliziten ausgehenden Zugriff mit einer der folgenden Optionen einzurichten:
-
Für die maximalen SNAT-Ports (Source Network Address Translation) empfiehlt Microsoft Azure NAT Gateway für ausgehende Verbindungen.
Standard SKU Azure Load Balancers
Dies erfordert eine Lastenausgleichsregel zum Programmieren von SNAT, was möglicherweise nicht so effizient wie ein Azure NAT-Gateway ist.
Eingeschränkte Verwendung öffentlicher IP-Adressen
Das Zuweisen einer direkten öffentlichen IP-Adresse zu einem virtuellen Computer sollte aufgrund von Skalierbarkeits- und Sicherheitsaspekten nur für Tests oder Entwicklungsumgebungen erfolgen.
Schritt 2: Überprüfen der Inhaltsübermittlung und Lastenausgleichsdienste
Azure verfügt über viele Dienste für die Anwendungsübermittlung, die Ihnen beim Senden und Verteilen von Datenverkehr an Ihre Webanwendungen helfen. Manchmal verbessert eine neue Version oder Ebene des Diensts die Erfahrung und stellt die neuesten Updates bereit. Sie können das Migrationstool in jedem der Anwendungsbereitstellungsdienste verwenden, um einfach auf die neueste Version des Diensts zu wechseln und von neuen und erweiterten Features zu profitieren.
Ihre Überprüfung der Inhaltsbereitstellung und Lastenausgleichsdienste umfasst:
- Migrieren Ihrer Azure Front Door-Stufe von der klassischen Stufe zu den Premium- oder Standard-Stufen.
- Migrieren Ihrer Azure-Anwendungsgateways zu WAF_v2.
- Migrieren zu Standard-SKU Azure Load Balancer.
Dieses Diagramm zeigt die Komponenten zum Aktualisieren der Azure-Inhaltsübermittlung und Lastenausgleichsdienste.
Azure Front Door
Azure Front Door verfügt über drei verschiedene Stufen: Premium, Standard und Classic. Standard- und Premium-Ebenen kombinieren Features aus der klassischen Azure Front Door-Ebene, dem Azure Content Delivery Network und der Azure Web Application Firewall (WAF) in einem Dienst.
Microsoft empfiehlt, Ihre klassischen Azure Front Door-Profile auf die Premium- oder Standardebenen zu migrieren, um diese neuen Features und Updates zu nutzen. Die Premium-Stufe konzentriert sich auf verbesserte Sicherheitsfeatures wie private Konnektivität zu Ihren Back-End-Diensten, von Microsoft verwalteten WAF-Regeln und Bot-Schutz für Ihre Webanwendungen.
Zusätzlich zu den verbesserten Features enthält Azure Front Door Premium Sicherheitsberichte, die ohne zusätzliche Kosten in den Dienst integriert sind. Diese Berichte helfen Ihnen, die WAF-Sicherheitsregeln zu analysieren und zu sehen, welche Art von Angriffen Ihre Webanwendungen haben könnten. Im Sicherheitsbericht können Sie auch Metriken anhand verschiedener Dimensionen untersuchen, die Ihnen helfen, zu verstehen, woher Der Datenverkehr kommt, und eine Aufschlüsselung der wichtigsten Ereignisse nach Kriterien.
Die Azure Front Door Premium-Stufe bietet die robustesten Sicherheitsmaßnahmen für das Internet zwischen Clients und Webanwendungen.
Azure Application Gateway
Azure-Anwendungsgateways verfügen über zwei SKU-Typen, v1 und v2, und eine WAF-Version, die auf eine der beiden SKU angewendet werden kann. Microsoft empfiehlt, Ihr Azure-Anwendungsgateway zur WAF_v2-SKU zu migrieren, um von Leistungsupgrades und neuen Features wie automatische Skalierung, benutzerdefinierte WAF-Regeln und Unterstützung für Azure Private Link zu profitieren.
Mit benutzerdefinierten WAF-Regeln können Sie Bedingungen angeben, um jede Anforderung auszuwerten, die über das Azure-Anwendungsgateway erfolgt. Diese Regeln haben eine höhere Priorität als die Regeln in den verwalteten Regelsätzen und können entsprechend den Anforderungen Ihrer Anwendung und Sicherheitsanforderungen angepasst werden. Die benutzerdefinierten WAF-Regeln können auch den Zugriff auf Ihre Webanwendungen nach Land oder Regionen einschränken, indem eine IP-Adresse mit einem Ländercode übereinstimmen.
Der andere Vorteil der Migration zu WAFv2 besteht darin, dass Sie eine Verbindung mit Ihrem Azure-Anwendungsgateway über den Azure Private Link-Dienst herstellen können, wenn Sie von einem anderen VNet oder einem anderen Abonnement aus zugreifen. Mit diesem Feature können Sie den öffentlichen Zugriff auf das Azure-Anwendungsgateway blockieren und gleichzeitig nur Benutzern und Geräten den Zugriff über einen privaten Endpunkt ermöglichen. Mit der Azure Private Link-Konnektivität müssen Sie jede private Endpunktverbindung genehmigen, wodurch sichergestellt wird, dass nur die richtige Entität darauf zugreifen kann. Weitere Informationen zu den Unterschieden zwischen v1 und v2 SKU finden Sie unter Azure Application Gateway v2.
Azure Load Balancer
Mit der geplanten Einstellung der öffentlichen IP-SKU „Basic“ im September 2025 müssen Sie Dienste aktualisieren, die die IP-Adressen für einfache öffentliche IP-Adressen verwenden. Microsoft empfiehlt, Ihre aktuelle „Basic“ SKU Azure Load Balancer zu „Standard“ SKU Azure Load Balancers zu migrieren, um Sicherheitsmaßnahmen zu implementieren, die nicht in der „Basic“-SKU enthalten sind.
Mit dem“ Standard“ SKU-Azure-Lastenausgleichsmodul sind Sie garantiert sicher. Der gesamte eingehende Internetdatenverkehr zum öffentlichen Lastenausgleich wird blockiert, es sei denn, die Regeln der angewendeten Netzwerksicherheitsgruppe sind zulässig. Dieses Standardverhalten verhindert, dass versehentlich Internetdatenverkehr zu Ihren virtuellen Computern oder Diensten zugelassen wird, bevor Sie bereit sind, und stellt sicher, dass Sie den Datenverkehr steuern, der auf Ihre Ressourcen zugreifen kann.
„Standard“-SKU Azure Load Balancer verwendet Azure Private Link, um private Endpunktverbindungen zu erstellen, was in Fällen hilfreich ist, in denen Sie privaten Zugriff auf Ihre Ressourcen hinter einem Lastenausgleich zulassen möchten, aber Sie möchten, dass Benutzer von ihrer Umgebung aus darauf zugreifen.
Schritt 3: Überprüfen der Hybridkonnektivitätsdienste
Die Überprüfung Ihrer Hybridkonnektivitätsdienste umfasst die Verwendung der neuen Generation von SKUs für Azure VPN-Gateway.
Dieses Diagramm zeigt die Komponenten zum Aktualisieren von Azure-Hybridkonnektivitätsdiensten in der Referenzarchitektur.
Die effektivste Methode zum Verbinden von Hybridnetzwerken in Azure ist derzeit mit den SKUs der neuen Generation für Azure VPN Gateway. Während Sie weiterhin klassische VPN-Gateways verwenden können, sind diese veraltet und weniger zuverlässig und effizient. Klassische VPN-Gateways unterstützen maximal 10 IPsec-Tunnel (Internet Protocol Security), während die neueren Azure VPN-Gateway-SKUs bis zu 100 Tunnel skalieren können.
Die neueren SKUs arbeiten mit einem neueren Treibermodell und integrieren die neuesten Sicherheitsupdates. Die älteren Treibermodelle basieren auf veralteten Microsoft-Technologien, die nicht für moderne Workloads geeignet sind. Die neueren Treibermodelle bieten nicht nur eine überlegene Leistung und Hardware, sondern bieten auch eine höhere Resilienz. Die AZ-Gruppe von SKUs von VPN-Gateways kann in Verfügbarkeitszonen positioniert werden und aktive Verbindungen mit mehreren öffentlichen IP-Adressen unterstützen, was die Resilienz verbessert und verbesserte Optionen für die Notfallwiederherstellung bietet.
Für dynamische Routinganforderungen konnten klassische VPN-Gateways nicht das Border Gateway Protocol (BGP) ausführen, nur IKEv1 verwendet und das dynamische Routing nicht unterstützt. Zusammenfassend sind klassische SKU-VPN-Gateways für kleinere Workloads, niedrige Bandbreite und statische Verbindungen ausgelegt.
Klassische VPN-Gateways haben auch Einschränkungen bei der Sicherheit und Funktionalität ihrer IPsec-Tunnel. Sie unterstützen nur den richtlinienbasierten Modus mit dem IKEv1-Protokoll und einer begrenzten Gruppe von Verschlüsselungs- und Hashingalgorithmen, die anfälliger für Verstöße sind. Microsoft empfiehlt, auf die neuen SKUs umzusteigen, die eine breitere Palette von Optionen für Die Protokolle Phase 1 und Phase 2 bieten. Ein wichtiger Vorteil ist, dass routingbasierte VPN-Gateways sowohl den Hauptmodus IKEv1 als auch den IKEv2-Hauptmodus verwenden können, was eine höhere Flexibilität bei der Implementierung und eine robustere Verschlüsselung und Hashingalgorithmen bietet.
Wenn Sie eine höhere Sicherheit als die Standardverschlüsselungswerte benötigen, ermöglichen routingbasierte VPN-Gateways die Anpassung der Parameter Phase 1 und Phase 2, um bestimmte Verschlüsselungen und Schlüssellängen auszuwählen. Stärkere Verschlüsselungsgruppen umfassen Gruppen 14 (2048-Bit), Gruppe 24 (2048-Bit-MODP-Gruppe) oder ECP (elliptische Kurvengruppen) 256 Bit oder 384 Bit (Gruppe 19 bzw. Gruppe 20). Darüber hinaus können Sie angeben, welche Präfixbereiche verschlüsselten Datenverkehr über die Einstellung "Datenverkehrauswahl" senden dürfen, um die Tunnelverhandlung vor unbefugtem Datenverkehr weiter zu schützen.
Weitere Informationen finden Sie unter Azure VPN Gateway Cryptography.
Azure VPN-Gateway-SKUs erleichtern Point-to-Site(P2S)-VPN-Verbindungen, um sowohl IPsec-Protokolle basierend auf dem IKEv2-Standard als auch VPN-Protokoll basierend auf SSL/TLS zu nutzen, z. B. OpenVPN und Secure Socket Tunneling Protocol (SSTP). Diese Unterstützung bietet Benutzern verschiedene Implementierungsmethoden und ermöglicht es ihnen, mithilfe verschiedener Gerätebetriebssysteme eine Verbindung mit Azure herzustellen. Azure VPN-Gateway-SKUs bieten auch viele Clientauthentifizierungsoptionen, einschließlich Zertifikatauthentifizierung, Microsoft Entra ID-Authentifizierung und Active Directory Domain Services (AD DS)-Authentifizierung.
Hinweis
Klassische IPSec-Gateways werden am 31. August 2024eingestellt.
Empfohlene Schulung
- Konfigurieren und Verwalten von virtuellen Netzwerken für Azure-Administratoren
- Sichern und Isolieren des Zugriffs auf Azure-Ressourcen mithilfe von Netzwerksicherheitsgruppen und Dienstendpunkten
- Einführung in Azure Front Door
- Einführung in Azure Application Gateway
- Einführung zu Azure Web Application Firewall
- Einführung in Azure Private Link
- Verbinden Ihres lokalen Netzwerks mit Azure über VPN Gateway
Nächste Schritte
Mehr Informationen zum Anwenden von Zero Trust auf Azure-Netzwerke finden Sie unter:
- Verschlüsseln der Azure-basierten Netzwerkkommunikation
- Segmentieren der Azure-basierten Netzwerkkommunikation
- Gewinnen von Einblicken in Ihren Netzwerkdatenverkehr
- Schützen von Netzwerken mit Zero Trust
- Virtuelle Spoke-Netzwerke in Azure
- Virtuelle Hubnetzwerke in Azure
- Spoke virtuelle Netzwerke mit Azure PaaS-Diensten
- Azure Virtual WAN
References
Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.