Applicare i principi Zero Trust a una rete virtuale hub in Azure
Riepilogo: per applicare principi Zero Trust a una rete virtuale hub in Azure, è necessario proteggere Firewall di Azure Premium, distribuire Protezione DDoS di Azure Standard, configurare il routing del gateway di rete al firewall e configurare la protezione dalle minacce.
Il modo migliore per distribuire una rete virtuale dell'hub basata su Azure per Zero Trust consiste nell'usare i materiali della zona di destinazione di Azure per distribuire una rete virtuale hub completa delle funzionalità e quindi adattarla alle specifiche aspettative di configurazione.
Questo articolo illustra come eseguire una rete virtuale hub esistente e assicurarsi di essere pronti per una metodologia Zero Trust. Si presuppone che sia stato usato il modulo ALZ-Bicep hubNetworking per distribuire rapidamente una rete virtuale hub o distribuire altre reti virtuali hub con risorse simili. L'uso di un hub di connettività separato connesso agli spoke di lavoro isolati è un modello di ancoraggio nella rete sicura di Azure e consente di supportare i principi Zero Trust.
Questo articolo descrive come distribuire una rete virtuale hub per Zero Trust eseguendo il mapping dei principi di Zero Trust nei modi seguenti.
Principio zero trust | Definizione | Met by |
---|---|---|
Verificare esplicita | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. | Usare Firewall di Azure con l'ispezione TLS (Transport Layer Security) per verificare i rischi e le minacce in base a tutti i dati disponibili. |
Usare l'accesso con privilegi minimi | Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. | Ogni rete virtuale spoke non ha accesso ad altre reti virtuali spoke, a meno che il traffico non venga instradato attraverso il firewall. Il firewall è impostato su Nega per impostazione predefinita, consentendo solo il traffico consentito dalle regole specificate. |
Presunzione di violazione | Ridurre al minimo il raggio di attacco e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. | In caso di compromissione o violazione di un'applicazione o di un carico di lavoro, la distribuzione è limitata a causa del Firewall di Azure l'esecuzione dell'ispezione del traffico e l'inoltro solo del traffico consentito. Solo le risorse nello stesso carico di lavoro verrebbero esposte alla violazione nella stessa applicazione. |
Questo articolo fa parte di una serie di articoli che illustrano come applicare i principi di Zero Trust in un ambiente in Azure. Questo articolo fornisce informazioni per la configurazione di una rete virtuale hub per supportare un carico di lavoro IaaS in una rete virtuale spoke. Per altre informazioni, vedere La panoramica sull'applicazione di principi Zero Trust ad Azure IaaS.
Il diagramma seguente illustra l'architettura di riferimento. La rete virtuale dell'hub è evidenziata in rosso. Per altre informazioni su questa architettura, vedere La panoramica sull'applicazione di principi Zero Trust ad Azure IaaS.
Per questa architettura di riferimento, è possibile distribuire le risorse nella sottoscrizione di Azure in molti modi. L'architettura di riferimento mostra la raccomandazione di isolare tutte le risorse per la rete virtuale dell'hub all'interno di un gruppo di risorse dedicato. Vengono visualizzate anche le risorse per la rete virtuale spoke per il confronto. Questo modello funziona bene se ai diversi team viene assegnata la responsabilità di queste diverse aree.
Nel diagramma una rete virtuale hub include componenti per supportare l'accesso ad altre app e servizi all'interno dell'ambiente Azure. Tali risorse includono:
- Firewall di Azure Premium
- Azure Bastion
- Gateway VPN
- Protezione DDOS, che deve essere distribuita anche nelle reti virtuali spoke.
La rete virtuale hub fornisce l'accesso da questi componenti a un'app basata su IaaS ospitata in macchine virtuali in una rete virtuale spoke.
Per indicazioni sull'organizzazione per l'adozione del cloud, vedere Gestire l'allineamento dell'organizzazione in Cloud Adoption Framework.
Le risorse distribuite per la rete virtuale dell'hub sono:
- Una rete virtuale di Azure
- Firewall di Azure con criteri di Firewall di Azure e un indirizzo IP pubblico
- Bastion
- Gateway VPN con un indirizzo IP pubblico e una tabella di route
Il diagramma seguente illustra i componenti di un gruppo di risorse per una rete virtuale hub in una sottoscrizione di Azure separata dalla sottoscrizione per la rete virtuale spoke. Questo è un modo per organizzare questi elementi all'interno della sottoscrizione. L'organizzazione potrebbe scegliere di organizzarli in modo diverso.
Nel diagramma:
- Le risorse per la rete virtuale hub sono contenute all'interno di un gruppo di risorse dedicato. Se si distribuisce Azure DDoS Pianificare una parte delle risorse, è necessario includerlo nel gruppo di risorse.
- Le risorse all'interno di una rete virtuale spoke sono contenute all'interno di un gruppo di risorse dedicato separato.
A seconda della distribuzione, è anche possibile notare che può essere presente una distribuzione di una matrice per le zone di DNS privato usate per la risoluzione DNS collegamento privato. Questi vengono usati per proteggere le risorse PaaS con endpoint privati, descritti in dettaglio in una sezione futura. Si noti che distribuisce sia un Gateway VPN che un gateway ExpressRoute. Potrebbe non essere necessario entrambi, quindi è possibile rimuovere qualsiasi elemento non sia necessario per lo scenario o disattivarlo durante la distribuzione.
Questo articolo fornisce consigli per proteggere i componenti di una rete virtuale hub per i principi Zero Trust. Nella tabella seguente vengono descritte le raccomandazioni per la protezione di questa architettura.
Passaggio | Attività | Principi zero trust applicati |
---|---|---|
1 | Proteggere Firewall di Azure Premium. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
2 | Distribuire Protezione DDoS di Azure Standard. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
3 | Configurare il routing del gateway di rete al firewall. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
4 | Configurare la protezione dalle minacce. | Presunzione di violazione |
Come parte della distribuzione, è necessario effettuare selezioni specifiche che non sono le impostazioni predefinite per le distribuzioni automatizzate a causa dei costi aggiuntivi. Prima della distribuzione, è necessario esaminare i costi.
Il funzionamento dell'hub di connettività distribuito fornisce comunque un valore significativo per l'isolamento e l'ispezione. Se l'organizzazione non è pronta a sostenere i costi di queste funzionalità avanzate, è possibile distribuire un hub di funzionalità ridotto e apportare queste modifiche in un secondo momento.
Firewall di Azure Premium svolge un ruolo fondamentale per proteggere l'infrastruttura di Azure per Zero Trust.
Come parte della distribuzione, usare Firewall di Azure Premium. Ciò richiede la distribuzione dei criteri di gestione generati come criterio Premium. La modifica a Firewall di Azure Premium comporta la ricreazione del firewall e spesso anche i criteri. Di conseguenza, iniziare con Firewall di Azure, se possibile, o essere preparati per le attività di ridistribuzione per sostituire il firewall esistente.
Firewall di Azure Premium offre funzionalità avanzate per l'ispezione del traffico. Le opzioni di ispezione TLS più significative sono le seguenti:
- L'ispezione TLS in uscita protegge da traffico dannoso inviato da un client interno a Internet. Ciò consente di identificare quando un client è stato violato e se sta tentando di inviare dati all'esterno della rete o stabilire una connessione a un computer remoto.
- L'ispezione TLS east-west protegge da traffico dannoso inviato da Azure ad altre parti di Azure o alle reti non Azure. Ciò consente di identificare i tentativi di violazione per espandere e diffondere il raggio dell'esplosione.
- L'ispezione TLS in ingresso protegge le risorse in Azure da richieste dannose che arrivano dall'esterno della rete di Azure. app Azure lication Gateway con Web Application Firewall fornisce questa protezione.
È consigliabile usare l'ispezione TLS in ingresso per le risorse, quando possibile. app Azure lication Gateway fornisce solo protezione per il traffico HTTP e HTTPS. Non può essere usato per alcuni scenari, ad esempio quelli che usano traffico SQL o RDP. Altri servizi hanno spesso opzioni di protezione dalle minacce personalizzate che possono essere usate per fornire controlli di verifica espliciti per tali servizi. È possibile esaminare le baseline di sicurezza per la panoramica di Azure per comprendere le opzioni di protezione dalle minacce per questi servizi.
app Azure gateway di comunicazione non è consigliato per la rete virtuale dell'hub. Deve invece risiedere in una rete virtuale spoke o in una rete virtuale dedicata. Per altre informazioni, vedere Applicare principi Zero Trust alla rete virtuale spoke in Azure per indicazioni sulla rete virtuale spoke o sulla rete zero-trust per le applicazioni Web.
Questi scenari hanno considerazioni specifiche sul certificato digitale. Per altre informazioni, vedere Certificati di Firewall di Azure Premium.
Senza ispezione TLS, Firewall di Azure non ha visibilità sui dati trasmessi nel tunnel TLS crittografato e quindi è meno sicuro.
Desktop virtuale Azure, ad esempio, non supporta la terminazione SSL. È necessario esaminare i carichi di lavoro specifici per comprendere come fornire l'ispezione TLS.
Oltre alle regole di autorizzazione/negazione definite dal cliente, il Firewall di Azure è ancora in grado di applicare il filtro basato sull'intelligence sulle minacce. Il filtro basato sull'intelligence sulle minacce usa indirizzi IP e domini noti non valido per identificare il traffico che rappresenta un rischio. Questo filtro si verifica prima di qualsiasi altra regola, ovvero anche se l'accesso è stato consentito dalle regole definite, Firewall di Azure può arrestare il traffico.
Firewall di Azure Premium offre anche opzioni avanzate per il filtro URL e il filtro delle categorie Web, consentendo un'ottimizzazione più approfondita dei ruoli.
È possibile impostare intelligence per le minacce per inviare una notifica con un avviso quando si verifica questo traffico, ma per consentirlo. Per Zero Trust, tuttavia, impostarlo su Nega.
Per configurare Firewall di Azure Premium in una configurazione Zero Trust, apportare le modifiche seguenti.
Abilitare Intelligence per le minacce in modalità avviso e negazione:
- Passare a Criteri firewall e selezionare Intelligence per le minacce.
- In modalità Intelligence per le minacce selezionare Avviso e negazione.
- Seleziona Salva.
Abilitare l'ispezione TLS:
- Preparare un certificato per archiviare un insieme di credenziali delle chiavi o pianificare la generazione automatica di un certificato con un'identità gestita. È possibile esaminare queste opzioni per Firewall di Azure certificati Premium per selezionare l'opzione per lo scenario in uso.
- Passare a Criteri firewall e selezionare Ispezione TLS.
- Selezionare Enabled.
- Selezionare un'identità gestita per generare i certificati oppure selezionare l'insieme di credenziali delle chiavi e il certificato.
- Quindi selezionare Salva.
Abilitare il sistema di rilevamento e prevenzione delle intrusioni (IDPS):
- Passare a Criteri firewall e selezionare IDPS.
- Selezionare Avviso e nega.
- Quindi seleziona Applica.
Sarà quindi necessario creare una regola dell'applicazione per il traffico.
- In Criteri firewall passare a Regole applicazione.
- Selezionare Aggiungi una raccolta regole.
- Creare una regola dell'applicazione con l'origine della subnet gateway applicazione e una destinazione del nome di dominio dell'app Web protetta.
- Assicurarsi di abilitare l'ispezione TLS.
Dopo aver configurato Firewall di Azure Premium, è ora possibile eseguire la configurazione seguente:
- Configurare gateway applicazione per instradare il traffico alle Firewall di Azure assegnando le tabelle di route appropriate e seguendo queste indicazioni.
- Creare avvisi per gli eventi e le metriche del firewall seguendo queste istruzioni.
- Distribuire la Firewall di Azure Workbook per visualizzare gli eventi.
- Configurare il filtro di categorie URL e Web, se necessario. Poiché Firewall di Azure nega per impostazione predefinita, questa configurazione è necessaria solo se il Firewall di Azure deve concedere l'accesso a Internet in uscita su larga scala. È possibile usarlo come verifica aggiuntiva per determinare se le connessioni devono essere consentite.
Come parte della distribuzione, è necessario distribuire un criterio standard di protezione DDoS di Azure. In questo modo viene aumentata la protezione Zero Trust fornita nella piattaforma Azure.
Poiché è possibile distribuire i criteri creati nelle risorse esistenti, è possibile aggiungere questa protezione dopo la distribuzione iniziale senza richiedere la ridistribuzione delle risorse.
Protezione DDoS di Azure Standard offre maggiori vantaggi rispetto alla protezione DDoS predefinita. Per Zero Trust, è possibile avere:
- Accesso a report di mitigazione, log di flusso e metriche.
- Criteri di mitigazione basati su applicazioni.
- Accesso al supporto rapido di risposta DDoS se si verifica un attacco DDoS.
Sebbene il rilevamento automatico e la mitigazione automatica siano entrambi parte di Protezione DDoS Basic abilitata per impostazione predefinita, queste funzionalità sono disponibili solo con DDoS Standard.
Poiché non esistono configurazioni specifiche di Zero Trust per Protezione DDoS Standard, è possibile seguire le guide specifiche delle risorse per questa soluzione:
- Creare un piano di protezione DDoS
- Configurare gli avvisi
- Configurare la registrazione diagnostica
- Configurare i dati di telemetria
Nella versione corrente di Protezione DDoS di Azure è necessario applicare protezione DDoS di Azure per ogni rete virtuale. Vedere istruzioni aggiuntive in Avvio rapido per DDoS.
Inoltre, proteggere gli indirizzi IP pubblici seguenti:
- Firewall di Azure indirizzi IP pubblici
- Indirizzi IP pubblici di Azure Bastion
- Indirizzi IP pubblici del gateway di rete di Azure
- gateway applicazione indirizzi IP pubblici
Dopo la distribuzione, sarà necessario configurare le tabelle di route in varie subnet per assicurarsi che il traffico tra reti virtuali spoke e le reti locali venga controllato dal Firewall di Azure. È possibile eseguire questa attività in un ambiente esistente senza un requisito di ridistribuzione, ma è necessario creare le regole del firewall necessarie per consentire l'accesso.
Se si configura un solo lato, solo le subnet spoke o le subnet del gateway, il routing asincrono impedisce il funzionamento delle connessioni.
Un elemento chiave di Zero Trust consiste nel non presupporre che solo perché un elemento si trova nell'ambiente in uso, che deve avere accesso ad altre risorse nell'ambiente. Una configurazione predefinita consente spesso il routing tra le risorse in Azure alle reti locali, controllate solo dai gruppi di sicurezza di rete.
Instradando il traffico al firewall, si aumenta il livello di ispezione e si aumenta la sicurezza dell'ambiente. Viene anche visualizzato un avviso per attività sospette e può intervenire.
Esistono due modi principali per assicurarsi che il traffico del gateway venga instradato al firewall di Azure:
- Distribuire il gateway di rete di Azure (per le connessioni VPN o ExpressRoute) in una rete virtuale dedicata (spesso denominata rete virtuale transita o gateway), eseguirne il peering alla rete virtuale dell'hub e quindi creare una regola di routing generale che copre il routing degli spazi di indirizzi di rete di Azure pianificati al firewall.
- Distribuire il gateway di rete di Azure nella rete virtuale dell'hub, configurare il routing nella subnet del gateway e quindi configurare il routing nelle subnet della rete virtuale spoke.
Questa guida descrive in dettaglio la seconda opzione perché è più compatibile con l'architettura di riferimento.
Nota
Azure Rete virtuale Manager è un servizio che semplifica questo processo. Quando questo servizio è disponibile a livello generale, viene usato per gestire il routing.
Per configurare la tabella di route subnet del gateway per inoltrare il traffico interno al Firewall di Azure, creare e configurare una nuova tabella di route:
Passare a Crea una tabella di route in Microsoft portale di Azure.
Inserire la tabella di route in un gruppo di risorse, selezionare un'area e specificare un nome.
Selezionare Rivedi e crea e quindi Crea.
Passare alla nuova tabella di route e selezionare Route.
Selezionare Aggiungi e quindi aggiungere una route a una delle reti virtuali spoke:
- In Nome route specificare il nome del campo di route.
- Selezionare Indirizzi IP nell'elenco a discesa Destinazione prefisso indirizzo.
- Specificare lo spazio indirizzi della rete virtuale spoke nel campo Indirizzi IP di destinazione/intervalli CIDR.
- Selezionare Appliance virtuale nella casella a discesa Tipo hop successivo.
- Specificare l'indirizzo IP privato del Firewall di Azure nel campo Indirizzo hop successivo.
- Selezionare Aggiungi.
- Passare a Subnet e selezionare Associa.
- Selezionare la rete virtuale hub nell'elenco a discesa Rete virtuale.
- Selezionare GatewaySubnet nell'elenco a discesa Subnet .
- Seleziona OK.
Ecco un esempio.
Il gateway inoltra ora il traffico destinato alle reti virtuali spoke alla Firewall di Azure.
Questo processo presuppone che sia già presente una tabella di route collegata alle subnet della rete virtuale spoke, con una route predefinita per inoltrare il traffico al Firewall di Azure. Questa operazione viene spesso eseguita da una regola che inoltra il traffico per l'intervallo CIDR 0.0.0.0/0, spesso chiamato route quad-zero.
Ecco un esempio.
Questo processo disabilita la propagazione delle route dal gateway, che consente alla route predefinita di eseguire il traffico destinato alle reti locali.
Nota
Le risorse, ad esempio gateway applicazione, che richiedono l'accesso a Internet per la funzione non devono ricevere questa tabella di route. Devono avere una propria tabella di route per consentire le funzioni necessarie, ad esempio quelle descritte nell'articolo Rete zero-trust per le applicazioni Web con Firewall di Azure e gateway applicazione.
Per configurare il routing subnet spoke:
- Passare alla tabella di route associata alla subnet e selezionare Configurazione.
- Per Propaga route del gateway, selezionare No.
- Seleziona Salva.
La route predefinita inoltra ora il traffico destinato al gateway al Firewall di Azure.
Microsoft Defender per il cloud può proteggere la rete virtuale dell'hub basata su Azure, proprio come altre risorse dall'ambiente aziendale IT in esecuzione in Azure o in locale.
Microsoft Defender per il cloud è un cloud security posture management (CSPM) e CWP (Cloud Workload Protection) che offre un sistema di punteggio sicuro per aiutare l'azienda a creare un ambiente IT con un comportamento di sicurezza migliore. Include anche funzionalità per proteggere l'ambiente di rete dalle minacce.
Questo articolo non illustra in dettaglio Microsoft Defender per il cloud. È tuttavia importante comprendere che Microsoft Defender per il cloud funziona in base a Criteri di Azure e ai log inseriti in un'area di lavoro Log Analytics.
I criteri di Azure vengono scritti in JavaScript Object Notation (JSON) per contenere analisi diverse delle proprietà delle risorse di Azure, inclusi i servizi di rete e le risorse. Detto questo, è facile per Microsoft Defender per il cloud controllare una proprietà in una risorsa di rete e fornire una raccomandazione alla sottoscrizione se si è protetti o esposti a una minaccia.
Come controllare tutte le raccomandazioni di rete disponibili tramite Microsoft Defender per il cloud
Per visualizzare tutti i criteri di Azure che forniscono raccomandazioni di rete usate da Microsoft Defender per il cloud:
Aprire Microsoft Defender per il cloud selezionando l'icona Microsoft Defender per il cloud nel menu a sinistra.
Selezionare Impostazioni ambiente.
Selezionare Criteri di sicurezza.
Se si seleziona il valore predefinito del Centro sicurezza di Azure, sarà possibile esaminare tutti i criteri disponibili, inclusi i criteri che valutano le risorse di rete.
Sono inoltre disponibili risorse di rete valutate da altre conformità alle normative, tra cui PCI, ISO e il benchmark della sicurezza cloud Microsoft. È possibile abilitarli e tenere traccia delle raccomandazioni di rete.
Seguire questa procedura per visualizzare alcune raccomandazioni di rete, in base al benchmark di sicurezza cloud Microsoft:
Aprire Microsoft Defender per il cloud.
Selezionare Conformità alle normative.
Selezionare Microsoft Cloud Security Benchmark.
Espandere NS. Sicurezza di rete per esaminare il controllo di rete consigliato.
È importante comprendere che Microsoft Defender per il cloud fornisce altre raccomandazioni di rete per diverse risorse di Azure, ad esempio macchine virtuali e archiviazione. È possibile esaminare tali raccomandazioni nel menu a sinistra, in Raccomandazioni.
Nel menu a sinistra del portale di Microsoft Defender per il cloud selezionare Avvisi di sicurezza per esaminare gli avvisi in base alle risorse di rete, in modo da evitare alcuni tipi di minacce. Questi avvisi vengono generati automaticamente da Microsoft Defender per il cloud in base ai log inseriti nell'area di lavoro Log Analytics e monitorati da Microsoft Defender per il cloud.
Mapping e protezione avanzata dell'ambiente di rete di Azure tramite Microsoft Defender per il cloud
È anche possibile controllare le opzioni per ottenere un comportamento di sicurezza migliore grazie alla protezione avanzata dell'ambiente di rete in modo semplice eseguendo il mapping dell'ambiente di rete per una migliore comprensione della topologia di rete. Queste raccomandazioni vengono eseguite tramite l'opzione Protezione del carico di lavoro nel menu a sinistra, come illustrato qui.
Firewall di Azure consigliato per una rete virtuale hub, come descritto in questo articolo. Microsoft Defender per il cloud può gestire più criteri di Firewall di Azure centralmente. Oltre ai criteri di Firewall di Azure, sarà possibile gestire altre funzionalità correlate alle Firewall di Azure, come illustrato di seguito.
Per altre informazioni su come Microsoft Defender per il cloud protegge l'ambiente di rete dalle minacce, vedere Che cos'è Microsoft Defender per il cloud?
Queste illustrazioni sono repliche delle illustrazioni di riferimento contenute in questi articoli. Scaricare e personalizzare questi elementi per l'organizzazione e i clienti. Sostituire il logo contoso con il proprio.
Articolo | Descrizione |
---|---|
Scaricare Visio Aggiornamento di ottobre 2024 |
Applicare i principi Zero Trust ad Azure IaaS Usare queste illustrazioni con questi articoli: - Sintesi - Archiviazione di Azure - Macchine virtuali - Reti virtuali spoke di Azure - Reti virtuali dell'hub di Azure |
Scaricare Visio Aggiornamento di ottobre 2024 |
Applicare i principi Zero Trust ad Azure IaaS - Poster di una pagina Panoramica di una pagina del processo per l'applicazione dei principi di Zero Trust agli ambienti IaaS di Azure. |
Per altre illustrazioni tecniche, vedere Illustrazioni Zero Trust per architetti IT e implementatori.
- Configurare Criteri di Azure
- Progettare e implementare la sicurezza di rete
- Configurare Firewall di Azure
- Configurare Gateway VPN
- Introduzione alla protezione DDoS di Azure
- Risolvere le minacce alla sicurezza con Microsoft Defender per il cloud
Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
Sicurezza in Azure | Microsoft Learn
Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure:
- Panoramica di Azure IaaS
- Desktop virtuale Azure
- Rete WAN virtuale di Azure
- Applicazioni IaaS in Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.