Рекомендации Azure по обеспечению безопасности сети

В этой статье рассматривается набор рекомендаций по обеспечению безопасности сети Azure. Эти рекомендации основываются на нашем опыте работы с сетью Azure и отзывах клиентов.

По каждой рекомендации объясняется следующее.

  • суть рекомендации;
  • почему необходимо применять эту рекомендацию;
  • что может случиться, если не применить эту рекомендацию;
  • возможные альтернативы рекомендации;
  • как научиться применять эту рекомендацию.

Эти рекомендации основаны на общепринятом мнении по рассматриваемому вопросу, а также на возможностях и компонентах платформы Azure, доступных на момент написания статьи. Мнения и технологии меняются со временем, и эта статья будет регулярно обновляться, чтобы отразить эти изменения.

Использование надежных элементов управления сетью

Виртуальные машины Azure и устройства можно подключать к другим сетевым устройствам, размещая их в виртуальных сетях Azure. То есть вы можете подключать виртуальные сетевые карты к виртуальной сети для взаимодействия сетевых устройств по протоколу TCP/IP. Виртуальные машины, подключенные к виртуальной сети Azure, могут подключаться к устройствам в одной виртуальной сети, в разных виртуальных сетях, в Интернете или даже в локальных сетях.

При планировании сети и ее безопасности рекомендуется централизовать следующие процессы:

  • управление основными сетевыми функциями, такими как ExpressRoute, виртуальная сеть, подготовка подсетей и IP-адресация;
  • управление элементами безопасности сети, такими как функции сетевых виртуальных устройств, включая ExpressRoute, виртуальную сеть, подготовку подсетей и IP-адресацию.

Если для мониторинга сети и ее безопасности используется общий набор средств управления, вы получаете четкое представление об этих аспектах. Простая, унифицированная стратегия безопасности сокращает количество ошибок, так как повышает осведомленность и надежность автоматизации.

логическое сегментирование подсетей;

Виртуальные сети Azure похожи на локальную сеть. Виртуальная сеть Azure представляет собой сеть на основе пространства частных IP-адресов, в которой можно разместить все виртуальные машины Azure. Доступны пространства частных IP-адресов в диапазонах класса A (10.0.0.0/8), класса B (172.16.0.0/12) и класса C (192.168.0.0/16).

Далее приведены рекомендации по логическому сегментированию подсетей.

Рекомендация. Не назначать правила с широкими диапазонами (например, разрешить 0.0.0.0 до 255.255.255.255.255).
Подробные сведения. Убедитесь, что процедуры устранения неполадок запрещают или запрещают настройку этих типов правил. Подобные правила дают ложное чувство безопасности и часто обнаруживаются и используются "красными командами".

Рекомендация: разделите большое адресное пространство на подсети.
Сведения: для создания подсетей используйте метод CIDR.

Рекомендация: создайте элементы управления доступом к сети между подсетями. Маршрутизация между подсетями осуществляется автоматически, а таблицы маршрутизации не нужно настраивать вручную. По умолчанию между подсетями, создаваемыми в виртуальной сети Azure, нет элементов управления доступом к сети.
Сведения. Используйте группу безопасности сети для защиты от незапрошенного трафика в подсети Azure. Группы безопасности сети (NSG) — это простые устройства проверки пакетов с отслеживанием состояния. Группы безопасности сети используют 5-кортежный подход (исходный IP-адрес, исходный порт, конечный IP-адрес, порт назначения и протокол) для создания правил разрешения и запрета сетевого трафика. Можно разрешить или запретить перемещение исходящего и входящего трафика по одному или нескольким IP-адресам или даже между подсетями.

При использовании групп безопасности сети для управления доступом к сети между подсетями ресурсы, которые относятся к одной зоне или роли безопасности, можно помещать в соответствующие подсети.

Рекомендуется избегать небольших виртуальных сетей и подсетей, чтобы обеспечить простоту и гибкость. Подробные сведения. Большинство организаций добавляют больше ресурсов, чем первоначально планировалось, и перераспределение адресов является трудоемким. Использование небольших подсетей ненамного повышает безопасность, а сопоставление групп безопасности сети с каждой подсетью влечет дополнительные накладные расходы. Определите подсети так, чтобы обеспечить гибкие возможности роста.

Рекомендация. Упрощение управления правилами группы безопасности сети путем определения групп безопасности приложений.
Подробные сведения. Определите группу безопасности приложений для списков IP-адресов, которые вы считаете, может измениться в будущем или использовать во многих группах безопасности сети. Обязательно присвойте группам безопасности приложений понятные имена, чтобы другим пользователям было ясно их содержимое и назначение.

Внедрение подхода "Никому не доверяй"

Сети на основе периметра работают исходя из предположения, что всем системам в сети можно доверять. Но сегодняшние сотрудники получают доступ к ресурсам своей организации из любого места на различных устройствах и приложениях, что делает элементы управления безопасностью периметра неуместными. Политики управления доступом, которые сосредоточены только на том, кто может получить доступ к ресурсу, недостаточно. Чтобы управлять балансом между безопасностью и производительностью, администраторам безопасности также нужно учитывать способ доступа к ресурсам.

Традиционные средства защиты сетей должны эволюционировать, так как сети могут стать уязвимыми к нарушениям: злоумышленник может получить доступ к одной конечной точке в пределах доверенной границы, а затем быстро укрепиться во всей сети. В сетях, построенных по принципу Никому не доверяй, исключается понятие доверия на основе сетевого расположения в пределах периметра. Вместо этого в архитектурах с нулевым доверием используются утверждения о доверии устройств и пользователей для ограничения доступа к данным и ресурсам организации. В новых проектах рекомендуется использовать подход "Никому не доверяй", предполагающий проверку доверия в момент доступа.

Ниже описываются рекомендации.

Рекомендация. Предоставление условного доступа к ресурсам на основе устройств, удостоверений, гарантий, сетевого расположения и т. д.
Подробные сведения. Условный доступ Microsoft Entra позволяет применять правильные элементы управления доступом, реализуя автоматизированные решения по управлению доступом на основе необходимых условий. Дополнительные сведения см. в статье Управление доступом к функциям управления Azure с помощью условного доступа.

Рекомендация. Включение доступа к порту только после утверждения рабочего процесса.
Сведения. Вы можете использовать JIT-доступ к виртуальной машине в Microsoft Defender для облака, чтобы блокировать входящий трафик к виртуальным машинам Azure, снизить уязвимость к атакам и обеспечить удобный доступ к виртуальным машинам, когда это необходимо.

Рекомендуется предоставить временные разрешения для выполнения привилегированных задач, что предотвращает получение доступа злоумышленниками или несанкционированными пользователями после истечения срока действия разрешений. Доступ предоставляется только в том случае, если он необходим пользователю.
Сведения. Используйте JIT-доступ в Microsoft Entra управление привилегированными пользователями или в стороннем решении для предоставления разрешений на выполнение привилегированных задач.

"Никому не доверяй" — это эволюционный шаг в развитии сетевой безопасности. Современная ситуация в сфере кибербезопасности заставляет организации использовать принцип допущения нарушения, однако такой подход не должен ограничивать возможности. Сети на основе принципа "Никому не доверяй" защищают корпоративные данные и ресурсы, в то же время позволяя организациям создавать современную рабочую среду с помощью технологий, которые дают сотрудникам возможность эффективно работать в любое время и в любом месте.

управление поведением маршрутизации;

Виртуальная машина, размещенная в виртуальной сети Azure, может подключаться к любой другой виртуальной машине в той же виртуальной сети, даже если другие виртуальные машины находятся в разных подсетях. Такой тип связи возможен, так как существует набор системных маршрутов, включенных по умолчанию. Благодаря этим маршрутам по умолчанию виртуальные машины в одной виртуальной сети могут подключаться друг к другу и к Интернету (исходящая связь поддерживается только через Интернет).

Хотя системные маршруты по умолчанию и используются в различных сценариях развертывания, в некоторых случаях требуется настроить конфигурацию маршрутизации. Можно настроить адрес для перехода, который позволяет достичь определенного места назначения.

При развертывании устройства безопасности для виртуальной сети рекомендуется настраивать определяемые пользователем маршруты. Мы поговорим об этой рекомендации в следующем разделе, посвященном защите критически важных ресурсов службы Azure только для ваших виртуальных сетей.

Примечание.

Определяемые пользователем маршруты не требуются, а системные маршруты по умолчанию обычно работают.

Использование виртуальных сетевых устройств

Группы безопасности сети и определяемые пользователем маршруты могут в некоторой степени обеспечить безопасность сети на уровнях сети и транспорта в модели OSI. Но иногда может потребоваться обеспечить безопасность на более высоких уровнях стека. В таких случаях рекомендуется развернуть виртуальные сетевые устройства безопасности, предоставляемые партнерами Azure.

Сетевые устройства безопасности Azure могут обеспечить более высокий уровень безопасности по сравнению с тем, который обеспечивают элементы управления уровня сети. Ниже перечислены некоторые возможности обеспечения сетевой безопасности виртуальных сетевых устройств безопасности:

  • использование брандмауэров;
  • обнаружение и предотвращение атак;
  • Управление уязвимостями
  • Элемент управления приложениями
  • сетевое обнаружение аномалий;
  • фильтрация интернет-трафика;
  • Антивирусная программа
  • защита от ботнетов.

Чтобы найти доступные виртуальные сетевые устройства безопасности Azure, посетите страницу Azure Marketplace и введите в поле поиска слова "security" и "network security".

Развертывание сетей периметра для зон безопасности

Сеть периметра (также известная как DMZ) — это физический или логический сетевой сегмент, обеспечивающий дополнительный уровень безопасности между ресурсами и Интернетом. Специализированные устройства управления сетевым доступом на границе сети периметра разрешают передавать в виртуальную сеть только нужный трафик.

Сети периметра полезны, так как компоненты для управления, мониторинга, ведения журналов и отчетности элементов управления доступом к сети можно разместить в устройствах на границе виртуальной сети Azure. Сеть периметра обычно включает защиту распределенного типа "отказ в обслуживании" (DDoS), системы обнаружения вторжений и предотвращения вторжений (IDS/IPS), правила брандмауэра и политики, веб-фильтрацию, защиту от вредоносных программ сети и многое другое. Сетевые устройства безопасности расположены между Интернетом и виртуальной сетью Azure. В каждой из этих сетей есть интерфейсы этих устройств.

Несмотря на то, что это базовая архитектура сети периметра, существует много других архитектур, например сеть периметра с двумя, тремя или несколькими межсетевыми экранами.

Согласно упомянутому ранее принципу "Никому не доверяй", мы рекомендуем использовать сеть периметра для всех развертываний, требующих высокого уровня безопасности, чтобы повысить уровень безопасности сети для ресурсов Azure. Вы можете использовать Azure или стороннее решение для обеспечения дополнительного уровня безопасности между ресурсами и Интернетом:

  • Собственные элементы управления Azure. Брандмауэр Azure и Azure Брандмауэр веб-приложений предлагают основные преимущества безопасности. Преимущества — это полностью управляемый брандмауэр в качестве службы, встроенный высокий уровень доступности, неограниченный масштабируемость облака, фильтрация полного доменного имени, поддержка основных наборов правил OWASP и простая настройка и настройка.
  • Предложения сторонних разработчиков. Выполните поиск в Azure Marketplace для брандмауэра следующего поколения (NGFW) и других сторонних предложений, которые предоставляют знакомые средства безопасности и расширенные уровни сетевой безопасности. Их настройка может быть сложнее, однако сторонние предложения могут позволить вам использовать существующие возможности и наборы навыков.

Во многих организациях используется гибридная ИТ-среда. При этом некоторые информационные ресурсы компании находятся в среде Azure, а остальные — в локальной среде. Во многих случаях некоторые компоненты службы выполняются в Azure, а другие локально.

В гибридном сценарии ИТ обычно используется распределенное подключение. При таком подключении корпоративные локальные сети могут подключаться к виртуальным сетям Azure. Доступно два варианта распределенного подключения.

  • VPN типа "сеть — сеть". Это доверенная, надежная и установленная технология, но подключение выполняется через Интернет. Пропускная способность ограничена до 1,25 Гбит/с. В некоторых сценариях VPN типа "сеть — сеть" является предпочтительным вариантом.
  • Azure ExpressRoute. Мы рекомендуем использовать ExpressRoute для кроссплатформенных возможностей подключений. ExpressRoute позволяет переносить локальные сети в Microsoft Cloud по частному подключению, которое обеспечивается поставщиком услуг подключения. ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Azure, Microsoft 365 и Dynamics 365. ExpressRoute — это выделенный канал связи в глобальной сети для локальной среды или поставщика услуг размещения Microsoft Exchange. Так как это телекоммуникационное подключение, данные не проходят через Интернет и, таким образом, не подвергаются потенциальному риску при обмене данными через Интернет.

Расположение подключения ExpressRoute может влиять на емкость брандмауэра, масштабируемость, надежность и видимость сетевого трафика. Необходимо определить, где должны завершаться подключения ExpressRoute в существующих (локальных) сетях. Вы можете:

  • Завершите работу за пределами брандмауэра (парадигма сети периметра). Используйте эту рекомендацию, если требуется видимость трафика, если необходимо продолжить существующую практику изоляции центров обработки данных или если вы используете исключительно ресурсы экстрасети в Azure.
  • Завершайте подключение внутри брандмауэра (парадигма сетевого расширения). Это рекомендация по умолчанию. Во всех остальных случаях рекомендуется рассматривать Azure как другой центр обработки данных.

Оптимизация времени работоспособности и производительности

Если служба не работает, данные недоступны. Если из-за низкой производительности данные становятся непригодными к использованию, их можно считать недоступными. С точки зрения безопасности необходимо сделать все возможное, чтобы оптимизировать работоспособность и производительность служб.

Самый популярный и эффективный метод — использовать балансировку нагрузки. Балансировка нагрузки — это метод распределения сетевого трафика между серверами, которые входят в состав службы. Например, при наличии в службе внешних веб-серверов трафик можно распределять между ними, используя балансировку нагрузки.

Такое распределение трафика повышает доступность, так как если один из серверов станет недоступным, то подсистема балансировки нагрузки перестанет отправлять трафик на него, перенаправляя его к доступным серверам. Балансировка нагрузки также позволяет повысить производительность, так как нагрузка на процессор, сеть и память при обслуживании запросов распределяется по всем серверам с балансировкой нагрузки.

Балансировку нагрузки рекомендуется применять при любой возможности и по необходимости в службах. Ниже приведены сценарии, как на уровне виртуальной сети Azure, так и на глобальном уровне. Также приведены доступные возможности балансировки нагрузки.

Сценарий. У вас есть приложение, которое:

  • Требует запросов от сеанса одного пользователя или клиента для получения доступа к одной серверной виртуальной машине. Примерами являются приложения корзины для покупок и почтовые веб-серверы.
  • Принимает только безопасное подключение, поэтому незашифрованное взаимодействие с сервером не является приемлемым вариантом.
  • Требует несколько HTTP-запросов к одному и тому же долгосрочному подключению TCP для маршрутизации или распределения нагрузки на другие внутренние серверы.

Вариант балансировки нагрузки. Использование шлюза приложений Azure — балансировщика нагрузки веб-трафика, передаваемого по протоколу HTTP. Шлюз приложений поддерживает сквозное шифрование SSL и прерывание TLS-подключений. Веб-серверы можно избавить от нагрузки шифрования и расшифровки, а также от незашифрованного трафика, поступающего на внутренние веб-серверы.

Сценарий. Необходимо равномерно распределить входящие подключения из Интернета между серверами в виртуальной сети Azure. Это сценарии, в которых:

  • имеются приложения без отслеживания состояния, которые принимают входящие запросы из Интернета;
  • не требуются прикрепленные сеансы или разгрузка TLS. Прикрепленные сеансы — это метод, используемый с балансировкой нагрузки приложения для достижения сходства сервера.

Вариант балансировки нагрузки. Использование портала Azure для создания внешнего балансировщика нагрузки, который распределяет входящие запросы между несколькими виртуальными машинами для обеспечения более высокого уровня доступности.

Сценарий. Необходимо распределить подключения с виртуальных машин, которые не находятся в Интернете. В большинстве случаев подключения, которые принимаются для балансировки нагрузки, инициируются устройствами в виртуальной сети Azure, такими как экземпляры SQL Server или внутренние веб-серверы.
Вариант балансировки нагрузки. Использование портала Azure для создания внутреннего балансировщика нагрузки, который распределяет входящие запросы между несколькими виртуальными машинами для обеспечения более высокого уровня доступности.

Сценарий. Требуется глобальная балансировка нагрузки по следующим причинам:

  • наличие облачного решения, которое широко распространено в нескольких регионах и требует максимально возможного уровня бесперебойной работы (доступности);
  • требуется максимально возможный уровень бесперебойной работы, гарантирующий доступность службы даже в случае отсутствия доступа ко всему центру обработки данных.

Вариант балансировки нагрузки. Использование диспетчера трафика Azure. Диспетчер трафика позволяет равномерно распределять подключения между службами на основе сведений о расположении пользователя.

Например, если пользователь из стран ЕС обращается к вашей службе, подключение направляется к службам, расположенным в центре обработки данных в соответствующей стране. Эта возможность глобальной балансировки нагрузки в диспетчере трафика обеспечивает повышение производительности, так как подключиться к ближайшему центру обработки данных можно гораздо быстрее.

Отключение доступа по протоколу RDP или SSH к виртуальным машинам Azure

К виртуальным машинам Azure можно получить доступ по протоколам удаленного рабочего стола (RDP) и Secure Shell (SSH). Эти протоколы позволяют управлять виртуальными машинами из удаленных расположений и обычно применяются при вычислениях в центре обработки данных.

Потенциальная угроза безопасности при использовании этих протоколов в Интернете — атаки методом подбора, которые осуществляются, чтобы получить доступ к виртуальным машинам Azure. Получив доступ к виртуальной машине, злоумышленник может использовать ее в качестве базы для компрометации других компьютеров в виртуальной сети или даже для осуществления атаки на сетевые устройства за пределами среды Azure.

Рекомендуется отключить доступ к виртуальным машинам Azure из Интернета по протоколам RDP и SSH. Кроме таких типов доступа, к этим виртуальным машинам можно подключиться для удаленного управления и другими способами.

Сценарий. Предоставление одному пользователю возможности подключения к виртуальной сети Azure через Интернет.
Вариант. VPN-подключение типа "точка — сеть" — другое название для VPN-подключения с помощью клиента или сервера для удаленного доступа. Установив подключение типа "точка — сеть", пользователь сможет подключаться к любой виртуальной машине в виртуальной сети Azure, доступ к которой осуществляется с использованием VPN-подключения типа "точка — сеть", по протоколу удаленного рабочего стола или SSH. При этом предполагается, что пользователь уполномочен для доступа к этим виртуальным машинам.

VPN-подключение типа "точка — сеть" безопаснее, чем прямое подключение по протоколу удаленного рабочего стола или SSH, так как перед подключением к виртуальной машине пользователь должен пройти аутентификацию дважды. Во-первых, пользователю нужно пройти проверку подлинности (и получить авторизацию) для установки VPN-подключения типа "точка — сеть". Во-вторых, пользователю нужно пройти проверку подлинности (и получить авторизацию) для установки сеанса подключения по протоколу RDP или SSH.

Сценарий. Предоставление пользователям в локальной сети возможности подключения к виртуальным машинам в виртуальной сети Azure.
Вариант. При VPN-подключении типа "сеть — сеть" устанавливается связь между сетями через Интернет. Это подключение можно использовать, чтобы установить связь между локальной сетью и виртуальной сетью Azure. Пользователи в локальной сети выполняют VPN-подключение типа "сеть — сеть" по протоколу RDP или SSH. Не требуется разрешать прямой доступ по протоколу RDP или SSH через Интернет.

Сценарий. Использование выделенного канала глобальной сети для предоставления возможности, аналогичной VPN-подключению типа "сеть — сеть".
Вариант. Использование ExpressRoute. Эта технология предоставляет функциональность, аналогичную VPN-подключению типа "сеть — сеть". Основные различия:

  • при использовании выделенного подключения глобальной сети данные не передаются через Интернет, а
  • само подключение обычно отличается повышенной стабильностью и производительностью.

Защита критически важных ресурсов служб Azure в пределах отдельных виртуальных сетей

Использование Приватного канала Azure для доступа к службам Azure PaaS (например, к службе хранилища Azure и к Базе данных SQL) через частную конечную точку, размещенную в виртуальной сети. Частные конечные точки позволяют защищать критически важные ресурсы служб Azure в пределах отдельных виртуальных сетей. Трафик, поступающий из виртуальной сети в службу Azure, всегда остается в магистральной сети Microsoft Azure. Для использования служб Azure PaaS теперь не требуется открывать доступ в виртуальную сеть из общедоступного Интернета.

Приватный канал Azure обеспечивает следующие преимущества:

  • Повышение уровня безопасности для ресурсов служб Azure. Благодаря Приватному каналу можно обеспечить защиту для ресурсов служб Azure в виртуальной сети с использованием конечной точки. Защита ресурсов служб в виртуальной сети с использованием конечной точки повышает безопасность, полностью исключая открытый доступ из Интернета к этим ресурсам и разрешая трафик только с конечной точки в виртуальной сети.
  • Приватный доступ к ресурсам службы Azure на платформе Azure. Подключите виртуальную сеть к службам в Azure с помощью частных конечных точек. Нет необходимости в общедоступном IP-адресе. Платформа Приватного канала будет поддерживать подключение между потребителем и службами через магистральную сеть Azure.
  • Доступ из локальных сетей и через пиринг виртуальных сетей. Организуйте с помощью частных конечных точек доступ к службам, выполняемым в Azure, из локальной сети через частный пиринг ExpressRoute, VPN-туннели и виртуальные сети с настроенным пирингом. Нет необходимости настраивать пиринг Microsoft для ExpressRoute или прокладывать канал через Интернет, чтобы получить доступ к службе. Приватный канал обеспечивает безопасный способ переносить рабочие нагрузки в Azure.
  • Защита от утечки данных: частная конечная точка сопоставляется с экземпляром ресурса PaaS вместо всей службы. Объекты-получатели могут подключаться только к определенному ресурсу. Доступ к любому другому ресурсу в службе блокируется. Этот механизм обеспечивает защиту от рисков утечки данных.
  • Глобальный охват: частное подключение к службам, работающим в других регионах. Виртуальная сеть объекта-получателя может размещаться в регионе А и подключаться к службам в регионе В.
  • Простота настройки и управления. Вам больше не требуются зарезервированные общедоступные IP-адреса в виртуальных сетях для защиты ресурсов Azure при помощи брандмауэра для IP-адресов. Для настройки частных конечных точек не нужны устройства NAT или шлюза. Процесс настройки частных конечных точек очень прост. Вы также можете легко управлять запросами подключения на стороне ресурса службы Azure. Приватный канал Azure также работает для потребителей и служб, принадлежащих разным клиентам Microsoft Entra.

Дополнительные сведения о частных конечных точках, а также о службах и регионах Azure, для которых доступны частные конечные точки, см. в статье о Приватном канале Azure.

Следующие шаги

Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.