將零信任準則套用至 Azure 中的中樞虛擬網路
摘要:若要將 零信任 原則套用至 Azure 中的中樞虛擬網路,您必須保護 Azure 防火牆 Premium、部署 Azure DDoS 保護標準、設定防火牆的網路網關路由,以及設定威脅防護。
為 零信任 部署以 Azure 為基礎的中樞虛擬網路(VNet)的最佳方式是使用 Azure 登陸區域數據來部署功能完整的中樞 VNet,然後根據您的特定設定預期量身打造。
本文提供如何採用現有中樞 VNet 的步驟,並確定您已準備好 零信任 方法。 它假設您使用 ALZ-Bicep hubNetworking 模組快速部署中樞 VNet,或部署了一些具有類似資源的其他中樞 VNet。 使用連線至隔離工作場所輪輻的個別連線中樞,是 Azure 安全網路中的錨點模式,可協助支援 零信任 原則。
本文說明如何透過下列方式對應 零信任 原則,部署 零信任 中樞 VNet。
| 零信任 原則 | 定義 | 符合者 |
|---|---|---|
| 明確驗證 | 一律根據所有可用的資料點進行驗證及授權。 | 使用 Azure 防火牆 搭配傳輸層安全性 (TLS) 檢查,根據所有可用的數據來驗證風險和威脅。 |
| 使用最低權限存取 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 | 除非流量透過防火牆路由傳送,否則每個輪輻 VNet 都無法存取其他輪輻 VNet。 防火牆預設會設定為拒絕,只允許指定規則允許的流量。 |
| 假設缺口 | 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 | 如果遭到入侵或違反一個應用程式/工作負載,由於 Azure 防火牆 執行流量檢查,且只轉送允許的流量,因此其傳播能力有限。 只有相同工作負載中的資源會公開至相同應用程式中的缺口。 |
本文是一系列文章的一部分,示範如何在 Azure 環境中套用 零信任 原則。 本文提供設定中樞 VNet 以支援輪輻 Vnet 中 IaaS 工作負載的資訊。 如需詳細資訊,請參閱將 零信任 原則套用至 Azure IaaS 概觀。
參考架構
下圖顯示參考架構。 中樞 VNet 會以紅色反白顯示。 如需此架構的詳細資訊,請參閱將 零信任 原則套用至 Azure IaaS 概觀。
在此參考架構中,有許多方式可以跨 Azure 訂用帳戶部署資源。 參考架構顯示隔離專用資源群組內中樞 VNet 的所有資源的建議。 輪輻 VNet 的資源也會顯示進行比較。 如果不同的小組對這些不同區域負責,此模型的運作效果良好。
在圖表中,中樞 VNet 包含元件,可支援存取 Azure 環境內的其他應用程式和服務。 這些資源包括:
- Azure 防火牆進階
- Azure Bastion
- VPN 閘道
- DDOS 保護,也應該部署到輪輻虛擬網路。
中樞 VNet 可讓您從這些元件存取輪輻 VNet 中裝載於虛擬機上的 IaaS 型應用程式。
如需組織雲端採用的指引,請參閱管理 雲端採用架構 中的組織一致性。
針對中樞 VNet 部署的資源如下:
- An Azure VNet
- 具有 Azure 防火牆 原則和公用IP位址的 Azure 防火牆
- Bastion
- 具有公用IP位址和路由表的 VPN 閘道
下圖顯示 Azure 訂用帳戶中中樞 VNet 的資源群元件,與輪輻 VNet 的訂用帳戶不同。 這是在訂用帳戶內組織這些元素的其中一種方式。 您的組織可能會選擇以不同的方式組織這些組織。
在此圖表中:
- 中樞 VNet 的資源包含在專用資源群組內。 如果您要將 Azure DDoS 方案部署為資源的一部分,您必須將它包含在資源群組中。
- 輪輻 VNet 內的資源會包含在個別的專用資源群組內。
視您的部署而定,您可能也會注意到,針對用於 Private Link DNS 解析的 私用 DNS 區域,可能會有數位的部署。 這些是用來使用私人端點保護 PaaS 資源,其詳述於未來一節。 請注意,它會同時部署 VPN 閘道 和 ExpressRoute 閘道。 您可能不需要這兩者,因此您可以在部署期間移除不需要哪一個案例或將其關閉。
本文的內容為何?
本文提供保護中樞 VNet 元件 零信任 原則的建議。 下表說明保護此架構的建議。
| 步驟 | Task | 零信任 原則(s) 已套用 |
|---|---|---|
| 1 | 安全 Azure 防火牆 Premium。 | 明確驗證 使用最低許可權存取 假設缺口 |
| 2 | 部署 Azure DDoS 保護標準。 | 明確驗證 使用最低許可權存取 假設缺口 |
| 3 | 設定網路網關路由至防火牆。 | 明確驗證 使用最低許可權存取 假設缺口 |
| 4 | 設定威脅防護。 | 假設缺口 |
作為部署的一部分,您會想要選擇非自動化部署預設值的特定選項,因為其額外成本。 在部署之前,您應該先檢閱成本。
在部署時操作連線中樞仍然提供隔離和檢查的重要價值。 如果您的組織尚未準備好產生這些進階功能的成本,您可以部署減少的功能中樞,稍後再進行這些調整。
步驟 1:保護 Premium Azure 防火牆
Azure 防火牆 Premium 在協助您保護 Azure 基礎結構 零信任 方面扮演著重要角色。
在部署中,請使用 Azure 防火牆 Premium。 這需要您將產生的管理原則部署為進階原則。 變更為 Azure 防火牆 Premium 牽涉到重新建立防火牆,而且通常也會重新建立原則。 因此,請盡可能從 Azure 防火牆 開始,或準備重新部署活動以取代現有的防火牆。
為何 Azure 防火牆 Premium?
Azure 防火牆 Premium 提供用於檢查流量的進階功能。 最重要的是下列 TLS 檢查選項:
- 輸出 TLS 檢查 可防止從內部用戶端傳送到因特網的惡意流量。 這有助於識別用戶端何時遭到入侵,以及它是否嘗試在網路外部傳送數據,或建立與遠端電腦的連線。
- 東西部 TLS 檢查 可防範從 Azure 內部傳送至 Azure 其他部分或非 Azure 網路的惡意流量。 這有助於識別缺口的嘗試,以展開並散佈其爆破半徑。
- 輸入 TLS 檢查 可保護 Azure 中的資源免於來自 Azure 網路外部的惡意要求。 Azure 應用程式閘道 與 Web 應用程式防火牆 提供這項保護。
您應該盡可能對資源使用輸入 TLS 檢查。 Azure 應用程式閘道 只提供 HTTP 和 HTTPS 流量的保護。 不適用於某些案例,例如使用 SQL 或 RDP 流量的案例。 其他服務通常有自己的威脅防護選項,可用來為這些服務提供 明確的驗證 控制。 您可以檢閱 Azure 概觀 的安全性基準,以了解這些服務的威脅防護選項。
不建議針對中樞 VNet 使用 Azure 應用程式閘道。 它應該改為位於輪輻 VNet 或專用 VNet 中。 如需詳細資訊,請參閱將 零信任 原則套用至 Azure 中的輪輻虛擬網路,以取得 Web 應用程式的輪輻 VNet 或零信任網路指引。
這些案例有特定的數位證書考慮。 如需詳細資訊,請參閱 Azure 防火牆 Premium 憑證。
如果沒有 TLS 檢查,Azure 防火牆 在加密 TLS 通道中流動的數據中沒有可見度,因此較不安全。
例如,Azure 虛擬桌面不支援 SSL 終止。 您應該檢閱您的特定工作負載,以瞭解如何提供 TLS 檢查。
除了客戶定義的允許/拒絕規則之外,Azure 防火牆 仍能夠套用威脅情報型篩選。 威脅情報型篩選會使用已知錯誤的IP位址和網域來識別造成風險的流量。 此篩選會在任何其他規則之前發生,這表示即使已定義規則允許存取,Azure 防火牆 可以停止流量。
Azure 防火牆 Premium 也有 URL 篩選和 Web 類別篩選的增強選項,可讓您更微調角色。
您可以設定威脅情報,以在發生此流量時通知您,但允許它通過。 不過,針對 零信任,請將它設定為 [拒絕]。
設定 零信任的進階 Azure 防火牆
若要將 Azure 防火牆 Premium 設定為 零信任 組態,請進行下列變更。
在警示和拒絕模式中啟用威脅情報:
- 流覽至 [防火牆原則],然後選取 [ 威脅情報]。
- 在 [威脅情報] 模式中,選取 [ 警示並拒絕]。
- 選取 [儲存]。
開啟 TLS 檢查:
- 準備憑證以儲存在 金鑰保存庫,或計劃使用受控識別自動產生憑證。 您可以檢閱這些選項來 Azure 防火牆 進階憑證,以選取案例的選項。
- 流覽至 [防火牆原則],然後選取 [ TLS 檢查]。
- 選取 [啟用] 。
- 選取要產生憑證的受控識別,或選取金鑰保存庫和憑證。
- 然後選取儲存。
啟用入侵檢測與預防系統 (IDPS):
- 流覽至 [防火牆原則],然後選取 [ IDPS]。
- 選取 [ 警示並拒絕]。
- 接著選取套用。
接下來,您必須建立流量的應用程式規則。
- 在 [防火牆原則] 中,流覽至 [ 應用程式規則]。
- 選取 [新增規則集合]。
- 使用您 應用程式閘道 子網的來源,以及要保護之 Web 應用程式的功能變數名稱目的地,建立應用程式規則。
- 請確定您啟用 TLS 檢查。
其他設定
設定 Azure 防火牆 Premium 之後,您現在可以執行下列設定:
- 藉由指派適當的路由表並遵循本指南,設定 應用程式閘道 將流量路由傳送至您的 Azure 防火牆。
- 依照 這些指示建立防火牆事件和計量的警示。
- 部署 Azure 防火牆 活頁簿以可視化事件。
- 視需要設定 URL 和 Web 類別篩選。 因為 Azure 防火牆 預設會拒絕,因此只有在 Azure 防火牆 需要廣泛授與輸出因特網存取時,才需要此設定。 您可以使用此做為額外的驗證,以判斷是否應該允許連線。
步驟 2:部署 Azure DDoS 保護標準
在部署的過程中,您會想要部署 Azure DDoS 保護標準原則。 這會增加 Azure 平臺上提供的 零信任 保護。
因為您可以將建立的原則部署至現有的資源,因此您可以在初始部署之後新增此保護,而不需要重新部署資源。
為什麼是 Azure DDoS 保護標準?
Azure DDoS 保護標準已 提高預設 DDoS 保護的優點 。 針對 零信任,您可以擁有:
- 存取風險降低報告、流量記錄和計量。
- 以應用程式為基礎的風險降低原則。
- 如果發生 DDoS 攻擊,則存取 DDoS 快速回應支援。
雖然自動偵測和自動風險降低都是默認啟用的 DDoS 保護基本功能的一部分,但這些功能僅適用於 DDoS Standard。
設定 Azure DDoS 保護標準
由於 DDoS 保護標準沒有 零信任 特定設定,因此您可以遵循此解決方案的資源特定指南:
在目前版本的 Azure DDoS 保護中,您必須為每個 VNet 套用 Azure DDoS 保護。 請參閱 DDoS 快速入門中的其他指示。
此外,保護下列公用IP位址:
- Azure 防火牆 公用IP位址
- Azure Bastion 公用 IP 位址
- Azure 網路閘道公用IP位址
- 應用程式閘道 公用IP位址
步驟 3:設定網路網關路由至防火牆
部署之後,您必須在各種子網上設定路由表,以確保 Azure 防火牆 會檢查輪輻 VNet 與內部部署網路之間的流量。 您可以在現有的環境中執行此活動,而不需要重新部署,但您必須撰寫必要的防火牆規則,才能允許存取。
如果您只設定一端,只要輪輻子網或閘道子網,則您有異步路由可防止連線運作。
為什麼要將網路網關流量路由傳送至防火牆?
零信任 的主要元素是不要假設只是因為某個專案在您的環境中,它應該可以存取您環境中的其他資源。 默認組態通常允許在 Azure 中的資源之間路由傳送至您的內部部署網路,而僅受網路安全組控制。
藉由將流量路由傳送至防火牆,您可以增加檢查層級,並增加環境的安全性。 您也會收到可疑活動的警示,並可採取動作。
設定閘道路由
有兩個主要方式可確保網關流量已路由傳送至 Azure 防火牆:
- 在專用 VNet 中部署 Azure 網路閘道(適用於 VPN 或 ExpressRoute 連線),將它對等互連至中樞 VNet,然後建立涵蓋您規劃 Azure 網路位址空間路由至防火牆的廣泛路由規則。
- 在中樞 VNet 中部署 Azure 網路閘道、在閘道子網上設定路由,然後在輪輻 VNet 子網上設定路由。
本指南詳述第二個選項,因為它與參考架構更相容。
注意
Azure 虛擬網絡 Manager 是簡化此程序的服務。 當這項服務正式推出時,會用它來管理路由。
設定閘道子網路由
若要設定閘道子網路由表以將內部流量轉送至 Azure 防火牆,請建立並設定新的路由表:
流覽至在 Microsoft Azure 入口網站 中建立路由表。
將路由表放在資源群組中、選取區域,然後指定名稱。
選取 [檢閱 + 建立],然後選取 [建立]。
流覽至新的路由表,然後選取 [ 路由]。
選取 [ 新增 ],然後將路由新增至其中一個輪輻 VNet:
- 在 [ 路由名稱] 中,指定路由字段的名稱。
- 在 [位址前綴目的地] 下拉式清單中選取 [IP 位址]。
- 在 [目的地 IP 位址/CIDR 範圍] 欄位中提供輪輻 VNet 的地址空間。
- 在 [下一個躍點類型] 下拉式方塊中選取 [虛擬設備]。
- 在 [下一個躍點位址] 字段中提供 Azure 防火牆 的私人IP位址。
- 選取 [新增]。
將路由表與閘道子網產生關聯
- 流覽至 [子網],然後選取 [ 關聯]。
- 在 [虛擬網络] 下拉式清單中選取 [中樞 VNet]。
- 在 [子網] 下拉式清單中選取 [GatewaySubnet]。
- 選取 [確定]。
以下是範例。
網關現在會將用於輪輻 VNet 的流量轉送至 Azure 防火牆。
設定輪輻子網路由
此程式假設您已經有附加至輪輻 VNet 子網的路由表,並使用預設路由將流量轉送至 Azure 防火牆。 這通常是由轉送 CIDR 範圍 0.0.0.0/0 流量的規則來完成,通常稱為四零路由。
以下是範例。
此程式會停用來自網關的路由傳播,讓預設路由能夠將流量傳送到內部部署網路。
注意
需要因特網存取函式的資源,例如 應用程式閘道,不應該收到此路由表。 他們應該有自己的路由表來允許其必要的函式,例如使用 Azure 防火牆 和 應用程式閘道的Web應用程式零信任網路一文中所述的內容。
若要設定輪輻子網路由:
- 流覽至與您的子網相關聯的路由表,然後選取 [ 組態]。
- 針對 [傳播閘道路由],選取 [否]。
- 選取 [儲存]。
![將閘道路由傳播至 [否] 的螢幕快照。](media/hub/hub-gateway-routes.png#lightbox)
您的預設路由現在會將適用於網關的流量轉送至 Azure 防火牆。
步驟 4:設定威脅防護
適用於雲端的 Microsoft Defender 可以保護建置在 Azure 上的中樞 VNet,就像在 Azure 或內部部署上執行的 IT 商務環境的其他資源一樣。
適用於雲端的 Microsoft Defender 是雲端安全性狀態管理 (CSPM) 和雲端工作負載保護 (CWP),可提供安全分數系統,以協助公司建立具有更佳安全性狀態的 IT 環境。 它也包含保護網路環境免受威脅的功能。
本文不會詳細說明 適用於雲端的 Microsoft Defender。 不過,請務必瞭解 適用於雲端的 Microsoft Defender 會根據 Azure 原則運作,並在 Log Analytics 工作區中擷取記錄。
您可以在 JavaScript 物件表示法中撰寫 Azure 原則,以保存 Azure 資源屬性的不同分析,包括網路服務和資源。 也就是說,適用於雲端的 Microsoft Defender 很容易檢查網路資源下的屬性,並在受到威脅保護或暴露時提供訂用帳戶的建議。
如何透過 適用於雲端的 Microsoft Defender 檢查所有可用的網路建議
若要檢視提供 適用於雲端的 Microsoft Defender 所用網路建議的所有 Azure 原則:
選取左側功能表中的 適用於雲端的 Microsoft Defender 圖示,以開啟 適用於雲端的 Microsoft Defender。
選取 [ 環境設定]。
選取 [安全策略]。
如果您在 ASC 預設值中選取 ,您將能夠檢閱所有可用的原則,包括評估網路資源的原則。
此外,還有其他法規合規性評估的網路資源,包括PCI、ISO和 Microsoft 雲端安全性效能評定。 您可以啟用其中任何一項,並追蹤網路建議。
網路建議
請遵循下列步驟,根據 Microsoft 雲端安全性效能評定來檢視一些網路建議:
開啟 適用於雲端的 Microsoft Defender。
選取 [法規合規性]。
選取 [Microsoft 雲端安全性效能評定]。
展開 NS。要檢閱建議的網路控制的網路安全性 。
請務必瞭解,適用於雲端的 Microsoft Defender 為不同的 Azure 資源提供其他網路建議,例如虛擬機和記憶體。 您可以在左側功能表中的 [建議] 底下檢閱這些建議。
在 適用於雲端的 Microsoft Defender 入口網站的左側功能表上,選取 [安全性警示] 以根據網路資源檢閱警示,以便避免某些類型的威脅。 這些警示是由 適用於雲端的 Microsoft Defender 根據Log Analytics工作區中擷取的記錄自動產生,並由 適用於雲端的 Microsoft Defender監視。
透過 適用於雲端的 Microsoft Defender 對應和強化 Azure 網路環境
您也可以藉由將網路環境對應至更深入了解網路拓撲的方式,以輕鬆的方式強化網路環境,以取得更佳的安全性狀態選項。 這些建議是透過 左側功能表中的 [工作負載保護] 選項來完成,如下所示。
透過 適用於雲端的 Microsoft Defender 管理 Azure 防火牆 原則
Azure 防火牆 建議用於中樞 VNet,如本文所述。 適用於雲端的 Microsoft Defender 可以集中管理多個 Azure 防火牆 原則。 除了 Azure 防火牆 原則之外,您還可以管理與 Azure 防火牆 相關的其他功能,如下所示。
如需 適用於雲端的 Microsoft Defender 如何保護您的網路環境免受威脅的詳細資訊,請參閱什麼是 適用於雲端的 Microsoft Defender?
建議的訓練
如需 Azure 中安全性的更多訓練,請參閱 Microsoft 目錄中的這些資源:
Azure 中的安全性 |Microsoft Learn
後續步驟
請參閱下列其他文章,以將 零信任 原則套用至 Azure:
- Azure IaaS 概觀
- Azure 虛擬桌面
- Azure 虛擬 WAN
- Amazon Web Services 中的 IaaS 應用程式
- Microsoft Sentinel 和 Microsoft Defender 全面偵測回應
技術圖例
此海報提供單頁、快速檢視 Azure IaaS 元件作為參考和邏輯架構,以及確保這些元件具有所套用 零信任 模型之「永不信任、永遠驗證」原則的步驟。
| 項目 | 說明 |
|---|---|
 PDF | Visio 更新日期:2024年3月 |
搭配本文使用此圖例:將 零信任 原則套用至 Azure IaaS 概觀 相關解決方案指南 |
此海報提供 Azure IaaS 零信任 個別元件的參考和邏輯架構和詳細設定。 針對個別的 IT 部門或專業,請使用此海報的頁面,或使用 Microsoft Visio 版本的檔案來自定義基礎結構的圖表。
| 項目 | 說明 |
|---|---|
 PDF | Visio 更新日期:2024年3月 |
請與本文一起使用這些圖表:將 零信任 原則套用至 Azure IaaS 概觀 相關解決方案指南 |
如需其他技術圖例,請按兩下 這裡。
參考資料
請參閱這些連結,以瞭解本文所述的各種服務和技術。