套用 零信任 原則來停止舊版網路安全性技術
本文提供在 Azure 環境中套用 零信任 原則,以停止舊版網路安全性技術的指導。 以下是 零信任 原則。
| 零信任 原則 | 定義 |
|---|---|
| 明確驗證 | 一律根據所有可用的資料點進行驗證及授權。 |
| 使用最低權限存取 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 |
| 假設缺口 | 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 藉由移除或升級舊版網路服務來提升 Azure 環境的防禦能力,以提高安全性層級。 |
本文是一系列文章的一部分,示範如何將 零信任 原則套用至 Azure 網路。
要檢閱以停止使用舊版網路安全性技術的 Azure 網路領域如下:
- 網路基礎服務
- 負載平衡和內容傳遞服務
- 混合式連線服務
從使用舊版網路安全性技術的轉換,可以防止攻擊者存取環境或跨越它們造成廣泛的損害(假設缺口 零信任 原則)。
參考架構
下圖顯示此 零信任 指導方針的參考架構,可停止 Azure 環境中元件的舊版網路安全性技術。
此參考架構包括:
- 在 Azure 虛擬機上執行的 Azure IaaS 工作負載。
- Azure 服務。
- 包含 Azure VPN 閘道 和 Azure 應用程式閘道 的安全性虛擬網路 (VNet)。
- 包含 Azure Load Balancer 的因特網邊緣 VNet。
- Azure 環境邊緣的 Azure Front Door。
本文的內容為何?
您可以在參考架構之間套用 零信任 原則,從因特網上的用戶和系統管理員,或內部部署網路到 Azure 環境中和內部部署網路。 下表列出在此架構中停止舊版網路安全性技術的主要工作,適用於假設缺口 零信任 原則。
| 步驟 | Task |
|---|---|
| 1 | 檢閱您的網路基礎服務。 |
| 2 | 檢閱您的內容傳遞和負載平衡服務。 |
| 3 | 檢閱混合式連線服務。 |
步驟 1:檢閱您的網路基礎服務
您的網路基礎服務檢閱包括:
- 從基本公用IP SKU移至標準公用IP SKU。
- 確保虛擬機IP位址使用明確的輸出存取。
此圖顯示參考架構中更新 Azure 網路基礎服務的元件。
基本公用IP SKU
IP 位址(公用和私人)是 Azure 中 IP 服務的一部分,可啟用私人和公用資源之間的通訊。 公用IP會連結至 VNet 閘道、應用程式閘道,以及其他需要因特網輸出連線的服務。 私人IP可讓 Azure 資源在內部進行通訊。
基本公用IP SKU目前被視為舊版,且具有比標準公用IP SKU更多的限制。 基本公用IP SKU 零信任的主要限制之一,是不需要使用網路安全組,但建議使用,而標準公用IP SKU則為必要。
標準公用IP SKU的另一個重要功能是能夠選取路由喜好設定,例如透過Microsoft全域網路進行路由。 此功能會盡可能保護Microsoft骨幹網路內的流量,並儘可能結束離服務或使用者越近的輸出流量。
如需詳細資訊,請參閱 Azure 虛擬網絡 IP 服務。
注意
基本公用IP SKU將於2025年9月淘汰。
預設輸出存取
根據預設,Azure 會提供因特網的輸出存取。 根據預設,系統路由和網路安全組的默認輸出規則會授與來自資源的連線能力。 換句話說,如果未設定明確的輸出連線方法,Azure 會設定預設的輸出存取IP位址。 不過,如果沒有明確的輸出存取,就會發生某些安全性風險。
Microsoft建議您不要讓虛擬機 IP 位址開放給因特網流量。 無法控制預設輸出IP存取和IP位址及其相依性可以變更。 針對配備多個網路適配器的虛擬機(NIC),不建議允許所有 NIC IP 位址具有因特網輸出存取權。 相反地,您應該只限制對必要 NIC 的存取。
Microsoft建議您使用下列其中一個選項來設定明確的輸出存取:
-
如需來源網路位址轉換 (SNAT) 埠上限,Microsoft建議 Azure NAT 閘道進行輸出連線。
標準 SKU Azure Load Balancer
這需要負載平衡規則來對 SNAT 進行程式設計,這可能不像 Azure NAT 閘道那麼有效率。
限制公用 IP 位址的使用
將直接公用IP位址指派給虛擬機,應該只針對測試或開發環境執行,因為延展性和安全性考慮。
步驟 2:檢閱內容傳遞和負載平衡服務
Azure 有許多應用程式傳遞服務,可協助您傳送流量並將其散發至 Web 應用程式。 有時候,新版本或服務層級可改善體驗並提供最新的更新。 您可以使用每個應用程式傳遞服務內的移轉工具,輕鬆地切換至最新版的服務,並受益於新功能和增強功能。
您對內容傳遞和負載平衡服務的檢閱包括:
- 將 Azure Front Door 層從傳統層移轉至進階或標準層。
- 將 Azure 應用程式閘道 移轉至WAF_v2。
- 移轉至標準 SKU Azure Load Balancer。
此圖顯示更新 Azure 內容傳遞和負載平衡服務的元件。
Azure Front Door
Azure Front Door 有三個不同的層級:進階、標準和傳統。 標準和進階層會將 Azure Front Door 傳統層、Azure 內容傳遞網路 和 Azure Web 應用程式防火牆 (WAF) 的功能合併成一項服務。
Microsoft建議將傳統 Azure Front Door 配置檔移轉至進階或標準層,以享受這些新功能和更新。 進階層著重於改善的安全性功能,例如對後端服務的私人連線、Microsoft受控 WAF 規則,以及 Web 應用程式的 Bot 保護。
除了改良的功能之外,Azure Front Door Premium 還包含內建在服務中的安全性報告,不需額外費用。 這些報告可協助您分析 WAF 安全性規則,並查看 Web 應用程式可能面臨何種攻擊。 安全性報告也可讓您依不同維度檢查計量,以協助您瞭解流量來自何處,以及依準則細分熱門事件。
Azure Front Door 進階層提供用戶端與 Web 應用程式之間最健全的因特網安全性措施。
Azure 應用程式閘道
Azure 應用程式閘道 有兩種 SKU 類型:v1 和 v2,以及可套用至任一 SKU 的 WAF 版本。 Microsoft建議將 Azure 應用程式閘道 移轉至WAF_v2 SKU,以受益於效能升級和新功能,例如自動調整、自定義 WAF 規則,以及 Azure Private Link 的支援。
自訂 WAF 規則可讓您指定條件來評估經過 Azure 應用程式閘道 的每個要求。 這些規則的優先順序高於受管理規則集中的規則,並可自定義以符合應用程式和安全性需求的需求。 自定義 WAF 規則也可以藉由比對 IP 位址與國家/地區代碼來限制 Web 應用程式的存取。
移轉至 WAFv2 的另一個優點是,您可以從另一個 VNet 或不同的訂用帳戶存取時,透過 Azure Private Link 服務連線到您的 Azure 應用程式閘道。 此功能可讓您封鎖公用存取 Azure 應用程式閘道,同時只允許使用者和裝置透過私人端點存取。 透過 Azure Private Link 連線,您必須核准每個私人端點連線,以確保只有正確的實體可以存取。 如需 v1 與 v2 SKU 之間差異的詳細資訊,請參閱 Azure 應用程式閘道 v2。
Azure Load Balancer
在 計劃於 2025 年 9 月淘汰基本公用 IP SKU 之後,您必須升級使用基本公用 IP SKU IP 位址的服務。 Microsoft建議將目前的基本 SKU Azure Load Balancer 移轉至標準 SKU Azure Load Balancer,以實作基本 SKU 不包含的安全性措施。
使用標準 SKU Azure Load Balancer,您預設會受到保護。 除非套用網路安全組的規則允許,否則會封鎖所有對公用負載平衡器的輸入因特網流量。 此預設行為可防止在準備好之前意外允許因特網流量流向虛擬機或服務,並確保您能夠控制可存取資源的流量。
標準 SKU Azure Load Balancer 會使用 Azure Private Link 來建立私人端點連線,這在您想要允許私人存取負載平衡器後方的資源時很有用,但您希望使用者從其環境存取它。
步驟 3:檢閱混合式連線服務
檢閱混合式連線服務包括使用新一代 Azure VPN 閘道 SKU。
下圖顯示參考架構中更新 Azure 混合式連線服務的元件。
目前,在 Azure 中連線混合式網路的最有效方式是使用適用於 Azure 的新一代 SKU VPN 閘道。 雖然您可能會繼續使用傳統 VPN 閘道,但這些閘道已過時且較不可靠且更有效率。 傳統 VPN 閘道最多支援 10 個因特網通訊協定安全性 (IPsec) 通道,而較新的 Azure VPN 閘道 SKU 最多可以調整為 100 個通道。
較新的 SKU 會在較新的驅動程式模型上運作,並納入最新的安全性軟體更新。 較舊的驅動程式模型是以不適合新式工作負載的過時Microsoft技術為基礎。 較新的驅動程式模型不僅提供優越的效能和硬體,也提供增強的復原能力。 VPN 閘道的 AZ 組 SKU 可以放置在可用性區域中,並支援具有多個公用 IP 位址的作用中主動連線,進而增強復原能力,並提供改善的災害復原選項。
此外,針對動態路由需求,傳統 VPN 閘道無法執行邊界閘道通訊協定 (BGP),僅使用 IKEv1,而且不支援動態路由。 總而言之,傳統 SKU VPN 閘道是專為較小的工作負載、低頻寬和靜態連線所設計。
傳統 VPN 閘道在 IPsec 通道的安全性和功能方面也有限制。 它們僅支援具有 IKEv1 通訊協定的原則型模式,以及一組較容易遭受缺口的加密和哈希演算法。 Microsoft建議您轉換至新的 SKU,以提供更廣泛的階段 1 和階段 2 通訊協定選項。 主要優點是路由型 VPN 閘道 可以使用 IKEv1 和 IKEv2 主要模式,提供更高的實作彈性和更強固的加密和哈希演算法。
如果您需要比預設加密值更高的安全性,路由型 VPN 閘道 允許自定義階段 1 和階段 2 參數,以選取特定的加密和密鑰長度。 更強大的加密群組包括群組 14(2048 位)、群組 24(2048 位 MODP 群組),或 ECP(橢圓曲線群組)256 位或 384 位(群組 19 和群組 20)。 此外,您也可以使用 [流量選取器] 設定來指定允許傳送加密流量的前置詞範圍,以進一步保護通道交涉免於未經授權的流量。
如需詳細資訊,請參閱 Azure VPN 閘道 密碼編譯。
Azure VPN 閘道 SKU 可協助點對站 (P2S) VPN 連線,以根據 IKEv2 標準和以 SSL/TLS 為基礎的 VPN 通訊協定,例如 OpenVPN 和安全套接字通道通訊協定 (SSTP) 來利用 IPsec 通訊協定。 此支援可為使用者提供各種實作方法,並讓他們使用不同的裝置操作系統連線到 Azure。 Azure VPN 閘道 SKU 也提供許多客戶端驗證選項,包括憑證驗證、Microsoft Entra ID 驗證,以及 Active Directory 網域服務 (AD DS) 驗證。
注意
傳統IPSec閘道將於2024年8月31日淘汰。
建議的訓練
- 設定和管理 Azure 系統管理員的虛擬網路
- 使用網路安全性群組和服務端點來保護及隔離對 Azure 資源的存取
- Azure Front Door 簡介
- Azure 應用程式閘道簡介
- Azure Web 應用程式防火牆簡介
- Azure Private Link 簡介
- 使用 VPN 閘道 將內部部署網路連線至 Azure
後續步驟
如需將 零信任 套用至 Azure 網路的詳細資訊,請參閱:
- 加密以 Azure 為基礎的網路通訊
- 區隔以 Azure 為基礎的網路通訊
- 取得網路流量的可見度
- 使用零信任保護網路
- Azure 中的輪輻虛擬網路
- Azure 中的中樞虛擬網路
- 使用 Azure PaaS 服務的輪輻虛擬網路
- Azure 虛擬 WAN
參考資料
請參閱這些連結,以瞭解本文所述的各種服務和技術。