套用 零信任 原則以取得網路流量的可見度

本文提供在 Azure 環境中套用 零信任 區隔網路原則的指引。 以下是 零信任 原則。

本文是一系列文章的一部分，示範如何將 零信任 原則套用至 Azure 網路。

本文涵蓋的網路流量類型如下：

• 集中式
• 東西部流量，也就是 Azure 虛擬網路 （VNet） 與 Azure 服務和內部部署網路之間的流量流動
• 南北，這是 Azure 環境與因特網之間的流量流動

參考架構

下圖顯示此 零信任 指引的參考架構，這些指引適用於內部部署與 Azure VNet、Azure VNet 與 Azure 服務之間的流量檢查，以及 Azure 環境和因特網之間的流量檢查。

此參考架構包括：

• 在 Azure 虛擬機上執行的 Azure IaaS 工作負載。
• Azure 服務。
• 包含 Azure DDoS 保護、Azure 防火牆 和 Azure Web 應用程式防火牆 （WAF） 的因特網邊緣 VNet。
• 顯示東西方和南北交通流量的箭號。

本文的內容為何？

零信任 原則會套用至參考架構。 下表說明如何確保此架構中網路流量的可見度 零信任 原則。

步驟 1：實作集中式流量檢查點

集中式流量檢查可讓您控制及可視化進出網路的流量。 中樞和輪輻 VNet 和 Azure 虛擬 WAN 是 Azure 中最常見的兩個網路拓撲。 它們連接網路的方式具有不同的功能和功能。 在這兩種設計中，中樞 VNet 都是中央網路，可用來將工作負載分割成從中樞 VNet 到輪輻 VNet 的應用程式和工作負載。 集中式檢查包括流量，這些流量會流向南北、東西方或兩者。

中樞與輪幅拓撲 \(部分機器翻譯\)

中樞和輪輻模型的特性之一，就是 VNet 都是由您管理。 客戶中樞受控 VNet 可作為其他輪輻 VNet 連線的共用 VNet。 此集中式 VNet 通常會使用：

• 若要建立內部部署網路的混合式連線。
• 使用 Azure 防火牆 或第三方網路虛擬設備進行流量檢查和分割。
• 若要集中處理應用程式傳遞服務檢查，例如使用 WAF Azure 應用程式閘道。

在此拓撲中，您會在中樞 VNet 中放置 Azure 防火牆 或 NVA，並設定使用者定義的路由（UDR）將來自輪輻 VNet 和內部部署網路的流量導向至中樞 VNet。 Azure 防火牆 或 NVA 也可以作為路由引擎，在輪輻虛擬網路之間路由傳送流量。 客戶管理的 VNet 中樞和輪輻模型最重要的功能之一，是使用 UDR 對流量進行細微控制，以及手動修改這些路由的路由、分割和傳播的能力。

Azure Virtual WAN

Azure 虛擬 WAN 是一個 Azure 受控中樞 VNet，其內含路由服務實例，負責監督從和傳播所有分支和所有支點的路由。 它可有效地啟用任意對任意連線。

受控 VNet（稱為受控虛擬中樞）的其中一大差異是，路由控制的數據粒度會針對使用者抽象化。 一些主要優點包括：

• 使用原生任意對任意連線簡化路由管理。 如果您需要流量隔離，您可以手動設定預設路由表內的自定義路由表或靜態路由。
• 只有 虛擬網絡 閘道、Azure 防火牆 和已核准的 NVA 或軟體定義 WAN （SD-WAN） 裝置可以部署在中樞內。 DNS 和 應用程式閘道 等集中式服務必須在一般輪輻 VNet 上。 輪輻必須使用 VNet 對等互連連結至虛擬中樞。

受控 VNet 最適合：

• 跨區域進行大規模部署，這些區域需要傳輸連線，以提供任何位置的流量檢查。
• 超過 30 個分支網站或超過 100 個因特網通訊協定安全性 （IPsec） 通道。

虛擬 WAN 的一些最佳功能是延展性路由基礎結構和互連能力。 延展性的範例包括每個中樞輸送量 50 Gbps 和 1,000 個分支網站。 為了進一步調整，多個虛擬中樞可以相互連線，以建立較大的虛擬WAN網狀網路。 虛擬 WAN 的另一個優點是藉由插入前置詞並按按鈕來簡化流量檢查的路由。

每個設計都有自己的優點和缺點。 應根據預期的未來成長和管理額外負荷需求來決定適當的選擇。

步驟 2：實施東西方交通檢查

東西部流量包括 VNet 對 VNet 和 VNet 對內部部署。 若要檢查東西部之間的流量，您可以在中樞虛擬網路中部署 Azure 防火牆 或 NVA。 這需要 UDR 將私人流量導向 Azure 防火牆 或 NVA 以進行檢查。 在相同的 VNet 中，您可以使用網路安全組進行訪問控制，但如果您需要更深入的控制，您可以使用本機防火牆或中樞虛擬網路中的集中式防火牆搭配使用 UDR。

使用 Azure 虛擬 WAN，您可以在虛擬中樞內擁有 Azure 防火牆 或 NVA 來進行集中式路由。 您可以使用 Azure 防火牆 管理員或路由意圖來檢查所有私人流量。 如果您想要自定義檢查，您可以在虛擬中樞內擁有 Azure 防火牆 或 NVA，以檢查所需的流量。 在虛擬 WAN 環境中引導流量最簡單的方式是啟用私人流量的路由意圖。 此功能會將私人地址前綴 （RFC 1918） 推送至聯機到中樞的所有輪輻。 任何目的地為私人IP位址的流量都會導向虛擬中樞進行檢查。

任一種方法都有其優缺點。 使用路由意圖的優點是簡化 UDR 管理，但您無法自定義每個連線的檢查。 不使用路由意圖或防火牆管理員的優點是您可以自定義檢查。 缺點是您無法進行區域間流量檢查。

下圖顯示 Azure 環境內的東西向流量。

若要瞭解 Azure 內的網路流量，Microsoft建議您在 VNet 中實作 Azure 防火牆 或 NVA。 Azure 防火牆 可以檢查網路層和應用層流量。 此外，Azure 防火牆 提供額外的功能，例如入侵檢測與預防系統（IDPS）、傳輸層安全性（TLS）檢查、URL 篩選和 Web 類別篩選。

在 Azure 網路中納入 Azure 防火牆 或 NVA 對於遵守網路功能假設缺口 零信任 原則至關重要。 假設每當數據周遊網路時，缺口都可能會發生，因此必須瞭解和控制允許哪些流量到達其目的地。 Azure 防火牆、UDR 和網路安全組透過允許或拒絕工作負載之間的流量，在啟用安全流量模型方面扮演重要角色。

若要查看 VNet 流量流量的詳細資訊，您可以啟用 VNet 流量 記錄或 NSG 流量記錄。 流量記錄數據會儲存在 Azure 儲存體 帳戶中，您可以在其中存取並匯出至視覺效果工具，例如 Azure 使用分析。 透過 Azure 使用分析，您可以尋找未知或垃圾流量、監視流量層級和頻寬使用量，或篩選特定流量以瞭解您的應用程式行為。

步驟 3：實施南北交通檢查

南北流量通常包括專用網與因特網之間的流量。 若要檢查中樞和輪輻拓撲中的南北流量，您可以使用 UDR 將流量導向 Azure 防火牆 實例或 NVA。 針對動態公告，您可以使用 Azure 路由伺服器 搭配支援 BGP 的 NVA，將所有因特網系結的流量從 VNet 導向 NVA。

在 Azure 虛擬 WAN 中，若要將南北流量從 VNet 導向虛擬中樞支援的 Azure 防火牆 或 NVA，您可以使用下列常見案例：

• 在虛擬中樞中使用 NVA 或 Azure 防火牆，該虛擬中樞由路由意圖控制，或使用 Azure 防火牆 管理員來控制，以引導南北流量。
• 如果您的 NVA 在虛擬中樞內不受支援，您可以在輪輻 VNet 中部署它，並使用 UDR 引導流量進行檢查。 同樣適用於 Azure 防火牆。 或者，您也可以將輪輻中的 NVA 與虛擬中樞對等互連，以公告預設路由 （0.0.0.0/0）。

下圖顯示 Azure 環境與因特網之間的南北流量。

Azure 提供下列網路服務，其設計目的是提供進入和結束 Azure 環境的網路流量可見度。

Azure DDoS 保護

您可以在任何具有公用IP資源的 VNet 上啟用 Azure DDoS 保護，以監視及減輕可能的分散式阻斷服務 （DDoS） 攻擊。 此風險降低程式牽涉到針對 DDoS 原則中預先定義的閾值分析流量使用率，然後記錄這項資訊以進行進一步檢查。 為了更做好未來事件的準備，Azure DDoS 保護提供對 公用IP位址和服務進行模擬 的能力，為 DDoS 攻擊期間應用程式的復原能力和回應提供寶貴的見解。

Azure 防火牆

Azure 防火牆 提供一組工具來監視、稽核和分析網路流量。

• 記錄和計量

  Azure 防火牆 會藉由與 Azure Log Analytics 工作區整合來收集詳細的記錄。 您可以使用 Kusto 查詢語言 （KQL） 查詢來擷取主要規則類別的額外資訊，例如應用程式和網路規則。 您也可以從網路層級擷取資源特定的記錄，以擴充架構和結構，以取得威脅情報和IDPS記錄。 如需詳細資訊，請參閱 Azure 防火牆 結構化記錄。

• 活頁簿

  Azure 防火牆 提供活頁簿，以呈現一段時間內使用活動圖表收集的數據。 此工具也可將多個 Azure 防火牆 資源合併成統一介面，協助您將多個資源可視化。 如需詳細資訊，請參閱使用 Azure 防火牆 活頁簿。

• 原則分析

  Azure 防火牆 原則分析提供您實作的原則概觀，並根據原則深入解析、規則分析和流量分析，調整和修改實作的原則，以調整並調整流量模式和威脅。 如需詳細資訊，請參閱 Azure 防火牆 原則分析。

這些功能可確保 Azure 防火牆 仍然是保護網路流量的強固解決方案，方法是為系統管理員提供有效網路管理所需的工具。

應用程式閘道

應用程式閘道 提供監視、稽核和分析流量的重要功能，以達到安全性目的。 藉由啟用記錄分析並使用預先定義或自定義的 KQL 查詢，您可以檢視 HTTP 錯誤碼，包括 4xx 和 5xx 範圍中對於識別問題至關重要的 4xx 和 5xx 範圍。

應用程式閘道 的存取記錄也提供密鑰安全性相關參數的重要見解，例如用戶端 IP 位址、要求 URI、HTTP 版本和 SSL/TLS 特定元件值，例如通訊協定、TLS 加密套件，以及啟用 SSL 加密時。

Azure Front Door

Azure Front Door 會採用 Anycast TCP，將流量路由傳送至最近的數據中心存在點 （PoP）。 如同傳統負載平衡器，您可以將 Azure 防火牆 或 NVA 放在 Azure Front Door 後端集區中，也稱為其原點。 唯一的需求是來源中的IP位址是公用的。

設定 Azure Front Door 以接收要求之後，它會產生流量報告，以顯示 Azure Front Door 配置文件的行為。 當您使用 Azure Front Door 進階層時，安全性報告也可用來顯示 WAF 規則的相符專案，包括開放式全球應用程式安全性專案 （OWASP） 規則、Bot 保護規則和自定義規則。

Azure WAF

Azure WAF 是一項額外的安全性功能，可檢查第 7 層流量，並可針對具有特定層級的 應用程式閘道 和 Azure Front Door 啟用。 這可為源自 Azure 的流量提供額外的安全性層。 您可以使用 OWASP 核心規則定義，在預防和偵測模式中設定 WAF。

監視工具

若要全面監視南北流量，您可以使用 NSG 流量記錄、Azure 使用分析和 VNet 流量記錄等工具來增強網路的可見度。

建議的訓練

• 設定和管理 Azure 系統管理員的虛擬網路
• Azure Web 應用程式防火牆簡介
• Azure 虛擬 WAN 簡介
• Azure Front Door 簡介
• Azure 應用程式閘道簡介

後續步驟

如需將 零信任 套用至 Azure 網路的其他資訊，請參閱：

• 加密以 Azure 為基礎的網路通訊
• 區隔以 Azure 為基礎的網路通訊
• 停止舊版網路安全性技術
• 使用零信任保護網路
• Azure 中的輪輻虛擬網路
• Azure 中的中樞虛擬網路
• 使用 Azure PaaS 服務的輪輻虛擬網路
• Azure 虛擬 WAN

參考資料

請參閱這些連結，以瞭解本文所述的各種服務和技術。

• Azure DDoS 保護
• Azure 防火牆
• Azure Web 應用程式防火牆
• Azure 虛擬 WAN
• Azure 應用程式閘道
• 使用者定義路由
• Azure 防火牆管理員
• VNet 流量記錄
• NSG 流量記錄
• Azure 使用分析
• Azure 路由伺服器
• Azure 防火牆 結構化記錄
• 使用 Azure 防火牆 活頁簿
• Azure 防火牆 原則分析
• Azure Front Door