توصيات للشبكات والاتصال

ينطبق على توصية قائمة التحقق من أمان Azure Well-Architected Framework هذه:

SE:05 عزل حركة مرور الشبكة وتصفيتها والتحكم فيها عبر كل من تدفقات الدخول والخروج. تطبيق مبادئ الدفاع في العمق باستخدام عناصر التحكم في الشبكة المترجمة في جميع حدود الشبكة المتاحة عبر كل من نسبة استخدام الشبكة بين الشرق والغرب والشمال والجنوب.

يصف هذا الدليل توصيات تصميم الشبكة. ينصب التركيز على عناصر التحكم الأمنية التي يمكنها تصفية الخصوم الذين يعبرون حدود الشبكة وحظرهم واكتشافهم في أعماق مختلفة من بنيتك.

يمكنك تعزيز عناصر التحكم في الهوية الخاصة بك عن طريق تنفيذ تدابير التحكم في الوصول المستندة إلى الشبكة. إلى جانب التحكم في الوصول المستند إلى الهوية، يعد أمان الشبكة أولوية عالية لحماية الأصول. يمكن أن توفر عناصر تحكم أمان الشبكة المناسبة عنصرا دفاعيا متعمقا يمكن أن يساعد في اكتشاف التهديدات واحتوائها، ومنع المهاجمين من الدخول إلى حمل العمل الخاص بك.

التعريفات

المصطلح التعريف
حركة المرور بين الشرق والغرب حركة مرور الشبكة التي تتحرك داخل حدود موثوق بها.
تدفق الخروج نسبة استخدام الشبكة لحمل العمل الصادر.
شبكة معادية شبكة لا يتم توزيعها كجزء من حمل العمل الخاص بك. تعتبر الشبكة العدائية متجها للتهديد.
تدفق الدخول حركة مرور حمل العمل الواردة.
تصفية الشبكة آلية تسمح أو تحظر نسبة استخدام الشبكة استنادا إلى قواعد محددة.
تجزئة الشبكة أو عزلها استراتيجية تقسم الشبكة إلى مقاطع صغيرة ومعزولة، مع تطبيق ضوابط الأمان على الحدود. تساعد هذه التقنية في حماية الموارد من الشبكات العدائية، مثل الإنترنت.
تحويل الشبكة آلية تقوم بتحول حزم الشبكة لإخفاءها.
حركة المرور بين الشمال والجنوب حركة مرور الشبكة التي تنتقل من حدود موثوق بها إلى شبكات خارجية يحتمل أن تكون معادية، والعكس صحيح.

استراتيجيات التصميم الرئيسية

يستخدم أمان الشبكة الغموض لحماية أصول حمل العمل من الشبكات العدائية. يتم إخفاء الموارد الموجودة خلف حدود الشبكة حتى تضع عناصر التحكم في الحدود علامة على نسبة استخدام الشبكة على أنها آمنة للمضي قدما. يعتمد تصميم أمان الشبكة على ثلاث استراتيجيات رئيسية:

  • مقطع. تعزل هذه التقنية نسبة استخدام الشبكة على شبكات منفصلة عن طريق إضافة حدود. على سبيل المثال، تمر نسبة استخدام الشبكة من وإلى طبقة التطبيق بحد للتواصل مع المستويات الأخرى، التي لها متطلبات أمان مختلفة. تقوم طبقات التجزئة بإضفاء الطابع الفعلي على نهج الدفاع المتعمق.

    الحد الأمني الأول هو حافة الشبكات بين التطبيق الخاص بك والشبكات العامة. من المهم تحديد هذا المحيط بوضوح بحيث تنشئ حدودا لعزل الشبكات العدائية. يجب أن تكون عناصر التحكم على هذه الحافة فعالة للغاية، لأن هذه الحدود هي خط الدفاع الأول.

    توفر الشبكات الظاهرية حدا منطقيا. حسب التصميم، لا يمكن للشبكة الظاهرية الاتصال بشبكة ظاهرية أخرى ما لم يتم قطع الحدود عن قصد من خلال التناظر. يجب أن تستفيد بنيتك من هذا الإجراء الأمني القوي الذي يوفره النظام الأساسي.

    يمكنك أيضا استخدام حدود منطقية أخرى، مثل الشبكات الفرعية المنحوتة داخل شبكة ظاهرية. تتمثل إحدى فوائد الشبكات الفرعية في أنه يمكنك استخدامها لتجميع الموارد الموجودة داخل حدود العزل وتوافر ضمانات أمان مماثلة. يمكنك بعد ذلك تكوين عناصر التحكم على الحدود لتصفية نسبة استخدام الشبكة.

  • عامل التصفية. تساعد هذه الاستراتيجية على ضمان توقع نسبة استخدام الشبكة التي تدخل الحدود والسماح بها وآمنة. من منظور Zero-Trust، تتحقق التصفية بشكل صريح من جميع نقاط البيانات المتاحة على مستوى الشبكة. يمكنك وضع القواعد على الحدود للتحقق من وجود شروط محددة.

    على سبيل المثال، على مستوى العنوان، يمكن للقواعد التحقق من أن نسبة استخدام الشبكة تنشأ من موقع متوقع أو تحتوي على وحدة تخزين متوقعة. ولكن هذه الفحوصات ليست كافية. حتى إذا أظهرت نسبة استخدام الشبكة الخصائص المتوقعة، فقد لا تكون الحمولة آمنة. قد تكشف عمليات التحقق من الصحة عن هجوم حقن SQL.

  • تحويل. قم بتحول الحزم عند الحدود كإجراء أمان. على سبيل المثال، يمكنك إزالة رؤوس HTTP للقضاء على خطر التعرض. أو يمكنك إيقاف تشغيل بروتوكول أمان طبقة النقل (TLS) في مرحلة ما وإعادة إنشائه في قفزة أخرى باستخدام شهادة تتم إدارتها بشكل أكثر صرامة.

تصنيف تدفقات نسبة استخدام الشبكة

الخطوة الأولى في تصنيف التدفقات هي دراسة تخطيطية لبنية حمل العمل الخاصة بك. من التخطيط، حدد هدف وخصائص التدفق فيما يتعلق بالفائدة الوظيفية والجوانب التشغيلية لحمل العمل الخاص بك. استخدم الأسئلة التالية للمساعدة في تصنيف التدفق:

  • إذا كان حمل العمل بحاجة إلى الاتصال بالشبكات الخارجية، فما هو المستوى المطلوب من القرب من تلك الشبكات؟

  • ما هي خصائص الشبكة للتدفق، مثل البروتوكول المتوقع ومصدر وشكل الحزم؟ هل هناك أي متطلبات امتثال على مستوى الشبكات؟

هناك العديد من الطرق لتصنيف تدفقات نسبة استخدام الشبكة. تناقش الأقسام التالية المعايير شائعة الاستخدام.

الرؤية من الشبكات الخارجية
  • عام. يواجه حمل العمل العام إذا كان تطبيقه ومكوناته الأخرى قابلة للوصول من الإنترنت العام. يتم عرض التطبيق من خلال عنوان IP عام واحد أو أكثر وخوادم نظام أسماء المجالات العامة (DNS).

  • الخصوصية. يكون حمل العمل خاصا إذا كان يمكن الوصول إليه فقط من خلال شبكة خاصة مثل شبكة ظاهرية خاصة (VPN). يتم عرضه فقط من خلال عنوان IP خاص واحد أو أكثر وربما من خلال خادم DNS خاص.

    في شبكة خاصة، لا يوجد خط رؤية من الإنترنت العام إلى حمل العمل. بالنسبة للبوابة، يمكنك استخدام موازن تحميل أو جدار حماية. يمكن أن توفر هذه الخيارات ضمانات الأمان.

حتى مع أحمال العمل العامة، احرص على الحفاظ على خصوصية أكبر قدر ممكن من حمل العمل. يفرض هذا النهج على الحزم المرور عبر حدود خاصة عند وصولها من شبكة عامة. يمكن أن تعمل البوابة في هذا المسار كنقطة انتقال من خلال العمل كوكيل عكسي.

اتجاه نسبة استخدام الشبكة

  • دخول. الدخول هو نسبة استخدام الشبكة الواردة التي تتدفق نحو حمل العمل أو مكوناته. للمساعدة في تأمين الدخول، قم بتطبيق المجموعة السابقة من الاستراتيجيات الرئيسية. حدد مصدر نسبة استخدام الشبكة وما إذا كان متوقعا ومسمحا وآمنا. يمكن للمهاجمين الذين يفحصون نطاقات عناوين IP لموفر السحابة العام اختراق دفاعاتك بنجاح إذا لم تحقق من الدخول أو تنفذ تدابير أمان الشبكة الأساسية.

  • الخروج. الخروج هو نسبة استخدام الشبكة الصادرة التي تتدفق بعيدا عن حمل العمل أو مكوناته. للتحقق من الخروج، حدد مكان توجه نسبة استخدام الشبكة وما إذا كانت الوجهة متوقعة ومسمحة وآمنة. قد تكون الوجهة ضارة أو مقترنة بمخاطر النقل غير المصرح للبيانات.

رسم تخطيطي يوضح تدفق نسبة استخدام الشبكة بين عمليات توزيع Azure والإنترنت.

يمكنك أيضا تحديد مستوى التعرض الخاص بك من خلال النظر في قرب حمل العمل الخاص بك من الإنترنت العام. على سبيل المثال، عادة ما يخدم النظام الأساسي للتطبيق عناوين IP العامة. مكون حمل العمل هو وجه الحل.

نطاق التأثير

  • الشمال والجنوب. نسبة استخدام الشبكة التي تتدفق بين شبكة حمل العمل والشبكات الخارجية هي نسبة استخدام الشبكة بين الشمال والجنوب. تعبر نسبة استخدام الشبكة هذه حافة شبكتك. يمكن أن تكون الشبكات الخارجية هي الإنترنت العام أو شبكة الشركة أو أي شبكة أخرى خارج نطاق التحكم الخاص بك.

    يمكن أن يكون كل من الدخول والخروج حركة مرور بين الشمال والجنوب.

    على سبيل المثال، ضع في اعتبارك تدفق الخروج لطوبولوجيا شبكة محورية. يمكنك تحديد حافة الشبكة لحمل العمل الخاص بك بحيث يكون المركز شبكة خارجية. في هذه الحالة، نسبة استخدام الشبكة الصادرة من الشبكة الظاهرية للمتحدث هي نسبة استخدام الشبكة بين الشمال والجنوب. ولكن إذا كنت تفكر في شبكة المركز داخل مجال التحكم الخاص بك، يتم توسيع نسبة استخدام الشبكة بين الشمال والجنوب إلى جدار الحماية في المركز، لأن الوثبة التالية هي الإنترنت، والتي من المحتمل أن تكون معادية.

  • شرقا وغربا نسبة استخدام الشبكة التي تتدفق داخل شبكة حمل العمل هي نسبة استخدام الشبكة بين الشرق والغرب. ينتج عن هذا النوع من نسبة استخدام الشبكة عندما تتواصل المكونات في حمل العمل مع بعضها البعض. مثال على ذلك هو نسبة استخدام الشبكة بين مستويات تطبيق n-tier. في الخدمات المصغرة، الاتصال من خدمة إلى خدمة هو نسبة استخدام الشبكة بين الشرق والغرب.

لتوفير الدفاع بعمق، حافظ على التحكم الشامل في تكاليف الأمان المضمنة في كل قفزة أو التي تستخدمها عندما تعبر الحزم الشرائح الداخلية. تتطلب مستويات المخاطر المختلفة أساليب مختلفة لمعالجة المخاطر.

رسم تخطيطي يوضح دفاع الشبكة بعمق للسحابة الخاصة.

يوضح الرسم التخطيطي السابق دفاع الشبكة بعمق في السحابة الخاصة. في هذا الرسم التخطيطي، يكون الحد بين مساحات عناوين IP العامة والخاصة أبعد بكثير من حمل العمل عن الرسم التخطيطي للسحابة العامة. تفصل طبقات متعددة عمليات توزيع Azure عن مساحة عنوان IP العام.

ملاحظة

الهوية هي دائما المحيط الأساسي. يجب تطبيق إدارة الوصول على تدفقات الشبكات. استخدم الهويات المدارة عند استخدام التحكم في الوصول استنادا إلى الدور (RBAC) في Azure بين مكونات شبكتك.

بعد تصنيف التدفقات، قم بإجراء تمرين تجزئة لتحديد نقاط حقن جدار الحماية على مسارات الاتصال لشرائح الشبكة. عند تصميم دفاع الشبكة بعمق عبر جميع القطاعات وجميع أنواع نسبة استخدام الشبكة، افترض حدوث خرق في جميع النقاط. استخدم مزيجا من عناصر تحكم الشبكة المترجمة المختلفة في جميع الحدود المتاحة. لمزيد من المعلومات، راجع استراتيجيات التجزئة.

تطبيق جدران الحماية على الحافة

حركة مرور حافة الإنترنت هي نسبة استخدام الشبكة بين الشمال والجنوب وتتضمن الدخول والخروج. للكشف عن التهديدات أو حظرها، يجب أن تخفف استراتيجية الحافة من أكبر عدد ممكن من الهجمات من وإلى الإنترنت.

بالنسبة إلى الخروج، أرسل جميع نسبة استخدام الشبكة المرتبطة بالإنترنت من خلال جدار حماية واحد يوفر إشرافا وحوكمة وتحكما محسنا في نسبة استخدام الشبكة. للدخول، يجبر جميع نسبة استخدام الشبكة من الإنترنت على الانتقال عبر جهاز ظاهري للشبكة (NVA) أو جدار حماية تطبيق ويب.

  • عادة ما تكون جدران الحماية وحدات مفردة يتم نشرها لكل منطقة في المؤسسة. ونتيجة لذلك، تتم مشاركتها بين أحمال العمل ويملكها فريق مركزي. تأكد من تكوين أي NVAs تستخدمها لدعم احتياجات حمل العمل الخاص بك.

  • نوصي باستخدام عناصر تحكم Azure الأصلية قدر الإمكان.

    بالإضافة إلى عناصر التحكم الأصلية، يمكنك أيضا التفكير في NVAs الشريكة التي توفر ميزات متقدمة أو متخصصة. تتوفر منتجات مورد جدار حماية تطبيق الويب وجدار حماية الشريك في Azure Marketplace.

    يجب أن يستند قرار استخدام الميزات الأصلية بدلا من حلول الشركاء إلى تجربة مؤسستك ومتطلباتها.

    المفاضلة: غالبا ما توفر قدرات الشركاء ميزات متقدمة يمكنها الحماية من الهجمات المتطورة، ولكن عادة ما تكون غير شائعة. يمكن أن يكون تكوين حلول الشركاء معقدا وهشا، لأن هذه الحلول لا تتكامل مع وحدات تحكم النسيج السحابية. من منظور التكلفة، يفضل التحكم الأصلي لأنه أرخص من حلول الشركاء.

يجب أن توفر أي خيارات تكنولوجية تفكر فيها عناصر تحكم أمنية ومراقبة لكل من تدفقات الدخول والخروج. للاطلاع على الخيارات المتوفرة ل Azure، راجع قسم أمان Edge في هذه المقالة.

تصميم أمان الشبكة الظاهرية والشبكة الفرعية

الهدف الأساسي من السحابة الخاصة هو إخفاء الموارد عن الإنترنت العام. هناك عدة طرق لتحقيق هذا الهدف:

  • انتقل إلى مساحات عناوين IP الخاصة، والتي يمكنك إنجازها باستخدام الشبكات الظاهرية. تقليل خط رؤية الشبكة حتى داخل شبكاتك الخاصة.

  • تقليل عدد إدخالات DNS العامة التي تستخدمها لعرض أقل من حمل العمل الخاص بك.

  • إضافة التحكم في تدفق شبكة الدخول والخروج. لا تسمح بنسبة استخدام الشبكة غير الموثوق بها.

استراتيجية التجزئة

لتقليل رؤية الشبكة، قم بتقسيم شبكتك وابدأ بعناصر تحكم الشبكة الأقل امتيازا. إذا لم يكن المقطع قابلا للتوجيه، فلا يمكن الوصول إليه. قم بتوسيع النطاق ليشمل فقط الشرائح التي تحتاج إلى الاتصال ببعضها البعض من خلال الوصول إلى الشبكة.

يمكنك تقسيم الشبكات الظاهرية عن طريق إنشاء شبكات فرعية. وينبغي أن تكون معايير التقسيم مقصودة. عند تجميع الخدمات داخل شبكة فرعية، تأكد من أن هذه الخدمات يمكن أن ترى بعضها البعض.

يمكنك إسناد التجزئة الخاصة بك إلى العديد من العوامل. على سبيل المثال، يمكنك وضع مستويات تطبيق مختلفة في مقاطع مخصصة. نهج آخر هو تخطيط الشبكات الفرعية الخاصة بك استنادا إلى الأدوار والوظائف الشائعة التي تستخدم بروتوكولات معروفة.

لمزيد من المعلومات، راجع استراتيجيات التجزئة.

جدران حماية الشبكة الفرعية

من المهم فحص نسبة استخدام الشبكة الواردة والصادرة لكل شبكة فرعية. استخدم الاستراتيجيات الرئيسية الثلاث التي تمت مناقشتها سابقا في هذه المقالة، في استراتيجيات التصميم الرئيسية. تحقق مما إذا كان التدفق متوقعا ومسمحا وآمنا. للتحقق من هذه المعلومات، حدد قواعد جدار الحماية التي تستند إلى البروتوكول والمصدر ووجهة نسبة استخدام الشبكة.

على Azure، يمكنك تعيين قواعد جدار الحماية في مجموعات أمان الشبكة. لمزيد من المعلومات، راجع قسم مجموعات أمان الشبكة في هذه المقالة.

للحصول على مثال لتصميم شبكة فرعية، راجع الشبكات الفرعية لشبكة Azure الظاهرية.

استخدام عناصر التحكم على مستوى المكون

بعد تقليل رؤية شبكتك، قم بتعيين موارد Azure من منظور الشبكة وتقييم التدفقات. الأنواع التالية من التدفقات ممكنة:

  • نسبة استخدام الشبكة المخطط لها، أو الاتصال المتعمد بين الخدمات وفقا لتصميم البنية الخاص بك. على سبيل المثال، لقد خططت لنسبة استخدام الشبكة عندما توصي البنية الخاصة بك بأن تسحب Azure Functions الرسائل من ناقل خدمة Azure.

  • إدارة نسبة استخدام الشبكة أو الاتصال الذي يحدث كجزء من وظائف الخدمة. نسبة استخدام الشبكة هذه ليست جزءا من تصميمك، وليس لديك أي تحكم فيها. مثال على نسبة استخدام الشبكة المدارة هو الاتصال بين خدمات Azure في بنيتك ومستوى إدارة Azure.

يساعدك التمييز بين نسبة استخدام الشبكة المخطط لها والإدارة على إنشاء عناصر تحكم مترجمة أو على مستوى الخدمة. لديك فهم جيد للمصدر والوجهة في كل قفزة. فهم كيفية كشف مستوى البيانات بشكل خاص.

كنقطة بداية، حدد ما إذا كانت كل خدمة معرضة للإنترنت. إذا كان الأمر كذلك، فخطط لكيفية تقييد الوصول. إذا لم يكن كذلك، فضعه في شبكة ظاهرية.

جدران حماية الخدمة

إذا كنت تتوقع أن تتعرض خدمة للإنترنت، فاستفيد من جدار الحماية على مستوى الخدمة المتوفر لمعظم موارد Azure. عند استخدام جدار الحماية هذا، يمكنك تعيين قواعد استنادا إلى أنماط الوصول. لمزيد من المعلومات، راجع قسم جدران حماية خدمة Azure في هذه المقالة.

ملاحظة

عندما لا يكون المكون الخاص بك خدمة، استخدم جدار حماية يستند إلى المضيف بالإضافة إلى جدران الحماية على مستوى الشبكة. الجهاز الظاهري (VM) هو مثال على مكون ليس خدمة.

الاتصال بخدمات النظام الأساسي كخدمة (PaaS)

ضع في اعتبارك استخدام نقاط النهاية الخاصة للمساعدة في تأمين الوصول إلى خدمات PaaS. يتم تعيين عنوان IP خاص لنقطة النهاية الخاصة من شبكتك الظاهرية. تسمح نقطة النهاية للموارد الأخرى في الشبكة بالاتصال بخدمة PaaS عبر عنوان IP الخاص.

يتم تحقيق الاتصال بخدمة PaaS باستخدام عنوان IP العام للخدمة وسجل DNS. يحدث هذا الاتصال عبر الإنترنت. يمكنك جعل هذا الاتصال خاصا.

ينشئ النفق من خدمة PaaS إلى إحدى شبكاتك الفرعية قناة خاصة. تتم جميع الاتصالات من عنوان IP الخاص بالمكون إلى نقطة نهاية خاصة في تلك الشبكة الفرعية، والتي تتصل بعد ذلك بخدمة PaaS.

في هذا المثال، تعرض الصورة على اليسار تدفق نقاط النهاية المكشوفة بشكل عام. على اليمين، يتم تأمين هذا التدفق باستخدام نقاط النهاية الخاصة.

رسم تخطيطي يوضح كيف تساعد نقطة النهاية الخاصة في حماية قاعدة بيانات من مستخدمي الإنترنت.

لمزيد من المعلومات، راجع قسم نقاط النهاية الخاصة في هذه المقالة.

ملاحظة

نوصي باستخدام نقاط النهاية الخاصة بالاقتران مع جدران حماية الخدمة. يحظر جدار حماية الخدمة حركة مرور الإنترنت الواردة ثم يعرض الخدمة بشكل خاص للمستخدمين الداخليين الذين يستخدمون نقطة النهاية الخاصة.

ميزة أخرى لاستخدام نقاط النهاية الخاصة هي أنك لا تحتاج إلى فتح المنافذ على جدار الحماية لنسبة استخدام الشبكة الصادرة. تقوم نقاط النهاية الخاصة بتأمين جميع نسبة استخدام الشبكة الصادرة على المنفذ للإنترنت العام. يقتصر الاتصال على الموارد داخل الشبكة.

المفاضلة: Azure Private Link هي خدمة مدفوعة تحتوي على عدادات للبيانات الواردة والصادرة التي تتم معالجتها. كما يتم تحصيل رسوم منك مقابل نقاط النهاية الخاصة.

الحماية من هجمات رفض الخدمة الموزعة (DDoS)

يحاول هجوم DDoS استنفاد موارد التطبيق لجعل التطبيق غير متوفر للمستخدمين الشرعيين. يمكن أن تستهدف هجمات DDoS أي نقطة نهاية يمكن الوصول إليها بشكل عام من خلال الإنترنت.

عادة ما يكون هجوم DDoS إساءة استخدام واسعة النطاق ومنتشرة جغرافيا لموارد النظام الخاص بك مما يجعل من الصعب تحديد المصدر وحظره.

للحصول على دعم Azure للمساعدة في الحماية من هذه الهجمات، راجع قسم حماية Azure DDoS في هذه المقالة.

تسهيل Azure

يمكنك استخدام خدمات Azure التالية لإضافة قدرات دفاعية متعمقة إلى شبكتك.

شبكة Azure الظاهرية

تساعد الشبكة الظاهرية موارد Azure على التواصل بأمان مع بعضها البعض والإنترنت والشبكات المحلية.

بشكل افتراضي، يمكن لجميع الموارد في شبكة ظاهرية المشاركة في الاتصالات الصادرة مع الإنترنت. ولكن الاتصال الوارد مقيد بشكل افتراضي.

توفر الشبكة الظاهرية ميزات لتصفية نسبة استخدام الشبكة. يمكنك تقييد الوصول على مستوى الشبكة الظاهرية باستخدام مسار معرف من قبل المستخدم (UDR) ومكون جدار الحماية. على مستوى الشبكة الفرعية، يمكنك تصفية نسبة استخدام الشبكة باستخدام مجموعات أمان الشبكة.

أمان Edge

بشكل افتراضي، يتدفق كل من الدخول والخروج عبر عناوين IP العامة. اعتمادا على الخدمة أو المخطط، يمكنك تعيين هذه العناوين أو تعيين Azure لها. تتضمن إمكانيات الدخول والخروج الأخرى تمرير نسبة استخدام الشبكة من خلال موازن التحميل أو بوابة ترجمة عنوان الشبكة (NAT). ولكن هذه الخدمات مخصصة لتوزيع نسبة استخدام الشبكة وليس بالضرورة للأمان.

يوصى باختيارات التكنولوجيا التالية:

  • Azure Firewall. يمكنك استخدام جدار حماية Azure على حافة الشبكة وفي طبولوجيا الشبكة الشائعة، مثل الشبكات المحورية وشبكات WAN الظاهرية. عادة ما تقوم بتوزيع Azure Firewall كجدار حماية خروج يعمل كبوابة أمان نهائية قبل أن تنتقل نسبة استخدام الشبكة إلى الإنترنت. يمكن لجدار حماية Azure توجيه نسبة استخدام الشبكة التي تستخدم بروتوكولات غير HTTP وغير HTTPS، مثل بروتوكول سطح المكتب البعيد (RDP) وبروتوكول Secure Shell (SSH) وبروتوكول نقل الملفات (FTP). تتضمن مجموعة ميزات Azure Firewall ما يلي:

    • ترجمة عنوان الشبكة الوجهة (DNAT)، أو إعادة توجيه المنفذ.
    • الكشف عن الاختراق والكشف عن توقيع نظام الوقاية (IDPS).
    • قواعد شبكة الطبقة 3 والطبقة 4 واسم المجال المؤهل بالكامل (FQDN).

    ملاحظة

    لدى معظم المؤسسات سياسة نفق إجبارية تجبر حركة المرور على التدفق عبر NVA.

    إذا كنت لا تستخدم طوبولوجيا شبكة WAN ظاهرية، فيجب عليك توزيع UDR مع من NextHopTypeInternet إلى عنوان IP الخاص ب NVA الخاص بك. يتم تطبيق UDRs على مستوى الشبكة الفرعية. بشكل افتراضي، لا تتدفق نسبة استخدام الشبكة الفرعية إلى الشبكة الفرعية عبر NVA.

    يمكنك أيضا استخدام Azure Firewall في وقت واحد للدخول. يمكنه توجيه نسبة استخدام الشبكة HTTP وHTTPS. في وحدات SKU ذات المستويات الأعلى، يوفر جدار حماية Azure إنهاء TLS بحيث يمكنك تنفيذ عمليات التفتيش على مستوى الحمولة.

    يوصى بالممارسات التالية:

    • تمكين إعدادات التشخيص في جدار حماية Azure لجمع سجلات تدفق نسبة استخدام الشبكة وسجلات IDPS وسجلات طلب DNS.

    • كن محددا قدر الإمكان في القواعد.

    • حيثما يكون ذلك عمليا، تجنب علامات خدمة FQDN. ولكن عند استخدامها، استخدم المتغير الإقليمي، والذي يسمح بالاتصال بجميع نقاط نهاية الخدمة.

    • استخدم مجموعات IP لتعريف المصادر التي يجب أن تشترك في نفس القواعد طوال عمر مجموعة IP. يجب أن تعكس مجموعات IP استراتيجية التجزئة الخاصة بك.

    • تجاوز قاعدة السماح FQDN للبنية الأساسية فقط إذا كان حمل العمل الخاص بك يتطلب التحكم المطلق في الخروج. يأتي تجاوز هذه القاعدة بمفاضلة موثوقية، لأن متطلبات النظام الأساسي ل Azure تتغير على الخدمات.

    المفاضلة: يمكن أن يؤثر جدار حماية Azure على أدائك. يمكن أن يتسبب ترتيب القاعدة والكمية وفحص TLS وعوامل أخرى في زمن انتقال كبير.

    يمكن أن يكون هناك أيضا تأثير على موثوقية حمل العمل الخاص بك. قد يواجه استنفاد منفذ ترجمة عنوان الشبكة المصدر (SNAT). للمساعدة في التغلب على هذه المشكلة، أضف عناوين IP العامة حسب الحاجة.

    المخاطر: بالنسبة لحركة مرور الخروج، يقوم Azure بتعيين عنوان IP عام. يمكن أن يكون لهذا التعيين تأثير انتقال البيانات من الخادم على بوابة الأمان الخارجية.

  • Azure Web Application Firewall. تدعم هذه الخدمة التصفية الواردة وتستهدف نسبة استخدام الشبكة HTTP وHTTPS فقط.

    يوفر الأمان الأساسي للهجمات الشائعة، مثل التهديدات التي يحددها مشروع أمان تطبيقات Open Worldwide (OWASP) في مستند OWASP Top 10. يوفر Azure Web Application Firewall أيضا ميزات أمان أخرى تركز على الطبقة 7، مثل تحديد المعدل وقواعد حقن SQL والبرمجة النصية عبر المواقع.

    باستخدام Azure Web Application Firewall، يلزم إنهاء TLS، لأن معظم عمليات التحقق تستند إلى حمولات.

    يمكنك دمج Azure Web Application Firewall مع أجهزة التوجيه، مثل Azure Application Gateway أو Azure Front Door. يمكن أن تختلف تطبيقات Azure Web Application Firewall لتلك الأنواع من أجهزة التوجيه.

Azure Firewall وAzure Web Application Firewall ليسا اختيارين حصريين بشكل متبادل. بالنسبة لحل أمان الحافة الخاص بك، تتوفر خيارات مختلفة. للحصول على أمثلة، راجع جدار الحماية وبوابة التطبيق للشبكات الظاهرية.

مجموعات أمان الشبكة

مجموعة أمان الشبكة هي جدار حماية الطبقة 3 والطبقة 4 الذي تطبقه على مستوى الشبكة الفرعية أو بطاقة واجهة الشبكة (NIC). لا يتم إنشاء مجموعات أمان الشبكة أو تطبيقها بشكل افتراضي.

تعمل قواعد مجموعة أمان الشبكة كجدار حماية لإيقاف حركة المرور التي تتدفق داخل وخارج محيط شبكة فرعية. تحتوي مجموعة أمان الشبكة على مجموعة قواعد افتراضية متساهلة بشكل مفرط. على سبيل المثال، لا تعين القواعد الافتراضية جدار حماية من منظور الخروج. للدخول، لا يسمح بنسبة استخدام شبكة الإنترنت الواردة.

لإنشاء قواعد، ابدأ بمجموعة القواعد الافتراضية:

  • لنسبة استخدام الشبكة الواردة ، أو الدخول:
    • يسمح بنسبة استخدام الشبكة الظاهرية من مصادر بوابة الشبكة الظاهرية المباشرة والمتناظرة والشبكة الظاهرية الخاصة.
    • يسمح بإجراء تحقيقات صحة Azure Load Balancer.
    • تم حظر جميع نسبة استخدام الشبكة الأخرى.
  • لنسبة استخدام الشبكة الصادرة ، أو الخروج:
    • يسمح بنسبة استخدام الشبكة الظاهرية إلى وجهات بوابة الشبكة الظاهرية الخاصة والمتناظرة والموجهة.
    • يسمح بنسبة استخدام الشبكة إلى الإنترنت.
    • تم حظر جميع نسبة استخدام الشبكة الأخرى.

ثم ضع في اعتبارك العوامل الخمسة التالية:

  • البروتوكول
  • عنوان IP المصدر
  • منفذ المصدر
  • عنوان IP للوجهة
  • منفذ الوجهة

يحد نقص الدعم ل FQDN من وظائف مجموعة أمان الشبكة. تحتاج إلى توفير نطاقات عناوين IP محددة لحمل العمل الخاص بك، ومن الصعب الحفاظ عليها.

ولكن بالنسبة لخدمات Azure، يمكنك استخدام علامات الخدمة لتلخيص نطاقات عناوين IP المصدر والوجهة. تتمثل إحدى مزايا الأمان لعلامات الخدمة في أنها غير شفافة للمستخدم، ويتم إلغاء تحميل المسؤولية إلى Azure. يمكنك أيضا تعيين مجموعة أمان تطبيق كنوع وجهة لتوجيه نسبة استخدام الشبكة إليه. يحتوي هذا النوع من المجموعة المسماة على موارد لها احتياجات وصول واردة أو صادرة مماثلة.

المخاطر: نطاقات علامات الخدمة واسعة جدا بحيث تستوعب أوسع نطاق ممكن من العملاء. التحديثات إلى علامات الخدمة متخلفة عن التغييرات في الخدمة.

رسم تخطيطي يوضح العزل الافتراضي للشبكة الظاهرية مع التناظر.

في الصورة السابقة، يتم تطبيق مجموعات أمان الشبكة في NIC. يتم رفض حركة مرور الإنترنت وحركة مرور الشبكة الفرعية إلى الشبكة الفرعية. يتم تطبيق مجموعات أمان الشبكة مع العلامة VirtualNetwork . لذلك في هذه الحالة، الشبكات الفرعية للشبكات النظيرة لها خط رؤية مباشر. يمكن أن يكون للتعريف الواسع للعلامة VirtualNetwork تأثير أمني كبير.

عند استخدام علامات الخدمة، استخدم الإصدارات الإقليمية عندما يكون ذلك ممكنا، مثل Storage.WestUS بدلا من Storage. باتباع هذا النهج، يمكنك تحديد النطاق لجميع نقاط النهاية في منطقة معينة.

بعض العلامات مخصصة لحركة المرور الواردة أو الصادرة فقط. والبعض الآخر لكلا النوعين . تسمح العلامات الواردة عادة بنسبة استخدام الشبكة من جميع أحمال عمل الاستضافة، مثل AzureFrontDoor.Backend، أو من Azure لدعم أوقات تشغيل الخدمة، مثل LogicAppsManagement. وبالمثل، تسمح العلامات الصادرة بنسبة استخدام الشبكة إلى جميع أحمال عمل الاستضافة أو من Azure لدعم أوقات تشغيل الخدمة.

حدد نطاق القواعد قدر الإمكان. في المثال التالي، يتم تعيين القاعدة إلى قيم معينة. يتم رفض أي نوع آخر من نسبة استخدام الشبكة.

المعلومات مثال
البروتوكول بروتوكول التحكم في الإرسال (TCP)، UDP
عنوان IP المصدر السماح بالدخول إلى الشبكة الفرعية من <source-IP-address-range>: 4575/UDP
منفذ المصدر السماح بالدخول إلى الشبكة الفرعية من <علامة> الخدمة: 443/TCP
عنوان IP الوجهة السماح بالدخول من الشبكة الفرعية إلى <destination-IP-address-range>: 443/TCP
منفذ الوجهة السماح بالدخول من الشبكة الفرعية إلى <علامة> الخدمة: 443/TCP

للتلخيص:

  • كن دقيقا عند إنشاء القواعد. السماح فقط بنسبة استخدام الشبكة الضرورية لتطبيقك للعمل. رفض كل شيء آخر. يحد هذا النهج من خط رؤية الشبكة لتدفقات الشبكة المطلوبة لدعم تشغيل حمل العمل. يؤدي دعم تدفقات الشبكة أكثر من اللازم إلى ناقلات هجوم غير ضرورية وتوسيع مساحة السطح.

    لا يعني تقييد نسبة استخدام الشبكة أن التدفقات المسموح بها خارج نطاق الهجوم. نظرا لأن مجموعات أمان الشبكة تعمل في الطبقات 3 و4 على مكدس Open Systems Interconnection (OSI)، فإنها تحتوي فقط على معلومات الشكل والاتجاه. على سبيل المثال، إذا كان حمل العمل الخاص بك يحتاج إلى السماح بنسبة استخدام شبكة DNS إلى الإنترنت، يمكنك استخدام مجموعة أمان شبكة من Internet:53:UDP. في هذه الحالة، قد يتمكن المهاجم من نقل البيانات من خلال UDP على المنفذ 53 إلى بعض الخدمات الأخرى.

  • فهم أن مجموعات أمان الشبكة يمكن أن تختلف قليلا عن بعضها البعض. من السهل التغاضي عن هدف الاختلافات. للحصول على تصفية دقيقة، من الآمن إنشاء مجموعات أمان شبكة إضافية. إعداد مجموعة أمان شبكة واحدة على الأقل.

    • تؤدي إضافة مجموعة أمان شبكة إلى إلغاء تأمين العديد من أدوات التشخيص، مثل سجلات التدفق وتحليلات نسبة استخدام الشبكة.

    • استخدم نهج Azure للمساعدة في التحكم في نسبة استخدام الشبكة في الشبكات الفرعية التي لا تحتوي على مجموعات أمان الشبكة.

  • إذا كانت الشبكة الفرعية تدعم مجموعات أمان الشبكة، أضف مجموعة، حتى لو كانت مؤثرة إلى الحد الأدنى.

جدران حماية خدمة Azure

توفر معظم خدمات Azure جدار حماية على مستوى الخدمة. تفحص هذه الميزة نسبة استخدام الشبكة للدخول إلى الخدمة من نطاقات توجيه بين المجالات (CIDR) دون فئة محددة. توفر جدران الحماية هذه فوائد:

  • فهي توفر مستوى أساسيا من الأمان.
  • هناك تأثير أداء مقبول.
  • تقدم معظم الخدمات جدران الحماية هذه دون أي تكلفة إضافية.
  • تصدر جدران الحماية سجلات من خلال تشخيصات Azure، والتي يمكن أن تكون مفيدة لتحليل أنماط الوصول.

ولكن هناك أيضا مخاوف أمنية مرتبطة بجدران الحماية هذه، وهناك قيود مرتبطة بتوفير المعلمات. على سبيل المثال، إذا كنت تستخدم عوامل البناء المستضافة من Microsoft، يجب عليك فتح نطاق عناوين IP لجميع عوامل الإنشاء المستضافة من Microsoft. ثم يكون النطاق مفتوحا لوكيل البناء والمستأجرين الآخرين والخصوم الذين قد يسيئون استخدام خدمتك.

إذا كان لديك أنماط وصول للخدمة، والتي يمكن تكوينها كمجموعات قواعد جدار حماية الخدمة، يجب تمكين الخدمة. يمكنك استخدام نهج Azure لتمكينه. تأكد من عدم تمكين خيار خدمات Azure الموثوق بها إذا لم يتم تمكينه بشكل افتراضي. يؤدي القيام بذلك إلى جلب جميع الخدمات التابعة الموجودة في نطاق القواعد.

لمزيد من المعلومات، راجع وثائق المنتج لخدمات Azure الفردية.

نقاط النهاية الخاصة

يوفر Private Link طريقة لمنح مثيل PaaS عنوان IP خاصا. ثم لا يمكن الوصول إلى الخدمة عبر الإنترنت. نقاط النهاية الخاصة غير مدعومة لجميع وحدات SKU.

ضع التوصيات التالية في الاعتبار عند استخدام نقاط النهاية الخاصة:

  • تكوين الخدمات المرتبطة بالشبكات الظاهرية للاتصال بخدمات PaaS من خلال نقاط النهاية الخاصة، حتى إذا كانت خدمات PaaS هذه تحتاج أيضا إلى توفير وصول عام.

  • تعزيز استخدام مجموعات أمان الشبكة لنقاط النهاية الخاصة لتقييد الوصول إلى عناوين IP الخاصة بنقطة النهاية.

  • استخدم دائما جدران حماية الخدمة عند استخدام نقاط النهاية الخاصة.

  • عندما يكون ذلك ممكنا، إذا كان لديك خدمة يمكن الوصول إليها فقط عبر نقاط النهاية الخاصة، فقم بإزالة تكوين DNS لنقطة النهاية العامة الخاصة به.

  • ضع في اعتبارك مخاوف خط رؤية وقت التشغيل عند تنفيذ نقاط النهاية الخاصة. ولكن ضع في اعتبارك أيضا مخاوف DevOps والمراقبة.

  • استخدم نهج Azure لفرض تكوين الموارد.

المفاضلة: وحدات SKU للخدمة ذات نقاط النهاية الخاصة مكلفة. يمكن أن تعقد نقاط النهاية الخاصة العمليات بسبب حجب الشبكة. تحتاج إلى إضافة وكلاء مستضافين ذاتيا ومربعات انتقال وVPN ومكونات أخرى إلى بنيتك.

يمكن أن تكون إدارة DNS معقدة في طبولوجيا الشبكة الشائعة. قد تضطر إلى تقديم معادي توجيه DNS والمكونات الأخرى.

حقن الشبكة الظاهرية

يمكنك استخدام عملية إدخال الشبكة الظاهرية لنشر بعض خدمات Azure في شبكتك. تتضمن أمثلة مثل هذه الخدمات Azure App Service و Functions وAzure API Management وAzure Spring Apps. تعزل هذه العملية التطبيق عن الإنترنت والأنظمة في الشبكات الخاصة وخدمات Azure الأخرى. يتم السماح بنسبة استخدام الشبكة الواردة والصادرة من التطبيق أو رفضها استنادا إلى قواعد الشبكة.

Azure Bastion

يمكنك استخدام Azure Bastion للاتصال بجهاز ظاهري باستخدام المستعرض ومدخل Microsoft Azure. يعزز Azure Bastion أمان اتصالات RDP وSSH. تتضمن حالة الاستخدام النموذجية الاتصال بمربع انتقال في نفس الشبكة الظاهرية أو شبكة ظاهرية نظيرة. يؤدي استخدام Azure Bastion إلى إزالة الحاجة إلى أن يكون للجهاز الظاهري عنوان IP عام.

Azure DDoS Protection

تتم حماية كل خاصية في Azure بواسطة حماية البنية الأساسية ل Azure DDoS دون أي تكلفة إضافية وبدون تكوين إضافي. مستوى الحماية أساسي، ولكن الحماية لها حدود عالية. كما أنه لا يوفر بيانات تتبع الاستخدام أو التنبيه، وهو غير محدد لحمل العمل.

تتوفر وحدات SKU ذات المستويات الأعلى لحماية DDoS ولكنها غير مجانية. يوفر مقياس شبكة Azure المنشورة عالميا وسعتها الحماية من هجمات طبقة الشبكة الشائعة. توفر تقنيات مثل مراقبة نسبة استخدام الشبكة دائما والتخفيف في الوقت الحقيقي هذه الإمكانية.

لمزيد من المعلومات، راجع نظرة عامة على Azure DDoS Protection.

مثال

فيما يلي بعض الأمثلة التي توضح استخدام عناصر تحكم الشبكة الموصى بها في هذه المقالة.

بيئة تكنولوجيا المعلومات

يعتمد هذا المثال على بيئة تكنولوجيا المعلومات (IT) التي تم إنشاؤها في أساس الأمان (SE:01). يوفر هذا النهج فهما واسعا لضوابط الشبكة المطبقة في محيطات مختلفة لتقييد حركة المرور.

رسم تخطيطي يوضح مثالا على أساس أمان المؤسسة مع عناصر تحكم الشبكة.

  1. شخصيات هجوم الشبكة. يمكن اعتبار العديد من الأشخاص في هجوم شبكة، بما في ذلك المسؤولون والموظفين وعملاء العميل والمهاجمون المجهولون.

  2. الوصول إلى VPN. قد يصل المستخدم السيئ إلى البيئة المحلية من خلال VPN أو بيئة Azure المتصلة بالبيئة المحلية من خلال VPN. قم بالتكوين باستخدام بروتوكول IPSec لتمكين الاتصال الآمن.

  3. وصول عام إلى التطبيق. لديك جدار حماية لتطبيق الويب (WAF) أمام التطبيق لحمايتها على الطبقة 7 من طبقة OSI للشبكة.

  4. وصول عامل التشغيل. يجب تأمين الوصول عن بعد من خلال الطبقة 4 من طبقات OSI للشبكة. ضع في اعتبارك استخدام جدار حماية Azure مع ميزات IDP/IDS.

  5. حماية DDOS. الحصول على حماية DDoS للشبكة الظاهرية بأكملها.

  6. مخطط الشبكة. مخطط الشبكة مثل hub-spoke، أكثر أمانا، ويحسن التكاليف. توفر شبكة المركز حماية مركزية لجدار الحماية لجميع المحاور النظيرة.

  7. نقاط النهاية الخاصة: ضع في اعتبارك إضافة خدمات مكشوفة للجمهور إلى شبكتك الخاصة باستخدام نقاط النهاية الخاصة. يؤدي ذلك إلى إنشاء بطاقة شبكة (NIC) في الشبكة الظاهرية الخاصة بك وربطها بخدمة Azure.

  8. اتصال TLS. حماية البيانات أثناء النقل عن طريق الاتصال عبر TLS.

  9. مجموعة أمان الشبكة (NSG): حماية المقاطع داخل شبكة ظاهرية باستخدام NSG، وهو مورد مجاني يقوم بتصفية اتصالات TCP/UDP الواردة والصادرة بالنظر إلى IP ونطاقات المنافذ. جزء من NSG هو مجموعة أمان التطبيق (ASG) التي تسمح لك بإنشاء علامات لقواعد نسبة استخدام الشبكة لتسهيل الإدارة.

  10. Log Analytics. تصدر موارد Azure بيانات تتبع الاستخدام التي يتم استيعابها في Log Analytics ثم استخدامها مع حل SIEM مثل Microsoft Sentinel للتحليل.

  11. تكامل Microsoft Sentinel. يتم دمج Log Analytics مع Microsoft Sentinel والحلول الأخرى مثل Microsoft Defender للسحابة.

  12. Microsoft Defender for Cloud. يقدم Microsoft Defender for Cloud العديد من حلول حماية حمل العمل، بما في ذلك توصيات الشبكة لبيئتك.

  13. تحليلات نسبة استخدام الشبكة: مراقبة عناصر التحكم في الشبكة باستخدام تحليلات نسبة استخدام الشبكة. يتم تكوين هذا من خلال Network Watcher، وهو جزء من Azure Monitor، ويجمع الزيارات الواردة والصادرة في الشبكات الفرعية التي تم جمعها بواسطة NSG.

بنية حمل عمل حاوية

تجمع بنية المثال هذه بين عناصر تحكم الشبكة الموضحة في هذه المقالة. لا يظهر المثال البنية الكاملة. بدلا من ذلك، يركز على عناصر تحكم الدخول على السحابة الخاصة.

رسم تخطيطي يوضح الدخول المتحكم فيه، بما في ذلك Application Gateway ومجموعة أمان الشبكة وAzure Bastion وAzure DDoS Protection.

بوابة التطبيق هي موازن تحميل نسبة استخدام الشبكة على الويب يمكنك استخدامه لإدارة نسبة استخدام الشبكة إلى تطبيقات الويب الخاصة بك. يمكنك نشر Application Gateway في شبكة فرعية مخصصة تحتوي على عناصر تحكم مجموعة أمان الشبكة وعناصر تحكم جدار حماية تطبيق الويب في مكانها.

يتم الاتصال بجميع خدمات PaaS من خلال نقاط النهاية الخاصة. يتم وضع جميع نقاط النهاية في شبكة فرعية مخصصة. تساعد حماية DDoS على حماية جميع عناوين IP العامة التي تم تكوينها لمستوى أساسي أو أعلى من حماية جدار الحماية.

يتم تقييد نسبة استخدام الشبكة للإدارة من خلال Azure Bastion، ما يساعد على توفير اتصال RDP وSSH آمن وسلس بالأجهزة الظاهرية الخاصة بك مباشرة من مدخل Microsoft Azure عبر TLS. يتم وضع عوامل الإنشاء في الشبكة الظاهرية بحيث يكون لديهم طريقة عرض شبكة لموارد حمل العمل مثل موارد الحوسبة وسجلات الحاويات وقواعد البيانات. يساعد هذا الأسلوب على توفير بيئة آمنة ومعزولة لوكلاء البناء، ما يعزز الحماية للتعليمات البرمجية والبيانات الاصطناعية الخاصة بك.

رسم تخطيطي يوضح الخروج المتحكم به لمجموعة أمان الشبكة وجدار حماية Azure.

تقيد مجموعات أمان الشبكة على مستوى الشبكة الفرعية لموارد الحوسبة نسبة استخدام الشبكة الخارجة. يتم استخدام التوجيه النفقي القسري لتوجيه جميع نسبة استخدام الشبكة من خلال جدار حماية Azure. يساعد هذا النهج على توفير بيئة آمنة ومعزولة لموارد الحوسبة الخاصة بك، ما يعزز الحماية لبياناتك وتطبيقاتك.

قائمة التحقق من الأمان

راجع المجموعة الكاملة من التوصيات.