Upravit

Síť s nulovou důvěryhodností pro webové aplikace s využitím služby Azure Firewall a služby Application Gateway

Azure Application Gateway
Azure Firewall
Azure Virtual Network
Azure Virtual WAN
Azure Web Application Firewall

Tato příručka popisuje strategii implementace zabezpečení nulové důvěryhodnosti pro webové aplikace pro kontrolu a šifrování. Paradigma nulové důvěryhodnosti zahrnuje mnoho dalších konceptů, jako je neustálé ověřování identity aktérů nebo zmenšení velikosti implicitních oblastí důvěryhodnosti na minimum. Tento článek se týká součásti šifrování a kontroly architektury nulové důvěryhodnosti pro příchozí provoz z veřejného internetu. Další dokumenty s nulovou důvěryhodností najdete v dalších aspektech bezpečného nasazení aplikace, jako je například ověřování. Pro účely tohoto článku nejlépe funguje vícevrstevný přístup, kde zabezpečení sítě tvoří jednu z vrstev modelu nulové důvěryhodnosti. V této vrstvě síťová zařízení kontrolují pakety, aby se zajistilo, že do aplikací dorazí jenom legitimní provoz.

Různé typy síťových zařízení obvykle kontrolují různé aspekty síťových paketů:

  • Firewally webových aplikací hledají vzory, které indikují útok na vrstvu webové aplikace.
  • Brány firewall nové generace můžou také hledat obecné hrozby.

V některých situacích můžete kombinovat různé typy síťových bezpečnostních zařízení, abyste zvýšili ochranu. Samostatný průvodce, brána firewall a Application Gateway pro virtuální sítě, popisuje vzory návrhu, které můžete použít k uspořádání různých zařízení. Tento dokument se zaměřuje na běžný vzor pro maximalizaci zabezpečení, ve kterém služba Aplikace Azure Gateway funguje před službou Azure Firewall Premium. Tento model znázorňuje následující diagram:

Diagram architektury znázorňující tok paketů v síti webové aplikace, která používá Službu Application Gateway před službou Azure Firewall Premium

Stáhněte si soubor aplikace Visio s touto architekturou.

Tato architektura používá protokol TLS (Transport Layer Security) k šifrování provozu v každém kroku.

  • Klient odesílá pakety do služby Application Gateway, nástroje pro vyrovnávání zatížení. Spustí se s volitelným přidáním služby Azure Web Application Firewall.

  • Application Gateway dešifruje pakety a vyhledá hrozby pro webové aplikace. Pokud nenajde žádné hrozby, použije k šifrování paketů principy nulové důvěryhodnosti. Pak je uvolní.

  • Azure Firewall Premium spouští kontroly zabezpečení:

  • Pokud pakety projdou testy, Azure Firewall Premium provede tyto kroky:

    • Zašifruje pakety.
    • Používá službu DNS (Domain Name System) k určení virtuálního počítače aplikace.
    • Přesměruje pakety na virtuální počítač aplikace.

Různé kontrolní moduly v této architektuře zajišťují integritu provozu:

  • Firewall webových aplikací používá pravidla k prevenci útoků ve webové vrstvě. Mezi příklady útoků patří injektáž kódu SQL a skriptování mezi weby. Další informace o pravidlech a základní sadě pravidel OWASP (Open Web Application Security Project) najdete v tématu Skupiny a pravidla služby Web Application Firewall CRS.
  • Azure Firewall Premium používá obecná pravidla detekce neoprávněných vniknutí a prevence. Tato pravidla pomáhají identifikovat škodlivé soubory a další hrozby, které cílí na webové aplikace.

Tato architektura podporuje různé typy návrhu sítě, které tento článek popisuje:

  • Tradiční hvězdicové sítě
  • Sítě, které používají Azure Virtual WAN jako platformu
  • Sítě, které používají Azure Route Server ke zjednodušení dynamického směrování

Azure Firewall Premium a překlad názvů

Při kontrole škodlivého provozu Azure Firewall Premium ověřuje, že hlavička hostitele HTTP odpovídá IP adrese paketu a portu TCP. Předpokládejme například, že Application Gateway odesílá webové pakety na IP adresu 172.16.1.4 a port TCP 443. Hodnota hlavičky hostitele HTTP by se měla přeložit na tuto IP adresu.

Hlavičky hostitele HTTP obvykle neobsahují IP adresy. Místo toho hlavičky obsahují názvy, které odpovídají digitálnímu certifikátu serveru. V tomto případě Azure Firewall Premium používá DNS k překladu názvu hlavičky hostitele na IP adresu. Návrh sítě určuje, které řešení DNS funguje nejlépe, jak je popsáno v dalších částech.

Poznámka:

Application Gateway nepodporuje čísla portů v hlavičkách hostitele HTTP. Výsledek:

  • Azure Firewall Premium předpokládá výchozí port HTTPS TCP 443.
  • Připojení mezi službou Application Gateway a webovým serverem podporuje pouze port TCP 443, nikoli nestandardní porty.

Digitální certifikáty

Následující diagram znázorňuje běžné názvy (CN) a certifikační autority (CA), které používají relace a certifikáty TLS architektury:

Diagram architektury znázorňující běžné názvy a certifikační autority, které síť webové aplikace používá, když je nástroj pro vyrovnávání zatížení před bránou firewall.

Připojení TLS

Tato architektura obsahuje tři různá připojení TLS. Digitální certifikáty ověřují každý z nich:

Z klientů do služby Application Gateway

Ve službě Application Gateway nasadíte digitální certifikát, který klienti uvidí. Dobře známá certifikační autorita, jako je DigiCert nebo Let's Encrypt, obvykle vydává takový certifikát.

Z Application Gateway do služby Azure Firewall Premium

K dešifrování a kontrole provozu PROTOKOLU TLS služba Azure Firewall Premium dynamicky generuje certifikáty. Azure Firewall Premium se také prezentuje jako webový server ve službě Application Gateway. Privátní certifikační autorita podepíše certifikáty, které generuje Azure Firewall Premium. Další informace najdete v tématu Certifikáty Azure Firewall Premium. Application Gateway musí tyto certifikáty ověřit. V nastavení HTTP aplikace nakonfigurujete kořenovou certifikační autoritu, kterou Azure Firewall Premium používá.

Z Azure Firewall Premium na webový server

Azure Firewall Premium vytvoří relaci TLS s cílovým webovým serverem. Azure Firewall Premium ověřuje, že známá certifikační autorita podepíše pakety TLS webového serveru.

Role komponent

Application Gateway a Azure Firewall Premium zpracovávají certifikáty odlišně od sebe, protože se jejich role liší:

  • Application Gateway je reverzní webový proxy server. Chrání webové servery před škodlivými klienty zachycením požadavků HTTP a HTTPS. Deklarujete každý chráněný server, který je v back-endovém fondu služby Application Gateway, se svou IP adresou nebo plně kvalifikovaným názvem domény. Legitimní klienti by měli mít přístup ke každé aplikaci. Službu Application Gateway tedy nakonfigurujete pomocí digitálního certifikátu, který podepsala veřejná certifikační autorita. Použijte certifikační autoritu, kterou přijme každý klient TLS.
  • Azure Firewall Premium je přesměrovací webový proxy server nebo webový proxy server. Chrání klienty před škodlivými webovými servery tím, že zachycuje volání PROTOKOLU TLS od chráněných klientů. Když chráněný klient vytvoří požadavek HTTP, předá proxy zosobní cílový webový server generováním digitálních certifikátů a jejich prezentováním klientovi. Azure Firewall Premium používá privátní certifikační autoritu, která podepisuje dynamicky generované certifikáty. Konfigurujete chráněné klienty tak, aby důvěřovali této privátní certifikační autoritě. V této architektuře azure Firewall Premium chrání požadavky ze služby Application Gateway na webový server. Application Gateway důvěřuje privátní certifikační autoritě, kterou používá Azure Firewall Premium.

Směrování a přesměrování provozu

Směrování se bude mírně lišit v závislosti na topologii návrhu sítě. V následujících částech najdete podrobnosti o specifikách topologie hvězdicového centra, virtuální sítě WAN a topologie směrovacího serveru. Existují však některé aspekty, které jsou společné pro všechny topologie:

  • Aplikace Azure Gateway se vždy chová jako proxy server a Azure Firewall Premium funguje i při konfiguraci kontroly protokolu TLS: Relace TLS z klientů se ukončí službou Application Gateway a nové relace TLS se sestaví směrem ke službě Azure Firewall. Azure Firewall přijímá a ukončuje relace TLS zdrojové ze služby Application Gateway a vytváří nové relace TLS směrem k úlohám. Tato skutečnost má vliv na konfiguraci IDPS služby Azure Firewall Premium, níže uvedené části obsahují další podrobnosti.
  • Úloha uvidí připojení přicházející z IP adresy podsítě služby Azure Firewall. Původní IP adresa klienta se zachovají v X-Forwarded-For hlavičce HTTP vložené službou Application Gateway.
  • Provoz ze služby Application Gateway do úlohy se obvykle odesílá do služby Azure Firewall pomocí mechanismů směrování Azure, a to buď s trasami definovanými uživatelem nakonfigurovanými v podsíti služby Application Gateway, nebo s trasami vloženými službou Azure Virtual WAN nebo Azure Route Serverem. I když je možné explicitně definovat privátní IP adresu služby Azure Firewall v back-endovém fondu služby Application Gateway, technicky se nedoporučuje, protože některé funkce služby Azure Firewall, jako je vyrovnávání zatížení a odolnost, se nedoporučuje.

V následujících částech najdete podrobné informace o některých nejběžnějších topologiích používaných se službou Azure Firewall a službou Application Gateway.

Hvězdicová topologie

Návrh hvězdicového centra obvykle nasazuje sdílené síťové komponenty do virtuální sítě centra a komponent specifických pro aplikaci v paprskech. Ve většině systémů je Azure Firewall Premium sdíleným prostředkem. Firewall webových aplikací ale může být sdíleným síťovým zařízením nebo komponentou specifickou pro aplikaci. Z následujících důvodů je obvykle nejlepší zacházet se službou Application Gateway jako s komponentou aplikace a nasazovat ji ve virtuální síti paprsku:

  • Řešení potíží s upozorněními firewallu webových aplikací může být obtížné. Obecně potřebujete podrobné znalosti aplikace, abyste se mohli rozhodnout, jestli jsou zprávy, které tyto alarmy aktivují, legitimní.
  • Pokud se službou Application Gateway pracujete jako se sdíleným prostředkem, můžete překročit Aplikace Azure limity brány.
  • Pokud nasadíte službu Application Gateway v centru, může dojít k problémům s řízením přístupu na základě role. Tato situace může narazit, když týmy spravují různé aplikace, ale používají stejnou instanci služby Application Gateway. Každý tým pak má přístup k celé konfiguraci služby Application Gateway.

Díky tradiční hvězdicové architektuře poskytují privátní zóny DNS snadný způsob použití DNS:

  • Nakonfigurujte privátní zónu DNS.
  • Propojte zónu s virtuální sítí, která obsahuje Azure Firewall Premium.
  • Ujistěte se, že záznam A existuje pro hodnotu, kterou Application Gateway používá pro provoz a kontroly stavu.

Následující diagram znázorňuje tok paketů, když je služba Application Gateway v paprskové virtuální síti. V takovém případě se klient připojí z veřejného internetu.

Diagram architektury znázorňující tok paketů v hvězdicové síti s nástrojem pro vyrovnávání zatížení a bránou firewall Klienti se připojují z veřejného internetu.

  1. Klient odešle požadavek na webový server.
  2. Application Gateway zachytí pakety klienta a prozkoumá je. Pokud pakety projdou kontrolou, služba Application Gateway odešle paket do back-endového virtuálního počítače. Když paket dorazí do Azure, trasa definovaná uživatelem v podsíti služby Application Gateway přesměruje pakety do služby Azure Firewall Premium.
  3. Azure Firewall Premium spouští kontroly zabezpečení paketů. Pokud projdou testy, Azure Firewall Premium předává pakety virtuálnímu počítači aplikace.
  4. Virtuální počítač odpoví a nastaví cílovou IP adresu na službu Application Gateway. Trasu definovanou uživatelem v podsíti virtuálního počítače přesměruje pakety na Azure Firewall Premium.
  5. Azure Firewall Premium předává pakety službě Application Gateway.
  6. Application Gateway odpoví na klienta.

Provoz může také docházet z místní sítě místo z veřejného internetu. Provoz prochází buď přes virtuální privátní síť typu site-to-site (VPN), nebo přes ExpressRoute. V tomto scénáři provoz nejprve dosáhne brány virtuální sítě v centru. Zbytek síťového toku je stejný jako předchozí případ.

Diagram architektury znázorňující tok paketů v hvězdicové síti s nástrojem pro vyrovnávání zatížení a bránou firewall Klienti se připojují z místní sítě.

  1. Místní klient se připojí k bráně virtuální sítě.
  2. Brána předává klientské pakety službě Application Gateway.
  3. Application Gateway prozkoumá pakety. Pokud projdou kontrolou, trasu definovanou uživatelem v podsíti služby Application Gateway předá pakety do služby Azure Firewall Premium.
  4. Azure Firewall Premium spouští kontroly zabezpečení paketů. Pokud projdou testy, Azure Firewall Premium předává pakety virtuálnímu počítači aplikace.
  5. Virtuální počítač odpoví a nastaví cílovou IP adresu na Službu Application Gateway. Trasu definovanou uživatelem v podsíti virtuálního počítače přesměruje pakety na Azure Firewall Premium.
  6. Azure Firewall Premium předává pakety službě Application Gateway.
  7. Application Gateway odesílá pakety do brány virtuální sítě.
  8. Brána odpoví na klienta.

Topologie služby Virtual WAN

V této architektuře můžete také použít síťovou službu Virtual WAN . Tato komponenta nabízí mnoho výhod. Například eliminuje potřebu uživatelem udržovaných trasy definované uživatelem ve virtuálních sítích paprsků. Statické trasy můžete místo toho definovat ve směrovacích tabulkách virtuálního centra. Programování každé virtuální sítě, ke které se připojujete k centru, pak tyto trasy obsahuje.

Když jako síťovou platformu používáte Virtual WAN, výsledkem jsou dva hlavní rozdíly:

  • Privátní zóny DNS nemůžete propojit s virtuálním centrem, protože microsoft spravuje virtuální centra. Jako vlastník předplatného nemáte oprávnění k propojení privátních zón DNS. V důsledku toho nemůžete přidružit privátní zónu DNS k zabezpečenému centru, které obsahuje Službu Azure Firewall Premium. Pokud chcete implementovat překlad DNS pro Azure Firewall Premium, použijte místo toho servery DNS:

    • Nakonfigurujte Nastavení DNS služby Azure Firewall tak, aby používaly vlastní servery DNS.
    • Nasaďte servery ve virtuální síti sdílených služeb, ke které se připojujete k virtuální síti WAN.
    • Propojte privátní zónu DNS s virtuální sítí sdílených služeb. Servery DNS pak můžou přeložit názvy, které Application Gateway používá v hlavičce hostitele HTTP. Další informace najdete v tématu Nastavení DNS služby Azure Firewall.

  • Virtual WAN můžete použít pouze k programování tras v paprsku, pokud je předpona kratší (méně specifická) než předpona virtuální sítě. Například v diagramech nad paprskovou virtuální sítí má předponu 172.16.0.0/16: v tomto případě Virtual WAN nemůže vkládat trasu, která odpovídá předponě virtuální sítě (172.16.0.0/16) nebo žádné z podsítí (172.16.0.0/24, 172.16.1.0/24). Jinými slovy: Virtual WAN nemůže přilákat provoz mezi dvěma podsítěmi, které jsou ve stejné virtuální síti. Toto omezení se zjeví, když je služba Application Gateway a cílový webový server ve stejné virtuální síti: Virtual WAN nemůže vynutit provoz mezi službou Application Gateway a webovým serverem projít službou Azure Firewall Premium (alternativním řešením je ruční konfigurace tras definovaných uživatelem v podsítích služby Application Gateway a webového serveru).

Následující diagram znázorňuje tok paketů v případě, že používá Virtual WAN. V této situaci je přístup ke službě Application Gateway z místní sítě. Síť VPN typu site-to-site nebo ExpressRoute se připojí ke službě Virtual WAN. Přístup z internetu je podobný.

Diagram architektury znázorňující tok paketů v hvězdicové síti, který zahrnuje nástroj pro vyrovnávání zatížení, bránu firewall a Virtual WAN

  1. Místní klient se připojí k síti VPN.
  2. Síť VPN předává pakety klienta službě Application Gateway.
  3. Application Gateway prozkoumá pakety. Pokud projdou kontrolou, podsíť služby Application Gateway předává pakety do služby Azure Firewall Premium.
  4. Azure Firewall Premium požaduje překlad DNS ze serveru DNS ve virtuální síti sdílených služeb.
  5. Server DNS odpoví na žádost o překlad.
  6. Azure Firewall Premium spouští kontroly zabezpečení paketů. Pokud projdou testy, Azure Firewall Premium předává pakety virtuálnímu počítači aplikace.
  7. Virtuální počítač odpoví a nastaví cílovou IP adresu na Službu Application Gateway. Podsíť aplikace přesměruje pakety na Azure Firewall Premium.
  8. Azure Firewall Premium předává pakety službě Application Gateway.
  9. Application Gateway odesílá pakety do sítě VPN.
  10. Síť VPN odpovídá klientovi.

V tomto návrhu možná budete muset upravit směrování, které centrum inzeruje paprskovým virtuálním sítím. Konkrétně Application Gateway v2 podporuje pouze trasu 0.0.0.0/0, která odkazuje na internet. Trasy s touto adresou, které neodkazuje na internet, přeruší připojení, které Microsoft vyžaduje ke správě služby Application Gateway. Pokud vaše virtuální centrum inzeruje trasu 0.0.0.0/0, zabráníte tomu, aby se tato trasa šířil do podsítě služby Application Gateway, a to jedním z těchto kroků:

  • Vytvořte směrovací tabulku s trasou 0.0.0.0/0 a typem dalšího Internetsegmentu směrování . Tuto trasu přidružte k podsíti, do které nasadíte službu Application Gateway.
  • Pokud nasadíte službu Application Gateway ve vyhrazeném paprsku, zakažte šíření výchozí trasy v nastavení pro připojení k virtuální síti.

Topologie serveru směrování

Route Server nabízí jiný způsob, jak automaticky vkládat trasy do paprsků. Díky této funkci se vyhnete administrativní režii při údržbě směrovacích tabulek. Route Server kombinuje virtual WAN a hvězdicové varianty:

  • Se systémem Route Server spravují zákazníci virtuální sítě centra. V důsledku toho můžete virtuální síť centra propojit s privátní zónou DNS.
  • Route Server má stejné omezení jako u služby Virtual WAN týkající se předpon IP adres. Trasy můžete vložit do paprsku pouze v případě, že je předpona kratší (méně specifická) než předpona virtuální sítě. Kvůli tomuto omezení musí být Služba Application Gateway a cílový webový server v různých virtuálních sítích.

Následující diagram znázorňuje tok paketů, když směrovací server zjednodušuje dynamické směrování. Všimněte si těchto bodů:

  • Směrovací server v současné době vyžaduje zařízení, které do nich vloží trasy, aby je odesílaly přes protokol BGP (Border Gateway Protocol). Vzhledem k tomu, že Azure Firewall Premium nepodporuje protokol BGP, použijte místo toho síťové virtuální zařízení (NVA) třetí strany.
  • Funkce síťového virtuálního zařízení v centru určuje, jestli vaše implementace potřebuje DNS.

Diagram architektury znázorňující tok paketů v hvězdicové síti, který zahrnuje nástroj pro vyrovnávání zatížení, bránu firewall a směrovací server

  1. Místní klient se připojí k bráně virtuální sítě.
  2. Brána předává klientské pakety službě Application Gateway.
  3. Application Gateway prozkoumá pakety. Pokud projdou kontrolou, podsíť služby Application Gateway předává pakety do back-endového počítače. Trasa v podsíti ApplicationGateway vložená směrovacím serverem by přesměrovala provoz do síťového virtuálního zařízení.
  4. Síťové virtuální zařízení spouští na paketech kontroly zabezpečení. Pokud projdou testy, síťové virtuální zařízení předá pakety virtuálnímu počítači aplikace.
  5. Virtuální počítač odpoví a nastaví cílovou IP adresu na Službu Application Gateway. Trasa vložená do podsítě virtuálního počítače směrovacím serverem přesměruje pakety do síťového virtuálního zařízení.
  6. Síťové virtuální zařízení předává pakety službě Application Gateway.
  7. Application Gateway odesílá pakety do brány virtuální sítě.
  8. Brána odpoví na klienta.

Stejně jako u služby Virtual WAN možná budete muset změnit směrování při použití směrovacího serveru. Pokud inzerujete trasu 0.0.0.0/0, může se rozšířit do podsítě služby Application Gateway. Služba Application Gateway ale danou trasu nepodporuje. V tomto případě nakonfigurujte směrovací tabulku pro podsíť služby Application Gateway. Zahrňte trasu pro 0.0.0.0/0 a typ dalšího Internet segmentu směrování v této tabulce.

IDPS a privátní IP adresy

Jak je vysvětleno v pravidlech IDPS služby Azure Firewall, azure Firewall Premium rozhodne, která pravidla IDPS se použijí v závislosti na zdrojové a cílové IP adrese paketů. Azure Firewall bude považovat za výchozí privátní IP adresy v rozsahech RFC 1918 (10.0.0.0/8192.168.0.0/16a172.16.0.0/12) a RFC 6598 (100.64.0.0/10) jako interní. Pokud se tedy jako v diagramech v tomto článku služba Application Gateway nasadí do podsítě v některé z těchto oblastí (172.16.0.0/24 v příkladech výše), Azure Firewall Premium bude zvažovat provoz mezi službou Application Gateway a úlohou, která se má použít, a použije se pouze podpisy IDPS, které se použijí na interní provoz nebo na jakýkoli provoz. Podpisy IDPS označené k použití pro příchozí nebo odchozí provoz se na provoz mezi službou Application Gateway a úlohou nepoužijí.

Nejjednodušší způsob, jak vynucovat pravidla příchozího podpisu IDPS pro provoz mezi službou Application Gateway a úlohou, je umístěním služby Application Gateway do podsítě s předponou mimo privátní rozsahy. Pro tuto podsíť nemusíte nutně používat veřejné IP adresy, ale místo toho můžete přizpůsobit IP adresy, se kterými Azure Firewall Premium pracuje jako s interními ip adresami pro IDPS. Pokud například vaše organizace rozsah nepoužívá100.64.0.0/10, můžete tento rozsah eliminovat ze seznamu interních předpon pro IDPS (další podrobnosti o tom, jak to udělat) a nasadit službu Application Gateway do podsítě nakonfigurované s IP adresou v 100.64.0.0/10.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Další kroky