Doporučení pro sítě a možnosti připojení

  • Článek

Platí pro toto doporučení kontrolního seznamu zabezpečení architektury Azure Well-Architected Framework:

SE:05 Izolace, filtrování a řízení síťového provozu mezi příchozím i odchozím toky. Použití principů hloubkové ochrany pomocí lokalizovaných síťových ovládacích prvků na všech dostupných síťových hranicích napříč provozem východ-západ i sever-jih.

Tato příručka popisuje doporučení pro návrh sítě. Zaměřuje se na bezpečnostní prvky, které můžou filtrovat, blokovat a detekovat nežádoucí osobu překračující hranice sítě v různých hloubkách vaší architektury.

Kontrolní mechanismy identit můžete posílit implementací síťových opatření řízení přístupu. Kromě řízení přístupu na základě identity je zabezpečení sítě při ochraně prostředků vysokou prioritou. Správné ovládací prvky zabezpečení sítě můžou poskytnout prvek hloubkové ochrany, který může pomoct odhalit a podržet hrozby a zabránit útočníkům v získání přístupu k vaší úloze.

Definice

Období Definice
Provoz z východu na západ Síťový provoz, který se pohybuje v rámci důvěryhodné hranice.
Tok výchozího přenosu dat Odchozí provoz úloh.
Nepřátelská síť Síť, která není nasazená jako součást vaší úlohy. Nepřátelská síť se považuje za vektor hrozeb.
Tok příchozího přenosu dat Příchozí provoz úloh.
Filtrování sítě Mechanismus, který povoluje nebo blokuje síťový provoz na základě zadaných pravidel.
Segmentace nebo izolace sítě Strategie, která rozděluje síť na malé izolované segmenty s použitými bezpečnostními prvky na hranicích. Tato technika pomáhá chránit prostředky před nepřátelskými sítěmi, jako je internet.
Transformace sítě Mechanismus, který mutuje síťové pakety, aby je zakryl.
Provoz mezi severem a jihem Síťový provoz, který se přesouvá z důvěryhodné hranice do externích sítí, které jsou potenciálně nepřátelské, a naopak.

Klíčové strategie návrhu

Zabezpečení sítě využívá obskuritu k ochraně prostředků úloh před nepřátelskými sítěmi. Prostředky, které jsou za hranicí sítě, jsou skryté, dokud ovládací prvky hranice označí provoz jako bezpečný pro pohyb vpřed. Návrh zabezpečení sítě je založený na třech hlavních strategiích:

  • Segment. Tato technika izoluje provoz v samostatných sítích přidáním hranic. Například provoz do a z aplikační vrstvy předává hranici pro komunikaci s jinými vrstvami, které mají různé požadavky na zabezpečení. Vrstvy segmentace zkonkumentují přístup založený na hloubkové ochraně.

    Hlavní hranicí zabezpečení je hraniční síť mezi vaší aplikací a veřejnými sítěmi. Je důležité tuto hraniční síť jasně definovat, abyste vytvořili hranici pro izolování nepřátelských sítí. Ovládací prvky na této hranici musí být vysoce účinné, protože tato hranice je vaší první obrannou linií.

    Virtuální sítě poskytují logickou hranici. Virtuální síť záměrně nemůže komunikovat s jinou virtuální sítí, pokud se hranice záměrně neprolomí prostřednictvím peeringu. Vaše architektura by měla využívat výhod tohoto silného opatření zabezpečení poskytovaného platformou.

    Můžete také použít jiné logické hranice, například vyřezané podsítě v rámci virtuální sítě. Výhodou podsítí je, že je můžete použít k seskupení prostředků, které jsou v rámci hranice izolace a mají podobné záruky zabezpečení. Pak můžete nakonfigurovat ovládací prvky na hranici pro filtrování provozu.

  • Filtr: Tato strategie pomáhá zajistit, aby provoz, který vstupuje do hranice, byl očekávaný, povolený a bezpečný. Z Zero-Trust hlediska filtrování explicitně ověří všechny dostupné datové body na úrovni sítě. Na hranici můžete umístit pravidla pro kontrolu konkrétních podmínek.

    Například na úrovni hlaviček můžou pravidla ověřit, že provoz pochází z očekávaného umístění nebo má očekávaný svazek. Tyto kontroly ale nestačí. I když provoz vykazuje očekávané charakteristiky, datová část nemusí být bezpečná. Ověřovací kontroly můžou odhalit útok prostřednictvím injektáže SQL.

  • Transformovat. Jako bezpečnostní opatření mutujte pakety na hranici. Můžete například odebrat hlavičky HTTP, abyste eliminovali riziko ohrožení. Nebo můžete v jednom okamžiku vypnout protokol TLS (Transport Layer Security) a znovu ho vytvořit v jiném segmentu směrování s certifikátem, který se spravuje důkladněji.

Klasifikace toků provozu

Prvním krokem při klasifikaci toků je studium schématu architektury úloh. Ze schématu určete záměr a charakteristiky toku s ohledem na funkční nástroj a provozní aspekty vaší úlohy. Při klasifikaci toku vám pomůžou následující otázky:

  • Pokud úloha potřebuje komunikovat s externími sítěmi, jaká by měla být požadovaná úroveň blízkosti těchto sítí?

  • Jaké jsou charakteristiky sítě toku, například očekávaný protokol a zdroj a tvar paketů? Existují nějaké požadavky na dodržování předpisů na úrovni sítě?

Toky provozu se dají klasifikovat mnoha způsoby. Následující části popisují běžně používaná kritéria.

Viditelnost z externích sítí

  • Veřejná. Úloha je veřejně přístupná, pokud jsou její aplikace a další komponenty dostupné z veřejného internetu. Aplikace je zpřístupněna prostřednictvím jedné nebo více veřejných IP adres a veřejných serverů DNS (Domain Name System).

  • Soukromé. Úloha je privátní, pokud je přístupná pouze prostřednictvím privátní sítě, jako je virtuální privátní síť (VPN). Je zpřístupněna pouze prostřednictvím jedné nebo více privátních IP adres a potenciálně prostřednictvím privátního serveru DNS.

    V privátní síti není žádný dohled od veřejného internetu k úloze. Pro bránu můžete použít nástroj pro vyrovnávání zatížení nebo bránu firewall. Tyto možnosti můžou poskytovat záruky zabezpečení.

I u veřejných úloh se snažte zachovat co nejvíce úloh v privátním prostředí. Tento přístup vynutí, aby pakety při příchodu z veřejné sítě překročily privátní hranici. Brána v této cestě může fungovat jako přechodový bod tím, že funguje jako reverzní proxy server.

Směr provozu

  • Příchozí přenos dat. Příchozí přenos dat je příchozí provoz, který směřuje k úloze nebo jejím komponentám. Pokud chcete pomoct zabezpečit příchozí přenos dat, použijte předchozí sadu klíčových strategií. Určete, jaký je zdroj provozu a jestli je očekávaný, povolený a bezpečný. Útočníci, kteří kontrolují rozsahy IP adres poskytovatele veřejného cloudu, můžou úspěšně proniknout do vaší ochrany, pokud nekontrolujete příchozí přenos dat nebo neimplementujete základní bezpečnostní opatření sítě.

  • Výchozí přenos dat: Výchozí přenos dat je odchozí provoz, který teče mimo úlohu nebo její komponenty. Pokud chcete zkontrolovat výchozí přenos dat, určete, kam provoz směřuje a jestli je cíl očekávaný, povolený a bezpečný. Cíl může být škodlivý nebo spojený s riziky exfiltrace dat.

Diagram znázorňující tok síťového provozu mezi nasazeními Azure a internetem

Můžete také určit úroveň vystavení tím, že vezmete v úvahu blízkost vaší úlohy k veřejnému internetu. Například aplikační platforma obvykle obsluhuje veřejné IP adresy. Komponenta úlohy je tváří řešení.

Rozsah vlivu

  • Sever-jih. Provoz, který prochází mezi sítí úloh a externími sítěmi, je provoz sever-jih. Tento provoz prochází přes okraj vaší sítě. Externími sítěmi může být veřejný internet, podniková síť nebo jakákoli jiná síť, která je mimo rozsah vaší kontroly.

    Příchozí i výchozí přenos může být provoz sever-jih.

    Představte si například tok výchozího přenosu dat hvězdicové síťové topologie. Můžete definovat okraj sítě vaší úlohy tak, aby centrum bylo externí sítí. V takovém případě je odchozí provoz z virtuální sítě paprsku provoz sever-jih. Pokud ale vezmete v úvahu síť rozbočovače v rámci vaší sféry kontroly, provoz sever-jih se rozšíří na bránu firewall v centru, protože dalším segmentem směrování je internet, který je potenciálně nepřátelský.

  • Východ-západ. Provoz, který proudí v rámci sítě úloh, je provoz z východu do západu. Tento typ provozu vede k tomu, že komponenty ve vaší úloze vzájemně komunikují. Příkladem je provoz mezi vrstvami n-vrstvé aplikace. V mikroslužbách je komunikace mezi službami provoz z východu do západu.

Pokud chcete zajistit hloubkovou ochranu, udržujte komplexní kontrolu nad dostupností zabezpečení, které jsou zahrnuté v jednotlivých segmentech směrování nebo které používáte, když pakety protínají interní segmenty. Různé úrovně rizika vyžadují různé metody nápravy rizik.

Diagram znázorňující hloubkovou ochranu sítě pro privátní cloud

Předchozí diagram znázorňuje hloubkovou ochranu sítě v privátním cloudu. V tomto diagramu je hranice mezi veřejným a privátním adresní prostorem IP adres výrazně vzdálená od úlohy než v diagramu veřejného cloudu. Nasazení Azure od adresního prostoru veřejných IP adres odděluje několik vrstev.

Poznámka

Identita je vždy primárním hraničním zařízením. U síťových toků se musí použít správa přístupu. Spravované identity používejte při použití řízení přístupu na základě role v Azure (RBAC) mezi komponentami vaší sítě.

Po klasifikaci toků proveďte cvičení segmentace k identifikaci bodů injektáže brány firewall na komunikačních cestách síťových segmentů. Při návrhu hloubkové ochrany sítě napříč všemi segmenty a všemi typy provozu předpokládejme, že došlo k narušení zabezpečení ve všech bodech. Použijte kombinaci různých lokalizovaných síťových ovládacích prvků na všech dostupných hranicích. Další informace najdete v tématu Strategie segmentace.

Použití bran firewall na hraničních zařízeních

Internetový hraniční provoz je provoz sever-jih a zahrnuje příchozí a výchozí přenos dat. Aby bylo možné detekovat nebo blokovat hrozby, musí hraniční strategie zmírnit co nejvíce útoků na internet a z internetu.

V případě výchozího přenosu dat odesílejte veškerý internetový provoz přes jednu bránu firewall , která poskytuje lepší dohled, zásady správného řízení a kontrolu nad provozem. V případě příchozího přenosu dat vynutíte, aby veškerý provoz z internetu procházel přes síťové virtuální zařízení nebo bránu firewall webových aplikací.

  • Brány firewall jsou obvykle jednoduché objekty, které se nasazují pro každou oblast v organizaci. V důsledku toho jsou sdíleny mezi úlohami a vlastněny centrálním týmem. Ujistěte se, že všechna síťová virtuální zařízení, která používáte, jsou nakonfigurovaná tak, aby podporovala potřeby vašich úloh.

  • Doporučujeme používat co nejvíce nativní ovládací prvky Azure.

    Kromě nativních ovládacích prvků můžete také zvážit partnerské síťové virtuální zařízení, která poskytují pokročilé nebo specializované funkce. V Azure Marketplace jsou k dispozici produkty od dodavatele brány firewall partnerů a firewall webových aplikací.

    Rozhodnutí používat nativní funkce místo partnerských řešení by mělo být založeno na zkušenostech a požadavcích vaší organizace.

    Kompromis: Partnerské funkce často poskytují pokročilé funkce, které můžou chránit před sofistikovanými, ale obvykle neobvyklými útoky. Konfigurace partnerských řešení může být složitá a křehká, protože tato řešení se neintegrují s řadiči prostředků infrastruktury cloudu. Z hlediska nákladů se upřednostňuje nativní řízení, protože je levnější než partnerská řešení.

Jakékoli technologické možnosti, které zvažujete, by měly poskytovat bezpečnostní kontroly a monitorování pro příchozí i výchozí toky. Informace o možnostech dostupných pro Azure najdete v části Zabezpečení Edge v tomto článku.

Návrh zabezpečení virtuální sítě a podsítě

Primárním cílem privátního cloudu je zakrýt prostředky z veřejného internetu. Existuje několik způsobů, jak tohoto cíle dosáhnout:

  • Přesuňte se do privátních adresních prostorů IP adres, což můžete dosáhnout pomocí virtuálních sítí. Minimalizujte viditelnost sítě i v rámci vlastních privátních sítí.

  • Minimalizujte počet veřejných záznamů DNS, které používáte k vystavení menšího zatížení.

  • Přidejte řízení toku sítě příchozího a výchozího přenosu dat. Nepovolujte provoz, který není důvěryhodný.

Strategie segmentace

Pokud chcete minimalizovat viditelnost sítě, segmentujte síť a začněte s ovládacími prvky sítě s nejnižšími oprávněními. Pokud segment není směrovatelný, nedá se k němu získat přístup. Rozšiřte rozsah tak, aby zahrnoval pouze segmenty, které spolu potřebují komunikovat prostřednictvím síťového přístupu.

Virtuální sítě můžete segmentovat vytvořením podsítí. Kritéria pro dělení by měla být úmyslná. Když kompletujete služby uvnitř podsítě, ujistěte se, že se tyto služby vzájemně vidí.

Segmentaci můžete založit na mnoha faktorech. Do vyhrazených segmentů můžete například umístit různé aplikační vrstvy. Dalším přístupem je plánování podsítí na základě běžných rolí a funkcí, které používají dobře známé protokoly.

Další informace najdete v tématu Strategie segmentace.

Brány firewall podsítě

Je důležité zkontrolovat příchozí a odchozí provoz každé podsítě. Použijte tři hlavní strategie probírané dříve v tomto článku v tématu Strategie návrhu klíčů. Zkontrolujte, jestli je tok očekávaný, povolený a bezpečný. Pokud chcete tyto informace ověřit, definujte pravidla brány firewall, která jsou založená na protokolu, zdroji a cíli provozu.

V Azure nastavíte pravidla brány firewall ve skupinách zabezpečení sítě. Další informace najdete v části Skupiny zabezpečení sítě v tomto článku.

Příklad návrhu podsítě najdete v tématu Azure Virtual Network podsítě.

Použití ovládacích prvků na úrovni komponent

Jakmile minimalizujete viditelnost sítě, namapujte prostředky Azure z pohledu sítě a vyhodnoťte toky. Možné jsou následující typy toků:

  • Plánovaný provoz nebo záměrná komunikace mezi službami podle návrhu architektury. Například plánujete provoz, když architektura doporučuje, aby Azure Functions nabílaly zprávy z Azure Service Bus.

  • Provoz správy nebo komunikace, ke které dochází v rámci funkcí služby. Tento provoz není součástí vašeho návrhu a nemáte nad ním žádnou kontrolu. Příkladem spravovaného provozu je komunikace mezi službami Azure ve vaší architektuře a rovinou správy Azure.

Rozlišení mezi plánovaným provozem a provozem správy vám pomůže sestavit lokalizované ovládací prvky nebo ovládací prvky na úrovni služby. Dobře porozudějte zdroji a cíli v každém segmentu směrování. Zejména porozumíte tomu, jak je vaše rovina dat vystavená.

Jako výchozí bod určete, jestli jsou jednotlivé služby vystavené na internetu. Pokud ano, naplánujte, jak omezit přístup. Pokud není, umístěte ho do virtuální sítě.

Brány firewall služby

Pokud očekáváte, že služba bude zpřístupněna na internetu, využijte bránu firewall na úrovni služby, která je dostupná pro většinu prostředků Azure. Když používáte tuto bránu firewall, můžete nastavit pravidla na základě vzorů přístupu. Další informace najdete v části Brány firewall služby Azure v tomto článku.

Poznámka

Pokud vaše komponenta není služba, použijte kromě bran firewall na úrovni sítě také bránu firewall založenou na hostiteli. Virtuální počítač je příkladem komponenty, která není službou.

Připojení ke službám PaaS (platforma jako služba)

Zvažte použití privátních koncových bodů, které vám pomůžou zabezpečit přístup ke službám PaaS. Privátní koncový bod má přiřazenou privátní IP adresu z vaší virtuální sítě. Koncový bod umožňuje ostatním prostředkům v síti komunikovat se službou PaaS přes privátní IP adresu.

Komunikace se službou PaaS se dosahuje pomocí veřejné IP adresy a záznamu DNS služby. Tato komunikace probíhá přes internet. Tuto komunikaci můžete nastavit jako soukromou.

Tunel ze služby PaaS do jedné z vašich podsítí vytvoří privátní kanál. Veškerá komunikace probíhá z privátní IP adresy komponenty do privátního koncového bodu v této podsíti, který pak komunikuje se službou PaaS.

V tomto příkladu obrázek na levé straně ukazuje tok veřejně vystavených koncových bodů. Napravo je tento tok zabezpečený pomocí privátních koncových bodů.

Diagram znázorňující, jak privátní koncový bod pomáhá chránit databázi před uživateli internetu

Další informace najdete v části Privátní koncové body v tomto článku.

Poznámka

Doporučujeme používat privátní koncové body ve spojení s branami firewall služeb. Brána firewall služby blokuje příchozí internetový provoz a pak službu soukromě zpřístupní interním uživatelům, kteří používají privátní koncový bod.

Další výhodou používání privátních koncových bodů je, že nemusíte otevírat porty brány firewall pro odchozí provoz. Privátní koncové body uzamknou veškerý odchozí provoz na portu pro veřejný internet. Připojení je omezené na prostředky v síti.

Kompromis: Azure Private Link je placená služba, která má měřiče pro příchozí a odchozí data, která se zpracovávají. Účtují se vám také poplatky za privátní koncové body.

Ochrana před distribuovanými útoky na dostupnost služby (DDoS)

Útok DDoS se pokouší vyčerpat prostředky aplikace a znepřístupnit aplikaci legitimním uživatelům. Útoky DDoS můžou cílit na libovolný koncový bod, který je veřejně dostupný přes internet.

Útok DDoS je obvykle rozsáhlé, široce rozšířené a geograficky rozptýlené zneužití prostředků vašeho systému, kvůli kterému je obtížné určit a zablokovat zdroj.

Podpora Azure, které pomáhají chránit před těmito útoky, najdete v části Azure DDoS Protection v tomto článku.

Usnadnění Azure

K přidání možností hloubkové ochrany do sítě můžete použít následující služby Azure.

Azure Virtual Network

Virtual Network pomáhá vašim prostředkům Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi.

Ve výchozím nastavení se všechny prostředky ve virtuální síti můžou zapojit do odchozí komunikace s internetem. Příchozí komunikace je ale ve výchozím nastavení omezená.

Virtual Network nabízí funkce pro filtrování provozu. Přístup na úrovni virtuální sítě můžete omezit pomocí trasy definované uživatelem (UDR) a součásti brány firewall. Na úrovni podsítě můžete filtrovat provoz pomocí skupin zabezpečení sítě.

Zabezpečení Edge

Ve výchozím nastavení proudí příchozí i výchozí přenos dat přes veřejné IP adresy. V závislosti na službě nebo topologii buď nastavíte tyto adresy, nebo je Azure přiřadí. Mezi další možnosti příchozího a výchozího přenosu dat patří předávání provozu přes nástroj pro vyrovnávání zatížení nebo bránu překladu adres (NAT). Tyto služby jsou ale určené pro distribuci provozu, a ne nutně pro zabezpečení.

Doporučuje se následující technologie:

  • Azure Firewall. Můžete použít Azure Firewall na hranici sítě a v oblíbených síťových topologiích, jako jsou hvězdicové sítě a virtuální sítě WAN. Azure Firewall obvykle nasazujete jako výchozí bránu firewall, která funguje jako konečná bezpečnostní brána před přenosem do internetu. Azure Firewall můžou směrovat provoz, který používá jiné protokoly než HTTP a jiné protokoly než HTTPS, jako je protokol RDP (Remote Desktop Protocol), SSH (Secure Shell Protocol) a protokol FTP (File Transfer Protocol). Sada funkcí Azure Firewall zahrnuje:

    • Překlad cílových síťových adres (DNAT) nebo přesměrování portů.
    • Detekce podpisu systému pro detekci a prevenci neoprávněných vniknutí (IDPS).
    • Silná vrstva 3, vrstva 4 a plně kvalifikovaný název domény (FQDN) pravidla sítě.

    Poznámka

    Většina organizací má zásady vynuceného tunelování, které vynucují tok provozu přes síťové virtuální zařízení.

    Pokud nepoužíváte topologii virtuální sítě WAN, musíte na privátní IP adresu síťového virtuálního zařízení nasadit trasu definovanou uživatelem s parametrem NextHopTypeInternet a . Trasy definované uživatelem se používají na úrovni podsítě. Ve výchozím nastavení provoz mezi podsítěmi neprochází síťovým virtuálním virtuálním zařízením.

    Pro příchozí přenos dat můžete také použít Azure Firewall současně. Může směrovat provoz HTTP a HTTPS. Ve vyšších úrovních SKU nabízí Azure Firewall ukončení protokolu TLS, abyste mohli implementovat kontroly na úrovni datové části.

    Doporučujeme následující postupy:

    • Povolte nastavení diagnostiky v Azure Firewall ke shromažďování protokolů toku provozu, protokolů IDPS a protokolů požadavků DNS.

    • Buďte v pravidlech co nejsměrnější.

    • Pokud je to praktické, vyhněte se značkám služby FQDN. Když je ale použijete, použijte místní variantu, která umožňuje komunikaci se všemi koncovými body služby.

    • Skupiny IP adres použijte k definování zdrojů, které musí po celou životnost skupiny IP sdílet stejná pravidla. Skupiny IP adres by měly odrážet strategii segmentace.

    • Přepsat plně kvalifikovaný název domény infrastruktury povolit pravidlo pouze v případě, že vaše úloha vyžaduje absolutní řízení výchozího přenosu dat. Přepsání tohoto pravidla přináší kompromis mezi spolehlivostí, protože požadavky na platformu Azure se u služeb mění.

    Kompromis: Azure Firewall může mít vliv na výkon. Pořadí pravidel, množství, kontrola protokolu TLS a další faktory můžou způsobit výraznou latenci.

    Může to mít také dopad na spolehlivost vašich úloh. Může docházet k vyčerpání portů překladu adres zdroje (SNAT). Pokud chcete tento problém vyřešit, přidejte podle potřeby veřejné IP adresy.

    Riziko: Pro výchozí přenosy azure přiřadí veřejnou IP adresu. Toto přiřazení může mít vliv na vaši externí bránu zabezpečení.

  • Azure Web Application Firewall. Tato služba podporuje filtrování příchozích přenosů a cílí pouze na provoz HTTP a HTTPS.

    Nabízí základní zabezpečení pro běžné útoky, jako jsou hrozby, které projekt OWASP (Open Worldwide Application Security Project) identifikuje v dokumentu OWASP Top 10. Azure Web Application Firewall také poskytuje další funkce zabezpečení, které se zaměřují na vrstvu 7, jako jsou omezení rychlosti, pravidla injektáže SQL a skriptování mezi weby.

    U Azure Web Application Firewall se vyžaduje ukončení protokolu TLS, protože většina kontrol je založená na datových částech.

    Azure Web Application Firewall můžete integrovat se směrovači, jako jsou Azure Application Gateway nebo Azure Front Door. Implementace Azure Web Application Firewall pro tyto typy směrovačů se můžou lišit.

Azure Firewall a Azure Web Application Firewall se vzájemně nevylučují. Pro vaše řešení zabezpečení Edge jsou k dispozici různé možnosti. Příklady najdete v tématu Brána firewall a Application Gateway pro virtuální sítě.

Skupiny zabezpečení sítě

Skupina zabezpečení sítě je brána firewall vrstvy 3 a vrstvy 4, kterou použijete na úrovni podsítě nebo síťové karty. Skupiny zabezpečení sítě se ve výchozím nastavení nevytvořily ani nepoužádají.

Pravidla skupiny zabezpečení sítě fungují jako brána firewall , která zastavuje provoz, který proudí do a ven v hraniční síti podsítě. Skupina zabezpečení sítě má výchozí sadu pravidel, která je příliš přípustná. Výchozí pravidla například nenastavují bránu firewall z hlediska výchozího přenosu dat. Pro příchozí přenos dat není povolený žádný příchozí internetový provoz.

Pokud chcete vytvořit pravidla, začněte s výchozí sadou pravidel:

  • Příchozí provoz nebo příchozí přenos dat:
    • Provoz virtuální sítě z přímých zdrojů, zdrojů v partnerském vztahu a vpn gateway je povolený.
    • Azure Load Balancer jsou povolené sondy stavu.
    • Veškerý ostatní provoz je blokovaný.
  • Odchozí provoz nebo výchozí přenos dat:
    • Provoz virtuální sítě do přímých, partnerských a partnerských cílů brány VPN je povolený.
    • Provoz do internetu je povolený.
    • Veškerý ostatní provoz je blokovaný.

Pak zvažte následujících pět faktorů:

  • Protokol
  • Zdrojová IP adresa
  • Zdrojový port
  • Cílová IP adresa
  • Cílový port

Chybějící podpora plně kvalifikovaného názvu domény omezuje funkčnost skupin zabezpečení sítě. Pro úlohu potřebujete zadat konkrétní rozsahy IP adres, které se obtížně udržují.

U služeb Azure ale můžete pomocí značek služeb shrnout rozsahy zdrojových a cílových IP adres. Výhodou zabezpečení značek služeb je, že jsou pro uživatele neprůhledné a odpovědnost se přeloží na Azure. Skupinu zabezpečení aplikace můžete také přiřadit jako cílový typ, do které chcete směrovat provoz. Tento typ pojmenované skupiny obsahuje prostředky, které mají podobné požadavky na příchozí nebo odchozí přístup.

Riziko: Rozsahy značek služeb jsou velmi široké, aby vyhovovaly co nejširšímu okruhu zákazníků. Aktualizace do značek služeb zaostávají za změnami ve službě.

Diagram znázorňující výchozí izolaci virtuální sítě s peeringem

Na předchozím obrázku se na síťové kartě používají skupiny zabezpečení sítě. Internetový provoz a provoz mezi podsítěmi je zakázaný. Skupiny zabezpečení sítě se použijí se značkou VirtualNetwork . Takže v tomto případě mají podsítě partnerských sítí přímý dohled. Široká definice značky VirtualNetwork může mít významný dopad na zabezpečení.

Pokud používáte značky služeb, používejte místní verze, pokud je to možné, například Storage.WestUS místo Storage. Tímto přístupem omezíte rozsah na všechny koncové body v konkrétní oblasti.

Některé značky jsou určené výhradně pro příchozí nebo odchozí provoz. Jiné jsou pro oba typy. Příchozí značky obvykle umožňují provoz ze všech hostitelských úloh, jako AzureFrontDoor.Backendje , nebo z Azure do podpůrných modulů runtime služby, jako LogicAppsManagementje . Podobně značky odchozích přenosů umožňují provoz do všech hostujících úloh nebo z Azure za účelem podpory modulů runtime služeb.

Co nejvíce využujte pravidla. V následujícím příkladu je pravidlo nastaveno na konkrétní hodnoty. Jakýkoli jiný typ provozu je odepřen.

Informace Příklad
Protokol TCP (Transmission Control Protocol), UDP
Zdrojová IP adresa Povolit příchozí přenos dat do podsítě z <rozsahu> zdrojových IP adres: 4575/UDP
Zdrojový port Povolit příchozí přenos dat do podsítě ze <značky> služby: 443/TCP
Cílová IP adresa Povolit výchozí přenos dat z podsítě do <rozsahu> cílových IP adres: 443/TCP
Cílový port Povolit výchozí přenos dat z podsítě do <značky> služby: 443/TCP

Shrnutí:

  • Při vytváření pravidel buďte přesní. Povolte jenom provoz, který je nezbytný pro fungování vaší aplikace. Odepřít všechno ostatní. Tento přístup omezuje viditelnost sítě na síťové toky, které jsou potřeba k podpoře provozu úlohy. Podpora více síťových toků, než je nutné, vede ke zbytečným vektorům útoku a rozšiřuje povrch.

    Omezení provozu neznamená, že povolené toky jsou nad rámec útoku. Vzhledem k tomu, že skupiny zabezpečení sítě pracují ve vrstvách 3 a 4 v zásobníku OSI (Open Systems Interconnection), obsahují pouze informace o tvaru a směru. Pokud například vaše úloha potřebuje povolit provoz DNS do internetu, použili byste skupinu Internet:53:UDPzabezpečení sítě . V takovém případě se útočníkovi může podařit exfiltrovat data prostřednictvím protokolu UDP na portu 53 do jiné služby.

  • Uvědomte si, že skupiny zabezpečení sítě se můžou mírně lišit. Je snadné přehlédnout záměr rozdílů. Abyste mohli filtrovat odstupňovaně, je bezpečnější vytvořit další skupiny zabezpečení sítě. Nastavte alespoň jednu skupinu zabezpečení sítě.

    • Přidáním skupiny zabezpečení sítě se odemkne mnoho diagnostických nástrojů, jako jsou protokoly toků a analýza síťového provozu.

    • Pomocí Azure Policy můžete řídit provoz v podsítích, které nemají skupiny zabezpečení sítě.

  • Pokud podsíť podporuje skupiny zabezpečení sítě, přidejte skupinu, i když to má minimální dopad.

Brány firewall služby Azure

Většina služeb Azure nabízí bránu firewall na úrovni služeb. Tato funkce kontroluje příchozí provoz do služby ze zadaných rozsahů CIDR (Classless Inter-Domain Routing). Tyto brány firewall nabízejí výhody:

  • Poskytují základní úroveň zabezpečení.
  • Má to tolerovatelný dopad na výkon.
  • Většina služeb nabízí tyto brány firewall bez dalších poplatků.
  • Brány firewall generují protokoly prostřednictvím diagnostiky Azure, což může být užitečné pro analýzu vzorů přístupu.

Tyto brány firewall ale souvisejí také se zabezpečením a poskytování parametrů má svá omezení. Pokud například používáte agenty sestavení hostované Microsoftem, musíte otevřít rozsah IP adres pro všechny agenty sestavení hostované Microsoftem. Rozsah je pak otevřený pro vašeho agenta sestavení, další tenanty a nežádoucí osoby, které by mohly vaši službu zneužít.

Pokud máte vzory přístupu ke službě, které se dají nakonfigurovat jako sady pravidel brány firewall služby, měli byste službu povolit. Můžete ho povolit pomocí Azure Policy. Ujistěte se, že možnost důvěryhodných služeb Azure nepovolíte, pokud není ve výchozím nastavení povolená. Tím se přidají všechny závislé služby, které jsou v rozsahu pravidel.

Další informace najdete v produktové dokumentaci k jednotlivým službám Azure.

Privátní koncové body

Private Link poskytuje způsob, jak dát instanci PaaS privátní IP adresu. Služba je pak přes internet nedostupná. Privátní koncové body se nepodporují pro všechny skladové položky.

Při používání privátních koncových bodů mějte na paměti následující doporučení:

  • Nakonfigurujte služby vázané na virtuální sítě tak, aby prostřednictvím privátních koncových bodů kontaktovali služby PaaS, a to i v případě, že tyto služby PaaS také potřebují nabízet veřejný přístup.

  • Upřednostníte používání skupin zabezpečení sítě pro privátní koncové body, abyste omezili přístup k IP adresám privátních koncových bodů.

  • Při používání privátních koncových bodů vždy používejte brány firewall služby.

  • Pokud máte službu, která je přístupná jenom přes privátní koncové body, pokud je to možné, odeberte konfiguraci DNS pro její veřejný koncový bod.

  • Při implementaci privátních koncových bodů zvažte obavy z pohledu modulu runtime. Zvažte ale také DevOps a aspekty monitorování.

  • Pomocí Azure Policy vynucujte konfiguraci prostředků.

Kompromis: Skladové položky služeb s privátními koncovými body jsou nákladné. Privátní koncové body můžou komplikovat operace kvůli obskuritě sítě. Do architektury musíte přidat agenty v místním prostředí, jumpboxy, síť VPN a další komponenty.

Správa DNS může být v běžných síťových topologiích složitá. Možná budete muset zavést servery pro předávání DNS a další komponenty.

Injektáž virtuální sítě

Proces injektáže virtuální sítě můžete použít k nasazení některých služeb Azure do vaší sítě. Mezi příklady takových služeb patří Azure App Service, Functions, Azure API Management a Azure Spring Apps. Tento proces izoluje aplikaci od internetu, systémů v privátních sítích a dalších služeb Azure. Příchozí a odchozí provoz z aplikace je povolený nebo zakázaný na základě pravidel sítě.

Azure Bastion

Azure Bastion můžete použít k připojení k virtuálnímu počítači pomocí prohlížeče a Azure Portal. Azure Bastion zvyšuje zabezpečení připojení RDP a SSH. Typický případ použití zahrnuje připojení k jump boxu ve stejné virtuální síti nebo partnerské virtuální síti. Při použití služby Azure Bastion není potřeba, aby měl virtuální počítač veřejnou IP adresu.

Azure DDoS Protection

Každá vlastnost v Azure je chráněná ochranou infrastruktury Azure DDoS bez dalších poplatků a bez další konfigurace. Úroveň ochrany je základní, ale ochrana má vysoké prahové hodnoty. Neposkytuje také telemetrii nebo upozorňování a je nezávislá na úlohách.

Vyšší úrovně SKU služby DDoS Protection jsou dostupné, ale nejsou bezplatné. Škálování a kapacita globálně nasazené sítě Azure nabízí ochranu před běžnými útoky na síťové vrstvy. Tuto funkci poskytují technologie, jako je nepřetržité monitorování provozu a zmírnění rizik v reálném čase.

Další informace najdete v tématu Přehled služby Azure DDoS Protection.

Příklad

Tady je několik příkladů, které ukazují použití ovládacích prvků sítě doporučených v tomto článku.

PROSTŘEDÍ IT

Tento příklad vychází z prostředí informačních technologií (IT) vytvořeného ve standardních hodnotách zabezpečení (SE:01). Tento přístup poskytuje široký přehled o ovládacích prvcích sítě, které se používají v různých hraničních sítích k omezení provozu.

Diagram znázorňující příklad standardních hodnot zabezpečení organizace s ovládacími prvky sítě

  1. Osoby síťového útoku. Při síťovém útoku může být považováno za několik osob, včetně správců, zaměstnanců, klientů zákazníků a anonymních útočníků.

  2. Přístup k síti VPN. Chybný aktér může přistupovat k místnímu prostředí prostřednictvím sítě VPN nebo prostředí Azure, které je připojené k místnímu prostředí prostřednictvím sítě VPN. Pokud chcete povolit zabezpečenou komunikaci, nakonfigurujte protokol IPSec.

  3. Veřejný přístup k aplikaci. Před aplikací mějte firewall webových aplikací (WAF), který ji chrání ve vrstvě 7 vrstvy OSI sítě.

  4. Přístup operátora. Vzdálený přístup přes vrstvu 4 vrstvy OSI sítě musí být zabezpečený. Zvažte použití Azure Firewall s funkcemi IDP/IDS.

  5. Ochrana před útoky DDoS. Mít ochranu před útoky DDoS pro celou virtuální síť.

  6. Síťová topologie. Síťová topologie, jako je hvězdicová topologie, je bezpečnější a optimalizuje náklady. Centrální síť poskytuje centralizovanou ochranu bránou firewall pro všechny partnerské paprsky.

  7. Privátní koncové body: Zvažte přidání veřejně vystavených služeb do privátní sítě pomocí privátních koncových bodů. Vytvoří ve vaší privátní virtuální síti síťovou kartu a vytvoří vazbu se službou Azure.

  8. Komunikace protokolem TLS. Chraňte přenášená data komunikací přes protokol TLS.

  9. Skupina zabezpečení sítě (NSG): Chrání segmenty ve virtuální síti pomocí NSG, bezplatného prostředku, který filtruje příchozí a odchozí komunikaci TCP/UDP s ohledem na rozsahy IP adres a portů. Součástí skupiny zabezpečení sítě je skupina zabezpečení aplikace (ASG), která umožňuje vytvářet značky pro pravidla provozu pro snadnější správu.

  10. Log Analytics: Prostředky Azure generují telemetrii, která se ingestuje v Log Analytics a pak se používá s řešením SIEM, jako je Microsoft Sentinel, k analýze.

  11. Integrace služby Microsoft Sentinel. Služba Log Analytics je integrovaná se službou Microsoft Sentinel a dalšími řešeními, jako je Microsoft Defender for Cloud.

  12. Microsoft Defender pro cloud. Microsoft Defender for Cloud nabízí řadu řešení ochrany úloh, včetně doporučení sítě pro vaše prostředí.

  13. Analýza provozu: Monitorujte ovládací prvky sítě pomocí Analýzy provozu. To se konfiguruje prostřednictvím Network Watcher, která je součástí Služby Azure Monitor, a agreguje příchozí a odchozí přístupy ve vašich podsítích shromažďovaných skupinou zabezpečení sítě.

Architektura kontejnerizované úlohy

Tato ukázková architektura kombinuje ovládací prvky sítě popsané v tomto článku. Příklad nezobrazuje úplnou architekturu. Místo toho se zaměřuje na řízení příchozího přenosu dat v privátním cloudu.

Diagram znázorňující řízený příchozí přenos dat, včetně Application Gateway, skupiny zabezpečení sítě, Služby Azure Bastion a Azure DDoS Protection

Application Gateway je nástroj pro vyrovnávání zatížení webového provozu, který můžete použít ke správě provozu do webových aplikací. Nasadíte Application Gateway ve vyhrazené podsíti, která má ovládací prvky skupiny zabezpečení sítě a ovládací prvky firewallu webových aplikací.

Komunikace se všemi službami PaaS probíhá prostřednictvím privátních koncových bodů. Všechny koncové body jsou umístěné ve vyhrazené podsíti. DDoS Protection pomáhá chránit všechny veřejné IP adresy, které jsou nakonfigurované pro základní nebo vyšší úroveň ochrany firewallem.

Provoz správy je omezený prostřednictvím služby Azure Bastion, která pomáhá zajistit zabezpečené a bezproblémové připojení RDP a SSH k virtuálním počítačům přímo z Azure Portal přes protokol TLS. Agenti sestavení jsou umístěni ve virtuální síti, aby měli síťové zobrazení prostředků úloh, jako jsou výpočetní prostředky, registry kontejnerů a databáze. Tento přístup pomáhá zajistit zabezpečené a izolované prostředí pro agenty sestavení, které zvyšuje ochranu vašeho kódu a artefaktů.

Diagram znázorňující řízený výchozí přenos dat pro skupinu zabezpečení sítě a Azure Firewall

Skupiny zabezpečení sítě na úrovni podsítě výpočetních prostředků omezují odchozí provoz. Vynucené tunelování slouží ke směrování veškerého provozu přes Azure Firewall. Tento přístup pomáhá zajistit zabezpečené a izolované prostředí pro výpočetní prostředky, které zvyšuje ochranu vašich dat a aplikací.

Kontrolní seznam zabezpečení

Projděte si kompletní sadu doporučení.

Kontrolní seznam zabezpečení