Plánování segmentace sítě cílové zóny

  • Článek

Tato část se zabývá klíčovými doporučeními, jak zajistit vysoce zabezpečenou interní segmentaci sítě v rámci cílové zóny a řídit implementaci sítě s nulovou důvěryhodností.

Aspekty návrhu:

  • Model nulové důvěryhodnosti předpokládá stav porušení a ověřuje každý požadavek, jako by pocházel z neřízené sítě.

  • Pokročilá implementace sítě s nulovou důvěryhodností využívá plně distribuované mikro perimetry příchozího/výstupního cloudu a hlubší mikrosegmentaci.

  • Skupiny zabezpečení sítě (NSG) můžou používat značky služeb Azure k usnadnění připojení ke službám Azure PaaS.

  • Skupiny zabezpečení aplikací (ASG) nepřesahují ani neposkytují ochranu napříč virtuálními sítěmi.

  • Protokoly toku NSG se teď podporují prostřednictvím šablon Azure Resource Manager.

Doporučení návrhu:

  • Delegujte vytvoření podsítě na vlastníka cílové zóny. To jim umožní definovat, jak segmentovat úlohy napříč podsítěmi (například jedna velká podsíť, vícevrstvá aplikace nebo aplikace vložená do sítě). Tým platformy může pomocí Azure Policy zajistit, aby skupina zabezpečení sítě s konkrétními pravidly (jako je odepření příchozího připojení SSH nebo RDP z internetu nebo povolení/blokování provozu napříč cílovými zónami) byla vždy přidružená k podsítím, které mají zásady pouze zamítnutí.

  • Pomocí skupin zabezpečení sítě můžete chránit provoz napříč podsítěmi a také provoz mezi východem a západem napříč platformou (provoz mezi cílovými zónami).

  • Aplikační tým by měl používat skupiny zabezpečení aplikací na úrovni skupin zabezpečení sítě na úrovni podsítě, které pomáhají chránit vícevrstvé virtuální počítače v cílové zóně.

    Diagram znázorňující fungování skupiny zabezpečení aplikace

  • Pomocí skupin zabezpečení sítě a skupin zabezpečení aplikací můžete mikro segmentovat provoz v cílové zóně a vyhnout se použití centrálního síťového virtuálního zařízení k filtrování toků provozu.

  • Povolte protokoly toku NSG a zasílejte je do Analýzy provozu , abyste získali přehled o interních a externích tocích provozu. Protokoly toku by se měly povolit ve všech důležitých virtuálních sítích nebo podsítích ve vašem předplatném jako osvědčený postup pro auditování a zabezpečení.

  • Pomocí skupin zabezpečení sítě můžete selektivně povolit připojení mezi cílovými zónami.

  • U Virtual WAN topologií směrujte provoz mezi cílovými zónami prostřednictvím Azure Firewall, pokud vaše organizace vyžaduje možnosti filtrování a protokolování pro tok provozu mezi cílovými zónami.

  • Pokud se vaše organizace rozhodne implementovat vynucené tunelování (inzerovat výchozí trasu) do místního prostředí, doporučujeme začlenit následující odchozí pravidla NSG, která zamítnou výchozí provoz z virtuálních sítí přímo do internetu, pokud by relace protokolu BGP klesla.

Poznámka

Priority pravidel bude potřeba upravit na základě vaší stávající sady pravidel NSG.

Priorita Název Zdroj Cíl Služba Akce Poznámka
100 AllowLocal Any VirtualNetwork Any Allow Povolte provoz během normálního provozu. Pokud je povolené vynucené tunelování, 0.0.0.0/0 považuje se za součást značky, pokud ho VirtualNetwork protokol BGP inzeruje službě ExpressRoute nebo VPN Gateway.
110 DenyInternet Any Internet Any Deny Zamítnout provoz přímo do internetu, pokud 0.0.0.0/0 je trasa stažena z inzerovaných tras (například kvůli výpadku nebo chybné konfiguraci).

Upozornění

Služby Azure PaaS, které je možné vložit do virtuální sítě, nemusí být kompatibilní s vynuceným tunelováním. Operace řídicí roviny mohou stále vyžadovat přímé připojení ke konkrétním veřejným IP adresm, aby služba fungovala správně. Doporučujeme zkontrolovat požadavky na síť v dokumentaci ke konkrétní službě a nakonec vyloučit podsíť služby z šíření výchozí trasy. Značky služeb v trasy definované uživatelem je možné použít k obejití výchozí trasy a přesměrování provozu řídicí roviny pouze v případě, že je k dispozici konkrétní značka služby.