Použití principů nulová důvěra (Zero Trust) pro šifrování síťové komunikace založené na Azure

  • Článek

Tento článek obsahuje pokyny k použití principů nulová důvěra (Zero Trust) pro šifrování síťové komunikace do prostředí Azure a napříč prostředími Azure následujícími způsoby.

princip nulová důvěra (Zero Trust) Definice Met by
Explicitní ověření Vždy ověřovat a autorizovat na základě všech dostupných datových bodů. Použití zásad podmíněného přístupu pro připojení azure VPN Gateway a protokol SSH (Secure Shell) a protokol RDP (Remote Desktop Protocol) pro připojení uživatele k virtuálnímu počítači.
Použití nejméně privilegovaného přístupu Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat. Konfigurace zařízení Microsoft Enterprise Edge (MSEE) pro použití klíče přidružení statického připojení (CAK) pro Azure ExpressRoute s přímými porty a použitím spravované identity k ověřování prostředků okruhu ExpressRoute
Předpokládat porušení zabezpečení Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany. Ochrana síťového provozu pomocí metod šifrování a protokolů, které poskytují důvěrnost, integritu a pravost přenášených dat.

Použití služby Azure Monitor k poskytování metrik a upozornění výkonu sítě ExpressRoute

Použití služby Azure Bastion ke správě jednotlivých relací ze služby Bastion a odstranění nebo vynucení odpojení

Úrovně šifrování síťového provozu jsou:

  • Šifrování síťové vrstvy

    • Zabezpečení a ověření komunikace z internetu nebo z místní sítě do virtuálních sítí Azure a virtuálních počítačů

    • Zabezpečení a ověření komunikace v rámci virtuálních sítí Azure a napříč těmito virtuálními sítěmi

  • Šifrování aplikační vrstvy

    • Ochrana webových aplikací Azure

  • Ochrana úloh běžících na virtuálních počítačích Azure

Referenční architektura

Následující diagram znázorňuje referenční architekturu pro tuto nulová důvěra (Zero Trust) pokyny pro šifrovanou komunikaci mezi uživateli a správci místně nebo na internetu a komponentami v prostředí Azure pro kroky popsané v tomto článku.

Referenční architektura pro síťové komponenty Azure s použitými principy šifrování a nulová důvěra (Zero Trust)

Čísla v diagramu odpovídají krokům v následujících částech.

Co je v tomto článku?

nulová důvěra (Zero Trust) principy se použijí napříč referenční architekturou, od uživatelů a správců na internetu nebo vaší místní sítě do cloudu Azure a v rámci cloudu Azure. Následující tabulka popisuje doporučení k zajištění šifrování síťového provozu v této architektuře.

Krok Úloha nulová důvěra (Zero Trust) použité zásady
0 Implementujte šifrování síťové vrstvy. Explicitní ověření
Použití nejméně privilegovaného přístupu
Předpokládat porušení zabezpečení
2 Zabezpečte a ověřte komunikaci z místní sítě do virtuálních sítí Azure. Explicitní ověření
Předpokládat porušení zabezpečení
3 Zabezpečte a ověřte komunikaci v rámci virtuálních sítí Azure a napříč těmito virtuálními sítěmi. Předpokládat porušení zabezpečení
4 Implementujte šifrování aplikační vrstvy. Explicitní ověření
Předpokládat porušení zabezpečení
5 K ochraně virtuálních počítačů Azure použijte Azure Bastion. Předpokládat porušení zabezpečení

Krok 1: Implementace šifrování síťové vrstvy

Šifrování vrstvy sítě je důležité při použití principů nulová důvěra (Zero Trust) pro vaše místní prostředí a prostředí Azure. Když síťový provoz prochází přes internet, měli byste vždy předpokládat, že existuje možnost zachycení provozu útočníky a vaše data se můžou zpřístupnit nebo změnit předtím, než dorazí do cíle. Vzhledem k tomu, že poskytovatelé služeb řídí, jak se data směrují přes internet, chcete zajistit, aby se od okamžiku, kdy vaše místní síť od Microsoftu zachovala ochranu osobních údajů a integrita vašich dat.

Následující diagram znázorňuje referenční architekturu pro implementaci šifrování vrstvy sítě.

Referenční architektura pro implementaci šifrování síťové vrstvy pro sítě Azure.

V následujících dvou částech probereme protokolY IPsec (Internet Protocol Security) a Media Access Control Security (MACsec), které síťové služby Azure tyto protokoly podporují a jak zajistit jejich použití.

IPsec

IPsec je skupina protokolů, které poskytují zabezpečení pro komunikaci protokolu IP (Internet Protocol). Ověřuje a šifruje síťové pakety pomocí sady šifrovacích algoritmů. IPSec je protokol zapouzdření zabezpečení používaný k vytvoření virtuálních privátních sítí (VPN). Tunel VPN IPsec se skládá ze dvou fází, fáze 1 označovaná jako hlavní režim a fáze 2 označovaná jako rychlý režim.

Fáze 1 protokolu IPsec je vytvoření tunelu, kde peers vyjednávají parametry pro přidružení zabezpečení protokolu IKE (Internet Key Exchange), jako je šifrování, ověřování, hashování a algoritmy Diffie-Hellman. Pokud chcete ověřit své identity, partnerský vztah si vyměňuje předsdílený klíč. Fáze 1 protokolu IPsec může fungovat ve dvou režimech: hlavní režim nebo agresivní režim. Azure VPN Gateway podporuje dvě verze protokolu IKE, IKEv1 a IKEv2 a funguje jenom v hlavním režimu. Hlavní režim zajišťuje šifrování identity připojení mezi službou Azure VPN Gateway a místním zařízením.

Ve fázi 2 protokolu IPsec vyjednávají partnerské vztahy parametry zabezpečení pro přenos dat. V této fázi se oba peerové shodují s šifrovacími a ověřovacími algoritmy, hodnotou životnosti přidružení zabezpečení (SA) a selektory provozu (TS), které definují, jaký provoz se zašifruje přes tunel IPsec. Tunel vytvořený ve fázi 1 slouží jako zabezpečený kanál pro toto vyjednávání. Protokol IPsec může zabezpečit pakety PROTOKOLU IP pomocí protokolu AH (Authentication Header) nebo zapouzdření protokolu ESP (Security Payload). AH poskytuje integritu a ověřování, zatímco ESP také poskytuje důvěrnost (šifrování). IPsec fáze 2 může fungovat buď v režimu přenosu, nebo v režimu tunelu. V přenosovém režimu se zašifruje jenom datová část paketu PROTOKOLU IP, zatímco v režimu tunelu se zašifruje celý paket IP a přidá se nová hlavička PROTOKOLU IP. Protokol IPsec fáze 2 je možné vytvořit nad protokolem IKEv1 nebo IKEv2. Aktuální implementace protokolu IPsec služby Azure VPN Gateway podporuje pouze ESP v režimu tunelu.

Mezi služby Azure, které podporují protokol IPsec, patří:

  • Azure VPN Gateway

    • Připojení VPN typu site-to-site

    • Připojení typu VNet-to-VNet

    • Připojení typu Point-to-Site

  • Azure Virtual WAN

    • Lokality VPN

    • Konfigurace sítě VPN pro uživatele

Neexistují žádná nastavení, která byste museli upravit, abyste pro tyto služby povolili protokol IPsec. Ve výchozím nastavení jsou povolené.

MACsec a Azure Key Vault

MACsec (IEEE 802.1AE) je standard zabezpečení sítě, který používá zásadu Předpokládat porušení zabezpečení nulová důvěra (Zero Trust) na vrstvě datového propojení tím, že poskytuje ověřování a šifrování přes ethernetové propojení. MACsec předpokládá, že všechny síťové přenosy, i ve stejné místní síti, mohou být ohroženy nebo zachyceny škodlivými aktéry. MACsec ověřuje a chrání každý rámec pomocí klíče zabezpečení, který je sdílený mezi dvěma síťovými rozhraními. Tuto konfiguraci lze provést pouze mezi dvěma zařízeními podporujícími MACsec.

MACsec se konfiguruje s přidruženími připojení, což je sada atributů, které síťová rozhraní používají k vytváření příchozích a odchozích kanálů zabezpečení. Po vytvoření se provoz přes tyto kanály vyměňuje přes dvě zabezpečené propojení MACsec. MACsec má dva režimy přidružení připojení:

  • Režim klíče přidružení statického připojení (CAK): Zabezpečené odkazy MACsec se navazují pomocí předsdíleného klíče, který obsahuje název klíče přidružení připojení (CKN) a přiřazený CAK. Tyto klíče se konfigurují na obou koncích propojení.
  • Dynamický režim CAK: Klíče zabezpečení se generují dynamicky pomocí procesu ověřování 802.1x, který může používat centralizované ověřovací zařízení, jako je server RADIUS (Remote Authentication Dial-In User Service).

Zařízení Microsoft Enterprise Edge (MSEE) podporují statickou službu CAK tím, že při konfiguraci Azure ExpressRoute s přímými porty uloží CAK a CKN ve službě Azure Key Vault. Pokud chcete získat přístup k hodnotám ve službě Azure Key Vault, nakonfigurujte spravovanou identitu pro ověření prostředku okruhu ExpressRoute. Tento přístup se řídí principem Použití nejméně privilegovaného přístupu nulová důvěra (Zero Trust), protože k klíčům z Azure Key Vaultu mají přístup pouze autorizovaná zařízení. Další informace najdete v tématu Konfigurace MACsec na portech ExpressRoute Direct.

Krok 2: Zabezpečení a ověření komunikace z místní sítě do virtuálních sítí Azure

S tím, jak se migrace do cloudu v různých firmách mění, hraje hybridní připojení klíčovou roli. Je důležité nejen zabezpečit a chránit, ale také ověřit a monitorovat síťovou komunikaci mezi vaší místní sítí a Azure.

Následující diagram znázorňuje referenční architekturu pro zabezpečení a ověřování komunikace z místní sítě do virtuálních sítí Azure.

Referenční architektura pro zabezpečení a ověření komunikace z místní sítě do virtuálních sítí Azure.

Azure nabízí dvě možnosti připojení místní sítě k prostředkům ve virtuální síti Azure:

  • Azure VPN Gateway umožňuje vytvořit tunel VPN typu site-to-site pomocí protokolu IPsec k šifrování a ověřování síťové komunikace mezi vaší sítí v centrálních nebo vzdálených pobočkách a virtuální sítí Azure. Umožňuje také jednotlivým klientům vytvořit připojení typu point-to-site pro přístup k prostředkům ve virtuální síti Azure bez zařízení VPN. Pro nulová důvěra (Zero Trust) dodržování nakonfigurujte zásady ověřování Entra ID a podmíněného přístupu pro připojení ke službě Azure VPN Gateway a ověřte identitu a dodržování předpisů pro připojující se zařízení. Další informace najdete v tématu Použití brány VPN tunelu Microsoft s zásadami podmíněného přístupu.

  • Azure ExpressRoute poskytuje privátní připojení s velkou šířkou pásma, které umožňuje rozšířit vaši místní síť do Azure pomocí poskytovatele připojení. Vzhledem k tomu, že síťový provoz nepřechází přes veřejný internet, nejsou data ve výchozím nastavení šifrovaná. Pokud chcete šifrovat provoz přes ExpressRoute, nakonfigurujte tunel IPsec. Mějte ale na paměti, že při spouštění tunelů IPsec přes ExpressRoute je šířka pásma omezená na šířku pásma tunelu a možná budete muset spustit více tunelů, aby odpovídala šířce pásma okruhu ExpressRoute. Další informace najdete v tématu Připojení VPN typu Site-to-Site přes privátní partnerský vztah ExpressRoute – Azure VPN Gateway.

    Pokud používáte porty ExpressRoute Direct, můžete zvýšit zabezpečení sítě povolením ověřování při navazování partnerských uzlů protokolu BGP nebo konfigurací MACsec pro zabezpečenou komunikaci vrstvy 2. MACsec poskytuje šifrování pro ethernetové rámce, zajišťuje důvěrnost dat, integritu a pravost mezi hraničním směrovačem a hraničním směrovačem Microsoftu.

    Azure ExpressRoute také podporuje Azure Monitor pro metriky a výstrahy výkonu sítě.

Šifrování může chránit vaše data před neoprávněným zachycením, ale přináší také další vrstvu zpracování pro šifrování a dešifrování síťového provozu, které můžou ovlivnit výkon. Síťový provoz procházející přes internet může být také nepředvídatelný, protože musí cestovat přes několik síťových zařízení, která můžou zavádět latenci sítě. Aby se zabránilo problémům s výkonem, Microsoft doporučuje používat ExpressRoute, protože nabízí spolehlivé přidělování šířky pásma a výkon sítě, které si můžete přizpůsobit pro své úlohy.

Při rozhodování mezi službou Azure VPN Gateway nebo ExpressRoute zvažte následující otázky:

  1. Jaké druhy souborů a aplikací přistupujete mezi místní sítí a Azure? Vyžadujete konzistentní šířku pásma pro přenos velkých objemů dat?
  2. Potřebujete konzistentní a nízkou latenci, aby vaše aplikace fungovaly optimálně?
  3. Potřebujete monitorovat výkon sítě a stav hybridního připojení?

Pokud jste na některou z těchto otázek odpověděli ano, azure ExpressRoute by měl být vaším primárním způsobem připojení místní sítě k Azure.

Existují dva běžné scénáře, kdy Může existovat ExpressRoute a Azure VPN Gateway:

  • Azure VPN Gateway se dá použít k připojení poboček k Azure a zároveň k připojení hlavní kanceláře pomocí ExpressRoute.
  • Pokud má vaše služba ExpressRoute výpadek, můžete jako záložní připojení k Azure použít také Azure VPN Gateway.

Krok 3: Zabezpečení a ověření komunikace v rámci virtuálních sítí Azure a napříč těmito virtuálními sítěmi

Provoz v Rámci Azure má základní úroveň šifrování. Když se provoz pohybuje mezi virtuálními sítěmi v různých oblastech, Microsoft používá MACsec k šifrování a ověřování provozu partnerského vztahu ve vrstvě datového propojení.

Následující diagram znázorňuje referenční architekturu pro zabezpečení a ověřování komunikace v rámci virtuálních sítí Azure a napříč těmito virtuálními sítěmi.

Referenční architektura pro zabezpečení a ověřování komunikace v rámci virtuálních sítí Azure a napříč těmito virtuálními sítěmi.

Samotné šifrování ale nestačí k zajištění nulová důvěra (Zero Trust). Měli byste také ověřit a monitorovat síťovou komunikaci v rámci virtuálních sítí Azure a mezi těmito virtuálními sítěmi. Další šifrování a ověřování mezi virtuálními sítěmi je možné pomocí služby Azure VPN Gateway nebo síťových virtuálních zařízení (NVA), ale není to běžný postup. Microsoft doporučuje navrhnout topologii sítě tak, aby používala centralizovaný model kontroly provozu, který může vynucovat podrobné zásady a zjišťovat anomálie.

Pokud chcete snížit režii při konfiguraci brány VPN nebo virtuálního zařízení, povolte funkci šifrování virtuální sítě pro určité velikosti virtuálních počítačů, abyste mohli šifrovat a ověřit provoz mezi virtuálními počítači na úrovni hostitele, v rámci virtuální sítě a mezi partnerskými vztahy virtuálních sítí.

Krok 4: Implementace šifrování ve vrstvě aplikace

Šifrování aplikační vrstvy hraje klíčový faktor pro nulová důvěra (Zero Trust), který vyžaduje šifrování všech dat a komunikace, když uživatelé pracují s webovými aplikacemi nebo zařízeními. Šifrování aplikační vrstvy zajišťuje, že k webovým aplikacím nebo zařízením mají přístup jenom ověřené a důvěryhodné entity.

Následující diagram znázorňuje referenční architekturu pro implementaci šifrování ve vrstvě aplikace.

Referenční architektura pro implementaci šifrování ve vrstvě aplikace.

Jedním z nejběžnějších příkladů šifrování aplikační vrstvy je protokol HTTPS (Hypertext Transfer Protocol Secure), který šifruje data mezi webovým prohlížečem a webovým serverem. PROTOKOL HTTPS používá protokol TLS (Transport Layer Security) k šifrování komunikace mezi klientem a serverem a k ověření identity a důvěryhodnosti webu nebo domény používá digitální certifikát TLS.

Dalším příkladem zabezpečení aplikační vrstvy je Secure Shell (SSH) a protokol RDP (Remote Desktop Protocol), který šifruje data mezi klientem a serverem. Tyto protokoly také podporují vícefaktorové ověřování a zásady podmíněného přístupu, aby se zajistilo, že k vzdáleným prostředkům mají přístup jenom autorizovaná a vyhovující zařízení nebo uživatelé. Informace o zabezpečení připojení SSH a RDP k virtuálním počítačům Azure najdete v kroku 5.

Ochrana webových aplikací Azure

K ochraně webových aplikací Azure můžete použít Azure Front Door nebo Aplikace Azure Gateway.

Azure Front Door

Azure Front Door je globální distribuční služba, která optimalizuje doručování obsahu koncovým uživatelům prostřednictvím hraničních umístění Microsoftu. Díky funkcím, jako je firewall webových aplikací (WAF) a služba Private Link, můžete detekovat a blokovat škodlivé útoky na webové aplikace na hraničních zařízeních sítě Microsoft při privátním přístupu k vašim zdrojům pomocí interní sítě Microsoftu.

Kvůli ochraně dat je provoz do koncových bodů služby Azure Front Door chráněný pomocí protokolu HTTPS s kompletním protokolem TLS pro veškerý provoz směrovaný do a z jejích koncových bodů. Provoz se šifruje z klienta do původu a z původu do klienta.

Azure Front Door zpracovává požadavky HTTPS a určuje, který koncový bod v jeho profilu má přidružený název domény. Pak zkontroluje cestu a určí, které pravidlo směrování odpovídá cestě požadavku. Pokud je ukládání do mezipaměti povolené, Azure Front Door zkontroluje jeho mezipaměť a zjistí, jestli existuje platná odpověď. Pokud neexistuje žádná platná odpověď, Azure Front Door vybere nejlepší zdroj, který může obsloužit požadovaný obsah. Před odesláním požadavku do zdroje je možné u požadavku použít sadu pravidel, která změní hlavičku, řetězec dotazu nebo cíl zdroje.

Azure Front Door podporuje front-end i back-end TLS. Protokol TLS front-endu šifruje provoz mezi klientem a službou Azure Front Door. Back-end TLS šifruje provoz mezi službou Azure Front Door a původem. Azure Front Door podporuje protokol TLS 1.2 a TLS 1.3. Službu Azure Front Door můžete nakonfigurovat tak, aby používala vlastní certifikát TLS nebo používala certifikát spravovaný službou Azure Front Door.

Poznámka:

Pro další kontrolu paketů můžete také použít funkci Private Link pro připojení k síťovým virtuálním zařízením.

Azure Application Gateway

Aplikace Azure Gateway je regionální nástroj pro vyrovnávání zatížení, který funguje ve vrstvě 7. Směruje a distribuuje webový provoz na základě atributů adresy URL HTTP. Provoz může směrovat a distribuovat pomocí tří různých přístupů:

  • Pouze HTTP: Application Gateway přijímá a směruje příchozí požadavky HTTP do příslušného cíle v nešifrované podobě.
  • Ukončení protokolu SSL: Application Gateway dešifruje příchozí požadavky HTTPS na úrovni instance, kontroluje je a směruje je do cíle bez šifrování.
  • Kompletní tls: Služba Application Gateway dešifruje příchozí požadavky HTTPS na úrovni instance, kontroluje je a znovu je šifruje před jejich směrováním do cíle.

Nejbezpečnější možností je komplexní protokol TLS, který umožňuje šifrování a přenos citlivých dat vyžadováním použití ověřovacích certifikátů nebo důvěryhodných kořenových certifikátů. Vyžaduje také nahrání těchto certifikátů na back-endové servery a zajištění, že jsou tyto back-endové servery známé službě Application Gateway. Další informace najdete v tématu Konfigurace kompletního protokolu TLS pomocí služby Application Gateway.

Kromě toho můžou místní uživatelé nebo uživatelé na virtuálních počítačích v jiné virtuální síti používat interní front-end služby Application Gateway se stejnými funkcemi TLS. Spolu s šifrováním microsoft doporučuje vždy povolit WAF pro lepší ochranu front-endu pro vaše koncové body.

Krok 5: Ochrana virtuálních počítačů Azure pomocí služby Azure Bastion

Azure Bastion je spravovaná služba PaaS, která umožňuje zabezpečené připojení k virtuálním počítačům přes připojení TLS. Toto připojení je možné navázat z webu Azure Portal nebo prostřednictvím nativního klienta na privátní IP adresu na virtuálním počítači. Mezi výhody používání Bastionu patří:

  • Virtuální počítače Azure nepotřebují veřejnou IP adresu. Připojení iony jsou přes port TCP 443 pro HTTPS a můžou procházet většinu bran firewall.
  • Virtuální počítače jsou chráněné proti kontrole portů.
  • Platforma Azure Bastion se neustále aktualizuje a chrání před zneužitím bez nul.

Pomocí Bastionu můžete řídit připojení RDP a SSH k virtuálnímu počítači z jediného vstupního bodu. Jednotlivé relace můžete spravovat ze služby Bastion na webu Azure Portal. Odpojení probíhající vzdálené relace můžete také odstranit nebo vynutit, pokud máte podezření, že se uživatel nemá k danému počítači připojovat.

Následující diagram znázorňuje referenční architekturu pro použití služby Azure Bastion k ochraně virtuálních počítačů Azure.

Referenční architektura pro použití služby Azure Bastion k ochraně virtuálních počítačů Azure

Pokud chcete chránit virtuální počítač Azure, nasaďte Azure Bastion a začněte používat protokol RDP a SSH k připojení k virtuálním počítačům pomocí jejich privátních IP adres.

Další kroky

Další informace o použití nulová důvěra (Zero Trust) v sítích Azure najdete tady:

Reference

V těchto odkazech se dozvíte o různých službách a technologiích uvedených v tomto článku.