Návrh řešení pro segmentaci sítě

  • 10 min

Funkce Azure pro segmentaci

Když pracujete v Azure, máte mnoho možností segmentace.

Diagram znázorňující různé možnosti segmentace v Microsoft Azure

  1. Předplatné: Konstrukce vysoké úrovně, která poskytuje oddělení platforem mezi entitami. Účelem je stanovit hranice mezi velkými organizacemi uvnitř firmy a komunikace mezi prostředky v různých předplatných musí být explicitně nastavena.
  2. Virtuální síť (VNety): Vytvořeno v rámci předplatného v privátních adresních prostorech. Poskytují omezení prostředků na úrovni sítě, přičemž ve výchozím nastavení není povolen žádný provoz mezi žádnými dvěma virtuálními sítěmi. Stejně jako předplatná je potřeba explicitně zřídit veškerou komunikaci mezi virtuálními sítěmi.
  3. Skupiny zabezpečení sítě (NSG): Mechanismy řízení přístupu pro řízení provozu mezi prostředky ve virtuální síti a také s externími sítěmi, jako je internet, jiné virtuální sítě. Skupiny zabezpečení sítě můžou využít strategii segmentace na členitou úroveň vytvořením hraničních sítí pro podsíť, virtuální počítač nebo skupinu virtuálních počítačů. Informace o možných operacích s podsítěmi v Azure najdete v tématu Podsítě (virtuální sítě Azure).
  4. Skupiny zabezpečení aplikací (ASG): Podobá se skupinám zabezpečení sítě, ale odkazují se na kontext aplikace. Umožňuje seskupit sadu virtuálních počítačů pod značkou aplikace a definovat pravidla provozu, která se pak použijí na každý z podkladových virtuálních počítačů.
  5. Azure Firewall: Cloudový nativní stavový firewall jako služba, která se dá nasadit ve vaší virtuální síti nebo v nasazeních centra Azure Virtual WAN pro filtrování provozu mezi cloudovými prostředky, internetem a místním prostředím. Vytváříte pravidla nebo zásady (pomocí služby Azure Firewall nebo Azure Firewall Manager) určující povolený nebo odepřít provoz pomocí ovládacích prvků vrstvy 3 do vrstvy 7. Přenosy směřující do internetu můžete filtrovat také pomocí služby Azure Firewall i třetích stran tím, že přesměrujete některý nebo veškerý provoz prostřednictvím poskytovatelů zabezpečení třetích stran pro pokročilé filtrování a ochranu uživatelů.

Modely segmentace

Tady jsou některé běžné vzory segmentace úloh v Azure z hlediska sítí. Každý model poskytuje jiný typ izolace a připojení. Zvolte vzor založený na potřebách vaší organizace.

Model 1: Jedna virtuální síť

Všechny komponenty úlohy se nacházejí v jedné virtuální síti. Tento model je vhodný pro provoz v jedné oblasti, protože virtuální síť nemůže zahrnovat více oblastí.

Běžné způsoby zabezpečení segmentů, jako jsou podsítě nebo skupiny aplikací, zahrnují použití skupin zabezpečení sítě (NSG) a skupin aplikací zabezpečení (ASG). K vynucování a zabezpečení této segmentace můžete také použít síťové virtualizované zařízení (NVA) z Azure Marketplace nebo služby Azure Firewall.

V tomto obrázku má Podsíť 1 databázové zatížení. Podsíť2 obsahuje webové úlohy. Můžete nakonfigurovat skupiny zabezpečení sítě tak, aby Podsíť1 mohla komunikovat pouze s Podsítí2 a Podsíť2 mohla komunikovat jenom s internetem.

Diagram znázorňující model segmentace s jednou virtuální sítí

Zvažte případ použití, kdy máte více úloh umístěných v samostatných podsítích. Můžete umístit ovládací prvky, které umožní jedné úloze komunikovat s back-endem jiné úlohy.

Model 2: Více virtuálních sítí, které komunikují prostřednictvím propojování

Prostředky se šíří nebo replikují ve více virtuálních sítích (VNets). Virtuální sítě můžou komunikovat prostřednictvím peeringu. Tento vzor je vhodný v případě, že potřebujete seskupit aplikace do samostatných virtuálních sítí. Nebo potřebujete více oblastí Azure. Jednou z výhod je integrovaná segmentace, protože musíte explicitně propojit jednu virtuální síť s druhou. Partnerský vztah virtuálních sítí není tranzitivní. V rámci virtuální sítě můžete dále segmentovat pomocí skupin zabezpečení sítě a aplikačních bezpečnostních skupin, jak je znázorněno ve vzoru 1.

Diagram znázorňující model segmentace s několika virtuálními sítěmi

Vzor 3: Více virtuálních sítí v modelu topologie hvězda-paprsek

Virtuální síť je určená jako centrum v dané oblasti pro všechny ostatní virtuální sítě jako paprsky v této oblasti. Rozbočovač a jeho paprsky jsou propojené prostřednictvím propojování. Veškerý provoz prochází centrem, které může fungovat jako brána do jiných center v různých oblastech. V tomto vzoru jsou bezpečnostní kontroly nastavené v centrech tak, aby segmentovaly a řídily provoz mezi jinými virtuálními sítěmi škálovatelně. Jednou z výhod tohoto modelu je, že s rostoucí topologií sítě se režie zabezpečení nezvětší (s výjimkou případů, kdy rozšíříte do nových oblastí).

Diagram znázorňující model segmentace s topologií rozbočovače a paprsků.

Doporučenou nativní možností je Azure Firewall. Tato možnost funguje napříč virtuálními sítěmi i předplatnými a řídí toky provozu pomocí řízení provozu vrstvy 3 až 7. Můžete definovat komunikační pravidla a používat je konzistentně. Tady je několik příkladů:

  • Virtuální síť 1 nemůže komunikovat s virtuální sítí 2, ale může komunikovat ve virtuální síti 3.
  • Virtuální síť 1 nemá přístup k veřejnému internetu s výjimkou *.github.com.

Pomocí Azure Firewall Manageru ve verzi Preview můžete centrálně spravovat zásady napříč několika branami Azure Firewall a umožnit týmům DevOps další přizpůsobení místních zásad.

Porovnání vzorů

Úvahy Vzor 1 Vzor 2 Vzor 3
Připojení/směrování: jak jednotlivé segmenty vzájemně komunikují Směrování systému poskytuje výchozí připojení k jakékoli úloze v jakékoli podsíti. Stejné jako vzor 1. Mezi sítí typu spoke není žádné výchozí připojení. K povolení připojení se vyžaduje směrovač vrstvy 3, například Azure Firewall, v centru.
Filtrování provozu na úrovni sítě Provoz je ve výchozím nastavení povolený. K filtrování provozu použijte NSG a ASG. Stejné jako vzor 1. Provoz mezi paprskovými virtuálními sítěmi je ve výchozím nastavení odepřen. Otevřením vybraných cest povolíte provoz prostřednictvím konfigurace služby Azure Firewall.
Centralizované protokolování Protokoly NSG, ASG pro virtuální síť. Sdružit logy NSG a ASG napříč všemi virtuálními sítěmi. Azure Firewall protokoluje veškerý přijatý nebo odepřený provoz odesílaný přes centrum. Prohlédněte si protokoly ve službě Azure Monitor.
Nezamýšlené otevřené veřejné koncové body DevOps může omylem otevřít veřejný koncový bod prostřednictvím nesprávných pravidel NSG a ASG. Stejné jako vzor 1. Nechtěně otevřený veřejný koncový bod ve větvi nepovolí přístup, protože vrácený paket stavový firewall zahodí (asymetrické směrování).
Ochrana na úrovni aplikace Skupina zabezpečení sítě (NSG) nebo skupina zabezpečení aplikací (ASG) poskytuje pouze podporu síťové vrstvy. Stejné jako vzor 1. Azure Firewall podporuje filtrování plně kvalifikovaných názvů domén pro http/S a MSSQL pro odchozí provoz a napříč virtuálními sítěmi.