Freigeben über


Anwenden von Zero Trust-Prinzipien, um Einblick in den Netzwerkdatenverkehr zu gewinnen

Dieser Artikel bietet Anleitungen zum Anwenden der Prinzipien von Zero Trust für das Segmentieren von Netzwerken in Azure-Umgebungen. Im Folgenden sind die Zero Trust-Prinzipien aufgeführt.

Zero Trust-Prinzip Definition
Explizit verifizieren Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten.
Geringstmögliche Zugriffsberechtigungen verwenden Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.
Von einer Sicherheitsverletzung ausgehen Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern.

Dieses Prinzip wird durch die Verwendung von Analysen umgesetzt, um Einblick in den Netzwerkdatenverkehr in Ihrer Azure-Infrastruktur zu erhalten.

Dieser Artikel ist Teil einer Reihe von Artikeln, die veranschaulichen, wie die Zero Trust-Prinzipien auf Azure-Netzwerke angewendet werden.

Die in diesem Artikel behandelten Arten von Netzwerkdatenverkehr sind:

  • Zentralisiert
  • Ost-West-Datenverkehr, d. h. Datenverkehrsflüsse zwischen Ihren virtuellen Azure-Netzwerken (VNets) und Ihren Azure-Diensten und dem lokalen Netzwerk
  • Nord-Süd-Datenverkehr, d. h. Datenverkehrsflüsse zwischen Ihrer Azure-Umgebung und dem Internet

Referenzarchitektur

Das folgende Diagramm zeigt die Referenzarchitektur für diesen Zero Trust-Leitfaden für die Datenverkehrsüberprüfung zwischen lokalen und Azure-VNets, zwischen Azure-VNets und Azure-Diensten sowie zwischen Ihrer Azure-Umgebung und dem Internet.

Diagramm mit Referenzarchitektur und Ost-West- und Nord-Süd-Datenverkehrsflüssen.

Diese Referenzarchitektur umfasst:

Was ist in diesem Artikel enthalten?

Zero Trust-Prinzipien werden in der gesamten Referenzarchitektur angewendet. Die folgende Tabelle beschreibt die Empfehlungen für die Gewährleistung der Sichtbarkeit des Netzwerkdatenverkehrs in dieser Architektur für das Zero Trust-Prinzip Sicherheitsverletzung annehmen.

Schritt Task
1 Implementieren Sie einen zentralen Überprüfungspunkt für den Datenverkehr.
2 Implementieren Sie die Überprüfung des Ost-West-Datenverkehrs.
3 Implementieren Sie die Überprüfung des Nord-Süd-Datenverkehrs.

Schritt 1: Implementieren eines zentralen Überprüfungspunkts für den Datenverkehr

Die zentrale Datenverkehrsüberprüfung bietet Ihnen die Möglichkeit, den in Ihr Netzwerk ein- und ausgehenden Datenverkehr zu kontrollieren und zu visualisieren. Hub-and-Spoke-VNets und Azure Virtual WAN sind die beiden am häufigsten verwendeten Netzwerktopologien in Azure. Sie verfügen über unterschiedliche Funktionalitäten und Features, wie sie Netzwerke verbinden. In beiden Designs ist das Hub-VNet das zentrale Netzwerk und wird verwendet, um Workloads in Anwendungen und Workloads vom Hub-VNet in Spoke-VNets aufzuteilen. Die zentrale Überprüfung umfasst Datenverkehr, der Nord-Süd, Ost-West oder in beide Richtungen fließt.

Hub-Spoke-Topologie

Eines der Merkmale eines Hub-and-Spoke-Modells besteht darin, dass die VNets alle von Ihnen verwaltet werden. Ein verwaltetes Kunden-Hub-VNet dient als freigegebenes VNet, mit dem andere Spoke-VNets eine Verbindung herstellen. Dieses zentrale VNet wird in der Regel verwendet für:

  • Um hybride Konnektivität mit lokalen Netzwerken einzurichten.
  • Für die Datenverkehrsüberprüfung und -segmentierung mithilfe von Azure Firewall oder virtuellen Netzwerkgeräten (Network Virtual Appliances, NVAs) von Drittanbietern.
  • Um die Überprüfung des Diensts für die Anwendungsübermittlung wie Azure Application Gateway mit WAF zu zentralisieren.

In dieser Topologie platzieren Sie eine Azure Firewall oder ein NVA im Hub-VNet und konfigurieren benutzerdefinierte Routen (User Defined Routes, UDRs) für den direkten Datenverkehr von Spoke-VNets und von Ihrem lokalen Netzwerk zum Hub-VNet. Die Azure Firewall oder das NVA können auch als Routenmodul dienen, um den Datenverkehr zwischen virtuellen Spoke-Netzwerken weiterzuleiten. Eines der wichtigsten Features eines vom Kunden verwalteten VNet-Hub-and-Spoke-Modells ist die granulare Steuerung des Datenverkehrs mithilfe von UDRs und die Möglichkeit, das Routing, die Segmentierung und Weiterleitung dieser Routen manuell zu ändern.

Azure Virtual WAN

Azure Virtual WAN ist ein von Azure verwaltetes Hub-VNet, das im Hintergrund Routendienstinstanzen enthält, welche die Weiterleitung von Routen von und zu allen Verzweigungen und allen Spoke-Instanzen überwachen. Es ermöglicht effektiv eine Any-to-Any-Konnektivität.

Einer der großen Unterschiede zu einem verwalteten VNet (als verwalteter virtueller Hub bezeichnet) besteht darin, dass die Granularität der Routingsteuerung für die Benutzer abstrahiert wird. Einige der wichtigsten Vorteile sind:

  • Vereinfachte Routenverwaltung mit nativer Any-to-Any-Konnektivität. Wenn Sie eine Datenverkehrsisolation benötigen, können Sie benutzerdefinierte Routentabellen oder statische Routen in der Standardroutentabelle manuell konfigurieren.
  • Nur Virtual Network-Gateways, Azure Firewall und genehmigte NVAs oder softwaredefinierte WAN (SD-WAN)-Geräte können innerhalb des Hubs bereitgestellt werden. Zentrale Dienste wie DNS und Anwendungsgateways müssen sich auf regulären Spoke-VNets befindet. Spoke-Instanzen müssen mittels VNet-Peering an die virtuellen Hubs angefügt werden.

Verwaltete VNets eignen sich am besten für:

  • Große regionsübergreifende Bereitstellungen, die Transitkonnektivität benötigen, um Datenverkehrsüberprüfungen nach und von jedem Standort bereitstellen.
  • Mehr als 30 Zweigstellen oder über 100 IPsec-Tunnel (Internet Protocol Security, Internetprotokollsicherheit).

Einige der besten Features von Virtual WAN sind die Skalierbarkeit der Routinginfrastruktur und die Interkonnektivität. Beispiele für Skalierbarkeit sind der Durchsatz von 50 GBit/s pro Hub und 1000 Zweigstellen. Zur weiteren Skalierung können mehrere virtuelle Hubs miteinander verbunden werden, um ein größeres Virtual WAN-Gitternetzwerk zu schaffen. Ein weiterer Vorteil von Virtual WAN ist die Möglichkeit, das Routing für die Datenverkehrsüberprüfung zu vereinfachen, indem Präfixe mit dem Klick auf eine Schaltfläche eingefügt werden.

Jedes Design hat seine eigenen Vor- und Nachteile. Die richtige Wahl sollte auf der Grundlage des erwarteten künftigen Wachstums und der Anforderungen an den Verwaltungsmehraufwand getroffen werden.

Schritt 2: Implementieren der Ost-West-Datenverkehrsüberprüfung

Ost-West-Datenverkehrsflüsse umfassen VNet-zu-VNet und VNet-zu-lokal. Um den Datenverkehr zwischen Ost-West zu überprüfen, können Sie eine Azure Firewall oder ein NVA im Hub-VNet bereitstellen. Dies erfordert, dass UDRs den privaten Datenverkehr zur Überprüfung an die Azure Firewall oder das NVA weiterleiten. Innerhalb desselben VNet können Sie Netzwerksicherheitsgruppen für die Zugriffssteuerung verwenden, aber wenn Sie eine vertiefte Kontrolle bei der Überprüfung benötigen, können Sie eine lokale Firewall oder eine zentrale Firewall im Hub-VNet unter Verwendung von UDRs verwenden.

Mit Azure Virtual WAN können Sie die Azure Firewall oder ein NVA innerhalb des virtuellen Hubs für das zentrale Routing verwenden. Sie können Azure Firewall Manager oder Routingabsicht verwenden, um den gesamten privaten Datenverkehr zu überprüfen. Wenn Sie die Überprüfung anpassen möchten, können Sie die Azure Firewall oder das NVA im virtuellen Hub verwenden, um den gewünschten Datenverkehr zu prüfen. Die einfachste Möglichkeit, den Datenverkehr in einer Virtual WAN-Umgebung zu leiten, besteht darin, Routingabsicht für privaten Datenverkehr zu aktivieren. Dieses Feature pusht private Adresspräfixe (RFC 1918) an alle mit dem Hub verbundenen Spoke-Instanzen. Jeglicher an eine private IP-Adresse gerichteter Datenverkehr wird zur Überprüfung an den virtuellen Hub weitergeleitet.

Jede Methode hat Vor- und Nachteile. Der Vorteil der Verwendung der Routingabsicht ist die Vereinfachung der UDR-Verwaltung, Sie können die Überprüfung jedoch nicht pro Verbindung anpassen. Der Vorteil der Verwendung der Routingabsicht oder von Firewall Manager besteht darin, dass Sie die Überprüfung anpassen können. Der Nachteil besteht darin, dass Sie keine Datenverkehrsüberprüfung für regionsübergreifende Datenübertragung durchführen können.

Das folgende Diagramm zeigt den Ost-West-Datenverkehr innerhalb der Azure-Umgebung.

Diagramm mit der Referenzarchitektur mit Ost-West-Datenverkehr innerhalb der Azure-Umgebung.

Für Einblicke in Ihren Netzwerkdatenverkehr in Azure empfiehlt Microsoft die Implementierung einer Azure Firewall oder eines NVA in Ihrem VNet. Azure Firewall kann Datenverkehr sowohl auf der Vermittlungsschicht als auch der Anwendungsschicht prüfen. Darüber hinaus bietet Azure Firewall zusätzliche Features wie IDPS (Intrusion Detection and Prevention System), TLS (Transport Layer Security)-Überprüfung, URL-Filterung und Webkategorienfilterung.

Die Einbeziehung von Azure Firewall oder eines NVA in Ihr Azure-Netzwerk ist entscheidend für die Einhaltung des Zero Trust-Prinzips Sicherheitsverletzung annehmen für Netzwerke. Da Sicherheitsverletzungen immer dann auftreten können, wenn Daten ein Netzwerk durchlaufen, ist es wichtig, zu verstehen und zu steuern, welcher Datenverkehr sein Ziel erreichen darf. Azure Firewall, UDRs und Netzwerksicherheitsgruppen spielen eine wichtige Rolle bei der Ermöglichung eines sicheren Datenverkehrsmodells, indem sie den Datenverkehr über Workloads hinweg zulassen oder verweigern.

Um weitere Details zu Ihren VNet-Datenverkehrsflüssen anzuzeigen, können Sie VNet-Flussprotokolle oder NSG-Flussprotokolle aktivieren. Flussprotokolldaten werden in einem Azure Storage-Konto gespeichert, in dem Sie auf die Daten zugreifen und sie in ein Visualisierungstool wie Azure Traffic Analytics exportieren können. Mit Azure Traffic Analytics können Sie unbekannten oder unerwünschten Datenverkehr finden, das Datenverkehrsaufkommen und die Bandbreitennutzung überwachen oder nach bestimmten Daten filtern, um das Verhalten Ihrer Anwendung zu verstehen.

Schritt 3: Implementieren der Nord-Süd-Datenverkehrsüberprüfung

Nord-Süd-Datenverkehr umfasst in der Regel Datenverkehr zwischen privaten Netzwerken und dem Internet. Um den Nord-Süd-Datenverkehr in einer Hub-and-Spoke-Topologie zu überprüfen, können Sie UDRs verwenden, um den Datenverkehr an eine Azure Firewall-Instanz oder ein NVA zu leiten. Für dynamische Ankündigung können Sie einen Azure Route Server mit einem NVA verwenden, das BGP unterstützt, um den gesamten internetgebundenen Datenverkehr von VNets an das NVA zu leiten.

In Azure Virtual WAN können Sie die folgenden gängigen Szenarien verwenden, um den Nord-Süd-Datenverkehr von den VNets zur Azure Firewall oder zum im virtuellen Hub unterstützten NVA zu leiten:

  • Verwenden Sie ein NVA oder eine Azure Firewall im virtuellen Hub, der mit Routingabsicht oder mit Azure Firewall Manager gesteuert wird, um Nord-Süd-Datenverkehr zu leiten.
  • Wenn Ihr NVA innerhalb des virtuellen Hubs nicht unterstützt wird, können Sie es in einem Spoke-VNet bereitstellen und den Datenverkehr mit UDRs zur Überprüfung leiten. Das gleiche gilt für Azure Firewall. Alternativ können Sie auch BGP-Peer für ein NVA in einer Spoke-Instanz mit dem virtuellen Hub verwenden, um eine Standardroute (0.0.0.0/0/0) anzukündigen.

Das folgende Diagramm zeigt Nord-Süd-Datenverkehr zwischen einer Azure-Umgebung und dem Internet.

Diagramm mit der Referenzarchitektur und dem Nord-Süd-Datenverkehr zwischen der Azure-Umgebung und dem Internet.

Azure bietet die folgenden Netzwerkdienste, die einen Einblick in den Netzwerkdatenverkehr bieten, der in Ihre Azure-Umgebung ein- und ausgeht.

Azure DDoS Protection

Azure DDoS Protection kann auf jedem VNet mit öffentlichen IP-Ressourcen aktiviert werden, um mögliche DDoS (Distributed Denial of Service)-Angriffe zu überwachen und zu mindern. Bei diesem Risikominderungsprozess wird die Datenverkehrsnutzung anhand vordefinierter Schwellenwerte in der DDoS-Richtlinie analysiert, gefolgt von der Protokollierung dieser Informationen zur weiteren Untersuchung. Um besser auf zukünftige Vorfälle vorbereitet zu sein, bietet Azure DDoS Protection die Möglichkeit, Simulationen durchzuführen gegen Ihre öffentlichen IP-Adressen und Dienste und wertvolle Einblicke in die Resilienz und Reaktion Ihrer Anwendung während eines DDoS-Angriffs zu erhalten.

Azure Firewall

Azure Firewall bietet eine Sammlung von Tools zum Überwachen, Überprüfen und Analysieren des Netzwerkdatenverkehrs.

  • Protokolle und Metriken

    Azure Firewall sammelt detaillierte Protokolle, indem sie in Azure Log Analytics-Arbeitsbereiche integriert werden. Sie können KQL (Kusto Query Language)-Abfragen verwenden, um zusätzliche Informationen zu wichtigen Regelkategorien wie Anwendungs- und Netzwerkregeln zu extrahieren. Sie können auch ressourcenspezifische Protokolle abrufen, die sich auf Schemas und Strukturen von der Netzwerkebene bis hin zu Threat Intelligence- und IDPS-Protokollen erweitern. Weitere Informationen finden Sie unter Strukturierte Azure Firewall-Protokolle.

  • Arbeitsmappen

    Azure Firewall stellt Arbeitsmappen bereit, in denen die Daten mithilfe von Diagrammen der Aktivität im Zeitverlauf dargestellt werden. Mit diesem Tool können Sie auch mehrere Azure Firewall-Ressourcen visualisieren, indem Sie diese in einer einheitliche Oberfläche kombinieren. Weitere Informationen finden Sie unter Verwenden von Azure Firewall-Arbeitsmappen.

  • Richtlinienanalyse

    Azure Firewall-Richtlinienanalyse bietet eine Übersicht über die von Ihnen implementierten Richtlinien und optimiert und modifiziert die implementierten Richtlinien basierend auf den Richtlinieneinblicken, Regelanalysen und Datenverkehrsflussanalysen, um sie an Datenverkehrsmuster und Bedrohungen anzupassen. Weitere Informationen finden Sie unter Azure Firewall-Richtlinienanalyse.

Diese Funktionen stellen sicher, dass die Azure Firewall eine robuste Lösung zum Sichern des Netzwerkdatenverkehrs bleibt, indem Administratoren die Tools zur Verfügung gestellt werden, die für eine effektive Netzwerkverwaltung erforderlich sind.

Application Gateway

Application Gateway bietet wichtige Funktionen zum Überwachen, Überprüfen und Analysieren von Datenverkehr für Sicherheitszwecke. Indem Sie die Protokollanalyse aktivieren und entweder vordefinierte oder benutzerdefinierte KQL-Abfragen verwenden, können Sie HTTP-Fehlercodes anzeigen, einschließlich derjenigen in den Bereichen 4xx und 5xx, die für die Identifizierung von Problemen von entscheidender Bedeutung sind.

Die Zugriffsprotokolle von Application Gateway bieten auch kritische Einblicke in wichtige sicherheitsrelevante Parameter wie Client-IP-Adressen, Anforderungs-URIs, die HTTP-Version und SSL/TLS-spezifische Konfigurationswerte wie Protokolle, Sammlungen von TLS-Verschlüsselungsverfahren und die Aktivierung der SSL-Verschlüsselung ist.

Azure Front Door

Azure Front Door verwendet Anycast TCP, um Datenverkehr an den nächstgelegenen Rechenzentrums-PoP (Point of Presence, Zugangsknoten) weiterzuleiten. Wie bei einem herkömmlichen Lastenausgleich können Sie eine Azure Firewall oder ein NVA im Back-End-Pool von Azure Front Door platzieren, der auch als Ursprung bezeichnet wird. Die einzige Anforderung ist, dass die IP-Adresse im Ursprung öffentlich ist.

Sobald Sie Azure Front Door für den Empfang von Anforderungen konfiguriert haben, werden Datenverkehrsberichte erstellt, die zeigen, wie sich das Azure Front Door-Profil verhält. Wenn Sie die Premium-Dienstebene von Azure Front Door verwenden, stehen auch Sicherheitsberichte zur Verfügung, um Übereinstimmungen mit WAF-Regeln anzuzeigen, einschließlich OWASP (Open Worldwide Application Security Project)-Regeln, Bot-Schutzregeln und benutzerdefinierte Regeln.

Azure WAF

Azure WAF ist ein zusätzliches Sicherheitsfeature, das Layer 7-Datenverkehr überprüft und sowohl für Application Gateway als auch Azure Front Door mit bestimmten Dienstebenen aktiviert werden kann. Dies bietet eine zusätzliche Sicherheitsebene für Datenverkehr, der nicht aus Azure stammt. Sie können die WAF sowohl im Präventions- als auch im Erkennungsmodus mithilfe von OWASP-Kernregeldefinitionen konfigurieren.

Überwachungstools

Für eine umfassende Überwachung von Nord-Süd-Datenverkehrsflüssen können Sie Tools wie NSG-Flussprotokolle, Azure Traffic Analytics und VNet-Flussprotokolle verwenden, um den Einblick in das Netzwerk zu verbessern.

Nächste Schritte

Weitere Informationen zum Anwenden von Zero Trust auf Azure-Netzwerke finden Sie unter:

References

Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.