Planifier la segmentation du réseau de zone d’atterrissage

  • Article

Cette section explore les principales recommandations pour la fourniture d’une segmentation du réseau interne hautement sécurisée à l’intérieur d’une zone d’atterrissage afin d’opérer une implémentation Confiance Zéro du réseau.

Considérations relatives à la conception :

  • Le modèle de confiance zéro suppose un état de violation et vérifie chaque requête comme si elle provenait d’un réseau non contrôlé.

  • Une implémentation de réseau Confiance Zéro utilise des micro-périmètres cloud d’entrée/sortie entièrement distribués et une micro-segmentation plus profonde.

  • Des groupes de sécurité réseau (NSG) peuvent utiliser des balises de service Azure pour faciliter la connectivité à des services PaaS Azure.

  • Des groupes de sécurité d’application (ASG) ne fournissent pas et n’étendent pas de protection aux réseaux virtuels.

  • Les journaux de flux de groupe de sécurité réseau sont désormais pris en charge à l’aide de modèles Azure Resource Manager.

Recommandations relatives à la conception :

  • Déléguez la création de sous-réseau aux propriétaires de zone d’atterrissage. Cela permettra à ceux-ci de définir le mode de segmentation des charges de travail dans des sous-réseaux (par exemple, un seul grand sous-réseau, une application multiniveau ou une application injectée par réseau virtuel). L’équipe de plateforme peut utiliser Azure Policy pour s’assurer qu’un groupe de sécurité réseau avec des règles spécifiques (par exemple, refuser le trafic entrant SSH ou RDP en provenance d’Internet, ou autoriser/bloquer le trafic entre zones d’atterrissage) est toujours associé à des sous-réseaux ayant des stratégies de refus uniquement.

  • Utilisez des groupes de sécurité réseau pour protéger le trafic dans des sous-réseaux, ainsi que le trafic est-ouest sur la plateforme (trafic entre zones d’atterrissage).

  • L’équipe d’application doit utiliser des groupes de sécurité d’application dans les groupes de sécurité réseau au niveau du sous-réseau pour protéger des machines virtuelles multiniveaux au sein de leur zone d’atterrissage.

    Diagramme montrant comment fonctionne le groupe de sécurité des applications.

  • Utilisez des groupes de sécurité réseau et des groupes de sécurité d’application pour le trafic de micro-segment à l’intérieur de la zone d’atterrissage, et évitez d’utiliser une appliance virtuelle réseau centrale pour filtrer les flux de trafic.

  • Activez les journaux de flux de groupe de sécurité réseau et alimentez-les dans Traffic Analytics pour obtenir des informations sur des flux de trafic internes et externes. Les journaux de flux doivent être activés sur tous les réseaux virtuels/sous-réseaux critiques de votre abonnement en guise de meilleures pratiques d’audit et de sécurité.

  • Utilisez des groupes de sécurité réseau pour autoriser de manière sélective la connectivité entre zones d’atterrissage.

  • Pour les topologies Virtual WAN, routez le trafic dans les zones d’atterrissage via le Pare-feu Azure si votre organisation requiert des fonctionnalités de filtrage et de journalisation pour le trafic circulant dans les zones d’atterrissage.

  • Si votre organisation décide d’implémenter le tunneling forcé (publier l’itinéraire par défaut) au niveau local, nous vous recommandons d’incorporer les règles NSG sortantes suivantes pour refuser le trafic de sortie des réseaux virtuels destiné directement à Internet en cas d’annulation de la session BGP.

Notes

Les priorités des règles doivent être ajustées en fonction de votre ensemble de règles NSG existant.

Priority Nom Source Destination Service Action Remarque
100 AllowLocal Any VirtualNetwork Any Allow Autorise le trafic pendant les opérations normales. Une fois le tunneling forcé activé, la route 0.0.0.0/0 est considérée comme faisant partie de l’étiquette VirtualNetwork tant que BGP la publie sur la passerelle ExpressRoute ou VPN.
110 DenyInternet Any Internet Any Deny Refuse le trafic destiné directement à Internet si la route 0.0.0.0/0 est retirée des routes publiées (par exemple, en raison d’une panne ou d’une configuration incorrecte).

Attention

Les services PaaS Azure qui peuvent être injectés dans un réseau virtuel peuvent ne pas être compatibles avec le tunneling forcé. Les opérations de plan de contrôle peuvent toujours nécessiter une connectivité directe à des adresses IP publiques spécifiques pour que le service fonctionne correctement. Il est recommandé de consulter la documentation de service spécifique pour connaître les exigences réseau et d’exempter éventuellement le sous-réseau de service de la propagation de route par défaut. Les étiquettes de service dans l’itinéraire défini par l’utilisateur peuvent être utilisées pour contourner l’itinéraire par défaut et rediriger le trafic du plan de contrôle uniquement si l’étiquette de service spécifique est disponible.