Minta implementálása a hálózati biztonságos bejövő forgalomhoz

A hálózati biztonságos bejövő forgalom számos tervezési mintát tartalmaz, beleértve a globális útválasztás, a globális kiszervezés és az állapotvégpont monitorozásának mintáit. Az ebben a cikkben szereplő minta-implementációt átjáróként használhatja minden olyan HTTP- vagy HTTPS-számítási feladathoz, amely magas rendelkezésre állást vagy megbízhatóságot igényel, ha biztonságos globális útválasztást biztosít a különböző régiókban lévő számítási feladatokhoz, alacsony késésű feladatátvétellel.

Videó: Hálózati biztonságos bejövő forgalom implementálása

Mintakövetelmények

Ez a cikk három követelményt ismertet, amelyek a hálózati biztonságos bejövő forgalom mintájának megvalósítására összpontosítanak: a globális útválasztásra, az alacsony késésű feladatátvételre és a peremhálózati támadások mérséklására.

Globális útválasztás

A hálózat biztonságos bemeneti mintája magában foglalja a globális útválasztási mintát. Így az implementáció különböző régiókban lévő számítási feladatokhoz irányíthatja a kéréseket.

Alacsony késésű feladatátvétel

A megvalósításnak képesnek kell lennie az kifogástalan és nem kifogástalan számítási feladatok azonosítására, és az útválasztás megfelelő, időérzékeny módon történő módosítására. A késésnek támogatnia kell az útválasztás néhány perc alatt történő módosítását.

A támadások enyhítése a peremhálózaton

A peremhálózati támadások mérséklése a megvalósítás "hálózatbiztonsági" részét teszi szükségessé. A számítási feladatoknak vagy a szolgáltatásként nyújtott platformnak (PaaS) nem szabad az interneten keresztül elérhetőnek lennie. Az internetes forgalomnak csak az átjárón keresztül kell tudnia haladni. Az átjárónak képesnek kell lennie a biztonsági rések csökkentésére.

Minták

Ez a megoldás a következő tervezési mintákat valósítja meg:

• Átjáró-útválasztási minta: A kérések átirányítása több szolgáltatáshoz vagy szolgáltatáspéldányhoz, amelyek különböző régiókban lehetnek.
• Átjáró-kiszervezési minta: Kiszervezési funkciók, például a támadások mérséklése egy átjáróproxyra.
• Állapotvégpontok monitorozási mintája: Olyan végpontok elérhetővé tételét, amelyek ellenőrzik a számítási feladat állapotát.

Tervezés

Az ábrán egy OLYAN HTTPS-kérés látható, amely egy Azure Front Door Premium-dobozba áramlik, amelyben egy webalkalmazási tűzfal található. Ez az Azure Front Door Premium és az Azure Web Application Firewall integrációját mutatja be. A diagram ezután azt mutatja, hogy a kérés Private Link halad át két különböző régióban lévő bélyegre. Minden bélyeghez tartozik egy statikus webhely és egy belső terheléselosztó. A kérések Private Link haladnak át a statikus webhelyekre és a terheléselosztókra mindkét bélyegen.

Ez az implementáció a következő részleteket tartalmazza:

• Azure Blob Storage-fiókokat használ a két régióban futó statikus webes számítási feladatok szimulálására. Ez az implementáció nem tartalmaz belső terheléselosztó (ILB) mögött futó számítási feladatokat. Az ábra egy ILB-t mutat be, amely azt szemlélteti, hogy ez az implementáció az ILB mögött futó privát számítási feladatok esetében is működni fog.
• Az Azure Front Door Premium szintet használja globális átjáróként.
• Az Azure Front Door-példány egy globális webalkalmazási tűzfalszabályzattal (WAF) rendelkezik, amely felügyelt szabályokkal van konfigurálva, amelyek segítenek megvédeni a gyakori biztonsági réseket.
• A tárfiókok nem jelennek meg az interneten keresztül.
• Az Azure Front Door Premium szintje Azure Private Link keresztül fér hozzá a tárfiókokhoz.
• Az Azure Front Door-példány a következő magas szintű konfigurációval rendelkezik:
  • Egyetlen útvonallal rendelkező végpont, amely egyetlen forráscsoportra mutat. A forráscsoport az eredet vagy a háttérrendszer gyűjteménye.
  • A forráscsoport rendelkezik egy olyan forrással, amely úgy van konfigurálva, hogy az egyes tárfiókok felé mutasson.
  • Minden forrás Private Link hozzáférést kér a tárfiókhoz.
  • A forráscsoport állapotmintái úgy vannak konfigurálva, hogy hozzáférjenek egy HTML-laphoz a tárfiókokban. A HTML-oldal a statikus számítási feladatok állapotvégpontjaként működik. Ha a mintavételek az elmúlt négy kísérletből háromban sikeresen hozzáférnek a forráshoz, a forrás kifogástalannak minősül.

Összetevők

Webes kérelem

• Azure Web Application Firewall: A prémium szintű Web Application Firewall támogatja a Microsoft által felügyelt szabályokat, amelyek segítenek megvédeni a gyakori biztonsági réseket.
• Azure Private Link: A Azure Private Link privát végpontjai elérhetővé teszik az Azure PaaS-szolgáltatást egy virtuális hálózat privát IP-címének. Ez az expozíció lehetővé teszi, hogy a kommunikáció a Microsoft gerinchálózatán haladjon át, és ne a nyilvános interneten.
• Prémium szintű Azure Front Door: Az Azure Front Door 7. rétegbeli globális terheléselosztást biztosít. Az Azure Front Door integrációja Web Application Firewall. A Prémium szint a következőket támogatja:
  • Azure Private Link: Private Link támogatás lehetővé teszi, hogy az Azure Front Door kommunikáljon a Microsoft gerinchálózatán futó privát virtuális hálózaton futó PaaS-szolgáltatásokkal vagy számítási feladatokkal.
  • Microsoft által felügyelt szabálykészletek: Az Azure Front Door prémium szintű szintje támogatja a Web Application Firewall prémium szintjét, amely támogatja a WAF-ben beállított felügyelt szabálykészletet.
• Azure Storage: Ez az implementáció Blob Storage-fiókokat használ egy statikus webhely vagy számítási feladat megjelenítéséhez.
• Belső terheléselosztó: Ez az implementáció nem használja a belső terheléselosztót. A képen egy, a terheléselosztó mögött futó privát számítási feladat látható. A tárfiókhoz való útválasztás ugyanaz, mint a terheléselosztók számára.

Üzemeltetés

Az erőforrások hálózati szempontból történő védelme segít a biztonsági rések elleni védelemben, de elkülöníti az erőforrásokat azoktól a folyamatoktól vagy rendszergazdáktól, akiknek hozzá kell férnie ezekhez az erőforrásokhoz. Előfordulhat például, hogy egy DevOps-folyamatban lévő buildügynöknek hozzá kell férnie a tárfiókhoz a webalkalmazás frissítésének üzembe helyezéséhez. Emellett előfordulhat, hogy a rendszergazdának hibaelhárítási célból hozzá kell férnie az erőforráshoz.

A biztonságos hálózati hozzáférés működési célú biztosításának szemléltetéséhez ez az implementáció üzembe helyez egy virtuális gépet (VM-et) egy olyan virtuális hálózaton, amely Private Link hozzáféréssel rendelkezik a tárfiókokhoz. Ez az implementáció üzembe helyezi az Azure Bastiont, amelyet a rendszergazda a virtuális géphez való csatlakozáshoz használhat. Az üzembe helyezési forgatókönyv esetében egy privát buildügynök is üzembe helyezhető a virtuális hálózaton, hasonlóan a virtuális géphez.

Íme a műveletek összetevőinek részletei:

• Azure Virtual Network: Ez az implementáció a virtuális hálózattal tartalmazza a rendszergazda számára szükséges összetevőket a tárfiókkal való biztonságos kommunikációhoz a Microsoft privát gerinchálózatán keresztül.
• Azure Virtual Machines: Ez az implementáció egy virtuális gépet használ jumpboxként a rendszergazdák számára a csatlakozáshoz. A virtuális gép a privát virtuális hálózaton van üzembe helyezve.
• Azure Bastion: Az Azure Bastion lehetővé teszi a rendszergazda számára, hogy biztonságosan csatlakozzon a jumpbox virtuális géphez a Secure Shellen (SSH) keresztül anélkül, hogy a virtuális gépnek nyilvános IP-címmel kellene rendelkeznie.
• Private Link végpont: A privát végponthoz egy privát IP-cím van hozzárendelve a virtuális hálózatból, és csatlakozik a tárfiók PaaS szolgáltatásához. Ez a kapcsolat lehetővé teszi, hogy a privát virtuális hálózat erőforrásai a privát IP-címen keresztül kommunikáljanak a tárfiókkal.
• Privát Azure DNS-zóna: A privát Azure DNS-zóna egy OLYAN DNS-szolgáltatás, amely az Azure-tárfiók Private Link gazdagépnevét a privát végpont privát IP-címére oldja fel.

Webkérelmek folyamata

Az ábrán egy felhasználó látható, aki webes kérelmet küld az Azure Front Doornak. Az Azure Front Door mezőben a diagram az Azure Front Door útválasztási folyamatának lépéseit mutatja be. A folyamatban kiemelt lépés a WAF-szabályok kiértékelésének, az Azure Front Door útvonalának és egy forráscsoport kiválasztásának, valamint a forráscsoportból való kiválasztásának a lépése. Az utolsó kiemelt elem az, ahol az Azure Front Door Private Link keresztül csatlakozik a Azure Blob Storage fiókhoz.

1. A felhasználó HTTP- vagy HTTPS-kérést küld egy Azure Front Door-végpontnak.

2. A WAF-szabályok kiértékelése történik. A rendszer mindig naplózza az egyező szabályokat. Ha az Azure Front Door WAF szabályzatmódja megelőzésre van beállítva, és az egyező szabálynak van egy olyan művelete, amely letiltja az anomáliát, a kérés le lesz tiltva. Ellenkező esetben a kérés folytatódik vagy átirányításra kerül, vagy a rendszer kiértékeli az ezt követő szabályokat.

3. Az Azure Front Doorban konfigurált útvonal megfelel, és a megfelelő forráscsoport van kiválasztva. Ebben a példában a webhely statikus tartalmának elérési útja volt.

4. A forrás a forráscsoportból van kiválasztva.

   a. Ebben a példában az állapottesztek nem megfelelő állapotúnak tekintették a webhelyet, így a lehetséges forrásokból ki lesznek távolítva.
   b. Ez a webhely ki van jelölve.

5. A kérést a rendszer Private Link keresztül irányítja az Azure Storage-fiókba a Microsoft gerinchálózatán keresztül.

További információ az Azure Front Door útválasztási architektúrájáról: Útválasztási architektúra áttekintése.

Működési folyamat

A diagram három részből áll. Az első rész a statikus webhelyként működő Azure Blob Storage mutatja be. Az Azure Front Door Private Link keresztül csatlakozik a tárfiókhoz. A második rész egy virtuális hálózatot jelképező mező. A virtuális hálózat alhálózatokkal és azok tartalmával rendelkezik. Ezek az alhálózatok közé tartozik egy privát végpont alhálózata, amely egy Private Link végpontot tartalmaz 10.0.2.5 IP-címmel, egy jumpbox-alhálózatot egy jumpbox virtuális géppel, és egy Azure Bastion-alhálózatot az Azure Bastion használatával. A harmadik rész egy rendszergazda felhasználó, aki SSH-val fér hozzá a virtuális hálózat jumpbox virtuális gépéhez az Azure Bastionon keresztül. A nyíl a virtuális gépről a privát Azure DNS-zónába kerül. Az utolsó nyíl a virtuális gépről a Privát kapcsolat végpontjára, majd a tárfiókra kerül.

1. Egy rendszergazda csatlakozik a virtuális hálózaton üzembe helyezett Azure Bastion-példányhoz.

2. Az Azure Bastion SSH-kapcsolatot biztosít a jumpbox virtuális géphez.

3. A jumpbox rendszergazdája megpróbálja elérni a tárfiókot az Azure CLI-n keresztül. A jumpbox lekérdezi a DNS-t a nyilvános Azure Blob Storage fiókvégponthoz: storageaccountname.blob.core.windows.net.

   saját DNS végső soron storageaccountname.privatelink.blob.core.windows.net. A Private Link végpont privát IP-címét adja vissza, amely ebben a példában 10.0.2.5.

4. A tárfiókhoz privát kapcsolat jön létre a Private Link végponton keresztül.

Megfontolandó szempontok

A megoldás használatakor tartsa szem előtt az alábbi szempontokat.

Megbízhatóság

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelekre vonatkozó kötelezettségvállalásoknak. További információ: A megbízhatósági pillér áttekintése.

Ez a forgatókönyv a megbízhatóság következő fő pontjaival foglalkozik:

• Az alacsony késésű globális útválasztás az állapottesztek használatával lehetővé teszi a megbízhatóságot azáltal, hogy az alkalmazást elszigeteli a regionális kimaradásoktól.
• Web Application Firewall az Azure Front Dooron központosított védelmet biztosít a HTTP- és HTTPS-kérésekhez.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

Ez a forgatókönyv a következő fontos szempontokat kezeli a biztonsággal kapcsolatban:

• Private Link Prémium szintű Azure Front Door támogatása nem teszi szükségessé a belső vagy PaaS-szolgáltatások interneten keresztüli elérhetővé tételét. Private Link lehetővé teszi, hogy az Azure Front Door a Microsoft gerinchálózatán keresztül kommunikáljon privát szolgáltatásaival vagy PaaS-szolgáltatásaival.
• Web Application Firewall az Azure Front Dooron központosított védelmet biztosít a HTTP- és HTTPS-kérésekhez.
• A Web Application Firewall Premium felügyelt szabályai a Microsoft által felügyelt szabályok, amelyek segítenek megvédeni Önt a gyakori biztonsági fenyegetések ellen.

Költségoptimalizálás

A költségoptimalizálás a felesleges költségek csökkentésének és a működési hatékonyság javításának módjait ismerteti. További információ: A költségoptimalizálási pillér áttekintése.

Bár az Azure Front Door Premium és a Web Application Firewall Premium is speciális biztonsági funkciókat biztosít a Standard szinten, mindkettőnek további költségekkel kell rendelkeznie. Az Azure Front Door és Web Application Firewall díjszabásával kapcsolatos további információkért tekintse át az alábbi forrásanyagokat:

• Az Azure Front Door díjszabása
• Web Application Firewall díjszabása
• Azure-díjkalkulátor

Működésbeli kiválóság

A működési kiválóság magában foglalja az alkalmazás üzembe helyezését és éles üzemben tartását. További információ: Az operatív kiválósági pillér áttekintése.

A hálózati biztonsági határok megvalósítása összetettebbé teszi az üzemeltetést és az üzembe helyezést. Tartsa szem előtt ezeket a szempontokat:

• A Microsoft által üzemeltetett ügynökök IP-tartományai idővel változnak. Érdemes lehet saját üzemeltetésű ügynököket implementálni a virtuális hálózaton.
• Az Azure Bastion implementálása olyan forgatókönyvekhez, amikor az üzemeltetési csapatoknak hálózati biztonságos erőforrásokhoz kell hozzáférnie.
• Az azure Front Door Web Application Firewall használata a HTTP- és HTTPS-kérések központosított védelmének biztosítására az átjáró kiszervezési mintájának példája. A biztonsági rés kiaknázása iránti kérelmek vizsgálatának felelőssége ki van töltve Web Application Firewall az Azure Front Doorban. A működési kiválóság szempontjából az az előnye, hogy a szabályokat csak egy helyen kell kezelnie.

Fontos

A hálózati biztonságos bejövő forgalom mintája lehetővé teszi az összes olyan erőforrás üzembe helyezését, amely ahhoz szükséges, hogy az Azure Bastionon keresztül kapcsolódjon egy jumpboxhoz, és csatlakozzon egy biztonságos hálózati virtuális géphez.

Teljesítménybeli hatékonyság

A teljesítményhatékonyság a számítási feladat skálázási képessége, hogy megfeleljen a felhasználók által támasztott követelményeknek. További információ: A teljesítményhatékonyság pillérének áttekintése.

A globális útválasztás lehetővé teszi a horizontális skálázást több erőforrás üzembe helyezésével ugyanabban a régióban vagy különböző régiókban.

Következő lépések

• Ezt a megvalósítást a hálózat által védett bemeneti mintában ismertetett lépések végrehajtásával helyezheti üzembe.