Hálózatok védelme Teljes felügyelet

  • Cikk

A Big Data új lehetőségeket kínál az új megállapítások kinyerésére és a versenyelőny megszerzésére. Eltávolodunk egy olyan korszaktól, ahol a hálózatok egyértelműen meghatározottak és általában egy adott helyre jellemzőek voltak. A felhő, a mobileszközök és más végpontok kibővítik a határokat, és megváltoztatják a paradigmát. Most már nem feltétlenül van egy zárt/definiált hálózat a biztonságossá tételhez. Ehelyett az eszközök és hálózatok széles választéka áll rendelkezésre, amelyek mindegyike a felhőhöz van kapcsolva.

Ahelyett, hogy azt hinné, hogy a vállalati tűzfal mögött minden biztonságos, a teljes körű Teljes felügyelet stratégia feltételezi, hogy a behatolások elkerülhetetlenek. Ez azt jelenti, hogy minden kérést úgy kell ellenőriznie, mintha egy ellenőrizetlen hálózatból származik– ebben az identitáskezelés kulcsfontosságú szerepet játszik.

A Teljes felügyelet modellben három fő célkitűzés áll rendelkezésre a hálózatok biztonságossá tételéhez:

  • Készüljön fel a támadások kezelésére, mielőtt bekövetkeznének.

  • Minimalizálja a kár mértékét és azt, hogy milyen gyorsan terjed.

  • Növelje a felhőbeli lábnyom veszélyeztetésének nehézségét.

Ennek érdekében három Teljes felügyelet alapelvet követünk:

  • Ellenőrizze explicit módon. Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján, beleértve a felhasználói identitást, a helyet, az eszköz állapotát, a szolgáltatást vagy a számítási feladatot, az adatbesorolást és a rendellenességeket.

  • A legkevésbé kiemelt hozzáférés használata. Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel az adatok és a termelékenység védelme érdekében.

  • Feltételezzük, hogy megszegi a szabályt. A behatolások robbanási sugarának minimalizálása és az oldalirányú mozgás megakadályozása a hozzáférés hálózati, felhasználói, eszköz- és alkalmazástudatosság szerinti szegmentálásával. Ellenőrizze, hogy az összes munkamenet végpontok között titkosítva van-e. Az elemzések segítségével betekintést kaphat, növelheti a fenyegetésészlelést, és javíthatja a védelmet.

Hálózati Teljes felügyelet üzembehelyezési célkitűzései

Mielőtt a legtöbb szervezet megkezdené Teljes felügyelet útját, hálózati biztonsággal rendelkezik, amelyet a következők jellemeznek:

  • Kevés hálózati biztonsági szegély és nyitott, lapos hálózatok.

  • Minimális veszélyforrások elleni védelem és statikus forgalomszűrés.

  • Titkosítatlan belső forgalom.

A hálózatok biztonságossá tételéhez szükséges, végpontok közötti Teljes felügyelet keretrendszer megvalósításakor javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson:

Lista ikon egyetlen pipával.

I.Network szegmentáció: Sok bejövő/kimenő felhőbeli mikroszegmens, néhány mikroszegmentációval.

II.Veszélyforrások elleni védelem: Natív felhőbeli szűrés és védelem az ismert fenyegetésekhez.

III.Titkosítás: Az alkalmazásközi belső forgalom titkosítva van.

A befejezés után a következő további üzembehelyezési célokra összpontosítson:

Lista ikon két pipával.

IV.Hálózati szegmentálás: Teljes mértékben elosztott bejövő/kimenő felhőbeli mikroszegmensek és mélyebb mikroszegmentálás.

V.Threat Protection: Gépi tanuláson alapuló veszélyforrások elleni védelem és szűrés környezetalapú jelekkel.

VI.Titkosítás: Minden forgalom titkosítva van.

VII.Hagyja abba az örökölt hálózati biztonsági technológiát.

Hálózati Teljes felügyelet üzembe helyezési útmutató

Ez az útmutató végigvezeti a hálózatok biztonságossá tételéhez szükséges lépéseken egy Teljes felügyelet biztonsági keretrendszer alapelveit követve.




Ellenőrzőlista ikon egy pipával.

Kezdeti üzembehelyezési célkitűzések

I. Hálózati szegmentálás: Sok bejövő/kimenő felhőbeli mikroszegmens mikroszegmentációval

A szervezeteknek nem csak egyetlen, nagy csővel kell rendelkezniük a hálózatukon belül és kívül. A Teljes felügyelet megközelítésben a hálózatok inkább kisebb szigetekre vannak szegmentáltak, ahol meghatározott számítási feladatokat tartalmaznak. Minden szegmens saját bejövő és kimenő vezérlőkkel rendelkezik az adatokhoz való jogosulatlan hozzáférés "robbanási sugarának" minimalizálása érdekében. A szoftveralapú szegélyek részletes vezérlőkkel történő implementálásával növelheti a jogosulatlan szereplők számára a hálózatban való propagálás nehézségét, és így csökkentheti a fenyegetések oldalirányú mozgását.

Nincs olyan architektúraterv, amely megfelel az összes szervezet igényeinek. Lehetősége van a hálózat Teljes felügyelet modell szerinti szegmentálására szolgáló néhány gyakori tervezési minta között.

Ebben az üzembe helyezési útmutatóban végigvezetjük az egyik ilyen terv, a mikroszegmentálás megvalósításának lépésein.

A mikroszegmentálással a szervezetek az egyszerű központosított hálózatalapú szegélyhálózatokon túl a szoftveralapú mikroszegmensek használatával átfogó és elosztott szegmentálásra is képesek.

Az alkalmazások particionálása különböző Azure-beli virtuális hálózatokra (VNetekre) történik, és küllős modellel csatlakozik

Két küllős modellben csatlakoztatott virtuális hálózat ábrája.

Tegye a következők egyikét:

  1. Dedikált virtuális hálózatok létrehozása különböző alkalmazásokhoz és/vagy alkalmazásösszetevőkhöz.

  2. Hozzon létre egy központi virtuális hálózatot az alkalmazásközi kapcsolatok biztonsági helyzetének beállításához, és csatlakoztassa az alkalmazás virtuális hálózatait egy küllős architektúrában.

  3. Az Azure Firewall üzembe helyezése a központi virtuális hálózaton a virtuális hálózatok közötti forgalom vizsgálatához és szabályozásához.

II. Veszélyforrások elleni védelem: Natív felhőbeli szűrés és védelem az ismert fenyegetésekhez

Azok a felhőalkalmazások, amelyek végpontokat nyitottak meg külső környezetek számára, például az internet vagy a helyszíni lábnyom, ki vannak téve az ilyen környezetekből érkező támadásoknak. Ezért elengedhetetlen, hogy rosszindulatú hasznos adatokat vagy logikát keressen a forgalomban.

Az ilyen típusú fenyegetések két széles kategóriába sorolhatók:

  • Ismert támadások. A szoftverszolgáltató vagy a nagyobb közösség által felderített fenyegetések. Ilyen esetekben a támadási aláírás elérhető, és minden kérést ellenőriznie kell az aláírások ellen. A kulcs az, hogy az észlelési motor gyorsan frissíthető legyen az újonnan azonosított támadásokkal.

  • Ismeretlen támadások. Ezek olyan fenyegetések, amelyek nem teljesen egyeznek az ismert aláírásokkal. Az ilyen típusú fenyegetések közé tartoznak a nulladik napi biztonsági rések és a kérésforgalom szokatlan mintázatai. Az ilyen támadások észlelésének képessége attól függ, hogy a védelem mennyire tudja, mi a normális, és mi nem. A védelemnek folyamatosan kell tanulnia és frissítenie kell az üzletmenet (és a kapcsolódó forgalom) fejlődésével kapcsolatos mintákat.

Kövesse az alábbi lépéseket az ismert fenyegetések elleni védelemhez:

  1. HTTP/S forgalommal rendelkező végpontok esetén az Azure Web Application Firewall (WAF) használatával a következő védelemmel:

    1. Az alapértelmezett szabálykészlet vagy az OWASP első 10 védelmi szabálykészletének bekapcsolása az ismert webes rétegbeli támadások elleni védelemhez

    2. A robotvédelmi szabálykészlet bekapcsolása annak érdekében, hogy a rosszindulatú robotok ne kaparják le az információkat, és ne végezhessenek hitelesítő adatok feltöltését stb.

    3. Egyéni szabályok hozzáadása a vállalatra jellemző fenyegetések elleni védelemhez.

    Két lehetőség közül választhat:

  2. Az összes végpont (HTTP vagy sem) esetén az Azure Firewalllal szemben a fenyegetésintelligencia-alapú szűrés a 4. rétegben:

    1. Az Azure Firewall üzembe helyezése és konfigurálása az Azure Portalon.

    2. Engedélyezze a fenyegetésintelligencia-alapú szűrést a forgalomhoz.

    Tipp.

    Megtudhatja, hogyan valósíthat meg végpontok végpontjaihoz Teljes felügyelet végpontokra vonatkozó, végpontok közötti Teljes felügyelet stratégiát.

III. Titkosítás: A felhasználó–alkalmazás belső forgalom titkosítva van

A harmadik kezdeti cél a titkosítás hozzáadása annak érdekében, hogy a felhasználók közötti belső forgalom titkosítva legyen.

Tegye a következők egyikét:

  1. Csak HTTPS-kommunikáció kényszerítése az internetes webalkalmazások számára a HTTP-forgalom HTTPS-be való átirányításával az Azure Front Door használatával.

  2. Csatlakozás távoli alkalmazottakat/partnereket a Microsoft Azure-ba a Azure VPN Gateway.

    1. Kapcsolja be a titkosítást az Azure VPN Gateway szolgáltatás minden pont–hely forgalmához.

  3. Az Azure-beli virtuális gépek biztonságos elérése titkosított kommunikációval az Azure Bastionon keresztül.

    1. Csatlakozás SSH használata Linux rendszerű virtuális gépeken.

    2. Csatlakozás RDP használata Windows rendszerű virtuális gépeken.

Tipp.

Ismerje meg, hogyan implementálhat egy végpontok közötti Teljes felügyelet stratégiát az alkalmazásokhoz.




Ellenőrzőlista ikon két pipával.

További üzembehelyezési célkitűzések

IV. Hálózati szegmentálás: Teljes mértékben elosztott bejövő/kimenő felhőbeli mikroszegmensek és mélyebb mikroszegmentáció

Miután elvégezte a kezdeti három célkitűzést, a következő lépés a hálózat további szegmentálása.

Az alkalmazás összetevőinek particionálása különböző alhálózatokra

Az Azure-régióban lévő kiszolgálók virtuális hálózatának diagramja.

Tegye a következők egyikét:

  1. A virtuális hálózaton belül adjon hozzá virtuális hálózati alhálózatokat, hogy az alkalmazás különálló összetevői saját szegélyekkel rendelkezzenek.

  2. Alkalmazza a hálózati biztonsági csoport szabályait , hogy csak azokról az alhálózatokról engedélyezze a forgalmat, amelyek alkalmazás-alösszetevőjét megbízható kommunikációs partnerként azonosították.

A külső határok szegmentálása és kényszerítése

A határokon átnyúló kapcsolatokkal rendelkező kiszolgálók és eszközök diagramja.

Kövesse az alábbi lépéseket a határ típusától függően:

Internethatár

  1. Ha internetkapcsolatra van szükség az alkalmazáshoz, amelyet a központi virtuális hálózaton keresztül kell irányítani, frissítse a hálózati biztonsági csoport szabályait a központi virtuális hálózatban az internetkapcsolat engedélyezéséhez.

  2. Kapcsolja be az Azure DDoS Protection Standardot , hogy megvédje a központi virtuális hálózatot a mennyiségi hálózati réteg támadásaitól.

  3. Ha az alkalmazás HTTP/S protokollokat használ, kapcsolja be az Azure Web Application Firewallt a 7. rétegbeli fenyegetések elleni védelem érdekében.

Helyszíni határ

  1. Ha az alkalmazásnak csatlakoznia kell a helyszíni adatközponthoz, használja az Azure VPN Azure ExpressRoute-ot a központi virtuális hálózathoz való kapcsolódáshoz.

  2. Konfigurálja az Azure Firewallt a központi virtuális hálózatban a forgalom vizsgálatához és szabályozásához.

PaaS-szolgáltatások határa
  • Az Azure által biztosított PaaS-szolgáltatások (például Az Azure Storage, az Azure Cosmos DB vagy az Azure Web App) használatakor a PrivateLink kapcsolati lehetőséggel győződjön meg arról, hogy az összes adatcsere a privát IP-címen keresztül történik, és a forgalom soha nem hagyja el a Microsoft-hálózatot.

Tipp.

Megtudhatja, hogyan implementálhat egy végpontok közötti Teljes felügyelet stratégiát az adatokhoz.

V. Veszélyforrások elleni védelem: Gépi tanuláson alapuló veszélyforrások elleni védelem és szűrés környezetalapú jelekkel

További veszélyforrások elleni védelem érdekében kapcsolja be az Azure DDoS Protection Standardot az Azure-ban üzemeltetett alkalmazások forgalmának folyamatos figyeléséhez, ml-alapú keretrendszerek használatával az alapkonfigurációhoz és a mennyiségi forgalom árvizeinek észleléséhez, valamint automatikus kockázatcsökkentések alkalmazásához.

Tegye a következők egyikét:

  1. Az Azure DDoS Protection Standard konfigurálása és kezelése .

  2. Riasztások konfigurálása DDoS-védelmi metrikákhoz.

VI. Titkosítás: Minden forgalom titkosítva van

Végül fejezze be a hálózatvédelmet úgy, hogy minden forgalom titkosítva van.

Tegye a következők egyikét:

  1. Az alkalmazás háttérbeli forgalmának titkosítása a virtuális hálózatok között.

  2. A helyszíni és a felhő közötti forgalom titkosítása:

    1. Helyek közötti VPN konfigurálása ExpressRoute Microsoft-társviszony-létesítésen keresztül.

    2. Konfigurálja az IPsec átviteli módot az ExpressRoute privát társviszony-létesítéshez.

VII. Régi hálózati biztonsági technológia megszüntetése

Szüntesse meg az aláírásalapú hálózati behatolásészlelés-/hálózati behatolás-megelőzési (NIDS/NIPS) rendszerek és a hálózati adatszivárgás/veszteségmegelőzés (DLP) használatát.

A fő felhőszolgáltatók már szűrnek a hibásan formázott csomagokra és a hálózati réteg gyakori támadásaira, így nincs szükség NIDS-/NIPS-megoldásra az észleléshez. Emellett a hagyományos NIDS-/NIPS-megoldásokat általában aláírásalapú megközelítések vezérlik (amelyek elavultnak minősülnek), és könnyen megkerülik a támadók, és általában magas a hamis pozitív értékek aránya.

A hálózati alapú DLP egyre hatékonyabban azonosítja a véletlen és a szándékos adatvesztést is. Ennek az az oka, hogy a legtöbb modern protokoll és támadó hálózati szintű titkosítást használ a bejövő és kimenő kommunikációhoz. Ehhez az egyetlen működőképes áthidaló megoldás az "SSL-áthidalás", amely egy "középen lévő engedélyezett", amely leállítja, majd újraalkotja a titkosított hálózati kapcsolatokat. Az SSL-áthidaló megközelítés kiesett a szívességből, mert a megoldást futtató partner és a használt technológiák megbízhatósági szintje szükséges.

Ezen indok alapján egy teljes körű javaslatot teszünk arra, hogy ne használja többé ezeket az örökölt hálózati biztonsági technológiákat. Ha azonban a céges tapasztalata az, hogy ezek a technológiák tapintható hatással voltak a valós támadások megelőzésére és észlelésére, érdemes lehet áthordani őket a felhőkörnyezetbe.

Az útmutatóban szereplő termékek

Microsoft Azure

Azure-hálózatkezelés

Virtuális hálózatok és alhálózatok

Hálózati biztonsági csoportok és alkalmazásbiztonsági csoportok

Azure Firewall

Azure DDoS Protection

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Összegzés

A hálózatok biztonságossá tétele egy sikeres Teljes felügyelet stratégia központi eleme. A megvalósítással kapcsolatos további információkért vagy segítségért forduljon az ügyfél-siker csapatához, vagy olvassa el az útmutató egyéb fejezeteit, amelyek az összes Teljes felügyelet pillérre kiterjednek.



A Teljes felügyelet üzembehelyezési útmutató sorozata

A bevezetés ikonja

Identitás ikonja

Végpontok ikonja

Alkalmazások ikonja

Az adatok ikonja

Infrastruktúra ikonja

Hálózatok ikonja

Láthatóság, automatizálás, vezénylés ikonja