Megosztás a következőn keresztül:

Teljes felügyelet alapelvek alkalmazása Azure Virtual WAN-üzembe helyezésre

  • Cikk

Feljegyzés

A cikk megvitatása során csatlakozzon az Azure FastTrack csapatához a közelgő Livestreambe . 2024. október 9. | 10:00 – 11:00 (UTC-07:00) Csendes-óceáni idő (USA és Kanada). Regisztráljon itt.

A modern felhő, a mobileszközök és más végpontok fejlődésével már nem elegendő a vállalati tűzfalakra és szegélyhálózatokra támaszkodni. A végpontok közötti Teljes felügyelet stratégia feltételezi, hogy a biztonsági incidensek elkerülhetetlenek. Ez azt jelenti, hogy minden kérést úgy kell ellenőriznie, mintha egy ellenőrizetlen hálózatból származik. A hálózatkezelés továbbra is fontos szerepet játszik a Teljes felügyelet az infrastruktúra, az alkalmazások és az adatok csatlakoztatásában és védelmében. A Teljes felügyelet modellben három fő célkitűzés áll rendelkezésre a hálózatok biztonságossá tételéhez:

  • Készüljön fel a támadások kezelésére, mielőtt bekövetkeznének.
  • Minimalizálja a kár mértékét és azt, hogy milyen gyorsan terjed.
  • Növelje a felhőbeli lábnyom veszélyeztetésének nehézségét.

Az Azure Virtual WAN globális átviteli hálózati architektúrát tesz lehetővé, mivel lehetővé teszi a globálisan elosztott felhőbeli számítási feladatok (VNetek), fiókwebhelyek, SaaS- és PaaS-alkalmazások és felhasználók közötti, mindenhol elérhető kapcsolatot. A Teljes felügyelet megközelítés alkalmazása az Azure Virtual WAN-ban kritikus fontosságú annak biztosítása érdekében, hogy a gerinc biztonságos és védett legyen.

Ez a cikk a Teljes felügyelet alapelveinek az Azure Virtual WAN-telepítésre való alkalmazásának lépéseit ismerteti az alábbi módokon:

Teljes felügyelet elv Definíció Megfelelteti:
Explicit ellenőrzés Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. Az Azure Firewall és a Transport Layer Security (TLS) vizsgálatával ellenőrizheti a kockázatokat és a fenyegetéseket az összes rendelkezésre álló adat alapján. A feltételes hozzáférési vezérlők különböző adatpontok általi hitelesítést és engedélyezést biztosítanak, és az Azure Firewall nem végez felhasználói hitelesítést.
A legkevésbé kiemelt hozzáférés használata Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel. A felhasználói hozzáférés meghaladja az Azure hálózati infrastruktúra üzembe helyezésének hatókörét. Az olyan identitáskezelési megoldások használata, mint a Privileged Access Management, a Feltételes hozzáférés és más vezérlők, lehetővé tenni ezt az alapelvet.
A szabálysértés feltételezése Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához. Minden küllős virtuális hálózatnak nincs hozzáférése más küllős virtuális hálózatokhoz, kivéve, ha a forgalmat az egyes Azure Virtual WAN-központba integrált tűzfalon keresztül irányítják. A tűzfal alapértelmezés szerint elutasításra van beállítva, így csak a megadott szabályok által engedélyezett forgalmat engedélyezi. Egy alkalmazás/számítási feladat biztonsága vagy megsértése esetén az Azure Firewall forgalomvizsgálatot végez, és csak az engedélyezett forgalmat továbbítja. Csak az ugyanabban a számítási feladatban lévő erőforrások vannak kitéve a biztonsági résnek ugyanabban az alkalmazásban.

Az Azure IaaS-környezetek Teljes felügyelet alapelveinek alkalmazásával kapcsolatos további információkért tekintse meg az Azure-infrastruktúra Teljes felügyelet alapelveinek áttekintését.

A Teljes felügyelet iparági vitafórumát a NIST 800–207.

Azure Virtual WAN

Az Azure Virtual WAN egy olyan hálózati szolgáltatás, amely számos hálózatkezelési, biztonsági és útválasztási funkciót biztosít egyetlen kezelőfelületen. Néhány fő funkció:

  • Speciális útválasztási funkciók
  • Biztonsági "bump-in-the-wire" integráció az Azure Firewall vagy a támogatott hálózati virtuális berendezések (NVA-k) a központban
  • Titkosított ExpressRoute

Az Azure Virtual WAN Teljes felügyelet megközelítéséhez több mögöttes szolgáltatást és összetevőt kell konfigurálni a korábban felsorolt Teljes felügyelet alapelvtáblából. Íme a lépések és műveletek listája:

  • Az Azure Firewall vagy a támogatott következő generációs tűzfal (NGFW) NVA-k üzembe helyezése az egyes Virtual WAN-központokban.
  • Konfigurálja a virtuális hálózatok közötti és a helyszíni ág-útválasztást egy Teljes felügyelet környezet létrehozásához úgy, hogy az összes forgalmat a központ biztonsági berendezéseibe küldi ellenőrzésre. Konfigurálja az útválasztást az ismert fenyegetések szűréséhez és védelméhez.
  • Győződjön meg arról, hogy a küllők egyik erőforrása sem rendelkezik közvetlen internet-hozzáféréssel.
  • Az alkalmazás mikroszegmentálásának biztosítása küllős hálózatokban, valamint egy bejövő/kimenő mikroszegmens-stratégia.
  • A hálózati biztonsági események megfigyelhetőségének biztosítása.

Referenciaarchitektúra

Az alábbi ábra egy gyakori referenciaarchitektúrát mutat be, amely bemutatja a gyakran üzembe helyezett környezetet, valamint a Teljes felügyelet alapelveinek alkalmazását az Azure Virtual WAN-ban.

Az Azure Virtual Desktop referenciaarchitektúrájának diagramja.

Az Azure Virtual WAN alapszintű és standard típusok esetén telepíthető. Az Azure Virtual WAN Teljes felügyelet alapelveinek Azure Firewall vagy NGFW használatával történő alkalmazása standard típust igényel.

Az Azure Virtual WAN biztonságos központokkal rendelkező referenciaarchitektúrája a következőket tartalmazza:

  • Egyetlen logikai virtuális WAN.
  • Két biztonságos virtuális központ, régiónként egy.
  • Az Egyes központokban üzembe helyezett Azure Firewall Premium-példány.
  • Legalább egy Prémium szintű Azure Firewall-szabályzat.
  • Pont–hely (P2S) és helyek közötti (S2S) VPN- és ExpressRoute-átjárók.
  • P2S, S2S és ExpressRoute-hoz csatlakoztatott ágak.
  • Olyan megosztott szolgáltatások virtuális hálózata, amely olyan alapvető infrastruktúra-erőforrásokat tartalmaz, amelyek nem helyezhetők üzembe a Virtual WAN-központban, például egyéni DNS-virtuális gépek vagy Azure DNS Private Resolver, Active Directory tartományi szolgáltatások [AD DS] tartományvezérlők, Azure Bastion és egyéb megosztott erőforrások.
  • Számítási feladatok virtuális hálózatai Azure-alkalmazás Átjáróval, Azure webalkalmazási tűzfallal (WAF) és privát végpontokkal, ha szükséges.

Az Azure Virtual WAN a natív Azure Firewall alternatívájaként támogatja a külső tűzfalak korlátozott készletének integrálását a központon belül. Ez a cikk csak az Azure Firewallt ismerteti. A referenciaarchitektúrában a virtuális hálózatok megosztott szolgáltatásainak küllője csak egy példa arra, amit üzembe helyezhet. A Microsoft felügyeli az Azure Virtual WAN-központokat, és nem telepíthet bennük mást, kivéve azt, amit az Azure Firewall és a támogatott NVA-k kifejezetten megengednek.

Ez a referenciaarchitektúra megfelel a Virtual WAN hálózati topológiáról szóló felhőadaptálási keretrendszer cikkben ismertetett architektúraelveknek.

Útválasztási biztonság

Az útvonalak propagálásának és a helyszíni környezet elkülönítésének védelme kritikus fontosságú biztonsági elem, amelyet kezelni kell.

A forgalom szegmentálásán kívül az útválasztás biztonsága minden hálózati biztonsági terv kritikus része. Az útválasztási protokollok a legtöbb hálózat szerves részét képezik, beleértve az Azure-t is. Meg kell védenie az infrastruktúrát az útválasztási protokollok, például a helytelen konfigurációk vagy a rosszindulatú támadások eredendő kockázataival szemben. A VPN-hez vagy az ExpressRoute-hoz használt BGP protokoll nagyon gazdag lehetőségeket kínál a hálózat védelmére a nem kívánt útválasztási változások ellen, amelyek magukban foglalhatják a túl specifikus útvonalak vagy túl széles útvonalak hirdetését.

A hálózat védelmének legjobb módja, ha a helyszíni eszközöket megfelelő útvonalszabályzatokkal és útvonaltérképekkel konfigurálja, hogy csak az engedélyezett előtagok legyenek propagálva a hálózatba az Azure-ból. Lehetőség van például a következőkre:

  • Tiltsa le a túl általános bejövő előtagokat.

    Ha egy helytelen konfiguráció miatt az Azure elkezd általános előtagokat küldeni, például 0.0.0.0/0 vagy 10.0.0.0/8, akkor az olyan forgalmat vonzhat, amely egyébként a helyszíni hálózaton marad.

  • Tiltsa le a túl specifikus bejövő előtagokat.

    Bizonyos körülmények között kaphat hosszú IPv4-előtagokat az Azure-ból (a hálózati előtag hossza 30–32), amelyek általában más kevésbé specifikus előtagok részét képezik, ezért nem szükségesek. Az előtagok elvetése megakadályozza, hogy a helyszíni útválasztási táblák szükségtelenül megnőnek.

  • Tiltsa le az Azure-ban nem található bejövő előtagokat, hacsak nem használja az Azure-t tranzithálózatként.

    Ha nem az Azure-t használja a helyszíni helyek közötti forgalom átvitelére (például olyan technológiákkal, mint az ExpressRoute Global Reach), az Azure-ból meghirdetett helyszíni előtag útválasztási hurkot jelez. Az ilyen típusú útválasztási hurkoktól csak az Azure-előtagok helyszíni útválasztókon való használata védené meg Önt.

  • Tiltsa le a nem helyszíni kimenő előtagokat.

    Ha nem a helyszíni hálózatot használja az Azure-régiók közötti átvitelhez, akkor nem szabad olyan előtagot hirdetnie az Azure-nak, amelyet nem használ a helyszínen. Ha nem, akkor fennáll az útválasztási hurkok létrehozásának kockázata, különösen azért, mert a legtöbb útválasztó eBGP-implementációi újra meghirdetik az összes előtagot a nem előnyben részesített hivatkozásokon. Ennek az a hatása, hogy az Azure-előtagokat visszaküldi az Azure-ba, hacsak nem konfigurálta az eBGP több elérési útját.

Logikai architektúra

Az Azure Virtual WAN egy központon belül elérhető központok és szolgáltatások gyűjteménye. A szükséges számú virtuális WAN üzembe helyezhető. A Virtual WAN-központban több szolgáltatás létezik, például VPN, ExpressRoute, Azure Firewall vagy egy harmadik fél által integrált NVA.

Az alábbi ábra az Azure-infrastruktúra logikai architektúráját mutatja be egy Azure Virtual WAN-üzembe helyezéshez, ahogyan az a felhőadaptálási keretrendszer is mutatja.

Az Azure Virtual WAN-topológia és az Azure-előfizetések összetevőinek diagramja.

Az erőforrások többsége a kapcsolati előfizetésben található. Az összes Virtual WAN-erőforrást egyetlen erőforráscsoportba helyezheti üzembe a kapcsolati előfizetésben, beleértve a több régióban történő üzembe helyezést is. Az Azure VNet küllői a kezdőzóna-előfizetésekben találhatók. Ha öröklési és hierarchiabeli Azure Firewall-szabályzatot használ, a szülőházirendnek és a gyermekházirendnek ugyanabban a régióban kell lennie. Továbbra is alkalmazhatja az egyik régióban létrehozott szabályzatot egy másik régióból származó biztonságos központban.

Mi található ebben a cikkben?

Ez a cikk végigvezeti az Azure Virtual WAN referenciaarchitektúrájának Teljes felügyelet alapelveinek alkalmazásának lépésein.

Lépés Task Teljes felügyelet alkalmazott elv(ek)
0 Azure Firewall-szabályzat létrehozása. Explicit ellenőrzés
A szabálysértés feltételezése
2 Alakítsa át az Azure Virtual WAN-központokat biztonságos központokká. Explicit ellenőrzés
A szabálysértés feltételezése
3 Biztonságossá teheti a forgalmat. Explicit ellenőrzés
A szabálysértés feltételezése
4 A küllős virtuális hálózatok védelme. A szabálysértés feltételezése
5 Tekintse át a titkosítás használatát. A szabálysértés feltételezése
6 A P2S-felhasználók védelme. A szabálysértés feltételezése
7 Konfigurálja a figyelést, a naplózást és a felügyeletet. A szabálysértés feltételezése

Az 1. és a 2. lépést sorrendben kell elvégeznie. A többi lépés bármilyen sorrendben elvégezhető.

1. lépés: Azure Firewall-szabályzat létrehozása

A klasszikus küllős architektúra önálló Azure Firewall-üzemelő példányai esetében legalább egy Azure-szabályzatot létre kell hozni az Azure Firewall Managerben, és hozzá kell társítani az Azure Virtual WAN-központokkal. Ezt a szabályzatot létre kell hozni és elérhetővé kell tenni bármely központ konvertálása előtt. A szabályzat definiálása után a 2. lépésben az Azure Firewall-példányokra lesz alkalmazva.

Az Azure Firewall-szabályzatok szülő-gyermek hierarchiában rendezhetők. Klasszikus küllős vagy felügyelt Azure Virtual WAN-forgatókönyv esetén a forgalom engedélyezéséhez vagy letiltásához egy általános, informatikai szintű biztonsági szabályokkal rendelkező gyökérszabályzatot kell meghatároznia. Ezután minden központ esetében meghatározható egy gyermekházirend, amely a központspecifikus szabályokat öröklődés útján valósítja meg. Ez a lépés nem kötelező. Ha az egyes központokra alkalmazandó szabályok azonosak, egyetlen szabályzat alkalmazható.

A Teljes felügyelet esetében prémium szintű Azure Firewall-szabályzatra van szükség, amelynek tartalmaznia kell a következő beállításokat:

  • DNS-proxy – Egyéni DNS-kiszolgálóként kell konfigurálnia az Azure Firewallt küllős virtuális hálózatokhoz, amelyek a megosztott szolgáltatás küllőjében vagy a helyszínen található valódi DNS-t védik. Az Azure-tűzfalak DNS-proxyként működnek, figyelik az UDP 53-as portját, és továbbítják a DNS-kéréseket a szabályzatbeállításokban megadott DNS-kiszolgálóknak. Minden küllőhöz konfigurálnia kell egy DNS-kiszolgálót a virtuális hálózat szintjén, amely az Azure Firewall belső IP-címére mutat a Virtual WAN Hubban. Nem szabad hálózati hozzáférést biztosítani a küllőktől és ágaktól az egyéni DNS-hez.

  • A TLS-ellenőrzést engedélyezni kell az alábbi esetekben:

    • Kimenő TLS-ellenőrzés az Azure-ban üzemeltetett belső ügyfélről az internetre küldött rosszindulatú forgalom ellen.

    • Kelet-nyugati TLS-vizsgálat , amely magában foglalja a helyszíni ágakba vagy onnan a Virtual WAN küllői közé érkező vagy onnan érkező forgalmat. Ez védi az Azure-számítási feladatokat az Azure-ból küldött potenciális rosszindulatú forgalomtól.

  • A behatolásészlelési és -megelőzési rendszert (IDPS) engedélyezni kell "Riasztás és megtagadás" módban.

  • A fenyegetésfelderítést "Riasztás és megtagadás" módban kell engedélyezni.

A szabályzat létrehozása során létre kell hoznia a szükséges célhálózati címfordítási (DNAT-) szabályokat, hálózati szabályokat és alkalmazásszabályokat, hogy csak a kifejezetten engedélyezett forgalom számára engedélyezze a hálózati folyamatokat. A kijelölt célok TLS-vizsgálatának engedélyezéséhez a megfelelő alkalmazásszabálynak engedélyeznie kell a "TLS-ellenőrzés" beállítást. Szabályok létrehozásakor a szabálygyűjteményekben a legkorlátozóbb "Cél" és "Céltípus" értéket kell használnia.

2. lépés: Azure Virtual WAN-központok átalakítása biztonságos központokká

Az Azure Virtual WAN Teljes felügyelet megközelítésének középpontjában a biztonságos virtuális WAN-központ (biztonságos központ) fogalma áll. A biztonságos központ egy Integrált Azure Firewalllal rendelkező Azure Virtual WAN-központ. A harmadik felek által támogatott biztonsági berendezések használata az Azure Firewall alternatívaként támogatott, de ebben a cikkben nem ismertetjük. Ezekkel a virtuális berendezésekkel megvizsgálhatja az összes észak-déli, kelet-nyugati és internethez kötött forgalmat.

Javasoljuk, hogy az Azure Firewall Premiumot Teljes felügyelet, és konfigurálja az 1. lépésben leírt Prémium szabályzattal.

Feljegyzés

A DDoS Protection használata nem támogatott biztonságos központokkal.

További információ: Az Azure Firewall telepítése virtuális WAN-központban.

3. lépés: A forgalom védelme

Miután az összes Azure Virtual WAN-központot frissítette a biztonságos központokra, konfigurálnia kell az útválasztási szándékot és szabályzatokat Teljes felügyelet elvekhez. Ez a konfiguráció lehetővé teszi az Azure Firewall számára, hogy az egyes központokban vonzzák és ellenőrizzék a küllők és ágak közötti forgalmat ugyanabban a központban és a távoli központokban. A szabályzatokat úgy kell konfigurálnia, hogy "internetes forgalmat" és "privát forgalmat" is küldjenek az Azure Firewallon vagy a külső NVA-n keresztül. A "Központközi" beállítást is engedélyezni kell. Íme egy példa.

Példa az Azure Firewall útválasztási szabályzatára.

Ha engedélyezve van a "Privát forgalom" útválasztási szabályzat, a virtuális WAN-központon belüli és kimenő virtuális hálózatok forgalmát, beleértve a központközi forgalmat is, a rendszer a szabályzatban megadott következő ugrású Azure Firewallra vagy NVA-ra továbbítja. A szerepköralapú hozzáférés-vezérlési (RBAC) jogosultsággal rendelkező felhasználók felülbírálhatják a küllős virtuális hálózatok Virtual WAN-útvonalprogramját, és egyéni, felhasználó által definiált útvonalat (UDR) társíthatnak a központi tűzfal megkerüléséhez. A biztonsági rés elkerülése érdekében az RBAC-engedélyeknek a küllős virtuális hálózatok alhálózataihoz való hozzárendelésére vonatkozó RBAC-engedélyeket a központi hálózati rendszergazdákra kell korlátozni, és nem szabad delegálni a küllős virtuális hálózatok kezdőzónájának tulajdonosaira. Ha egy UDR-t virtuális hálózathoz vagy alhálózathoz szeretne társítani, a felhasználónak hálózati közreműködői szerepkörrel vagy egyéni szerepkörrel kell rendelkeznie a "Microsoft.Network/routeTables/join/action" művelethez vagy engedélyhez.

Feljegyzés

Ebben a cikkben az Azure Firewall elsősorban az internetes forgalom és a magánforgalom-vezérlés szempontjából is fontos. Az internetes forgalomhoz használhat egy harmadik fél által támogatott biztonsági NVA-t vagy egy harmadik féltől származó biztonsági szolgáltatót szolgáltatásként (SECaaS). Privát forgalom esetén a harmadik fél által támogatott biztonsági NVA-k az Azure Firewall alternatívaként használhatók.

Feljegyzés

Az Azure Virtual WAN egyéni útvonaltáblái nem használhatók az útválasztási szándékkal és szabályzatokkal együtt, és nem tekinthetők biztonsági lehetőségnek.

4. lépés: Küllős virtuális hálózatok védelme

Minden Azure Virtual WAN-központ rendelkezhet egy vagy több virtuális hálózattal , amelyek virtuális hálózatok közötti társviszony-létesítéssel vannak összekapcsolva . A felhőadaptálási keretrendszer célzónamodellje alapján minden virtuális hálózat tartalmaz egy, a szervezetet támogató kezdőzóna-számítási feladatot, alkalmazásokat és szolgáltatásokat. Az Azure Virtual WAN kezeli a kapcsolatot, az útvonalak propagálását és társítását, valamint a kimenő és bejövő útválasztást, de nem befolyásolhatja a virtuális hálózatokon belüli biztonságot. Teljes felügyelet alapelveket minden küllős virtuális hálózaton belül kell alkalmazni a Alkalmazzon Teljes felügyelet elveket küllős virtuális hálózatokra és más cikkekre az erőforrás típusától függően, például a virtuális gépekre és a tárolóra. Vegye figyelembe a következő elemeket:

Mivel az Azure Virtual WAN-központot az Azure zárolja és felügyeli, az egyéni összetevők nem telepíthetők és nem engedélyezhetők ott. Egyes, a hubon belül, klasszikus küllős modellben általában üzembe helyezett erőforrásokat egy vagy több küllőbe kell helyezni, amelyek megosztott erőforrás-hálózatokként működnek. Példa:

  • Azure Bastion: Az Azure Bastion támogatja az Azure Virtual WAN-t, de küllős virtuális hálózaton belül kell üzembe helyezni, mert a központot az Azure korlátozza és felügyeli. Az Azure Bastion küllőjében a felhasználók más virtuális hálózatok erőforrásait is elérhetik, de IP-alapú kapcsolatot igényelnek, amelyek az Azure Bastion Standard termékváltozattal érhetők el.
  • Egyéni DNS-kiszolgálók: A DNS-kiszolgáló szoftvere bármely virtuális gépen telepíthető, és DNS-kiszolgálóként működik az Azure Virtual WAN összes küllője számára. A DNS-kiszolgálót olyan küllős virtuális hálózaton kell telepíteni, amely az összes többi küllőt közvetlenül szolgálja ki, vagy az Azure Firewall által kínált DNS-proxy szolgáltatáson keresztül, amely a Virtual WAN hubon belül van integrálva.
  • Azure saját DNS Resolver: Az Azure saját DNS Resolver üzembe helyezése a Virtual WAN hubokhoz csatlakoztatott küllős virtuális hálózatok egyikén belül támogatott. A Virtual WAN-központba integrált Azure Firewall ezt az erőforrást egyéni DNS-ként használhatja a DNS-proxy funkció engedélyezésekor.
  • Privát végpontok: Ez az erőforrástípus kompatibilis a Virtual WAN-jal, de küllős virtuális hálózaton belül kell üzembe helyezni. Ez kapcsolatot biztosít bármely más, ugyanahhoz a Virtual WAN-hoz csatlakoztatott virtuális hálózathoz vagy ághoz, ha az integrált Azure Firewall engedélyezi a folyamatot. A virtuális WAN-központba integrált Azure Firewall használatával a privát végpontok felé irányuló forgalom biztonságossá tételével kapcsolatos utasítások az Azure Virtual WAN privát végpontjai felé irányuló biztonságos forgalomban találhatók.
  • Azure saját DNS Zóna (hivatkozások): Ez az erőforrástípus nem egy virtuális hálózaton belül él, de a megfelelő működéshez hozzá kell őket kapcsolni. saját DNS zónák nem kapcsolhatók virtuális WAN-központokhoz. Ehelyett az egyéni DNS-kiszolgálókat vagy egy Azure saját DNS Resolvert tartalmazó küllős virtuális hálózathoz kell csatlakoztatni őket (ajánlott), vagy közvetlenül azokhoz a küllős virtuális hálózatokhoz, amelyek az adott zónából kérik a DNS-rekordokat.

5. lépés: A titkosítás áttekintése

Az Azure Virtual WAN néhány forgalomtitkosítási képességet biztosít saját átjárókon keresztül a Microsoft-hálózatba érkező forgalom számára. Amikor csak lehetséges, engedélyezni kell a titkosítást az átjáró típusa alapján. Vegye figyelembe a következő alapértelmezett titkosítási viselkedést:

  • A Virtual WAN S2S VPN-átjáró titkosítást biztosít az IPsec/IKE (IKEv1 és IKEv2) VPN-kapcsolat használatakor.

  • A Virtual WAN P2S VPN Gateway titkosítást biztosít a felhasználói VPN-kapcsolat OpenVPN-n vagy IPsec/IKE-n (IKEv2) keresztül történő használatakor.

  • A Virtual WAN ExpressRoute-átjáró nem biztosít titkosítást, ezért ugyanazokat a szempontokat kell figyelembe venni, mint az önálló ExpressRoute esetében.

    • Csak az ExpressRoute Direct fölé kiépített ExpressRoute-kapcsolatcsoportok esetében lehetséges a platform által biztosított MACsec-titkosítással biztosítani a peremhálózati útválasztók és a Microsoft peremhálózati útválasztói közötti kapcsolatokat.

    • A titkosítás egy IPsec/IKE VPN-kapcsolattal hozható létre a helyszíni hálózatról az Azure-ba egy Azure ExpressRoute-kapcsolatcsoport privát társviszony-létesítése során. Az útválasztási szándék és az útválasztási szabályzatok mostantól további konfigurációs lépésekkel támogatják ezt a konfigurációt, amint azt a Encrypted ExpressRoute ismerteti.

  • A Virtual WAN Hubba integrált, szoftveralapú WAN-eszközök és NVA-k esetében a konkrét titkosítási képességeket ellenőrizni és konfigurálni kell a gyártó dokumentációja szerint.

Miután a forgalom az egyik átjárón vagy egy SD-WAN/NVA-n keresztül belépett az Azure hálózati infrastruktúrába, nincs konkrét Virtual WAN-szolgáltatás vagy képesség, amely hálózati titkosítást biztosít. Ha egy központ és annak virtuális hálózata és a központ közötti forgalom titkosítatlan, szükség esetén alkalmazásszintű titkosítást kell használnia.

Feljegyzés

A Virtual WAN küllői nem támogatják a virtuális hálózatok közötti titkosítást az Azure VPN Gateway használatával, mert a Virtual WAN Hub távoli átjáró használatához küllőre van szükség.

6. lépés: A P2S-felhasználók védelme

Az Azure Virtual WAN egy olyan hálózati szolgáltatás, amely számos hálózatkezelési, biztonsági és útválasztási funkciót biztosít egyetlen kezelőfelületen. Felhasználói identitás szempontjából a Virtual WAN egyetlen érintési pontja a felhasználói P2S VPN engedélyezésére használt hitelesítési módszer. Számos hitelesítési módszer érhető el, de javasoljuk, hogy kövesse a Microsoft Entra-hitelesítés általános Teljes felügyelet alapelveit. A Microsoft Entra-azonosítóval többtényezős hitelesítést (MFA) és feltételes hozzáférést igényelhet, és Teljes felügyelet elveket alkalmazhat az ügyféleszközökre és a felhasználói identitásokra.

Feljegyzés

A Microsoft Entra-hitelesítés csak az OpenVPN protokollt használó átjárók esetében érhető el, amely csak OpenVPN protokollkapcsolatok esetén támogatott, és az Azure VPN-ügyfelet igényli.

Az Azure Virtual WAN és az Azure Firewall nem biztosít forgalomirányítást és -szűrést felhasználói fiókok vagy csoportnevek alapján, de különböző felhasználói csoportok különböző IP-címkészleteket rendelhet hozzá. Ezután szabályokat határozhat meg az integrált Azure Firewallon, hogy a hozzájuk rendelt P2S IP-címkészlet alapján korlátozza a felhasználókat vagy csoportokat.

Ha a P2S-felhasználókat különböző csoportokra osztja a hálózati hozzáférési követelmények alapján, javasoljuk, hogy a hálózati szinten különítse el őket, és győződjön meg arról, hogy csak a belső hálózat egy részhalmazához férhetnek hozzá. Több IP-címkészletet is létrehozhat az Azure Virtual WAN-hoz. További információ: Felhasználói csoportok és IP-címkészletek konfigurálása P2S felhasználói VPN-ekhez.

7. lépés: Monitorozás, naplózás és felügyelet konfigurálása

Az Azure Virtual WAN széles körű monitorozási és diagnosztikai képességeket biztosít az Azure Monitorral. További részleteket és topológiát egy szűrt, előre összeállított monitorozási irányítópulton szerezhet be az Azure Portalon, az Azure Monitor Insights for Virtual WAN-ban. Ezek a monitorozási eszközök nem biztonsági specifikusak. Az egyes Virtual WAN-központokban üzembe helyezett Azure Firewall biztosítja az integrációs pontot a Teljes felügyelet és a biztonsági monitorozáshoz. Az Azure Firewall diagnosztikai és naplózási szolgáltatását ugyanúgy kell konfigurálnia, mint a Virtual WAN-on kívüli Azure-tűzfalakat.

Az Azure Firewall a következő monitorozási eszközöket biztosítja, amelyeket a Teljes felügyelet alapelvek biztonságának és helyes alkalmazásának biztosításához kell használnia:

  • Az Azure Firewall Policy Analytics elemzéseket, központosított láthatóságot és vezérlést biztosít az Azure Firewall számára. A biztonság megköveteli, hogy megfelelő tűzfalszabályok legyenek érvényben, és hatékonyan védjék a belső infrastruktúrát. Az Azure Portal összefoglalja a tűzfalmotor IDPS- és fenyegetésintelligencia-funkciói által létrehozott "lehetséges rosszindulatú források" részleteit.

  • Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Betekintést nyerhet az Azure Firewall-eseményekbe, megismerkedhet az alkalmazásával és a hálózati szabályokkal, és megtekintheti az URL-címeken, portokon és címeken végzett tűzfaltevékenységek statisztikáit. Javasoljuk, hogy rendszeresen tekintse át az IDPS-naplóstatisztikák ellenőrzését, valamint a Vizsgálatok lapon ellenőrizze a megtagadott forgalmat, a forrás- és célfolyamatokat, valamint a fenyegetésfelderítési jelentést a tűzfalszabályok áttekintéséhez és optimalizálásához.

Az Azure Firewall a Felhőhöz készült Microsoft Defender és a Microsoft Sentinel szolgáltatással is integrálható. Javasoljuk, hogy megfelelően konfigurálja mindkét eszközt, és aktívan használja őket Teljes felügyelet a következő módokon:

  • A Felhőhöz készült Microsoft Defender integrációval egy helyen jelenítheti meg a hálózati infrastruktúra és a hálózati biztonság teljes állapotát, beleértve az Azure Network Securityt az Azure különböző régióiban található összes virtuális hálózatra és virtuális központra kiterjedően. Egyetlen pillantással megtekintheti azon Azure-tűzfalak, tűzfalszabályzatok és Azure-régiók számát, ahol az Azure-tűzfalak üzembe vannak helyezve.
  • A közvetlen Azure Firewall-integrációt biztosító Microsoft Sentinel-megoldás fenyegetésészlelést és -megelőzést biztosít. Az üzembe helyezés után a megoldás lehetővé teszi a beépített testreszabható fenyegetésészlelést a Microsoft Sentinelen felül. A megoldás munkafüzetet , észleléseket, keresési lekérdezéseket és forgatókönyveket is tartalmaz.

Oktatás rendszergazdáknak

Az alábbi képzési modulok segítséget nyújtanak a csapatnak az Azure Virtual WAN üzembe helyezéséhez Teljes felügyelet alapelvek alkalmazásához szükséges készségekkel.

Az Azure Virtual WAN bemutatása

Oktatás Az Azure Virtual WAN bemutatása
Írja le, hogyan hozhat létre nagy kiterjedésű hálózatot (WAN) szoftveralapú Azure Virtual WAN hálózati szolgáltatások használatával.

Elkezd >

Az Azure Firewall bemutatása

Oktatás Az Azure Firewall bemutatása
Írja le, hogyan védi az Azure Firewall az Azure-beli virtuális hálózati erőforrásokat, beleértve az Azure Firewall funkcióit, szabályait, üzembehelyezési lehetőségeit és felügyeletét az Azure Firewall Managerrel.

Elkezd >

Az Azure Firewall Manager bemutatása

Oktatás Az Azure Firewall Manager bemutatása
Írja le, hogy az Azure Firewall Manager használatával biztosít-e központi biztonsági szabályzatot és útvonalkezelést a felhőalapú biztonsági szegélyekhez. Annak kiértékelése, hogy az Azure Firewall Manager segíthet-e a felhő peremhálózatainak védelmében.

Elkezd >

Hálózati biztonság tervezése és megvalósítása

Oktatás Hálózati biztonság tervezése és megvalósítása
Megtanulhatja olyan hálózati biztonsági megoldások tervezését és implementálását, mint az Azure DDoS, a hálózati biztonsági csoportok, az Azure Firewall és a webalkalmazási tűzfal.

Elkezd >

Az Azure-beli biztonságra vonatkozó további képzéseket a Microsoft katalógusában talál:
Biztonság az Azure-ban

Következő lépések

A Teljes felügyelet alapelveinek az Azure-ra való alkalmazásával kapcsolatos további cikkek:

Hivatkozások

Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.

Azure Virtual WAN

Biztonsági alapkonfigurációk

Jól kiépítésű keretrendszer áttekintése

Azure-biztonság

Technikai illusztrációk

A cikkben használt illusztrációkat letöltheti. A Visio-fájllal saját használatra módosíthatja ezeket az ábrákat.

PDF | Visio

További technikai illusztrációkért kattintson ide.