Hálózatok biztonságossá Teljes felügyelet

A Big Data új lehetőségeket kínál az új megállapítások kinyerésére és a versenyelőny megszerzésére. Eltávolodunk egy olyan korszaktól, ahol a hálózatokat egyértelműen meghatározták, és általában egy bizonyos helyre jellemzőek voltak. A felhő, a mobileszközök és más végpontok kibővítik a határokat, és megváltoztatják a paradigmát. Most már nem feltétlenül van olyan zárt/definiált hálózat, amelyet biztonságossá kell tenni. Ehelyett az eszközök és hálózatok hatalmas portfóliója van, amelyek mindegyike a felhőhöz van kapcsolva.

Ahelyett, hogy azt hinné, hogy a vállalati tűzfal mögött minden biztonságos, egy teljes körű Teljes felügyelet stratégia feltételezi, hogy a biztonsági incidensek elkerülhetetlenek. Ez azt jelenti, hogy minden kérést úgy kell ellenőriznie, mintha ellenőrizetlen hálózatból származik volna – ebben az identitáskezelés kulcsfontosságú szerepet játszik.

A Teljes felügyelet modellben három fő célkitűzés áll rendelkezésre a hálózatok biztonságossá tételéhez:

  • Készüljön fel a támadások kezelésére, mielőtt azok bekövetkeznének.

  • Minimalizálja a kár mértékét és azt, hogy milyen gyorsan terjed.

  • Növelje a felhőbeli lábnyom veszélyeztetésének nehézségét.

Ennek érdekében három Teljes felügyelet alapelvet követünk:

  • Ellenőrizze explicit módon. Mindig hitelesítsen és engedélyezzen minden elérhető adatpont alapján, beleértve a felhasználói identitást, a helyet, az eszköz állapotát, a szolgáltatást vagy a számítási feladatot, az adatbesorolást és a rendellenességeket.

  • Használjon minimális jogosultságú hozzáférést. Korlátozza a felhasználói hozzáférést igény szerinti és igény szerinti hozzáféréssel (JIT/JEA), kockázatalapú adaptív szabályzatokkal és adatvédelemmel az adatok és a hatékonyság védelme érdekében.

  • Tegyük fel, hogy megsérti. Minimalizálja a biztonsági rések robbanási sugarát, és megakadályozza az oldalirányú mozgást a hozzáférés hálózati, felhasználói, eszköz- és alkalmazástudatosság szerinti szegmentálásával. Ellenőrizze, hogy az összes munkamenet végpontok között titkosítva van-e. Az elemzésekkel áttekintheti a fenyegetéseket, és javíthatja a védelmet.

Hálózati Teljes felügyelet üzembehelyezési célkitűzései

Mielőtt a legtöbb szervezet megkezdené Teljes felügyelet útját, hálózati biztonsággal rendelkezik, amelyet a következők jellemeznek:

  • Kevés hálózati biztonsági szegély és nyitott, lapos hálózatok.

  • Minimális veszélyforrások elleni védelem és statikus forgalomszűrés.

  • Titkosítatlan belső forgalom.

A hálózatok biztonságossá tételére szolgáló, végpontok közötti Teljes felügyelet keretrendszer implementálásakor javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson:

Lista ikon egy pipával.

I.Networkszegmentálás: Sok bejövő/kimenő felhőbeli mikroszegmens mikroszegmentációval.

II.Veszélyforrások elleni védelem: Natív felhőszűrés és védelem az ismert fenyegetésekhez.

III.Titkosítás: A felhasználó–alkalmazás belső forgalom titkosítva van.

Miután ezek befejeződtek, összpontosítson az alábbi további üzembehelyezési célkitűzésekre:

Lista ikon két pipával.

IV.Hálózatszegmentálás: Teljes mértékben elosztott bejövő/kimenő felhőbeli mikroszegmensek és mélyebb mikroszegmentáció.

V.ThreatProtection: Gépi tanuláson alapuló veszélyforrások elleni védelem és szűrés környezetalapú jelekkel.

VI.Titkosítás: Minden forgalom titkosítva van.

VII.A régi hálózati biztonsági technológia megszüntetése.

Hálózati Teljes felügyelet üzembe helyezési útmutató

Ez az útmutató végigvezeti a hálózatok biztonságossá tételéhez szükséges lépéseken egy Teljes felügyelet biztonsági keretrendszer alapelveit követve.




Ellenőrzőlista ikon egy pipával.

Kezdeti üzembehelyezési célkitűzések

I. Hálózatszegmentálás: Sok bejövő/kimenő felhőbeli mikroszegmens mikroszegmentációval

A szervezeteknek nem csak egyetlen, nagy csővel kell rendelkezniük a hálózatukon belül. A Teljes felügyelet megközelítésben a hálózatok kisebb szigetekre vannak szegmentáltak, ahol adott számítási feladatok vannak tárolva. Minden szegmens saját bemeneti és kimenő vezérlőkkel rendelkezik, hogy minimálisra csökkentse az adatokhoz való jogosulatlan hozzáférés "robbanási sugarát". A szoftveralapú szegélyhálózatok részletes vezérlőkkel történő implementálásával növelheti a jogosulatlan szereplők hálózati propagálásának nehézségét, így csökkentve a fenyegetések oldalirányú mozgását.

Nincs olyan architektúraterv, amely megfelel az összes szervezet igényeinek. Lehetősége van a hálózat Teljes felügyelet modell szerinti szegmentálására szolgáló néhány gyakori tervezési minta között.

Ebben az üzembe helyezési útmutatóban végigvezetjük a következő tervek megvalósításának lépésein: mikroszegmentálás.

A mikroszegmentálással a szervezetek az egyszerű központosított hálózatalapú szegélyhálózatokon túl a szoftveralapú mikroszegmensek használatával átfogó és elosztott szegmentálásra léphetnek.

Az alkalmazások különböző Azure-beli virtuális hálózatokra vannak particionálva, és küllős modellel csatlakoznak

Két küllős modellben csatlakoztatott virtuális hálózat ábrája.

Kövesse az alábbi lépéseket:

  1. Dedikált virtuális hálózatok létrehozása különböző alkalmazásokhoz és/vagy alkalmazásösszetevőkhöz.

  2. Hozzon létre egy központi virtuális hálózatot az alkalmazásközi kapcsolatok biztonsági helyzetének beállításához, és csatlakoztassa az alkalmazás virtuális hálózatait egy küllős architektúrában.

  3. Helyezzen üzembe Azure Firewall a központi virtuális hálózaton a virtuális hálózatok közötti forgalom vizsgálatához és szabályozásához.

II. Veszélyforrások elleni védelem: Natív felhőbeli szűrés és védelem az ismert fenyegetésekhez

Azok a felhőalkalmazások, amelyek végpontokat nyitottak meg külső környezetekhez, például az internethez vagy a helyszíni lábnyomhoz, ki vannak téve az ilyen környezetekből érkező támadásoknak. Ezért rendkívül fontos, hogy rosszindulatú hasznos adatokat vagy logikát keressen a forgalomban.

Az ilyen típusú fenyegetések két széles kategóriába sorolhatók:

  • Ismert támadások. A szoftverszolgáltató vagy a nagyobb közösség által észlelt fenyegetések. Ilyen esetekben rendelkezésre áll a támadási aláírás, és meg kell győződnie arról, hogy minden kérést ellenőriznek az aláírásokon. A legfontosabb, hogy gyorsan frissíthesse az észlelési motort az újonnan azonosított támadásokkal.

  • Ismeretlen támadások. Ezek olyan fenyegetések, amelyek nem felelnek meg teljesen az ismert aláírásoknak. Az ilyen típusú fenyegetések közé tartoznak a nulladik napi biztonsági rések és a kérésforgalom szokatlan mintázatai. Az ilyen támadások észlelésének képessége attól függ, hogy a védelem mennyire tudja, mi a normális, és mi nem. A védelemnek folyamatosan tanulnia és frissítenie kell az üzletmenet (és a kapcsolódó forgalom) fejlődésével kapcsolatos mintákat.

Az ismert fenyegetések elleni védelem érdekében hajtsa végre az alábbi lépéseket:

  1. HTTP/S forgalmat használó végpontok esetén az Azure Web Application Firewall (WAF) használatával a következőkkel védheti:

    1. Az alapértelmezett szabálykészlet vagy az OWASP első 10 védelmi szabálykészletének bekapcsolása az ismert webes rétegbeli támadások elleni védelemhez

    2. Kapcsolja be a robotvédelmi szabálykészletet, hogy megakadályozza, hogy a rosszindulatú robotok információkat kaparjanak, hitelesítő adatokat tölthessenek le stb.

    3. Egyéni szabályok hozzáadása a vállalatra jellemző fenyegetések elleni védelemhez.

    Két lehetőség közül választhat:

  2. Az összes végpont (HTTP vagy sem) esetében a 4. rétegben Azure Firewall a fenyegetésfelderítés-alapú szűréshez:

    1. A Azure Firewall üzembe helyezése és konfigurálása a Azure Portal használatával.

    2. Engedélyezze a fenyegetésfelderítés-alapú szűrést a forgalomhoz.

III. Titkosítás: A felhasználók közötti belső forgalom titkosítva van

A harmadik kezdeti cél a titkosítás hozzáadása annak érdekében, hogy a felhasználók közötti belső forgalom titkosítva legyen.

Kövesse az alábbi lépéseket:

  1. Csak HTTPS-kommunikáció kényszerítése az internetes webalkalmazások számára a HTTP-forgalom HTTPS-hez való átirányításával az Azure Front Door használatával.

  2. Távoli alkalmazottak/partnerek csatlakoztatása a Microsoft Azure-hoz az Azure VPN Gateway használatával.

    1. Kapcsolja be a titkosítást az Azure VPN Gateway szolgáltatás bármely pont–hely forgalmához.
  3. Az Azure-beli virtuális gépek biztonságos elérése titkosított kommunikációval az Azure Bastionon keresztül.

    1. Csatlakozzon SSH-val egy Linux rendszerű virtuális géphez.

    2. Csatlakozzon RDP használatával egy Windows rendszerű virtuális géphez.




Ellenőrzőlista ikon két pipával.

További üzembehelyezési célkitűzések

IV. Hálózatszegmentálás: Teljes mértékben elosztott bejövő/kimenő felhőbeli mikroszegmensek és mélyebb mikroszegmentáció

A kezdeti három cél elérése után a következő lépés a hálózat további szegmentálása.

Az alkalmazás összetevőinek particionálása különböző alhálózatokra

Az Azure-régióban található kiszolgálók virtuális hálózatának ábrája.

Kövesse az alábbi lépéseket:

  1. A virtuális hálózaton belül adjon hozzá virtuális hálózati alhálózatokat , hogy az alkalmazások különálló összetevői saját szegélyhálózattal rendelkezzenek.

  2. Alkalmazzon hálózati biztonságicsoport-szabályokat , hogy csak azokról az alhálózatokról engedélyezze a forgalmat, amelyek alkalmazás-alösszetevőjét megbízható kommunikációs partnerként azonosították.

A külső határok szegmentálása és kényszerítése

A határokon átnyúló kapcsolatokkal rendelkező kiszolgálók és eszközök ábrája.

A határ típusától függően kövesse az alábbi lépéseket:

Internethatár
  1. Ha internetkapcsolatra van szükség az alkalmazáshoz, amelyet a központi virtuális hálózaton keresztül kell irányítani, frissítse a hálózati biztonsági csoport szabályait a központi virtuális hálózaton az internetkapcsolat engedélyezéséhez.

  2. Kapcsolja be az Azure DDoS Protection Standardot , hogy megvédje a központi virtuális hálózatot a mennyiségi hálózati réteg támadásaitól.

  3. Ha az alkalmazás HTTP/S protokollokat használ, kapcsolja be az Azure Web Application Firewall a 7. rétegbeli fenyegetések elleni védelem érdekében.

Helyszíni határ
  1. Ha az alkalmazásnak csatlakoznia kell a helyszíni adatközponthoz, használja az Azure VPN Azure ExpressRoute-ota központi virtuális hálózathoz való csatlakozáshoz.

  2. Konfigurálja a központi virtuális hálózat Azure Firewall a forgalom vizsgálatához és szabályozásához.

PaaS-szolgáltatások határai
  • Az Azure által biztosított PaaS-szolgáltatások (például Az Azure Storage, az Azure Cosmos DB vagy az Azure Web App) használata esetén a PrivateLink kapcsolati lehetőséggel győződjön meg arról, hogy az összes adatcsere a magánhálózati IP-címen keresztül történik, és a forgalom soha nem hagyja el a Microsoft-hálózatot.

V. Veszélyforrások elleni védelem: Gépi tanuláson alapuló veszélyforrások elleni védelem és szűrés környezetalapú jelekkel

A további veszélyforrások elleni védelem érdekében kapcsolja be az Azure DDoS Protection Standardot az Azure által üzemeltetett alkalmazásforgalom folyamatos figyeléséhez, ml-alapú keretrendszerek használatával alapozza meg és észlelje a mennyiségi forgalmi árvizeket, és alkalmazza az automatikus kockázatcsökkentéseket.

Kövesse az alábbi lépéseket:

  1. Konfigurálás és kezelés Azure DDoS Protection Standard.

  2. Riasztások konfigurálása DDoS Protection-metrikákhoz.

VI. Titkosítás: Minden forgalom titkosítva van

Végül fejezze be a hálózat védelmét úgy, hogy minden forgalom titkosítva van.

Kövesse az alábbi lépéseket:

  1. Az alkalmazás háttérbeli forgalmának titkosítása a virtuális hálózatok között.

  2. A helyszíni és a felhő közötti forgalom titkosítása:

    1. Helyek közötti VPN konfigurálása ExpressRoute-alapú Microsoft-társviszony-létesítésen keresztül.

    2. Konfigurálja az IPsec átviteli módot az ExpressRoute privát társviszony-létesítéshez.

VII. Régi hálózati biztonsági technológia megszüntetése

Szüntesse meg az aláírásalapú hálózati behatolásészlelés/hálózati behatolásmegelőzés (NIDS/NIPS) rendszerek és a hálózati adatszivárgás/veszteségmegelőzés (DLP) használatát.

A főbb felhőszolgáltatók már szűrnek a helytelen formátumú csomagokra és a gyakori hálózati rétegbeli támadásokra, így nincs szükség NIDS-/NIPS-megoldásra az észleléshez. Emellett a hagyományos NIDS-/NIPS-megoldásokat jellemzően aláírásalapú (elavultnak ítélt) megközelítések vezérlik, amelyeket a támadók könnyen elkerülnek, és általában magas hamis pozitív eredményt adnak.

A hálózatalapú DLP egyre hatékonyabban azonosítja a véletlen és a szándékos adatvesztést is. Ennek az az oka, hogy a legtöbb modern protokoll és támadó hálózati szintű titkosítást használ a bejövő és kimenő kommunikációhoz. Ehhez az egyetlen működőképes áthidaló megoldás az "SSL-áthidalás", amely egy "középen engedélyezett" megoldást biztosít, amely megszakítja, majd újraalkalmazja a titkosított hálózati kapcsolatokat. Az SSL-áthidaló megközelítés kiesett a szívességből, mert a megoldást futtató partner és a használt technológiák megbízhatósági szintje szükséges.

Ezen indok alapján teljes körű javaslatot teszünk arra, hogy ne használja többé ezeket az örökölt hálózati biztonsági technológiákat. Ha azonban a szervezeti tapasztalatok szerint ezek a technológiák észrevehető hatással voltak a valós támadások megelőzésére és észlelésére, érdemes lehet áthordani őket a felhőkörnyezetbe.

Az útmutatóban szereplő termékek

Microsoft Azure

Azure-hálózatkezelés

Virtuális hálózatok és alhálózatok

Hálózati biztonsági csoportok és alkalmazásbiztonsági csoportok

Azure Firewall

Azure DDoS Protection

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Összegzés

A hálózatok biztonságossá tétele a sikeres Teljes felügyelet stratégia központi eleme. A megvalósítással kapcsolatos további információkért vagy segítségért forduljon a Customer Success csapatához, vagy olvassa el tovább az útmutató többi fejezetét, amely az összes Teljes felügyelet pillérre kiterjed.



A Teljes felügyelet üzembe helyezési útmutató sorozata

A bevezetés ikonja

Identitás ikonja

Végpontok ikonja

Alkalmazások ikonja

Adatok ikonja

Az infrastruktúra ikonja

Hálózatok ikonja

Láthatóság, automatizálás, vezénylés ikonja