Hálózatok biztonságossá Teljes felügyelet

A Big Data új lehetőségeket kínál az új megállapítások kinyerésére és a versenyelőny megszerzésére. Eltávolodunk egy olyan korszaktól, ahol a hálózatokat egyértelműen meghatározták, és általában egy bizonyos helyre jellemzőek voltak. A felhő, a mobileszközök és más végpontok kibővítik a határokat, és megváltoztatják a paradigmát. Most már nem feltétlenül van olyan zárt/definiált hálózat, amelyet biztonságossá kell tenni. Ehelyett az eszközök és hálózatok hatalmas portfóliója van, amelyek mindegyike a felhőhöz van kapcsolva.

Ahelyett, hogy azt hinné, hogy a vállalati tűzfal mögött minden biztonságos, egy teljes körű Teljes felügyelet stratégia feltételezi, hogy a biztonsági incidensek elkerülhetetlenek. Ez azt jelenti, hogy minden kérést úgy kell ellenőriznie, mintha ellenőrizetlen hálózatból származik volna – ebben az identitáskezelés kulcsfontosságú szerepet játszik.

A Teljes felügyelet modellben három fő célkitűzés áll rendelkezésre a hálózatok biztonságossá tételéhez:

• Készüljön fel a támadások kezelésére, mielőtt azok bekövetkeznének.

• Minimalizálja a kár mértékét és azt, hogy milyen gyorsan terjed.

• Növelje a felhőbeli lábnyom veszélyeztetésének nehézségét.

Ennek érdekében három Teljes felügyelet alapelvet követünk:

• Ellenőrizze explicit módon. Mindig hitelesítsen és engedélyezzen minden elérhető adatpont alapján, beleértve a felhasználói identitást, a helyet, az eszköz állapotát, a szolgáltatást vagy a számítási feladatot, az adatbesorolást és a rendellenességeket.

• Használjon minimális jogosultságú hozzáférést. Korlátozza a felhasználói hozzáférést igény szerinti és igény szerinti hozzáféréssel (JIT/JEA), kockázatalapú adaptív szabályzatokkal és adatvédelemmel az adatok és a hatékonyság védelme érdekében.

• Tegyük fel, hogy megsérti. Minimalizálja a biztonsági rések robbanási sugarát, és megakadályozza az oldalirányú mozgást a hozzáférés hálózati, felhasználói, eszköz- és alkalmazástudatosság szerinti szegmentálásával. Ellenőrizze, hogy az összes munkamenet végpontok között titkosítva van-e. Az elemzésekkel áttekintheti a fenyegetéseket, és javíthatja a védelmet.

Hálózati Teljes felügyelet üzembehelyezési célkitűzései

Mielőtt a legtöbb szervezet megkezdené Teljes felügyelet útját, hálózati biztonsággal rendelkezik, amelyet a következők jellemeznek:

• Kevés hálózati biztonsági szegély és nyitott, lapos hálózatok.

• Minimális veszélyforrások elleni védelem és statikus forgalomszűrés.

• Titkosítatlan belső forgalom.

A hálózatok biztonságossá tételére szolgáló, végpontok közötti Teljes felügyelet keretrendszer implementálásakor javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson:
	I.Networkszegmentálás: Sok bejövő/kimenő felhőbeli mikroszegmens mikroszegmentációval. II.Veszélyforrások elleni védelem: Natív felhőszűrés és védelem az ismert fenyegetésekhez. III.Titkosítás: A felhasználó–alkalmazás belső forgalom titkosítva van.
Miután ezek befejeződtek, összpontosítson az alábbi további üzembehelyezési célkitűzésekre:
	IV.Hálózatszegmentálás: Teljes mértékben elosztott bejövő/kimenő felhőbeli mikroszegmensek és mélyebb mikroszegmentáció. V.ThreatProtection: Gépi tanuláson alapuló veszélyforrások elleni védelem és szűrés környezetalapú jelekkel. VI.Titkosítás: Minden forgalom titkosítva van. VII.A régi hálózati biztonsági technológia megszüntetése.

Hálózati Teljes felügyelet üzembe helyezési útmutató

Ez az útmutató végigvezeti a hálózatok biztonságossá tételéhez szükséges lépéseken egy Teljes felügyelet biztonsági keretrendszer alapelveit követve.

Kezdeti üzembehelyezési célkitűzések

I. Hálózatszegmentálás: Sok bejövő/kimenő felhőbeli mikroszegmens mikroszegmentációval

A szervezeteknek nem csak egyetlen, nagy csővel kell rendelkezniük a hálózatukon belül. A Teljes felügyelet megközelítésben a hálózatok kisebb szigetekre vannak szegmentáltak, ahol adott számítási feladatok vannak tárolva. Minden szegmens saját bemeneti és kimenő vezérlőkkel rendelkezik, hogy minimálisra csökkentse az adatokhoz való jogosulatlan hozzáférés "robbanási sugarát". A szoftveralapú szegélyhálózatok részletes vezérlőkkel történő implementálásával növelheti a jogosulatlan szereplők hálózati propagálásának nehézségét, így csökkentve a fenyegetések oldalirányú mozgását.

Nincs olyan architektúraterv, amely megfelel az összes szervezet igényeinek. Lehetősége van a hálózat Teljes felügyelet modell szerinti szegmentálására szolgáló néhány gyakori tervezési minta között.

Ebben az üzembe helyezési útmutatóban végigvezetjük a következő tervek megvalósításának lépésein: mikroszegmentálás.

A mikroszegmentálással a szervezetek az egyszerű központosított hálózatalapú szegélyhálózatokon túl a szoftveralapú mikroszegmensek használatával átfogó és elosztott szegmentálásra léphetnek.

Az alkalmazások különböző Azure-beli virtuális hálózatokra vannak particionálva, és küllős modellel csatlakoznak

Kövesse az alábbi lépéseket:

1. Dedikált virtuális hálózatok létrehozása különböző alkalmazásokhoz és/vagy alkalmazásösszetevőkhöz.

2. Hozzon létre egy központi virtuális hálózatot az alkalmazásközi kapcsolatok biztonsági helyzetének beállításához, és csatlakoztassa az alkalmazás virtuális hálózatait egy küllős architektúrában.

3. Helyezzen üzembe Azure Firewall a központi virtuális hálózaton a virtuális hálózatok közötti forgalom vizsgálatához és szabályozásához.

II. Veszélyforrások elleni védelem: Natív felhőbeli szűrés és védelem az ismert fenyegetésekhez

Azok a felhőalkalmazások, amelyek végpontokat nyitottak meg külső környezetekhez, például az internethez vagy a helyszíni lábnyomhoz, ki vannak téve az ilyen környezetekből érkező támadásoknak. Ezért rendkívül fontos, hogy rosszindulatú hasznos adatokat vagy logikát keressen a forgalomban.

Az ilyen típusú fenyegetések két széles kategóriába sorolhatók:

• Ismert támadások. A szoftverszolgáltató vagy a nagyobb közösség által észlelt fenyegetések. Ilyen esetekben rendelkezésre áll a támadási aláírás, és meg kell győződnie arról, hogy minden kérést ellenőriznek az aláírásokon. A legfontosabb, hogy gyorsan frissíthesse az észlelési motort az újonnan azonosított támadásokkal.

• Ismeretlen támadások. Ezek olyan fenyegetések, amelyek nem felelnek meg teljesen az ismert aláírásoknak. Az ilyen típusú fenyegetések közé tartoznak a nulladik napi biztonsági rések és a kérésforgalom szokatlan mintázatai. Az ilyen támadások észlelésének képessége attól függ, hogy a védelem mennyire tudja, mi a normális, és mi nem. A védelemnek folyamatosan tanulnia és frissítenie kell az üzletmenet (és a kapcsolódó forgalom) fejlődésével kapcsolatos mintákat.

Az ismert fenyegetések elleni védelem érdekében hajtsa végre az alábbi lépéseket:

1. HTTP/S forgalmat használó végpontok esetén az Azure Web Application Firewall (WAF) használatával a következőkkel védheti:

   1. Az alapértelmezett szabálykészlet vagy az OWASP első 10 védelmi szabálykészletének bekapcsolása az ismert webes rétegbeli támadások elleni védelemhez

   2. Kapcsolja be a robotvédelmi szabálykészletet, hogy megakadályozza, hogy a rosszindulatú robotok információkat kaparjanak, hitelesítő adatokat tölthessenek le stb.

   3. Egyéni szabályok hozzáadása a vállalatra jellemző fenyegetések elleni védelemhez.

   Két lehetőség közül választhat:

   • Azure Front Door

     1. Hozzon létre egy Web Application Firewall-szabályzatot az Azure Front Dooron.

     2. Robotvédelem konfigurálása Web Application Firewall számára.

     3. Egyéni szabályok Web Application Firewall.

   • Azure Application Gateway

     1. Hozzon létre egy alkalmazásátjárót egy Web Application Firewall.

     2. Robotvédelem konfigurálása Web Application Firewall számára.

     3. Hozzon létre és használjon Web Application Firewall v2 egyéni szabályokat.

2. Az összes végpont (HTTP vagy sem) esetében a 4. rétegben Azure Firewall a fenyegetésfelderítés-alapú szűréshez:

   1. A Azure Firewall üzembe helyezése és konfigurálása a Azure Portal használatával.

   2. Engedélyezze a fenyegetésfelderítés-alapú szűrést a forgalomhoz.

   Tipp

   Megtudhatja, hogyan valósíthat meg végpontok végpontok végpontjaihoz egy végpontok végpontok közötti Teljes felügyelet stratégiáját.

III. Titkosítás: A felhasználók közötti belső forgalom titkosítva van

A harmadik kezdeti cél a titkosítás hozzáadása annak érdekében, hogy a felhasználók közötti belső forgalom titkosítva legyen.

Kövesse az alábbi lépéseket:

1. Csak HTTPS-kommunikáció kényszerítése az internetes webalkalmazások számára a HTTP-forgalom HTTPS-hez való átirányításával az Azure Front Door használatával.

2. Távoli alkalmazottak/partnerek csatlakoztatása a Microsoft Azure-hoz az Azure VPN Gateway használatával.

   1. Kapcsolja be a titkosítást az Azure VPN Gateway szolgáltatás bármely pont–hely forgalmához.

3. Az Azure-beli virtuális gépek biztonságos elérése titkosított kommunikációval az Azure Bastionon keresztül.

   1. Csatlakozzon SSH-val egy Linux rendszerű virtuális géphez.

   2. Csatlakozzon RDP használatával egy Windows rendszerű virtuális géphez.

Tipp

Megtudhatja, hogyan valósíthat meg egy végpontok közötti Teljes felügyelet-stratégiát az alkalmazásokhoz.

További üzembehelyezési célkitűzések

IV. Hálózatszegmentálás: Teljes mértékben elosztott bejövő/kimenő felhőbeli mikroszegmensek és mélyebb mikroszegmentáció

A kezdeti három cél elérése után a következő lépés a hálózat további szegmentálása.

Az alkalmazás összetevőinek particionálása különböző alhálózatokra

Kövesse az alábbi lépéseket:

1. A virtuális hálózaton belül adjon hozzá virtuális hálózati alhálózatokat , hogy az alkalmazások különálló összetevői saját szegélyhálózattal rendelkezzenek.

2. Alkalmazzon hálózati biztonságicsoport-szabályokat , hogy csak azokról az alhálózatokról engedélyezze a forgalmat, amelyek alkalmazás-alösszetevőjét megbízható kommunikációs partnerként azonosították.

A külső határok szegmentálása és kényszerítése

A határ típusától függően kövesse az alábbi lépéseket:

Internethatár

1. Ha internetkapcsolatra van szükség az alkalmazáshoz, amelyet a központi virtuális hálózaton keresztül kell irányítani, frissítse a hálózati biztonsági csoport szabályait a központi virtuális hálózaton az internetkapcsolat engedélyezéséhez.

2. Kapcsolja be az Azure DDoS Protection Standardot , hogy megvédje a központi virtuális hálózatot a mennyiségi hálózati réteg támadásaitól.

3. Ha az alkalmazás HTTP/S protokollokat használ, kapcsolja be az Azure Web Application Firewall a 7. rétegbeli fenyegetések elleni védelem érdekében.

Helyszíni határ

1. Ha az alkalmazásnak csatlakoznia kell a helyszíni adatközponthoz, használja az Azure VPN Azure ExpressRoute-ota központi virtuális hálózathoz való csatlakozáshoz.

2. Konfigurálja a központi virtuális hálózat Azure Firewall a forgalom vizsgálatához és szabályozásához.

PaaS-szolgáltatások határai

• Az Azure által biztosított PaaS-szolgáltatások (például Az Azure Storage, az Azure Cosmos DB vagy az Azure Web App) használata esetén a PrivateLink kapcsolati lehetőséggel győződjön meg arról, hogy az összes adatcsere a magánhálózati IP-címen keresztül történik, és a forgalom soha nem hagyja el a Microsoft-hálózatot.

Tipp

Megtudhatja, hogyan valósíthat meg egy végpontok közötti Teljes felügyelet stratégiát az adatokhoz.

V. Veszélyforrások elleni védelem: Gépi tanuláson alapuló veszélyforrások elleni védelem és szűrés környezetalapú jelekkel

A további veszélyforrások elleni védelem érdekében kapcsolja be az Azure DDoS Protection Standardot az Azure által üzemeltetett alkalmazásforgalom folyamatos figyeléséhez, ml-alapú keretrendszerek használatával alapozza meg és észlelje a mennyiségi forgalmi árvizeket, és alkalmazza az automatikus kockázatcsökkentéseket.

Kövesse az alábbi lépéseket:

1. Konfigurálás és kezelés Azure DDoS Protection Standard.

2. Riasztások konfigurálása DDoS Protection-metrikákhoz.

VI. Titkosítás: Minden forgalom titkosítva van

Végül fejezze be a hálózat védelmét úgy, hogy minden forgalom titkosítva van.

Kövesse az alábbi lépéseket:

1. Az alkalmazás háttérbeli forgalmának titkosítása a virtuális hálózatok között.

2. A helyszíni és a felhő közötti forgalom titkosítása:

   1. Helyek közötti VPN konfigurálása ExpressRoute-alapú Microsoft-társviszony-létesítésen keresztül.

   2. Konfigurálja az IPsec átviteli módot az ExpressRoute privát társviszony-létesítéshez.

VII. Régi hálózati biztonsági technológia megszüntetése

Szüntesse meg az aláírásalapú hálózati behatolásészlelés/hálózati behatolásmegelőzés (NIDS/NIPS) rendszerek és a hálózati adatszivárgás/veszteségmegelőzés (DLP) használatát.

A főbb felhőszolgáltatók már szűrnek a helytelen formátumú csomagokra és a gyakori hálózati rétegbeli támadásokra, így nincs szükség NIDS-/NIPS-megoldásra az észleléshez. Emellett a hagyományos NIDS-/NIPS-megoldásokat jellemzően aláírásalapú (elavultnak ítélt) megközelítések vezérlik, amelyeket a támadók könnyen elkerülnek, és általában magas hamis pozitív eredményt adnak.

A hálózatalapú DLP egyre hatékonyabban azonosítja a véletlen és a szándékos adatvesztést is. Ennek az az oka, hogy a legtöbb modern protokoll és támadó hálózati szintű titkosítást használ a bejövő és kimenő kommunikációhoz. Ehhez az egyetlen működőképes áthidaló megoldás az "SSL-áthidalás", amely egy "középen engedélyezett" megoldást biztosít, amely megszakítja, majd újraalkalmazja a titkosított hálózati kapcsolatokat. Az SSL-áthidaló megközelítés kiesett a szívességből, mert a megoldást futtató partner és a használt technológiák megbízhatósági szintje szükséges.

Ezen indok alapján teljes körű javaslatot teszünk arra, hogy ne használja többé ezeket az örökölt hálózati biztonsági technológiákat. Ha azonban a szervezeti tapasztalatok szerint ezek a technológiák észrevehető hatással voltak a valós támadások megelőzésére és észlelésére, érdemes lehet áthordani őket a felhőkörnyezetbe.

Az útmutatóban szereplő termékek

Microsoft Azure

Azure-hálózatkezelés

Virtuális hálózatok és alhálózatok

Hálózati biztonsági csoportok és alkalmazásbiztonsági csoportok

Azure Firewall

Azure DDoS Protection

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Összegzés

A hálózatok biztonságossá tétele a sikeres Teljes felügyelet stratégia központi eleme. A megvalósítással kapcsolatos további információkért vagy segítségért forduljon a Customer Success csapatához, vagy olvassa el tovább az útmutató többi fejezetét, amely az összes Teljes felügyelet pillérre kiterjed.

A Teljes felügyelet üzembe helyezési útmutató sorozata