Hálózatok biztonságossá Teljes felügyelet
A Big Data új lehetőségeket kínál az új megállapítások kinyerésére és a versenyelőny megszerzésére. Eltávolodunk egy olyan korszaktól, ahol a hálózatokat egyértelműen meghatározták, és általában egy bizonyos helyre jellemzőek voltak. A felhő, a mobileszközök és más végpontok kibővítik a határokat, és megváltoztatják a paradigmát. Most már nem feltétlenül van olyan zárt/definiált hálózat, amelyet biztonságossá kell tenni. Ehelyett az eszközök és hálózatok hatalmas portfóliója van, amelyek mindegyike a felhőhöz van kapcsolva.
Ahelyett, hogy azt hinné, hogy a vállalati tűzfal mögött minden biztonságos, egy teljes körű Teljes felügyelet stratégia feltételezi, hogy a biztonsági incidensek elkerülhetetlenek. Ez azt jelenti, hogy minden kérést úgy kell ellenőriznie, mintha ellenőrizetlen hálózatból származik volna – ebben az identitáskezelés kulcsfontosságú szerepet játszik.
A Teljes felügyelet modellben három fő célkitűzés áll rendelkezésre a hálózatok biztonságossá tételéhez:
Készüljön fel a támadások kezelésére, mielőtt azok bekövetkeznének.
Minimalizálja a kár mértékét és azt, hogy milyen gyorsan terjed.
Növelje a felhőbeli lábnyom veszélyeztetésének nehézségét.
Ennek érdekében három Teljes felügyelet alapelvet követünk:
Ellenőrizze explicit módon. Mindig hitelesítsen és engedélyezzen minden elérhető adatpont alapján, beleértve a felhasználói identitást, a helyet, az eszköz állapotát, a szolgáltatást vagy a számítási feladatot, az adatbesorolást és a rendellenességeket.
Használjon minimális jogosultságú hozzáférést. Korlátozza a felhasználói hozzáférést igény szerinti és igény szerinti hozzáféréssel (JIT/JEA), kockázatalapú adaptív szabályzatokkal és adatvédelemmel az adatok és a hatékonyság védelme érdekében.
Tegyük fel, hogy megsérti. Minimalizálja a biztonsági rések robbanási sugarát, és megakadályozza az oldalirányú mozgást a hozzáférés hálózati, felhasználói, eszköz- és alkalmazástudatosság szerinti szegmentálásával. Ellenőrizze, hogy az összes munkamenet végpontok között titkosítva van-e. Az elemzésekkel áttekintheti a fenyegetéseket, és javíthatja a védelmet.
Hálózati Teljes felügyelet üzembehelyezési célkitűzései
Mielőtt a legtöbb szervezet megkezdené Teljes felügyelet útját, hálózati biztonsággal rendelkezik, amelyet a következők jellemeznek:
-
Kevés hálózati biztonsági szegély és nyitott, lapos hálózatok.
-
Minimális veszélyforrások elleni védelem és statikus forgalomszűrés.
-
Titkosítatlan belső forgalom.
A hálózatok biztonságossá tételére szolgáló, végpontok közötti Teljes felügyelet keretrendszer implementálásakor javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson: |
|
|
I.Networkszegmentálás: Sok bejövő/kimenő felhőbeli mikroszegmens mikroszegmentációval. II.Veszélyforrások elleni védelem: Natív felhőszűrés és védelem az ismert fenyegetésekhez. III.Titkosítás: A felhasználó–alkalmazás belső forgalom titkosítva van. |
Miután ezek befejeződtek, összpontosítson az alábbi további üzembehelyezési célkitűzésekre: |
|
|
V.ThreatProtection: Gépi tanuláson alapuló veszélyforrások elleni védelem és szűrés környezetalapú jelekkel. |
Hálózati Teljes felügyelet üzembe helyezési útmutató
Ez az útmutató végigvezeti a hálózatok biztonságossá tételéhez szükséges lépéseken egy Teljes felügyelet biztonsági keretrendszer alapelveit követve.
|
Kezdeti üzembehelyezési célkitűzések |
I. Hálózatszegmentálás: Sok bejövő/kimenő felhőbeli mikroszegmens mikroszegmentációval
A szervezeteknek nem csak egyetlen, nagy csővel kell rendelkezniük a hálózatukon belül. A Teljes felügyelet megközelítésben a hálózatok kisebb szigetekre vannak szegmentáltak, ahol adott számítási feladatok vannak tárolva. Minden szegmens saját bemeneti és kimenő vezérlőkkel rendelkezik, hogy minimálisra csökkentse az adatokhoz való jogosulatlan hozzáférés "robbanási sugarát". A szoftveralapú szegélyhálózatok részletes vezérlőkkel történő implementálásával növelheti a jogosulatlan szereplők hálózati propagálásának nehézségét, így csökkentve a fenyegetések oldalirányú mozgását.
Nincs olyan architektúraterv, amely megfelel az összes szervezet igényeinek. Lehetősége van a hálózat Teljes felügyelet modell szerinti szegmentálására szolgáló néhány gyakori tervezési minta között.
Ebben az üzembe helyezési útmutatóban végigvezetjük a következő tervek megvalósításának lépésein: mikroszegmentálás.
A mikroszegmentálással a szervezetek az egyszerű központosított hálózatalapú szegélyhálózatokon túl a szoftveralapú mikroszegmensek használatával átfogó és elosztott szegmentálásra léphetnek.
Az alkalmazások különböző Azure-beli virtuális hálózatokra vannak particionálva, és küllős modellel csatlakoznak
Kövesse az alábbi lépéseket:
Dedikált virtuális hálózatok létrehozása különböző alkalmazásokhoz és/vagy alkalmazásösszetevőkhöz.
Hozzon létre egy központi virtuális hálózatot az alkalmazásközi kapcsolatok biztonsági helyzetének beállításához, és csatlakoztassa az alkalmazás virtuális hálózatait egy küllős architektúrában.
Helyezzen üzembe Azure Firewall a központi virtuális hálózaton a virtuális hálózatok közötti forgalom vizsgálatához és szabályozásához.
II. Veszélyforrások elleni védelem: Natív felhőbeli szűrés és védelem az ismert fenyegetésekhez
Azok a felhőalkalmazások, amelyek végpontokat nyitottak meg külső környezetekhez, például az internethez vagy a helyszíni lábnyomhoz, ki vannak téve az ilyen környezetekből érkező támadásoknak. Ezért rendkívül fontos, hogy rosszindulatú hasznos adatokat vagy logikát keressen a forgalomban.
Az ilyen típusú fenyegetések két széles kategóriába sorolhatók:
Ismert támadások. A szoftverszolgáltató vagy a nagyobb közösség által észlelt fenyegetések. Ilyen esetekben rendelkezésre áll a támadási aláírás, és meg kell győződnie arról, hogy minden kérést ellenőriznek az aláírásokon. A legfontosabb, hogy gyorsan frissíthesse az észlelési motort az újonnan azonosított támadásokkal.
Ismeretlen támadások. Ezek olyan fenyegetések, amelyek nem felelnek meg teljesen az ismert aláírásoknak. Az ilyen típusú fenyegetések közé tartoznak a nulladik napi biztonsági rések és a kérésforgalom szokatlan mintázatai. Az ilyen támadások észlelésének képessége attól függ, hogy a védelem mennyire tudja, mi a normális, és mi nem. A védelemnek folyamatosan tanulnia és frissítenie kell az üzletmenet (és a kapcsolódó forgalom) fejlődésével kapcsolatos mintákat.
Az ismert fenyegetések elleni védelem érdekében hajtsa végre az alábbi lépéseket:
HTTP/S forgalmat használó végpontok esetén az Azure Web Application Firewall (WAF) használatával a következőkkel védheti:
Az alapértelmezett szabálykészlet vagy az OWASP első 10 védelmi szabálykészletének bekapcsolása az ismert webes rétegbeli támadások elleni védelemhez
Kapcsolja be a robotvédelmi szabálykészletet, hogy megakadályozza, hogy a rosszindulatú robotok információkat kaparjanak, hitelesítő adatokat tölthessenek le stb.
Egyéni szabályok hozzáadása a vállalatra jellemző fenyegetések elleni védelemhez.
Két lehetőség közül választhat:
Az összes végpont (HTTP vagy sem) esetében a 4. rétegben Azure Firewall a fenyegetésfelderítés-alapú szűréshez:
A Azure Firewall üzembe helyezése és konfigurálása a Azure Portal használatával.
Engedélyezze a fenyegetésfelderítés-alapú szűrést a forgalomhoz.
III. Titkosítás: A felhasználók közötti belső forgalom titkosítva van
A harmadik kezdeti cél a titkosítás hozzáadása annak érdekében, hogy a felhasználók közötti belső forgalom titkosítva legyen.
Kövesse az alábbi lépéseket:
Csak HTTPS-kommunikáció kényszerítése az internetes webalkalmazások számára a HTTP-forgalom HTTPS-hez való átirányításával az Azure Front Door használatával.
Távoli alkalmazottak/partnerek csatlakoztatása a Microsoft Azure-hoz az Azure VPN Gateway használatával.
- Kapcsolja be a titkosítást az Azure VPN Gateway szolgáltatás bármely pont–hely forgalmához.
Az Azure-beli virtuális gépek biztonságos elérése titkosított kommunikációval az Azure Bastionon keresztül.
|
További üzembehelyezési célkitűzések |
IV. Hálózatszegmentálás: Teljes mértékben elosztott bejövő/kimenő felhőbeli mikroszegmensek és mélyebb mikroszegmentáció
A kezdeti három cél elérése után a következő lépés a hálózat további szegmentálása.
Az alkalmazás összetevőinek particionálása különböző alhálózatokra
Kövesse az alábbi lépéseket:
A virtuális hálózaton belül adjon hozzá virtuális hálózati alhálózatokat , hogy az alkalmazások különálló összetevői saját szegélyhálózattal rendelkezzenek.
Alkalmazzon hálózati biztonságicsoport-szabályokat , hogy csak azokról az alhálózatokról engedélyezze a forgalmat, amelyek alkalmazás-alösszetevőjét megbízható kommunikációs partnerként azonosították.
A külső határok szegmentálása és kényszerítése
A határ típusától függően kövesse az alábbi lépéseket:
Internethatár
Ha internetkapcsolatra van szükség az alkalmazáshoz, amelyet a központi virtuális hálózaton keresztül kell irányítani, frissítse a hálózati biztonsági csoport szabályait a központi virtuális hálózaton az internetkapcsolat engedélyezéséhez.
Kapcsolja be az Azure DDoS Protection Standardot , hogy megvédje a központi virtuális hálózatot a mennyiségi hálózati réteg támadásaitól.
Ha az alkalmazás HTTP/S protokollokat használ, kapcsolja be az Azure Web Application Firewall a 7. rétegbeli fenyegetések elleni védelem érdekében.
Helyszíni határ
Ha az alkalmazásnak csatlakoznia kell a helyszíni adatközponthoz, használja az Azure VPN Azure ExpressRoute-ota központi virtuális hálózathoz való csatlakozáshoz.
Konfigurálja a központi virtuális hálózat Azure Firewall a forgalom vizsgálatához és szabályozásához.
PaaS-szolgáltatások határai
- Az Azure által biztosított PaaS-szolgáltatások (például Az Azure Storage, az Azure Cosmos DB vagy az Azure Web App) használata esetén a PrivateLink kapcsolati lehetőséggel győződjön meg arról, hogy az összes adatcsere a magánhálózati IP-címen keresztül történik, és a forgalom soha nem hagyja el a Microsoft-hálózatot.
Tipp
Megtudhatja, hogyan valósíthat meg egy végpontok közötti Teljes felügyelet stratégiát az adatokhoz.
V. Veszélyforrások elleni védelem: Gépi tanuláson alapuló veszélyforrások elleni védelem és szűrés környezetalapú jelekkel
A további veszélyforrások elleni védelem érdekében kapcsolja be az Azure DDoS Protection Standardot az Azure által üzemeltetett alkalmazásforgalom folyamatos figyeléséhez, ml-alapú keretrendszerek használatával alapozza meg és észlelje a mennyiségi forgalmi árvizeket, és alkalmazza az automatikus kockázatcsökkentéseket.
Kövesse az alábbi lépéseket:
Konfigurálás és kezelés Azure DDoS Protection Standard.
Riasztások konfigurálása DDoS Protection-metrikákhoz.
VI. Titkosítás: Minden forgalom titkosítva van
Végül fejezze be a hálózat védelmét úgy, hogy minden forgalom titkosítva van.
Kövesse az alábbi lépéseket:
Az alkalmazás háttérbeli forgalmának titkosítása a virtuális hálózatok között.
A helyszíni és a felhő közötti forgalom titkosítása:
Helyek közötti VPN konfigurálása ExpressRoute-alapú Microsoft-társviszony-létesítésen keresztül.
Konfigurálja az IPsec átviteli módot az ExpressRoute privát társviszony-létesítéshez.
VII. Régi hálózati biztonsági technológia megszüntetése
Szüntesse meg az aláírásalapú hálózati behatolásészlelés/hálózati behatolásmegelőzés (NIDS/NIPS) rendszerek és a hálózati adatszivárgás/veszteségmegelőzés (DLP) használatát.
A főbb felhőszolgáltatók már szűrnek a helytelen formátumú csomagokra és a gyakori hálózati rétegbeli támadásokra, így nincs szükség NIDS-/NIPS-megoldásra az észleléshez. Emellett a hagyományos NIDS-/NIPS-megoldásokat jellemzően aláírásalapú (elavultnak ítélt) megközelítések vezérlik, amelyeket a támadók könnyen elkerülnek, és általában magas hamis pozitív eredményt adnak.
A hálózatalapú DLP egyre hatékonyabban azonosítja a véletlen és a szándékos adatvesztést is. Ennek az az oka, hogy a legtöbb modern protokoll és támadó hálózati szintű titkosítást használ a bejövő és kimenő kommunikációhoz. Ehhez az egyetlen működőképes áthidaló megoldás az "SSL-áthidalás", amely egy "középen engedélyezett" megoldást biztosít, amely megszakítja, majd újraalkalmazja a titkosított hálózati kapcsolatokat. Az SSL-áthidaló megközelítés kiesett a szívességből, mert a megoldást futtató partner és a használt technológiák megbízhatósági szintje szükséges.
Ezen indok alapján teljes körű javaslatot teszünk arra, hogy ne használja többé ezeket az örökölt hálózati biztonsági technológiákat. Ha azonban a szervezeti tapasztalatok szerint ezek a technológiák észrevehető hatással voltak a valós támadások megelőzésére és észlelésére, érdemes lehet áthordani őket a felhőkörnyezetbe.
Az útmutatóban szereplő termékek
Microsoft Azure
Virtuális hálózatok és alhálózatok
Hálózati biztonsági csoportok és alkalmazásbiztonsági csoportok
Azure Web Application Firewall
Összegzés
A hálózatok biztonságossá tétele a sikeres Teljes felügyelet stratégia központi eleme. A megvalósítással kapcsolatos további információkért vagy segítségért forduljon a Customer Success csapatához, vagy olvassa el tovább az útmutató többi fejezetét, amely az összes Teljes felügyelet pillérre kiterjed.
A Teljes felügyelet üzembe helyezési útmutató sorozata