Implementazione del modello per l'ingresso sicuro della rete

L'ingresso sicuro della rete incapsula diversi modelli di progettazione, inclusi i modelli per il routing globale, l'offload globale e il monitoraggio degli endpoint di integrità. È possibile usare l'implementazione del modello in questo articolo come gateway per qualsiasi carico di lavoro HTTP o HTTPS che richiede disponibilità elevata o affidabilità fornendo un routing globale sicuro ai carichi di lavoro in aree diverse con failover a bassa latenza.

Video: Implementazione di ingresso sicura della rete

Requisiti dei criteri

Questo articolo descrive tre requisiti su cui si concentra l'implementazione del modello per l'ingresso sicuro della rete: routing globale, failover a bassa latenza e mitigazione degli attacchi all'perimetro.

Routing globale

Il modello di ingresso protetto dalla rete incapsula il modello di routing globale. Di conseguenza, l'implementazione può instradare le richieste ai carichi di lavoro in aree diverse.

Failover a bassa latenza

L'implementazione deve essere in grado di identificare carichi di lavoro integri e non integri e modificare il routing di conseguenza in modo sensibile al tempo. La latenza deve essere in grado di supportare la regolazione del routing in pochi minuti.

Mitigazione degli attacchi al perimetro

La mitigazione degli attacchi al perimetro richiede la parte "sicura della rete" dell'implementazione. I carichi di lavoro o i servizi PaaS (Platform as a Service) non devono essere accessibili tramite Internet. Il traffico Internet deve essere in grado di instradare solo attraverso il gateway. Il gateway deve avere la possibilità di attenuare gli exploit.

Modelli

Questa soluzione implementa i modelli di progettazione seguenti:

• Modello di routing del gateway: instradare le richieste a più servizi o istanze del servizio che possono risiedere in aree diverse.
• Modello di offload del gateway: funzionalità di offload, ad esempio la mitigazione degli attacchi, a un proxy del gateway.
• Modello di monitoraggio degli endpoint di integrità: esporre gli endpoint che convalidano l'integrità del carico di lavoro.

Progettazione

Il diagramma mostra una richiesta HTTPS che passa a una casella Frontdoor Premium di Azure, che include un web application firewall. Questo illustra l'integrazione tra Frontdoor di Azure Premium e Azure Web application firewall. Il diagramma mostra quindi la richiesta che scorre attraverso collegamento privato a due timbri in aree diverse. Ogni timbro ha un sito Web statico e un servizio di bilanciamento del carico interno. Le richieste passano attraverso collegamento privato ai siti Web statici e ai servizi di bilanciamento del carico in entrambi i timbri.

Questa implementazione include i dettagli seguenti:

• Usa Archiviazione BLOB di Azure account per simulare carichi di lavoro Web statici in esecuzione in due aree. Questa implementazione non include carichi di lavoro in esecuzione dietro un servizio di bilanciamento del carico interno. Il diagramma mostra un servizio di bilanciamento del carico interno per illustrare che questa implementazione funzionerebbe per i carichi di lavoro privati in esecuzione dietro un bilanciamento del carico interno.
• Usa il livello Premium di Frontdoor di Azure come gateway globale.
• L'istanza di Frontdoor di Azure dispone di un criterio web application firewall (WAF) globale configurato con regole gestite che consentono di proteggersi da exploit comuni.
• Gli account di archiviazione non vengono esposti tramite Internet.
• Il livello Azure Frontdoor Premium accede agli account di archiviazione tramite collegamento privato di Azure.
• L'istanza di Frontdoor di Azure ha la configurazione generale seguente:
  • Endpoint con una singola route che punta a un singolo gruppo di origine. Un gruppo di origine è una raccolta di origini o back-end.
  • Il gruppo di origine ha un'origine configurata per puntare a ogni account di archiviazione.
  • Ogni origine richiede collegamento privato l'accesso all'account di archiviazione.
  • Il gruppo di origine dispone di probe di integrità configurati per accedere a una pagina HTML negli account di archiviazione. La pagina HTML funge da endpoint di integrità per i carichi di lavoro statici. Se i probe possono accedere correttamente all'origine in tre degli ultimi quattro tentativi, l'origine viene considerata integra.

Componenti

Richiesta Web

• Azure Web application firewall: il livello Premium di Web application firewall supporta le regole gestite da Microsoft che consentono di proteggersi da exploit comuni.
• collegamento privato di Azure: gli endpoint privati in collegamento privato di Azure espongono un servizio PaaS di Azure a un indirizzo IP privato in una rete virtuale. Questa esposizione consente alla comunicazione di fluire attraverso la rete backbone Microsoft e non sulla rete Internet pubblica.
• Livello Azure Frontdoor Premium: Frontdoor di Azure offre il bilanciamento del carico globale di livello 7. Frontdoor di Azure include l'integrazione con Web application firewall. Il livello Premium supporta:
  • collegamento privato di Azure: collegamento privato supporto consente a Frontdoor di Azure di comunicare con i servizi o i carichi di lavoro PaaS in esecuzione in una rete virtuale privata tramite la rete backbone Microsoft.
  • Set di regole gestite da Microsoft: il livello Premium di Frontdoor di Azure supporta il livello Premium di Web application firewall, che supporta il set di regole gestite nel WAF.
• Archiviazione di Azure: questa implementazione usa gli account di archiviazione BLOB per rappresentare un sito Web o un carico di lavoro statico.
• Bilanciamento del carico interno: questa implementazione non usa il servizio di bilanciamento del carico interno. Viene illustrato come rappresentare un carico di lavoro privato in esecuzione dietro tale servizio di bilanciamento del carico. Il routing all'account di archiviazione è identico a quello dei servizi di bilanciamento del carico.

Gestione operativa

La protezione delle risorse dal punto di vista della rete consente di proteggersi dagli exploit, ma isola anche le risorse da processi o amministratori che potrebbero dover accedere a tali risorse. Ad esempio, un agente di compilazione in una pipeline DevOps potrebbe dover accedere all'account di archiviazione per distribuire un aggiornamento all'applicazione Web. Inoltre, un amministratore potrebbe dover accedere alla risorsa a scopo di risoluzione dei problemi.

Per illustrare l'accesso alla rete sicura per scopi operativi, questa implementazione distribuisce una macchina virtuale (VM) in una rete virtuale con collegamento privato l'accesso agli account di archiviazione. Questa implementazione distribuisce Azure Bastion, che l'amministratore può usare per connettersi alla macchina virtuale. Per lo scenario di distribuzione, è possibile distribuire un agente di compilazione privato nella rete virtuale, in modo analogo al modo in cui la macchina virtuale era.

Ecco i dettagli sui componenti per le operazioni:

• Azure Rete virtuale: questa implementazione usa la rete virtuale per contenere i componenti necessari per consentire a un amministratore di comunicare in modo sicuro con l'account di archiviazione tramite la rete backbone Microsoft privata.
• Azure Macchine virtuali: questa implementazione usa una macchina virtuale come jumpbox a cui gli amministratori possono connettersi. La macchina virtuale viene distribuita nella rete virtuale privata.
• Azure Bastion: Azure Bastion consente all'amministratore di connettersi in modo sicuro alla macchina virtuale jumpbox tramite Secure Shell (SSH) senza richiedere alla macchina virtuale di avere un indirizzo IP pubblico.
• collegamento privato endpoint: all'endpoint privato viene assegnato un indirizzo IP privato dalla rete virtuale e si connette al servizio PaaS dell'account di archiviazione. Questa connessione consente alle risorse nella rete virtuale privata di comunicare con l'account di archiviazione tramite l'indirizzo IP privato.
• Zona DNS privato di Azure: la zona DNS di Azure privata è un servizio DNS usato per risolvere il nome host dell'account di archiviazione di Azure collegamento privato all'indirizzo IP privato dell'endpoint privato.

Flusso di richieste Web

Il diagramma mostra un utente che effettua una richiesta Web a Frontdoor di Azure. Nella casella Frontdoor di Azure il diagramma mostra ognuno dei passaggi del flusso di routing di Frontdoor di Azure. Evidenziato nel flusso è il passaggio in cui vengono valutate le regole WAF, in cui viene trovata la corrispondenza della route frontdoor di Azure e viene selezionato un gruppo di origine e dove viene selezionata l'origine dal gruppo di origine. L'ultima parte evidenziata è la posizione in cui Frontdoor di Azure si connette all'account Archiviazione BLOB di Azure tramite collegamento privato.

1. L'utente invia una richiesta HTTP o HTTPS a un endpoint frontdoor di Azure.

2. Le regole WAF vengono valutate. Le regole che corrispondono vengono sempre registrate. Se la modalità dei criteri WAF di Frontdoor di Azure è impostata su prevenzione e la regola di corrispondenza ha un'azione impostata per bloccare l'anomalia, la richiesta viene bloccata. In caso contrario, la richiesta continua o viene reindirizzata oppure vengono valutate le regole successive.

3. La route configurata in Frontdoor di Azure è corrispondente e viene selezionato il gruppo di origine corretto. In questo esempio il percorso era il contenuto statico nel sito Web.

4. L'origine viene selezionata dal gruppo di origine.

   a. In questo esempio, i probe di integrità considerano il sito Web non integro, quindi viene eliminato dalle possibili origini.
   b. Questo sito Web è selezionato.

5. La richiesta viene instradata all'account di archiviazione di Azure tramite collegamento privato tramite la rete backbone Microsoft.

Per altre informazioni sull'architettura di routing di Frontdoor di Azure, vedere Panoramica dell'architettura di routing.

Flusso operativo

Il diagramma comprende tre parti. La prima parte mostra Archiviazione BLOB di Azure fungere da sito Web statico. Frontdoor di Azure si connette tramite collegamento privato all'account di archiviazione. La seconda parte è una casella che rappresenta una rete virtuale. La rete virtuale ha subnet e il relativo contenuto. Queste subnet includono una subnet dell'endpoint privato che contiene un endpoint collegamento privato con un indirizzo IP 10.0.2.5, una subnet jumpbox con una macchina virtuale jumpbox e una subnet di Azure Bastion con Azure Bastion al suo interno. La terza parte è un utente amministratore che usa SSH per accedere alla macchina virtuale jumpbox nella rete virtuale tramite Azure Bastion. Una freccia passa dalla macchina virtuale alla zona DNS di Azure privata. L'ultima freccia passa dalla macchina virtuale all'endpoint di collegamento privato e quindi all'account di archiviazione.

1. Un amministratore si connette all'istanza di Azure Bastion distribuita nella rete virtuale.

2. Azure Bastion offre connettività SSH alla macchina virtuale jumpbox.

3. L'amministratore nel jumpbox tenta di accedere all'account di archiviazione tramite l'interfaccia della riga di comando di Azure. Il jumpbox esegue una query DNS per l'endpoint dell'account Archiviazione BLOB di Azure pubblico: storageaccountname.blob.core.windows.net.

   DNS privato si risolve in storageaccountname.privatelink.blob.core.windows.net. Restituisce l'indirizzo IP privato dell'endpoint collegamento privato, ovvero 10.0.2.5 in questo esempio.

4. Viene stabilita una connessione privata all'account di archiviazione tramite l'endpoint collegamento privato.

Considerazioni

Quando si usa questa soluzione, tenere presente quanto segue.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni presi dai clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.

Questo scenario risolve i punti chiave seguenti sull'affidabilità:

• Il routing globale con bassa latenza, tramite l'uso di probe di integrità, consente l'affidabilità isolando l'applicazione dalle interruzioni a livello di area.
• Web application firewall frontdoor di Azure offre protezione centralizzata per le richieste HTTP e HTTPS.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso dei dati e dei sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

Questo scenario risolve i punti chiave seguenti relativi alla sicurezza:

• collegamento privato supporto in Frontdoor Premium di Azure elimina la necessità di esporre i servizi Interni o PaaS tramite Internet. collegamento privato consente a Frontdoor di Azure di comunicare con i servizi privati o i servizi PaaS tramite la rete backbone Microsoft.
• Web application firewall frontdoor di Azure offre protezione centralizzata per le richieste HTTP e HTTPS.
• Le regole gestite in Web application firewall Premium sono regole gestite da Microsoft che consentono di proteggere l'utente da un set comune di minacce alla sicurezza.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

Sebbene sia Frontdoor Premium di Azure che Web application firewall Premium forniscano funzionalità di sicurezza avanzate nel livello Standard, è previsto un costo aggiuntivo per entrambi. Per altre informazioni sui prezzi per Frontdoor di Azure e Web application firewall, vedere le risorse seguenti:

• Prezzi di Frontdoor di Azure
• Prezzi di Web application firewall
• Calcolatore dei prezzi di Azure

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e lo mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

L'implementazione dei limiti di sicurezza di rete aggiunge complessità alle operazioni e alla distribuzione. Tenere presenti questi punti:

• Gli intervalli IP per gli agenti ospitati da Microsoft variano nel tempo. Valutare la possibilità di implementare agenti self-hosted nella rete virtuale.
• Implementare Azure Bastion per scenari in cui i team operativi devono accedere alle risorse protette della rete.
• L'uso di Web application firewall in Frontdoor di Azure per fornire protezione centralizzata per le richieste HTTP e HTTPS è un esempio del modello di offload del gateway. La responsabilità di esaminare le richieste di exploit viene caricata per Web application firewall in Frontdoor di Azure. Il vantaggio di una prospettiva di eccellenza operativa è che è necessario gestire le regole in un'unica posizione.

Importante

L'esempio di ingresso sicuro di rete consente di distribuire tutte le risorse necessarie per connettersi a un jumpbox tramite Azure Bastion e connettersi a una macchina virtuale sicura di rete.

Efficienza delle prestazioni

L'efficienza delle prestazioni è la capacità del carico di lavoro di ridimensionarsi per soddisfare le esigenze che gli utenti hanno posto su di esso. Per altre informazioni, vedere Panoramica del pilastro dell'efficienza delle prestazioni.

Il routing globale consente il ridimensionamento orizzontale tramite la distribuzione di più risorse nella stessa area o in aree diverse.

Passaggi successivi

• Distribuire questa implementazione seguendo i passaggi descritti nell'esempio di ingresso protetto dalla rete.