Condividi tramite


Pianificare la segmentazione della rete della zona di destinazione

Questa sezione illustra le raccomandazioni chiave per offrire una segmentazione di rete interna altamente sicura all'interno di una zona di destinazione per guidare un'implementazione di rete Zero Trust.

Considerazioni relative alla progettazione

  • Il modello Zero Trust presuppone un contesto compromesso e verifica ogni richiesta come se provenisse da una rete non controllata.

  • Un'implementazione avanzata della rete Zero Trust usa microimetri cloud in ingresso e in uscita completamente distribuiti e micro-segmentazione più profonda.

  • I gruppi di sicurezza di rete (NSG) possono utilizzare i tag di servizio di Azure per facilitare la connettività alle soluzioni PaaS (Platform as a Service) di Azure.

  • I gruppi di sicurezza delle applicazioni (ASG) non si estendono né forniscono protezione tra differenti reti virtuali.

  • Usare log del flusso di rete virtuale per controllare il traffico che passa attraverso le reti virtuali. I log dei flussi di rete virtuale offrono funzionalità simili ai log dei flussi del gruppo di sicurezza di rete (NSG), e coprono una gamma più ampia di casi d'uso. Semplificano anche l'ambito del monitoraggio del traffico perché è possibile abilitare la registrazione a livello di rete virtuale.

Nota

Il 30 settembre 2027 i log dei flussi del gruppo di sicurezza di rete (NSG) verranno ritirati. Come parte di questa disattivazione, non sarà più possibile creare nuovi log di flusso NSG a partire dal 30 giugno 2025. È consigliabile la migrazione ai log dei flussi di rete virtuale, che superano le limitazioni dei log dei flussi NSG. Dopo la data di ritiro, l'analisi del traffico abilitata con i log di flusso NSG non sarà più supportata e le risorse dei log di flusso NSG esistenti nelle sottoscrizioni verranno eliminate. Tuttavia, i record dei log di flusso del gruppo di sicurezza di rete non verranno eliminati e continueranno a seguire i rispettivi criteri di conservazione. Per altre informazioni, vedere l'avviso di ritiro .

Suggerimenti per la progettazione

  • Delegare la creazione della subnet al proprietario della zona di destinazione. In questo modo potrà definire come segmentare i carichi di lavoro tra subnet, ad esempio una singola subnet di grandi dimensioni, un'applicazione multilivello o un'applicazione inserita in rete. Il team della piattaforma può usare Azure Policy per assicurarsi che un gruppo di sicurezza di rete con regole specifiche (ad esempio negare SSH in ingresso o RDP da Internet o consentire/bloccare il traffico attraverso le landing zone) sia sempre associato alle subnet con criteri di sola negazione.

  • Utilizzare gli NSG per aiutare a proteggere il traffico attraverso le subnet e il traffico est/ovest sulla piattaforma (traffico tra landing zone).

  • Il team dell'applicazione dovrebbe utilizzare i gruppi di sicurezza delle applicazioni negli NSG a livello di subnet per aiutare a proteggere le macchine virtuali multilivello all'interno della landing zone.

    Diagramma che mostra come funziona il gruppo di sicurezza delle applicazioni.

  • Usare gruppi di sicurezza di rete e gruppi di sicurezza delle applicazioni per micro-segmentare il traffico all'interno della zona di destinazione ed evitare di usare un'appliance di rete virtuale centrale per filtrare i flussi di traffico.

  • Abilitare i log dei flussi di rete virtuale e usare l'analisi del traffico per ottenere informazioni dettagliate sui flussi di traffico in ingresso e in uscita. Abilitare i log dei flussi in tutte le reti virtuali e le subnet critiche nelle sottoscrizioni, ad esempio reti virtuali e subnet che contengono controller di dominio di Windows Server Active Directory o archivi dati critici. Inoltre, è possibile usare i log dei flussi per rilevare e analizzare potenziali eventi imprevisti di sicurezza, conformità e monitoraggio e per ottimizzare l'utilizzo.

  • Pianifica e migra la configurazione attuale dei log di flusso dell'NSG ai log di flusso della rete virtuale. Vedere Eseguire la migrazione dei log dei flussi del gruppo di sicurezza di rete.

  • Usare i gruppi di sicurezza di rete per consentire selettivamente la connettività tra le zone di approdo.

  • Per le topologie di rete WAN virtuale, instradare il traffico tra le zone di destinazione tramite Firewall di Azure se l'organizzazione richiede funzionalità di filtro e registrazione per il flusso del traffico tra le zone di destinazione.

  • Se la tua organizzazione decide di implementare il tunneling forzato (annuncio della route predefinita) in sede, consigliamo di incorporare le seguenti regole dei gruppi di sicurezza di rete in uscita per negare il traffico in uscita dalle VNets direttamente a Internet nel caso in cui la sessione BGP cada.

Nota

Le priorità delle regole dovranno essere adeguate in funzione del set di regole esistente nel gruppo di sicurezza di rete.

Priorità Nome Sorgente Destinazione Servizio Azione Commento
100 AllowLocal Any VirtualNetwork Any Allow Consentire il traffico durante le normali operazioni. Con il tunneling forzato abilitato, 0.0.0.0/0 è considerato parte del tag VirtualNetwork purché il BGP lo annunci a ExpressRoute o al Gateway VPN.
110 DenyInternet Any Internet Any Deny Bloccare il traffico diretto verso Internet se la route 0.0.0.0/0 viene ritirata dalle rotte pubblicizzate, per esempio, per un'interruzione o una configurazione errata.

Attenzione

I servizi PaaS di Azure che possono essere inseriti in una rete virtuale potrebbero non essere compatibili con il tunneling forzato. Le operazioni del piano di controllo possono comunque richiedere la connettività diretta a specifici indirizzi IP pubblici per il corretto funzionamento del servizio. È consigliabile controllare la documentazione specifica del servizio per i requisiti di rete ed esentare infine la subnet del servizio dalla propagazione della route predefinita. I tag di servizio nella route definita dall'utente possono essere utilizzati per bypassare la rotta predefinita e reindirizzare il traffico del piano di controllo solo se il tag di servizio specifico è disponibile.