Condividi tramite

Pianificare la segmentazione della rete della zona di destinazione

  • Articolo

Questa sezione illustra le principali raccomandazioni per offrire una segmentazione di rete interna altamente sicura all'interno di una zona di destinazione per gestire un'implementazione di rete zero-trust.

Considerazioni sulla progettazione:

  • Il modello zero-trust presuppone uno stato di violazione e verifica ogni richiesta come se provenisse da una rete non controllata.

  • Un'implementazione avanzata di una rete zero-trust usa micro perimetri cloud in ingresso/uscita completamente distribuiti e una micro-segmentazione più approfondita.

  • I gruppi di sicurezza di rete (NSG) possono usare i tag del servizio di Azure per facilitare la connettività ai servizi PaaS di Azure.

  • I gruppi di sicurezza delle applicazioni (ASG) non si estendono o forniscono protezione nelle reti virtuali.

  • I log dei flussi NSG sono ora supportati mediante i modelli di Azure Resource Manager.

Raccomandazioni sulla progettazione:

  • Delegare la creazione della subnet al proprietario della zona di destinazione. In questo modo potrà definire come segmentare i carichi di lavoro tra subnet, ad esempio una singola subnet di grandi dimensioni, un'applicazione multilivello o un'applicazione inserita in rete. Il team della piattaforma può usare Criteri di Azure per assicurarsi che un gruppo di sicurezza di rete con regole specifiche (ad esempio, rifiutare SSH o RDP in ingresso da Internet o consentire/bloccare il traffico tra le zone di destinazione) sia sempre associato a subnet con criteri deny-only.

  • Usare gli NSG per proteggere il traffico tra subnet, nonché il traffico est/ovest attraverso la piattaforma (traffico tra le zone di destinazione).

  • Il team dell'applicazione deve usare i gruppi di sicurezza delle applicazioni a livello di subnet per proteggere le macchine virtuali multilivello all'interno della zona di destinazione.

    Diagramma che illustra il funzionamento del gruppo di sicurezza dell'applicazione.

  • Usare gruppi di sicurezza di rete e gruppi di sicurezza delle applicazioni per micro segmentare il traffico all'interno della zona di destinazione ed evitare di usare un’appliance virtuale di rete centrale per filtrare i flussi di traffico.

  • Abilitare i log dei flussi dei gruppi di sicurezza di rete e inserirli in Analisi del traffico per ottenere informazioni dettagliate sui flussi di traffico interni ed esterni dell'applicazione. I log dei flussi devono essere abilitati in tutte le reti virtuali/subnet critiche nella sottoscrizione come procedura consigliata per la capacità di controllo e la sicurezza.

  • Usare i gruppi di sicurezza di rete per consentire in modo selettivo la connettività tra le zone di destinazione.

  • Per le topologie di rete WAN virtuale, instradare il traffico tra le zone di destinazione tramite Firewall di Azure se l'organizzazione richiede funzionalità di filtro e registrazione per il flusso del traffico tra le zone di destinazione.

  • Se l'organizzazione decide di implementare il tunneling forzato (annuncio della route predefinita) in locale, è consigliabile incorporare le seguenti regole dei gruppi di sicurezza di rete in uscita per negare il traffico in uscita dalle reti virtuali direttamente a Internet in caso di eliminazione della sessione BGP.

Nota

Le priorità delle regole dovranno essere adeguate in base al set di regole del gruppo di sicurezza di rete esistente.

Priorità Nome Source (Sorgente) Destination Servizio Azione Commento
100 AllowLocal Any VirtualNetwork Any Allow Consentire il traffico durante le normali operazioni. Con il tunneling forzato abilitato, 0.0.0.0/0 viene considerato parte del tag VirtualNetwork purché il BGP lo annunci a ExpressRoute o al Gateway VPN.
110 DenyInternet Any Internet Any Deny Negare il traffico direttamente a Internet se la route 0.0.0.0/0 viene ritirata dalle route annunciate, ad esempio a causa di un'interruzione o di una configurazione errata.

Attenzione

I servizi PaaS di Azure che possono essere inseriti in una rete virtuale potrebbero non essere compatibili con il tunneling forzato. Le operazioni del piano di controllo possono comunque richiedere la connettività diretta a specifici indirizzi IP pubblici per il funzionamento corretto del servizio. È consigliabile controllare la documentazione del servizio specifica per i requisiti di rete ed esentare la subnet del servizio dalla propagazione predefinita della route. I tag di servizio in UDR possono essere usati per ignorare il traffico predefinito del piano di controllo e di reindirizzamento solo se è disponibile il tag di servizio specifico.