Condividi tramite


Applicare principi Zero Trust per ottenere visibilità sul traffico di rete

Questo articolo fornisce indicazioni per l'applicazione dei principi di Zero Trust per la segmentazione delle reti in ambienti Azure. Ecco i principi Zero Trust.

Principio zero trust Definizione
Verificare esplicita Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili.
Usare l'accesso con privilegi minimi Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.
Presunzione di violazione Ridurre al minimo il raggio di esplosione e l'accesso segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.

Questo principio viene soddisfatto usando l'analisi per ottenere visibilità sul traffico di rete nell'infrastruttura di Azure.

Questo articolo fa parte di una serie di articoli che illustrano come applicare i principi di Zero Trust alla rete di Azure.

I tipi di traffico di rete trattati in questo articolo sono:

  • Centralizzato
  • Traffico est-ovest, che sono flussi di traffico tra le reti virtuali di Azure e i servizi di Azure e la rete locale
  • Nord-sud, che sono flussi di traffico tra l'ambiente di Azure e Internet

Architettura di riferimento

Il diagramma seguente illustra l'architettura di riferimento per questa guida Zero Trust per l'ispezione del traffico tra reti virtuali locali e reti virtuali di Azure, tra reti virtuali di Azure e servizi di Azure e tra l'ambiente di Azure e Internet.

Diagramma che mostra l'architettura di riferimento e i flussi di traffico est-ovest e nord-sud.

Questa architettura di riferimento include:

  • Carichi di lavoro IaaS di Azure in esecuzione in macchine virtuali di Azure.
  • Servizi di Azure.
  • Una rete virtuale perimetrale Internet che contiene protezione DDoS di Azure, un Firewall di Azure e un web application firewall (WAF) di Azure.
  • Frecce che mostrano flussi di traffico est-ovest e nord-sud.

Che cos'è in questo articolo?

I principi Zero Trust vengono applicati nell'architettura di riferimento. Nella tabella seguente vengono descritte le raccomandazioni per garantire la visibilità del traffico di rete in questa architettura per il principio Presupporre la violazione zero trust.

Passaggio Attività
1 Implementare un punto di ispezione del traffico centralizzato.
2 Implementare l'ispezione del traffico est-ovest.
3 Implementare l'ispezione del traffico nord-sud.

Passaggio 1: Implementare un punto di ispezione del traffico centralizzato

L'ispezione centralizzata del traffico consente di controllare e visualizzare il traffico in uscita e in uscita dalla rete. Le reti virtuali hub-spoke e Azure rete WAN virtuale sono le due topologie di rete più comuni in Azure. Hanno funzionalità e funzionalità diverse per il modo in cui connettono le reti. In entrambe le progettazioni, la rete virtuale dell'hub è la rete centrale e viene usata per suddividere i carichi di lavoro in applicazioni e carichi di lavoro dalla rete virtuale hub alle reti virtuali spoke. L'ispezione centralizzata include il traffico che scorre a nord-sud, est-ovest o entrambi.

Topologia hub-spoke

Una delle caratteristiche di un modello hub-spoke è che le reti virtuali sono tutte gestite dall'utente. Una rete virtuale gestita dall'hub del cliente funge da rete virtuale condivisa a cui si connettono altre reti virtuali spoke. Questa rete virtuale centralizzata viene in genere usata:

  • Per stabilire la connettività ibrida alle reti locali.
  • Per l'ispezione e la segmentazione del traffico tramite appliance virtuali di rete di terze parti o Firewall di Azure.
  • Per centralizzare l'ispezione del servizio di distribuzione delle applicazioni, ad esempio app Azure lication Gateway con WAF.

In questa topologia si inserisce un Firewall di Azure o un'appliance virtuale di rete nella rete virtuale dell'hub e si configurano route definite dall'utente per indirizzare il traffico dalle reti virtuali spoke e dalla rete locale alla rete virtuale dell'hub. Il Firewall di Azure o l'appliance virtuale di rete possono fungere anche da motore di route per instradare il traffico tra reti virtuali spoke. Una delle funzionalità più importanti di un modello hub e spoke della rete virtuale gestita dal cliente è il controllo granulare del traffico tramite route definite dall'utente e la possibilità di modificare manualmente routing, segmentazione e propagazione di tali route.

Rete WAN virtuale di Azure

Azure rete WAN virtuale è una rete virtuale dell'hub gestita di Azure che contiene istanze del servizio di route che supervisionano la propagazione delle route da e a tutti i rami e a tutti gli spoke. Consente in modo efficace la connettività any-to-any.

Una delle grandi differenze con una rete virtuale gestita (denominata hub virtuale gestito) è che la granularità del controllo di routing è astratta per gli utenti. Alcuni dei vantaggi principali includono:

  • Gestione semplificata delle route con connettività any-to-any nativa. Se è necessario l'isolamento del traffico, è possibile configurare manualmente tabelle di route personalizzate o route statiche all'interno della tabella di route predefinita.
  • Solo i gateway Rete virtuale, i Firewall di Azure e le appliance virtuali di rete approvate o i dispositivi WAN (SD-WAN) approvati possono essere distribuiti all'interno dell'hub. I servizi centralizzati, ad esempio DNS e gateway applicazione, devono trovarsi nelle normali reti virtuali spoke. Gli spoke devono essere collegati agli hub virtuali usando il peering reti virtuali.

Le reti virtuali gestite sono più adatte per:

  • Distribuzioni su larga scala tra aree che necessitano di connettività di transito che forniscono l'ispezione del traffico da e verso qualsiasi posizione.
  • Più di 30 siti rami o più di 100 tunnel IPsec (Internet Protocol Security).

Alcune delle migliori funzionalità di rete WAN virtuale sono l'infrastruttura di routing di scalabilità e l'interconnettività. Esempi di scalabilità includono la velocità effettiva di 50 Gbps per hub e 1.000 siti di succursale. Per aumentare la scalabilità, più hub virtuali possono essere interconnessi per creare una rete mesh di rete WAN virtuale più grande. Un altro vantaggio di rete WAN virtuale è la possibilità di semplificare il routing per l'ispezione del traffico inserendo prefissi con il clic di un pulsante.

Ogni design presenta vantaggi e svantaggi specifici. La scelta appropriata deve essere determinata in base ai requisiti previsti per la crescita futura e il sovraccarico di gestione.

Passaggio 2: Implementare l'ispezione del traffico east-west

I flussi di traffico east-west includono la rete virtuale da rete virtuale a rete virtuale e da rete virtuale a locale. Per esaminare il traffico tra est-ovest, è possibile distribuire un Firewall di Azure o un'appliance virtuale di rete nella rete virtuale dell'hub. Ciò richiede che le route definite dall'utente indirizzano il traffico privato all'Firewall di Azure o all'appliance virtuale di rete per l'ispezione. All'interno della stessa rete virtuale è possibile usare i gruppi di sicurezza di rete per il controllo di accesso, ma se è necessario un controllo più approfondito con l'ispezione, è possibile usare un firewall locale o un firewall centralizzato nella rete virtuale hub con l'uso delle route definite dall'utente.

Con Azure rete WAN virtuale, è possibile avere il Firewall di Azure o un'appliance virtuale di rete all'interno dell'hub virtuale per il routing centralizzato. È possibile usare Firewall di Azure Manager o la finalità di routing per controllare tutto il traffico privato. Se si vuole personalizzare l'ispezione, è possibile avere il Firewall di Azure o l'appliance virtuale di rete nell'hub virtuale per controllare il traffico desiderato. Il modo più semplice per indirizzare il traffico in un ambiente rete WAN virtuale consiste nell'abilitare la finalità di routing per il traffico privato. Questa funzionalità esegue il push dei prefissi di indirizzi privati (RFC 1918) a tutti gli spoke connessi all'hub. Qualsiasi traffico destinato a un indirizzo IP privato verrà indirizzato all'hub virtuale per l'ispezione.

Ogni metodo presenta vantaggi e svantaggi. Il vantaggio dell'uso della finalità di routing è la semplificazione della gestione della route definita dall'utente, ma non è possibile personalizzare l'ispezione per ogni connessione. Il vantaggio di non usare la finalità di routing o Gestione firewall è la possibilità di personalizzare l'ispezione. Lo svantaggio è che non è possibile eseguire l'ispezione del traffico tra aree.

Il diagramma seguente illustra il traffico east-west all'interno dell'ambiente Azure.

Diagramma che mostra l'architettura di riferimento con il traffico east-west all'interno dell'ambiente Azure.

Per la visibilità del traffico di rete in Azure, Microsoft consiglia l'implementazione di un Firewall di Azure o di un'appliance virtuale di rete nella rete virtuale. Firewall di Azure possibile esaminare il traffico sia a livello di rete che a livello di applicazione. Inoltre, Firewall di Azure offre funzionalità aggiuntive, ad esempio il rilevamento e la prevenzione delle intrusioni (IDPS), l'ispezione TLS (Transport Layer Security), il filtro URL e il filtro delle categorie Web.

L'inclusione di Firewall di Azure o un'appliance virtuale di rete nella rete di Azure è fondamentale per aderire al principio Assume violazione Zero Trust per la rete. Dato che le violazioni possono traspire ogni volta che i dati attraversano una rete, è essenziale comprendere e controllare il traffico autorizzato a raggiungere la destinazione. Firewall di Azure, le route definite dall'utente e i gruppi di sicurezza di rete svolgono un ruolo fondamentale nell'abilitare un modello di traffico sicuro consentendo o negando il traffico tra carichi di lavoro.

Per visualizzare altri dettagli sui flussi di traffico della rete virtuale, è possibile abilitare i log dei flussi della rete virtuale o i log dei flussi del gruppo di sicurezza di rete. I dati dei log dei flussi vengono archiviati in un account Archiviazione di Azure in cui è possibile accedervi ed esportarli in uno strumento di visualizzazione, ad esempio Analisi del traffico di Azure. Con Analisi del traffico di Azure è possibile trovare traffico sconosciuto o indesiderato, monitorare il livello di traffico e l'utilizzo della larghezza di banda o filtrare il traffico specifico per comprendere il comportamento dell'applicazione.

Passaggio 3: Implementare l'ispezione del traffico nord-sud

Il traffico nord-sud include in genere il traffico tra reti private e Internet. Per esaminare il traffico nord-sud in una topologia hub-spoke, è possibile usare le route definite dall'utente per indirizzare il traffico a un'istanza di Firewall di Azure o a un'appliance virtuale di rete. Per gli annunci dinamici, è possibile usare un server di route di Azure con un'appliance virtuale di rete che supporta BGP per indirizzare tutto il traffico associato a Internet dalle reti virtuali all'appliance virtuale di rete.

In Azure rete WAN virtuale, per indirizzare il traffico nord-sud dalle reti virtuali alla Firewall di Azure o all'appliance virtuale di rete supportata nell'hub virtuale, è possibile usare questi scenari comuni:

  • Usare un'appliance virtuale di rete o un Firewall di Azure nell'hub virtuale controllato con finalità di routing o con Firewall di Azure Manager per indirizzare il traffico nord-sud.
  • Se l'appliance virtuale di rete non è supportata all'interno dell'hub virtuale, è possibile distribuirla in una rete virtuale spoke e indirizzare il traffico con route definite dall'utente per l'ispezione. Lo stesso vale per Firewall di Azure. In alternativa, è anche possibile eseguire il peering di un'appliance virtuale di rete in uno spoke con l'hub virtuale per annunciare una route predefinita (0.0.0.0/0).

Il diagramma seguente illustra il traffico nord-sud tra un ambiente Azure e Internet.

Diagramma che mostra l'architettura di riferimento e il traffico nord-sud tra l'ambiente di Azure e Internet.

Azure offre i seguenti servizi di rete progettati per offrire visibilità sul traffico di rete che entra e esce dall'ambiente Azure.

Protezione di Azure dagli attacchi DDoS

La protezione DDoS di Azure può essere abilitata in qualsiasi rete virtuale con risorse IP pubbliche per monitorare e ridurre i possibili attacchi DDoS (Distributed Denial of Service). Questo processo di mitigazione comporta l'analisi dell'utilizzo del traffico rispetto alle soglie predefinite nei criteri DDoS, seguito dalla registrazione di queste informazioni per un ulteriore esame. Per prepararsi meglio agli eventi imprevisti futuri, Le protezioni DDoS di Azure offrono la possibilità di eseguire simulazioni contro gli indirizzi IP pubblici e i servizi, fornendo informazioni dettagliate preziose sulla resilienza e sulla risposta dell'applicazione durante un attacco DDoS.

Firewall di Azure

Firewall di Azure fornisce una raccolta di strumenti per monitorare, controllare e analizzare il traffico di rete.

  • Log e metriche

    Firewall di Azure raccoglie log dettagliati tramite l'integrazione con le aree di lavoro di Azure Log Analytics. È possibile usare query di Linguaggio di query Kusto (KQL) per estrarre informazioni aggiuntive sulle principali categorie di regole, ad esempio le regole di applicazione e di rete. È anche possibile recuperare i log specifici delle risorse che si espandono su schemi e strutture dal livello di rete ai log idPS e intelligence sulle minacce. Per altre informazioni, vedere Firewall di Azure log strutturati.

  • Cartelle di lavoro

    Firewall di Azure fornisce cartelle di lavoro che presentano i dati raccolti usando grafici di attività nel tempo. Questo strumento consente anche di visualizzare più risorse Firewall di Azure combinandole in un'interfaccia unificata. Per altre informazioni, vedere Uso di cartelle di lavoro di Firewall di Azure.

  • Analisi dei criteri

    Firewall di Azure Analisi dei criteri offre una panoramica dei criteri implementati e basati su informazioni dettagliate sui criteri, analisi delle regole e analisi del flusso del traffico, ottimizza e modifica i criteri implementati per adattarsi ai modelli di traffico e alle minacce. Per altre informazioni, vedere Firewall di Azure Policy Analytics.

Queste funzionalità assicurano che Firewall di Azure rimanga una soluzione affidabile per proteggere il traffico di rete fornendo agli amministratori gli strumenti necessari per una gestione efficace della rete.

Gateway applicazione

gateway applicazione offre funzionalità importanti per monitorare, controllare e analizzare il traffico a scopo di sicurezza. Abilitando Log Analytics e usando query KQL predefinite o personalizzate, è possibile visualizzare i codici di errore HTTP, inclusi quelli negli intervalli 4xx e 5xx critici per identificare i problemi.

I log di accesso di gateway applicazione forniscono anche informazioni critiche sui parametri correlati alla sicurezza chiave, ad esempio indirizzi IP client, URI della richiesta, versione HTTP e valori di configurazione specifici di SSL/TLS, ad esempio protocolli, suite di crittografia TLS e quando è abilitata la crittografia SSL.

Frontdoor di Azure

Frontdoor di Azure usa Anycast TCP per instradare il traffico al punto di presenza del data center più vicino (PoP). Come un servizio di bilanciamento del carico convenzionale, è possibile inserire un Firewall di Azure o un'appliance virtuale di rete nel pool back-end frontdoor di Azure, noto anche come origine. L'unico requisito è che l'indirizzo IP nell'origine sia pubblico.

Dopo aver configurato Frontdoor di Azure per ricevere le richieste, genera report sul traffico per mostrare il comportamento del profilo frontdoor di Azure. Quando si usa il livello Premium di Frontdoor di Azure, i report di sicurezza sono disponibili anche per visualizzare le corrispondenze con le regole WAF, incluse le regole OWASP (Open Worldwide Application Security Project), le regole di protezione del bot e le regole personalizzate.

Azure WAF

Waf di Azure è una funzionalità di sicurezza aggiuntiva che controlla il traffico di livello 7 e può essere attivata sia per gateway applicazione che per Frontdoor di Azure con determinati livelli. Questo offre un ulteriore livello di sicurezza per il traffico che non ha origine in Azure. È possibile configurare WAF in modalità di prevenzione e rilevamento usando le definizioni delle regole di base OWASP.

Strumenti di monitoraggio

Per il monitoraggio completo dei flussi di traffico nord-sud, è possibile usare strumenti come i log dei flussi del gruppo di sicurezza di rete, Analisi del traffico di Azure e i log dei flussi della rete virtuale per migliorare la visibilità nella rete.

Passaggi successivi

Per altre informazioni sull'applicazione di Zero Trust alla rete di Azure, vedere:

Riferimenti

Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.