Zero Trust-principes toepassen om verouderde netwerkbeveiligingstechnologie te stoppen
Dit artikel bevat richtlijnen voor het toepassen van de principes van Zero Trust voor het stopzetten van verouderde netwerkbeveiligingstechnologie in Azure-omgevingen. Hier volgen de Zero Trust-principes.
| Zero Trust-principe | Definitie |
|---|---|
| Expliciet verifiëren | Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten. |
| Toegang met minimale bevoegdheden gebruiken | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging. |
| Stel dat er sprake is van een schending | Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren. Verbeter de beveiliging voor uw Azure-omgeving door uw verouderde netwerkservices te verwijderen of te upgraden voor hogere beveiligingsniveaus. |
Dit artikel maakt deel uit van een reeks artikelen die laten zien hoe u de principes van Zero Trust toepast op Azure-netwerken.
De Azure-netwerkgebieden die moeten worden beoordeeld om het gebruik van verouderde netwerkbeveiligingstechnologieën te stoppen, zijn:
- Basisservices voor netwerken
- Taakverdeling en services voor contentlevering
- Hybride connectiviteitsservices
De overgang weg van het gebruik van verouderde netwerkbeveiligingstechnologieën kan voorkomen dat een aanvaller toegang krijgt tot omgevingen of zich over deze omgevingen verplaatst om wijdverspreide schade toe te brengen (het principe Van een schending van Zero Trust aannemen).
Referentiearchitectuur
In het volgende diagram ziet u de referentiearchitectuur voor deze Zero Trust-richtlijnen voor het stopzetten van verouderde netwerkbeveiligingstechnologie voor onderdelen in uw Azure-omgeving.
Deze referentiearchitectuur bevat:
- Azure IaaS-workloads die worden uitgevoerd op virtuele Azure-machines.
- Azure-services.
- Een virtueel beveiligingsnetwerk (VNet) dat een Azure VPN Gateway en Azure-toepassing Gateway bevat.
- Een internetrand-VNet dat een Azure Load Balancer bevat.
- Azure Front Door aan de rand van de Azure-omgeving.
Wat staat er in dit artikel?
U past Zero Trust-principes toe in de referentiearchitectuur, van gebruikers en beheerders op internet of uw on-premises netwerk naar en binnen uw Azure-omgeving. De volgende tabel bevat de belangrijkste taken voor het stopzetten van verouderde netwerkbeveiligingstechnologie in deze architectuur voor het principe Van schending van Zero Trust aannemen.
| Stap | Taak |
|---|---|
| 1 | Controleer de services van uw netwerkfundamenten. |
| 2 | Controleer uw services voor contentlevering en taakverdeling. |
| 3 | Controleer uw hybride connectiviteitsservices. |
Stap 1: Uw netwerkfundamentservices controleren
Uw beoordeling van netwerkbasisservices omvat:
- Overstappen van de openbare BASIC IP-SKU naar de standaard openbare IP-SKU.
- Ervoor zorgen dat IP-adressen van virtuele machines expliciete uitgaande toegang gebruiken.
In dit diagram ziet u de onderdelen voor het bijwerken van Azure-netwerkbasisservices in de referentiearchitectuur.
Openbare IP-SKU basic
IP-adressen (openbaar en privé) maken deel uit van IP-services in Azure die communicatie tussen privé- en openbare resources mogelijk maken. Openbare IP-adressen zijn gekoppeld aan services zoals VNet-gateways, toepassingsgateways en andere die uitgaande connectiviteit met internet nodig hebben. Privé-IP-adressen maken communicatie mogelijk tussen Azure-resources intern.
De Openbare IP-SKU Basic wordt vandaag gezien als verouderd en heeft meer beperkingen dan standaard openbare IP-SKU. Een van de belangrijkste beperkingen voor Zero Trust voor de openbare BASIS-IP-SKU is dat het gebruik van netwerkbeveiligingsgroepen niet vereist is, maar wordt aanbevolen, terwijl dit verplicht is bij de openbare IP-SKU van standard.
Een andere belangrijke functie voor de standaard openbare IP-SKU is de mogelijkheid om een routeringsvoorkeur te selecteren, zoals routering via het wereldwijde Microsoft-netwerk. Deze functie beveiligt het verkeer binnen het Microsoft backbone-netwerk waar mogelijk en uitgaand verkeer verlaat zo dicht mogelijk bij de service of eindgebruiker.
Zie IP-services van Azure Virtual Network voor meer informatie.
Notitie
De openbare IP-SKU basic wordt in september 2025 buiten gebruik gesteld.
Standaardtoegang voor uitgaand verkeer
Standaard biedt Azure uitgaande toegang tot internet. De connectiviteit van de resources wordt standaard verleend met de systeemroutes en de standaardregels voor uitgaande verbindingen voor de netwerkbeveiligingsgroepen. Met andere woorden, als er geen expliciete uitgaande connectiviteitsmethode is geconfigureerd, configureert Azure een standaard IP-adres voor uitgaande toegang. Zonder expliciete uitgaande toegang ontstaan echter bepaalde beveiligingsrisico's.
Microsoft raadt u aan om het IP-adres van een virtuele machine niet open te laten voor internetverkeer. Er is geen controle over de standaard uitgaande IP-toegang en IP-adressen, samen met hun afhankelijkheden, kunnen worden gewijzigd. Voor virtuele machines die zijn uitgerust met meerdere netwerkinterfacekaarten (NIC's), wordt het niet aanbevolen om alle IP-adressen van NIC's uitgaande toegang tot internet toe te staan. In plaats daarvan moet u de toegang alleen beperken tot de benodigde NIC's.
Microsoft raadt u aan expliciete uitgaande toegang in te stellen met een van de volgende opties:
-
Voor de maximaal SNAT-poorten (Source Network Address Translation) raadt Microsoft Azure NAT Gateway aan voor uitgaande connectiviteit.
Standard SKU Azure Load Balancers
Hiervoor is een taakverdelingsregel vereist voor het programmeren van SNAT, wat mogelijk niet zo efficiënt is als een Azure NAT-gateway.
Beperkt gebruik van openbare IP-adressen
Het toewijzen van een direct openbaar IP-adres aan een virtuele machine moet alleen worden uitgevoerd voor test- of ontwikkelomgevingen vanwege schaalbaarheids- en beveiligingsoverwegingen.
Stap 2: Controleer uw services voor contentlevering en taakverdeling
Azure heeft veel services voor het leveren van toepassingen waarmee u verkeer naar uw webtoepassingen kunt verzenden en distribueren. Soms verbetert een nieuwe versie of laag van de service de ervaring en worden de nieuwste updates geleverd. U kunt het migratiehulpprogramma in elk van de services voor toepassingslevering gebruiken om eenvoudig over te schakelen naar de nieuwste versie van de service en te profiteren van nieuwe en verbeterde functies.
Uw beoordeling van services voor contentlevering en taakverdeling omvat:
- Uw Azure Front Door-laag migreren van de klassieke laag naar de Premium- of Standard-lagen.
- Uw Azure-toepassing-gateways migreren naar WAF_v2.
- Migreren naar Standard SKU Azure Load Balancer.
In dit diagram ziet u de onderdelen voor het bijwerken van Azure-services voor het leveren van inhoud en taakverdeling.
Azure Front Door
Azure Front Door heeft drie verschillende lagen: Premium, Standard en Classic. Standard- en Premium-lagen combineren functies van de klassieke Azure Front Door-laag, Azure Content Delivery Network en Azure Web Application Firewall (WAF) in één service.
Microsoft raadt u aan om uw klassieke Azure Front Door-profielen te migreren naar de Premium- of Standard-lagen om te profiteren van deze nieuwe functies en updates. De Premium-laag richt zich op verbeterde beveiligingsfuncties, zoals privéconnectiviteit met uw back-endservices, door Microsoft beheerde WAF-regels en botbeveiliging voor uw webtoepassingen.
Naast de verbeterde functies bevat Azure Front Door Premium beveiligingsrapporten die zonder extra kosten zijn ingebouwd in de service. Met deze rapporten kunt u de WAF-beveiligingsregels analyseren en zien wat voor soort aanvallen uw webtoepassingen kunnen tegenkomen. In het beveiligingsrapport kunt u ook metrische gegevens onderzoeken op basis van verschillende dimensies, zodat u begrijpt waar verkeer vandaan komt en een uitsplitsing van de belangrijkste gebeurtenissen op criteria.
De Azure Front Door Premium-laag biedt de meest robuuste internetbeveiligingsmaatregelen tussen clients en webtoepassingen.
Azure Application Gateway
Azure-toepassing Gateways hebben twee SKU-typen, v1 en v2, en een WAF-versie die kan worden toegepast op een van beide SKU's. Microsoft raadt u aan uw Azure-toepassing Gateway te migreren naar de WAF_v2 SKU om te profiteren van prestatie-upgrades en nieuwe functies, zoals automatisch schalen, aangepaste WAF-regels en ondersteuning voor Azure Private Link.
Met aangepaste WAF-regels kunt u voorwaarden opgeven om elke aanvraag te evalueren die de Azure-toepassing Gateway doorloopt. Deze regels hebben een hogere prioriteit dan de regels in de beheerde regelsets en kunnen worden aangepast aan de behoeften van uw toepassings- en beveiligingsvereisten. De aangepaste WAF-regels kunnen ook de toegang tot uw webtoepassingen beperken per land of regio door een IP-adres te koppelen aan een landcode.
Het andere voordeel van de migratie naar WAFv2 is dat u via de Azure Private Link-service verbinding kunt maken met uw Azure-toepassing Gateway wanneer u toegang hebt tot een ander VNet of een ander abonnement. Met deze functie kunt u openbare toegang tot de Azure-toepassing-gateway blokkeren terwijl alleen gebruikers en apparaten toegang hebben via een privé-eindpunt. Met Azure Private Link-connectiviteit moet u elke privé-eindpuntverbinding goedkeuren, waardoor alleen de juiste entiteit toegang heeft. Zie Azure-toepassing Gateway v2 voor meer informatie over de verschillen tussen v1 en v2 SKU.
Azure-belastingsverdeling
Na de geplande buitengebruikstelling van de openbare IP-SKU basic in september 2025 moet u services bijwerken die gebruikmaken van openbare IP-SKU-adressen van Basic. Microsoft raadt u aan om uw huidige Basic SKU Azure Load Balancers te migreren naar Standard SKU Azure Load Balancers om beveiligingsmaatregelen te implementeren die niet zijn opgenomen in de Basic SKU.
Met de Standard SKU Azure Load Balancer bent u standaard beveiligd. Al het inkomende internetverkeer naar de openbare load balancer wordt geblokkeerd, tenzij dit is toegestaan door de regels van de toegepaste netwerkbeveiligingsgroep. Dit standaardgedrag voorkomt dat internetverkeer per ongeluk naar uw virtuele machines of services wordt toegestaan voordat u klaar bent en ervoor zorgt dat u controle hebt over het verkeer dat toegang heeft tot uw resources.
Standard SKU Azure Load Balancer maakt gebruik van Azure Private Link om privé-eindpuntverbindingen te maken. Dit is handig in gevallen waarin u privétoegang tot uw resources achter een load balancer wilt toestaan, maar u wilt dat gebruikers toegang krijgen vanuit hun omgeving.
Stap 3: Uw hybride connectiviteitsservices controleren
Beoordeling van uw hybride connectiviteitsservices omvat het gebruik van de nieuwe generatie SKU's voor Azure VPN Gateway.
In dit diagram ziet u de onderdelen voor het bijwerken van hybride Connectiviteitsservices van Azure in de referentiearchitectuur.
De meest effectieve manier om hybride netwerken in Azure te verbinden, is momenteel met de nieuwe generatie-SKU's voor Azure VPN Gateway. Hoewel u mogelijk klassieke VPN-gateways blijft gebruiken, zijn deze verouderd en minder betrouwbaar en efficiënt. Klassieke VPN-gateways ondersteunen maximaal 10 IPsec-tunnels (Internet Protocol Security), terwijl de nieuwere Azure VPN Gateway-SKU's maximaal 100 tunnels kunnen schalen.
De nieuwere SKU's werken op een nieuwer stuurprogrammamodel en bevatten de nieuwste beveiligingsupdates. De oudere stuurprogrammamodellen waren gebaseerd op verouderde Microsoft-technologieën die niet geschikt zijn voor moderne workloads. De nieuwere stuurprogrammamodellen bieden niet alleen superieure prestaties en hardware, maar bieden ook verbeterde tolerantie. De AZ-set SKU's van VPN-gateways kan worden geplaatst in beschikbaarheidszones en ondersteuning bieden voor actief-actief-verbindingen met meerdere openbare IP-adressen, wat de tolerantie verbetert en verbeterde opties biedt voor herstel na noodgevallen.
Daarnaast konden klassieke VPN-gateways voor dynamische routering geen BGP (Border Gateway Protocol) uitvoeren, maar alleen IKEv1 gebruiken en geen ondersteuning bieden voor dynamische routering. Kortom, klassieke SKU VPN-gateways zijn ontworpen voor kleinere workloads, lage bandbreedte en statische verbindingen.
Klassieke VPN-gateways hebben ook beperkingen in de beveiliging en functionaliteit van hun IPsec-tunnels. Ze ondersteunen alleen de modus Op beleid gebaseerd met het IKEv1-protocol en een beperkte set versleutelings- en hash-algoritmen die vatbaarder zijn voor schendingen. Microsoft raadt u aan over te stappen op de nieuwe SKU's die een breder scala aan opties bieden voor protocollen voor fase 1 en fase 2. Een belangrijk voordeel is dat op route gebaseerde VPN-gateways zowel IKEv1 als IKEv2-hoofdmodus kunnen gebruiken, wat meer flexibiliteit biedt bij de implementatie en robuustere versleutelings- en hash-algoritmen.
Als u een hogere beveiliging nodig hebt dan de standaardversleutelingswaarden, maken op route gebaseerde VPN-gateways het mogelijk om parameters voor fase 1 en fase 2 aan te passen om specifieke coderingen en sleutellengten te selecteren. Sterkere versleutelingsgroepen zijn groep 14 (2048-bits), groep 24 (2048-bits MODP-groep) of ECP (elliptische curvegroepen) 256-bits of 384-bits (groep 19 en groep 20). Daarnaast kunt u opgeven welke voorvoegselbereiken versleuteld verkeer mogen verzenden met behulp van de instelling Traffic Selector om de tunnelonderhandeling verder te beschermen tegen niet-geautoriseerd verkeer.
Zie Azure VPN Gateway-cryptografie voor meer informatie.
Azure VPN Gateway-SKU's faciliteren punt-naar-site-VPN-verbindingen (P2S) om gebruik te maken van beide IPsec-protocollen op basis van de IKEv2-standaard en VPN-protocollen op basis van SSL/TLS, zoals OpenVPN en Secure Socket Tunneling Protocol (SSTP). Deze ondersteuning biedt gebruikers verschillende implementatiemethoden en stelt hen in staat om verbinding te maken met Azure met behulp van verschillende apparaatbesturingssystemen. Azure VPN Gateway-SKU's bieden ook veel opties voor clientverificatie, waaronder certificaatverificatie, Microsoft Entra ID-verificatie en ad DS-verificatie (Active Directory-domein Services).
Notitie
Klassieke IPSec-gateways worden op 31 augustus 2024 buiten gebruik gesteld.
Aanbevolen training
- Virtuele netwerken configureren en beheren voor Azure-beheerders
- Toegang tot Azure-resources beveiligen en isoleren met behulp van netwerkbeveiligingsgroepen en service-eindpunten
- Inleiding tot Azure Front Door
- Inleiding tot Azure-toepassing Gateway
- Inleiding tot Azure Web Application Firewall
- Inleiding tot Azure Private Link
- Uw on-premises netwerk verbinden met Azure met VPN Gateway
Volgende stappen
Zie voor meer informatie over het toepassen van Zero Trust op Azure-netwerken:
- Netwerkcommunicatie op basis van Azure versleutelen
- Segmenteer netwerkcommunicatie op basis van Azure
- Inzicht krijgen in uw netwerkverkeer
- Netwerken beveiligen met Zero Trust
- Virtuele spoke-netwerken in Azure
- Virtuele hubnetwerken in Azure
- Virtuele spoke-netwerken met Azure PaaS-services
- Azure Virtual WAN
Verwijzingen
Raadpleeg deze koppelingen voor meer informatie over de verschillende services en technologieën die in dit artikel worden genoemd.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor